Если ты думаешь, что социальная инженерия по-настоящему рулила только во времена Митника, а нынче, чтобы похекать подружку, твоей ОС непременно должна быть Metaspolit Burp Suite edition, то спешу тебя обрадовать: современные технологии позволяют совершать крутые взломы куда более элегантными способами. Нужно лишь внимательно следить за новыми фичами, проявлять смекалку и направлять мозги в нужное русло :). HTML5 развивается невиданными темпами. …

Мы бы не доверили какому-нибудь одному нашему автору подводить итоги года в номинации «программирование», хоть он дерись. А вот целой организованной группе авторов, да еще и вместе со сторонними экспертами из разных компаний — почему бы и нет? Как говорил Мао Цзэдун: пусть расцветают сто цветов, пусть соперничают сто школ.

Ассемблер в стиле JIT, Crash monitor for OS X, Linux keylogger и многое другое

Основанный на ядре Linux и полностью открытый Android как будто создан для разных хаков и модификаций. За все время существования ОС на ее основе были созданы сотни кастомных прошивок, найдены десятки способов изменения ее внешнего вида и поведения, появилась функциональность, не предусмотренная Google

Наш сегодняшний гость — CISO компании Parallels, известный российский whitehat Алексей Смирнов. Однако в прошлом Алексей был не менее известным хакером, успел поучаствовать в легендарном взломе Citibank в середине девяностых, да и вообще предпочитал работе в офисе свободу и частный консалтинг. Мы постарались подробно расспросить его об этом переходе на «светлую сторону Силы», про low-tech девяностых, узнать побольше о знаковой истории взлома маститого банка и многом другом.

Ушедший год для мобильных девелоперов получился сверхнасыщенным. Перевернулись концепции дизайна, разработка стала быстрее, в индустрию пришли по-настоящему большие деньги, да и в целом наметилось немало интересных трендов. Многие из них являются логичным продолжением прошлогодних, но некоторые стали очевидны совсем недавно. В любом случае, если ты вдруг профукал мобильную разработку в 2013-м — здесь мы собрали все самое важное и интересное.

Несколько лет назад оказалось, что SQL внезапно устарел. И начали появляться и множиться NoSQL-решения, отбросившие язык SQL и реляционную модель хранения данных. Основные аргументы в поддержку такого подхода: возможность работы с большими данными (те самые Big Data), хранения данных в самых экзотичных структурах и, самое главное, возможность все это делать очень быстро. Давай посмотрим, насколько это получается у самых популярных представителей мира NoSQL.

Уже более 13 лет сетевые соединения Linux систем защищает iptables. К сожалению, по мере развития этот пакетный фильтр обрастал серьезными проблемами на функциональном уровне и в дизайне. Взвесив все за и против, разработчики решили отказаться от метода костылей и создали новый файер, имя которому nftables.

За минуту Google обрабатывает около двух миллионов поисковых запросов и отдает пользователям 72 часа видео через YouTube. Twitter за это время сохраняет 278 тысяч твитов, Facebook размещает 2,5 миллиона постов, а Instagram принимает 3600 фото ежесекундно. Если достаточно долго думать об этих цифрах, можно сойти с ума, но веб-сервисы как будто справляются с этим легко и практически не заставляют нас ждать. Как же это работает?

Рынок мобильных устройств сегодня находится на той стадии развития, когда придумать что-то новое уже сложно, а продавать смартфоны и планшеты необходимо. Так появляются процессоры с восемью ядрами, экраны с заоблачными разрешениями, 20-мегапиксельные камеры и гигабайты оперативной памяти. Если ты считаешь, что все это действительно прогресс, то добро пожаловать в мир маркетинга. Бессмысленного и беспощадного.

Впрочем, виртуализация применяется и в исследовательских целях: например, захотелось тебе проконтролировать воздействие свежескомпилированной программы на систему или запустить две разные версии приложения одновременно. Или создать автономное приложение, которое не будет оставлять следов в системе. Вариантов применения песочницы — множество. Не программа диктует свои условия в системе, а ты ей указываешь дорогу и распределяешь ресурсы.

