Поисковик Shodan позволяет заглянуть в скрытый от глаз мир интернета вещей. С его помощью можно увидеть малоизученную сторону глобальной сети, понять ее структуру, обнаружить уязвимые места и провести множество других практических исследований.

В этом выпуске: открываем приложения для Linux в браузере, генерируем структурированную бессмыслицу для отладки программ, смотрим видео с YouTube в плавающем окне, а если выбирать видео не хочется, идем на специальный сайт, который вещает веселые ролики в режиме телевизора.

Утечка данных часто может навредить гораздо больше, чем их утрата. Поэтому так популярно шифрование и функции дистанционного стирания на мобильных устройствах. Однако важные сведения часто хранятся и на съемных носителях. Если один из них попытаются забрать, времени на очистку не будет. К счастью, уже существуют способы сделать это в один клик, которые мы и рассмотрим в этом обзоре.

С версии 1.6 в Android существует «сервис специальных возможностей». Нетрудно догадаться, с какой целью он был создан, но нас, как людей, стремящихся как раз к неограниченным возможностям, этот сервис интересует с несколько другой стороны. Сегодня мы будем писать программу, которая позволит следить за вводом в других приложениях!

APT, таргетированные, целенаправленные атаки — все эти термины уже не первый год находятся на почетных местах в материалах секьюрити-изданий, корпоративных и частных ИБ-блогеров. Мы не оставляли эту тему без внимания, но теперь, когда накопился определенный объем информации, мы публикуем большую летопись, охватывающую самые запоминающиеся атаки за последние годы.

В PDF есть одна интересная возможность: отправка кросс-доменных запросов с практически любыми заголовками. Это больше напоминает баг, чем фичу, поэтому, скорее всего, окажется запатчено в будущем. Но за этим багом стоит распространенная проблема, так что о нем стоит поговорить подробнее.

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

Шифрование данных — непременный хакерский ритуал, в котором каждый применяет свой набор утилит. Если для десктопных ОС выбор предлагается большой, то в мобильных операционках пока доступны единичные приложения. Мы обратили внимание на новое творение разработчика SJ Software — PGPTools.

О кончине веба как централизованной среды говорят давно, а в последнее время заговорили еще больше. Всесторонняя слежка АНБ, экспоненциально растущие объемы трафика и, конечно же, любимые нами блокировки ресурсов сыграли свою роль. Проблема только в том, что сделать веб децентрализованным, не сломав его, невозможно, однако мы можем перейти на совершенно иную технологию, из коробки предоставляющую средства для создания веб-страниц и приложений без единой точки отказа.

Ни для кого не станет откровением, что рынок ноутбуков переживает сейчас не лучшие времена: слишком велика конкуренция с планшетными компьютерами, ведь для работы с документами, почтой или интернет-серфинга они удобнее, да и весят «таблетки» значительно меньше. Чтобы оставаться на плаву, производители лэптопов вынуждены идти на различные хитрости и придумывать разнообразные «гибриды», сочетающие в себе преимущества планшета и ноутбука. Сегодня к нам попала модель от компании Hewlett-Packard под названием Pavilion 13 x360 Convertible.

Google разработала достаточно гибкую ОС. Но чистый AOSP вендоров зачастую не устраивает, и они вынуждены допиливать его под себя; впрочем, речь не о них. «Корпорация добра» на удивление лояльно относится к форкам своего детища, поэтому неудивительно, что они растут как грибы после свежего дождя. Давай посмотрим на самые интересные.

Клавиатурные шпионы — весьма необычный класс программ, название которых давно не отражает их сути. Современные кейлоггеры могут делать скриншоты, следить через веб-камеру, записывать звук с микрофона, определять местоположение ноутбука, отсылать вместе с отчетом файлы указанного типа, дублировать историю браузера на случай ее удаления и делать множество других вещей.

Можно по-разному относиться к идеям умного дома и подключения к интернету и смартфону всего, что только можно воткнуть в розетку. Однако будущее, как говорится, уже наступило, и умные лампы — один из самых ярких (во всех смыслах слова) представителей этого будущего. Сегодня на рынке есть множество производителей умных ламп, однако цены на их продукцию высоки, что толкает многих людей в сторону идеи купить китайский аналог в два-три раза дешевле. Тут, правда, никогда не знаешь, за что платишь. Попробуем внести некоторую ясность в этот вопрос.

Официальный Android SDK содержит в себе достаточный набор классов для создания полноценного приложения. Но будет ли оно лучшим? Сложно с нуля написать одновременно красивое, стабильное и полезное приложение. Иногда ловишь себя на мысли, что метод findViewById ты вызываешь уже в сотый раз и это тебе уже порядком надоело. Благодаря энтузиастам появляются библиотеки, которые существенно упрощают создание сложных конструкций или избавляют от однотипных действий. Сегодня мы разберемся, в чем именно они нам могут помочь.

