По примеру американских коллег из Apple, Amazon, Google и Microsoft в «Яндексе» в 2017 году сделали своего голосового ассистента, который понимает русский язык и пользуется неплохой популярностью в России. Одна из причин успеха — это возможность создания своих навыков, то есть собственных приложений. О том, как научить «Алису» новым вещам — в этой статье.

Если верить базе данных MITRE, многие APT-группировки начинают свои атаки с фишинговых рассылок на корпоративную почту. Чтобы обезопасить пользователей, существуют шлюзы безопасности или Email Security Gateway. Но чтобы они приносили пользу, их нужно грамотно настроить. Об этом и поговорим.

Как и у людей, у компьютеров есть своя судьба — и складывается она зачастую по-разному. Одни ведут размеренную жизнь и тихо уходят на покой в предназначенный срок. Другим уготовано вписать свое имя в историю, стать признанной легендой и даже породить целую субкультуру. Выход четвертой ревизии популярного одноплатника Raspberry Pi не оставляет скептикам ни единого шанса: английский микрокомпьютер с нами всерьез и надолго.

IT-конференции — это работа или отдых? Есть ли смысл туда ехать? Почему лучше увидеть все самому, а не смотреть записи выступлений? Моя бабуля даст небанальные ответы на эти и другие небанальные вопросы. Ведь она побывала сразу на двух питерских айтишных фестивалях уходящего лета — Chaos Constructions и TechTrain.

Очень часто исследование внутренней работы прикладных программ можно свести к исследованию их трафика, и чаще всего передается он по протоколам семейства HTTP. Но каждое приложение может по-своему защищаться от «прослушки». Сегодня мы постараемся выяснить, что общего есть у всех подходов к защите и как эту общую часть можно использовать для создания универсального метода перехвата HTTPS.

Инциденты с prefix hijacking случаются регулярно, когда трафик массово отправляется не тем путем, которым должен. Некоторые из них, может, и связаны со злым умыслом, но большинство случайны и происходят по вине невнимательных админов. Сегодня я расскажу, как провайдеры могут предотвратить их или свести к минимуму, а заодно и как самому не стать их виновником.

Ты наверняка уже слышал про TON — проект Павла Дурова и разработчиков Telegram, связанный с блокчейном, криптовалютами и децентрализацией. Очень долго в этих разговорах не было конкретики, но сейчас документация и код TON Blockchain Software уже доступны. В этой статье я расскажу о том, что нас ждет.

В этой статье мы выясним, какие площадки позволяют оттачивать мастерство взлома и ценятся специалистами по безопасности. Они позволяют этичным хакерам быть этичными до последнего, при этом не терять хватку, регулярно практиковаться со свежими уязвимостями и оставаться в рамках закона.

Что объединяет конкурентную разведку, пентестинг и расследование киберинцидентов? Это сбор информации, и прежде всего — из открытых источников. Но что делать, если найденных сведений не хватает, а привычные инструменты уже бессильны? Поговорим о хаках и приемах, тесно связанных с получением доступа к закрытым материалам.

Изоляция трафика разных сетей в пределах одной ОС распространена повсеместно. Для конечных пользователей она незаметна — в этом ее цель. Но знаешь ли ты, какие средства для разных уровней изоляции предоставляет ядро Linux и как ими воспользоваться самому, не рассчитывая на интегрированные средства управления вроде Docker? Давай разбираться.

Ты наверняка слышал, что нейросети в последнее время стали чертовски хорошо справляться с распознаванием объектов на картинках. Наша же задача — научиться пользоваться этими нейросетями, ведь их мощь может пригодиться в самых разных случаях. В этой статье я расскажу, как задействовать ее при помощи самых распространенных инструментов: Python и библиотек Tensorflow и Keras.

Ты, возможно, уже сталкивался с идентификацией по голосу. Она используется в банках для идентификации по телефону, для подтверждения личности на пунктах контроля и в бытовых голосовых ассистентах, которые могут узнавать хозяина. Знаешь ли ты, как это работает? Я решил разобраться в подробностях и сделать свою реализацию.

В этом месяце: изменения в bug bounty программах крупных компаний; проблемы в коде Boeing 787; уязвимости нулевого дня в Steam и конфликт Valve с исследователем; о создании вредоносного Lightning-кабеля; атаки шифровальщиков на муниципальные власти, а также другие интересные события последнего месяца лета.

