Привет. Сегодня мы поговорим о новых стартапах в области ИБ. Горячие инновационные технологии прямиком из Кремниевой долины с конференции RSA в Сан-Франциско!

Сегодня в выпуске: выясняем текущую сетевую конфигурацию, пингуем хосты и скрыто сканируем порты, включаем комп по сети, определяем, какие операционки есть в локальной сети, перехватываем трафик и вклиниваемся в чужие сессии.

Торренты и файлообменные сети пытаются запретить с момента их создания. Десятки трекеров уже закрылись, Rutracker.org ушел в подполье, а топовые сиды давно на прицеле. Но есть альтернативный способ приобщиться к миру торрентов, с которым не остается явных следов и даже появляются дополнительные бонусы.

Мы установили каждый антивирус в свою виртуальную машину. Перед тестом обновили и попытались не допустить заражения при посещении заведомо инфицированных сайтов через предустановленный браузер Edge. Свежий список угроз взяли из базы Clean MX, а все виртуалки — клоны одной и той же чистой операционки.

В банковской защите применяются всевозможные токены, многофакторные авторизации, антифрод-системы — в общем, делается все, чтобы свести к минимуму вероятность несанкционированного перевода денег клиента злоумышленниками. Но, как показывает практика, этого не всегда бывает достаточно. Об одном таком случае и пойдет речь.

Немало воды утекло со времен лихих девяностых, и теперь ABBYY разрабатывает решения в области интеллектуальной обработки информации и лингвистики, известные во всем мире. А мы не только знаем, что ABBYY читается как «Аби», но и котируем эту компанию как достойного работодателя.

Все мы привыкли к мнению, что без антивируса, а еще лучше Internet Security безопасная жизнь на винде невозможна. Хочешь обойтись без него — добро пожаловать на Linux или OS X. А так ли это на самом деле? Проверим на практике!

Здорово, когда у твоего приложения есть возможность постоянно получать апдейты с сервера. Конечно, реализовать периодические сетевые запросы легко, мы с тобой такое не раз делали. Однако, если дюжина приложений будет постоянно стучаться к своим управляющим серверам, батарея телефона или планшета разрядится еще до полудня.

В отличие от полноценных серверов, где обычно настроены PAM (Pluggable Authentication Modules), которые ограничат доступ к серверу на определенное в конфиге время после нескольких (как правило, трех-пяти) неудачных попыток входа, в роутере Линукс обрезанный. PAM на нем нет, поэтому ничто не мешает его брутить. И эта идея — брут и захват роутеров — сегодня, можно сказать, в тренде!

С этого выпуска мы начинаем публикацию ежемесячных дайджестов событий, произошедших в мире мобильных технологий. Здесь будет все: инфа об обновлении мобильных ОС, популярных приложений и прошивок, новые интересные приложения и твики, инфа о свежих уязвимостях и всем, что связано с security, инструменты для разработчика мобильных приложений, ссылки на любопытные публикации и исследования. Приятного чтения, и не забывай оставлять комментарии.

В прошлой статье мы рассматривали официальные компоненты и виджеты библиотеки совместимости от Google, позволяющие «старым» (до 5.0) версиям Android прикидываться молодыми и стильными. Сегодня мы рассмотрим некоторые опенсорсные проекты, проверенные временем, разработчиками и, конечно, пользователями приложений.

В последнее время оригинальных и интересных приложений для Android становится все больше, поэтому набирают популярность и эмуляторы Android для стационарных ПК. В этой статье я расскажу тебе о результатах своего тестирования таких эмуляторов: что там на самом деле с производительностью и правда ли получится поиграть.

Такие технологии, как chroot(), обеспечивающая изоляцию на уровне файловой системы, FreeBSD Jail, ограничивающая доступ к структурам ядра, LXC и OpenVZ, давно известны и широко используются. Но импульсом в развитии технологии стал Docker, позволивший удобно распространять приложения. Теперь подобное добралось и до Windows.

Человека всегда привлекала идея управлять машиной естественным языком. Возможно, это отчасти связано с желанием человека быть НАД машиной. Так сказать, чувствовать свое превосходство. Но основной посыл — это упрощение взаимодействия человека с искусственным интеллектом. Управление голосом в Linux с переменным успехом реализуется без малого уже четверть века. Давай разберемся в вопросе и попробуем сблизиться с нашей ОС настолько, насколько это только возможно.

