Хакер #191. Анализ безопасности паркоматов

Взлом московских паркоматов

Анализ защищенности терминалов общего пользования

Компьютерная игра Watch Dogs прекрасно описывает недалекое будущее: вокруг всевозможные девайсы, средства выдачи и приема наличных, а также разнообразные имеющие доступ в интернет устройства, нашпигованные уязвимостями, эксплуатация которых позволяет хакеру извлечь определенную выгоду.

Инстаграмм в твоем браузере

Подборка приятных полезностей для разработчиков

Подборки приятных полезностей для разработчиков.

Теперь все как у людей

Кратко о новых возможностях автоматизации в OS X Yosemite

В конце октября 2014 года Apple представила новую версию своей операционной системы — OS X Yosemite. В нее внедрены три основные новинки: поддержка iCloud Drive, углубленная интеграция компьютера с планшетом или телефоном и Java Script for Automation (JXA).

Контролируемое заражение

Используем DroidBox для динамического анализа малвари

Малварь для Android стремительно развивается, и антивирусы против нее не всегда эффективны. Даже самые что ни на есть легитимные программы порой просят привилегии, которые им, по идее, не нужны. Как узнать, что делает то или иное приложение в твоем Droid-девайсе и не собирает ли оно о тебе дополнительные сведения?

Фокусы для слабонервных

Работают ли техники оптимизации Android на самом деле?

Блуждая по форумам и разного рода сайтам, посвященным Android, мы постоянно сталкиваемся с советами, как увеличить производительность смартфона. Одни рекомендуют включить swap, другие — добавить специальные значения в build.prop, третьи — изменить переменные ядра Linux. Работают ли они на самом деле?

Ручные часы

Выжимаем максимум из Pebble

Нередко доставать смартфон из кармана бывает не совсем удобно. Или просто лень вставать с теплого дивана, чтобы посмотреть, что там пришло. В этой статье я расскажу, как настроить уведомления, приспособить под себя и использовать в полную мощь одни из самых популярных умных часов — Pebble.

Ось для ардуино

Наживляем минималистичную реалтаймовую операционку

Сегодня установить линукс на свою машину может каждая блондинка, поэтому хакерам приходится искать для себя новые испытания. Как насчет установки операционной системы реального времени scmRTOS на Arduino?

Easy Hack

Хакерские секреты простых вещей

Пробросить Meterpreter за NAT/DMZ, постэксплуатация MS SQL DB links и многое другое.

Обзор эксплойтов

Анализ свеженьких уязвимостей

Год не перестает радовать новыми уязвимостями в популярном ПО. Сегодня в подборке: ошибка в популярной консольной утилите для скачивания файлов с удаленного сервера Wget, несколько уязвимостей в OS X, а также история о том, к чему может привести добавление в свое ПО нового функционала.

Качаем права

Поднимаем привилегии до админа и выше

Повышение привилегий, пожалуй, один из ключевых моментов, от которого зависит сценарий дальнейшего проведения пентеста или атаки. Очень часто на этом этапе все и заканчивается, если не получается «расширить свои полномочия». Поэтому сегодня мы немного поговорим о способах, позволяющих пользователю повысить свои привилегии не только до администраторских, но и до системных.

Колонка Алексея Синцова

Катаемся (без)опасно — автомобиль и ИБ

Криптография под прицелом

Дифференциальный анализ питания

Задумывался ли ты когда-нибудь, что физические параметры вычислительного устройства меняются в процессе выполнения алгоритма? Более того, по этим изменениям можно определить шаг выполнения алгоритма и даже обрабатываемые данные, включая секретные ключи. Если нет, то эта статья для тебя. Она расскажет, как, измеряя потребляемую энергию, можно «заснять» исполнение криптографического алгоритма и как из этих снимков получить ключи шифров.

BDFProxy

Модифицируем бинарники на лету

Думаю, ты слышал про интересный фреймворк Evilgrade, который позволяет надругаться над механизмом обновления многих популярных программ (Windows update, Apple update и еще целой пачки), подсовывая вместо валидных файлов зловредные бинарники. Считаешь, подобной уязвимости подвержены только апдейты приложений? Ты ошибаешься. Скажу больше: скачивать бинарники из Сети не так безопасно, как кажется на первый взгляд. Не веришь? Тогда смотри, а вернее — читай.

X-Tools

Cофт для взлома и безопасности

В этом выпуске: инструмент для бэкдоринга прошивок роутеров, бесплатный сканер и платформа для тестирования, сканер ShellShock, модификация karma c набором расширений для автоматизации, универсальный распаковщик, редактор таблицы IAT, фреймворк для быстрого реагирования на инциденты.

