Главная Выбор редактора (страница 3)

Выбор редактора

В этой рубрике находятся все статьи, которые редакция журнала выпускает на платной основе и включает в состав ежемесячных выпусков. Другими словами, это раздел, статьи в котором полностью доступны только онлайн-подписчикам журнала «Хакер».

Xakep #230

Инструментарий Android-разработчика. Подбираем программы, которые помогут в работе

Android Studio — весьма продвинутая среда разработки, из коробки предоставляющая почти все, что нужно разработчику. Но с ее помощью можно решить не все задачи, а для некоторых из них гораздо лучше подойдут другие приложения. В этой статье мы расскажем о десяти инструментах, с которыми ты обязательно должен ознакомиться как разработчик.

Xakep #229

MEGANEWS. Основные события апреля

В этом месяце: новые проблемы с процессорами AMD и патчами Meltdown и Spectre, масштабный скандал вокруг Facebook и сливов личных данных, ленивые производители смартфонов и их фиктивные патчи для Android, новый стандарт веб-аутентификации без паролей, который уже поддерживают Google, Microsoft и Mozilla, и многое другое.

Xakep #229

Искусство форензики. Находим источники данных, ищем и анализируем артефакты

В предыдущей статье мы познакомили тебя с форензикой – наукой о расследовании кибер инцидентов. В этой — научимся применять конкретные утилиты и техники: проведем поиск и восстановление удаленных файлов, анализ неразмеченной области памяти, дамп процессов в Windows для обнаружения эксплойта, а так же анализ истории URL и извлечение cookie из браузера.

Xakep #229

Задачи на собеседованиях. Полный разбор задач и награждение победителей от HackerU

Настало время подвести итоги мартовских задач на собеседованиях и прославить тех парней, которые их с блеском решили. Спасибо победителю — его решение оказалось настолько подробным, что потянет на целую статью по крякингу. :)

Xakep #229

Искусство удаленной отладки. Готовим инструментарий для работы с ядром и вирусами

Необходимость в отладке программ, запущенных внутри виртуалки, может возникнуть, когда ты пишешь компонент ядра, драйвер или же занимаешься вирусной аналитикой. Существует несколько инструментов, которые позволяют это сделать. Настроить их с первого раза может быть непросто, так что давай посмотрим, какими они бывают и как с ними обращаться.

Xakep #229

Android: инструменты пентестера, уязвимости экрана блокировки iOS и множество советов по Kotlin

Сегодня в выпуске: десять инструментов пентестера, уязвимости экрана блокировки iOS, взлом защиты от запуска приложения в эмуляторе, способы легально повысить привилегии в Android, методы усложнения жизни взломщика твоего приложения, 15 инструментов, которые наверняка понадобятся тебе как разработчику, полезные клавиатурные комбинации Android Studio, 31 совет по языку Kotlin и очередная пачка полезных Android-библиотек.

Xakep #229

Беспощадный буст. Как ускорить многопоточный код на C++

Уже много лет твой компьютер умеет выполнять код любимого ПО параллельно на всех своих ядрах и процессорах. И казалось бы, уже весь софт давным-давно должен уметь максимально эффективно нагревать атмосферу вокруг тебя, нагружая транзисторы твоего ПК многопоточностью. Но все не так замечательно, как хотелось бы.

Xakep #229

Заметаем следы. Как уничтожить данные быстро и безвозвратно

Уничтожать улики и заметать следы — удел не самых законопослушных граждан. Мы же сегодня поговорим о том, как гарантированно удалить информацию с разнообразных носителей в тех случаях, когда ты собираешься продать, подарить или попросту выбросить диск, телефон или компьютер.

Xakep #229

ОС максимальной секретности. Выбираем дистрибутив для обхода блокировок и защиты от слежки

Возможно, ты уже пользовался дистрибутивом Tails или даже запускаешь его ежедневно. Но это не единственная операционка, способная скрыть твое присутствие в сети и помогающая обойти региональные блокировки. В этой статье мы изучим пять конкурентов Tails, каждый — со своими интересными особенностями.

Xakep #229

Выносим всё! Какие данные о нас хранит Google и как их вернуть себе через Takeout

Как известно, Google хранит огромное количество данных о своих пользователях, чем его непрерывно попрекают. Под напором критики в Google создали механизм, который позволяет взять и выкачать все свои данные. Этот сервис называется Takeout, и у него могут быть разные интересные применения, о которых мы и поговорим. А заодно детально изучим то, что он выдает на руки пользователю.

