10 сентября в Москве в гостинице "Рэдиссон Славянская" пройдет Check Point Security Day 2015. На мероприятии будут обсуждаться возможности совершенствования защиты информационных систем с экспертами компании Check Point Software Technologies, экспертами компаний-интеграторов и дистрибьюторов, руководителями по ИТ и ИБ крупнейших банков, страховых, телекоммуникационных компаний, энергетических, нефтегазовых, государственных предприятий России.

Только представь: у всех жителей средней полосы осень, а ты тусуешься на морях, солнце лениво замерло в зените, ты лежишь на жемчужном пляже одного из Мальдивских островов, любуешься окружающими пейзажами и проходящими девушками в бикини, потягивая коктейль... А много позже, вечером, ты обнаруживаешь, что на счете твоей пластиковой карточки пусто! Как же так? Мобильный банк с информированием подключен, все операции вроде бы подтверждаются по СМС... Примерно такие вопросы стали недавно задавать вслух клиенты одного крупного банка с зеленым логотипом.

Друзья, мы объявляем первые доклады ZeroNights 2015. У нас с вами в основной программе сразу несколько взрывных анонсов. Поехали!

Google Play market предлагает сотни вариантов реализации практически любой идеи. Но хорошо продаются только приложения, создающие ощущение, будто они написаны именно для тебя. Сохранение настроек и любой другой пользовательской информации — главное качество user-friendly приложения. Рассмотрим, какие инструменты есть в мире Android!

*nix-системы всегда были сильны своей командной строкой. Большинство, однако, пользуется исключительно bash, поскольку, как правило, в дистрибутивах его ставят по умолчанию, на иные же переключаться попросту лень. В то же время неплохо бы получить представление об их возможностях, чем мы и займемся в статье.

Первые образцы малвари, шифрующей файлы, а затем требующей денег за расшифровку, появились очень давно. Однако именно CryptoLocker основал в среде вирусописателей нехорошую тенденцию — использовать самые последние достижения криптографии в виде весьма стойких алгоритмов шифрования. Сегодня мы исследуем несколько троянов-шифровальщиков, появившихся после нашумевшего шествия по интернету CryptoLocker’а (или в одно время с ним).

В этой подборке: сайты, которые существуют, только пока на них смотрят, телевизор для гифок и сокращалка ссылок, которая превращает URL в набор эмодзи

Есть очень интересный инструмент, который, думаю, тебя заинтересует. Называется он Pentest Box. Его создал Адитья Аргавал после изучения статистики загрузок различных хак-инструментов. Больше половины скачивающих оказались пользователями Windows. Сборник представляет собой архив на 2,5 гигабайта различного софта...

Сегодня в выпуске: заставляем свернутые приложения работать в фоне, заменяем панель быстрых настроек на более функциональный аналог, просматриваем погоду с помощью свайпа и запускаем действия Activator в ответ на получение уведомления. Приятного чтения!

В этой подборке — интересные веб-чаты на замену Slack, несколько альтернатив других веб-сервисам, собственный GitHub и javascript-библиотеки для фронтенда: работа с DOM и DOM-элементами, текстовым контентом и CSS, ускорение работы web-страниц.

Для всех нас безопасность близких людей стоит на первом месте. Вспомни ощущения, когда важный тебе человек не отвечает на звонки, а сообщения в WhatsApp остаются непрочитанными. В такие моменты мы готовы многое отдать, лишь бы получить представление о том, что же там происходит. Конечно, сотовые операторы предоставляют услуги по геолокации абонента, но информация, что «девушка находится где-то посередине» Большой Дмитровки, душу не успокаивает. Посмотрим, что мы можем с этим сделать.

В сегодняшнем обзоре мы разберем уязвимости, которые в некоторой степени банальны, но при этом были обнаружены в популярном ПО. Несколько уязвимостей было найдено в устройстве D-Link DSP-W110, и одна интересная уязвимость обнаружилась в актуальной версии популярной операционной системы OS X Yosemite. На момент написания текста эта уязвимость так и не исправлена.

Помимо обычных дистрибутивов Linux, существует еще и экзотика, которая, в общем-то, по функциональности ничем не отличается от нормальных дистрибутивов, но порой имеет некоторые интересные особенности. Эту экзотику мы и разберем — не все же время нужно писать о серьезных вещах.

Вот уже почти тридцать лет Plan 9 будоражит умы юниксоидов. Появилось множество форков, большая часть из них умерли, но некоторые живут и по сей день. Едва ли не самый интересный из них — Node9, симбиоз платформы Inferno и языка Lua, способный потягаться с великим и ужасным Erlang.

