Главная Статьи

Статьи

Xakep #245

Разгоняем микроконтроллер. Как я выжал 620 МГц из совместимой с Arduino платы

Производительности всегда не хватает. Иногда проблему можно решить, просто обновившись до топового железа, но если и его вдруг оказалось недостаточно — дальше остается только разгон. Такая соблазнительная возможность, что едва ли стоит ей сопротивляться!

Xakep #245

Голые факты. Как нейросеть DeepNude раздевает женщин на фото

DeepNude — приложение, умеющее бесстыдно раздевать на фото представительниц прекрасного пола — взорвало интернет в минувшем июне. Этот проект использует в своей работе адскую смесь из нейросетей, искусственного интеллекта и полового инстинкта.

Xakep #244

Второй раунд. Девять новых атак по обходным каналам на основе уязвимостей кеша

С момента публикации первого обзора подобного рода атак поборники добра сумели разработать эффективные меры защиты. Однако темная сторона силы тоже оттачивала свое мастерство. Какие новые техники они изобрели и почему атакующие разделились на два лагеря — читай об этом в моем новом материале.

Безопасность в облаках. Изучаем безопасность облачных сервисов на примере инфраструктуры Яндекса

Существует несколько методов построения корпоративной IT-инфраструктуры. Развертывание всех ресурсов и сервисов на базе облачной платформы — лишь один из них. Однако преградой на этом пути часто становятся предрассудки, касающиеся безопасности облачных решений. В этой статье мы разберемся, как устроена система безопасности в облаке одного из самых известных российских провайдеров — Яндекса.

Xakep #245

Полет в стратосферу. Ломаем Struts через Action-приложение и мастерим Forward Shell

В этой статье я покажу, как получить рут на виртуалке Stratosphere с CTF-площадки [Hack The Box](https://www.hackthebox.eu/). На этот раз мы повоюем с фреймворком Apache Struts для получения RCE, рассмотрим в действии редко обсуждаемую, но очень полезную концепцию получения удаленной сессии Forward Shell, а также поиграем с угоном библиотеки и эксплуатацией функции `eval()` для скрипта на Python.

Xakep #244
ВзломХардкор

Аппаратный CTF. Легкий способ узнать ключ шифрования, когда у тебя под рукой осциллограф и ноутбук

Хардварные crackme в этом сезоне снова набирают популярность. Их полюбили организаторы профильных конференций, и они все чаще встречаются в тематических конкурсах. В этой статье мы разберем один из реальных прошлогодних примеров и заодно узнаем, как выглядит атака по энергопотреблению на ключ шифрования устройства.

Xakep #244

Стальная Киса. Защищаем сетевой периметр на оборудовании Cisco

Защита своей территории — один из сильнейших природных инстинктов. Животные используют для этого клыки, рога и когти, а сисадмины — правильную настройку софта и железа для предотвращения сетевых атак. Сегодня мы рассмотрим наиболее популярные виды таких вторжений и разберем методы защиты от них на примере операционной системы Cisco IOS.

Xakep #245

Роботизируем SMM. Как научить нейросеть предсказывать успешность постов в соцсети

Можно ли спрогнозировать, будет публикация успешной? Я написал программу, которая автоматически берет текст поста, проверяет его с помощью нейронной сети и публикует только в том случае, если вероятность получить одобрение аудитории достаточно высока.

Xakep #245

Программы без рекламы. Используем VPN и Unbound, чтобы убрать баннеры из приложений

Недавно я купил телефон Xiaomi и всем был доволен, кроме рекламы в фирменных приложениях. Да, есть функция, которая ее должна отключать, но полностью от нее не избавиться. Поэтому я почти не использую телефон для просмотра сайтов, ведь в мобильных браузерах вообще нельзя установить блокираторы рекламы.

Xakep #244

Потрошим Carbanak. Как изнутри устроен известный банковский троян

Банковские трояны ежегодно наносят ущерб на миллионы долларов. Вирмейкеры стараются держать все, что связано с внутренней кухней банкеров, в глубочайшей тайне. Поэтому мы никак не могли упустить уникальное событие — попадание исходников банковского троя Carbanak в паблик — и принялись исследовать его устройство изнутри.

