Black Hat и DEF CON — эти две легендарные конференции собирают если и не всю хакерскую тусовку, то совершенно точно ошеломляющее количество легендарных людей. Достаточно открыть свою ленту в Twitter’е, чтобы понять — тут почти все!
Snort и прочие IDS — это, конечно, удобно и круто, но некоторые моменты омрачают картину. Особенно ярко проблемы всплывают, когда мы хотим мониторить трафик в облаке. В конечном счете это приводит к отказу от использования NIDS, например в AWS. Но следить за событиями надо, и решения есть!
В апреле этого года вышла RAD XE6. Таблица возможностей среды разработки представляет собой 25-страничный PDF-документ, набранный очень мелким шрифтом. Бросается в глаза невероятное обилие наворотов для мобильного кодинга. Стоит ли ради них приобретать RAD XE6? ][ разобрался, что кроется за каждым пунктом рекламного проспекта, и протестировал новый продукт от Embarcadero на предмет удобства мобильной разработки.
Должно быть, многие помнят, как до эпохи тотального распространения интернета пиратский софт продавался с лотка в подземных переходах. Затем все дружно качали кряки на «специализированных» сайтах, позже появились торренты. Сегодня на некоторых из них присутствует и регулярно обновляется пиратское ПО на любой вкус. Казалось бы, живи и радуйся, но Quid prodest («Ищи, кому выгодно») не дает расслабиться… Дело в том, …
Обратная совместимость — вещь хорошая, но использовать ее надо в разумных пределах. Ведь до сих пор в ядре Windows можно найти код, разработанный еще в прошлом веке. Говорить о его высокой безопасности было бы глупо. И мы докажем это на примере трех privilage escalation уязвимостей, прижившихся в подсистеме виртуальной машины DOS.
С тех пор как из журнала ушли Форб и Крис Касперски, больше никто не пишет мне писем «Дай аську Докучаева, очень срочно!» и «Есть мыло Криса, которое он читает?». Зато стали появляться парни, которые, поработав после института пару лет в качестве разных офисных сотрудников, вдруг поняли, что на самом-то деле они читают журнал «Хакер» и хотят программировать.
Современный GNU/Linux — это больше чем набор программ и программа установки. Скорее, это реализация некой идеальной ОС, какой ее видит конкретная команда разработчиков. Но даже самые популярные дистрибутивы далеки от совершенства, поэтому многие линуксоиды находятся в постоянном поиске. Поищем и мы альтернативы.
Когда происходит сбой в системе и она перестает загружаться, многие пользователи не знают, что делать. Конечно, лучше вообще не допускать таких ситуаций, но, если уж подобное случилось, нужно воспринять это как данность и разобраться в проблеме.
Большая часть статей рубрики X-Mobile посвящена хакам и твикам, которые требуют получения прав root, модификации прошивки или ее замены на кастом. Однако далеко не каждый читатель готов подвергать свой смартфон подобным операциям, опасаясь, что они способны превратить девайс в кирпич или привести к появлению нестабильности в работе. Сегодня я развенчаю эти мифы и покажу, что даже в самой патовой ситуации вернуть смартфон к жизни не так уж и сложно.
Торговля наркотиками, философия и высокие технологии редко сходятся вместе. Но история легендарного рынка Silk Road, без малого три года работавшего в «темном вебе», — как раз из таких редких случаев.
Еще в прошлого года я начал довольно любопытный эксперимент — попытку оцифровать себя. Не в том плане, чтобы вживить себе какой-нибудь имплантат с программным управлением, который бы сразу прибавил мне +20 к памяти или +30 к умению считать в уме (хотя это было бы прекрасно). Идея гораздо проще и куда более реальна: собрать и проанализировать различные показатели своей жизнедеятельности.
Современный мир IT — это мир облачных технологий и виртуализации. Это мир, в котором виртуализация уже стала такой же обычной вещью, как HTTP-сервер и окно графического интерфейса. Она используется для всего, начиная от запуска серверов и заканчивая тестированием приложений. И кажется странным, что мы до сих пор не имеем специальной ОС для виртуальных машин. Или все-таки имеем?
GNU/Linux — это уникальный проект, который объединяет тысячи разработчиков по всему миру и развивается стремительными темпами. Сегодня GNU/Linux можно найти как на мощных суперкомпьютерах, так и на игровых приставках, телефонах, встраиваемых системах, рабочих станциях и десктопах. В этой мини-статье мы хотим предложить твоему вниманию самые интересные факты, касающиеся истории и текущего развития Linux.
Мониторинг был и остается важнейшей частью системного и сетевого администрирования. Но если для маленькой локальной сети зачастую достаточно время от времени смотреть логи, то в случае крупных систем приходится использовать специализированные средства. Об одном из них — Zabbix и поговорим сегодня.