Xakep #229

Роскомнадзор vs Telegram. Хроники одного противостояния

Противостояние Роскомнадзора и мессенджера Telegram, берущее начало еще в прошлом году, продолжается. Хотя с 16 апреля 2018 года Роскомнадзор начал ограничивать доступ к мессенджеру на территории России, для большинства пользователей Telegram по-прежнему доступен без использования VPN и прокси, чего нельзя сказать о других ресурсах и сервисах. Подводим промежуточные итоги.

Xakep #229

Друпалгеддон-2. Подробно разбираем новую уязвимость в Drupal

Вот и настал час второго «Друпалгеддона»! Это новая версия наделавшей в свое время много шума критической уязвимости в одной из самых популярных CMS. Найденная брешь позволяет абсолютно любому незарегистрированному пользователю всего одним запросом выполнять любые команды на целевой системе.

Xakep #230

Лучшее с мировых ИБ-конференций. Как взломать NFC и Apple Pay и уронить человека с гироскутера

Продолжаем держать тебя в курсе самых интересных докладов с мировых хакерских конференций. В сегодняшнем материале — все, что связано с уязвимостями беспроводных технологий. И между прочим, делись в комментах лекциями и докладами, которые ты нашел без нашей помощи!

Xakep #229

Хардкорный взлом самошифрующегося HDD. Реверсим и хакаем внешний накопитель Aigo

Реверсинг и взлом внешних самошифрующихся накопителей — мое давнее хобби. В прошлом мне доводилось упражняться с такими моделями, как Zalman VE-400, Zalman ZM-SHE500, Zalman ZM-VE500. Совсем недавно коллега занес мне еще один экспонат: Patriot (Aigo) SK8671, который построен по типичному дизайну — ЖК-индикатор и клавиатура для ввода ПИН-кода.

Xakep #229

Как обмануть криптоказино. Предсказываем случайные числа в умных контрактах Ethereum

Ethereum можно использовать в онлайн-рулетке, лотереях и карточных играх. Подтвержденные транзакции блокчейна нельзя подделать — технология децентрализована и прозрачна, — но код умных контрактов может быть уязвим. Одна из проблем — уязвимые генераторы псевдослучайных чисел, ГПСЧ. Давай разберем типовые ошибки реализации ГПСЧ в азартных играх на базе Ethereum.

Xakep #229

X-Tools. Подборка полезных хактулз для сбора и анализа данных

Сегодняшний X-Tools посвящен сбору и анализу открытых данных. Другими словами — этапу рекона. Очередные семь тулз, которые помогут найти, просканировать уязвимые хосты, а также облегчить этап эксплуатации, обогащая ресерчера новыми знаниями о целевой машине.

Прессуем WordPress. Как работает новый метод «класть» сайты на WordPress

В WordPress, самой популярной CMS в мире, была найдена ошибка, которая позволяет вызывать отказ в обслуживании сайта, то есть DoS. Успешную эксплуатацию с легкостью возможно провести удаленно, и для этого не нужно обладать никакими правами в системе.

Xakep #229

WWW: Texttop — графический браузер, который работает в терминале

Не все из проектов, о которых я пишу в рубрике WWW, имеют практическую ценность, но штуковине под названием Texttop, кажется, удалось побить все мыслимые рекорды бесполезности. Единственное достоинство графического десктопа, который передается через текстовый терминал, — это завораживающая смелость всей затеи.

Xakep #229

WWW: gron — утилита, которая облегчает работу с JSON из командной строки

Данные в формате JSON легко загружать и сохранять в своих программах, а вот через терминал работать с сериализованными объектами далеко не так просто. Автор утилиты gron решил исправить это, сделав так, чтобы по файлам в JSON можно было искать с помощью grep, сравнивать их через diff и так далее.

Xakep #229

WWW: SQL Injection Wiki — коллекция примеров SQL-инъекций

Исследователи ИБ из компании NetSPI собрали неплохую подборку самой разной информации, связанной с SQL-инъекциями. Эта техника атак на веб-приложения хорошо известна и широко применяется с тех времен, когда сайты стали делать на основе баз данных. И до сих пор она считается одной из самых опасных.

Xakep #229

Оружие массового заблуждения. Разбираем 10 простых рецептов социальной инженерии

Социальная инженерия обычно считается частью таргетированной атаки, но что, если применять подобные схемы массово? Автор статьи разработал и протестировал десять таких сценариев, чтобы понять, как люди будут на них реагировать и какие могут быть последствия.

