Главная Выбор редактора (страница 4)

Выбор редактора

В этой рубрике находятся все статьи, которые редакция журнала выпускает на платной основе и включает в состав ежемесячных выпусков. Другими словами, это раздел, статьи в котором полностью доступны только онлайн-подписчикам журнала «Хакер».

Xakep #232

All in по фану. Как разобрать, изменить и собрать обратно мобильную игру на Unity

Разработчики игр с удовольствием пользуются теми удобствами, что им предоставляет движок Unity, но, как выяснилось, он столь же удобен и для любого желающего вскрыть эти игры. Для примера я возьму Poker World и покажу на ней, как можно не только менять параметры, но и влезть в саму логику, переиначить все на свой лад и перепаковать APK. Заодно соберем небольшой набор утилит, который поможет в работе с мобильным софтом.

Xakep #232

Самое крутое с мировых ИБ-конференций. Интересные доклады, посвященные социальной инженерии

Часто самый простой способ проникновения в целевую систему — это не уязвимости в софте, а халатность сотрудников. Воспользоваться ей помогает социальная инженерия, узнать о последних веяниях в которой ты можешь из работ исследователей. Чтобы помочь тебе быть в курсе, мы собрали подборку из девяти наиболее занимательных докладов за последнее время.

Xakep #232

Пентест UEFI. Оцениваем защищенность прошивки UEFI с помощью CHIPSEC

В этой статье мы разберем схему функционирования и устройство прошивки UEFI на материнских платах с процессорами и чипсетами Intel, протестируем ее с помощью CHIPSEC Framework и сделаем ряд не очень утешительных выводов.

Xakep #232

Опасный IoT. Как найти уязвимые устройства и что мешает их взломать

Когда читаешь новости про недавно обнаруженные уязвимости или смотришь выступления на хакерских конференциях, то складывается впечатление, что сегодня все подключено к интернету и легко взламывается. Причем часто для взлома не требуется ни высокой квалификации, ни специализированного оборудования. Давай выясним на практике, так ли это!

WWW: Outline — личный сервер VPN, получивший поддержку Google

VPN приобретает все большую популярность — он не только позволяет обходить региональные ограничения, но и повышает безопасность, особенно если выбирать не первого попавшегося провайдера. Надежнее всего — установить VPN на свой сервер и ходить в интернет через него. К Google (вернее, Alphabet) недавно примкнул небольшой стартап Jigsaw, цель которого — сделать этот процесс максимально простым и доступным.

Xakep #232

Полностью твой админ. Эксплуатируем LFI и выполнение произвольного кода в phpMyAdmin

phpMyAdmin — популярнейший веб-менеджер для баз данных MySQL. Возможность его установки есть у большинства хостингов, и примерно на каждом втором сайте можно найти путь, по которому он установлен. Сам понимаешь, насколько это лакомый кусочек — уязвимость в таком продукте. Под угрозой — масса компаний от мала до велика.

Xakep #231

Шифруйся грамотно! Выбираем мессенджер для безопасной и приватной переписки

Парадоксально, но факт: при всем разнообразии мессенджеров выбирать их обычно не приходится — люди просто пользуются тем же, чем их друзья и знакомые. Но что, если секретность действительно важна? В этой статье мы пройдемся по списку современных мессенджеров и посмотрим, какие гарантии защиты есть у каждого из них.

Xakep #231

Android: куда смартфоны сливают данные, 10 вопросов о Kotlin и запуск shell-кода с помощью JIT

Сегодня в выпуске: выполнение shell-кода с помощью JIT-компилятора, рассказ о том, куда смартфоны сливают данные, десять самых популярных вопросов о Kotlin, рассказ о WorkManager и Slices, представленных на Google I/O, и, конечно же, подборка свежих инструментов и библиотек.

Xakep #231

WWW: Google Sheets VM — виртуальная машина внутри электронной таблицы

Я думаю, тебе хорошо известно о возможности выполнять скрипты в документах Microsoft Office и Google Drive. Но давай отвлечемся от злокозненных применений и посмотрим, как в электронных таблицах Google можно смастерить простейшую виртуальную машину, которая будет исполнять программы.

Xakep #231

MEGANews. Основные события июня

В этом месяце: Microsoft купила GitHub, Google наращивает защиту, EFF, Mozilla и Cisco запустили инициативу STARTTLS Everywhere, в процессорах обнаружено еще больше багов, криптовалютные биржи по-прежнему активно грабят, игры следят за игроками и многое другое

Xakep #231

Пропуск в луковую страну. Поднимаем Wi-Fi с проксированием трафика клиентских устройств через Tor

В этой статье рассмотрим процесс конфигурирования Wi-Fi точки доступа с автоматической анонимизацией всего исходящего трафика через сеть Tor, а также взглянем на некоторые полезные практические примеры её применения как для простого пользователя, так и для исследователя безопасности.