Сегодня в выпуске: простой и эффективный способ обмана Face ID, реверс-инжиниринг прошивок IoT-устройств, неожиданные результаты сравнения производительности Java и Kotlin, сравнение паттернов MVC, MVP, MVVM и MVI, советы по использованию Android Studio. А также: набор свежих инструментов пентестера и библиотек для программистов.

Раньше капча с числами была отличным способом отсеять ботов, а сейчас такая разновидность уже почти не встречается. Думаю, ты и сам догадываешься, в чем дело: нейросети научились распознавать такие капчи лучше нас. В этой статье мы посмотрим, как работает нейронная сеть и как использовать Keras и Tensorflow, чтобы реализовать распознавание цифр.

Самое известное средство контейнеризации и автоматизации развертывания приложений — Docker. Известное, но не единственное: достойную конкуренцию ему составляет Kubernetes. Разумеется, он тоже представляет определенный интерес для злоумышленников. Как защитить Kubernetes от взлома и сетевых атак? Об этом — сегодняшняя статья.

Эллиптическая криптография (Elliptic Curve Cryptography, ECC) — штука популярная, мощная и при этом не очень понятная. Мы в CloudFlare используем ее везде: от защиты HTTPS-соединений наших клиентов до передачи данных между серверами. В этой статье я попытаюсь на простых примерах показать, как все это работает.

Jira — мегапопулярная система для отслеживания ошибок, организации взаимодействия с пользователями и управления проектами. Уязвимость позволяет атакующему выполнить произвольный код на целевой системе при помощи обычного POST-запроса, не обладая при этом никакими привилегиями. Давай посмотрим на причины этого бага и методы его эксплуатации.

В этой статье мы окунемся в глубокий и подробный статический анализ с помощью IDA Pro — сверхпопулярного среди хакеров и специалистов по информационной безопасности дизассемблера. Начнем с самого базового анализа и постепенно будем пробираться вперед, разгребая заросли кода.

Криптовалюты то входят в моду, то кажутся полным разочарованием. Кто-то делает на них миллионы, а кто-то остается без копейки. В этой статье мы попытаемся оставить в стороне личные переживания и попытаться понять, можно ли ждать от крипты какого-то реального прока.

Два года назад разработчики стриминговой платформы Twitch представили новый способ взаимодействия стримеров и зрителей — Twitch Extensions. Эта система позволяет разработчикам дополнять и улучшать интерфейс как сайта, так и мобильного приложения, создавая различные интерактивные элементы. Я расскажу, как работают эти расширения и как при желании создать свое.

Сегодня мы пройдем виртуальную машину CTF с Hack The Box. Машина уязвима к разному типу LDAP-инъекций, использует генератор одноразовых паролей stoken в качестве механизма аутентификации и содержит небрежно написанный скрипт на Bash, с помощью которого мы обманем архиватор 7z и получим root.

В этом выпуске колонки я хотел бы поделиться с тобой небольшой личной историей, оттолкнувшись от которой мы потом поговорим обо всяких глобальных и возвышенных вещах. История эта произошла в начале года на конференции компании Check Point.

Вырвиглазные мерцающие OLED-дисплеи остались в прошлом! В Xiaomi изобрели способ сделать OLED без мерцания, причем не только у актуального флагмана, но и у старых устройств. Но сколько тут истины, а сколько — рекламной шелухи? Что на самом деле сделали в Xiaomi и были ли они первыми на рынке? Попробуем разобраться.

Производительности всегда не хватает. Иногда проблему можно решить, просто обновившись до топового железа, но если и его вдруг оказалось недостаточно — дальше остается только разгон. Такая соблазнительная возможность, что едва ли стоит ей сопротивляться!

DeepNude — приложение, умеющее бесстыдно раздевать на фото представительниц прекрасного пола — взорвало интернет в минувшем июне. Этот проект использует в своей работе адскую смесь из нейросетей, искусственного интеллекта и полового инстинкта.

С момента публикации первого обзора подобного рода атак поборники добра сумели разработать эффективные меры защиты. Однако темная сторона силы тоже оттачивала свое мастерство. Какие новые техники они изобрели и почему атакующие разделились на два лагеря — читай об этом в моем новом материале.