Операционная система OS X наделена двумя замечательными пользовательскими интерфейсами: красивым и современным графическим, а также архаичной, но все еще непревзойденной в своих возможностях командной строкой UNIX. Казалось бы, чего желать еще? Разве что совместить достоинства того и другого, чтобы, не углубляясь в дебри консоли, можно было парой нажатий на клавиши сделать нечто восхитительное.

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик, — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

7–8 ноября в Москве в третий раз прошла уже многим известная конференция по технической безопасности — ZeroNights. Хардкорные доклады, зашкаливающее количество известных личностей в ИБ, Hardware Village и многое другое сделали это мероприятие успешным. А теперь по порядку.

В последние годы тема аппаратных троянов привлекла внимание и правительств разных стран, и производителей, и научного сообщества. Но до сих пор все разговоры носят преимущественно теоретический характер. Никто не знает, как эти трояны могут выглядеть на практике и насколько трудно их внедрить в микросхему.

В небольших организациях востребованы простые в настройке и обслуживании специализированные файл-серверы, задача которых, по сравнению с более продвинутыми решениями, упрощена до минимума — хранение данных и предоставление сетевого доступа к ним.

UNIX и Open Source когда-то выросли из идей, казавшихся безумными даже их прародителям, Linux появился в результате эксперимента, BSD — следствие увлечения студентов. Очень многое в мире Open Source — случайность и эксперимент. А какие сегодня можно встретить безумные идеи и эксперименты?

Content Security Policy — новая технология, позволяющая разработчикам сайтов четко объяснить браузеру, на какие адреса тот может выполнять межсайтовые запросы. Однако новый веб-стандарт страдает от существенных недостатков, ставящих под сомнение его пригодность как защиты от XSS.

Еще совсем недавно какой-нибудь параноидальный фильм о тотальной слежке государства за человеком воспринимался как очередная сказка, игра воображения автора и сценаристов. До тех пор, пока Эдвард Сноуден не обнародовал информацию о PRISM.

Я встретился с Сергеем Белоусовым в восемь утра в одной из московских гостиниц. Понятие дома для него устарело: зачем нужны дома и квартиры, если есть гостиницы? Возможно, именно это острое и нестандартное мышление и помогло ему построить сразу несколько технологических компаний в совершенно разных областях: от разработки Linux-дистрибутива и технологий виртуализации до систем хранения и резервирования данных. В какой-то момент основным направлением деятельности стал венчурный фонд Runa Capital, но сейчас фокус его внимания сместился на одну из давно основанных компаний — Acronis.

Получить список посещаемых доменов, используя DNS cache snooping и многое другое

Сегодня никого не удивишь гетерогенной сетью, и виндовому админу нередко приходится в срочном порядке осваивать *nix, пробираясь сквозь дебри конфигов и команд. Что делать, если не хватает знаний, появилась насущная необходимость делегирования части функций другим админам и/или пользователям? В таких ситуациях сильно выручают веб-панели управления, о которых и пойдет речь в этой статье.

Перехватывать пакеты неспортивно: сниффером сегодня умеет пользоваться каждый. А вот придумать новый концептуальный способ перехватывать данные, например набранные пароли, — вот задачка для настоящих джедаев. В наших головах появилась интересная идея, как по-новому можно шпионить за пользователем. Правда, воплотить ее в жизнь нам пока не удалось. Но ты нам можешь в этом помочь.

Собрать информацию, используя JavaScript Hijacking и многое другое

«Доменные имена знают все, а моего имени не знает никто», — грустно пошутил мой собеседник. Действительно, DNS кажется такой утилитарной и привычной вещью, что никому и в голову не приходит задаться вопросом о том, как все это создавалось и кто за этим стоит.

Вопросы антиотладки интересны не только исследователям малвари (стоящим по обе стороны баррикад), но и кодерам, заботящимся о безопасности своих коммерческих поделок, поэтому, надеюсь, эта статья будет полезна каждому читателю ][.

