Как стартовал Nginx. Игорь Сысоев о разработке знаменитого веб-сервера
12 декабря 2019 года в московском офисе разработчиков Nginx прошел неожиданный обыск, о котором вначале стало известно благодаря опубликованному в…
2 дня назад
Статьи
Антивирусные будни. Как аналитики Avast детектируют новые угрозы
В конце октября компания Avast провела мероприятие CyberSec & AI в штаб-квартире компании в Праге. Я посетил это мероприятие и…
3 дня назад
KRACK на практике. Как работает атака на Wi-Fi с применением нашумевшей техники
Осенью 2017 года мир узнал о новой угрозе безопасности сетей Wi-Fi. Она затрагивает абсолютно все устройства и программные платформы. Каким…
4 дня назад
Спаси и сохрани! Сравниваем популярные программы для резервного копирования
«Полетел диск» — это всегда событие. Если оно происходит в небе при большом стечении народа, впору ждать репортажей по телевидению…
5 дней назад
DistKontrolUSB-64. Как мы внедряли централизованную систему хранения USB-ключей
В процессе реорганизации ИТ-инфраструктуры нашей компании возникло множество проблем, но об одной хотелось бы рассказать отдельно — это вопрос централизованного…
6 дней назад
APT в Avast. CISO Avast Джайла Балу об атаке на компанию и о сложностях хорошей безопасности
Джайла Балу еще не успела заступить на пост CISO компании Avast, оставив аналогичную должность в телеком-операторе KPN, как ей пришлось…
6 дней назад
Дырявые диски. Эксплуатируем уязвимости в сетевых хранилищах Synology
Защита данных, приватность и соответствие нормам безопасного хранения информации — то, над чем работают практически все производители средств хранения информации.…
06.12.2019
Как подчинить конфиг. Учимся эксплуатировать новую уязвимость в PHP-FPM и Nginx
Недавно мои коллеги обнаружили опасную уязвимость в связке из Nginx и PHP-FPM, которая нередко встречается на веб-серверах. Созданный ими эксплоит…
05.12.2019
Отравленные документы. Как использовать самые опасные баги в Microsoft Office за последнее время
Непропатченный Office — по-прежнему бич корпоративной безопасности и путь на компьютер пользователя: человек открывает документ и сам дает преступнику (или…
04.12.2019
MEGANews. Самые важные события в мире инфосека за ноябрь
В этом месяце: из-за экспериментов разработчиков Chrome у компаний перестали работать браузеры, официальный сайт Monero и биржу Upbit взломали, процессорам…
03.12.2019
Посмотри в глаза малвари. Гайд по работе с вредоносными файлами для новичков
Если ты когда-нибудь сталкивался с вирусом, то наверняка помнишь, что впечатления не из приятных. Но есть способы поймать и препарировать…
02.12.2019
Android: доступ к скрытым методам и обнаружение root
Сегодня в выпуске: обход защиты на доступ к скрытым методам, обнаружение прав root в обход Magisk Hide, рассказ о том,…
29.11.2019
Всех айфонов командир. Автоматизируем работу в iOS 13 с помощью «Команд»
После успешного обновления моего iPhone до iOS 13 я обратил внимание на новый значок, появившийся на главном экране телефона, —…
28.11.2019
Как маркетологи убили Android. Колонка Евгения Зобнина
Наверное, все пользователи и разработчики уже заметили, в какую сторону движется развитие Android. Присущие ОС открытость и широкие возможности медленно…
27.11.2019
Взламываем ESP32 раз и навсегда. Извлечение ключей флеш-шифрования и безопасной загрузки
Свое масштабное исследование микроконтроллера ESP32 я закончил изучением двух его важнейших функций: безопасной загрузки (Secure Boot) и флеш-шифрования (Flash Encryption).…
26.11.2019
Глубокий в-DoH. Разбираемся, как работает DNS over HTTPS и кому (не) выгодно его внедрение
Технология DoH (DNS поверх HTTPS) обещает пользователям повышение безопасности и приватности. В Firefox она уже включена по умолчанию, в Chrome…
25.11.2019
Вскрытая камера. Как искать уязвимости в «умных» гаджетах на примере популярной IP-камеры
За последние несколько лет все чаще обсуждается проблема безопасности домашних гаджетов. Этичные хакеры тоже исследуют все больше девайсов — обычно…
22.11.2019
Шах и мат! Как устроен нашумевший эксплоит checkm8 и как им воспользоваться
До недавнего времени джейлбрейка для iOS 13 не существовало. Точнее, до тех пор, пока хакер axi0mX не обнаружил уязвимость checkm8…
21.11.2019
В королевстве PWN. Атака ret2bss, криптооракулы и реверс-инжиниринг на виртуалке Smasher с Hack The Box
В этой статье тебя ждут: низкоуровневая эксплуатация веб-сервера со срывом стека и генерацией шелл-кода на лету с помощью древней магии…
20.11.2019
Блиц-интервью: Алексей Лукацкий о построении защиты, «Гидре» и формуле взлома
Алексей Лукацкий — именитый эксперт в области ИБ, а также владелец самой узнаваемой шляпы в российском инфосек-сообществе. Не исключено, что…
