В этом выпуске — инструменты для сбора информации, пентестинга, поиска уязвимостей и багов под Linux.

Киборги — это не только герои фантастических фильмов. Это не терминатор, не далеки и даже не Карлсон, который живёт на крыше. Они давно среди нас, просто они не всегда напоминают киборгов из фантастических фильмов.

Сегодня мы с тобой рассмотрим уязвимость в популярном баг-трекере Bugzilla, которая позволяет повысить привилегии на большинстве доменов, и разберем недавний эксплоит для Android, который стал возможен из-за неудачного патча.

В этот раз читатели прислали в Хакер множество настолько разнообразных вопросов, что нет никакой возможности определить тему этой подборки. Тут вопросы и про мониторинг серверов, и про выбор командной оболочки, и про различные аспекты управления сетями, и конечно же, про малвари и взломы. Встречайте: сборная солянка сентября!

Xposed позволяет изменить внешний вид и функциональность Android до неузнаваемости. Но этим его возможности не ограничиваются. Изменению поддаются даже сторонние приложения. В этой статье я расскажу, как с помощью Xposed изменить и добавить дополнительные настройки в такие приложения, как Google Chrome, Youtube, WhatsApp, Gmail, Instagram, Hangouts, Google Play и некоторые другие.

Современные десктопные дистрибутивы Linux стали заметно более «жадными» по сравнению со своими предшественниками. Существует несколько путей решения этой проблемы. Первый из них — выбор минималистичного дистрибутива — мы рассмотрели в одной из прошлых статей. Второй способ заключается в уменьшении потребления памяти дистрибутива без видимого снижения функциональности, что мы и сделаем на примере последней версии Ubuntu.

Увидевшая свет в 1991 году Another World произвела фурор в игровом мире, обрела статус культовой и до сих пор считается одной из лучших игр всех времен. Необычный игровой движок, динамика боевика, отличный сюжет, проработанный игровой мир и просто любовь автора к своему детищу — все это сделало игру запоминающейся и во многом революционной. Однако с технической стороны Another World не менее, а может, даже и более интересна.

Системы мониторинга систем и сервисов — это уже стандарт в любой сети. С их помощью админы могут собирать информацию о текущих параметрах и получать предупреждения, когда возникают проблемы. Однако с появлением кластеров и виртуальных машин сегодня само понятие сервер и сервис несколько не отвечает традиционным представлениям, а значит, иногда требуются специфические инструменты. Prometheus относят к системе мониторинга следующего поколения, здесь используется несколько иной подход и архитектура.

Все мы, любители рутинга, хаков и сторонних прошивок, сталкиваемся с одной большой проблемой — резким снижением уровня защиты конфиденциальных данных. Разблокировав загрузчик и установив кастомную консоль восстановления, мы полностью открываем доступ к нашим данным любому, кто сможет завладеть смартфоном. На первый взгляд, сделать с этим ничего нельзя, но это только на первый. Я покажу, как решить проблему защиты данных на взломанном (и не только) устройстве.

Дисковая подсистема всегда была узким местом ПК. Проблема особенно обострилась с ростом вычислительной мощности, когда производительность харда фактически сводила на нет огромные возможности CPU. SSD, не имеющие движущихся частей, обеспечивали неплохую производительность в операциях чтения, однако они относительно дороги и имеют меньший ресурс. Неплохим решением стало использование тандема SSD + HDD, но это потребовало специального софта.

Завершая цикл статей о вычислении производительности софта, хотелось бы рассказать, как правильно проводить перформанс-тестирование (performance testing). Тема становится все более популярной, но при этом далеко не все понимают, что под этим подразумевается. Ведь прежде чем ответить на вопрос «как», нам нужно разобраться с вопросом «что»: что именно нам нужно тестировать?

Неожиданно понадобилось сделать автологон на винде. Все бы ничего, да комп в домене. Как быть? В этом нам поможет реестр! Набери regedit в окне «Выполнить» и найди нужную ветку. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon В ней ищешь нужное значение, если его нет — создаешь. AutoAdminLogon(REG_SZ)=1 DefaultUserName(REG_SZ)= <имя_пользователя> DefaultPassword(REG_SZ)= <пароль_пользователя> DefaultDomainName(REG_SZ)= <домен_пользовательской_учетной_записи> После перезапуска система загрузится под указанным пользователем. Как можно внести изменения в …

В этом выпуске — инструменты для внедрения в шелл и сбора данных под Windows, а также MITM-фреймворк, backdoor на Питоне и кросс-платформенный дизассемблер.

