В этой подборке: веб-сервисы и веб-компоненты в помощь разработчику мобильных и браузерных приложений.

Этот простой пример общения с пользовательской поддержкой Amazon демонстрирует, как злоумышленники могут эксплуатировать персональные, психологические, культурные и юридические уязвимости западной корпоративной системы.

Атаки с использованием социальной инженерии нынче стали чем-то обыденным и традиционным — как распространение вирусов или SQL-инъекции. Злоумышленники используют их для хищения средств, атак класса Advanced Persistent Threat (APT) и высокоэффективного проникновения в корпоративную сеть, даже когда другие способы преодоления периметра не дают результатов. Пентестеры и этичные хакеры выполняют социотехнические проверки как в виде самостоятельных работ, так и в рамках комплексного тестирования на проникновение.

В каждой статье по социальной инженерии обязательно упоминается необходимость собрать всю открытую информацию о компании и ее сотрудниках. Это может быть не только частью аудита безопасности, но и отдельной услугой — ее называют конкурентной разведкой. У разведчиков, конечно же, есть свои приемы и даже софт. Что немаловажно, работа с зарубежными целями имеет немало своей специфики. С нее и начнем.

Со времен древнего человека развивались два способа получить нечто, принадлежащее другому: силой и обманом. Первый подход породил гонку вооружений, а второй — целый класс приемов работы на уровне подсознания. Сегодня они известны как социальная инженерия и успешно используются для НСД в компьютерных сетях любого уровня защиты. Доступные технологии меняются быстро, а люди и их привычки — нет.

В этой подборке: браузерный торрент-клиент, скрипт для браузерного же эквалайзера, работа с Git из Node.js и целая куча утилит для работы с веб-версткой.

«Человеческий фактор» — одна из самых распространенных угроз информационной безопасности. Для снижения рисков, связанных с этим обстоятельством, используются различные технические и административные механизмы защиты. Один из них — повышение осведомленности в области ИБ. Сегодня мы с тобой поговорим о такой избитой, на первый взгляд, штуке, как социальная инженерия, а точнее — об услуге, основанной на ней.

И очередной, сто девяносто шестой сборник наших ответов на ваши самые интересные вопросы, присланные в редакцию за месяц. Как обычно, куча полезных советов по ежедневным задачам, кодингу и администрированию. Хочешь задать свой вопрос? Пиши на faq@glc.ru! Welcome.

Название Docker попадается тебе на страницах X не в первый раз — в майском номере мы подробно рассказывали об этой замечательной технологии виртуализации. Она значительно облегчает администрирование и быстро завоевывает рынок. Но многие ли знают, что в основе опенсорсного Docker лежат технологии компании Parallels? У нас возник вопрос: почему, создав Docker, Parallels не вступает в мир контейнерных войн на правах ведущего игрока и не спешит представить свое решение для виртуализации конечному пользователю? Об этом мы решили спросить у ключевого разработчика Parallels Павла Емельянова.

Продолжаем тему, которая не влезла полностью в прошлый выпуск. Тогда мы обсуждали тему постэксплуатации в случае захвата контроля над Cisco роутером или свичем, а конкретнее — возможность снифа трафика, проходящего через сетевой девайс.

Среднестатистическому обывателю при слове Logitech приходит на ум бюджетная офисная периферия, которая доминировала во всех компьютерных классах и в офисах. Однако если копнуть чуть глубже, то выяснится, что Logitech уже давно активно занимается разработкой и игровых гаджетов тоже. Более того, клавиатура Logitech G910 Orion Spark, недавно выпущенная компанией, стала настоящим бестселлером, подготовив тепленькое местечко производителю в лидерах рынка игровой периферии.

WPAD — это весьма простой протокол для автоматической настройки прокси-сервера. В этой статье я расскажу, как он устроен, какие возможности для эксплуатации он предоставляет с точки зрения злоумышленника, а также поделюсь идеями, как можно использовать эту технологию для частичного перехвата HTTPS-трафика.

В современной матрице IT-технологий квалифицированный администратор — персона хоть и не всегда видимая, зато важная и весьма занятая. Отбиваясь от назойливых пользователей, он постоянно должен присматривать за ареалом своего цифрового мира — сайтами. Давай же поможем нашему админу и создадим полезный виджет, внимательно следящий за доступностью всех его ресурсов. И да, погоду этот виджет показывать не будет.

Несмотря на то что XXI век принес в наши дома (не во все, но всё же) гигабитные каналы связи и котиков на YouTube в разрешении 4K и 60 FPS, основой Сети, самой массовой его частью, все еще остаются текстовые данные. Рефераты и курсовые работы, технические драмы на Хабре и Stack Overflow, сидящий занозой в ... Роскомнадзора Луркмор — все это текст, все это слова. А поскольку каталогизация в реальном мире очевидно хромает, то без хорошего полнотекстового поиска никуда.

