Как наши парни из МГУ побеждали на хакерских соревнованиях
iCTF — одни из самых престижных командных соревнования по ИБ формата Attack-Defence CTF. В этом году победила наша команда — Bushwhackers. Полный отчет о мероприятии — в этой статье.
iCTF — одни из самых престижных командных соревнования по ИБ формата Attack-Defence CTF. В этом году победила наша команда — Bushwhackers. Полный отчет о мероприятии — в этой статье.
В этом небольшом обзоре мы рассмотрим несколько полезных утилит для твоей веб-камеры. Мы разберемся, как организовать видеонаблюдение, как транслировать веб-камеру в интернет и даже как сделать сигнализацию собственными руками.
Многопроцессорность и многоядерность уже давно стали обыденностью среди пользователей, что не мешает программистам не в полной мере, а то и просто неправильно использовать заложенные в них возможности. Не обещаем, что после прочтения этой статьи ты станешь гуру параллельных вычислений в среде Win, но в некоторых вещах точно разберешься.
Когда речь заходит об операционке для дешевого NAS на основе стандартного компа, невольно вспоминаются такие проекты, как FreeNAS или Openfiler, и самопальные конфигурации на основе Linux, FreeBSD и Solaris. Однако существует альтернатива, которая сочетает в себе лучшие черты всех этих систем: ZFSguru.
LibreOffice — это сила. С помощью этого пакета можно делать практически все: вести бухгалтерский учет, рисовать векторную графику, администрировать базы данных, писать HTML-код, создавать визитки и прочее, прочее, прочее. LibreOffice Basic — это тройная сила, так как она позволяет делать то же самое в разы быстрее и легче. Как пользоваться столь бесценным творением, расскажет эта статья.
Почти вся информация, которая ежедневно публикуется на просторах интернета, имеет объяснимый смысл: несложно узнать, кто и зачем написал очередной пост, статью или сообщение. Но иногда находятся совершенно необъяснимые вещи, и если им удается привлечь к себе внимание, то они перерастают в феномены и порождают многочисленные теории об их происхождении.
Я уже не однажды касался вопросов безопасности в AWS. На этот раз я решил рассказать про типовые грабли, на которые наступают счастливые админы. Давай систематизируем необходимые процедуры по обеспечению надежной защиты сервисов, которые мы хотим развернуть в облаке Amazon’a.
В этом выпуске: инструмент для обработки больших объемов захваченного трафика, библиотека для общения по протоколам Apple; интерактивный runtime-анализатор на основе QEMU, фреймворк для man-in-the-middle атак, упаковщик для ELF-файлов, средство динамического анализа Android-приложений и набор инструментов для PWN.
Black Hat и DEF CON — эти две легендарные конференции собирают если и не всю хакерскую тусовку, то совершенно точно ошеломляющее количество легендарных людей. Достаточно открыть свою ленту в Twitter’е, чтобы понять — тут почти все!
Snort и прочие IDS — это, конечно, удобно и круто, но некоторые моменты омрачают картину. Особенно ярко проблемы всплывают, когда мы хотим мониторить трафик в облаке. В конечном счете это приводит к отказу от использования NIDS, например в AWS. Но следить за событиями надо, и решения есть!
В апреле этого года вышла RAD XE6. Таблица возможностей среды разработки представляет собой 25-страничный PDF-документ, набранный очень мелким шрифтом. Бросается в глаза невероятное обилие наворотов для мобильного кодинга. Стоит ли ради них приобретать RAD XE6? ][ разобрался, что кроется за каждым пунктом рекламного проспекта, и протестировал новый продукт от Embarcadero на предмет удобства мобильной разработки.
Должно быть, многие помнят, как до эпохи тотального распространения интернета пиратский софт продавался с лотка в подземных переходах. Затем все дружно качали кряки на «специализированных» сайтах, позже появились торренты. Сегодня на некоторых из них присутствует и регулярно обновляется пиратское ПО на любой вкус. Казалось бы, живи и радуйся, но Quid prodest («Ищи, кому выгодно») не дает расслабиться… Дело в том, …
Обратная совместимость — вещь хорошая, но использовать ее надо в разумных пределах. Ведь до сих пор в ядре Windows можно найти код, разработанный еще в прошлом веке. Говорить о его высокой безопасности было бы глупо. И мы докажем это на примере трех privilage escalation уязвимостей, прижившихся в подсистеме виртуальной машины DOS.
С тех пор как из журнала ушли Форб и Крис Касперски, больше никто не пишет мне писем «Дай аську Докучаева, очень срочно!» и «Есть мыло Криса, которое он читает?». Зато стали появляться парни, которые, поработав после института пару лет в качестве разных офисных сотрудников, вдруг поняли, что на самом-то деле они читают журнал «Хакер» и хотят программировать.
