Для всех нас безопасность близких людей стоит на первом месте. Вспомни ощущения, когда важный тебе человек не отвечает на звонки, а сообщения в WhatsApp остаются непрочитанными. В такие моменты мы готовы многое отдать, лишь бы получить представление о том, что же там происходит. Конечно, сотовые операторы предоставляют услуги по геолокации абонента, но информация, что «девушка находится где-то посередине» Большой Дмитровки, душу не успокаивает. Посмотрим, что мы можем с этим сделать.

В сегодняшнем обзоре мы разберем уязвимости, которые в некоторой степени банальны, но при этом были обнаружены в популярном ПО. Несколько уязвимостей было найдено в устройстве D-Link DSP-W110, и одна интересная уязвимость обнаружилась в актуальной версии популярной операционной системы OS X Yosemite. На момент написания текста эта уязвимость так и не исправлена.

Помимо обычных дистрибутивов Linux, существует еще и экзотика, которая, в общем-то, по функциональности ничем не отличается от нормальных дистрибутивов, но порой имеет некоторые интересные особенности. Эту экзотику мы и разберем — не все же время нужно писать о серьезных вещах.

Вот уже почти тридцать лет Plan 9 будоражит умы юниксоидов. Появилось множество форков, большая часть из них умерли, но некоторые живут и по сей день. Едва ли не самый интересный из них — Node9, симбиоз платформы Inferno и языка Lua, способный потягаться с великим и ужасным Erlang.

Skype сейчас стал одним из самых популярных средств общения в бизнес-среде. В итоге многим сотрудникам компаний приходится общаться с «анонимными» людьми из Интернета. Это открывает ещё один вектор для проведения атак с использованием социальной инженерии. А еще до нашей рубрики дошла одна древняя, но интересная атака: речь об Escape sequence injection — инъекциях управляющих последовательностей (они же — эскейп-последовательности).

Каждый раз, когда я слышу разглагольствования о том, насколько лучше или хуже iOS в сравнении с Android, когда начинается спор о плавности работы системы, о ее потреблении аккумулятора, о наличии или отсутствии вирусов, мне хочется взять книжку Эндрю Таненбаума в твердом переплете и дать ей по головам обоих спорщиков. А потом поднять их с земли (Таненбаум писал толстые тяжелые книги) и отправить по домам пить чай и смотреть телевизор, ибо сравнивать iOS и Android может только технически неграмотный человек.

Вот и закончилась эра Windows Server 2003, служившей верой и правдой более десятилетия. Отказ от поддержки означает отсутствие обновлений и исправлений для более 11 миллионов систем, что в будущем может означать большую проблему в безопасности. Уже сегодня нужно подумать о переходе на современную ОС. MS уже предложила мастер и инструкции, но итоговая цена все-таки кусается, а поэтому стоит посмотреть в сторону open source. Будем заменять КД Linux-сервером.

В прошлой статье («Python на стероидах», 198-й номер) мы поговорили о профилировании Python-приложений. Судя по полученному фидбэку, тема оказалась интересной, и, выходит, теперь, когда мы уже попробовали все на практике, настало время познакомиться с теорией :). В этой статье я постараюсь рассказать о том, что вообще такое производительность ПО, как и зачем ее измерять, и закончу тему с профилированием. В следующий раз мы углубимся в тему тестирования производительности ПО в теории и на практике.

Совершая платеж в Интернет-магазине или ином финансовом сервисе, ты наверняка инициируешь SSL-соединение где-то на серверной стороне с участием какого-нибудь Java-приложения. А что если тебе нужно исследовать это соединение? В силу бизнес-ценности его нельзя сделать открытым даже в тестовом окружении. Тупик? Оказывается, нет! Трафик такого приложения можно расшифровать, если у тебя есть его перехват Wireshark’ом и… логи JVM.

Как известно, информационная безопасность предполагает целостность, конфиденциальность и доступность информации. В наше время напичканных электроникой автомобилей, «умных домов» и всевозможных IoT-девайсов обеспечение безопасности информационной становится делом обеспечения безопасности жизнедеятельности.

В этом выпуске — Python-, Shell- и Ruby-скрипты для моделирования окружения, разведки сети и внедрения инъекций.

Мы продолжаем рубрику ZERONIGHTS Heroes, и сегодня Дмитрий Евдокимов, руководитель исследовательского центра Digital Security, и «главный по контенту» конференции ZN, приоткроет тайну названия ивента и расскажет, чем можно шокировать программный комитет.

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего этичного хакера, с задачами, которые перед ним ставятся, и их решениями.

Code Injection – процесс инъекции своего кода в память чужого приложения с дальнейшим его выполнением. Вектор применения довольно широкий, начиная от зловредов и заканчивая различными читами и ботами для игр. В частном случае (который и будет рассмотрен в этой статье) мы можем выполнять функции чужого приложения со своими параметрами. Подобная концепция используется в игровых ботах.

