Xakep #243. Лови сигнал

О чем пишет (и не пишет) «Хакер»

Колонка главреда

Еще один месяц позади, а это значит, ваш почти что новый главный редактор должен сесть и сочинить еще одну колонку — как и обещал. Справится ли он с задачей? Какие темные секреты редакции он раскроет? Сколько раз он отвлечется, чтобы решить дела государственной важности или почитать «Твиттер»? Сейчас узнаем!

MEGANews

Всё новое за последний месяц

В этом месяце: шифровальщик GandCrab прекратил работу; новый Raspberry Pi 4 почти не уступает десктопам по производительности; Роскомнадзор готовит административное дело против Google; свежая уязвимость в Exim уже находится под атаками, а уязвимости в Firefox использовали против сотрудников Coinbase; стало известно, что западные спецслужбы пытались взломать компанию Яндекс. И еще много интересного!

Лови сигнал!

Используем SDR, чтобы перехватить и расшифровать сигнал пульта

Если при слове «радио» тебе вспоминается только старый дедушкин «Грюндиг» или «Океан», то это очень узкий взгляд на вещи. Мы живем во время беспроводных устройств, интернета вещей, 5G и прочих интересных штук. Все больше информации передается «по воздуху», поэтому хороший специалист должен разбираться в радиопротоколах. Я расскажу, как принимать сигнал, где его искать и как анализировать.

Лови сигнал!

Учимся передавать сигнал и управлять чужой техникой

Представим, что ты поймал, перехватил и расшифровал сигнал управления каким-то устройством. Теперь настала пора его подделать! А для этого нужно научиться передавать любые сигналы. Готовим радиопередатчик — и вперед к победе!

Как работают антивирусы

Методы детектирования вредоносных программ

Дискуссии о том, нужны ли антивирусы, или они совершенно бесполезны, не утихают с момента появления самих антивирусных приложений. Как работают современные антивирусные программы и какие методы используют злоумышленники для борьбы с ними? Об этом — сегодняшняя статья.

Поймать нарушителя!

Учимся детектировать инструменты атак на Windows

Атаки на Windows в наше время одна из наиболее реальных угроз для компаний. При этом исходный код используемых хакерами инструментов открыт и доступен на GitHub. В этой статье мы поговорим о том, какие существуют средства развития атаки внутри инфраструктуры, и о том, как их эффективно детектировать.

Угнать дрон

Методы перехвата управления коптерами

Одновременно с развитием интернета вещей эволюционируют и методы взлома умных девайсов. Особый интерес с точки зрения информационной безопасности представляют дроны — научиться управлять чужим летательным аппаратом мечтают многие. Имеются ли способы «угона» коптеров? Сейчас разберемся!

Комбо для Drupal

Как захватить сайт с Drupal, используя новые уязвимости

В этой статье я расскажу о двух уязвимостях в популярной CMS Drupal. Одна из них связана с архивами PHAR, не особенно страшна и работает только с правами админа, но если подключить другую (XSS), то такой дуэт становится уже очень опасным для любого сайта на незапатченном Drupal. Мы подробно разберем, как работают обе и откуда они взялись.

Кибервойны персидского залива

Как иранские хакеры обратили интернет против его создателей

Есть как минимум три хакерские группы, явно действующие в интересах правительства Ирана. Они регулярно атакуют сети крупных компаний США и их партнеров на Ближнем Востоке, нанося чувствительный урон противнику его же оружием. Давай рассмотрим подробнее их инструментарий и общую стратегию.

Укрощение Kerberos

Захватываем Active Directory на виртуальной машине с HackTheBox

В этой статье я покажу, как пройти путь с нуля до полноценного администратора контроллера домена Active Directory, а поможет нам одна из виртуалок, доступных для взлома на CTF-площадке HackTheBox. Пусть это и не самая сложная машина, но овладеть навыками работы с AD крайне важно, если ты собираешься пентестить корпоративные сети.

Самая небезопасная ОС

Как популярность iOS ставит ее пользователей под угрозу

Мы много писали о безопасности мобильной ОС Apple и о том, как отдельные уязвимости системы можно использовать для доступа к информации. И в каждой такой статье звучала мысль: несмотря на отдельные недостатки, iOS у Apple получилась грамотно спроектированной и хорошо защищенной ОС. Сегодня мы перевернем твой мир с ног на голову утверждением, что iOS — наименее безопасная из всех мобильных систем на рынке.

