Оформить подписку на «Хакер»:

4590 руб

на 1 год

490 руб

на 1 месяц

Хакер #220. Кейлоггер по воздуху

Беспроводные девайсы сейчас повсюду — мышки, клавиатуры, звонки, даже розетки, управляемые по радио. Зачастую вендоры в своих устройствах используют самописные протоколы, не задумываясь о безопасности. В этом номере мы для примера разберем протокол беспроводной клавиатуры Logitech, выясним, какие данные она посылает и как, и затем, вооружившись HackRF One и GNU Radio, напишем для нее кейлоггер. Разумеется, исключительно в исследовательских целях.

Также в номере:

  • Изучаем атаки на Apache Tomcat и способы защиты от них
  • Защищаемся от перехвата мобильных данных через IMSI-кетчеры
  • Извлекаем и анализируем данные из устройств на Android
  • Выбираем самую дырявую ОС: iOS, Windows, Android, Sailfish или Tizen
  • Настраиваем Jabber/XMPP для общения без следов
  • Получаем вознаграждение за научные расчеты с помощью Gridcoin
  • Учимся выживать на Android без «корпорации добра»

...и еще множество статей про инфосек, программирование и администрирование!

Публикуется с 1 мая

Содержание номера
(Подписчикам уже доступно 18 статей)

COVER STORY

Кейлоггер по воздуху

Реверсим протокол работы клавы от Logitech и пишем для нее кейлоггер

PC ZONE

Как обезопасить Jabber

Настраиваем XMPP для общения без следов

Пробуем Gridcoin

Как получать вознаграждение за научные расчеты

Пока одни майнят криптовалюту, другие обрабатывают научные данные. Еще недавно приходилось выбирать между алчностью и альтруизмом, поскольку проекты распределенных вычислений обычно не предусматривают вознаграждения. Теперь появилась сторонняя программа поощрений, и она уже дала заметные результаты. Здесь ты найдешь подробный гайд о том, как к ней присоединиться.

Hola Amiga!

Знакомимся с AROS, открытым клоном AmigaOS

Трудно представить более любимый и почитаемый пользователями ПК, чем Amiga. Этот опередивший свое время домашний компьютер подарил нам демосцену, трекерную музыку, механизм plug’n’play и, конечно же, AmigaOS, операционку, которая в форме независимого AROS продолжает развиваться и по сей день. Но действительно ли это заслуживающая внимания система, а не просто ностальгический проект фанатов Amiga?

WWW2

Интересные веб-сервисы

СЦЕНА

Тайны «Жизни»

Удивительное в мире клеточных автоматов

X-MOBILE

Мобильный дайджест апреля

Платежи в Telegram, смерть Ubuntu Touch, дырявый Tizen и отчет о развитии LineageOS

Сегодня в выпуске: Android становится популярнее Windows, платежи и звонки в Telegram, дырявый Tizen, смерть Ubuntu Touch и отчет о развитии LineageOS. А также: отладка Android-приложений через Chrome DevTools, подробности об iPhone 6s собственной сборки, запуск Google Assistant на настольной машине, анализ трояна Chrysaor от NSA Group. И конечно же, подборка материалов и библиотек для разработчиков.

Жизнь без Google

Инструкция по выживанию на Android без «корпорации добра»

Карманный софт

Выпуск #31. Майский набор гика

Карманный софт: fooView, кнопка быстрого доступа к основным функциям AndroidКарманный софт: YouTube Music, простой способ воспроизведения YouTube в фоновом режиме на AndroidКарманный софт: Speaki, приложение, читающее уведомления вслух на AndroidКарманный софт: Remote Bot for Telegram, управляем смартфоном с помощью Телеграма на Android

Проект Treble: долгожданное решение проблемы обновления Android

Колонка Евгения Зобнина

Незадолго до начала Google I/O разработчики Android анонсировали инициативу под названием Treble. Ее суть сводится к тому, чтобы разделить Android на две части, которые можно будет обновлять независимо друг от друга и таким образом облегчить портирование новых версий Android на уже выпущенные смартфоны. Попробуем разобраться, что это значит на деле и какую проблему Google все же пытается решить.

За границами дозволенного

Прокачиваем стоковую прошивку Samsung

Прошивки смартфонов Samsung нашпигованы огромным количеством функций и настроек. Однако некоторые из них скрыты, а многие полезные возможности кастомных прошивок в них просто недоступны. К тому же прошивка содержит массу дополнительного софта, который висит в памяти и удалить который невозможно. В этой статье мы расскажем, как расширить функциональность стоковой прошивки и подчистить ее от хлама.

Самая дырявая ОС

Сравниваем безопасность iOS, Windows, Android, Sailfish и Tizen

Мы часто пишем о безопасности мобильных ОС, публикуем информацию о найденных уязвимостях, описываем слабые стороны защиты и способы взлома. Мы писали и о слежке за пользователями Android, и о зловредных приложениях, которые встраиваются прямо в прошивку, и о неконтролируемой утечке пользовательских данных в облако производителя. Какая же из современных мобильных платформ наиболее безопасна для пользователя — или хотя бы наименее небезопасна? Попробуем разобраться.

