Главная Статьи

Статьи

Xakep #220

На пути к квантовому интернету: распутываем историю с квантовой запутанностью и китайским спутником

Китайский спутник Micius установил новый рекорд квантовой связи. Он сгенерировал пару запутанных фотонов, разделил их и передал одновременно двум наземным станциям. Затем они использовали эффект квантовой телепортации для обмена зашифрованными сообщениями. Запуск таких спутников открывает возможность создания глобальных систем связи, защищенных от перехвата на уровне физических принципов. Эксперимент уже окрестили «началом квантового интернета». Попробуем разобраться, как это работает.

Xakep #220

Взлом беспроводной клавиатуры. Реверсим протокол клавы Logitech и пишем кейлоггер

Беспроводные девайсы сейчас повсюду (мышки, клавиатуры, звонки, даже розетки, управляемые по радио). Зачастую вендоры в своих устройствах используют самописные протоколы, не задумываясь о безопасности. Поскольку материала в Сети на эту тему не так много, давай разберем один из таких протоколов на примере беспроводной клавиатуры Logitech и напишем для нее кейлоггер.

Xakep #220

Разбираем империю Google: Android без Google Play, YouTube и прочих сервисов

Google собирает тонны информации о пользователе с помощью смартфона. Местоположение, активность установленных приложений, контакты, календарь, история поисковых запросов, бэкап данных приложений — это лишь часть сведений, которые уходят на серверы Google. Привязывать смартфон к аккаунту Google совсем не обязательно, но тогда пропадет возможность установки приложений, синхронизации контактов, календаря, бэкапов и многие другие полезные в быту функции. Можно ли обойти эти проблемы? Попробуем разобраться.

Xakep #221

Живее всех живых. Разбираемся с TrueOS, десктопной версией FreeBSD

«Непонятно зачем существующий живой труп» — примерно так сегодня принято говорить о FreeBSD. Хайп вокруг Linux и GPL сделал свое дело и вытеснил когда-то самую популярную серверную ОС на задворки серверной. Тем не менее FreeBSD — очень даже живая современная ось с массой вкусностей под капотом и прекрасной поддержкой оборудования. А TrueOS — едва ли не наиболее красноречивое тому подтверждение.

Для подписчиков

7 лучших ферм устройств для тестирования своих iOS- и Android-приложений

Еще в далекие времена, когда балом смартфонов заправляли Nokia и Microsoft, возникла одна характерная особенность мобильной разработки — разношерстность устройств по характеристикам и модификациям операционок. Приходилось тестировать приложение не только на разных версиях ОС, но и на разных физических устройствах. После выхода iOS самих моделей телефонов всегда было мало, поэтому с ними проблем не возникало. А вот в мире Android проблема фрагментации встала во весь рост. Моделей на рынке тысячи, и все время появляются новые, и твое приложение или игра должны гарантированно работать на каждой из них. Добавим еще разные версии прошивок на этих моделях... И поймем, что вручную потребуется куча человеко-часов для проверки каждого релиза.

Xakep #220

Самая дырявая ОС. Сравниваем безопасность iOS, Windows, Android, Sailfish и Tizen

Мы часто пишем о безопасности мобильных ОС, публикуем информацию о найденных уязвимостях, описываем слабые стороны защиты и способы взлома. Мы писали и о слежке за пользователями Android, и о зловредных приложениях, которые встраиваются прямо в прошивку, и о неконтролируемой утечке пользовательских данных в облако производителя. Какая же из современных мобильных платформ наиболее безопасна для пользователя — или хотя бы наименее небезопасна? Попробуем разобраться.

Xakep #220

Карманный софт: YouTube Music, простой способ воспроизведения YouTube в фоновом режиме на Android

В YouTube очень много музыки, как клипов, так и с заглушкой вместо видеоряда. Однако официальный клиент и приложения, которые можно найти в Play Store, не позволяют слушать музыку в фоне с выключенным экраном. К счастью, есть аудиоплеер, лишенный этого недостатка.

