«Кто мне это сказал?», «Это было в понедельник или во вторник?», «Куда я положил новые носки, когда принес их из магазина?», «Кто еще был с нами в той поездке?» Такие вопросы то и дело возникают у нас в головах...

Этот месяц запомнился сразу несколькими вкусностями: удаленным выполнением кода в MediaWiki — движке, который используется в громадном количестве проектов, в том числе Википедии, и парой простых, но эффективных багов в роутерах Linksys (один из них даже послужил основой для червя TheMoon!). Но обо всем по порядку.

Хотелось бы начать сегодняшний Easy Hack с относительно старой атаки — возможности «обхода» HTTPS в браузере. Если точнее, возможности внедрить свой JavaScript-код в любой сайт, защищенный HTTPS, при условии, что злоумышленник может «вставить» свой прокси в настройках браузера жертвы. Да, эта атака не работает на современных топовых браузерах. Но, во-первых, еще шесть лет назад ей были подвержены все они, а во-вторых, она служит отличным примером основных проблем с HTTPS (SSL). Да и с технологической точки зрения интересна.

Он не прячет свой код под покровом обфускации и шифрования. Он не использует никаких техник антиотладки, детекта виртуальных машин и песочниц. Он не скрывается в недрах оперативной памяти и чудесно виден в диспетчере задач. Он прост, как автомат Калашникова. Но он реально опасен. Ведь это он заставил тысячи незадачливых пользователей платить деньги своим создателям, он ухитрился поставить на бабки сотрудников полиции Массачусетса (им пришлось покупать биткоины, чтобы расшифровать свои данные), он прославился «джентльменским» «снижением» цен в связи с резким ростом курса биткоина!

Цифровая валюта Bitcoin выросла из пеленок. Что ее ждет — триумф или забвение? Здесь мы расскажем о том, как удобно и безопасно работать с Bitcoin и войти в сообщество людей, развивающих валюту будущего. Прошедший 2013 год стал для Bitcoin самым значительным и богатым событиями. Если еще год назад он был только игрушкой для гиков, финансовой пирамидой, средством отмывания преступных денег, …

2009 Первым вирусом, поражающим операционную систему Android, был троян (руткит), ворующий данные пользователя. Его деятельность активировалась с помощью SMS-сообщения. Вреда он никому не причинил, поскольку был создан компанией Trustwave (с 1995 года на рынке компьютерной безопасности) в целях доказательства возможности создания малвари под «неуязвимую операционную систему». Новость об этом обошла ленты IT-новостей по всему миру. Я уверена, что у «доверчивой …

В интернете подчас случаются настолько невероятные события, что мы потихоньку привыкли к их странности и чуть ли не перестали ее замечать. Одна из таких историй — о том, как пятидесятилетняя японка, воспитательница детского сада, сфотографировала свою собаку породы сиба-ину и опубликовала снимок в блоге; через четыре года это изображение стало знаменитым, а затем дало имя одной из криптовалют и помогло …

Когда мощности сервера уже не хватает, встает вопрос, каким путем идти дальше. Апгрейд часто не дает пропорционального прироста и к тому же не обеспечивает требуемой отказоустойчивости. Поэтому самым верным шагом будет установка второго сервера, который возьмет на себя часть нагрузки. Остается выбрать приложение, которое будет обеспечивать балансировку.

Привет, %username%! Думаю, ты наверняка сталкивался с ситуацией, когда нужно было добыть информацию о человеке, имея на руках лишь ник/почту/скайп/etc. Считаешь, это нереально и анонимность онлайн все-таки существует? Тогда смотри, как, не используя специсточники (телефонные справочники, базы сотовых операторов), можно вычислить практически любого индивидуума. Ведь в наше время оставаться анонимным можно только одним способом — уйдя жить в лес.

Отвечаем на вопросы читателей

Подделка адреса отправителя в email, атака на принтеры и многое другое

Собрать информацию по заголовкам email Решение Технологий становится все больше и больше. Они рождаются, меняются, исчезают и перерождаются. Все это создает большой ком, который растет и растет. Зачастую во многих компаниях разобраться с тем, что вообще используется в корпоративной инфраструктуре, — уже большая задача, не говоря о том, чтобы это все безопасно настроить… Это я к тому, что мест, через …

Привет, читатель. Не знаю как ты, а я ну очень ленивый. И я не люблю вновь и вновь повторять какие-то стандартные действия, если можно написать скрипт. В Android для этого можно использовать визуальный инструмент автоматизации Tasker и среду исполнения скриптов SL4A, которые, работая в паре, позволяют сделать смартфон по-настоящему умным девайсом.

