Главная Выбор редактора (страница 3)

Выбор редактора

В этой рубрике находятся все статьи, которые редакция журнала выпускает на платной основе и включает в состав ежемесячных выпусков. Другими словами, это раздел, статьи в котором полностью доступны только онлайн-подписчикам журнала «Хакер».

Xakep #233

MEGANews. Самые важные события в мире инфосека за август

В этом месяце: шифровальщики парализуют работу организаций и целых городов, Google следит за пользователями, Джон Макафи рекламирует «невзламываемый» кошелек Bitfi, а кто-то взял и взломал Reddit. Также обнаружены новые способы атак на WPA и WPA2, в открытый доступ утекли исходники Snapchat и DexGuard, а эксперты создали опасный USB-кабель и устройство для поиска скиммеров. И это еще не все!

Xakep #233

Гаси волну! Выбираем и настраиваем аппаратный деаутентификатор Wi-Fi на ESP8266

Wi-Fi jammer, или глушилка Wi-Fi, — это гаджет, который предназначен для отключения беспроводных устройств от хотспота. Глушилка может использоваться как для дружеских розыгрышей, так и для криминала: например, чтобы отключать от сети камеры слежения и другое важное оборудование. В этой статье мы разберем недорогие варианты аппаратных деаутентификаторов и расскажем, как ими пользоваться и как защититься от подобных атак.

Xakep #233

Полнодисковое шифрование с LUKS2. Изучаем новую версию популярного средства шифрования для Linux и проверяем, можно ли его взломать

Релиз cryptsetup 2.0 в декабре прошлого года прошел тихо и незаметно, что довольно-таки странно, учитывая фишки, которые он принес. В этой статье мы разберем, что в нем нового и какие проблемы существуют на данный момент, на практике попытаемся реализовать полное шифрование диска с использованием LUKS2, а также рассмотрим доступные коммерческие и свободные инструменты для его взлома.

Xakep #233

Олимпиады по программированию. Куда податься, если ты молод, умен и хочешь выиграть несколько тысяч долларов

Олимпиады бывают школьными и скучными, а бывают всемирными и уважаемыми. Участие в них интересно, познавательно, помогает завести полезные знакомства в профессиональных кругах, пополнить кошелек призовыми деньгами и получить работу на хорошей должности. О том, что собой представляют современные олимпиады, где проводятся и сколько можно заработать в случае победы, — в этой статье.

Xakep #233

PowerShell для тех, кто в баше. Пробуем найти аналоги наиболее распространенных тулз Unix в PS

При переходе с bash на PowerShell часто возникают неудобства, связанные с незнанием, какие есть аналоги и как ими пользоваться. И вроде вся логика понятна, и скрипт-то в одну строку, а как реализовать — неясно. Именно с этим и предлагаю разобраться.

Xakep #233

Злой двойник атакует! Маскируем запуск процессов при помощи Process Doppelgänging

На конференции Black Hat Europe 2017 был представлен доклад о новой технике запуска процессов под названием Process Doppelganging. Вирмейкеры быстро взяли эту технику на вооружение, и уже есть несколько вариантов малвари, которая ее эксплуатирует. Я расскажу, в чем суть Process Doppelganging и на какие системные механизмы он опирается. Заодно напишем небольшой загрузчик, который демонстрирует запуск одного процесса под видом другого.

Xakep #233

Полезная функциональщина. Грабим почту, трекеры задач и репозитории с Clojure

Язык программирования Clojure используется такими open source проектами, как NASA CMR, Cisco Threat Grid, CircleCI, Jepsen, стартапами и некоторыми крупными компаниями. В Positive Technologies решили попробовать применить Clojure как платформу для базовой автоматизации процессов управления разработкой программного обеспечения.

Xakep #233

Прокачай свой Burp! 11 наиболее полезных плагинов к Burp Suite

Поиск веб-уязвимостей и Burp Suite — это практически синонимы. Однако мощь твоего Burp напрямую зависит от выбора присадок к нему. В этой статье я собрал одиннадцать плагинов, которые постоянно использую в работе, и расскажу о том, какой вклад каждый из них вносит в облегчение и ускорение пентестерской деятельности.

Xakep #233

Шпионаж из-за Великой стены. Как действуют команды китайских хакеров

В Китае для кибершпионажа, помимо регулярных структур на базе подразделений НОАК и Министерства госбезопасности, используются и вольнонаемные команды хакеров. Им поручают самую грязную работу, чтобы в случае разоблачения репутационный ущерб правительству был минимален. В этой статье мы разберем их инструменты и методы.