Современный GNU/Linux — это больше чем набор программ и программа установки. Скорее, это реализация некой идеальной ОС, какой ее видит конкретная команда разработчиков. Но даже самые популярные дистрибутивы далеки от совершенства, поэтому многие линуксоиды находятся в постоянном поиске. Поищем и мы альтернативы.
Когда происходит сбой в системе и она перестает загружаться, многие пользователи не знают, что делать. Конечно, лучше вообще не допускать таких ситуаций, но, если уж подобное случилось, нужно воспринять это как данность и разобраться в проблеме.
Большая часть статей рубрики X-Mobile посвящена хакам и твикам, которые требуют получения прав root, модификации прошивки или ее замены на кастом. Однако далеко не каждый читатель готов подвергать свой смартфон подобным операциям, опасаясь, что они способны превратить девайс в кирпич или привести к появлению нестабильности в работе. Сегодня я развенчаю эти мифы и покажу, что даже в самой патовой ситуации вернуть смартфон к жизни не так уж и сложно.
Торговля наркотиками, философия и высокие технологии редко сходятся вместе. Но история легендарного рынка Silk Road, без малого три года работавшего в «темном вебе», — как раз из таких редких случаев.
Еще в прошлого года я начал довольно любопытный эксперимент — попытку оцифровать себя. Не в том плане, чтобы вживить себе какой-нибудь имплантат с программным управлением, который бы сразу прибавил мне +20 к памяти или +30 к умению считать в уме (хотя это было бы прекрасно). Идея гораздо проще и куда более реальна: собрать и проанализировать различные показатели своей жизнедеятельности.
Современный мир IT — это мир облачных технологий и виртуализации. Это мир, в котором виртуализация уже стала такой же обычной вещью, как HTTP-сервер и окно графического интерфейса. Она используется для всего, начиная от запуска серверов и заканчивая тестированием приложений. И кажется странным, что мы до сих пор не имеем специальной ОС для виртуальных машин. Или все-таки имеем?
GNU/Linux — это уникальный проект, который объединяет тысячи разработчиков по всему миру и развивается стремительными темпами. Сегодня GNU/Linux можно найти как на мощных суперкомпьютерах, так и на игровых приставках, телефонах, встраиваемых системах, рабочих станциях и десктопах. В этой мини-статье мы хотим предложить твоему вниманию самые интересные факты, касающиеся истории и текущего развития Linux.
Мониторинг был и остается важнейшей частью системного и сетевого администрирования. Но если для маленькой локальной сети зачастую достаточно время от времени смотреть логи, то в случае крупных систем приходится использовать специализированные средства. Об одном из них — Zabbix и поговорим сегодня.
Оказывается, для того, чтобы нормально кодить под Android, достаточно знаний HTML5, CSS3 и JavaScript. Конечно, не просто так, а в сочетании с сервисами, обзор которых мы для тебя подготовили. Ну а если ты не понаслышке знаком с PHP (Ruby, ASP.NET), то после прочтения этой статьи, можешь смело предлагать свои услуги по продвинутой мобильной разработке :).
С приходом эры виртуальных машин значительно упростилась доставка приложений, и теперь все чаще разработчиками предлагаются сконфигурированные шаблоны виртуальных машин (Virtual Appliances), которые можно использовать не только для тестирования, но и в рабочей среде. Ассортимент предварительно настроенных VA достаточно широк и покрывает все потребности ИТ: от брандмауэров и систем защиты до приложений и серверов различного назначения. Давай разберем, чем можно заменить традиционные решения.
Прошло больше года с тех пор, как Opera перешла на Chromium/Blink. С одной стороны, компания отказалась от борьбы с ветряными мельницами, перестала бороться за то, чтобы в интернете было место для еще одного движка Presto. С другой стороны, Opera отказалась от концепции «интернет-комбайна», в который входило все вплоть до клиента BitTorrent. За это решение норвежцы до сих пор расплачиваются, ежедневно отбиваясь от разъяренных фанатов «старой школы».
Тестирование — неотъемлемая часть цикла разработки программного обеспечения. Начинающие команды девелоперов зачастую недооценивают его роль и проверяют работоспособность приложения по старинке — «работает, да и ладно». Рано или поздно эта стратегия дает сбой и баг-трекер начинает захлестывать бесчисленная армия тасков. Чтобы не угодить в подобную западню, рекомендую раз и навсегда разобраться с нюансами тестирования JavaScript-кода.