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

В этом выпуске мы с тобой поковыряем поисковик Solr от Apache, почтовый сервер Ability Mail Server, а также посмотрим на уязвимость в драйвере NDProxy в Windows XP и Windows Server 2003.

Работали мы как-то с компанией «Яндекс» в соседних бизнес-центрах. Заходили к ним в гости и удивлялись, что в то время, как сотрудники нашей редакции отливают свинцовые литеры для печатных прессов, стоя по пояс в радиоактивных отходах в непроветриваемых помещениях, сотрудники Яндекса сидят в креслах за 800 евро и наслаждаются теплом от обогреваемых стен-перегородок. Хочешь работать так же? Легко! По вопросам трудоустройства в нашу редакцию пиши Степану на step@glc.ru, а по поводу Яндекса… впрочем, дадим им слово.

Начиная с этого выпуска, мы решили поставить эксперимент: в каждом номере рассказывать о каком-нибудь интересном поделии от фанатов Хакера. Если ты или твои друзья пилят какую-нибудь интересную, бесплатную (и желательно опенсорсную) штуку — напиши мне на ilembitov@real.xakep.ru. Возможно, в следующем номере мы расскажем и о твоем детище!

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик, — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

По мере того как будет продолжаться твое путешествие по миру Bitcoin, возможностей полустандартного кошелька Bitcoin-Qt в какой-то момент явно перестанет хватать. Лучшей альтернативой является сравнительно новый кошелек Armory, которому и посвящена эта статья. Это приложение не только упростит проведение многих операций с Bitcoin, но и даст несколько важных инструментов обеспечения безопасности твоего «цифрового золота»

Bitcoin напоминает швейцарские механические часы: снаружи четко выполняет задачу, в понимании которой нет ничего сложного. Но если открыть заднюю крышку, то можно увидеть нетривиальный механизм, состоящий из множества шестеренок и прочих деталей. Однако полностью разобраться в том, как все это работает, технически подкованному человеку вполне реально.

Bitcoin был задуман своим создателем (или создателями) как деньги будущего — валюта совершенно нового типа. Свободная от государственного контроля, не подверженная обесцениванию из-за неограниченной эмиссии, количество и оборот которой открыты для всех.

Если ты думаешь, что социальная инженерия по-настоящему рулила только во времена Митника, а нынче, чтобы похекать подружку, твоей ОС непременно должна быть Metaspolit Burp Suite edition, то спешу тебя обрадовать: современные технологии позволяют совершать крутые взломы куда более элегантными способами. Нужно лишь внимательно следить за новыми фичами, проявлять смекалку и направлять мозги в нужное русло :). HTML5 развивается невиданными темпами. …

Мы бы не доверили какому-нибудь одному нашему автору подводить итоги года в номинации «программирование», хоть он дерись. А вот целой организованной группе авторов, да еще и вместе со сторонними экспертами из разных компаний — почему бы и нет? Как говорил Мао Цзэдун: пусть расцветают сто цветов, пусть соперничают сто школ.

Ассемблер в стиле JIT, Crash monitor for OS X, Linux keylogger и многое другое

Основанный на ядре Linux и полностью открытый Android как будто создан для разных хаков и модификаций. За все время существования ОС на ее основе были созданы сотни кастомных прошивок, найдены десятки способов изменения ее внешнего вида и поведения, появилась функциональность, не предусмотренная Google

Наш сегодняшний гость — CISO компании Parallels, известный российский whitehat Алексей Смирнов. Однако в прошлом Алексей был не менее известным хакером, успел поучаствовать в легендарном взломе Citibank в середине девяностых, да и вообще предпочитал работе в офисе свободу и частный консалтинг. Мы постарались подробно расспросить его об этом переходе на «светлую сторону Силы», про low-tech девяностых, узнать побольше о знаковой истории взлома маститого банка и многом другом.