Xakep #245
КодингДля начинающих

Hey Julia! Новый язык, который выглядит, как Python, а летает, как C

Julia — молодой язык программирования, предназначенный преимущественно для научных вычислений. Его создатели хотели, чтобы он занял нишу, которую прежде занимали Matlab, его клоны и R. Создатели пытались решить так называемую проблему двух языков: совместить удобство R и Python и производительность C. Посмотрим, что у них получилось.

Xakep #244

Почти single sign on. Используем системную аутентификацию с сокетами UNIX

В мире веб-приложений протоколы для SSO широко распространены и легко реализуемы. Ряд популярных приложений, к примеру консольный клиент PostgreSQL (psql), предоставляют такую возможность для локальных подключений через сокеты UNIX. В этой статье мы рассмотрим, как это сделать с помощью опции SO_PEERCRED.

Xakep #244
ВзломДля начинающих

Обходные пути. Как атаки по сторонним каналам позволяют выкрадывать данные и обходить шифрование

Все техники взлома криптографических систем разделяют на две большие группы: использующие недостатки самих алгоритмов шифрования и их физических реализаций. В этой статье мы рассмотрим последние, которые называют SCA (side-channel attacks) — атаки по сторонним (или побочным) каналам.

Xakep #244

MEGANews. Самые важные события в мире инфосека за июль

В этом месяце: крупные компании получают миллиардные штрафы; даже на порносайтах невозможно спрятаться от слежки; Россия поставила рекорд по количеству пользователей Tor; взлом подрядчика ФСБ привел к утечке данных; для проблемы BlueKeep появился коммерческий эксплоит; Стив Возняк в очередной раз призвал пользователей отказаться от Facebook. А также другие интересные события июля.

Xakep #244
ВзломХардкор

Необычный вектор. Налаживаем скрытые коммуникации между процессами в чипах Intel

Системные программисты любят обсуждать извечный вопрос: как двум процессам лучше всего наладить взаимодействие? Можно ли избежать посредника в виде операционной системы? Оказывается, можно: достаточно только спуститься на уровень ниже, к аппаратной части, и поискать решение среди векторных регистров процессора.

Xakep #244

Android: скрываемся от троянов и готовимся к Android Q

Сегодня в выпуске: скрываем приложение от троянов, боремся с утечками памяти, создаем неубиваемый сервис, работаем с сенсорами температуры, отлаживаем приложение прямо на устройстве и готовим свое приложение к ограничениям Android Q. А также: подборка первоклассных инструментов пентестера и библиотек для разработчиков.

Некромакинтош. Ставим Linux на старинный iBook, чтобы вдохнуть в него жизнь

Старому макбуку с процессором PowerPC можно найти массу достойных применений. Например, им очень удобно колоть орехи. Древний PowerBook отлично сгодится в качестве подпорки под мебель или украшения интерьера. А еще в него можно вдохнуть новую жизнь, для чего нам понадобится пара свободных вечеров, немного черной магии и, конечно же, эта статья в качестве источника вдохновения.

Xakep #244
ВзломХардкор

Отправляем команды. Как заставить популярный серверный почтовик выполнять произвольный код

В этой статье я расскажу об уязвимости в агенте пересылки сообщений Exim. Найденная брешь позволяет атакующему выполнить произвольный код на целевой системе, что само по себе очень опасно, а если Exim был запущен от рута, то успешная эксплуатация позволяет получить максимальный контроль над системой.

Xakep #244

Загадочный Forth. Знакомимся с одним из важнейших языков программирования, о котором мало кто знает

Forth применяют в самых разных областях, включая чипсеты PCI и космические аппараты, а Павел Дуров будет использовать схожий язык в смарт-контрактах криптовалюты TON. Не претерпев больших изменений, один из старейших языков программирования позволяет воплотить многие современные парадигмы. Так что же такое этот загадочный Forth?

Xakep #244

Магия iptables. Необычные виды преобразований сетевых адресов

Настраивать проброс портов и общий доступ к интернету через один публичный адрес умеют все, но не все знают, что возможности NAT в netfilter гораздо шире. Сегодня я продемонстрирую тебе эти возможности с помощью синтаксиса команды iptables.