Несколько месяцев назад я уже делился частью своей коллекции тестовых заданий, которые ставят перед соискателями на позицию программиста в индустрии gamedev. И надо сказать, получил неплохой фидбэк! Вижу, что разработка игр серьезно интересует нашего читателя, и не только потому, что в игровой индустрии можно заработать неплохие деньги. Похоже, что для этой области народного хозяйства более чем актуальна мудрость, приписываемая Конфуцию: «Выберите себе работу по душе, и вам не придется работать ни одного дня».

С 24 по 30 августа в Digital October пройдет международный фестиваль анализа данных Data Science Week 2015. Вас ждут 15 открытых лекций и семинаров от ведущих российских и зарубежных экспертов из индустрии Data Science, которые сегодня развивают эту отрасль.

В статье из прошлого номера мы познакомились с теоретической частью и провели небольшой «пентест» WordPress. В этой статье я буду призывать тебя копать глубже, вспомнив, что хакер — это в первую очередь программист :). Действительно, несмотря на то что счет встроенных в Metasploit модулей уже пошел на тысячи, рано или поздно любой, кто плотно работает с фреймворком, сталкивается с необходимостью расширить его функциональность собственными эксплоитами и вспомогательными модулями. Сегодня мы рассмотрим все необходимые аспекты создания модуля с нуля, а заодно коснемся особенностей языка Ruby, которые нужно учитывать при написании.

В конце марта 2015 года Check Point опубликовала отчет об обнаружении группы кибершпионажа, получившей название Volatile Cedar. Группа, вероятно, происходит из Ливана и связана с его политическим силами. Недавно об этой группе появились кое-какие данные, которыми исследователи из подразделения Check Point Malware and Vulnerability Research Group, проводившие анализ вредоносного кода Volatile Cedar и изучавшие деятельность преступной группы, с удовольствием с нами поделились.

Современная сеть насчитывает десятки маршрутизаторов. И с ростом их количества все тяжелее и тяжелее помнить и отслеживать изменения настроек, разбираться с коллизиями IP. В такой ситуации все большее значение приобретают системы управления IP-адресации, позволяющие планировать распределение IP, мониторить и бэкапить установки сетевого оборудования, снабжать админа полезными отчетами. Свои варианты часто предлагают сами производители оборудования, но также имеются универсальные open source инструменты.

Хочется иногда взять и отдохнуть от всех этих фреймворков, движков и готовых библиотек. Точнее, не отдохнуть, а напрячься — взять и накодить какую-нибудь игрушку исключительно с помощью стандартных средств. Какую именно? Выбрать легко, ведь в сердце любого программера неизменно живут три игры, созданные в прошлом веке: Tetris, Digger и Xonix. Поехали!

Отчет о недавних удивительных приключениях русских хакеров в недрах самой известной и узнаваемой DRM в мире. Все секреты торжества хакерской мысли в итоговой статье человека, который приложил к этому руку.

До сих пор существует стереотип о невозможности тонкой настройки iOS, о ее ограниченности в кастомизации, об отсутствии многих стандартных функций других мобильных ОС. В этой статье я расскажу о нескольких трюках, позволяющих расширить возможности ОС. Мы увеличим громкость устройства в наушниках и без них, установим взломанные приложения и взломаем установленные, откатим прошивку даже без цифровой подписи SHSH и снизим яркость экрана ниже предельного уровня. В качестве бонуса поговорим о скрытых возможностях свежего Apple Music.

Вообрази, что разрабатываешь алгоритм, который должен управлять группой автономных роботов. Перед тобой стоит задача: они должны прочесать окрестности, разыскать все объекты определенного типа, а затем собрать находки в одной точке. Зачем? Можешь представить, что действие происходит на другой планете и на роботов возложена важная научная миссия.

Смартфон может разрядиться в самый неподходящий момент. Ты достаешь его из кармана и видишь цифру один или два рядом со значком батареи. Заряд еще есть, но при запуске любого приложения смартфон мгновенно отключится. Чтобы не доводить аппарат до такого состояния, можно применить несколько нехитрых трюков, о которых мы и поговорим в статье.

Когда компьютер сбоит, это всегда неприятно. Когда речь идет о машине, которая принадлежит кому-то из родственников или знакомых, дело усугубляется ещё и тем, что закончить работы хочется как можно быстрее. Ну а если человек жалуется на неисправность, которую не удается воспроизвести, то это помимо прочего ведет к неудобным ситуациям. Вызваны ли проблемы ошибками пользователя или сбоит железо? Ответить на этот вопрос лучше всего помогут не дознания, а диагностические утилиты.

