Главная Выбор редактора (страница 2)

Выбор редактора

В этой рубрике находятся все статьи, которые редакция журнала выпускает на платной основе и включает в состав ежемесячных выпусков. Другими словами, это раздел, статьи в котором полностью доступны только онлайн-подписчикам журнала «Хакер».

Xakep #231

Безопасность iOS. Что хорошо, что плохо и как ее усилить

Обычно мы рассказываем об уязвимостях и способах, помогающих получить доступ к приватной информации. Сегодня будет наоборот: мы рассмотрим способы, которыми пользуются спецслужбы, чтобы взломать iPhone и извлечь твои данные, попробуем от них защититься и сразу же оценим стойкость такой защиты.

Xakep #231

Отмычки для софта. Выбираем инструменты реверса и пентеста приложений для Android

За десять лет существования Android разработчики приложений и те, кто эти приложения взламывает, обзавелись массой инструментов, направленных друг против друга. О том, какими способами можно защитить свое приложение, мы уже поговорили, а сегодня у нас обзор инструментов для взлома и реверса приложений.

Xakep #231

Русифицируем уточку. Как заставить BadUSB работать с разными раскладками клавиатуры

BadUSB — один из самых интересных инструментов в арсенале хакера. Этот класс атак позволяет при помощи девайсов вроде Rubber Ducky захватить контроль над многими устройствами, у которых есть порт USB. Можно эмулировать любую периферию, но чаще всего подделывают клавиатуру. В этой статье я покажу, как решить одну из главных связанных с этим проблем — зависимость от текущей раскладки.

Xakep #231

WWW: Structured text tools — подборка утилит для обработки данных из командной строки

Нужная крошечная утилитка для командной строки иногда способна сэкономить массу времени. Мы уже писали про утилиты jq и gron, которые помогают справиться с файлами в JSON, но на этот раз я покажу тебе целые залежи подобных программок, чтобы ты мог покопаться в них в свое удовольствие.

Xakep #231

Брутфорс в английской глубинке. Как криптостойкие шифры вскрывали до компьютеров

Ты наверняка слышал про тест Тьюринга и, возможно, машину Тьюринга. Однако помимо абстрактного универсального вычислителя Алан Тьюринг придумал и вполне реальный, — тот, что во время Второй мировой войны применялся для взлома немецких шифров. О том, как это работало, лучше всего узнать прямо на месте тогдашних событий, в Блетчли-парке.

Xakep #231

Omega 2. Проверяем, на что способен крошечный и дешевый компьютер с Linux

В жизни каждого мейкера наступает момент, когда обычных микроконтроллеров уже не хватает, а тратить деньги на распберри жалко. Именно тут и выходит на сцену девайс под скромным названием Onion Omega 2. По размерам и цене близкий к микроконтроллерам, он обладает возможностями, сравнимыми с возможностями Raspberry Pi.

Xakep #231

Обгоняя флагманы. Большой гайд по оптимизации Android

Тебе не хватает заряда аккумулятора? Надоели тормоза в приложениях? Не отчаивайся и не торопись покупать новый смартфон. Даже очень медленный смартфон можно заставить работать быстрее и значительно увеличить время жизни от аккумулятора. В этой статье мы расскажем о множестве приемов, которые позволят это сделать.

Xakep #231

Смертельный коммит. Выполняем произвольный код в клиенте git

Думаю, тебе не нужно рассказывать, что такое git, — он сегодня используется всеми от небольших компаний до гигантов индустрии. Найденная в нем уязвимость позволяет злоумышленнику атаковать пользователей, которые клонировали специально сформированный репозиторий. Как его формировать? Об этом я сейчас и расскажу.

Xakep #231

Давай напишем ядро! Создаем простейшее рабочее ядро операционной системы

Разработка ядра по праву считается задачей не из легких, но написать простейшее ядро может каждый. Чтобы прикоснуться к магии кернел-хакинга, нужно лишь соблюсти некоторые условности и совладать с ассемблером. В этой статье мы на пальцах разберем, как это сделать.

Xakep #231

Весеннее обострение. Как работают две критические уязвимости в Spring Framework

Spring — популярнейший фреймворк для разработки на Java, на котором базируются сотни решений в самых разных областях. Трудно найти серьезное приложение на Java, которое бы не использовало Spring. Недавно в нем были найдены две критические уязвимости, которые приводят к удаленному исполнению кода. Давай посмотрим, как они работают.

