Многие называют концепцию «взлом/защита» гонкой и противостоянием, но вся эта борьба — единственный путь к недосягаемому совершенству: стабильному и надежному ПО. Давай посмотрим, что было сделано за последние несколько лет в мире безопасности для решения этой проблемы.
В сегодняшнем обзоре мы пройдемся по различным веб-уязвимостям в одном популярном проекте, а также разберем простую, но при этом довольно интересную уязвимость в Android-устройствах от компании Samsung и то, как решение для улучшения безопасности может содержать ошибку, что приведет лишь к дополнительному вектору атаки.
Lollipop — самое значительное обновление Android со времен Ice Cream Sandwitch. Программисты Google переработали многие компоненты системы, полностью изменили интерфейс, добавили так давно ожидаемые функции из кастомных прошивок и версий системы разных производителей. Но едва ли не наибольшее количество изменений компания внесла в компоненты системы, отвечающие за безопасность смартфона и пользовательских данных.
Современные облачные сервисы предлагают хакерам потенциально неограниченные ресурсы. Так, Амазон активно используется для взлома WPA-брутфорсом, и скорость перебора наверняка достигла не одного миллиона вариантов. Даже Wikileaks перенесла свои документы в амазоновские службы. Пора в облака и нам.
Всем хороши Android-девайсы, но порой им крайне не хватает возможностей и утилит, имеющихся в настольной Linux. Отдельные инструменты, такие как Terminal IDE, частично выручают, но некоторого нужного функционала в них нет. Как же исправить ситуацию?
Ситуация в сети Tor напоминает ситуацию в глобальном инете в самом конце ХХ века: поток посетителей растет с каждым днем, качественных и полезных сервисов практически нет, впереди непаханое поле для усовершенствований и нереальные перспективы для роста. Можно брать любую выстрелившую идею и воплощать ее в анонимном формате.
За последнее время у Mozilla произошло несколько знаковых событий. Во-первых, это юбилей Firefox. Во-вторых, движок SpiderMonkey обошел V8 на собственных тестах Google. Ну и в-третьих, это, конечно же, релиз Firefox Developer Edition.
В прошлой статье из декабрьского номера я начал говорить об анализе данных и закончил на том, как быстро решить задачу линейной регрессии на R. Сегодня я более подробно расскажу об R как о языке программирования.
В прошлом номере мы рассмотрели возможности библиотеки Esper, предназначенной для сложной обработки событий. В данной статье перейдем от теории к практике, создадим свою собственную подсистему корреляции и интегрируем ее с популярной связкой Elasticsearch — Logstash — Kibana.
Долгие годы я был фанатом разработки под Windows, о чем немало писал в этот вот лучший компьютерный журнал всех времен и народов. Со временем я перешел под Mac OS и UNIX. Работая под макосью, я озадачился выбором тулзы для создания платформонезависмых программ. Что же предпочесть? Java? Mono? Слишком скучно. Я выбрал… Eiffel. И вот почему.
Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.
Все исследования антивирусов обязательно в чью-нибудь пользу ангажированы. Поэтому редакция журнала «Хакер» рекомендует: доверяй только экспертам из журнала «Хакер» :). Наши сотрудники напряглись и выдали на твой суд свой поток сознания.
Про Asterisk, думается, слышал чуть ли не каждый админ — он встречается буквально на каждом шагу, будь то офисная АТС или нечто связанное с телекомом. Но если в первом случае его применение практически всегда оправданно, то во втором могут иметь место некоторые проблемы. Существуют ли альтернативы Asterisk?
Каждый из нас сталкивался с выводом в строку чисел вида 3,4999990123 вместо 3,5 или, того хуже, огромной разницей между теоретическим результатом и тем, что получилось в результате выполнения кода. Давай рассмотрим альтернативный путь с фиксированной точкой и напишем класс числа десятичной дроби с фиксированной точностью.
Apache Tomcat — сервер веб-приложений, используемый преимущественно в коммерческой среде не только как платформа для выполнения приложений, но и как составная часть крупных проектов для предоставления веб-интерфейса. Давай опробуем хваленую стабильность и безопасность UNIX-демонов на примере Tomcat’а.
Обработка большого числа запросов может быть весьма тяжелой задачей, забирающей ресурсы веб-сервера. Чтобы снять нагрузку, используют фронтенд, в качестве которого могут выступать легкие nginx/lighttpd или кеширующий прокси-сервер. Во втором качестве очень популярен Squid, он универсален, но не всегда оптимален. Но именно в этой задаче его более эффективно заменяет Varnish.
Есть не так уж и много способов попасть на обложку «Хакера». Первый — провести крутой и оригинальный ресерч по теме ИБ. Второй — написать огромный и исчерпывающий гайд на важную и интересую тему с теорией и практикой. Ну а третий — организовать культовую хакерскую конференцию. Ребята из DSec, безусловно, пошли по третьему пути.
За три года Digital Ocean стал любимцем технологичных компаний и команд разработчиков, а для рядовых гиков дроплеты DO уже давно перешли в разряд импульсивных покупок.
Наталья Касперская носит фамилию-брэнд совершенно заслуженно — в первые десять лет существования «Лаборатории Касперского» именно она управляла этой компанией и способствовала ее превращению из малого бизнеса в международную корпорацию, являющуюся одним из лидеров на глобальном рынке антивирусов. Сама Наталья тоже обязана «Лаборатории» своим профессиональным ростом и развитием предпринимательских навыков. После того как состоялся ее развод и бизнес-развод с Евгением Касперским, Наталья развивает компанию InfoWatch, доставшуюся ей в процессе дележа совместно нажитых бизнес-активов.