Xakep #229

Прослушка VoIP. Как PRISM и BULLRUN извлекают информацию из голосового потока

VoIP-телефония постепенно отвоёвывает позиции у традиционных медно-проводных телефонных систем. Но как насчёт конфиденциальности VoIP-переговоров? Способно ли сквозное шифрование, применяемое в VoIP-софте, обеспечить эту самую конфиденциальность? Такие вопросы стали в особенности злободневными после откровений Сноудена, поведавшего миру о тотальной прослушке.

Xakep #229

Искусство форензики. Теория, книги, курсы, полезные материалы

Если ты когда-нибудь садился за чужой компьютер и пытался разобраться, то поздравляю: ты уже занимался форензикой. Только у специалистов круг задач намного шире: они расследуют инциденты, анализируют трафик, ищут сокрытые данные. Хочешь стать одним из таких спецов? Тогда давай посмотрим на основы этого мастерства и соберем коллекцию утилит и ссылок на ресурсы, которые помогут прокачать скилл.

Xakep #228

MEGANEWS. Основные события марта

В этом месяце: паника из-за Meltdown и Spectre, повсеместное распространение эксплоитов АНБ, громкие взломы криптобирж и кражи миллионов долларов при ICO, противостояние китайских производителей смартфонов и спецслужб США, текущие тренды в технологиях разработки ПО и другие события в сфере инфобезопасности, взлома и защиты.

Xakep #229

Memcached как средство для DoS. Как ошибка в конфиге превратила полезную утилиту в хакерское оружие

В конце февраля этого года GitHub подвергся мощнейшей DoS-атаке с пиковой мощностью 1 Тбайт/с. Атака стала возможна из-за особенностей кеширующей базы данных Memcached. Помимо GitHub, ее используют Facebook, LiveJournal и другие большие сайты. В этой статье я расскажу, что делает небольшой скрипт на Python, который привел к таким последствиям.

Xakep #228

Защищаем ноутбук с Linux. Шифрование, аутентификация по флешке и возврат украденного

Уверен, многие читатели ][ уже давно избавились от стационарных компов и используют ноутбук как основной инструмент для работы, учебы и всего остального. Мир сдвинулся с места и стал мобильным. Но там, где есть мобильная техника, есть и риск ее потерять, забыть или быть обокраденным. Как при этом не лишиться данных, уберечь их от посторонних глаз и отыскать-таки украденную технику? Попробуем разобраться.

Xakep #229

Плохой Андроид. Как производители превращают хорошую ОС в тормозное необновляемое убожество

В одном из предыдущих выпусков мы подробно рассмотрели причины, по которым смартфоны Apple были и будут быстрее актуальных флагманов на Android. Статья вызвала бурные обсуждения и неоднозначные реакции. В связи с этим мы решили развить и углубить тему, рассказав о тех палках, которые суют в колеса неплохой, в принципе, системы производители андроид-смартфонов.

Xakep #228

PICO-8. Играем и кодим на легендарной приставке, которой никогда не было

Если ты когда-нибудь пытался сделать игру, то знаешь, как это непросто и как много требуется времени и сил. Но так было не всегда. PICO-8 и другие фэнтезийные ретроконсоли — это попытка вернуть старые времена, когда игры делали на коленке и получали от этого максимум удовольствия. Давай посмотрим на PICO-8 поближе, разберемся, что и как делает сообщество, и полюбуемся на красивые демки, которые умещаются в твит.

Xakep #229

Тулкит для форензики. Выбираем дистрибутив и набор софта для криминалистического анализа

Если твоя задача — найти улики на жестком диске, то худшее, что ты можешь сделать, — это «натоптать» самостоятельно, изменив какие-то данные и создав новые файлы. Чтобы этого не происходило, работать с электронными вещдоками лучше всего, загрузившись с live CD. А еще лучше — иметь загрузочный носитель со специализированным дистрибутивом. Об их выборе и особенностях мы и поговорим в этой статье.

Xakep #228

Атлас мира криптовалют. Разбираемся с ICO и ориентируемся в новых криптопроектах

За последний год от криптовалют стало буквально некуда деваться: лихорадка майнинга захватила умы, Bitcoin рос как на дрожжах и был дважды форкнут, а новые альткойны появлялись чуть ли не каждый день. Все это сопровождалось метаниями правительств и новостями о действиях мошенников. Среди всего этого безумия одна тенденция кажется наиболее интересной — это Initial Coin Offering, или ICO.

Xakep #229

Системный изолятор. Изолируем процессы в Windows средствами Less Privileged App Container (LPAC)

Начиная с восьмой версии в Windows появился встроенный механизм контейнеров, которые позволяют изолировать процессы путем значительного усечения их прав. Этому системному механизму дали название Less Privileged App Container (LPAC), он поддерживается некоторыми приложениями, например браузером Chrome. В этой статье я покажу, как использовать его в своих программах.