Xakep #220

Мобильная криминалистика. Извлекаем и анализируем данные из устройств на Android

Привет, %username%! В предыдущей статье я рассказывал тебе о мобильной криминалистике яблочных устройств. С тех пор прошло какое-то время, и, может, ты даже успел замучить свой iPhone до полусмерти, а то и вовсе полностью разрядил, поместил в клетку Фарадея и сунул в самый дальний и темный угол, заменив его на... Android-смартфон. Решил, что теперь ты в безопасности и эти дотошные цифровые криминалисты не доберутся до твоих маленьких секретов? Не тут-то было! Сегодня я расскажу, как форензики извлекают твои данные из Android-девайсов.

Xakep #220

Карманный софт: fooView, кнопка быстрого доступа к основным функциям Android

После того как разработчик популярнейшего файлового менеджера ES File Explorer продал права на свое детище сторонней компании, он занялся разработкой совершенно нового приложения. Вскоре на свет появился fooView, причудливый симбиоз кнопки для управления смартфоном, меню быстрого запуска, переводчика, программы для снятия скриншотов, браузера и файлового менеджера.

Xakep #220

Настраиваем Linux для максимального продления жизни ноутбука от батареи

Признайся, сколько раз ты хотел плюнуть в лицо тому маркетологу, который придумывает эти нереальные цифры в десять-двенадцать часов автономной работы ноутбука? Шесть-семь — это уже ближе к истине, да и то только если ОС правильно настроена. А вот как ее правильно настроить — это уже действительно интересный вопрос. Ведь все далеко не так однозначно, как считают разработчики дистрибутивов.

Xakep #220

Карманный софт: Speaki, приложение, читающее уведомления вслух на Android

Выходя на улицу, ты надеваешь наушники, включаешь музыку и отправляешься на работу. По пути тебе приходит уведомление. Возможно, ничего важного, но лучше проверить. Достаешь смартфон из кармана, смахиваешь инфу об очередном новом видео в YouTube, убираешь смартфон обратно и идешь дальше. Приходит еще одно уведомление, а потом еще. Знакомо? Если да, то у тебя два варианта: купить за 200 долларов умные часы, которые, кроме как выводить уведомления, не умеют ничего полезного, или установить бесплатное приложение Speaki.

Для подписчиков

Знакомимся с AROS, открытым клоном знаменитой AmigaOS

Трудно представить более любимый и почитаемый пользователями ПК, чем Amiga. Этот опередивший свое время домашний компьютер подарил нам демосцену, трекерную музыку, механизм plug’n’play и, конечно же, AmigaOS, операционку, которая в форме независимого AROS продолжает развиваться и по сей день. Но действительно ли это заслуживающая внимания система, а не просто ностальгический проект фанатов Amiga?

Xakep #220

Карманный софт: Remote Bot for Telegram, управляем смартфоном с помощью Телеграма на Android

В маркете можно найти множество приложений для удаленного управления смартфоном и его поиска. Но все они имеют две проблемы: требование довериться непонятному серверу, который будет хранить и обрабатывать информацию с твоего смартфона, и необходимость использовать не всегда удобный веб-интерфейс. Remote Bot for Telegram решает обе проблемы.

Xakep #219

EXPLOIT: выполнение произвольного кода в VMware vCenter <= 6.0 U2a (видео)

Уязвимость существует из-за того, что в vCenter используется устаревшая версия фреймворка Apache Struts 2 с уязвимостью парсера сообщений об ошибках. Злоумышленник может отправить специально сформированный HTTP-запрос, который приведет к выполнению произвольного кода с правами веб-сервера.

