Выбор редактора

В этой рубрике находятся все статьи, которые редакция журнала выпускает на платной основе и включает в состав ежемесячных выпусков. Другими словами, это раздел, статьи в котором полностью доступны только онлайн-подписчикам журнала «Хакер».

Raspberry Pi 4. Что дают четыре ядра и четыре гига в четвертой ревизии «малинки»

Как и у людей, у компьютеров есть своя судьба — и складывается она зачастую по-разному. Одни ведут размеренную жизнь и…

Бабушка и «Хаос». Как моя бабуля съездила в Питер на Chaos Constructions и TechTrain

IT-конференции — это работа или отдых? Есть ли смысл туда ехать? Почему лучше увидеть все самому, а не смотреть записи…

Универсальный перехват. Как обойти SSLPinning раз и навсегда и читать трафик любого приложения

Очень часто исследование внутренней работы прикладных программ можно свести к исследованию их трафика, и чаще всего передается он по протоколам…

Prefix hijacking. Используем RPKI для борьбы с потерей трафика

Инциденты с prefix hijacking случаются регулярно, когда трафик массово отправляется не тем путем, которым должен. Некоторые из них, может, и…

Тонна всего. Как работает TON и почему это не просто блокчейн

Ты наверняка уже слышал про TON — проект Павла Дурова и разработчиков Telegram, связанный с блокчейном, криптовалютами и децентрализацией. Очень…

Где учиться пентесту. Обзор площадок для практики навыков этичного хакера

В этой статье мы выясним, какие площадки позволяют оттачивать мастерство взлома и ценятся специалистами по безопасности. Они позволяют этичным хакерам…

Боевой OSINT. Разбираем современные методы сетевой разведки

Что объединяет конкурентную разведку, пентестинг и расследование киберинцидентов? Это сбор информации, и прежде всего — из открытых источников. Но что…

Искусство изоляции. Изучаем механизмы изоляции трафика в Linux

Изоляция трафика разных сетей в пределах одной ОС распространена повсеместно. Для конечных пользователей она незаметна — в этом ее цель.…

Машинное зрение на Python. Учим нейросеть отличать медведей от слонов

Ты наверняка слышал, что нейросети в последнее время стали чертовски хорошо справляться с распознаванием объектов на картинках. Наша же задача…

Машинный слух. Как работает идентификация человека по его голосу

Ты, возможно, уже сталкивался с идентификацией по голосу. Она используется в банках для идентификации по телефону, для подтверждения личности на…

MEGANews. Самые важные события в мире инфосека за август

В этом месяце: изменения в bug bounty программах крупных компаний; проблемы в коде Boeing 787; уязвимости нулевого дня в Steam…

Android: обман Face ID, сравнение Java и Kotlin и разбор паттернов MVC, MVI, MVVM

Сегодня в выпуске: простой и эффективный способ обмана Face ID, реверс-инжиниринг прошивок IoT-устройств, неожиданные результаты сравнения производительности Java и Kotlin,…

Машинное зрение на Python. Обучаем нейросеть распознавать цифры

Раньше капча с числами была отличным способом отсеять ботов, а сейчас такая разновидность уже почти не встречается. Думаю, ты и…

Непробиваемый DevOps-кластер. Настраиваем и усиливаем безопаcность Kubernetes

Самое известное средство контейнеризации и автоматизации развертывания приложений — Docker. Известное, но не единственное: достойную конкуренцию ему составляет Kubernetes. Разумеется,…

Непростая загогулина. Краткий путеводитель по эллиптическим кривым

Эллиптическая криптография (Elliptic Curve Cryptography, ECC) — штука популярная, мощная и при этом не очень понятная. Мы в CloudFlare используем…

Операция «Липосакция». Как использовать новую уязвимость в Jira

Jira — мегапопулярная система для отслеживания ошибок, организации взаимодействия с пользователями и управления проектами. Уязвимость позволяет атакующему выполнить произвольный код…

Фундаментальные основы хакерства. Мастер-класс по анализу исполняемых файлов в IDA Pro

В этой статье мы окунемся в глубокий и подробный статический анализ с помощью IDA Pro — сверхпопулярного среди хакеров и…

Крипта без эмоций. Ищем здравый смысл в криптовалютной шумихе

Криптовалюты то входят в моду, то кажутся полным разочарованием. Кто-то делает на них миллионы, а кто-то остается без копейки. В…

Twitch Extensions. Пишем свое расширение для взаимодействия со зрителями

Два года назад разработчики стриминговой платформы Twitch представили новый способ взаимодействия стримеров и зрителей — Twitch Extensions. Эта система позволяет…

Неправильный CTF. Одноразовые пароли, буйство LDAP-инъекций и трюки c архиватором 7z

Сегодня мы пройдем виртуальную машину CTF с Hack The Box. Машина уязвима к разному типу LDAP-инъекций, использует генератор одноразовых паролей…

