Главная Статьи (страница 30)

Статьи

Xakep #197

Назад в будущее. Колонка Евгения Зобнина

У меня есть больше десятка различных Android-гаджетов, начиная от умных часов и заканчивая телевизионной приставкой. Как минимум пять я использую постоянно, и три из них — смартфоны. В их числе — Motorola Defy, древний смартфон, который я до сих пор ценю за его ударопрочность, влагостойкость и отличную эргономику, по которой с ним не сравнится даже iPhone. И, юзая этот весьма ограниченный в плане производительности и размера девайс наравне с современными «лопатами», я понял, насколько современный мир мобильных устройств ушел от стандартов удобства, заложенных в 2008–2009 годах.

Большой Брат: обзор системы обнаружения вторжений Bro

Систем обнаружения вторжений сейчас существует великое множество. Какие-то из них более известны, какие-то менее. Одни предназначены для маленьких сетей, другие для крупных корпораций. Чаще всего в контексте IDS вспоминают Snort, однако это не единственная свободная система подобного рода. Одну из альтернатив, Bro, мы и опишем.

Эпическая мышь: обзор топового игрового комплекта Razer

В прошлом номере, рассказывая о компьютерной мыши для любителей MMO-игр Razer Naga 2014, мы упомянули, что у нее есть и старшая сестра Epic Chroma, которую отличает беспроводной интерфейс и настраиваемая разноцветная подсветка. Теперь настал черед топовой модели — Razer Naga Epic Chroma вобрала в себя все последние достижения компании. Вместе с ней в нашу редакцию поступил и весьма необычный разборный коврик под названием Razer Invicta, имеющий две рабочие поверхности.

Xakep #197

День сурка. Осваиваем сетевую IDS/IPS Suricata

Snort уже давно стал лидером среди опенсорсных сетевых IDS. Оставаясь практически единственным доступным и в то же время простым в настройке и работе решением, он получил заслуженное признание. Но в последнее время все больше стали говорить об альтернативе — проекте Suricata, в котором реализуются все современные тенденции IDS/IPS.

Xakep #197

«Принцесса Джесси»: обзор Debian 8

Релизы Debian выходят хоть и чаще RHEL, но его манера выпуска одного релиза раз в два года по меркам большинства других дистрибутивов выглядит достаточно консервативно. Не так давно вышла восьмая его версия. Пришло время узнать, что же нового приготовили нам разработчики одного из старейших дистрибутивов Linux.

Типовые ошибки, активно эксплуатируемые в рамках внутреннего пентеста

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

Xakep #197

Easy Hack #197. Хакерские секреты простых вещей

Так получилось, что в Easy Hack мы ни разу не касались темы веб-приложений Microsoft. Настало время исправиться и вспомнить ряд проблем, типичных для ASP.NET. Также судьба преподнесла нам еще одну тему про SOP и Flash и пару вариаций на тему NTLM-релеев. Давай посмотрим.

Xakep #197

Что можно сделать с системой с помощью прав root в SqLite?

SQLite — очень популярное решение хранения данных, и операционная система Android не исключение. Сама система и многие программы используют для хранения информации базы данных - файлы с расширением db. Какие именно данные содержатся в базах, как их посмотреть, что с ними можно сделать и чем это грозит устройству с правами суперпользователя — обо всем этом я расскажу в статье.

Xakep #197

Золотая середина. Обзор инструментов для проведения MITM-атак

Добиваться желаемого результата почти всегда можно несколькими способами. Это применимо и к области ИБ. Иногда для достижения цели можно брутить, самостоятельно искать дыры и разрабатывать сплоиты или же прислушаться к тому, что передается по сети. Причем последний вариант зачастую бывает оптимальным. Именно поэтому сегодня мы поговорим об инструментах, которые помогут вылавливать ценную для нас информацию из сетевого трафика, привлекая для этого MITM-атаки.

Карманный софт. Выпуск #8: анализируем APK

Приветствую тебя, читатель! В этот раз мы решили немного отойти от привычного формата и вместо софта конкретно для мобильников рассказать тебе о софте для изучения софта для мобильников. Именно так, дело не в грамотности, а в смысле. Итак, в этом выпуске: швейцарский армейский нож для статического анализа приложений, IDEA-плагин для изучения smali-кода приложений, мощный инструмент деобфускации и приложение для анализа Android-софта от Sony Mobile. Как обычно, приятного чтения, и не забывай присылать идеи для обзоров.