Изготовление печатных плат в домашних условиях — не самая тривиальная задача. Во-первых, процесс требует немалой точности, а во-вторых, он довольно затратен. Инновационный метод быстрой и дешевой печати плат, разработанный инженерами из Технологического института Джорджии, Токийского университета и Microsoft Research, позволит решить эту проблему. Потратив не более 300 долларов, любой энтузиаст сможет делать работоспособные электрические схемы за 60 секунд на струйном принтере с обычным картриджем.

С появлением Интернета старые способы продажи контента стали работать заметно хуже. Многие схемы продаж изменились и продолжают претерпевать метаморфозы; единого решения до сих пор не придумано. О самых необычных способах заплатить авторам поговорим сегодня.

Если помнишь, в девяностые были особенно популярны фильмы про «хакеров», где взлом представлялся как буйство прогресс-баров, окошек с бессмысленным текстом, написанным ядреным шрифтом, и бесконечных последовательностей цифр. Для кино этот жанр уже потерял свою остроту, а вот в играх интерес к псевдохакерству переживает второе рождение. Где-то это делается с вполне серьезными и образовательными целями, а где-то — just for fun.

Философия Ruby on Rails делает разработку простой и эффективной, так что неудивительно, что у фреймворка сформировалось огромное сообщество. Давай познакомимся поближе с философией этой платформы как с точки зрения архитектуры, так и с точки зрения безопасности.

Примерно год назад специалисты из Массачусетского технологического института и Кембриджа опубликовали научную работу с описанием нового фильтра для обработки видео. Этот фильтр усиливает незначительные различия между кадрами, используя эйлерово увеличение (eulerian video magnification). Как известно, кожа человека слегка меняет оттенок, когда кровеносные сосуды расширяются и сужаются, в соответствии с ударами сердца. Невооруженным взглядом эти отличия трудно заметить, но с помощью эйлерова увеличения разница проявляется отчетливо.

Начну с небольшого тизера. В следующем номере у нас будет материал, в котором мы собрали самые разные утилиты с последних хакерских конференций. Просматривая его, я наткнулся на утилиты HoneyBadger & PushPin и подумал: «Где ж вы были раньше?» Объясню: за последнее время меня не раз спрашивали, как можно определить месторасположение какого-то пользователя. Причины у людей разные, но цель всегда была одна — понять, где физически находится человек. Точкой на карте, не иначе :).

Пока обыватели клеймят позором винду, Adobe и Oracle, специалисты отмечают увеличение вредоносных программ, предназначенных для компьютеров под управлением Linux. В первую очередь злоумышленников интересуют веб-серверы. Как и почему они создают серверную малварь, ты узнаешь из этой статьи.

Один из IT-трендов этого сезона — предоставление услуг типа «1С в облаке» или «онлайн-доступ к демоконфигурациям». У администраторов таких сервисов двойная нагрузка — обеспечить безопасность самого сервера и системы «1С:Предприятие». Инструменты для этого, безусловно, есть, но все ли их знают и используют? Сегодня ты узнаешь, как это проверить.

14 мая этого года в ядре Linux была обнаружена серьезная локальная 0-day-уязвимость (CVE–2013–2094), затрагивающая практически все версии ядер, выпущенные за последние три года. Это довольно серьезный удар по репутации Linux, а также админов, серверы которых были взломаны

Найти известные уязвимости для сервисов, определенных Nmap и многое другое

В этом месяце нас снова порадовали уязвимостью в Java, правда, не нулевого дня. Множественные критические уязвимости были обнаружены в одном из флагманских продуктов Symantec — Web Gateway. Но самое главное — стал доступен эксплойт для административной панели популярного банковского трояна Carberp.

Сегодня мы порассуждаем об одном событии, которое тихо произошло в середине июля. Мы будем говорить о скорости реакции на инцидент тех, кто должен защищать свои ресурсы, ну и, как водится, затронем проблемы индустрии ИБ.