HOW-TO: Разбираемся с деревьями в лесу, изучая терминологию Active Directory

Впервые услышав термины «лес», «деревья» и связанные с ними «доверительные отношения», недолго и испугаться. Не меньше пугает и сама Active Directory, недаром слывущая одной из самых сложных технологий Microsoft. Чтобы успешно управлять AD и понимать, что там происходит, следует первым делом изучить базовую терминологию и понять, как компоненты связаны между собой. Об этом я и расскажу.

Xakep #219

HOW-TO: Как искать соседние устройства Cisco при помощи CDP

Cisco Discovery Protocol (CDP) — это проприетарный протокол Cisco, который позволяет сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также получать информацию о соседних устройствах.

Для подписчиков

Gridcoin: получаем вознаграждение за научные расчеты

Пока одни майнят криптовалюту, другие обрабатывают научные данные. Еще недавно приходилось выбирать между алчностью и альтруизмом, поскольку проекты распределенных вычислений обычно не предусматривают вознаграждения. Теперь появилась сторонняя программа поощрений, и она уже дала заметные результаты. Здесь ты найдешь подробный гайд о том, как к ней присоединиться.

Xakep #219

HOW-TO: Управляем Exchange через PowerShell

Подключаться к серверу Exchange и управлять почтой можно не только через почтовик, но и напрямую из PowerShell. Это позволяет писать самые разные скрипты — например, массово создавать ящики или переносить архивы. Посмотрим, как выглядит этот интерфейс.

Xakep #219

EXPLOIT: анонимный доступ к закрытым страницам в Atlassian Confluence с 6.0.0 до 6.0.6 (видео)

Причина уязвимости — отсутствие проверки прав пользователя для доступа к страницам и блогам. Обратившись к любой записи через специально сформированный запрос к REST API, злоумышленник может получить ее содержимое.

Xakep #220

Атаки на Tomcat. Изучаем способы взлома Apache Tomcat и методы защиты

В последнее время в статьях и пентестерских отчетах все чаще упоминается Apache Tomcat. И неспроста. Он занимает шестую строчку по популярности среди веб-серверов в рейтинге W3Techs, что делает его привлекательной мишенью для злоумышленников. Настройки по умолчанию в Apache Tomcat не позволяют противостоять распространенным методам атак, поэтому предлагаю ознакомиться с основными техниками, используемыми для взлома, а также способами противодействия.

Xakep #219

WWW: Virtual Lorenz — онлайновый симулятор немецкой шифровальной машины времен Второй мировой

Ты наверняка слышал про машину «Энигма» и про то, как английские криптографы из Блетчли-парка под руководством Алана Тьюринга взломали ее шифр. Однако «Энигма» — не единственная шифровальная машина фашистской Германии. Агрегат под названием «Лоренц» (Lorenz SZ), в отличие от нее, не был портативен и требовал присутствия двух операторов. Сайт Virtual Lorenz поможет тебе перенестись назад во времени и попробовать себя в их деле.

Xakep #220

Проект Treble: долгожданное решение проблемы обновления Android. Колонка Евгения Зобнина

Незадолго до начала Google I/O разработчики Android анонсировали инициативу под названием Treble. Ее суть сводится к тому, чтобы разделить Android на две части, которые можно будет обновлять независимо друг от друга и таким образом облегчить портирование новых версий Android на уже выпущенные смартфоны. Попробуем разобраться, что это значит на деле и какую проблему Google все же пытается решить.

Xakep #220

Знакомимся с Endless OS: дистрибутив Linux, в котором нет понятия пакетов

Как выглядит среднестатистический дистрибутив Linux? Обычно это некая система, как конструктор собранная из тысяч пакетов, плюс различные твики рабочего стола, возможно собственный инсталлятор и система конфигурации. В любом случае почти все дистрибутивы похожи и основаны на одной и той же идее: пакет + пакет + пакет = ОС. Endless совершенно другой, здесь вообще нет пакетов как таковых, но есть концепция атомарно обновляемой базовой системы и песочниц Flatpak.