История кросс-платформенного вредоносного кода Adwind началась в январе 2012 года, когда один из пользователей хакерского форума сообщил, что разрабатывается новый комплекс для RAT. А в конце 2015 года эксперты зафиксировали атаку на банк в Сингапуре, и расследование обнаружило примечательный факт: при атаке использовался вредоносный код, корни которого уходят к тому самому сообщению на хакерском форуме...

В этом выпуске — монитор для файловой системы, набор Python-скриптов для пентестов, ROP-утилита для обхода антивирусов, инструмент для поиска уязвимых роутеров, модульный фреймворк для фаззинга, портативная PowerShell-консоль и анализатор Android-приложений. Stay Tuned!

Мир Android развивается очень бурно, и мы, разработчики, имеем счастье каждый день узнавать что-то новое и тем самым становиться лучше. Технологии, которые были передовыми год назад, уже могут быть не так эффективны. К примеру, начиная с API версии 21 был введен новый класс Camera2, предоставляющий возможность управлять камерой. Старому классу Camera присвоен статус deprecated: это значит, что он все еще доступен для использования, но уже очень скоро его исключат и на новых устройствах этот класс работать не будет. Мы ориентируемся на перспективу, для этого сегодня мы изучим новые возможности, разобравшись, зачем же он же пришел на смену старому.

С 1 июня 2014 года одно из моих приложений пережило 65 обновлений и в декабре 2015-го наконец получило более десяти миллионов установок. Поэтому я почувствовал, что имею моральное право сделать статью с советами о том, как достичь аналогичного процветания.

Примерно год назад в голосовом ассистенте Siri появилась поддержка русского языка, что открыло нам возможность управлять своим смартфоном в машине, при готовке пищи и в других случаях, когда заняты руки. В этой статье мы рассмотрим, какие команды поддерживает Siri, разберем несколько интересных вариантов ее использования и попробуем научить ее новым командам.

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то — работа, для кого-то — стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего хакера на службе корпорации, с задачами, которые перед ним ставятся, и решениями этих задач.

В условиях перманентного кризиса покупка смартфона или планшета из Китая кажется удачным способом сэкономить и получить устройство с флагманскими характеристиками за треть цены такого же, но сделанного производителями «первого эшелона». Но откуда берется эта сказочная экономия? Попробуем выяснить, а заодно поговорим о том, как правильно выбирать китайский смартфон и стоит ли это делать.

Как найти уязвимости там, где их ещё никто не искал? Попробуй перевести POST-запрос, например, для аутентификации в JSON- или XML-формат. Идея в том, что разработчики часто оставляют различные способы аутентификации, обычно, для дальнейшего использования сторонними приложениями. А так как эта функциональность не на виду, часто она не защищена от банальных инъекций. а если в дело вступает XML - чтение произвольных файлов на сервере практически гарантированно!

Когда антивирусные компании впервые начали публиковать обзоры Flame, с определенного угла зрения они читались как самая настоящая реклама этого продвинутого зловреда. Слаженный коллектив, миллионы долларов «инвестиций», высокие технологии, архитектура, паттерны, высочайшая квалификация... Вкусно звучит, не правда ли? Мы, мобильные кодеры, можем кое-чему у них подучиться!

Мы выбрали пять необычных браузеров. Они интересны не потому, что лучше Chrome или Firefox. Часто — совсем наоборот. Но для их существования всегда есть веская причина. Кто-то не хочет бросать дело, начатое четверть века назад, кто-то болеет за операционную систему, о которой забыли авторы всех прочих браузеров, а кто-то — за миллионы долларов, обещанные инвесторами из Кремниевой долины.

Любимый многими браузер Opera поделился надвое: его создатель Йон фон Тэчнер с группой единомышленников делает новый продукт — Vivaldi, а Opera тем временем переходит во владение китайской фирмы Qihoo. О том, какие события привели к этой ситуации, рассказывает Илья Шпаньков. Он работал в Opera Software менеджером по развитию в России и СНГ, а теперь перешел в команду Vivaldi.

Если ты когда-нибудь имел дело с научными публикациями, то наверняка сталкивался с неприятной ситуацией: нужная работа есть в интернете, но за скачивание просят заплатить ощутимую сумму. Солидные заведения на это, быть может, и согласны, а вот личное любопытство в итоге приходится удовлетворять цитатами и пересказами из публичных источников. Но, оказывается, пираты тиражируют не только интеллектуальную (и не очень) собственность Голливуда.