Xakep #231

Шифруйся грамотно! Почему мессенджеры не защитят тайну твоей переписки

Сквозное шифрование, или end-to-end encryption (E2EE), считается панацеей от настойчивых попыток хакеров и силовых ведомств ознакомиться с онлайновой перепиской. Смысл E2EE часто сводится к тому, что ключи хранятся только на устройствах собеседников и не попадают на сервер... но это не совсем так. Давай посмотрим, как в действительности обстоят дела с E2EE, на примере популярных мессенджеров.

Xakep #231

Разбираем атаки на Microsoft Active Directory. Техники проникновения и детекта

За последние четыре года ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье мы рассмотрим популярные способы атак на AD и приведем рекомендации, которые помогут от них защититься.

Xakep #231

Дао хеша. Познаем дзен методически правильного хеширования паролей

Наверняка тебе известно, что хорошая система контроля доступа, основанная на вводе и проверке правильности пароля, никогда и нигде не сохраняет пароли в открытом виде, а проверяет их с использованием хеш-суммы. В этой статье мы на практике рассмотрим вопросы правильного хеширования паролей, руководствуясь при этом актуальными российскими методическими рекомендациями.

Xakep #230

Многофакторная аутентификация по-взрослому. Куем серьезный софт с помощью бесплатного инструментария

В этой статье мы рассмотрим, как добавить в мобильное приложение возможность еще одного подтверждения аутентификации в дополнение к имени пользователя и паролю (например, звонок на зарегистрированный на пользователя телефон или ввод кода из СМС) и как настроить backend-сервисы для реализации такой многофакторной аутентификации.

Xakep #231

Тайна казначейского ноутбука. Используем форензику, чтобы раскрыть ограбление

Сегодня тебя ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины!

Xakep #231

Русский народный блокчейн. Пишем простой локальный блокчейн с использованием «Стрибога»

Блокчейн и все, что с ним связано, нынче у всех на слуху, и на сегодняшний день вряд ли можно найти издание, которое обошло эту тему своим вниманием. Мы тоже в свое время подробно разобрались, что собой представляет блокчейн и зачем он нужен. Сегодня мы попробуем рассмотреть данную тему с практической стороны и напишем простейший локальный блокчейн.

Xakep #231

X-Tools для Android. Выбираем утилиты для пентеста со смартфона

Тесты на проникновение — легальный способ заниматься настоящим взломом, да еще и получать за это деньги. Продвинутый аудит безопасности обычно выполняется на ноутбуке с (Kali) Linux и специфическим оборудованием, но многие бреши легко обнаружить и с помощью обычного смартфона. В этой статье мы рассмотрим 14 утилит, которые позволят тебе выполнить пентест, не доставая ноутбук из сумки.

Xakep #230

Неуловимый Джон. Как 100 миллионов долларов изменили жизнь программиста

Джон Макафи — пионер криптобезопасности, миллионер и криптоэнтузиаст. Начав карьеру полвека назад, он и сейчас будоражит общественность и рынки своими прогнозами и всегда готов к активным действиям. Что движет этим непростым человеком — нонконформизм, алчность, честолюбие, жажда внимания, паранойя? Мы пройдемся по цветастому послужному списку Макафи, а ты выберешь сам!

Xakep #231

Самое крутое с мировых ИБ-конференций. Десять мощных докладов о взломе и реверсинге микроэлектроники

Если уязвимости в веб-приложениях тебя утомили, то взлом железа (точнее, прошивок) будет глотком свежего воздуха. В этой статье мы собрали доклады, авторам которых удалось обойти защиту разных устройств — от аппаратных кошельков для криптовалют до электронных дверных замков.

Xakep #230

Криптуем по-крупному. Разбираемся с режимами работы российских блочных шифров

В предыдущих статьях мы подробно разобрали, как работают два отечественных криптоалгоритма. Однако с помощью них получится зашифровать весьма скудный кусочек информации — 8 или 16 байт. Понятно, что нынче в такие объемы ничего втиснуть не получится и нужно что-то с этим делать. А что с этим делать, подробно изложено в очередном российском стандарте!

Xakep #230

MEGANews. Основные события мая

В этом месяце: множественные атаки ботнетов на роутеры, новые варианты уязвимостей Meltdown и Spectre, правительственная малварь VPNFilter, предустановленная малварь и баги в сотнях моделей смартфонов, куча багов в BMW, атаки на криптовалюты Verge и Bitcoin Gold, обязательные обновления для Android и многое другое.