Системы мониторинга ежесекундно собирают тысячи параметров с сотен систем, визуализируя данные в виде графиков и предупреждая админа о превышении установленного значения. Но преодоление порога не всегда означает проблему, оно может быть вызвано рядом факторов. Причем нагрузочное тестирование отличается от действий реальных пользователей весьма серьезно. Увидеть зависимости в большом числе таблиц и графиков практически нереально, как и установить правильное значение порогов для метрик.

В глазах многих людей кастомные прошивки — это нечто вроде пиратских сборок Windows с измененными обоями, темами оформления и разным левым софтом в комплекте. И если говорить о прошивках, созданных юными моделистами-конструкторами после школы, то так оно и есть. Однако CyanogenMod не из их числа, это полноценный форк Android, то есть независимая операционная система, разработкой которой занимается команда компетентных программистов, и перед стоковым Android она имеет массу преимуществ.

Все мы люди и можем потерять что-то ценное в самое неподходящее время. Потеря гаджета может обернуться не только финансовыми проблемами, но и угоном электронного кошелька, аккаунтов в социальных сетях или даже шантажом. Поэтому в голове должен быть четкий план действий на случай пропажи девайса.

В этой подборке: нейросеть, которая пишет как курица лапой, плагин для Firefox, позволяющий взглянуть на веб "под новым углом", текстовый веб-редактор с поддержкой Markdown и LaTeX и особая браузерная игра "для программистов"

Пока весь мир сосредоточенно клепал мобильные приложения, в Китае придумали, как превратить в универсальную платформу обыкновенные мессенджеры. Теперь к китайскому опыту присматриваются в Кремниевой долине.

Россия, как известно, родина слонов. А также ракетных комплексов, подводных лодок, танков и, как оказалось, не менее бронированных операционных систем. Если ты рубишь в ИБ и живешь в России, то это как раз тот вид вооружений, которым ты можешь интересоваться и даже гордиться. Astra Linux SE — одна из таких ОС. Наш автор Евгений Лебеденко — специалист по таким системам, так что приготовься взглянуть на безопасность в Linux с самой серьезной стороны!

Мультизагрузочный накопитель помогает выполнять проверку железа, готовить компьютеры к установке ОС, бэкапить данные и удалять любые зловреды. А также ломать пароли и копаться в системе сколько душе угодно.

Представим себе типичную ситуацию: через какую-то уязвимость мы получили возможность удаленно выполнять команды на сервере с Windows. Высоких привилегий в ОС у нас нет, и порты зафильтрованы на внешнем файрволе. Подошел бы вариант с бэк-коннект шеллом, но ведь надо закачать наш шелл в ОС. И если под *nix-системы существует куча разных возможностей, то с виндой труднее...

Любой читатель нашего журнала как минимум что-то слышал о возможности перехвата вызовов в различных операционных системах. А скорее всего, активно этим пользовался — по крайней мере в винде. Если вкратце, ты можешь перехватить вызов какой-то функции и как-нибудь этим распорядиться: использовать параметры по своему усмотрению, выполнить свой код вместо того, который должен был выполниться. Сегодня мы будем делать это в ОС Android!

Как-то давно мы делали в журнале обзор девайсов, которые было бы желательно иметь в своем чемоданчике хакера. Среди прочих девайсов там был и USB Rubber Ducky — устройство, внешне напоминающее обычную флешку, которое притворяется клавиатурой и при подключении к компьютеру быстренько набирает все заданные в нем команды. Штука крутая и очень полезная при проведении пентестов, но зачем выкладывать за нее 40 баксов (да еще и при текущем курсе), если аналогичным трюкам можно научить обычную флешку?

Современные пользователи при выборе компании — поставщика услуг или товара нередко на первое место ставят качество и оперативность поддержки, чтобы при необходимости можно было быстро связаться и получить ответ, а также отслеживать статус запроса, если на решение проблемы требуется время. Именно поэтому у бизнеса велик интерес к специализированным продуктам для help desk, позволяющим перейти на более качественный уровень общения с клиентами. Такую систему можно найти и среди бесплатных решений.

В этом году мы с вами не просто собираемся на любимый ивент — мы готовимся к важной юбилейной дате. Не случайно потому в качестве keynote-спикера мы решили пригласить Родриго 'BSDaemon' Бранко с близкой нам темой. В своем выступлении «Ода хакерам» он будет говорить с большой сцены о том, что редко обсуждают вслух.

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

Сегодня хранить важные данные в открытом виде стало как никогда опасно. И даже не столько из-за государственной слежки (захотят — найдут, к чему придраться, и так), сколько из-за желающих эти данные похитить. В принципе, для защиты информации имеется множество методов, но в статье будет описаны именно криптографические средства.