ВЗЛОМ

Крипта для CTF

 

Обзор эксплоитов #220

 

][-FAQ: перехват мобильных данных

IMSI-кетчеры и как от них защититься

Наверное, даже домохозяйки знают, что публичные точки Wi-Fi небезопасны. Что не мешает рядовым юзерам вовсю ими пользоваться — ведь если нельзя, но скучно и очень хочется, то можно! И без всякого VPN — хотя функцию VPN теперь внедряют даже в комплексные антивирусные продукты. Здоровой альтернативой Wi-Fi всегда считалось обычное мобильное подключение, тем более что с каждым годом оно становится все дешевле, а скорость его все выше. Но так ли оно безопасно, как нам кажется? В этой статье мы решили собрать основные вопросы и ответы, посвященные перехвату мобильных данных, и определиться, стоит ли его опасаться обычному, далекому от сокровенных тайн пользователю.

Идем на повышение

Рецепты по повышению привилегий в Win

Мобильная криминалистика

Извлекаем и анализируем данные из устройств на Android

Привет, %username%! В предыдущей статье я рассказывал тебе о мобильной криминалистике яблочных устройств. С тех пор прошло какое-то время, и, может, ты даже успел замучить свой iPhone до полусмерти, а то и вовсе полностью разрядил, поместил в клетку Фарадея и сунул в самый дальний и темный угол, заменив его на... Android-смартфон. Решил, что теперь ты в безопасности и эти дотошные цифровые криминалисты не доберутся до твоих маленьких секретов? Не тут-то было! Сегодня я расскажу, как форензики извлекают твои данные из Android-девайсов.

Атаки на Apache Tomcat

Обзор распространенных методов атак и способов защиты от них

В последнее время в статьях и пентестерских отчетах все чаще упоминается Apache Tomcat. И неспроста. Он занимает шестую строчку по популярности среди веб-серверов в рейтинге W3Techs, что делает его привлекательной мишенью для злоумышленников. Настройки по умолчанию в Apache Tomcat не позволяют противостоять распространенным методам атак, поэтому предлагаю ознакомиться с основными техниками, используемыми для взлома, а также способами противодействия.

КОДИНГ

Веселая ферма мобильного разработчика

Firebase Test Lab, Samsung Remote Test Lab, AWS Device Farm, Sauce Labs, Xamarin Test Cloud, Perfecto

Плагины для Atom и VS Code

Джентельменская подборка плагинов веб-разработчика

Vue.js

Знакомимся с мощной библиотекой для построения UI

Монетизация Android-приложения

Продаем контент с помощью In-app Billing API

Если тебе удалось создать действительно полезное приложение, то стоит задуматься о монетизации своих трудов. Встроенная реклама всегда уродует продукт, да и много денег она не принесет. Лучше всего дать пользователю возможность просто заплатить — за дополнительные функции или в знак благодарности.

Сенсорные роботы

Исследуем датчики в Android

Современный смартфон уже сложно назвать просто компьютером, ведь он умеет гораздо больше своего стационарного предка: и температуру может измерить, и высоту над уровнем моря подсказать, и влажность воздуха определить, а если вдруг забудешь свою ориентацию в пространстве или силу тяжести потеряешь — все исправит. А помогают ему в этом, как ты уже, наверное, догадался, датчики aka сенсоры. Сегодня мы познакомимся с ними поближе, а заодно и проверим, действительно ли мы находимся на Земле. ;)

UNIXOID

Экономьте электроэнергию!

Настраиваем Linux для максимального продления жизни от батареи

Признайся, сколько раз ты хотел плюнуть в лицо тому маркетологу, который придумывает эти нереальные цифры в десять-двенадцать часов автономной работы ноутбука? Шесть-семь — это уже ближе к истине, да и то только если ОС правильно настроена. А вот как ее правильно настроить — это уже действительно интересный вопрос. Ведь все далеко не так однозначно, как считают разработчики дистрибутивов.

Ломая стереотипы

Endless OS, дистрибутив Linux, в котором нет понятия пакетов

Как выглядит среднестатистический дистрибутив Linux? Обычно это некая система, как конструктор собранная из тысяч пакетов, плюс различные твики рабочего стола, возможно собственный инсталлятор и система конфигурации. В любом случае почти все дистрибутивы похожи и основаны на одной и той же идее: пакет + пакет + пакет = ОС. Endless совершенно другой, здесь вообще нет пакетов как таковых, но есть концепция атомарно обновляемой базовой системы и песочниц Flatpak.

SYN/ACK

Домик для разработчиков

Строим свой GitHub

UNITS

FAQ

Вопросы и ответы

Титры

Кто делает этот журнал