Xakep #219

WWW: Transfer.sh — удобный шейринг файлов для фанатов командной строки

Из удобных средств поделиться файлом шейринговые сервисы нынче превратились в «файлопомойки» — места, заваленные пиратским контентом, владельцы которых идут на любые самые низкие уловки, только чтобы выжать из посетителя копеечку. Тем отраднее видеть, что кто-то отважился сделать чистый, простой и удобный сервис для пересылки файлов.

Xakep #219

EXPLOIT: выполнение произвольного кода в Microsoft Word версий с 2007 по 2016 (видео)

Ошибка связана с некорректной обработкой ответов от сервера в функции Microsoft OLE (Object Linking and Embedding), которая дает возможность встраивать одни документы внутрь других. После открытия зараженного документа приложение офиса делает запрос на удаленный сервер, чтобы получить встроенный в этот документ файл. Сервер возвращает специально сформированный ответ. В нем содержится вредоносный файл HTA, код из которого после загрузки выполняется на целевой системе.

Спецпроект

Университет Иннополис — интеллектуальное ядро первого в России города высоких технологий

Наверняка все слышали о Силиконовой долине в США — это область в штате Калифорния, где сосредоточены высокотехнологичные компании, занимающиеся разработкой и производством всякого рода компьютеров. У нас такой долины нет, зато есть долина знаний — Университет Иннополис. В этой статье мы расскажем о нем, а также ответим на все часто задаваемые вопросы.

Xakep #220

Сенсорные датчики в Android: какие они бывают и как с ними работать

Современный смартфон уже сложно назвать просто компьютером, ведь он умеет гораздо больше своего стационарного предка: и температуру может измерить, и высоту над уровнем моря подсказать, и влажность воздуха определить, а если вдруг забудешь свою ориентацию в пространстве или силу тяжести потеряешь — все исправит. А помогают ему в этом, как ты уже, наверное, догадался, датчики aka сенсоры. Сегодня мы познакомимся с ними поближе, а заодно и проверим, действительно ли мы находимся на Земле. ;)

Xakep #219

WWW: EasyEDA и Circuit Simulator — сервисы, которые помогут тебе с разработкой электронных схем

Если тебя временами тянет изучать электронику, то, помимо учебников и готовых конструкторов, тебе в этом деле немало помогут программы-симуляторы. В них ты сможешь собрать схему и посмотреть, как через нее пойдет ток и как изменятся его характеристики, когда он будет проходить через разные компоненты.

Для подписчиков

EXPLOIT: выполнение произвольного кода в SquirrelMail <= 1.4.23 (видео)

Уязвимость существует из-за недостаточно серьезной фильтрации адреса получателя почты. Если SquirrelMail настроен на работу в связке с sendmail, то злоумышленник, отправив специально сформированное письмо, сможет выполнить произвольный код на целевой системе.

Xakep #219

BOINC к бою! Премудрости распределенных вычислений на личном примере

В 2012 году я скачал программу BOINC, зарегистрировался в паре проектов, и с тех пор свободные вычислительные ресурсы моего компьютера потихоньку приносят пользу обществу. О том, что и как считают распределенно, читай в статье «Вычисления на дому» в этом номере, а здесь я расскажу о своем скромном опыте и о разных тонкостях настройки и работы BOINC.

Xakep #219

HOW-TO: Как сделать первоначальную настройку серверного RAID (на примере сервера Lenovo)

Настройка RAID — стандартная процедура для новых серверов. Если ты не работаешь в дата-центре или в какой-нибудь крупной компании-интеграторе, то чаще всего тебе придется сталкиваться с уже настроенными массивами. Но случается и так, что в руки попадает новенький сервер, который требует первоначальной настройки. Мне, к примеру, достался Lenovo x3650 M4. Сейчас на его примере посмотрим, как настроить RAID 10 из восьми жестких дисков.