XSLT, Extensible Stylesheet Language Transformations — это специальный язык для преобразования (в общем случае) документов XML. Это развесистый формат, так что в плане возможностей для атак XSLT — богатая технология, и с ней стоит разобраться подробнее.

Каждый твой шаг в интернете видят и анализируют десятки трекеров. Они прячутся в самых непредсказуемых местах. Можно ли их остановить?

В этом выпуске: выбираемся из песочницы Windows, перехватываем нативные методы Java и Android, перехватываем TCP-стримы и сканируем Wi-Fi сети. Stay Tuned!

Ты выходишь из подъезда, щуришься от не пойми откуда взявшегося солнца, а на телефон уже приходит сообщение. Это компания Google. Она точно знает, куда ты направляешься, и вежливо подсказывает расписание транспорта. Постой, тут еще одно сообщение: «Расписание рейсов в Питер». Действительно, вчера ты искал дешевый билет, Google знает и это. Она знает даже то, что сегодня ты собираешься в кино, именно это ты обсуждал в Hangouts. Интеллект и познания Google о юзерах уже давно никого не удивляют, но стоит ли ее сомнительная забота личной жизни?

Ты наверняка слышал о том, что в России делают процессоры, и даже раздумывал, повод ли это для гордости или только для горькой усмешки. Но интересны ответы на другие вопросы: сколько русского в русских процессорах и на что они годны?

Финансовые онлайн-операции упростили нашу жизнь: почти любой товар/услугу можно купить, не выходя из дома. Однако растущая популярность интернет-платежей играет на руку преступникам. Кража финансовой информации с мобильных устройств, а затем и денег с карточек их владельцев — представляют сегодня собой один из наиболее эффективных способов «заработка» разных предприимчивых ребят.

Эта задача во многом похожа на предыдущую, хоть и касается формата PDF. Для начала представим себе классическую атаку. Существует сервер, на который мы можем загрузить картинку. Есть способ изготовить такой файл, который одновременно будет и валидным изображением, и правильным PDF. После загрузки такого файла мы можем заманить жертву к себе на сайт и заставить открыть нашу картинку как PDF.

Windows 10 стала единственной программной платформой Microsoft, управляющей различными устройствами: от микроконтроллеров и до больших серверных систем. Только вдумайся: одно ядро для ПК, для миниатюрных девайсов (Internet of Things), консоли (Xbox One), моноблока (Surface Hub), устройств дополненной реальности HoloLens! В этой статье мы в деталях разберемся в платформе UWP и в ее возможностях управления компьютером.

Всем хорош iptables, да только синтаксис правил у него достаточно неочевидный (куча всяческих опций и прочее). Сейчас, конечно, появился его потомок, nftables, но пока что он не очень распространен и поддерживает не все возможности предшественника. Для iptables же за время его существования было создано немало фронтендов и конфигураторов, один из которых, Shorewall, мы и рассмотрим.

На конференции большое внимание будет уделено продвижению видеоконтента и интеграции коммерческого контента в видео на различных платформах. Мы подробно обсудим продвижение с помощью визуального контента, особенно в Instagram, и новые форматы работы с традиционными блогами, мессенджерами и социальными сетями. На конференции выступят спикеры от Youtube, Coub, Flamp, Aitarget, Brand Analytics, Одноклассники, Google, Aviasales, Smetana, Seedr, LizzzTV и многие другие.

В этом выпуске — как всегда, много вопросов на самые разные темы (взлом, конечно же, и защита от взлома), а также небольшое исследование видов кулеров и размышления о преимуществах ноутов. Задавай свои вопросы!

Изучать новый язык программирования с нуля в одиночку непросто, особенно когда за плечами нет большого опыта кодинга. Конечно, у нас есть Stack Overflow, есть «Хакер», есть книги, в конце концов. Но когда только знакомишься с новой технологией, зачастую требуется помощь и совет живого учителя. Одно из решений проблемы — это онлайновые курсы, которые позволяют пройти обучение по интересующей тебя технологии с настоящим преподавателем, и при этом не тратить время на дорогу.

Первые несколько атак этого выпуска Easy Hack будут завязаны на формат SVG. Причем хочется взглянуть даже не на сами атаки, а на потенциальные возможности формата.

Джейлбрейк или не джейлбрейк — вечная проблема, волнующая многих пользователей iДевайсов. Может ли джейлбрейк окирпичить смартфон? Замедляет ли он работу системы и не приводит ли к утечкам информации? Станет ли смартфон рассадником вирусов после взлома? Потеряю ли я гарантию? Владельцев устройств терзает масса вопросов, и эта статья — ответ на них.

