Год не перестает радовать новыми уязвимостями в популярном ПО. Сегодня в подборке: ошибка в популярной консольной утилите для скачивания файлов с удаленного сервера Wget, несколько уязвимостей в OS X, а также история о том, к чему может привести добавление в свое ПО нового функционала.
В этом выпуске: инструмент для бэкдоринга прошивок роутеров, бесплатный сканер и платформа для тестирования, сканер ShellShock, модификация karma c набором расширений для автоматизации, универсальный распаковщик, редактор таблицы IAT, фреймворк для быстрого реагирования на инциденты.
Если спросить меня, какая профессия будет самой востребованной в обозримом будущем, то я бы сказал, что это data scientist. У этой профессии даже нет нормального русскоязычного аналога, в лучшем случае — это просто дословный перевод «ученый по данным». Тем не менее слово «аналитик» вполне отражает суть дела.
Огромные программные комплексы, которым предстоит проверять каждый файл, программу и интернет-запрос, обязательно будут тормозить систему. Но вот в каких масштабах? Сегодня мы это проверим и выберем самый быстрый антивирус по версии журнала «Хакер».
Сегодня установить линукс на свою машину может каждая блондинка, поэтому хакерам приходится искать для себя новые испытания. Как насчет установки операционной системы реального времени scmRTOS на Arduino?
Говоря о тексте, большинство программистов C++ думают о массивах кодов символов и кодировке, которой эти коды соответствуют. Но, конечно, не думать о кодировке намного проще. Давай посмотрим, как можно не заботиться о кодировке и при этом видеть безошибочное представление текста где угодно: в Китае ли, в США или на острове Мадагаскар.
«Асинхронность» и «параллельность» — ортогональные понятия, и один подход задачи другого не решает. Тем не менее асинхронности нашлось отличное применение в наше высоконагруженное время быстрых интернет-сервисов с тысячами и сотнями тысяч клиентов, ждущих обслуживания одновременно.
Подборки приятных полезностей для разработчиков.
В бурно развивающемся направлении носимых гаджетов высокий коммерческий интерес удачно сочетается с использованием «сырых» и плохо защищенных платформ, и тут как минимум надо быть в тренде, чтобы при необходимости быстро написать хакерскую тулзу, прячущуюся в стильных часах.
Блуждая по форумам и разного рода сайтам, посвященным Android, мы постоянно сталкиваемся с советами, как увеличить производительность смартфона. Одни рекомендуют включить swap, другие — добавить специальные значения в build.prop, третьи — изменить переменные ядра Linux. Работают ли они на самом деле?
Нередко доставать смартфон из кармана бывает не совсем удобно. Или просто лень вставать с теплого дивана, чтобы посмотреть, что там пришло. В этой статье я расскажу, как настроить уведомления, приспособить под себя и использовать в полную мощь одни из самых популярных умных часов — Pebble.
Из методического документа, подготовленного экспертами компании McAfee, вы узнаете, какими главными функциями должен обладать межсетевой экран следующего поколения и как его внедрение поможет оптимизировать ресурсы.
Разработка любого проекта всегда связана с автоматизацией сопутствующих рутинных задач. Сначала хватает средств IDE плюс пары ручных операций. Затем количество телодвижений начинает расти: требуется выполнять несколько наборов тестов, подкладывать какие-нибудь сертификаты, прогонять скрипты на базе данных, генерировать документацию к коду и так далее. Также нужно выполнять эти и другие операции на Continuous Integration сервере, а возможно, и осуществлять деплой приложения на продакшен-серверы (если говорить о клиент-серверном решении). Иногда это автоматизируют при помощи набора самописных batch- или shell-скриптов, но чаще всего в командах разработчиков приходят к какому-то консолидированному решению.
Подборка приятных полезностей для разработчиков
Казалось бы, зачем сейчас вообще вспоминать про IPv6? Ведь несмотря на то, что последние блоки IPv4-адресов были розданы региональным регистраторам, интернет работает без каких-либо изменений. Дело в том, что IPv6 впервые появился в 1995 году, а полностью его заголовок описали в RFC в 1998 году. Почему это важно? Да по той причине, что разрабатывался он без учета угроз, с той же доверительной схемой, что и IPv4. И в процессе разработки стояли задачи сделать более быстрый протокол и с большим количеством адресов, а не более безопасный и защищенный.