Мы живем в просвещенные времена флэш-накопителей и вездесущего интернета. Но иногда всё же приходится нарезать болванку-другую — к примеру, для создания загрузочного диска. А для этого хорошо иметь удобное и надежное средство. И, в случае с Windows, выбирать есть из чего.

Всем привет! Давненько я не писал ничего в журнал «Хакер», так что многие, наверное, не в курсе, что за чувак такой собрался тут вести колонку. Так что пара слов обо мне. Меня зовут Александр Поляков, но это не так важно — я в основном известен как sh2кегг.

XSS-атаки (сross-site scripting) уже давно вышли за рамки угона сессии через document.cookie на сниффер злоумышленника. Различные онлайн-сервисы, которые позволяли с легкостью вставлять нужный пейлоад и ждать, пока на e-mail придет уведомление с данными жертвы, остались где-то в 2007. Сегодня речь в статье пойдет о популярном инструменте, который помогает выжать максимум из простого внедрения JS-кода. Итак, знакомься — BeEF.

«Конечно, оно работает на NetBSD» — таков официальный слоган операционки, которой посвящен сегодняшний обзор. Долгое время NetBSD держала первенство как самая портабельная ОС в мире и, если говорить о технической стороне вопроса, до сих пор продолжает лидировать: компоненты этой системы ты можешь найти везде, начиная от роутеров и заканчивая смартфонами и игровыми консолями.

Штатный интерфейс операционной системы Android за несколько лет прошел большой путь. Но, хотя огромному количеству пользователей вполне хватает того, что предлагает стоковый лаунчер Android, он нравится далеко не всем. Если ты как раз раздумываешь, каких удобств тебе не хватает в управлении твоим смартфоном, обрати внимание на выбранные нами варианты.

Благодаря открытости и отсутствию встроенной системы защиты (а также легкомыслию пользователей) в Android очень легко заводится различная малварь. Ну а наше программерское дело простое — попробовать разобрать то, что написано злокодером. Посмотрим, как это делается.

Сегодня на просторах интернета можно найти огромное количество решений для управления виртуализацией от коробочных до панельных версий. Одни ставятся вместе с системой, другие «наворачиваются» отдельно. Среди них есть с виду обычная система управления виртуальными узлами: Archipel от французского программиста Антуана Меркадаля.

В этой статье я покажу, как реализовать основные операции по работе с открытыми ключами. Речь идет о подписи, проверке подписи, шифровании и расшифровании в контексте PKI. Теоретически данный код может использоваться с любымCryptography Service Provider, поддерживающим интерфейс MS Crypto API.

Во второй части нашего ликбеза по криптографии мы доступно объясним, как работает симметричное и асимметричное шифрование, как выбрать криптостойкий ключ, зачем и как происходит распределение, а также что такое удостоверяющие центры и инфраструктура открытых ключей.

Довольно часто мы ведемся на красивые маркетинговые фразы многих продуктов, такие как «Ваш компьютер защищен» или «Ваша система в безопасности». Мы довольно расслабляемся и думаем, что нам ничего не грозит. Но, оказывается, security-решения сами нуждаются в защите. Считаешь, та легкость, с которой злоумышленники в кино открывают любые двери — всего лишь красивая режиссерская выдумка? Ну что ж, давай выясним!

Существует масса причин зашифровать данные на своем жестком диске, но расплатой за безопасность данных будет снижение скорости работы системы. Цель этой статьи — сравнить производительность при работе с диском, зашифрованным разными средствами.

В сегодняшнем обзоре мы рассмотрим DoS уязвимость в антивирусе QuickHeal, посмотрим, как происходит процесс поиска и эксплуатации ошибки в браузере Baidu для Android, и закончим взглядом на серию уязвимостей в популярной веб-камере.

Такие приложения, как Tasker и Locale, уже давно стали одним из главных аргументов в споре поклонников Android и iOS. Действительно, обычные, не требующие ни прав root, ни прав администратора приложения, а позволяют творить со смартфоном такое, что любой ветеран Linux-скриптинга обзавидуется. Как же они работают и почему подобных приложений нет в других мобильных системах?

Облачные решения все плотнее смешиваются с привычными, и сегодня определить, на каком сервере запущено приложение, становится сложнее, да и ситуация может измениться в любой момент. Помимо физических сетей, в ЦОД присутствуют сотни виртуальных. Управлять этим зоопарком при помощи традиционных сетевых технологий все труднее. В Windows Server 2016 появился новый элемент Network Controller, реализующий концепцию программно определяемой сети (Software Defined Networking).