Ты вряд ли пользуешься Mail.Ru Агентом, но это бешено популярный сервис, который с каждым днем набирает обороты. По официальным данным месячная аудитория этого мессенджера в конце прошлого года составляла безумную цифру в 21,4 миллиона человек. Это легко объяснить, — продукт действительно удачный. Но сегодня я хочу рассказать о том, как был разреверсен файл с историей сообщений пользователя.

Одним из инструментов, применяемых для поиска и исправления ошибок в программах, являются отладчики и трассировщики — специальные утилиты, выполняющие программу по шагам, чтобы понять, что вообще происходит. Сегодня речь пойдет о взломе ELMAH — популярного средства для трассировки ASP.NET-приложений.

Безопасная ОС от Kaspersky Lab? Будет или нет? Слухи на этот счет давно муссируются, но без каких-либо подробностей. Ясность появилась на организованной Международным союзом электросвязи конференции, которая прошла в октябре в Дубае, где компания впервые официально подтвердила, что ведет разработку ОС для промышленных объектов.

Вытащить из системы пароль от локальной учетки и многое другое

Эта история взлома была бы ничем не примечательна, если бы не одно «но». Жервой глупейших ошибок программистов стал довольно крупный провайдер. Элементарные уязвимости в личном кабинете пользователя позволяли манипулировать денежными средствами на счете любого из клиентов. Такое Увы, и такое бывает.

Каким поисковиком ты обычно пользуешься? Google или Яндексом? Или, быть может, ты по какой-то причине юзаешь Bing? А ведь инструментов для поиска в интернете гораздо больше, и помимо закрытых коммерческих поисковиков, шпионящих за каждым твоим шагом, существуют отличные гиковские альтернативы. Одна из таких альтернатив —DuckDuckGo.com.

Расшарить между компьютерами какой-либо документ — просто. Предоставить удаленный доступ к рабочему столу — нет проблем. Но почему-то до сих пор нельзя просто «поделиться» запущенным приложением — взять и быстро перенести его окно из одной системы в другую. С появлением проекта WinSwitch это стало возможным.

Можно создавать сообщества ВКонтакте, чтобы обсуждать политику, сериалы и котиков. А можно еще и делать на этом деньги. Если в такой группе набирается хотя бы 50 тысяч человек, то уже можно начинать размещать рекламу. Сообщество с численностью в 100 тысяч человек может приносить тебе доход в 50–70 тысяч рублей в месяц. Интересно, не правда ли?

Защищенный пароль — это не просто длинный набор букв, цифр и символов в разных регистрах. Чтобы реквизиты пользователей устояли перед банальным брутфорсом, разработчикам нужно продумать сбалансированную и эффективную систему шифрования. Большой компании, чтобы понять это, необходимо столкнуться с утечкой данных, а тебе достаточно просто прочитать статью!

Уже не первый день многие исследователи ломают голову над особенностями реализации языка PHP и логики работы его функций, и я в том числе. Объектом моего недавнего исследования стали врапперы этого чудесного языка. Как и обещал, выдаю свежую порцию 0-day наработок, основанных на использовании враппера php://filter, которые представляют собой новые техники эксплуатации уязвимостей в веб-приложениях.

Изменение парсера в Wireshark и многое другое

Будем честны — стандартная командная строка Windows неудобна. В ней нет нормального copy-paste, нет вкладок и даже нет возможности по-человечески поменять размер окна. Кроме того, в самой Windows маловато консольных инструментов, и любители текстового режима, возможно, захотят получить доступ к мощному окружению UNIX. Для этого тоже есть свои решения.

В современном IT-мире контрольную сумму файла или любых других важных данных принято считать фундаментом для подтверждения неизменности исходной информации. Но если ты вспомнишь историю с руткитом Stuxnet, то поймешь, что уязвимости в популярных алгоритмах для расчета таких сумм могут привести к большим катастрофам. Давай проверим это.

Не так давно мы делали комплексный материал о том, как можно сдампить пользовательские пароли из Windows-системы. Утилита Windows Credentials Editor – одно из наиболее известных и универсальных решений. Однако недавно французские исследователи выпустили совершенно убойную наработку mimikatz. Помимо уже известных приемов, она умеет... извлекать пароли пользователей в открытом виде. Правда, только тех, которые осуществили вход в системе. Сначала мы подумали, что это фэйк и подстава, но первый же запуск утилиты подтвердил — все работает.