Xakep #244

Изучаем ПЛК. Краткий гайд по поиску уязвимостей в промышленных контроллерах

Если ты думаешь, что контроллеры, которые ставят в зданиях и на заводах, защищены намного лучше, чем домашние гаджеты, то эта статья тебя разубедит. Я возьму девайс под названием Linx-150 и на его примере покажу, как работать с ПЛК на Linux. По этой схеме ты сможешь повторить исследование с любым другим устройством.

Xakep #244

Исходный кот. Как заставить нейронную сеть ошибиться

Нейросети теперь повсюду, и распознавание объектов на картинках — это одно из самых популярных применений. Но что, если ты не хочешь, чтобы объекты на твоей картинке распознали? Для этого придуманы обманные методы, которые обращают нейросети против них самих, и пользоваться ими легче легкого.

Xakep #244

Криптуем по-крупному. Разбираемся с режимом гаммирования из ГОСТ 34.13—2015

Режим гаммирования, в отличие от режима простой замены, позволяет шифровать сообщения произвольной длины без применения операции дополнения (паддинга). Сегодня мы поговорим о том, как реализуется такой режим, и напишем все необходимые для его реализации функции.

Xakep #244

Проект Red Team: роли и области экспертизы. Колонка Дениса Макрушина

Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной реализации kill chain и демонстрации результатов.

Xakep #243

О чем пишет (и не пишет) «Хакер». Колонка главреда

Еще один месяц позади, а это значит, ваш почти что новый главный редактор должен сесть и сочинить еще одну колонку — как и обещал. Справится ли он с задачей? Какие темные секреты редакции он раскроет? Сколько раз он отвлечется, чтобы решить дела государственной важности или почитать «Твиттер»? Сейчас узнаем!

Xakep #244
ВзломХардкор

Великий пакостник. Пробираемся через дебри IPv6 к root-флагу виртуалки с Hack The Box

В этой статье я покажу, как получить права суперпользователя на виртуальной машине Mischief с CTF-площадки Hack The Box. Этот забег даст нам навыки работы с протоколом SNMP, приоткроет завесу тайны IPv6-маршрутизации, поможет разобраться с механизмом распределения прав доступа ACL, а под занавес мы построим и протестируем полноценный ICMP-шелл на Python.

Xakep #244
ТрюкиДля начинающих

Основы цифровой схемотехники. Собираем сумматор с ускоренным переносом из дискретных микросхем

Говорят, древние программисты собирали свои компьютеры самостоятельно, уверенно обращались с паяльником и знали ассемблер. Но потом эти умения были безвозвратно погребены под слоями абстракции, и теперь каждый программер — специалист в узкой области. Так зачем тебе схемотехника, если ты не работаешь с железом? Попробую показать на примере.

Xakep #244

Часы наизнанку. Извлекаем и анализируем данные Apple Watch

Apple Watch — одна из самых популярных в мире марок умных часов. Последняя их версия оснащена полным набором датчиков и процессором, мощность которого превосходит бюджетные (и даже не очень бюджетные) модели смартфонов. При помощи часов Apple собирает огромные массивы данных. Что происходит с этими данными, где они хранятся и как их извлечь? Попробуем разобраться.

Xakep #244

IBM X-Force Red. Как красная команда IBM проверяет организации на прочность

У моего сына как-то спросили в школе: «Кем работает твоя мама?» Он сказал — медсестрой. А когда спросили про папу, он ответил: «Мой папа крадет вещи, но это нормально, потому что ему за это платят!» Как видите, работать в красной команде — это не самая обыкновенная карьера. Я расскажу о том, как пришел к ней, с самого начала, и это объяснит многое из того, чем мы занимаемся.

Xakep #244

Постпостапокалипсис. Все самое интересное с конференции Offzone 2019

17 и 18 июня Москва принимала уже вторую международную конференцию по кибербезопасности Offzone. Шесть треков докладов, одиннадцать зон с активностями, 68 экспертов из Европы, Азии и Америки, 1600 участников — мы расскажем тебе, как это было.