Для подписчиков

Прокачиваем стоковую прошивку Samsung: получаем root, ставим твики, меняем интерфейс

Прошивки смартфонов Samsung нашпигованы огромным количеством функций и настроек. Однако некоторые из них скрыты, а многие полезные возможности кастомных прошивок в них просто недоступны. К тому же прошивка содержит массу дополнительного софта, который висит в памяти и удалить который невозможно. В этой статье мы расскажем, как расширить функциональность стоковой прошивки и подчистить ее от хлама.

Спецпроект

Выносливый виртуальный сервер. Обзор VPS от 1cloud

Мы продолжаем рассказывать о различных виртуальных серверах, и сегодня настал черед протестировать услугу виртуального сервера 1cloud.ru. Забегая вперед, скажу, чем отличился этот продукт: он с запасом выдержал нагрузку в 1500 одновременных соединений. Но обо всем по порядку.

Xakep #218

HOW-TO: Четыре не самых известных редактора кода для разработчиков

Писать код можно и в обычном блокноте, но подсветка синтаксиса, автоматические отступы и автодополнение — это те вещи, ради которых стоит переходить на специализированный редактор. Об Atom и Sublime Text (не говоря про Vim и Emacs) ты, разумеется, знаешь, так что напомню о нескольких менее известных (и при этом бесплатных) редакторах.

Xakep #219

Центр интернета вещей: подключаем Arduino к Azure IoT Hub

В прошлом году компания Microsoft анонсировала облачный бэкенд для управления умными приборами и интегрированной электроникой. Azure IoT Hub позволяет с минимумом программирования настраивать взаимодействие между устройствами и встраивать его в свои проекты на основе Azure. Чтобы посмотреть, как это работает, мы разберем простую задачу — отправку в облако показаний датчика, подключенного к контроллеру Arduino.

Для подписчиков

Большой FAQ по перехвату мобильной связи: IMSI-кетчеры и как от них защититься

Наверное, даже домохозяйки знают, что публичные точки Wi-Fi небезопасны. Что не мешает рядовым юзерам вовсю ими пользоваться — ведь если нельзя, но скучно и очень хочется, то можно! И без всякого VPN — хотя функцию VPN теперь внедряют даже в комплексные антивирусные продукты. Здоровой альтернативой Wi-Fi всегда считалось обычное мобильное подключение, тем более что с каждым годом оно становится все дешевле, а скорость его все выше. Но так ли оно безопасно, как нам кажется? В этой статье мы решили собрать основные вопросы и ответы, посвященные перехвату мобильных данных, и определиться, стоит ли его опасаться обычному, далекому от сокровенных тайн пользователю.

Работа для линуксоида. Сотрудники Virtuozzo о себе и о том, чего ждут от кандидатов

Компания Virtuozzo — разработчик гиперконвергентной платформы, в основе которой лежат технологии виртуализации и хранения данных. Мы поговорили с менеджерами компании, чтобы узнать, кто и как разрабатывает такие решения в России, а также рассказать читателю о том, что нужно, чтобы пойти работать в такую фирму.

Для подписчиков

Условно-бесплатные антивирусы против WannaCry! Тестируем творения IObit, Ashampoo, BullGuard и Emsisoft

Мы как-то поспорили, что больше мешает рядовому пользователю: всевозможные вирусы или современные антивирусы? Вопрос остался открытым, но те и другие сейчас множатся с удивительной скоростью. Посмотрим, чем нас порадует очередной антивирусный квартет и сможет ли он противостоять шифровальщику WannaCry.

Страница 1 из 24312345 102030...
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
4590 р.
на год
490 р.
на месяц
90 р.
за 1 статью

Еженедельный ][-дайджест

Реклама на «Хакере»

Корпоративная подписка

Для подписчиков

Хочешь годовую подписку в подарок?

Каждую неделю, вместе с дайджестом актуальных хакерских трендов, ты можешь получить один из 1000+ еженедельных кодов на скидку от 10 до 50% или один из 5 промокодов на бесплатную годовую подписку на «Хакер»

Данные участников не передаются третьим лицам