Xakep #233

Pass the Hash через Open XML. Создаем документ с сюрпризом для перехвата хеша NTLMv2-SSP и брутим пароль

Хакеры давно используют документы MS Office как контейнеры для доставки пейлоада. Однако написание макросов и поиск уязвимостей в самих офисных программах — не единственные способы заставить их работать так, как нам нужно. В этой статье мы рассмотрим нетривиальный прием, заставляющий атакуемый компьютер c Windows передать нам по сети учетные данные пользователя при открытии файла .docx.

Xakep #233

Микросервисы по-микрософтовски. Пакуем приложения ASP.NET Core с помощью Docker

Кажется, Microsoft все больше и больше любит Linux! Приложения ASP.NET Core теперь по-настоящему кроссплатформенны и могут запускаться в «никсах», а соответственно, и в Docker. Давай посмотрим, как их можно упаковать, чтобы развертывать на Linux и использовать в связке с Nginx.

Xakep #233

10 научно-фантастических комиксов для тех, кто не читает комиксы и не любит супергероев

В то время как фильмы по комиксам бьют все возможные рекорды кассовых сборов, сами комиксы остаются для многих неизвестной культурой, к которой сложно подступиться. Мы подобрали десяток комиксовых сериалов, которые предназначены для взрослой аудитории, имеют структуру законченного произведения и могут хотя бы отдаленно считаться научной фантастикой.

Xakep #233

Все по песочницам! Запускаем приложения в отдельных виртуалках с помощью AppVM

Если ты действительно заботишься о безопасности, то некоторые приложения есть смысл запускать в виртуализации. Но держать три десятка виртуалок неудобно. Мне удалось обойти часть неудобств: мое решение работает в Linux, позволяет запускать приложения с GUI и шейрить файлы с основной системой, а оверхеды при этом минимальны. Как я этого добился? Сейчас расскажу.

Xakep #233

[Без]опасный JavaScript. Изучаем проблемы кода на JS и выбираем средства борьбы с ними

Разработка безопасных приложений на JavaScript — весьма непростое занятие. Но выполнимое. В этой статье рассмотрим особенности JavaScript, из-за которых возникает наибольшее количество проблем, и обратим внимание на инструменты разработчика, которые помогут их избежать.

Xakep #233

Искусство распаковки. Потрошим защиту хитрого банкера GootKit

Распаковка исполняемых файлов — одна из задач, с которыми приходится сталкиваться при реверсе. И если наш объект — это малварь, то зачастую приходится сталкиваться с кастомными упаковщиками. В этой статье я покажу, как справиться с защитными механизмами банкера GootKit, который постоянно развивается, апгрейдится и к тому же использует разные методы сопротивления отладке.

Xakep #233

WWW: Nexmon SDR — программа для превращения Raspberry Pi в SDR

Работая над переводом статьи о том, как можно превратить переходник с USB на VGA в передающее программно определяемое радио, я наткнулся на схожий и не менее интересный проект — Nexmon SDR. Это кастомная прошивка чипсета Wi-Fi, которая наделяет «Малинку» новыми интересными возможностями.

Xakep #233

WWW: WTF — универсальный дашборд для настоящих фанатов терминала

Может показаться, что всякие виджеты и гаджеты — это удел развесистых графических интерфейсов, авторы которых уже не знают, что бы еще приделать к операционной системе. Однако некоторые поклонники командной строки Linux тоже не чужды легкомысленных развлечений. Впрочем, красиво оформленную приборную панель можно считать и практичной — смотря что на нее поставить.

Xakep #233

WWW: Shadertoy — редактор шейдеров, который работает в браузере

Современные браузеры без проблем отображают трехмерную графику в формате WebGL, хотя на обычных сайтах такое развлечение пока что встречается и очень редко (да что там, почти никогда). Восполнить нехватку крутого 3D в организме, а также оценить мощь современных технологий и попробовать самостоятельно поиграться с шейдерами поможет сервис Shadertoy.

Xakep #233

APT из Поднебесной. Китайские хакерские группы и техники их целенаправленных атак

Следы большинства таргетированных атак в последние годы приводят в азиатский регион, где ярким пятном выделяются шанхайские серверы. В ходе расследований аналитики отмечают такие маркеры, как китайские IP-адреса, временные штампы, языковые настройки и софт, специфичные для Китая. Кто же устраивает кибератаки из-за «Великого китайского файрвола»?