Два часа назад компания «Яндекс» выложила в онлайн Яндекс.Браузер альфа-версии — экспериментальную разработку, в которой kukutz сотоварищи реализовали самые смелые дизайнерские идеи, в том числе так называемый «прозрачный интерфейс», в котором браузер сливается в единое целое с отображаемой веб-страницей.
Vexor.io — облачный CI-сервис для девелоперов, который берет плату только за фактическое время прогона твоих тестов и при этом умеет распараллеливать процессы. Как следствие, время использования тестов уменьшается в разы, а вместе с тем уменьшается и стоимость.
Как известно, любой мало-мальски серьезный программист со временем начинает покрывать свой код тестами. Самые правильные пишут тесты еще до самого кода. А когда тестов становится слишком много, под них выделяют отдельный сервер, который сам забирает код из репозитория, прогоняет все тесты и, если все хорошо, деплоит на продакшен. Все это называется системой CI — непрерывной интеграции. Проблема такого подхода в том, что держать или арендовать целый сервер под нужды CI очень дорого, а в пике нагрузка все равно превысит мощности. Казалось бы, что тут сделаешь, однако у команды облачного CI Vexor на этот счет другая точка зрения.
В конце октября 2014 года Apple представила новую версию своей операционной системы — OS X Yosemite. В нее внедрены три основные новинки: поддержка iCloud Drive, углубленная интеграция компьютера с планшетом или телефоном и Java Script for Automation (JXA).
Если бы работа хакера, а точнее программиста-исследователя происходила так, как это показано в классических фильмах: пришел, постучал по клавишам, на экране все замелькало зеленым, пароли взломались, а деньги внезапно переехали из пункта А в пункт В, — то жить было бы однозначно проще и веселее. Но в действительности любому серьезному хаку всегда предшествует основательная и скучная аналитическая работа. Вот ею мы и займемся, а результаты выкатим на твой суд в виде цикла из двух статей. Убедись, что у тебя есть достаточный запас пива и сигарет, — прочтение таких материалов опасно для неподготовленного мозга :).
Внедрить поддержку Oracle в Metasploit, расширить атаку через Oracle-линки, открыть замок с помощью банковской карты и обнаружить места жительства владельца Apple-девайса
Закладки, жучки, радиоперехват — кому не известны эти слова? Идея внедрить в канал связи, по которому передается важная информация, «свое» устройство стара как мир. Подобные устройства известны всем по фильмам, книгам и даже компьютерным играм. Они превратились в своеобразное клише, и, возможно, именно поэтому в современном мире информационной безопасности возможности физического внедрения в каналы связи часто попросту игнорируются. А зря.
Анализ свеженьких уязвимостей
HumHumb, Piwik и Ideal Image Slider.
Дистрибутивов для построения роутеров и брандмауэров — великое множество. Однако большая их часть (не считая всяческих проприетарных и работающих на иных, нежели x86, платформах) основана на ядре Linux. Но ведь помимо Linux есть еще и другие ядра, и на их основе тоже можно делать специализированные дистрибутивы. Один из них, pfSense, и будет рассмотрен в данной статье.
В репозиториях любого дистрибутива Linux можно найти большое количество программ для обработки видео, но вот по поводу оптимального видеоредактора единого мнения до сих пор нет. Пользователей что-то всегда не устраивает, кому-то недостаточно или, наоборот, много функций, кто-то запутался в интерфейсе или не нашел инструкции. Попробуем установить самые популярные и разобраться в их возможностях. Avidemux Avidemux весьма простой по функциям видеоредактор, …
С момента появления на рынке iPhone для него было создано огромное количество самых разных аксессуаров. Это и миниатюрные клавиатуры, и зарядники в форме чехлов и накладок на смартфон, и даже солнечные батареи. Но слышал ли ты когда-нибудь про накладной принтер для печати фотографий, читалку электронных книг в форме чехла или винтажную телефонную трубку, выполняющую функцию гарнитуры?