Оказывается, для того, чтобы нормально кодить под Android, достаточно знаний HTML5, CSS3 и JavaScript. Конечно, не просто так, а в сочетании с сервисами, обзор которых мы для тебя подготовили. Ну а если ты не понаслышке знаком с PHP (Ruby, ASP.NET), то после прочтения этой статьи, можешь смело предлагать свои услуги по продвинутой мобильной разработке :).
С приходом эры виртуальных машин значительно упростилась доставка приложений, и теперь все чаще разработчиками предлагаются сконфигурированные шаблоны виртуальных машин (Virtual Appliances), которые можно использовать не только для тестирования, но и в рабочей среде. Ассортимент предварительно настроенных VA достаточно широк и покрывает все потребности ИТ: от брандмауэров и систем защиты до приложений и серверов различного назначения. Давай разберем, чем можно заменить традиционные решения.
Прошло больше года с тех пор, как Opera перешла на Chromium/Blink. С одной стороны, компания отказалась от борьбы с ветряными мельницами, перестала бороться за то, чтобы в интернете было место для еще одного движка Presto. С другой стороны, Opera отказалась от концепции «интернет-комбайна», в который входило все вплоть до клиента BitTorrent. За это решение норвежцы до сих пор расплачиваются, ежедневно отбиваясь от разъяренных фанатов «старой школы».
Тестирование — неотъемлемая часть цикла разработки программного обеспечения. Начинающие команды девелоперов зачастую недооценивают его роль и проверяют работоспособность приложения по старинке — «работает, да и ладно». Рано или поздно эта стратегия дает сбой и баг-трекер начинает захлестывать бесчисленная армия тасков. Чтобы не угодить в подобную западню, рекомендую раз и навсегда разобраться с нюансами тестирования JavaScript-кода.
У китайцев особенное представление о копирайте — у них он просто не действует. В то же время свои наработки они защищают различными техническими средствами, почему-то «забывая» делиться ими со своими клиентами. Казалось бы, ситуация безвыходная: поступила партия китайских планшетов, и встала задача прошить их таким образом, чтобы контент заказчика не стирался при сбросе настроек, при этом имеется стоковая прошивка в неизвестном bin-формате, но отсутствует SDK. Что же делать, как собрать кастомную прошивку? Выход один — применить реверс-инжиниринг.
В этом выпуске: фреймворк для реверсинга, набор сетевых протоколов, инструмент для просмотра и проверки OLE/COM-компонентов, отладчик ассемблерного уровня для мобильных платформ, утилита для тестирования веб-приложение на уязвимость к атакам на оракулы дополнения, тулза для проведения man-in-the-middle и спуфинг атак, инструмент для атак drive-by download.
Memcached представляет собой распределенную систему кеширования, ставшую очень популярной в нагруженных интернет-проектах. А как ты знаешь, с ростом популярности продукта растет и интерес к его безопасности. Поэтому сегодня мы исследуем различные обертки к memcached и попытаемся обнаружить проблемы, которые могли бы использоваться для внедрения произвольных команд.
Повсеместное распространение устройств на базе платформы ARM приводит к тому, что атаки на них становятся для злоумышленников все более «вкусными». Но несмотря на то что на обнаружении шелл-кодов под x86 исследователи уже собаку съели, с ARM все не так просто. Большинство существующих детекторов оказались попросту неприменимыми. Причина этому — разница двух архитектур.
Похоже, что с ростом популярности любая операционная система превращается в Windows. Трудно было ожидать, что знакомые пользователям винды локеры-шифровальщики появятся на платформе, известной своими Linux-корнями, но факт остается фактом — в начале этого лета тысячи пользователей андроидофонов ощутили на себе блокировку экрана и вымогательство денег со стороны новой рансомвары.
В этом выпуске: брутим виртуальные хосты, используя TLS SNI, экспортируем дамп в Wireshark, собираем списки для пентеста, собираем сведения, используя SNMP без MIB, получаем контроль над сервером через BMC и захватываем контроль над сервером через BMC, используя IPMI.
Про пентест было написано уже много: как его проводить, зачем его проводить, когда он полезен и когда бессмыслен, какие пентестеры правильные, а какие не очень. Казалось бы, уже все ясно, а вот нет-нет да всплывает очередной вопрос. Так как тема еще жива и рынок активно развивается, хотелось бы поднять вопросы этики и культуры, а также целесообразности столь модной услуги.