Сегодня в выпуске: пропускаем трафик через VPN-сервер, чтобы сэкономить мегабайты, отрезаем от интернета неугодные приложения, используем резалку рекламы в необычном свете и выясняем, почему Opera Mini до сих пор остается мобильным браузером номер один.
Автомобиль давно не просто механическое чудо — внутри, кроме механики, полно электроники и сетевых технологий, многие из которых реализованы уже сейчас, а многие будут реализованы уже завтра. В своей небольшой заметке я бы хотел обратить внимание на это чудо инженерной автомобильной мысли, поговорить о том, что уже используется, и о том, что хотят выпустить на рынок в ближайшем будущем, и …
Продукты класса SIEM отличаются от обычных Log-серверов как минимум наличием корреляционного движка, способного превратить огромный поток событий в набор алертов. В данной статье мы рассмотрим некоторые возможности библиотеки Esper, позволяющей реализовать свой корреляционный движок, не уступающий по возможностям подсистемы корреляции промышленным SIEM-решениям, а в чем-то даже превосходящий их.
Часто ли ты делаешь бэкапы? Между тем, в *nix-системах существует множество самых разнообразных средств для их создания, начиная от самых маленьких и заканчивая огромными пакетами для энтерпрайз-сектора. Каждое из этих средств имеет свои особенности, у каждого свои преимущества и недостатки... Какое из них будешь использовать ты?
Повышение привилегий, пожалуй, один из ключевых моментов, от которого зависит сценарий дальнейшего проведения пентеста или атаки. Очень часто на этом этапе все и заканчивается, если не получается «расширить свои полномочия». Поэтому сегодня мы немного поговорим о способах, позволяющих пользователю повысить свои привилегии не только до администраторских, но и до системных.
Думаю, ты слышал про интересный фреймворк Evilgrade, который позволяет надругаться над механизмом обновления многих популярных программ (Windows update, Apple update и еще целой пачки), подсовывая вместо валидных файлов зловредные бинарники. Считаешь, подобной уязвимости подвержены только апдейты приложений? Ты ошибаешься. Скажу больше: скачивать бинарники из Сети не так безопасно, как кажется на первый взгляд. Не веришь? Тогда смотри, а вернее — читай.
Пробросить Meterpreter за NAT/DMZ, постэксплуатация MS SQL DB links и многое другое.
Выбор межсетевого экрана не может ограничиваться простым сравнением технических характеристик. Помочь в этом выборе призваны советы экспертов одного из мировых лидеров в области информационной безопасности — компании Palo Alto Networks, которые выявили 10 обязательных функций межсетевого экрана нового поколения.
Сегодня мы продолжим изучение способов противодействия антивирусам и посмотрим, чем еще, кроме компонентов для сигнатурного сканирования и анализа файлов, вооружают свои творения создатели антивирусных программ.
Сегодня в выпуске: защищаем приложения от посторонних глаз с помощью кода, набранного клавишами громкости, открываем сайты и веб-приложения в собственных непересекающихся песочницах, скрываем текст в изображениях так, что его не заметит даже эксперт, а также устанавливаем действительно сложный пароль шифрования накопителя вместо простого PIN-кода.
Компания Trend Micro на днях поделилась с нами серией забавных роликов "Don't be that guy", описывающих типичные ошибки интернет-пользователей. (это скетчи в неформальном стиле, объединенные одним героем - молодым человеком, постоянно попадающим в неприятные ситуации из-за своей беспечности в вопросах интернет-безопасности) Ролики помогают обычным людям узнать об опасных последствиях использования одного пароля на всех своих аккаунтах, о фишинге и т.п.
Парни из Parallels не зря пользуются уважением среди нашего брата программиста. Именно в этой компании придумали контейнерную виртуализацию (и уже реализовали возможность живой миграции контейнеров), сделали такой крутой и всемирно известный продукт, как Parallels Desktop для Mac, и научили смартфоны и планшеты под iOS и Android удаленно воспринимать десктопные приложения с Mac и ПК как нативные (Parallels Access).
Компьютерная игра Watch Dogs прекрасно описывает недалекое будущее: вокруг всевозможные девайсы, средства выдачи и приема наличных, а также разнообразные имеющие доступ в интернет устройства, нашпигованные уязвимостями, эксплуатация которых позволяет хакеру извлечь определенную выгоду.
Малварь для Android стремительно развивается, и антивирусы против нее не всегда эффективны. Даже самые что ни на есть легитимные программы порой просят привилегии, которые им, по идее, не нужны. Как узнать, что делает то или иное приложение в твоем Droid-девайсе и не собирает ли оно о тебе дополнительные сведения?
Год не перестает радовать новыми уязвимостями в популярном ПО. Сегодня в подборке: ошибка в популярной консольной утилите для скачивания файлов с удаленного сервера Wget, несколько уязвимостей в OS X, а также история о том, к чему может привести добавление в свое ПО нового функционала.
В этом выпуске: инструмент для бэкдоринга прошивок роутеров, бесплатный сканер и платформа для тестирования, сканер ShellShock, модификация karma c набором расширений для автоматизации, универсальный распаковщик, редактор таблицы IAT, фреймворк для быстрого реагирования на инциденты.
Если спросить меня, какая профессия будет самой востребованной в обозримом будущем, то я бы сказал, что это data scientist. У этой профессии даже нет нормального русскоязычного аналога, в лучшем случае — это просто дословный перевод «ученый по данным». Тем не менее слово «аналитик» вполне отражает суть дела.
Огромные программные комплексы, которым предстоит проверять каждый файл, программу и интернет-запрос, обязательно будут тормозить систему. Но вот в каких масштабах? Сегодня мы это проверим и выберем самый быстрый антивирус по версии журнала «Хакер».
Сайт защищен Qrator —