Leap Motion Controller вошел в десятку лучших устройств года по версии журнала Time. Данный девайс относится к славной семейке беспроводных контроллеров нового поколения, таких как Wii Remote, PlayStation Move, однако ближайшим его родственником является Xbox Kinect. В отличие от последнего, Leap Motion реагирует на движения исключительно рук, он в 200 раз точнее определяет даже самые быстрые движения кистей и пальцев. Это устройство еще плотнее приближает нас к настоящей виртуальной реальности — к созданию естественного интерфейса между человеком и машиной. Ура, товарищи!
В былые времена после каждого «дефейса» герои хацкеры винили неких «сисадминов»: мол, если он такой ламер, что не смог обновить или настроить систему, то и поделом ему. Прошло уже немало времени, и хакерские приемы поиска и эксплуатации уязвимостей развиваются семимильными шагами, методы безопасной разработки приложений также совершенствуются, не говоря уже про механизмы ОС. А что же со старыми добрыми «сисадминами»? Эволюционировали и эти ребята. Сегодня мы поговорим об одном довольном модном концепте — DevOps, и, конечно же, говорить мы будем с точки зрения безопасности!
В свои 23 года московский предприниматель Александр Югай успел зарекомендовать себя талантливым антикризисным менеджером интернет-компании: год назад он возглавил буксующий проект Medbooking.com (онлайн-сервис бронирования врачей) и вывел его в число лидеров в своей нише. На вопрос о том, где он приобрел необходимую квалификацию, Александр дает неожиданный ответ: знания в области информационных технологий он начал самостоятельно приобретать еще в то время, когда учился в сельской школе под Волгоградом. А как только поступил в вуз, сразу же основал первую компанию, что позволило ему попрактиковаться и в IT, и в бизнесе. Югай признается, что, несмотря на успешное развитие предпринимательской карьеры, он все еще испытывает страх потерпеть поражение. Но понимание того, что «на ошибках учатся», побуждает его идти вперед.
Хочешь стать программистом? Даже если ты не новичок в IT, то эта затея потребует много времени и усилий, и далеко не факт, что ты окажетесь на коне. Но если у тебя совсем нет времени и ты в душе авантюрист, то существует несколько хоть и неправильных, зато действенных способов, которые помогут пройти собеседование в IT-компанию и удержаться на плаву.
Второй по размеру в Америке оператор сотовой связи AT&T Mobility пообещал больше не прикреплять уникальные идентификаторы каждого абонента сотовой связи к пакетам данных, которые отправляются со смартфонов. Такая практика практически не позволяла абонентам скрыть свою личность при работе в интернете.
13 ноября IT-сообщество отмечает всемирный день юзабилити. День, который должен напомнить разработчикам, дизайнерам и прочим IT-специалистам о том, что все, что они делают, в первую очередь предназначается для людей.
Думаю, что многие из вас даже не подозревали, что на сайте Википедии можно зарегистрироваться. Ещё меньше людей знают о том, что у Википедии есть бета-секция, в которой можно включить достаточно интересные функции, о которых мы расскажем ниже.
Ежемесечная подборка утилит для взлома и безопасности
За свою профессиональную жизнь ваш покорный слуга просмотрел больше тысячи резюме разработчиков, провел несколько сотен собеседований и принял около сотни решений о приеме на работу. В этом специальном выпуске «задачек» я хочу рассказать о том, как устроиться на работу, на которой тебе не придется скучать и где ты сможешь полностью реализовать свой потенциал.
Друзья, с этого номера мы начинаем публикацию ежемесячных обзоров интересного, а главное полезного софта. Выпуски будут тематические. В этом месяце сконцентрируемся на юзабилити, в следующем — на безопасности, потом экономия трафика и так далее. Приложений в обзоре будет немного, зато каждое из них — настоящий бриллиант.
ZeroNights — не просто очередная конференция, это по-настоящему культовое мероприятие для хакеров и людей в теме. В мире наберется не более десятка таких масштабных конференций, на которых нет места официозу, галстукам и маркетинговому буллшиту. На ZN царит настоящий дух андеграундной хакерской свободы, а люди приходят, чтобы обменяться знаниями, пообщаться и подружиться.
Сайт защищен Qrator —