В сегодняшнем обзоре мы с тобой поговорим об одной из уязвимостей, найденной в Yahoo. Далее рассмотрим случай, когда возможность внесения изменений в репозиторий может помочь получить доступ на сервере, просто задав свое название для новой ветки разработки проекта. Ну и закончим наш обзор одной из уязвимостей в модных нынче SCADA-системах.
Хранение личных данных на серверах стало нормой. Мир наводнился мобильными гаджетами с GPS-приемниками и GSM-модулями. Сноуден показал, насколько мы незащищены от слежки. Правительство России все больше вторгается в личную жизнь граждан. Резонный вопрос: можно ли в таких условиях остаться анонимным?
Мало кто думал, что идея виртуальных облаков, высказанная еще в 1970-х годах, обретет такую популярность в наши дни. В современный мобильный век сетевые хранилища становятся все популярнее, предоставляя своим пользователям множество плюсов: доступ к файлам практически из любого места, возможность одновременно смотреть разные фильмы на разных устройствах, но с одного диска, доступ к редактированию одного документа разными людьми и многие другие.
Кроме SQL и NoSQL, существует еще целый мир NewSQL. Это базы данных, которые взяли новые подходы распределенных систем от NoSQL и оставили реляционную модель представления данных и язык запросов SQL. Эти БД возникли буквально за последние несколько лет, но уже интенсивно борются за пользователей. Давай познакомимся с этим загадочным NewSQL поближе.
В прошлой статье мы кратко прошлись по архитектуре и инструментам разработки для ATmega 2560, написали простенькую программку и даже прошили ее в контроллер. Но, как ты понимаешь, Hello world — это только цветочки, попробую угостить тебя ягодками. Сегодня в меню: прерывания, работа с EEPROM, работа с UART и дискретными входами.
Как и многие другие гики, я все-таки стал обладателем AR.Drone — пожалуй, наиболее популярного квадрокоптера, который массово продается по всему миру в самых обычных магазинах и управляется со смартфона по Wi-Fi. Что из этого вышло — читай в сегодняшней колонке.
Java 8 можно по праву назвать самой ожидаемой версией. Тысячи программистов по всему миру, затаив дыхание, пытались понять, по какому пути пойдет развитие Java после поглощения компании Sun Oracle и ухода многих талантливых инженеров, включая самого Джеймса Галинга, которого называют автором Java.
Лет пятнадцать назад автора вопроса «нужна ли математика программисту?» ждала бездна дичайшей церебральной содомии от бородатых кодеров. Сегодня драмы уже в таких спорах не наблюдается, но и внятных выводов обычно не следует. Так что давай попробуем разобраться.
Мы уже говорили о том, что такое хайлоад и какой он бывает, а теперь хотелось бы коснуться достаточно больной темы — стоит ли к нему готовиться молодым компаниям, которые только начинают разрабатывать свой продукт. И если стоит, то на каком этапе разработки.
Относительно недавно вышел релиз дистрибутива, по праву считающегося первым в корпоративном секторе, — Red Hat Enterprise Linux 7. Не дожидаясь появления его клонов, мы решили посмотреть, что же нового предоставляет нам этот титан в мире Open Source, совместивший в свое время, казалось бы, несовместимое — зарабатывание денег и открытую модель.
«Android — это операционная система с открытым исходным кодом» — именно таким был главный аргумент Google. «Корпорация добра» заявила, что любой производитель может не только использовать Android без всяких лицензионных отчислений, но и менять его код на свой вкус. Долгожданная открытая мобильная операционка? Как бы не так!
Многие IT-компании начинают присматривать себе сотрудников уже со студенческой скамьи, организуя по своим профилям конференции, конкурсы и курсы, которые можно пройти, не отрываясь от основного места учебы. В конце июня мы съездили на финал международного секьюрити-конкурса от «ЛК» и написали для тебя этот небольшой отчетик.
Небольшой оптимизированный набор команд чипов ARM идеален для мобильных устройств. Благодаря меньшему энергопотреблению он сегодня очень популярен для использования в смартфонах и планшетах. Но в последнее время серьезно заговорили о приходе чипов ARM в ту сферу, в которой безраздельно господствует Intel, — на серверы.
За три года Digital Ocean стал любимцем технологичных компаний и команд разработчиков. У Digital Ocean есть свои козыри: низкая стоимость, удобный интерфейс админки и API, высокая скорость SSD и хорошее комьюнити. А судя по тому, что Digital Ocean продолжает открывать для себя новые регионы и придумывать новые фишки, отсутствие излишней серьезности компании только на руку.
Перед тобой — выпуск рубрики FAQ, где мы отвечаем на самые разные вопросы об операционных системах Windows и Linux, рекомендуем софт, решаем разнообразные проблемы и даем хакерские советы.
Сайт защищен Qrator —