Xakep #228

Как подчинить белку. Учимся эксплуатировать новую уязвимость в почтовике SquirrelMail

В почтовом сервере SquirrelMail найдена очередная уязвимость, и, хоть баг довольно прост, импакт от него крайне неприятный: любой пользователь может читать или удалять произвольные файлы в системе. Но досаднее всего для владельцев SquirrelMail, что прошел год с момента находки уязвимости, а разработчики так ее и не запатчили. Давай посмотрим, откуда она берется и как ее эксплуатировать.

Xakep #229

Небезопасность WebApp. 10 горячих докладов с ИБ-конференций

Каждый безопасник должен держать руку на пульсе и быть в курсе значимых публикаций и презентаций по нашему с тобой профилю. Не всем удается постоянно путешествовать по миру и посещать хакерские конференции, но с некоторых пор для наших подписчиков это перестало быть проблемой. В этом выпуске — самые интересные публикации, посвященные безопасности WebApp.

Xakep #228

Инъекция для андроида. Внедряем код в чужие приложения с помощью Frida

Когда мы говорим о взломе и модификации чужих приложений, то чаще всего подразумеваем использование декомпилятора, дизассемблера и отладчика. Но есть инструмент, который работает совершенно иначе. Это Frida, тулкит, позволяющий внедриться в процесс и переписать его части на языке JavaScript.

Гасим файрвол. Учимся эксплуатировать критическую уязвимость в ОС Palo Alto Networks

Palo Alto Networks — один из крупнейших секьюрити-провайдеров. Файрволы этой компании работают на собственной ОС с приятным русскому уху названием PAN-OS. В ней-то недавно и нашли уязвимости, которые приводят к удаленному исполнению кода от имени суперпользователя без какой-либо авторизации. Хочешь узнать, как такие серьезные ребята смогли так облажаться? Давай разберемся!

Xakep #228

][-детектив: целевая атака на Сбербанк. Раскрываем подробности АРТ «Зловредный Санта-Клаус»

Накануне праздников мы все с головой погружаемся в задачи, которые нужно успеть завершить, бдительность офисных работников притупляется, и это на руку хакерам. Недавно мы столкнулись с серией кибератак на компании финансового сектора России, в том числе и Сбербанк. На первый взгляд, это были привычные фишинговые рассылки на адреса банковских сотрудников. Но детальный разбор и анализ выявили постоянно эволюционирующую целенаправленную атаку.

Xakep #228

Прятки по хардкору. Как сделать свой драйвер режима ядра Windows и скрывать процессы

Все мало-мальски серьезные защитные приложения используют собственные модули режима ядра, через которые работает большинство их функций. Если у программы есть такой драйвер, то пробовать скрываться от нее из режима пользователя бессмысленно. Так же бесполезно пытаться на нее как-то воздействовать. Решение — написать собственный драйвер. В этой статье я покажу, как это делается.

Xakep #228

Новая броня Android. Как Android 9 будет защищать приватность и безопасность пользователей

Восьмого марта Google представила предварительный выпуск Android P, который почти со стопроцентной вероятностью вскоре сменит имя на Android 9. В новой версии в очередной раз изменился интерфейс, появились новые функции панели уведомлений, поддержка HDR, двух камер, но наше внимание, как всегда, привлекает нечто гораздо более интересное: безопасность и новые механизмы ограничений.

Xakep #228

Надзирай и властвуй. Как узнать все, что происходит с твоей Linux-машиной

Ты уверен, что в курсе всего происходящего у тебя в системе? Возможно, ты даже пользуешься какой-то системой мониторинга наподобие Prometheus или Zabbix, но знаешь ли ты, как самому получить подробные отчеты о работе системы и железа? В этой статье мы расскажем, как, используя командную строку Linux и стандартные утилиты, доступные в любом дистрибутиве, выжать максимум информации о работе системы.

Xakep #228

WWW: QB64 — наследник QuickBASIC, который почти не выглядит устаревшим

Если ты успел провести достаточно времени за синим экраном, на котором заглавными буквами возводились зиккураты из циклов FOR..NEXT, значит, тебе будет приятно (или как минимум забавно) услышать о том, что легендарный QuickBASIC жив по сей день.

Страница 3 из 2912345 1020...

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
6990 р.
на год
720 р.
на месяц
90 р.
за 1 статью

Еженедельный дайджест

Для подписчиков