Уязвимость существует из-за недостаточно серьезной фильтрации адреса получателя почты. Если SquirrelMail настроен на работу в связке с sendmail, то злоумышленник, отправив специально сформированное письмо, сможет выполнить произвольный код на целевой системе.

В 2012 году я скачал программу BOINC, зарегистрировался в паре проектов, и с тех пор свободные вычислительные ресурсы моего компьютера потихоньку приносят пользу обществу. О том, что и как считают распределенно, читай в статье «Вычисления на дому» в этом номере, а здесь я расскажу о своем скромном опыте и о разных тонкостях настройки и работы BOINC.

Настройка RAID — стандартная процедура для новых серверов. Если ты не работаешь в дата-центре или в какой-нибудь крупной компании-интеграторе, то чаще всего тебе придется сталкиваться с уже настроенными массивами. Но случается и так, что в руки попадает новенький сервер, который требует первоначальной настройки. Мне, к примеру, достался Lenovo x3650 M4. Сейчас на его примере посмотрим, как настроить RAID 10 из восьми жестких дисков.

Прошивки смартфонов Samsung нашпигованы огромным количеством функций и настроек. Однако некоторые из них скрыты, а многие полезные возможности кастомных прошивок в них просто недоступны. К тому же прошивка содержит массу дополнительного софта, который висит в памяти и удалить который невозможно. В этой статье мы расскажем, как расширить функциональность стоковой прошивки и подчистить ее от хлама.

Мы продолжаем рассказывать о различных виртуальных серверах, и сегодня настал черед протестировать услугу виртуального сервера 1cloud.ru. Забегая вперед, скажу, чем отличился этот продукт: он с запасом выдержал нагрузку в 1500 одновременных соединений. Но обо всем по порядку.

Писать код можно и в обычном блокноте, но подсветка синтаксиса, автоматические отступы и автодополнение — это те вещи, ради которых стоит переходить на специализированный редактор. Об Atom и Sublime Text (не говоря про Vim и Emacs) ты, разумеется, знаешь, так что напомню о нескольких менее известных (и при этом бесплатных) редакторах.

В прошлом году компания Microsoft анонсировала облачный бэкенд для управления умными приборами и интегрированной электроникой. Azure IoT Hub позволяет с минимумом программирования настраивать взаимодействие между устройствами и встраивать его в свои проекты на основе Azure. Чтобы посмотреть, как это работает, мы разберем простую задачу — отправку в облако показаний датчика, подключенного к контроллеру Arduino.

Наверное, даже домохозяйки знают, что публичные точки Wi-Fi небезопасны. Что не мешает рядовым юзерам вовсю ими пользоваться — ведь если нельзя, но скучно и очень хочется, то можно! И без всякого VPN — хотя функцию VPN теперь внедряют даже в комплексные антивирусные продукты. Здоровой альтернативой Wi-Fi всегда считалось обычное мобильное подключение, тем более что с каждым годом оно становится все дешевле, а скорость его все выше. Но так ли оно безопасно, как нам кажется? В этой статье мы решили собрать основные вопросы и ответы, посвященные перехвату мобильных данных, и определиться, стоит ли его опасаться обычному, далекому от сокровенных тайн пользователю.

Компания Virtuozzo — разработчик гиперконвергентной платформы, в основе которой лежат технологии виртуализации и хранения данных. Мы поговорили с менеджерами компании, чтобы узнать, кто и как разрабатывает такие решения в России, а также рассказать читателю о том, что нужно, чтобы пойти работать в такую фирму.

Мы как-то поспорили, что больше мешает рядовому пользователю: всевозможные вирусы или современные антивирусы? Вопрос остался открытым, но те и другие сейчас множатся с удивительной скоростью. Посмотрим, чем нас порадует очередной антивирусный квартет и сможет ли он противостоять шифровальщику WannaCry.

Когда количество пользователей в домене превышает несколько сотен, запомнить каждого становится непросто. А если доменная структура развитая и ее админит несколько человек, разобраться еще сложнее. Добавим к этому увольнения, повышения, переводы туда-сюда и хитрецов, которые пользуются учеткой, оставленной кем-то на время отпуска, и путаница достигнет критической отметки, за которой говорить о безопасности не приходится. Как побороть анархию?

В прошлой статье мы рассказали тебе про устройство BMS и хорошенько распалили твое воображение будущими хакерскими экспериментами. И вот их час пробил! Готовься, дружище! Перед тобой статья размером аж в шесть страниц старого бумажного «Хакера». И все они посвящены исключительно взлому ;).

Сегодня в выпуске: новая версия Android O с измененным интерфейсом, Android для маломощных устройств, Android Studio 3.0 с поддержкой Kotlin, смартфон от отца Android Энди Рубина, а также самый маленький смартфон на Android 7. Кроме того: очередная сводка новостей о LineageOS, голосовой ассистент «Яндекса» и много первоклассных материалов для разработчиков.