Академия C++ #7. Обработка максимальных объемов данных за минимальное время

Чего только не услышишь от апологетов тех же Java или C# про разработку на C/C++! Якобы этот язык устарел и на нем никто не пишет. Вот только когда требуется создать no latency или low latency сервис или нужно сэкономить память и время выполнения узкого места обработки больших объемов данных, то тут же прибегают за помощью к «архаичным» разработчикам на C/C++. Просто потому, что эти ребята умеют вручную управлять памятью и прекрасно представляют, что за начинка у той или иной высокоуровневой операции. Сегодня наша задача — стать на шаг ближе к этим ребятам.

Xakep #197

Повелитель ботов на Android. Восстанавливаем забытые пароли по локальной сети

Объяснять сегодня, что такое бот и ботнет, вряд ли кому-нибудь нужно. Тем не менее бот — всего лишь программа, выполняющая автоматически какие-либо действия. Сегодня мы поддержим светлую сторону силы и соорудим небольшой бот и центр управления им на смартфоне. Наш бот будет помогать вполне земным людям восстанавливать забытые пароли. Ведь как оно часто бывает: хеш есть, а пароля с ним нет...

Xakep #197

][-тестирование: самый скоростной internet security

В первой части статьи были рассмотрены следующие IS: KIS, Dr.Web Security Space, Avira Antivirus Pro, Avast Internet Security, NOD32 Smart Security и Comodo Internet Security. В этой статье список «подопытных кроликов» будет несколько другим, а именно: McAfee Total Protection, Microsoft Security Essentials, Outpost Security Suite и Symantec Endpoint Protection 12.1.5. Кроме этих новых IS, в тесте участвуют и старые знакомые — KIS и Avast Internet Security.

Xakep #197

Геотаргетинг для программиста. Что интересного могут рассказать бесплатные геоинформационные API

Географические координаты — самая ценная инфа, которую веб-разработчик может получить от посетителей сайта. Имея смекалку и зная пару приемчиков, можно многое выяснить о человеке по его местоположению: адрес, какие заведения есть неподалеку, фотографии, сделанные в его районе, на что жалуются соседи и глубину ближайшей реки.

Xakep #197

Аббревиатуры против вирмейкеров: WIM, CSRSS, EMET, CCMP, EFS, SEHOP, ASLR, KPP, UAC, DEP и еще кое-что

С древнейших времен (хорошо, что все они были на нашей памяти) айтишники обожают сокращения — как в бытовом (все эти AFK, BTW, AFAIK), так и в профессиональном общении. Поэтому иногда при чтении профессиональной литературы по безопасности мозг даже прилично подготовленного хакера может встать в позу речного скорпиона. Чтобы этого не произошло, мы подготовили для тебя статью, в которой разобрали несколько самых распространенных аббревиатур и акронимов (наш литературный редактор говорит, что это разные вещи, придется загуглить разницу), означающих нечто, осложняющее жизнь честному хакеру или вирмейкеру.

RSA Conference 2015. Отчет о крупнейшей мировой конференции по IT-безопасности

В то самое время, когда я собирался по приглашению компании EMC отправиться на RSA Security 2015, на другом конце мира примерно тем же занимался сотрудник компании CheckPoint Николай Л. Разница была лишь в мелочах — например, ему не нужно было готовиться к пятнадцатичасовому перелету из Москвы в Сан-Франциско, поскольку уже несколько лет он живет и работает в США. И не был бы Николай достоин совершенно никакого упоминания в рамках этой статьи, если бы не один нюанс: десяткам тысяч наших читателей, вольных айтишников и просто сторонним личностям уже лет двадцать пять он известен под именем Криса Касперски.

Xakep #197

Tor: полная деанонимизация. Фингерпринтим пользователей с помощью системы активного мониторинга и не только

Кто больше всего любит даркнеты? Кто трепетнее всех относится к Tor’у? Конечно же, мы, хакеры. Поэтому мы всегда очень расстраиваемся, когда в наших игровых площадках находятся баги, могущие привести к нашей полной деанонимизации. И ведь нам же, со слезами на глазах, приходится рассказывать о них широкой общественности! А что делать? Плачем, но пишем.

Уроки ядерной физики. Интервью с Франциско Франко, создателем кастомного Android-ядра franco.kernel

Франциско Франко (Francisco Franco) — весьма уважаемый в узких кругах Android-разработчик, известный в первую очередь как создатель кастомного ядра franco.kernel для смартфонов линейки Nexus и превосходного приложения для управления настройками ядра FKUpdater. В перерывах между кодингом ядра Франко занимается и кучей других проектов, поэтому его не так-то легко поймать, но нам он все-таки уделил время и ответил на несколько вопросов.