Один из важных плюсов облачных сервисов — возможность быстро поднять столько серверов, сколько нужно. Хочешь два — будет тебе два. Хочешь сто — два клика мышью и будет сто. Все зависит только от твоего кошелька, платформа же позволяет развернуть столько виртуальных серверов (с нужными ресурсами), сколько тебе нужно. С виртуальной машиной на домашнем компьютере такой фокус не проходит. Чтобы создать виртуалку, задать ей нужные настройки и, что муторнее всего, установить ОС, уходит уйма времени. В один момент мне стало интересно: а можно ли как-то автоматизировать процесс и разворачивать новые виртуальные машины по-настоящему быстро? Ну, то есть указать что-то вроде: "Хочу три виртуальные машины с такими-то настройками и установленную на них Ubuntu последней версии" — и получить эти три виртуальные машины без лишнего геморроя. В поисках подходящего решения я наткнулся на открытый проект Vagrant.

В современном мире одним из ключевых экономических ресурсов является информация. Кто ей владеет, тот будет иметь успех, в то же время утечка данных практически всегда означает потерю клиентов, а то и крах компании. Именно поэтому сегодня так велик интерес к DLP-решениям, позволяющим выявить и предотвратить передачу конфиденциальной информации. Выбор большой, лидеры еще четко не определены, а предложения часто схожи по функциям, но отличаются логикой работы и заложенными принципами, поэтому определиться не так просто.

Все мы медленно, но верно переходим к работе во Всемирной паутине, забывая привычные настольные приложения. Современный мир немыслим без Gmail, YouTube, GDocs и огромного количества веб-сервисов, заменяющих нам обычные программы. Но так ли нужен веб-браузер, чтобы пользоваться «облачными» приложениями?

Максимально быстро и удобно расшарить любой текстовый файл — такова миссия известного онлайн-сервиса Pastebin.com. Создатели изначально рассчитывали, что их проектом будут активно пользоваться программисты, которые легко смогут выкладывать на этом ресурсе любые исходники с подсветкой синтаксиса. И так вначале и было. Но чего они точно не могли ожидать, так это бешеной популярности сервиса у хакеров. Вспомни все последние истории с взломами от Анонимов и Lulzsec — почти всегда для публикации конфиденциальных данных (к примеру, дампов паролей) использовался именно Pastebin.com.

Android — молодая операционная система, и ее, как любую другую новорожденную ОС, принято упрекать в отсутствии должного уровня безопасности. Антивирусные компании и профильные аналитики рапортуют о настоящем буме вредоносного ПО для Android и предрекают скорое наступление армии зомби-вирусов, которые опустошат кошельки пользователей. Но так ли уязвим зеленый робот на самом деле?

Использовать один и тот же пароль для всех сервисов сразу — одна из самых серьезных ошибок пользователей. Но и удержать в голове огромное количество уникальных пассов — задача явно непосильная. Я долго пытался приучить себя к использованию менеджеров паролей вроде KeyPass, но из этого так ничего и не вышло. Открывать программу, чтобы искать там нужный пароль — явно не самое удобное, что можно придумать. Да и локальное хранилище, в котором находятся зашифрованные пароли, попахивает архаизмом — не таскать же его на флешке? :) Короче говоря, я решил попробовать решения, которые так же, как и KeyPass, помогали бы генерировать уникальные пароли и сохранять их, но вдобавок автоматически использовали бы их в браузере! Вариантов тут не так много.

Обход сетевого фаервола, взлом Wordpress и многое другое

Ни один нормальный программист не будет создавать папки вроде v001, v002 и распихивать по ним разные версии своих разработок. Вместо этого он воспользуется системой управления версий, а репозиторий разместит онлайн, чтобы работать с кодом могли и другие разработчики. Сделать это можно бесплатно благодаря хостингу кода, выбором которого мы сегодня и займемся.

Как запустить мобильные приложения на компьютере? В пакете для разработчика Android есть специальный эмулятор, позволяющий пощупать мобильную ОС. Одна проблема — он тормозит. Прямо скажем, сильно тормозит. Но, к счастью, уже довольно давно ведется работа над интересным проектом по портированию платформы Android на платформу PC.