Владельцам современных компьютеров и мобильных гаджетов доступны мощнейшие вычислительные ресурсы, которые используются на полную катушку только изредка. При этом существует масса интересных задач, решением которых можно загрузить простаивающую технику. Объединившись, тысячи персоналок, ноутбуков и даже смартфонов могут выступать наравне с суперкомпьютерами.

Скажи, ты когда-нибудь вносил изменения в прошивку? Не Xposed, а более низкоуровневые — например, менял /system/build.prop, удалял системные приложения, устанавливал ViPER4Android, подменял /system/hosts, чтобы заблокировать рекламу. Если ответ «да», то ты не понаслышке знаком с ситуацией, когда одно неверное движение превращает твой смартфон в кирпич, а после обновления системы приходится все делать заново. К счастью, все эти проблемы можно решить, полностью автоматизировав внесение изменений и обезопасив себя от случайных модификаций.

Каждому из нас приходилось прибегать к помощи самозагружающихся дисков и USB-флешек. Случился ли сбой основной ОС, или понадобилось воспользоваться чужим ПК, выручит флешка с собственной операционной системой или инсталлятором ОС. Однако, если у тебя есть смартфон, флешка больше не нужна. С задачей загрузки ОС он справится сам.

В последние недели атаки вымогателя WannaCry – одна из наиболее популярных тем в СМИ по всему миру. Компании подсчитывают убытки, обычные пользователи паникуют, ИБ-специалисты пытаются разработать дешифровщик и занимаются анализом вируса, а представители индустрии и спецслужб обвиняют в происшедшем друг друга. Чем же WannaCry так отличался от других угроз, почему спровоцировал такую волну обсуждений и, главное, как защититься от подобных атак и быть к ним готовым?

Если тебе удалось создать действительно полезное приложение, то стоит задуматься о монетизации своих трудов. Встроенная реклама всегда уродует продукт, да и много денег она не принесет. Лучше всего дать пользователю возможность просто заплатить — за дополнительные функции или в знак благодарности.

Многие администраторы мечтают о едином сервере аутентификации, который бы избавил их от головной боли, связанной с идентификацией и аутентификацией пользователей. О таком сервере мы и поговорим в этой статье.

В первой статье цикла мы рассмотрели архитектуру системы антифрода и ее связку с интернет-банком, а также пробежались по процессу анализа события антифродом. В рассматриваемой нами системе существует всего четыре ответа антифрода для обрабатываемых событий: разрешить или запретить событие, произвести дополнительную аутентификацию и создать кейс для последующего анализа аналитиком. Эти ответы формируются системой антифрода на основании оценки риска и правил политики, задаваемых фрод-аналитиком. В этом выпуске мы более подробно поговорим о технологических процессах, зависящих от того, какое решение принимает антифрод.

Способы, позволяющие автоматизировать пользовательские действия, чтобы программа работала с интерфейсами чужих софтин так, как будто это живой человек, совершенно закономерно интересуют программистов, хакеров и безопасников. Кто сказал «негласно автоматизировать работу с мобильным банком»? :) Стыдитесь, товарищ! Мы за мирную автоматизацию. В прошлой статье по Accessibility Service мы сфокусировались на получении данных экрана, а сегодня мы научим Accessibility Service делать работу на устройстве за нас!

О том, что командная строка — это удобнейший инструмент, знает любой юниксоид, потративший пару часов на изучение базовых команд и синтаксиса bash. Но далеко не каждый понимает, насколько на самом деле может быть эффективна консоль. В этой статье мы разберем множество интересных трюков, которые позволят тебе так прокачать навык обращения с командной строкой, что ты уже не захочешь возвращаться к графическому интерфейсу.

Мир настольных систем Linux очень разнообразен. На сегодняшний день в рейтинге Distrowatch.com насчитывается 288 дистрибутивов с самой разной философией и областью применения. За все время существования рейтинга в него входили и исчезали сотни дистрибутивов, но один из них смог завоевать популярность и вырваться на третье место всего за несколько лет своего существования. Это Manjaro, основанный на Arch Linux дистрибутив, оставивший своего родителя далеко позади.

Если ты следишь за новостями, то уже наверняка слышал про эту нашумевшую проблему. Причина уязвимости — в некорректной логике обработки сообщений об ошибках. Если текст ошибки содержит языковые конструкции OGNL, то они будут выполнены. Таким образом, атакующий может отправить специально сформированный запрос, который повлечет за собой исполнение произвольного кода.

Если тебе приходилось переписывать старый код только для того, чтобы он заработал в новом проекте, значит, ты кое-что упустил. Наш журнал спешит на помощь, срочно выкидывай «костыли» и «ржавые велосипеды» — с этого дня твоя жизнь круто поменяется. :)

В апреле прошлого года, не сделав никаких анонсов, Google выложила в Сеть исходники новой ОС Fuchsia, написанной с использованием языка Dart. «Фуксия» базировалась на крошечном микроядре, поэтому первое, что пришло в голову журналистам и исследователям кода: операционка для интернета вещей. Это представление полностью перевернулось несколько дней назад, когда в Fuchsia появился графический интерфейс.