Xakep #230

Предпоследняя капля. Разбираем уязвимость Drupalgeddon2 в Drupal 7

Недавно мир узнал о серьезной уязвимости в системе управления контентом Drupal. Однако, разобрав проблему в ветке 8.x, мы оставили за кадром аналогичную брешь в Drupal 7. А ведь на этой версии сейчас работает куда больше сайтов! Эксплуатировать уязвимость в ней сложнее, но не намного. Сейчас я покажу, как это делается.

Xakep #230

Android: Google I/O и все-все-все

Сегодня в выпуске: Jetpack для Android-разработчиков, WorkManager для всех фоновых задач, Android App Bundle вместо тысячи APK, AndroidX, а также другой треш и угар с Google I/O, включая потрясающий рассказ о том, как Android отрисовывает картинку и оптимизирует код. Ну а для любителей Kotlin — Kotlin в Android, Kotlin в браузере, Kotlin в Kotlin, который внутри Java, и два отличных читшита по этому отличному языку.

Xakep #230

WWW: Carbon — сервис для создания идеальных скриншотов кода

В теории сделать скриншот кода, чтобы кому-то показать, — задача несложная. В реальности разговор после этого нередко сворачивает на то, как у тебя настроен редактор и какой шрифт лучше для программирования. Поэтому вовсе не помешает способ делать идеально ровные картинки, которые не будут выдавать о тебе ничего лишнего.

Xakep #230

WWW: Lobe — сервис, который обещает сделать машинное обучение доступным каждому

Как известно, работа с моделями нейросетей для глубокого машинного обучения в чем-то сродни шаманству. Но чтобы начать шаманить, нужно сначала развернуть у себя окружение из многих частей — подчас непростых в настройке. Возможно, уже скоро при решении многих типовых задач всего этого можно будет избежать.

Xakep #230

WWW: asciicasts — утилита для записи консольных скринкастов и анимационного ASCII-арта

Ты наверняка видел не один скринкаст, где автор что-то долго и печально набирает в терминале. Не исключено, что тебе при этом отдельно досаждало низкое качество видео — буквы иногда еле разберешь. Но что, если в таких случаях записывать не видео, а непосредственно ввод-вывод терминала? И занимать будет меньше, и выглядеть лучше!

Xakep #231

Творческая Iskra. Делаем аппаратный менеджер паролей своими руками

Давай рассмотрим настоящий тру-хакерский, тру-гиковский, удобный и безопасный способ хранить пароли, создав свой аппаратный менеджер паролей! Он будет способен хранить в себе данные разных аккаунтов, логины и зашифрованные пароли, ключ от которых должен храниться отдельно и вводиться непосредственно перед использованием, а также будет эмулировать USB-клавиатуру для вывода данных.

Xakep #230

Ручная распаковка. Вскрываем кастомный пакер на примере вымогателя GlobeImposter 2.0

При реверсе вирусов зачастую обнаруживается, что малварь накрыта какой-нибудь «навесной» защитой вроде пакера или протектора. Причем часто используется не общедоступный вариант, а кастомный упаковщик, что серьезно усложняет дело. Я покажу, как быть в такой ситуации, на примере распаковки рансомвари GlobeImposter 2.0, пронесшейся в конце прошлого года.

Xakep #231

Охота на Енота. Как вирмейкер спалился сам и спалил заказчиков

В большинстве случаев разоблачения происходят потому, что вирмейкер где-то фундаментально накосячил. Так случилось и на этот раз, причем автор трояна не только подставился сам, но и спалил всех заказчиков, на радость специалистам по информационной безопасности. Случай, о котором пойдет речь, наглядно иллюстрирует, какую информацию можно получить, обратив внимание на незначительные детали.

Xakep #230

Кардинг и «чёрные ящики». Разбираемся с главным на сегодня способом взлома банкоматов

Стоящие на улицах города железные коробки с деньгами не могут не привлекать внимание любителей быстрой наживы. И если раньше для опустошения банкоматов применяли чисто физические методы, то теперь в ход идут все более искусные трюки, связанные с компьютерами. Сейчас наиболее актуальный из них — это «черный ящик» с одноплатным микрокомпьютером внутри. О том, как он работает, мы и поговорим в этой статье.

Xakep #230

Вскрываем хардверный имплант. Как устроен девайс для слежки, замаскированный под кабель USB

Крошечные жучки с SIM-картой внутри, способные передавать голос и отслеживать местоположение, можно встроить в любую электронику, в том числе — в обычный провод. В образовательных целях мы распотрошим такое устройство, изучим его прошивку, найдем скрытые команды и обнаружим, как он молча шлет данные на китайский сервис. Который еще и оказался уязвимым! Но обо всем по порядку.