Xakep #233

Советы Android-разработчику. Что я узнал за год поддержки приложения в Google Play

Вот уже год я занимаюсь поддержкой приложения в Google Play. За это время приложение установили сотни тысяч раз, а пользовательская база разрослась до десятков тысяч. Каждый день я получаю отзывы и письма, сообщения об ошибках и пишу код. Эта статья — советы для тех, кто только начинает свой путь в Google Play и желает сохранить хотя бы часть головы свободной от шишек.

Xakep #233

7 новых утилит для пентестера. Перебираем поддомены, пентестим WordPress и Drupal, фаззим API и кое-что еще

В этом выпуске новая подборка софта для пентеста и анализа безопасности. Научимся с комфортом находить поддомены, потрясем баги WordPress, Drupal и Magento, поищем уязвимые эндпойнты в API, а на закуску пошаримся в чужих сливах. Вперед!

Xakep #233

Вещаем по переходнику! Как превратить копеечный видеоадаптер в SDR, чтобы захватывать FM и спуфить GPS

Утилита Osmo-fl2k превращает адаптер с USB на VGA за 15 долларов в SDR-передатчик, который позволяет вещать в диапазонах FM-радио и телевидения DTV, подделывать сигнал GPS или симулировать базовую станцию UMTS. Неплохая штука для дружеских розыгрышей и других интересных применений. В этой статье мы поговорим о том, как такое вообще возможно, и разберем необходимые шаги.

Xakep #233

Почему домашние экраны всех смартфонов — отстой, или зачем я написал AIO Launcher

Не знаю, как тебе, а мне всегда казалось странным, что мощный смартфон, связывающий людей друг с другом и всем остальным миром, в качестве ключевого элемента интерфейса использует абсолютно бесполезный неинформативный экран со значками. Да, есть бейджи, да, иконки часов и календаря действительно показывают время и дату, но вы серьезно? Первое, что видит пользователь, — это просто сетка иконок?

Xakep #232

По цепочке уязвимостей. Получаем полный контроль над Gitea с нуля

В этой статье я расскажу о нескольких уязвимостях в продукте Gitea. Это опенсорсная альтернатива GitHub, сервис для работы с репозиториями Git. Мы пройдемся по цепочке уязвимостей, которая в конечном счете приведет к полной компрометации системы с возможностью выполнения произвольных команд.

Xakep #232

MEGANews. Самые важные события в мире инфосека за июль

В этом месяце: новые side-channel-атаки на базе Meltdown и Spectre, 3D-оружие идет в массы, в интернете повсюду русские хакеры, ЕС хочет 5 млрд от Google, Denuvo объявила охоту за крякерами, в iOS появился USB Restricted Mode, произошло несколько крупных разоблачений и полицейских операций и другие интересные события месяца

Xakep #232

Смешные и страшные вещи. Вспоминаем самые зрелищные взломы IoT за последние несколько лет

Подключение к интернету наделяет многие из домашних устройств новыми полезными качествами, но безопасность в мире IoT часто работает по принципу «заходи кто хочешь, бери что хочешь». В этом материале мы попытались собрать все интересное, что происходило в этой области за последнее время: от курьезов вроде взлома вибраторов до вещей, которые потенциально могут быть опасными для жизни.

Xakep #232

Пишем майнер на Java. Кодим добытчик криптовалюты Electroneum

В наше время каждая бабушка слышала о криптовалютах, курсы майнинга проводят даже серьезные учебные заведения, а антивирусы все чаще кричат о заражении сайта или игрушки майнером. Пришло время на практике разобраться, что это такое, как работает, и написать свой криптомайнер.

Android: обзор Android Go, новые механизмы защиты Android P и обратный шелл с помощью Frida

Сегодня в выпуске: отличия облегченного Android Go от стандартного Android, новые механизмы защиты Android P, инструкция по внедрению обратного TCP-шелла в Android с помощью Frida, распознавание лиц и текста с помощью ML Kit, генерация кода Kotlin с помощью аннотаций и описание новейшего MotionLayout. А также: подборка ссылок на ресурсы, облегчающие дизайн UI, и 14 свежих библиотек.

Xakep #232

Идеальное фото. Что такое HDR+ и как активировать его на своем смартфоне

Камеры смартфонов линейки Pixel и Nexus за последние четыре года сделали мощный рывок вперед: Google внедрила программный механизм постобработки фотографий под названием HDR+. В этой статье мы расскажем, как он работает и как активировать HDR+ на своем смартфоне, независимо от его марки.

Задачи на собеседованиях. Задания для хардкорщиков от компании Acronis

Приятно осознавать, что среди наших читателей много настоящих хакеров, способных дать решительный бой повсеместному засилью сделанных на двухнедельных онлайн-курсах веб-программистов. Поэтому за новыми задачами мы обратились к компании, «низкоуровневая» ориентация специалистов которой не вызывает сомнений, — Acronis!