Не так давно, в 198-ом выпуске задачек на собеседованиях, ребята из Acronis предложили нашим читателям решить несложную задачку: "Представьте, что у вас есть обыкновенные часы. Они идут точно, без сбоев. В этих часах меняют местами минутную и часовую стрелки. Сколько раз в сутки такие часы будут показывать правильное время?" Оказалось, что в процессе подведениях итогов мы с товарищами из Acronis капитально проглючили...

Модульный смартфон от Google под кодовым именем Project Ara уже успел наделать много шума и засветиться во всех хоть сколько-нибудь связанных с мобильными технологиями изданиях. Действительно, девайс, который можно собрать по кусочкам на манер всеми нами любимых IBM PC, — это очень и очень заманчивая идея, чтобы не обратить на нее внимание. Но давай спустимся на землю и выясним, а нужна ли эта модульность на самом деле?

Ты написал свой веб-сервис. Обложил тестами, дофиксил баги, сделал последние предрелизные коммиты. Теперь нужно его где-то захостить. Конечно, можно особо не напрягаться и выложить его на обычном хостинге или VPS. Но что, если ты, сам того не зная, написал новый Instagram и завтра к тебе придет миллион юзеров? Хорошо бы сразу настроить все по уму: предусмотреть балансировку нагрузки, доставку кода, правила масштабирования. И желательно без сложностей и преждевременной оптимизации. Займемся этим!

В начале лета у мессенджера Telegram, созданного командой основателя «Вконтакте» Павла Дурова, появился программный интерфейс для разработки ботов. Неплохой повод для экспериментов с диалоговыми интерфейсами!

Сергей Белов, исследователь безопасности Digital Security, уже не первый год отвечает за организацию HackQuest перед ZERONIGHTS. В нашей любимой рубрике ZERONIGHTS Heroes он рассказывает кое-что про конкурс и задания, делится воспоминаниями прошлых лет и приглашает проверить свои силы в юбилейном квесте.

В этом выпуске мы расскажем, как отбирают кандидатов в сервис мобильного эквайринга Pay-Me. Передаю слово Игорю Аскарову — техническому директору Pay-Me. Он поделится задачами, которые он дает на собеседованиях при приеме разработчиков в команду.

Пока ты читаешь эти строки, в периметре какой-то организации происходит инцидент: вредоносное ПО под тщательным руководством киберпреступников ведет охоту за ценными данными жертвы — за информацией, утечка которой может спровоцировать крупную финансовую катастрофу или поставить под вопрос существование бизнеса.

Тот, кто когда-либо прошивал свой смартфон или хотя бы разблокировал загрузчик, наверняка имел дело если не с инструментами командной строки, то хотя бы со специальными графическими приложениями для Windows, которые делают всю магию. Но как на самом деле происходит разблокировка загрузчика, установка новой прошивки или сброс до заводских настроек? Что скрыто, так сказать, под капотом?

Есть вещи, существование которых нерационально, но при этом для многих они являются воплощением желаний. Таковы, к примеру, автомобили Ferrari, часы Rolex, телефоны Vertu... Есть такая вещь и среди клавиатур. Имя ей — Mad Catz S.T.R.I.K.E 5.

Взломы, утечки данных, обнаружение новых 0day-уязвимостей — все это происходит каждый день, но некоторые события выбиваются из общего ряда. Взлом сайта знакомств Ashley Madison не был обычным. Это масштабная история о том, как хакеры объявили войну крупной компании и выиграли ее, не считаясь с «сопутствующим ущербом».

Сегодня в выпуске: учим Android понимать комбинацию , запускаем приложения с помощью кругового меню, переключаемся между запущенными приложениями четырьмя разными способами и добавляем знаменитый Control Center из iOS в Android.

17 августа, после длительного открытого бета-тестирования, вышла новая версия российской программы для создания резервных копий и управления ими – Acronis True Image в двух варианциях: с безлимитной подпиской в облако Acronis True Image Cloud и бессрочная лицензия для локлаьного резервного копирования и восстановления данных Acronis True Image 2016. Мы познакомились с версией с безлимитной подпсикой на облако, оптимизированной для Windows 10, и обнаружили множество интересных особенностей.

С момента своего появления Windows был естественной средой обитания зловредов всех мастей. Похоже, новая версия этой операционки сама стала одним из троянов. Сразу после установки чистая система ведёт себя подозрительно. Данные рекой льются на десятки серверов Microsoft и партнерских компаний. Мы решили разобраться с жалобами на шпионские замашки «Десятки» и узнали, что и куда она отправляет.