Xakep #230

Социальная инженерия. Разбираем практики, методы и инструменты для социотехнического тестирования

Какой же пентест без социальной инженерии, верно? Социотехническое тестирование в наше время стало совершенно обычным делом, и мне не раз приходилось заниматься им в рамках работ по анализу защищенности. Я расскажу тебе о техниках, которые идут в ход, и о разнообразных тонкостях, которых в нашем деле — великое множество.

Xakep #231

Тотальный разгром! Реверсим Total Commander и обходим защиту всех версий

Total Commander (ранее Windows Commander) — популярный файловый менеджер с графическим интерфейсом для Windows. В интернете на варезных сайтах можно найти множество решений для взлома Total’а. Их неизменный недостаток — костыльность: с выходом новой версии надо проделывать ту же процедуру «лечения» программы вновь и вновь. Но можно и по-другому. Хочешь узнать как и заодно прокачать скиллы в реверсе? Читай эту статью!

Xakep #230

Просто бизнес. Как Apple защищает данные своих пользователей, препятствуя работе правоохранительных органов

Из актуальных мобильных систем iOS на сегодня самая безопасная с огромным отрывом. За последние несколько лет Apple превратила свою систему в неприступный бастион, новости о возможных брешах в котором становятся сенсацией. Но в последних версиях iOS стала не просто безопасной, а очень удобной для злоумышленников: Apple все чаще и чаще встраивает в систему средства защиты именно от полиции, а не от воришек.

Xakep #230

Целенаправленные атаки: разведка на основе открытых источников (OSINT). Колонка Дениса Макрушина

В одной из прошлых колонок я рассказал о стадиях целенаправленных атак. Первая стадия, «разведка», начинается задолго до того, как атакующий дотронется до первой машины жертвы. От количества и качества данных, собранных на этом этапе зависит успешность атаки и, самое главное, стоимость ее проведения.

Xakep #230

Крафтовая ФС. Как быстро сделать свою файловую систему на FUSE и Swift

Мысль о том, чтобы написать свою файловую систему, кажется многим слишком амбициозной. Однако проект FUSE for macOS, развиваемый сообществом энтузиастов, решает этот вопрос буквально в пару сотен строк кода, а идущий в комплекте фреймворк не требует унылых разбирательств с API на голом C и вполне пригоден для использования в комплекте с современным и мощным Swift.

Xakep #230

Русская «Магма». Как работает отечественный алгоритм блочного шифрования

В прошлой части наших «извращений с импортозамещением» мы подробно познакомились с алгоритмом шифрования «Кузнечик», который определен в ГОСТ 34.12—2015. Помимо этого алгоритма, в ГОСТе описан еще один, с длиной шифруемого блока в 64 бита, который носит название «Магма».

Xakep #230

Минутка ненависти Android-разработчика. Разбираем 10 самых частых проблем кодинга

Двадцать лет назад использовать Android было невозможно. Десять лет назад было еще рано. Сегодня — уже поздно. Android дорос уже до бальзаковского возраста, а разработчики все так же решают проблемы, которые давным-давно должны быть исправлены. Сегодня мы рассмотрим затруднения при разработке под Android, с которыми ты точно когда-нибудь столкнешься. И которые, кстати, бесят.

Xakep #230

Команда упасть. Эксплуатируем критическую уязвимость в почтовике Exim 4

Когда софтина попадает под пристальный взгляд экспертов по безопасности, велика вероятность, что за одним багом найдутся и другие. Так и случилось с агентом пересылки сообщений Exim: вслед за прошлогодней уязвимостью в нем найдена новая опасная дыра, действующая во всех версиях вплоть до последней (4.90.1). Давай посмотрим, как эксплуатировать эту новую находку.

Xakep #230

JavaScript для умного дома. Arduino устарел, да здравствует ESP32!

Интерес к интернету вещей растет с каждым днем, свои курсы по технологии IoT запустили и Cisco, и Samsung. Но большинство этих курсов базируются на собственном железе компаний, довольно дорогом, в то время как практически все то же самое можно сделать на гораздо более дешевом железе самостоятельно, получив при этом массу удовольствия и полезных навыков.

Страница 2 из 2912345 1020...

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
6990 р.
на год
720 р.
на месяц
90 р.
за 1 статью

Еженедельный дайджест

Для подписчиков