В этой статье я покажу, как получить рут на виртуалке Stratosphere с CTF-площадки Hack The Box. На этот раз мы повоюем с фреймворком Apache Struts для получения RCE, рассмотрим в действии редко обсуждаемую, но очень полезную концепцию получения удаленной сессии Forward Shell, а также поиграем с угоном библиотеки и эксплуатацией функции `eval()` для скрипта на Python.

Хардварные crackme в этом сезоне снова набирают популярность. Их полюбили организаторы профильных конференций, и они все чаще встречаются в тематических конкурсах. В этой статье мы разберем один из реальных прошлогодних примеров и заодно узнаем, как выглядит атака по энергопотреблению на ключ шифрования устройства.

Защита своей территории — один из сильнейших природных инстинктов. Животные используют для этого клыки, рога и когти, а сисадмины — правильную настройку софта и железа для предотвращения сетевых атак. Сегодня мы рассмотрим наиболее популярные виды таких вторжений и разберем методы защиты от них на примере операционной системы Cisco IOS.

Можно ли спрогнозировать, будет публикация успешной? Я написал программу, которая автоматически берет текст поста, проверяет его с помощью нейронной сети и публикует только в том случае, если вероятность получить одобрение аудитории достаточно высока.

Банковские трояны ежегодно наносят ущерб на миллионы долларов. Вирмейкеры стараются держать все, что связано с внутренней кухней банкеров, в глубочайшей тайне. Поэтому мы никак не могли упустить уникальное событие — попадание исходников банковского троя Carbanak в паблик — и принялись исследовать его устройство изнутри.

Julia — молодой язык программирования, предназначенный преимущественно для научных вычислений. Его создатели хотели, чтобы он занял нишу, которую прежде занимали Matlab, его клоны и R. Создатели пытались решить так называемую проблему двух языков: совместить удобство R и Python и производительность C. Посмотрим, что у них получилось.

В мире веб-приложений протоколы для SSO широко распространены и легко реализуемы. Ряд популярных приложений, к примеру консольный клиент PostgreSQL (psql), предоставляют такую возможность для локальных подключений через сокеты UNIX. В этой статье мы рассмотрим, как это сделать с помощью опции SO_PEERCRED.

Все техники взлома криптографических систем разделяют на две большие группы: использующие недостатки самих алгоритмов шифрования и их физических реализаций. В этой статье мы рассмотрим последние, которые называют SCA (side-channel attacks) — атаки по сторонним (или побочным) каналам.

В этом месяце: крупные компании получают миллиардные штрафы; даже на порносайтах невозможно спрятаться от слежки; Россия поставила рекорд по количеству пользователей Tor; взлом подрядчика ФСБ привел к утечке данных; для проблемы BlueKeep появился коммерческий эксплоит; Стив Возняк в очередной раз призвал пользователей отказаться от Facebook. А также другие интересные события июля.

Системные программисты любят обсуждать извечный вопрос: как двум процессам лучше всего наладить взаимодействие? Можно ли избежать посредника в виде операционной системы? Оказывается, можно: достаточно только спуститься на уровень ниже, к аппаратной части, и поискать решение среди векторных регистров процессора.

Сегодня в выпуске: скрываем приложение от троянов, боремся с утечками памяти, создаем неубиваемый сервис, работаем с сенсорами температуры, отлаживаем приложение прямо на устройстве и готовим свое приложение к ограничениям Android Q. А также: подборка первоклассных инструментов пентестера и библиотек для разработчиков.

Старому макбуку с процессором PowerPC можно найти массу достойных применений. Например, им очень удобно колоть орехи. Древний PowerBook отлично сгодится в качестве подпорки под мебель или украшения интерьера. А еще в него можно вдохнуть новую жизнь, для чего нам понадобится пара свободных вечеров, немного черной магии и, конечно же, эта статья в качестве источника вдохновения.

В этой статье я расскажу об уязвимости в агенте пересылки сообщений Exim. Найденная брешь позволяет атакующему выполнить произвольный код на целевой системе, что само по себе очень опасно, а если Exim был запущен от рута, то успешная эксплуатация позволяет получить максимальный контроль над системой.