Угрозы под контролем. Превращаем Zabbix в сканер безопасности

15 июня 2018 года ребята из Vulners представили опенсорсный проект Zabbix Threat Control, позволяющий превратить систему мониторинга Zabbix в систему контроля безопасности машин. В этой статье мы расскажем, что такое Zabbix Threat Control, покажем, как его установить, и проверим работоспособность системы.

Xakep #232

Злой дебаг. Исследуем и взламываем приложения для Android при помощи отладчика

Мы уже неоднократно рассказывали о взломе приложений для Android. Несколько раз мы вскрывали приложения практически голыми руками, имея только декомпилятор и дизассемблер, один раз прибегли к помощи фреймворка Frida, но есть и еще один, одновременно очевидный и неочевидный способ взлома — использовать отладчик.

Xakep #232

WTF is APT? Продвинутые атаки, хитрости и методы защиты

Наверняка ты уже читал о масштабных сетевых атаках, от которых пострадали банки, крупные предприятия, госучреждения и даже военные объекты. Кто их осуществляет? Почему они оказываются столь разрушительными? Можно ли от них защититься? На эти вопросы мы постараемся ответить в этой статье.

Xakep #232

Удаленное удаление. Как захватить контроль над WordPress, заставив его стереть файл

В WordPress, самой популярной в мире системе публикации, была обнаружена серьезная уязвимость. Она позволяет в пару запросов удалить любой файл, доступный для записи пользователю, от которого работает PHP, а затем получить контроль над сайтом. В этой статье мы разберемся с причинами и посмотрим, как работает эксплуатация.

Xakep #232

Господин Самоуничтожение. Как в домашних условиях смастерить Rubber Ducky со встроенной пиротехникой

Представь: ты втыкаешь в USB какую-то флешку, и вдруг в браузере открывается окно, где грустный клоун крутит ручку шарманки. Когда мелодия кончается, флешка делает «бам» и… в лучшем случае обсыпает тебя конфетти. Из этой статьи ты узнаешь, как скрестить девайс для атак BadUSB с устройством самоуничтожения и заодно научишься кое-каким мейкерским приемам.

Xakep #232

Snek Fite. Как я сделал онлайновую игру для программистов

Ты, конечно, знаешь такую замечательную игру, как «Змейка». Так вот, речь пойдет вовсе не о ней. Когда-то давно я нашел игру «Змеиные бои», которая позволяла программировать змейку, а не управлять ей. Недавно я решился не просто воссоздать эту несправедливо забытую гамезу, а сделать онлайновую версию — настоящую арену для робозмей!

Xakep #232

Android под колпаком. Как раскрывают кейсы взлома мобильных устройств

Личная и деловая переписка, деньги, фотографии, заметки, планы на будущее и удаленный доступ к рабочим инструментам — все это сегодня заключается в маленькой стосорокамиллиметровой пластиковой коробочке, которую каждый цивилизованный человек носит с собой постоянно. Неудивительно, что все чаще она становится целью для хакеров. Сегодня мы рассмотрим Android c точки зрения специалиста по форензике.

WWW: Zulip — опенсорсная замена для Slack и других групповых чатов

Разработчики Slack четыре года назад практически заново открыли миру чаты. В какой-то момент это приложение для скоростной рабочей переписки стали ставить повсюду — редакция «Хакера», кстати, тоже не удержалась. Но Slack проприетарный, а при серьезном использовании еще и стоит денег. Если твою компанию это останавливает от внедрения полезной новинки, то Zulip может стать неплохой альтернативой.

Xakep #232

WWW: Hacker101 — бесплатный видеокурс по взлому, сделанный в HackerOne

HackerOne — крупнейшая платформа для координации поисков уязвимостей и выплаты багбаунти. Впрочем, если ты не слышал про HackerOne, то этот недлинный видеокурс, составленный его сотрудниками, как раз для тебя. Тех, кто ладит с английским, он всего за полтора часа обучит азам хакерского мастерства.

Xakep #232

WWW: cheat.sh — удобные подсказки по командам и языкам в терминале

Чего только не придумает человек, чтобы не запоминать параметры к tar, wget, dd и другим замечательным, но не вполне очевидным командам! Например, мы как-то писали про TLDR pages — замену man, где объяснение каждой команды укладывается всего в несколько строк. Однако cheat.sh превосходит его на две головы.

Страница 3 из 3212345 102030...

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
7190 р.
на год
720 р.
на месяц
90 р.
за 1 статью

Еженедельный дайджест

Статьи для подписчиков