Shit gets real. Колонка главреда

В этом выпуске колонки я хотел бы поделиться с тобой небольшой личной историей, оттолкнувшись от которой мы потом поговорим обо…

Береги глаза! Активируем DC Dimming в iPhone Xs, Pixel 3 XL, Xiaomi Mi 9 и других смартфонах

Вырвиглазные мерцающие OLED-дисплеи остались в прошлом! В Xiaomi изобрели способ сделать OLED без мерцания, причем не только у актуального флагмана,…

Разгоняем микроконтроллер. Как я выжал 620 МГц из совместимой с Arduino платы

Производительности всегда не хватает. Иногда проблему можно решить, просто обновившись до топового железа, но если и его вдруг оказалось недостаточно…

Голые факты. Как нейросеть DeepNude раздевает женщин на фото

DeepNude — приложение, умеющее бесстыдно раздевать на фото представительниц прекрасного пола — взорвало интернет в минувшем июне. Этот проект использует…

Второй раунд. Девять новых атак по обходным каналам на основе уязвимостей кеша

С момента публикации первого обзора подобного рода атак поборники добра сумели разработать эффективные меры защиты. Однако темная сторона силы тоже…

Полет в стратосферу. Ломаем Struts через Action-приложение и мастерим Forward Shell

В этой статье я покажу, как получить рут на виртуалке Stratosphere с CTF-площадки [Hack The Box](https://www.hackthebox.eu/). На этот раз мы…

Аппаратный CTF. Легкий способ узнать ключ шифрования, когда у тебя под рукой осциллограф и ноутбук

Хардварные crackme в этом сезоне снова набирают популярность. Их полюбили организаторы профильных конференций, и они все чаще встречаются в тематических…

Стальная Киса. Защищаем сетевой периметр на оборудовании Cisco

Защита своей территории — один из сильнейших природных инстинктов. Животные используют для этого клыки, рога и когти, а сисадмины —…

Роботизируем SMM. Как научить нейросеть предсказывать успешность постов в соцсети

Можно ли спрогнозировать, будет публикация успешной? Я написал программу, которая автоматически берет текст поста, проверяет его с помощью нейронной сети…

Программы без рекламы. Используем VPN и Unbound, чтобы убрать баннеры из приложений

Недавно я купил телефон Xiaomi и всем был доволен, кроме рекламы в фирменных приложениях. Да, есть функция, которая ее должна…

Потрошим Carbanak. Как изнутри устроен известный банковский троян

Банковские трояны ежегодно наносят ущерб на миллионы долларов. Вирмейкеры стараются держать все, что связано с внутренней кухней банкеров, в глубочайшей…

Hey Julia! Новый язык, который выглядит, как Python, а летает, как C

Julia — молодой язык программирования, предназначенный преимущественно для научных вычислений. Его создатели хотели, чтобы он занял нишу, которую прежде занимали…

Почти single sign on. Используем системную аутентификацию с сокетами UNIX

В мире веб-приложений протоколы для SSO широко распространены и легко реализуемы. Ряд популярных приложений, к примеру консольный клиент PostgreSQL (psql),…

Обходные пути. Как атаки по сторонним каналам позволяют выкрадывать данные и обходить шифрование

Все техники взлома криптографических систем разделяют на две большие группы: использующие недостатки самих алгоритмов шифрования и их физических реализаций. В…

MEGANews. Самые важные события в мире инфосека за июль

В этом месяце: крупные компании получают миллиардные штрафы; даже на порносайтах невозможно спрятаться от слежки; Россия поставила рекорд по количеству…

Необычный вектор. Налаживаем скрытые коммуникации между процессами в чипах Intel

Системные программисты любят обсуждать извечный вопрос: как двум процессам лучше всего наладить взаимодействие? Можно ли избежать посредника в виде операционной…

Android: скрываемся от троянов и готовимся к Android Q

Сегодня в выпуске: скрываем приложение от троянов, боремся с утечками памяти, создаем неубиваемый сервис, работаем с сенсорами температуры, отлаживаем приложение…

Некромакинтош. Ставим Linux на старинный iBook, чтобы вдохнуть в него жизнь

Старому макбуку с процессором PowerPC можно найти массу достойных применений. Например, им очень удобно колоть орехи. Древний PowerBook отлично сгодится…

Отправляем команды. Как заставить популярный серверный почтовик выполнять произвольный код

В этой статье я расскажу об уязвимости в агенте пересылки сообщений Exim. Найденная брешь позволяет атакующему выполнить произвольный код на…

Загадочный Forth. Знакомимся с одним из важнейших языков программирования, о котором мало кто знает

Forth применяют в самых разных областях, включая чипсеты PCI и космические аппараты, а Павел Дуров будет использовать схожий язык в…