Технологии, ломающие привычные парадигмы, всегда воспринимаются в штыки. Стоит вспомнить персональные компьютеры, камеры в телефонах или даже iPhone. Все они получили жесткую волну критики, но в конце концов стали неотъемлемой частью нашей жизни. Я сомневаюсь, что тот девайс, о котором я расскажу сегодня, действительно станет реальностью и получит широкое распространение, но я уверен, что сама концепция не только приживется, но и станет мейнстримом.

Недавно мы начали знакомиться с фичами Win 10 и VS. Прошел месяц, и вот в наши волосатые руки попадает уже Visual Studio 2015 CTP 6 и SDK для Win 10! Будем разбираться. Новая ASP.NET, новое поколение компиляторов — Roslyn, новые визуальные тулзы для отладки XAML-кода... ммм... я чувствую себя, как ребенок в кондитерском магазине! Ну, как говорил Карлсон, «и ты заходи» :).

В преддверии выхода Windows 10 сложно переоценить значение разработческой конференции DevCon, которую проводит компания Microsoft. Каждый разработчик жаждет знать, чего ждать от «Десятки», и что у неё будет «под капотом». Платформа Azure обрела множество новых функций, браузер Edge пришел на смену Internet Explorer, а Visual Studio обновится до версии 2015.

Сайт The Kernel опубликовал интервью с Павлом Дуровым. Сооснователь «Вконтакте» и Telegram рассказал о текущей и будущей бизнес-модели мессенджера, ежемесячных расходах компании и о том, что Telegram останется бесплатным, что бы ни случилось. Мы перевели наиболее интересные моменты интервью.

Количество зловредов под OS X росло вместе с ростом ее популярности. Немногие этого ожидали (хорошая защищенность и необходимость root создавали ощущение безопасности), но теперь этот факт можно считать установленным: чем больше народная любовь к системе, тем выше интерес к ней со стороны злокодеров, и малварь начинает появляться даже в, казалось бы, хорошо базово защищенных системах. Особенно результативным в этом плане оказался год прошлый. Мы сделали для тебя хронологическое описание всех самых заметных зловредов, поражающих продукцию от Apple. Наслаждайся!

На пути к полноценной работе с Docker у тебя может возникнуть ряд вопросов, и ты столкнешься с трудностями, которые сложно решить без знания архитектурных деталей Docker. В этом FAQ мы попытались собрать ответы на наиболее частые вопросы и решения для самых серьезных проблем Docker.

Большинство современных серверов поддерживает соединения `keep-alive`. Если на страницах много медиаконтента, то такое соединение поможет существенно ускорить их загрузку. Но мы попробуем использовать `keep-alive` для куда менее очевидных задач.

Благодаря своей архитектуре и особенностям, о которых мы уже поговорили в предыдущих статьях, Docker может быть использован для решения огромного количества задач, многие из которых простираются далеко за пределы виртуализации в классическом понимании этого слова. Docker удобно использовать для реализации микросервисов, деплоя приложений, упрощения цикла разработки, изоляции приложений и многих других задач.

Docker — это действительно must have инструмент для разработчика и администратора сколько-нибудь крупного проекта. Docker обязательно нужно знать: уже в самом ближайшем будущем он будет везде, начиная от десктопного Linux-дистрибутива и заканчивая пулом серверов на AWS. А самое приятное, что разобраться с Docker довольно легко, если, конечно, правильно понимать принцип его работы.

Формат PDF стал очень популярен с развитием интернета и распространением электронной документации, и тем, кто имеет дело с текстами, приходится подбирать инструментарий, чтобы открывать файлы в этом формате и работать с ними. Сторонникам *nix есть из чего выбирать.

Первые хаки мы с друзьями проворачивали, когда еще не существовало интернета. Начинали с простого реверса и анлока секретов в компьютерных играх. Мы разбирались, как разблокировать секретные уровни в играх, и для нас это было не просто забавой, а осознанными, настоящими попытками взломать игру. За этим делом я провел множество дней и ночей (особенно долгих зимних).

Можно сколько угодно обсуждать достоинства и недостатки графических интерфейсов разных операционных систем, но, какой бы из них ты ни пользовался, для серьезных дел нет-нет да понадобится открыть старую добрую консоль. Пользователям Windows на этот счет раньше приходилось выслушивать насмешки от линуксоидов и маководов, но все изменилось с выходом PowerShell. В его пятой версии возможностей стало еще больше.

Микроядерные ОС нынче не то что обесценились — устройства на их основе мало пересекаются с привычными компьютерными системами. Тем не менее большая часть этих ОС, находящихся в коммерческом применении, закрыта, а открытые проекты, как правило, уже устарели и неприменимы в реальных целях. Относительно недавно, однако, появился свободный фреймворк для создания ОС — Genode, про который мы и расскажем в этой статье.