Справочник анонима

Как правильно шифровать почтовую переписку, чтобы ее никто не прочел

Есть такая занятная штука — тайна переписки. Правда, широко известно о ней лишь в очень узких кругах анонимусов. По крайней мере, правительства и спецслужбы о ней слыхом не слыхивали, да и некоторые коммерсанты очень любят сунуть свой любопытный нос в чужой почтовый ящик. Сегодня мы поговорим о том, как защитить свою электронную почту от постороннего назойливого внимания.

Тише воды, ниже травы

Что и как сливают гуглофоны

Ни для кого не секрет, что наши с тобой телефоны знают о нас слишком много. И пока твой гаджет с тобой, трудно найти хоть минутку, когда никакая информация о твоих действиях не попадет в сеть. Допустим, ты установил кастомную прошивку и не устанавливал GApps. Думаешь, твои данные в безопасности? Сейчас проверим!

Мейкерство на максималках

Заводим и разгоняем оперативную память на STM32 и Arduino

Ты помигал светодиодиком, собрал метеостанцию и робота на радиоуправлении, а потом успел разочароваться в этих маленьких кусочках кремния, что зовутся микроконтроллерами? Напрасно! Сегодня я покажу, как научить Arduino работать с внешней памятью и выжать из нее максимум для твоих проектов.

You CAN

Превращаем телефон в панель приборов автомобиля

На смену классическим автомобильным приборам приходят цифровые панели. Наверное, самая популярная машина с такой панелью — это Tesla с ее внушительным сенсорным дисплеем, но в бюджетных авто используются те же электронные блоки. Информацию с них можно считать и показать. Сегодня мы попробуем это сделать, вооружившись Arduino и Raspberry Pi.

Защищаем почтовый сервер без антивируса

Настройка DKIM-, SPF- и DMARC-записей

Электронная почта — один из самых популярных каналов распространения спама, малвари и фишинговых ссылок. В этой статье я расскажу, как усилить безопасность корпоративных почтовых серверов (MS Exchange и Postfix) с помощью доступных штатных средств — DKIM-, SPF- и DMARC-записей, не требующих использования дорогостоящих коммерческих продуктов.

Хитрый пингвин

Нестандартные трюки, которые помогут настроить сеть в Linux

Большую часть времени мы используем только самые простые возможности сетевого стека Linux. Маршрут по умолчанию, SNAT, несколько правил netfilter — все, что нужно среднему маршрутизатору. Однако существует множество функций для менее распространенных и даже весьма нестандартных ситуаций.

Загадочный IPsec

Все, что ты хотел узнать об IPsec, но не догадывался спросить

Обороняем порт

Как защитить инфраструктуру на Docker минимальными силами

Docker — прекрасная вещь, которая может экономить массу сил и времени. В этой статье мы поговорим о том, как использовать Docker максимально безопасно и отлавливать потенциальные угрозы заранее. Также ты найдешь здесь готовые рекомендации, команды и инструменты, которые легко использовать в своем проекте.

Криптовойны Дикого Запада

Как АНБ однажды хотело ввести тотальную прослушку, но проиграло

Конфликт между Роскомнадзором и Telegram в прошлом году — далеко не первая попытка правительства получить доступ к шифрованным цифровым коммуникациям. О самом жарком и показательном примере противостояния властей и поборников приватности у нас мало кто знает, поскольку дело было в США и относительно давно. В этой статье я попытаюсь выявить уроки, которые руководители спецслужб усвоили тогда.

3D-сканирование без 3D-сканера

Как получить трехмерную модель при помощи смартфона

Как и у любого человека, увлекающегося 3D-печатью, у меня периодически возникает необходимость превратить какой-нибудь материальный предмет в виртуальную объемную модель. Казалось бы, решение проблемы — 3D-сканер, но он не всегда имеется под рукой. Можно ли обойтись без него? Оказывается, можно: вполне достаточно обычной цифровой фотокамеры или смартфона.