Xakep #244

Физика нереального мира. Школьная программа на страже современного 3D

За последние несколько лет трехмерная графика сделала большой скачок в развитии: качество и реалистичность созданных компьютером изображений достигли высокого уровня, а популярность VR бьет все рекорды. Но революция в мире компьютерной графики только началась — речь о появлении технологий рейтрейсинга в реальном времени.

Xakep #244

Осторожно, мошенники! Как угоняют каналы в Telegram и что с этим делать

В июне сообщество администраторов в Telegram захлестнула волна воровства каналов. Аккаунты мошенников разные, но почерк один — покупка канала и предварительный созвон в Skype. Чем новый способ отличается от прежних и как обезопасить себя? Сейчас расскажу.

Xakep #243

Обороняем порт. Как защитить инфраструктуру на Docker минимальными силами

Docker — прекрасная вещь, которая может экономить массу сил и времени. В этой статье мы поговорим о том, как использовать Docker максимально безопасно и отлавливать потенциальные угрозы заранее. Также ты найдешь здесь готовые рекомендации, команды и инструменты, которые легко использовать в своем проекте.

Xakep #243

You CAN. Превращаем телефон в панель приборов автомобиля

На смену классическим автомобильным приборам приходят цифровые панели. Наверное, самая популярная машина с такой панелью — это Tesla с ее внушительным сенсорным дисплеем, но в бюджетных авто используются те же электронные блоки. Информацию с них можно считать и показать. Сегодня мы попробуем это сделать, вооружившись Arduino и Raspberry Pi.

Xakep #243

3D-сканирование без 3D-сканера. Как получить трехмерную модель при помощи смартфона

Как и у любого человека, увлекающегося 3D-печатью, у меня периодически возникает необходимость превратить какой-нибудь материальный предмет в виртуальную объемную модель. Казалось бы, решение проблемы — 3D-сканер, но он не всегда имеется под рукой. Можно ли обойтись без него? Оказывается, можно: вполне достаточно обычной цифровой фотокамеры или смартфона.

Xakep #243

MEGANews. Самые важные события в мире инфосека за июнь

В этом месяце: шифровальщик GandCrab прекратил работу; новый Raspberry Pi 4 почти не уступает десктопам по производительности; Роскомнадзор готовит административное дело против Google; свежая уязвимость в Exim уже находится под атаками, а уязвимости в Firefox использовали против сотрудников Coinbase; стало известно, что западные спецслужбы пытались взломать компанию Яндекс. И еще много интересного!

Реклама

DistKontrolUSB-64. Как работает USB over IP концентратор на 64 порта

Перед ИТ-отделом любой крупной компании рано или поздно встает проблема USB-ключей, которые требует для работы разное серьезное ПО вроде бухгалтерских систем и клиентских приложений банков. Для решения этой задачи существует «ДистКонтрол» — управляемый USB over IP концентратор DistKontrolUSB, созданный отечественным разработчиком и протестированный нами.

Xakep #243

Кибервойны персидского залива. Как иранские хакеры обратили интернет против его создателей

Есть как минимум три хакерские группы, явно действующие в интересах правительства Ирана. Они регулярно атакуют сети крупных компаний США и их партнеров на Ближнем Востоке, нанося чувствительный урон противнику его же оружием. Давай рассмотрим подробнее их инструментарий и общую стратегию.

Реклама

PRTG — универсальный инструмент мониторинга ИТ

Грамотно настроенный мониторинг способен сэкономить массу времени и системному администратору, и другим сотрудникам компании, включая руководство. В этой статье мы познакомим тебя с системой мониторинга PRTG, которая контролирует состояние устройств и приложений в сети.

Железные волки. Тестируем накопители IronWolf для NAS

Объем данных, генерируемых человечеством, растет ежегодно в геометрической прогрессии: если к настоящему моменту общее количество информации составляет 35 Збайт, то к 2025 году это число уже будет порядка 175 Збайт. Растут и личные залежи данных, и, если ты не доверяешь облачным хранилищам, то твой выбор — это NAS.

Страница 1 из 25912345 102030...
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
7690 р.
на год
720 р.
на месяц
90 р.
за 1 статью

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook

Еженедельный дайджест

Статьи для подписчиков