Ушедший год для мобильных девелоперов получился сверхнасыщенным. Перевернулись концепции дизайна, разработка стала быстрее, в индустрию пришли по-настоящему большие деньги, да и в целом наметилось немало интересных трендов. Многие из них являются логичным продолжением прошлогодних, но некоторые стали очевидны совсем недавно. В любом случае, если ты вдруг профукал мобильную разработку в 2013-м — здесь мы собрали все самое важное и интересное.

Несколько лет назад оказалось, что SQL внезапно устарел. И начали появляться и множиться NoSQL-решения, отбросившие язык SQL и реляционную модель хранения данных. Основные аргументы в поддержку такого подхода: возможность работы с большими данными (те самые Big Data), хранения данных в самых экзотичных структурах и, самое главное, возможность все это делать очень быстро. Давай посмотрим, насколько это получается у самых популярных представителей мира NoSQL.

Уже более 13 лет сетевые соединения Linux систем защищает iptables. К сожалению, по мере развития этот пакетный фильтр обрастал серьезными проблемами на функциональном уровне и в дизайне. Взвесив все за и против, разработчики решили отказаться от метода костылей и создали новый файер, имя которому nftables.

За минуту Google обрабатывает около двух миллионов поисковых запросов и отдает пользователям 72 часа видео через YouTube. Twitter за это время сохраняет 278 тысяч твитов, Facebook размещает 2,5 миллиона постов, а Instagram принимает 3600 фото ежесекундно. Если достаточно долго думать об этих цифрах, можно сойти с ума, но веб-сервисы как будто справляются с этим легко и практически не заставляют нас ждать. Как же это работает?

Рынок мобильных устройств сегодня находится на той стадии развития, когда придумать что-то новое уже сложно, а продавать смартфоны и планшеты необходимо. Так появляются процессоры с восемью ядрами, экраны с заоблачными разрешениями, 20-мегапиксельные камеры и гигабайты оперативной памяти. Если ты считаешь, что все это действительно прогресс, то добро пожаловать в мир маркетинга. Бессмысленного и беспощадного.

Впрочем, виртуализация применяется и в исследовательских целях: например, захотелось тебе проконтролировать воздействие свежескомпилированной программы на систему или запустить две разные версии приложения одновременно. Или создать автономное приложение, которое не будет оставлять следов в системе. Вариантов применения песочницы — множество. Не программа диктует свои условия в системе, а ты ей указываешь дорогу и распределяешь ресурсы.

Операционная система OS X наделена двумя замечательными пользовательскими интерфейсами: красивым и современным графическим, а также архаичной, но все еще непревзойденной в своих возможностях командной строкой UNIX. Казалось бы, чего желать еще? Разве что совместить достоинства того и другого, чтобы, не углубляясь в дебри консоли, можно было парой нажатий на клавиши сделать нечто восхитительное.

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик, — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

7–8 ноября в Москве в третий раз прошла уже многим известная конференция по технической безопасности — ZeroNights. Хардкорные доклады, зашкаливающее количество известных личностей в ИБ, Hardware Village и многое другое сделали это мероприятие успешным. А теперь по порядку.

В последние годы тема аппаратных троянов привлекла внимание и правительств разных стран, и производителей, и научного сообщества. Но до сих пор все разговоры носят преимущественно теоретический характер. Никто не знает, как эти трояны могут выглядеть на практике и насколько трудно их внедрить в микросхему.

В небольших организациях востребованы простые в настройке и обслуживании специализированные файл-серверы, задача которых, по сравнению с более продвинутыми решениями, упрощена до минимума — хранение данных и предоставление сетевого доступа к ним.

UNIX и Open Source когда-то выросли из идей, казавшихся безумными даже их прародителям, Linux появился в результате эксперимента, BSD — следствие увлечения студентов. Очень многое в мире Open Source — случайность и эксперимент. А какие сегодня можно встретить безумные идеи и эксперименты?

Content Security Policy — новая технология, позволяющая разработчикам сайтов четко объяснить браузеру, на какие адреса тот может выполнять межсайтовые запросы. Однако новый веб-стандарт страдает от существенных недостатков, ставящих под сомнение его пригодность как защиты от XSS.