Skype сейчас стал одним из самых популярных средств общения в бизнес-среде. В итоге многим сотрудникам компаний приходится общаться с «анонимными» людьми из Интернета. Это открывает ещё один вектор для проведения атак с использованием социальной инженерии. А еще до нашей рубрики дошла одна древняя, но интересная атака: речь об Escape sequence injection — инъекциях управляющих последовательностей (они же — эскейп-последовательности).

Каждый раз, когда я слышу разглагольствования о том, насколько лучше или хуже iOS в сравнении с Android, когда начинается спор о плавности работы системы, о ее потреблении аккумулятора, о наличии или отсутствии вирусов, мне хочется взять книжку Эндрю Таненбаума в твердом переплете и дать ей по головам обоих спорщиков. А потом поднять их с земли (Таненбаум писал толстые тяжелые книги) и отправить по домам пить чай и смотреть телевизор, ибо сравнивать iOS и Android может только технически неграмотный человек.

Вот и закончилась эра Windows Server 2003, служившей верой и правдой более десятилетия. Отказ от поддержки означает отсутствие обновлений и исправлений для более 11 миллионов систем, что в будущем может означать большую проблему в безопасности. Уже сегодня нужно подумать о переходе на современную ОС. MS уже предложила мастер и инструкции, но итоговая цена все-таки кусается, а поэтому стоит посмотреть в сторону open source. Будем заменять КД Linux-сервером.

В прошлой статье («Python на стероидах», 198-й номер) мы поговорили о профилировании Python-приложений. Судя по полученному фидбэку, тема оказалась интересной, и, выходит, теперь, когда мы уже попробовали все на практике, настало время познакомиться с теорией :). В этой статье я постараюсь рассказать о том, что вообще такое производительность ПО, как и зачем ее измерять, и закончу тему с профилированием. В следующий раз мы углубимся в тему тестирования производительности ПО в теории и на практике.

Совершая платеж в Интернет-магазине или ином финансовом сервисе, ты наверняка инициируешь SSL-соединение где-то на серверной стороне с участием какого-нибудь Java-приложения. А что если тебе нужно исследовать это соединение? В силу бизнес-ценности его нельзя сделать открытым даже в тестовом окружении. Тупик? Оказывается, нет! Трафик такого приложения можно расшифровать, если у тебя есть его перехват Wireshark’ом и… логи JVM.

Как известно, информационная безопасность предполагает целостность, конфиденциальность и доступность информации. В наше время напичканных электроникой автомобилей, «умных домов» и всевозможных IoT-девайсов обеспечение безопасности информационной становится делом обеспечения безопасности жизнедеятельности.

В этом выпуске — Python-, Shell- и Ruby-скрипты для моделирования окружения, разведки сети и внедрения инъекций.

Мы продолжаем рубрику ZERONIGHTS Heroes, и сегодня Дмитрий Евдокимов, руководитель исследовательского центра Digital Security, и «главный по контенту» конференции ZN, приоткроет тайну названия ивента и расскажет, чем можно шокировать программный комитет.

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего этичного хакера, с задачами, которые перед ним ставятся, и их решениями.

Code Injection – процесс инъекции своего кода в память чужого приложения с дальнейшим его выполнением. Вектор применения довольно широкий, начиная от зловредов и заканчивая различными читами и ботами для игр. В частном случае (который и будет рассмотрен в этой статье) мы можем выполнять функции чужого приложения со своими параметрами. Подобная концепция используется в игровых ботах.

Несколько месяцев назад я уже делился частью своей коллекции тестовых заданий, которые ставят перед соискателями на позицию программиста в индустрии gamedev. И надо сказать, получил неплохой фидбэк! Вижу, что разработка игр серьезно интересует нашего читателя, и не только потому, что в игровой индустрии можно заработать неплохие деньги. Похоже, что для этой области народного хозяйства более чем актуальна мудрость, приписываемая Конфуцию: «Выберите себе работу по душе, и вам не придется работать ни одного дня».

С 24 по 30 августа в Digital October пройдет международный фестиваль анализа данных Data Science Week 2015. Вас ждут 15 открытых лекций и семинаров от ведущих российских и зарубежных экспертов из индустрии Data Science, которые сегодня развивают эту отрасль.

В статье из прошлого номера мы познакомились с теоретической частью и провели небольшой «пентест» WordPress. В этой статье я буду призывать тебя копать глубже, вспомнив, что хакер — это в первую очередь программист :). Действительно, несмотря на то что счет встроенных в Metasploit модулей уже пошел на тысячи, рано или поздно любой, кто плотно работает с фреймворком, сталкивается с необходимостью расширить его функциональность собственными эксплоитами и вспомогательными модулями. Сегодня мы рассмотрим все необходимые аспекты создания модуля с нуля, а заодно коснемся особенностей языка Ruby, которые нужно учитывать при написании.