У китайцев особенное представление о копирайте — у них он просто не действует. В то же время свои наработки они защищают различными техническими средствами, почему-то «забывая» делиться ими со своими клиентами. Казалось бы, ситуация безвыходная: поступила партия китайских планшетов, и встала задача прошить их таким образом, чтобы контент заказчика не стирался при сбросе настроек, при этом имеется стоковая прошивка в неизвестном bin-формате, но отсутствует SDK. Что же делать, как собрать кастомную прошивку? Выход один — применить реверс-инжиниринг.
В этом выпуске: фреймворк для реверсинга, набор сетевых протоколов, инструмент для просмотра и проверки OLE/COM-компонентов, отладчик ассемблерного уровня для мобильных платформ, утилита для тестирования веб-приложение на уязвимость к атакам на оракулы дополнения, тулза для проведения man-in-the-middle и спуфинг атак, инструмент для атак drive-by download.
Memcached представляет собой распределенную систему кеширования, ставшую очень популярной в нагруженных интернет-проектах. А как ты знаешь, с ростом популярности продукта растет и интерес к его безопасности. Поэтому сегодня мы исследуем различные обертки к memcached и попытаемся обнаружить проблемы, которые могли бы использоваться для внедрения произвольных команд.
Повсеместное распространение устройств на базе платформы ARM приводит к тому, что атаки на них становятся для злоумышленников все более «вкусными». Но несмотря на то что на обнаружении шелл-кодов под x86 исследователи уже собаку съели, с ARM все не так просто. Большинство существующих детекторов оказались попросту неприменимыми. Причина этому — разница двух архитектур.
Похоже, что с ростом популярности любая операционная система превращается в Windows. Трудно было ожидать, что знакомые пользователям винды локеры-шифровальщики появятся на платформе, известной своими Linux-корнями, но факт остается фактом — в начале этого лета тысячи пользователей андроидофонов ощутили на себе блокировку экрана и вымогательство денег со стороны новой рансомвары.
В этом выпуске: брутим виртуальные хосты, используя TLS SNI, экспортируем дамп в Wireshark, собираем списки для пентеста, собираем сведения, используя SNMP без MIB, получаем контроль над сервером через BMC и захватываем контроль над сервером через BMC, используя IPMI.
Про пентест было написано уже много: как его проводить, зачем его проводить, когда он полезен и когда бессмыслен, какие пентестеры правильные, а какие не очень. Казалось бы, уже все ясно, а вот нет-нет да всплывает очередной вопрос. Так как тема еще жива и рынок активно развивается, хотелось бы поднять вопросы этики и культуры, а также целесообразности столь модной услуги.
В сегодняшнем обзоре мы с тобой поговорим об одной из уязвимостей, найденной в Yahoo. Далее рассмотрим случай, когда возможность внесения изменений в репозиторий может помочь получить доступ на сервере, просто задав свое название для новой ветки разработки проекта. Ну и закончим наш обзор одной из уязвимостей в модных нынче SCADA-системах.
Хранение личных данных на серверах стало нормой. Мир наводнился мобильными гаджетами с GPS-приемниками и GSM-модулями. Сноуден показал, насколько мы незащищены от слежки. Правительство России все больше вторгается в личную жизнь граждан. Резонный вопрос: можно ли в таких условиях остаться анонимным?
Мало кто думал, что идея виртуальных облаков, высказанная еще в 1970-х годах, обретет такую популярность в наши дни. В современный мобильный век сетевые хранилища становятся все популярнее, предоставляя своим пользователям множество плюсов: доступ к файлам практически из любого места, возможность одновременно смотреть разные фильмы на разных устройствах, но с одного диска, доступ к редактированию одного документа разными людьми и многие другие.
Кроме SQL и NoSQL, существует еще целый мир NewSQL. Это базы данных, которые взяли новые подходы распределенных систем от NoSQL и оставили реляционную модель представления данных и язык запросов SQL. Эти БД возникли буквально за последние несколько лет, но уже интенсивно борются за пользователей. Давай познакомимся с этим загадочным NewSQL поближе.
В прошлой статье мы кратко прошлись по архитектуре и инструментам разработки для ATmega 2560, написали простенькую программку и даже прошили ее в контроллер. Но, как ты понимаешь, Hello world — это только цветочки, попробую угостить тебя ягодками. Сегодня в меню: прерывания, работа с EEPROM, работа с UART и дискретными входами.
Как и многие другие гики, я все-таки стал обладателем AR.Drone — пожалуй, наиболее популярного квадрокоптера, который массово продается по всему миру в самых обычных магазинах и управляется со смартфона по Wi-Fi. Что из этого вышло — читай в сегодняшней колонке.
Java 8 можно по праву назвать самой ожидаемой версией. Тысячи программистов по всему миру, затаив дыхание, пытались понять, по какому пути пойдет развитие Java после поглощения компании Sun Oracle и ухода многих талантливых инженеров, включая самого Джеймса Галинга, которого называют автором Java.