Как тебе уже должно было стать понятно к этому моменту, сборка квадрокоптера — увлекательная, но непростая затея. Для тех, кому интереснее ковыряться с софтом, а не сборкой, лучше подойдут готовые модели. В 2010 году компания Parrot выпустила рыночную версию квадрокоптера AR.Drone. Это было первое решение для массового потребления, которое имело адекватную цену и полную открытость для энтузиастов электронщиков и программистов. …

В этом интереснейшем обзоре мы рассматриваем свежую уязвимость в ядрах Linux, позволяющую без особого труда поднять привилегии в системе, баги в Microsoft Office и Acrobat Reader, а также XXE-инъекцию в phpMyAdmin. Не пропусти! Локальное повышение привилегий в Linux CVSSv2 6.8 (AV:L/AC:L/Au:S/C:C/I:C/A:C) BRIEF Уязвимость связана с интерфейсом /proc//mem (где — идентификатор нужного процесса), который Linux предоставляет для прямой записи в память …

Одна из главных задач IT-службы — обеспечить непрерывность информационных процессов всего предприятия и каждого его подразделения в отдельности. Когда приобретаются новые системы или выходят из строя ПК, рабочие места обычно простаивают — а это убытки для бизнеса. Поэтому очень важно научиться развертывать ОС и приложения, восстанавливать их работоспособность и поврежденные (похищенные) данные в кратчайшие сроки.

Видел ли ты когда-нибудь сетевые ресурсы с заголовками вроде «Отличная диета Ксении Бородиной»? Или всевозможные тестирования, где после полсотни вопросов предлагается отправить SMS, чтобы получить результат? Как устроены эти разводки и почему они работают?

Проект w3af сильно выделяется среди многих других инструментов для исследования безопасности веб-приложений. Это не обычный сканер с жестко забитым функционалом, а фреймворк, позволяющий использовать более сотни различных плагинов для исследования сайта, поиска уязвимостей и их последующей эксплуатации.

Отснифать пароль при аутентификации в MSSQL и многое другое

Sublime Text любят многие. Даже флудеры с хабра положительно отзываются об этом программерском редакторе! Однако поступают на него и жалобы — например, на то, что в нем нет привычного окна настроек, удобной установки расширений, что напрочь отбивает желание с ним знакомиться. На самом деле это не так: редактор можно заточить под любую область разработки. Я покажу, как просто и удобно устроен Sublime Text, на примере jQuery-кодинга.

Еще не так давно казалось, что беспроводная сеть, защищенная с помощью технологии WPA2, вполне безопасна. Подобрать простой ключ для подключения действительно возможно. Но если установить по-настоящему длинный ключ, то сбрутить его не помогут ни радужные таблицы, ни даже ускорения за счет GPU. Но, как оказалось, подключиться к беспроводной сети можно и без этого — воспользовавшись недавно найденной уязвимостью в протоколе WPS.

Есть разные способы для обхода CAPTCHA, которыми защищены сайты. Во-первых, существуют специальные сервисы, которые используют дешевый ручной труд и буквально за $1 предлагают решить 1000 капч. В качестве альтернативы можно попробовать написать интеллектуальную систему, которая по определенным алгоритмам будет сама выполнять распознавание. Последнее теперь можно реализовать с помощью специальной утилиты.

Вкусы, потребности и способ использования смартфона у каждого из нас свой, и все мы устанавливаем на девайс только те приложения, которые считаем нужными для себя. Тем не менее с некоторыми ситуациями и задачами рано или поздно сталкивается каждый, поэтому мы предлагаем подборку приложений, которые пригодятся любому, кто активно пользуется смартфоном.

Где максимально дешево можно купить планшетник на Android? Или осциллограф? Или, к примеру, лазер? А запчасти для разбитого смартфона? Да там же, где и десятки тысяч других самых разных товаров, которые в огромных количествах штампуются в Поднебесной, — в китайских интернет-магазинах. И, что важно, по самым доступным ценам.

Есть два основных способа безопасно запустить подозрительный исполняемый файл: под виртуальной машиной или в так называемой «песочнице» (sandbox). Причем последнюю можно с помощью изящного способа адаптировать для оперативного анализа файла, не прибегая к специализированным утилитам и онлайн-сервисам и не используя множество ресурсов, как в случае с виртуалкой. О нем я и хочу тебе рассказать.

Отвечаем на вопросы читателей

Страна, которая занимает лидирующие места по количеству произведенной малвари. Здесь всегда можно найти абузоустойчивый хостинг, и здесь живет куча программеров и хакеров — от откровенно слабых до профессионалов высокого уровня. Здесь ломают программы, ставят (не только софтверные) закладки и отсюда устраивают DDoS’ы. Для настоящего айтишника здесь созданы все условия — например, фейсбук и твиттер отсечены великим нацио-нальным файрволом, что не может не сказываться на производительности труда компьютерщиков.