Закон Атвуда гласит, что любое приложение, которое можно написать на Javascript, однажды напишут на Javascript. Компилятор Emscripten делает это практически неизбежным.

Сегодня мобильные технологии – неотъемлемая часть нашей жизни, и иногда проникают туда, где их не следовало бы использовать. Удобство часто оказывается важнее безопасности. Поищите "HMI" (человеко-машинный интерфейс), "SCADA" (система диспетчерского контроля и сбора данных) или "PLC" (программируемый логический контроллер) в магазине Google Play, и вы удивитесь количеству результатов. Но безопасны ли они? Может ли злоумышленник нанести вред, получив доступ к планшету инженера-технолога?

Компания Фаматек, разработчик ПО для удаленной техподдержки пользователей, поздравляет всех системных администраторов с профессиональным праздником и приглашает принять участие в праздничном Квесте Radmin. Пройти квест можно с 31 июля по 04 августа 2015 года включительно. Каждый участник, который успешно пройдет квест, получит лицензию на Radmin в подарок

В этой подборке: пересылаем ссылки звуком, играем в "слова" на английском, запоминаем дела в удобный аутлайнер и изображаем из себя наглого кота. Наслаждайся!

Отвечаем на вопросы читателей. В этом выпуске: как рулить Windows-машинами из консоли Linux, как проверить целостность БД MS SQL, как работает аудит в Windows, какие веб-сканеры я советую для изучения, и другие ответы на вопросы читателей ][.

В этом выпуске: все для Android Wear. А именно: управляем настройками смартфона прямо с часов, устанавливаем сторонний лаунчер приложений, закрепляем приложение на экране вместо циферблата и заставляем делать часы все, что только взбредет нам в голову. Как обычно — приятного чтения.

Наш сегодняшний обзор будет посвящен уязвимостям, которые позволяют совершить побег из разнообразных песочниц. Одна из них затронула такую популярную виртуальную машину, как QEMU. В ходе ее эксплуатации можно выполнить произвольный код, который затронет хостовую машину. Другая же основана на встраиваемом языке Lua — она позволяет не просто выполнять код, но и читать память.

Друзья, мы подвели итоги конкурса компании OCZ. Вы прислали огромное количество ответов. Нам пришлось здорово потрудиться, чтобы проанализировать их все. Итак, список победителей внутри!

У современных программистов нет проблем с выбором либы для создания GUI своих приложений. К их услугам целый пул библиотек, начиная со старушки MFC и заканчивая монстром Qt. Но есть одна разработка, которая стоит особняком, — Sciter. Создатель этой маленькой, но очень полезной библиотеки — Андрей Федонюк, он же основатель и владелец компании Terra Informatica Software.

В этом выпуске - семь тулз и скриптов, ориентированных на поиск разнообразных уязвимостей.

В этом выпуске - сборная солянка настоящего хакера: примеры получения несанкционированного доступа к самым разным данным самыми разными способами.

Существует множество различных фреймворков или даже, правильнее сказать, тулкитов (ExtJS, Dojo, Webix), которые проповедуют свой синтаксис разметки веб-страничек, «искажая» классическое представление о верстке с HTML и CSS. Многие из них обрели свою аудиторию, но сегодня пойдет речь, вероятно, о самом популярном методе нестандартного позиционирования элементов, который пришел в веб из мира десктопной и мобильной разработки...

Сегодня я немного расскажу о решении задачи классификации с использованием программного пакета R и его расширений. Задача классификации, пожалуй, одна из самых распространенных в анализе данных. Существует множество методов для ее решения с использованием разных математических техник, но нас с тобой, как апологетов R, не может не радовать, что при этом программировать что-либо с нуля не нужно, — все есть (причем далеко не в единственном экземпляре) в системе пакетов R.

В октябре прошлого года была представлена новая версия Windows Server. На сегодня мы уже имеем Technical Preview 2. Как и следовало ожидать, нововведения касаются виртуализации, подсистемы хранения, сети и возможностей управления. Изменений много, некоторые неочевидны и скрыты в недрах API, часть еще не работают и слабо документированы — но уже можно делать некоторые выводы.

Когда цена за гигабайт памяти составляет копейки (~0,026 доллара за час в облаке от Amazone), а современные процессоры работают все быстрее с каждым месяцем, производительность ПО во многих случаях оставляет желать лучшего. Ведь часто докупить оперативки и/или процессор оказывается дешевле, чем тратить многие человеко-месяцы на тестирование и исправление проблем с производительностью. Но бывает и наоборот — стоит исправить буквально две строчки кода, как все начинает просто летать. Главное — найти эти самые две строчки кода. Здесь все как в старом анекдоте: «взял один доллар за то, что забил гвоздь, и 99 долларов за то, что знал, куда его забить».