Информационные ресурсы любой компании представляют особую ценность. В сборе, анализе и использовании данных задействованы практически все сотрудники. Но, если нет системы резервирования, данные легко потерять. Нам нужна бесплатная система, позволяющая создавать бэкапы, простая в настройке и работающая в гетерогенной среде. Разберем возможности и настройку UrBackup.

В прошлых статьях мы описывали несколько нашумевших в зарубежных СМИ шифровальщиков. Однако в русскоязычном сегменте Паутины сегодня правят бал не CryptoWall и не CTB-Locker — на нашей родине сформировалась «экосистема» из других видов троянов-вымогателей, в большинстве своем не выходящих на мировую арену. Сегодня мы познакомимся с некоторыми из них, а в качестве бонуса пробежимся по модным тенденциям мирового ransomware-строения.

Переходим ко второй атаке, которая связана с двоичной сериализацией в Java. Мы, как ты помнишь, были несколько ограничены в возможностях: да, поменять данные объектов можно, а вот отправлять произвольные объекты и получить в итоге RCE (как бывает в случае других языков) можем лишь при определенных условиях.

Сборка твиков, их модификация, создание простейших твиков, наряду со знанием Objective-C, — первые шаги в разработке. В этой статье я расскажу, как установить необходимое ПО для разработки и как устроена файловая структура твика, покажу создание наипростейшего твика, а также опишу сборку имеющихся Open Source твиков. Отдельным пунктом вынесено исправление ошибок, которых при разработке ты наверняка встретишь немало.

В Android приложения с поддержкой root имеют особый статус. Во-первых, они будут работать только на рутованных смартфонах, то есть у довольно узкого круга пользователей. Во-вторых, возможности root-приложений безграничны. Они могут удалять или устанавливать системные приложения, изменять системные конфиги, прошивать в смартфон кастомные ядра или прошивки, да и вообще без проблем превратят смартфон в кирпич. Думаешь, реализовать все это сложно? Отнюдь!

Известный факт: далеко не всегда надо лезть в дебри нативных технологий, чтобы создать функциональное приложение для популярных мобильных платформ. Проверенный временем PhoneGap давно научился эффективно переносить JavaScript-код в нестандартную среду выполнения. Для полного счастья не хватает только рюшечек в нативном стиле, а ими готов поделиться замечательный фреймворк Framework7.

Для многих пользователей UNIX-систем словосочетание «вирус для Linux или BSD» звучит странно. Мы настолько привыкли к тому, что вирусов в наших системах нет, что уже начали верить, будто их не существует в природе. Между тем первый в истории компьютерный вирус был написан для 4.3BSD, а знаменитый червь Морриса поражал UNIX-системы через уязвимость в sendmail. Так есть вирусы или нет? Попробуем разобраться.

С 28 июля по 8 сентября команда FLARE (FireEye Labs Advanced Reverse Engineering team), входящая в состав компании FireEye и занимающаяся разработкой систем защиты от угроз «нулевого дня» и таргетированных атак, проводила свой второй по счету конкурс в формате CTF (capture the flag). Основной темой заданий был реверсивный анализ. Разбору заданий конкурса и будет посвящена эта статья.

Для большинства из нас рано или поздно встает вопрос поиска работы. Опытные соискатели знают, как правильно вести себя на собеседовании, что можно и чего нельзя делать, и что приведет будущего работодателя в недоумение при приеме на техническую должность. Ну а как быть, если у тебя за плечами нет большого опыта поиска работы? Мы кинули клич нашим друзьям из крупных технологических компаний РФ и попросили рассказать, что отпугнет их в соискателе на должность программиста при приеме на работу.

В качестве большой темы в этот раз я решил выбрать двоичную сериализацию в Java и две связанные с ней атаки. Идея тут проста: с сериализацией мы можем сохранить значения сложных типов данных, например — массив объектов произвольного класса. Фактически формат может быть любой. Мы же рассмотрим нативную двоичную сериализацию в Java.

Сегодня мы научимся устанавливать Windows и Linux по сети, грузить небольшие ISO-образы, полезный софт (всяких там Касперских, Акронис, WinPE, мемтесты), разворачивать тонкие клиенты и рулить ими. В достижении наших коварных целей нам поможет сервер, предоставляющий загрузку по сети (PXE).

Раньше ты мог десятками лет наблюдать один и тот же экран старых аналоговых часов. То ли дело сейчас — распаковав коробку со своими первыми часами на Андроиде, ты начинаешь постоянно экспериментировать с циферблатами в надежде найти «тот самый». А если не отыщется нужный, то можно написать свой собственный и вывести на экран какую хочешь информацию. И мы тебе в этом сегодня поможем!