Сегодня в выпуске: Android становится популярнее Windows, платежи и звонки в Telegram, дырявый Tizen, смерть Ubuntu Touch и отчет о развитии LineageOS. А также: отладка Android-приложений через Chrome DevTools, подробности об iPhone 6s собственной сборки, запуск Google Assistant на настольной машине, анализ трояна Chrysaor от NSA Group. И конечно же, подборка материалов и библиотек для разработчиков.

Официально поддержка сканера отпечатков пальцев появилась в Android 6.0, но до сих пор многие пользователи воспринимают его лишь как средство для разблокировки смартфона. Между тем, если ты умеешь пользоваться Tasker, то сможешь назначить на него практически любое действие.

Рад снова тебя встретить на страницах нашего журнала, мой друг! Мы продолжаем прокачивать скиллы в реверсинге и познавать нелегкое ремесло malware-аналитика. В сегодняшнем выпуске мы поговорим о двух интересных фичах, которые довольно часто встречаются в «живых образцах» вредоносного ПО: шифровании (encoding) и внедрении shellcode, позволяющего получить командную оболочку ОС потенциальной жертвы.

Что, если я скажу тебе, что у меня есть операционка с простым и удобным интерфейсом, 64-битной файловой системой, всем необходимым для жизни софтом, хорошей поддержкой оборудования и минимальными системными требованиями уровня Pentium II с 64 Мбайт оперативки? Время ее загрузки составляет примерно секунду, программы запускаются молниеносно, дистриб занимает около 300 Мбайт, и это лишь малая часть ее достоинств...

Запускать любые скрипты двойным кликом в «Проводнике» не совсем безопасно, но чертовски удобно, особенно если часто с ними работаешь. Однако на новой машине ты можешь столкнуться с тем, что эта возможность не работает. Посмотрим, что же может помешать скриптам запускаться.

Наверняка ты не раз слышал о загрузчике MultiROM, позволяющем установить на смартфон сразу несколько разных прошивок и переключаться между ними. Но MultiROM неидеален: он требует пропатченное ядро, специальную версию TWRP Recovery и совместим не со всеми прошивками. EFIDroid лишен его недостатков, он работает на любом ядре и может загрузить что угодно.

Фингерпринтинг — это механизм слежки за пользователями, который опирается на отличительные черты браузера и операционной системы. По отдельности они не уникальны и не помогут никого идентифицировать, но если взять целый набор таких характеристик, то появляется возможность с определенной точностью выделить конкретного человека из числа посетителей сайта.

Я давно увлекаюсь XSS-атаками, размышляю над разными техниками эксплуатации, ищу обходы и новые векторы для внедрения кода в страницы. В определенный момент у меня накопилось много файлов с XSS-эксплоитами для топовых CMS, и, зная, что в Сети такое добро редко встречается, я решил собрать это все в один набор и назвать его el Scripto.

Уязвимость существует из-за применения статического ключа для подписи сессии. Атакующий может отправить произвольные данные и подтвердить их валидность с помощью сигнатуры, используя известный ключ. Отправив специально сформированный сериализованный объект, атакующий может скомпрометировать систему. Сериализованные данные будут преобразованы в объект Ruby при помощи модуля Marshal и выполнены.

Даже в маленькой организации может быть множество различных решений, обеспечивающих безопасность, а форматы их системных журналов могут значительно отличаться, усложняя работу. В этой статье я покажу, как можно с помощью бесплатного и открытого ПО структурировать журналы нескольких разнородных систем и тем самым упростить последующий анализ и реагирование на инциденты.

Сложно представить сегодняшнюю разработку без DevOps-специалиста, соединяющего разработку, деплой, тестирование и дальнейшее сопровождение. Чтобы выпускать качественный продукт, абсолютно все процессы необходимо автоматизировать и контролировать. И конечно, здесь выручают специализированные инструменты. Представляем пятерку must have приложений, без которых сложно обойтись.

Создать опрос на сайте — задача пустяковая. А вот как уберечься от накрутки — уже совсем другая история. Кстати, даже если ты не интересуешься вопросами защиты онлайн-голосований, из этой статьи ты узнаешь, как тебя забанили на анонимном форуме и почему твой любимый порносайт продолжает учитывать твои вкусы несмотря на то, что ты используешь порнорежим браузера :)

Каждый, кто ставил кастомную прошивку, знает, насколько это неудобно: надо сложить на карту памяти все необходимые для установки файлы, перезагрузить в recovery, поставить все эти файлы в очередь... и только тогда начинать шить. Custom ROM Manager намного упрощает задачу.

Как и в любой современной ОС, в Linux можно не только задать время вручную, но и настроить синхронизацию с атомарными часами на удаленном сервере. Благодаря периодической подстройке часы на твоем компьютере не будут убегать или отставать ни на долю секунды, что в некоторых случаях может оказаться важно.