X-Tools #196. Софт для взлома и анализа безопасности

В этом выпуске я покажу тебе, какие инструменты используют реальные хакеры для обхода системы прав в Windows, взлома Android, атаки сетей и сайтов, проведения фишинговых email-рассылок, написания шеллкодов и кое-чего еще. Be cool, stay tuned!

Колонка Дениса Макрушина. Отчет о конференции Nullcon 2015

Идет третий месяц с завершения форума по практической информационной безопасности, который проходил в Индии. Сегодня я понимаю, что эта страна и это мероприятие навсегда останутся в моей памяти и памяти некоторых его участников. Здесь было все: погони, квадрокоптеры, падения с мотоциклов, индийский госпиталь, медитация и информационная безопасность.

Xakep #197

FileMaker Pro 14. Приложения iOS без единой строчки кода

Персональная СУБД FileMaker больше тридцати лет развивалась на платформе Apple и почти не уступает Microsoft Access по возможностям. Зато она имеет несколько любопытных особенностей, которые делают этот продукт доступнее для непрофессионалов и позволяют за минуты создать действующий прототип приложения для iPhone или iPad.

Карманный десктоп. Пробуем удаленный доступ на основе Parallels Access 2.5

Доступом к компьютеру с мобильного устройства нынче никого не удивишь, но Parallels Access выводит это упражнение на качественно новый уровень. Разработчики сделали все, чтобы маленький экран и тач-интерфейс не стали преградой для удаленного управления. Попробуем испытать на прочность этот мост между планшетом и десктопом.

Карманный софт. Выпуск #7: Jailbreak edition

Сегодня в выпуске: включаем многооконный режим на планшетах и лопатах, делаем функцию Reachability действительно удобной, вешаем на экран блокировки приложения и пробуем легендарный твик LockInfo для iOS 8.

Xakep #197

История великого библиотекаря. Как появилась AmigaOS и что с ней стало теперь

В 1985 году на уникальных компьютерах Commodore Amiga впервые загрузилась уникальная операционная система AmigaOS. Спустя десятилетия она продолжает свою жизнь в эмуляторах для современных персоналок, проектах компаний и независимых разработчиков. И главное, в сердцах армии ее поклонников.

Xakep #197

Походная аптечка сисадмина. Минимальный набор тулз

Каждому сисадмину приходится иногда обслуживать компьютеры знакомых или совершать надомные выезды. В этом деле ему помогает проверенный набор утилит. Наш обзор расскажет только о бесплатных, не требующих установки и ставших стандартом де-факто.

Xakep #197

Amazon под прицелом: добиваемся своего от техподдержки

Этот простой пример общения с пользовательской поддержкой Amazon демонстрирует, как злоумышленники могут эксплуатировать персональные, психологические, культурные и юридические уязвимости западной корпоративной системы.

Xakep #197

Cоцинженерия на практике. Как подготовить и провести социотехнический пентест

Атаки с использованием социальной инженерии нынче стали чем-то обыденным и традиционным — как распространение вирусов или SQL-инъекции. Злоумышленники используют их для хищения средств, атак класса Advanced Persistent Threat (APT) и высокоэффективного проникновения в корпоративную сеть, даже когда другие способы преодоления периметра не дают результатов. Пентестеры и этичные хакеры выполняют социотехнические проверки как в виде самостоятельных работ, так и в рамках комплексного тестирования на проникновение.

Xakep #197

Социальная разведка. Используем соцсети для сбора данных

В каждой статье по социальной инженерии обязательно упоминается необходимость собрать всю открытую информацию о компании и ее сотрудниках. Это может быть не только частью аудита безопасности, но и отдельной услугой — ее называют конкурентной разведкой. У разведчиков, конечно же, есть свои приемы и даже софт. Что немаловажно, работа с зарубежными целями имеет немало своей специфики. С нее и начнем.

Xakep #197

Социальная инженерия. Истории из практики именитых пентестеров

Со времен древнего человека развивались два способа получить нечто, принадлежащее другому: силой и обманом. Первый подход породил гонку вооружений, а второй — целый класс приемов работы на уровне подсознания. Сегодня они известны как социальная инженерия и успешно используются для НСД в компьютерных сетях любого уровня защиты. Доступные технологии меняются быстро, а люди и их привычки — нет.