Современные дистрибутивы Linux зачастую чересчур тяжеловесны (тот же LibreOffice из-за использования Java требует много памяти), так что на маломощных компьютерах особо не разгуляться. К счастью, существуют дистрибутивы, которые максимально урезаны по размеру, но при этом содержат все необходимое для более-менее комфортной работы.

Мне всегда хотелось написать серию статей по функциональному программированию для этого журнала, и я очень рад, что у меня наконец-то появилась такая возможность. Даже несмотря на то, что моя серия про анализ данных еще далека от завершения :). Не буду анонсировать содержание всей серии, скажу лишь, что сегодня мы поговорим о разных языках программирования, поддерживающих функциональный стиль и соответствующих приемах программирования.

В современном мире различные VPN-технологии используются повсеместно. Некоторые (например, PPTP) со временем признаются небезопасными и постепенно отмирают, другие (OpenVPN), наоборот, с каждым годом наращивают обороты. Но бессменным лидером и самой узнаваемой технологией для создания и поддержания защищенных частных каналов по-прежнему остается IPsec VPN. Иногда при пентесте можно обнаружить серьезно защищенную сеть с торчащим наружу лишь пятисотым UDP-портом. Все остальное может быть закрыто, пропатчено и надежно фильтроваться. В такой ситуации может возникнуть мысль, что здесь и делать-то особо нечего. Но это не всегда так. Кроме того, широко распространена мысль, что IPsec даже в дефолтных конфигурациях неприступен и обеспечивает должный уровень безопасности. Именно такую ситуацию сегодня и посмотрим на деле. Но вначале, для того чтобы максимально эффективно бороться c IPsec, нужно разобраться, что он собой представляет и как работает. Этим и займемся!

Расширение ARC Welder позволяет запускать приложения с Android на любом компьютере, где работает браузер Chrome. Польза от такой возможности очевидна не сразу, но если задуматься, то можно найти несколько классов мобильных приложений, которые пригодятся на десктопе. К сожалению, пока и это сопряжено с разнообразными сложностями. Часть из них можно обойти.

OpenVMS — не просто одна из операционных систем общего назначения. Не особенно распространенная, она отличается поразительным долголетием. Появившись в семидесятые годы, OpenVMS пережила множество тогдашних ОС и сыграла важную роль в появлении Windows NT, на которой основаны все современные версии Windows. Жива она и сейчас.

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

WordPress - это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на Wordpress, а также покажем как устранить выявленные уязвимости.

Сегодня мы узнаем, как в OS Android можно красиво и элегантно создать собственный планировщик заданий, который будет полезен в твоих, разумеется, светлых делах. Для этого нам потребуется исключительно стандартный инструментарий: Android SDK от Google и редактор кода Eclipse c плагином ADT.

Моргания лампочки и замыкание контактов — дело интересное и полезное для первых шагов. Но, как все мы помним со школы, чем нагляднее эксперимент, тем он интереснее. Я продолжу развивать проект из предыдущих серий, и сегодня мы прикрутим термодатчик 1-Wire для того, чтобы контролировать температуру в твоем многострадальном холодильнике. Того и гляди, скоро у тебя появится «умный» холодильник :).

Считается, что при использовании Wi-Fi «зона риска» обычно не превышает пары десятков метров. Так, во многих компаниях по Wi-Fi передают конфиденциальные данные, наивно полагая, что раз зона покрытия надежно охраняется, то сеть в безопасности. Но что, если я покажу тебе, как можно незаметно поймать, проанализировать и даже полностью парализовать закрытую Wi-Fi-сеть, находясь от нее на расстоянии почти в полкилометра?

Довольно часто юзеры, привыкшие рутовать прошивки, устанавливать разного рода системный софт, менять ядра и по-другому издеваться над прошивкой, обнаруживают, что установить OTA-обновление невозможно. Оно просто не встает, ругаясь на измененные системные файлы, неправильные цифровые ключи и всякое прочее. В этой статье я расскажу о самой механике обновления, причинах возникновения проблем и о том, как их решить.

Когда увеличивать количество транзисторов на ядре микропроцессора стало физически невозможно, производители начали помещать на один кристалл несколько ядер. Появились фреймворки, позволяющие распараллеливать исполнение кода. И это было только начало: производители видеоадаптеров — графических процессоров тоже не стояли на месте.

Есть масса способов отправить большой файл через интернет, но далеко не все они дают возможность передать что-то анонимно и только одному адресату. Как поделиться большим файлом так, чтобы получатель не использовал никаких учетных записей и не оставлял следов в облаках?