][-тестирование

Самый быстрый антивирус

Огромные программные комплексы, которым предстоит проверять каждый файл, программу и интернет-запрос, обязательно будут тормозить систему. Но вот в каких масштабах? Сегодня мы это проверим и выберем самый быстрый антивирус по версии журнала «Хакер».

Все по-честному!

Интервью с CTO и CEO Vexor.io Дмитрием Галинским и Олегом Балбековым

Как известно, любой мало-мальски серьезный программист со временем начинает покрывать свой код тестами. Самые правильные пишут тесты еще до самого кода. А когда тестов становится слишком много, под них выделяют отдельный сервер, который сам забирает код из репозитория, прогоняет все тесты и, если все хорошо, деплоит на продакшен. Все это называется системой CI — непрерывной интеграции. Проблема такого подхода в том, что держать или арендовать целый сервер под нужды CI очень дорого, а в пике нагрузка все равно превысит мощности. Казалось бы, что тут сделаешь, однако у команды облачного CI Vexor на этот счет другая точка зрения.

Vexor.io: one-step guide

Как организовать правильный continuous integration и не разориться

Vexor.io — облачный CI-сервис для девелоперов, который берет плату только за фактическое время прогона твоих тестов и при этом умеет распараллеливать процессы. Как следствие, время использования тестов уменьшается в разы, а вместе с тем уменьшается и стоимость.

Вкуриваем в big data

Введение в анализ данных с использованием статистического пакета R

Если спросить меня, какая профессия будет самой востребованной в обозримом будущем, то я бы сказал, что это data scientist. У этой профессии даже нет нормального русскоязычного аналога, в лучшем случае — это просто дословный перевод «ученый по данным». Тем не менее слово «аналитик» вполне отражает суть дела.

Препарируем Hyper-V

Исследуем внутренние механизмы работы гипервизора компании Microsoft

Со времени публикации первой части статьи глобально в мире ничего не изменилось: Земля не наскочила на небесную ось, все так же растет популярность облачных сервисов.

Навстречу вихрю

Разбираемся с устройством асинхронных фреймворков для Python

«Асинхронность» и «параллельность» — ортогональные понятия, и один подход задачи другого не решает. Тем не менее асинхронности нашлось отличное применение в наше высоконагруженное время быстрых интернет-сервисов с тысячами и сотнями тысяч клиентов, ждущих обслуживания одновременно.

Кодинг для умных часов

Знакомимся с Tizen SDK и преодолеваем его подводные камни

В бурно развивающемся направлении носимых гаджетов высокий коммерческий интерес удачно сочетается с использованием «сырых» и плохо защищенных платформ, и тут как минимум надо быть в тренде, чтобы при необходимости быстро написать хакерскую тулзу, прячущуюся в стильных часах.

Грустная история забытых символов

Как не сойти с ума при работе с кодировками в C++

Говоря о тексте, большинство программистов C++ думают о массивах кодов символов и кодировке, которой эти коды соответствуют. Но, конечно, не думать о кодировке намного проще. Давай посмотрим, как можно не заботиться о кодировке и при этом видеть безошибочное представление текста где угодно: в Китае ли, в США или на острове Мадагаскар.

Боль и страдания OpenStack

Практический опыт боевого использования OpenStack

OpenStack — очень модное слово в современном айтишном медиапространстве. Слышал о нем практически каждый, но в деле видели не очень многие. А попробовать его всерьез отважились вообще единицы. Мы у себя рискнули-таки, и сегодня я расскажу, чем это для нас обернулось и почему мода зачастую бежит впереди рассудительности и стабильности.

Путь через портал

Знакомимся с Liferay

Корпоративные порталы (Enterprise Information Portal — EIP) из моды постепенно превратились в незаменимый инструмент бизнеса, обеспечивая сотрудников единой точкой доступа к данным, инструментами управления бизнес-процессами и средствами обмена информацией. Проект Liferay, распространяемый под Open Source лицензией, вполне успешно конкурирует с большинством коммерческих решений.

Esper на службе корреляции

Знакомимся с Esper — библиотекой для создания приложений обработки событий

Продукты класса SIEM отличаются от обычных Log-серверов как минимум наличием корреляционного движка, способного превратить огромный поток событий в набор алертов. В данной статье мы рассмотрим некоторые возможности библиотеки Esper, позволяющей реализовать свой корреляционный движок, не уступающий по возможностям подсистемы корреляции промышленным SIEM-решениям, а в чем-то даже превосходящий их.

FAQ

Вопросы и ответы

Отвечаем на вопросы читателей

WWW2

Удобные веб-сервисы

Ежемесячная подборка полезных веб-сервисов от ][