Социальная инженерия как часть тестирования на проникновение

«Человеческий фактор» — одна из самых распространенных угроз информационной безопасности. Для снижения рисков, связанных с этим обстоятельством, используются различные технические и административные механизмы защиты. Один из них — повышение осведомленности в области ИБ. Сегодня мы с тобой поговорим о такой избитой, на первый взгляд, штуке, как социальная инженерия, а точнее — об услуге, основанной на ней.

FAQ #196. Отвечаем на ваши вопросы!

И очередной, сто девяносто шестой сборник наших ответов на ваши самые интересные вопросы, присланные в редакцию за месяц. Как обычно, куча полезных советов по ежедневным задачам, кодингу и администрированию. Хочешь задать свой вопрос? Пиши на faq@glc.ru! Welcome.

Parallels и Docker: «не только конкуренты»

Название Docker попадается тебе на страницах X не в первый раз — в майском номере мы подробно рассказывали об этой замечательной технологии виртуализации. Она значительно облегчает администрирование и быстро завоевывает рынок. Но многие ли знают, что в основе опенсорсного Docker лежат технологии компании Parallels? У нас возник вопрос: почему, создав Docker, Parallels не вступает в мир контейнерных войн на правах ведущего игрока и не спешит представить свое решение для виртуализации конечному пользователю? Об этом мы решили спросить у ключевого разработчика Parallels Павла Емельянова.

Атаки на Cisco: cниффинг трафика с роутера/свича, обход IP Source Routing, атаки на роутеры через NAT-PMP

Продолжаем тему, которая не влезла полностью в прошлый выпуск. Тогда мы обсуждали тему постэксплуатации в случае захвата контроля над Cisco роутером или свичем, а конкретнее — возможность снифа трафика, проходящего через сетевой девайс.

Logitech G910 Orion Spark. Обзор самой инновационной геймерской клавы

Среднестатистическому обывателю при слове Logitech приходит на ум бюджетная офисная периферия, которая доминировала во всех компьютерных классах и в офисах. Однако если копнуть чуть глубже, то выяснится, что Logitech уже давно активно занимается разработкой и игровых гаджетов тоже. Более того, клавиатура Logitech G910 Orion Spark, недавно выпущенная компанией, стала настоящим бестселлером, подготовив тепленькое местечко производителю в лидерах рынка игровой периферии.

Перехватываем трафик с помощью WPAD

WPAD — это весьма простой протокол для автоматической настройки прокси-сервера. В этой статье я расскажу, как он устроен, какие возможности для эксплуатации он предоставляет с точки зрения злоумышленника, а также поделюсь идеями, как можно использовать эту технологию для частичного перехвата HTTPS-трафика.

Пишем виджет для Android, который показывает доступность сайта

В современной матрице IT-технологий квалифицированный администратор — персона хоть и не всегда видимая, зато важная и весьма занятая. Отбиваясь от назойливых пользователей, он постоянно должен присматривать за ареалом своего цифрового мира — сайтами. Давай же поможем нашему админу и создадим полезный виджет, внимательно следящий за доступностью всех его ресурсов. И да, погоду этот виджет показывать не будет.

Учимся работать с Elasticsearch

Несмотря на то что XXI век принес в наши дома (не во все, но всё же) гигабитные каналы связи и котиков на YouTube в разрешении 4K и 60 FPS, основой Сети, самой массовой его частью, все еще остаются текстовые данные. Рефераты и курсовые работы, технические драмы на Хабре и Stack Overflow, сидящий занозой в ... Роскомнадзора Луркмор — все это текст, все это слова. А поскольку каталогизация в реальном мире очевидно хромает, то без хорошего полнотекстового поиска никуда.

«По-настоящему персональный компьютер». Колонка Евгения Зобнина

Технологии, ломающие привычные парадигмы, всегда воспринимаются в штыки. Стоит вспомнить персональные компьютеры, камеры в телефонах или даже iPhone. Все они получили жесткую волну критики, но в конце концов стали неотъемлемой частью нашей жизни. Я сомневаюсь, что тот девайс, о котором я расскажу сегодня, действительно станет реальностью и получит широкое распространение, но я уверен, что сама концепция не только приживется, но и станет мейнстримом.

Страница 30 из 252В начало...10202829303132 405060...

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
6890 р.
на год
720 р.
на месяц
90 р.
за 1 статью

Еженедельный дайджест

Для подписчиков