19.11.2019
История с кодовым замком. Как я разработал задание на схемотехнику для стенда «Хакера» на ZeroNights
12 и 13 ноября в Санкт-Петербурге проходила ежегодная международная конференция по практической информационной безопасности ZeroNights 2019. В этот раз на…
19.11.2019
Неинновационные инновации. Откуда растут корни технологий Apple
Тройная камера, умный режим HDR, «ночной режим» Night Shift, True Tone, Liquid Retina Display и многое другое в свое время…
18.11.2019
Туннель во времени. Выводим данные с компьютера через Network Time Protocol
Любая возможность незаметно обращаться к внешнему миру с хоста внутри защищенной сети — драгоценная находка для пентестера. Один из последних…
15.11.2019
Волшебные «пальчики». Как работают механизмы биометрической авторизации по отпечатку пальца
Больше ста лет назад человечество научилось устанавливать личность по отпечаткам пальцев. Теперь эта технология используется в каждом втором телефоне и…
14.11.2019
Разбираем Loki-Bot. Как устроены механизмы антиотладки банковского трояна
Исследовать малварь не только весело, но и крайне познавательно. Недавно в мои цепкие руки попал банковский троян LOKI-bot. Подобные вредоносы…
13.11.2019
Malware vs WordPress. Проверяем защитные плагины в боевых условиях
Wordpress — одна из самых распространенных систем управления сайтом и поэтому вызывает пристальный интерес у вирусописателей и взломщиков всех мастей.…
12.11.2019
Корпоративный КоПИРАТ. О конфликтах между работодателями и сотрудниками по исключительным правам
Программисты, меняя компанию-нанимателя, порой уносят с собой из старого офиса не только авторучку или любимую кружку с корпоративной символикой, но…
11.11.2019
Блиц-интервью: Омар Ганиев (beched) о хакерском опыте и участии в CTF
Сегодня у нас в гостях человек, который силен одновременно в CTF и вольной борьбе, участник команды LC↯BC, входящей в мировой…
08.11.2019
Лазейка в Webmin. Как работает бэкдор в панели управления сервером
В популярной панели управления сервером Webmin обнаружилась уязвимость, которая больше всего похожа на оставленную кем-то закладку. Атакующий в результате может…
08.11.2019
Call Detail Record. Как полиция вычисляет преступников без сложной техники
Представь себе такую ситуацию: неизвестный звонит с одноразового телефона и требует выкуп за похищенного им человека. На следующий день преступник…
07.11.2019
Контроль действий пользователей СУБД на всех сегментах сети
Как показывает практика последних месяцев, наиболее распространенные случаи утечек данных в финансовой отрасли — последствия выгрузок из корпоративных баз данных,…
07.11.2019
Удаленный аккаунт? Новый способ обмануть гарантов сделок в Telegram
Далеко не каждый «удаленный аккаунт» в Telegram действительно удален. Часто их используют, чтобы обмануть либо покупателя канала, либо продавца. Но…
06.11.2019
Сисадмин против системы. О чем Эдвард Сноуден написал в автобиографии Permanent Record
Знаменитый разоблачитель американской системы глобальной слежки Эдвард Сноуден написал автобиографию, которая уже успела стать бестселлером. Правительство США подало на него…
05.11.2019
MEGANews. Самые важные события в мире инфосека за октябрь
В этом месяце: Facebook судится с NSO Group, эксперты отмечают падение пиратского рынка после закрытия CDN Moonwalk, Apple обвиняют в…
01.11.2019
Полезный демон. Как перестать бояться systemd и сделать свой сервис для Linux
Несмотря на множество проблем и противоречивые чувства пользователей, systemd уже стал стандартом де-факто в большинстве дистрибутивов Linux. С его помощью…
31.10.2019
RusDate — сервис знакомств для тех, кто ищет любовь и серьезные отношения
Неважно, насколько ты крутой хакер или кодер, сколько языков программирования знаешь и каким текстовым редактором пользуешься. В вопросах обустройства личной…
31.10.2019
Android: Бэкдор в смартфонах Huawei и особенности реaлизации TrustZone в Samsung
Сегодня в выпуске: бэкдор в смартфонах Huawei, исследование устройства защищенной среды исполнения в смартфонах Samsung, простой и надежный способ зашифровать…
30.10.2019
Как сломать яблоко. Пошаговая инструкция по джейлбрейку iOS 12
Спору нет: айфон — очень удобный аппарат, особенно для тех, кто без оглядки переехал в страну Apple. Но есть в…
29.10.2019
Комбайн для фишинга. Как Evilginx 2 используют для кражи аккаунтов
В этой статье мы изучим, как работает реверс-прокси Evilginx 2, и на примере Instagram посмотрим, как с его помощью уводят…
28.10.2019
Основы цифровой схемотехники. Как логические элементы образуют биты памяти в твоем компьютере
То, что компьютеры могут хранить информацию в памяти, мы давно принимаем за данность, но знаешь ли ты, как именно эта…
25.10.2019