В конце марта 2015 года Check Point опубликовала отчет об обнаружении группы кибершпионажа, получившей название Volatile Cedar. Группа, вероятно, происходит из Ливана и связана с его политическим силами. Недавно об этой группе появились кое-какие данные, которыми исследователи из подразделения Check Point Malware and Vulnerability Research Group, проводившие анализ вредоносного кода Volatile Cedar и изучавшие деятельность преступной группы, с удовольствием с нами поделились.

Современная сеть насчитывает десятки маршрутизаторов. И с ростом их количества все тяжелее и тяжелее помнить и отслеживать изменения настроек, разбираться с коллизиями IP. В такой ситуации все большее значение приобретают системы управления IP-адресации, позволяющие планировать распределение IP, мониторить и бэкапить установки сетевого оборудования, снабжать админа полезными отчетами. Свои варианты часто предлагают сами производители оборудования, но также имеются универсальные open source инструменты.

Хочется иногда взять и отдохнуть от всех этих фреймворков, движков и готовых библиотек. Точнее, не отдохнуть, а напрячься — взять и накодить какую-нибудь игрушку исключительно с помощью стандартных средств. Какую именно? Выбрать легко, ведь в сердце любого программера неизменно живут три игры, созданные в прошлом веке: Tetris, Digger и Xonix. Поехали!

Отчет о недавних удивительных приключениях русских хакеров в недрах самой известной и узнаваемой DRM в мире. Все секреты торжества хакерской мысли в итоговой статье человека, который приложил к этому руку.

До сих пор существует стереотип о невозможности тонкой настройки iOS, о ее ограниченности в кастомизации, об отсутствии многих стандартных функций других мобильных ОС. В этой статье я расскажу о нескольких трюках, позволяющих расширить возможности ОС. Мы увеличим громкость устройства в наушниках и без них, установим взломанные приложения и взломаем установленные, откатим прошивку даже без цифровой подписи SHSH и снизим яркость экрана ниже предельного уровня. В качестве бонуса поговорим о скрытых возможностях свежего Apple Music.

Вообрази, что разрабатываешь алгоритм, который должен управлять группой автономных роботов. Перед тобой стоит задача: они должны прочесать окрестности, разыскать все объекты определенного типа, а затем собрать находки в одной точке. Зачем? Можешь представить, что действие происходит на другой планете и на роботов возложена важная научная миссия.

Смартфон может разрядиться в самый неподходящий момент. Ты достаешь его из кармана и видишь цифру один или два рядом со значком батареи. Заряд еще есть, но при запуске любого приложения смартфон мгновенно отключится. Чтобы не доводить аппарат до такого состояния, можно применить несколько нехитрых трюков, о которых мы и поговорим в статье.

Когда компьютер сбоит, это всегда неприятно. Когда речь идет о машине, которая принадлежит кому-то из родственников или знакомых, дело усугубляется ещё и тем, что закончить работы хочется как можно быстрее. Ну а если человек жалуется на неисправность, которую не удается воспроизвести, то это помимо прочего ведет к неудобным ситуациям. Вызваны ли проблемы ошибками пользователя или сбоит железо? Ответить на этот вопрос лучше всего помогут не дознания, а диагностические утилиты.

Закон Атвуда гласит, что любое приложение, которое можно написать на Javascript, однажды напишут на Javascript. Компилятор Emscripten делает это практически неизбежным.

Сегодня мобильные технологии – неотъемлемая часть нашей жизни, и иногда проникают туда, где их не следовало бы использовать. Удобство часто оказывается важнее безопасности. Поищите "HMI" (человеко-машинный интерфейс), "SCADA" (система диспетчерского контроля и сбора данных) или "PLC" (программируемый логический контроллер) в магазине Google Play, и вы удивитесь количеству результатов. Но безопасны ли они? Может ли злоумышленник нанести вред, получив доступ к планшету инженера-технолога?

Компания Фаматек, разработчик ПО для удаленной техподдержки пользователей, поздравляет всех системных администраторов с профессиональным праздником и приглашает принять участие в праздничном Квесте Radmin. Пройти квест можно с 31 июля по 04 августа 2015 года включительно. Каждый участник, который успешно пройдет квест, получит лицензию на Radmin в подарок

В этой подборке: пересылаем ссылки звуком, играем в "слова" на английском, запоминаем дела в удобный аутлайнер и изображаем из себя наглого кота. Наслаждайся!

Отвечаем на вопросы читателей. В этом выпуске: как рулить Windows-машинами из консоли Linux, как проверить целостность БД MS SQL, как работает аудит в Windows, какие веб-сканеры я советую для изучения, и другие ответы на вопросы читателей ][.