Xakep #231

Безопасность iOS. Что хорошо, что плохо и как ее усилить

Обычно мы рассказываем об уязвимостях и способах, помогающих получить доступ к приватной информации. Сегодня будет наоборот: мы рассмотрим способы, которыми пользуются спецслужбы, чтобы взломать iPhone и извлечь твои данные, попробуем от них защититься и сразу же оценим стойкость такой защиты.

Xakep #231

Отмычки для софта. Выбираем инструменты реверса и пентеста приложений для Android

За десять лет существования Android разработчики приложений и те, кто эти приложения взламывает, обзавелись массой инструментов, направленных друг против друга. О том, какими способами можно защитить свое приложение, мы уже поговорили, а сегодня у нас обзор инструментов для взлома и реверса приложений.

Xakep #231

Русифицируем уточку. Как заставить BadUSB работать с разными раскладками клавиатуры

BadUSB — один из самых интересных инструментов в арсенале хакера. Этот класс атак позволяет при помощи девайсов вроде Rubber Ducky захватить контроль над многими устройствами, у которых есть порт USB. Можно эмулировать любую периферию, но чаще всего подделывают клавиатуру. В этой статье я покажу, как решить одну из главных связанных с этим проблем — зависимость от текущей раскладки.

Xakep #231

WWW: Structured text tools — подборка утилит для обработки данных из командной строки

Нужная крошечная утилитка для командной строки иногда способна сэкономить массу времени. Мы уже писали про утилиты jq и gron, которые помогают справиться с файлами в JSON, но на этот раз я покажу тебе целые залежи подобных программок, чтобы ты мог покопаться в них в свое удовольствие.

Xakep #231

Брутфорс в английской глубинке. Как криптостойкие шифры вскрывали до компьютеров

Ты наверняка слышал про тест Тьюринга и, возможно, машину Тьюринга. Однако помимо абстрактного универсального вычислителя Алан Тьюринг придумал и вполне реальный, — тот, что во время Второй мировой войны применялся для взлома немецких шифров. О том, как это работало, лучше всего узнать прямо на месте тогдашних событий, в Блетчли-парке.

Xakep #231

Omega 2. Проверяем, на что способен крошечный и дешевый компьютер с Linux

В жизни каждого мейкера наступает момент, когда обычных микроконтроллеров уже не хватает, а тратить деньги на распберри жалко. Именно тут и выходит на сцену девайс под скромным названием Onion Omega 2. По размерам и цене близкий к микроконтроллерам, он обладает возможностями, сравнимыми с возможностями Raspberry Pi.

Xakep #231

Обгоняя флагманы. Большой гайд по оптимизации Android

Тебе не хватает заряда аккумулятора? Надоели тормоза в приложениях? Не отчаивайся и не торопись покупать новый смартфон. Даже очень медленный смартфон можно заставить работать быстрее и значительно увеличить время жизни от аккумулятора. В этой статье мы расскажем о множестве приемов, которые позволят это сделать.

Xakep #231

Смертельный коммит. Выполняем произвольный код в клиенте git

Думаю, тебе не нужно рассказывать, что такое git, — он сегодня используется всеми от небольших компаний до гигантов индустрии. Найденная в нем уязвимость позволяет злоумышленнику атаковать пользователей, которые клонировали специально сформированный репозиторий. Как его формировать? Об этом я сейчас и расскажу.

Xakep #231

Давай напишем ядро! Создаем простейшее рабочее ядро операционной системы

Разработка ядра по праву считается задачей не из легких, но написать простейшее ядро может каждый. Чтобы прикоснуться к магии кернел-хакинга, нужно лишь соблюсти некоторые условности и совладать с ассемблером. В этой статье мы на пальцах разберем, как это сделать.

Xakep #231

Весеннее обострение. Как работают две критические уязвимости в Spring Framework

Spring — популярнейший фреймворк для разработки на Java, на котором базируются сотни решений в самых разных областях. Трудно найти серьезное приложение на Java, которое бы не использовало Spring. Недавно в нем были найдены две критические уязвимости, которые приводят к удаленному исполнению кода. Давай посмотрим, как они работают.

Xakep #231

Шифруйся грамотно! Почему мессенджеры не защитят тайну твоей переписки

Сквозное шифрование, или end-to-end encryption (E2EE), считается панацеей от настойчивых попыток хакеров и силовых ведомств ознакомиться с онлайновой перепиской. Смысл E2EE часто сводится к тому, что ключи хранятся только на устройствах собеседников и не попадают на сервер... но это не совсем так. Давай посмотрим, как в действительности обстоят дела с E2EE, на примере популярных мессенджеров.

Xakep #231

Разбираем атаки на Microsoft Active Directory. Техники проникновения и детекта

За последние четыре года ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье мы рассмотрим популярные способы атак на AD и приведем рекомендации, которые помогут от них защититься.

Xakep #231

Дао хеша. Познаем дзен методически правильного хеширования паролей

Наверняка тебе известно, что хорошая система контроля доступа, основанная на вводе и проверке правильности пароля, никогда и нигде не сохраняет пароли в открытом виде, а проверяет их с использованием хеш-суммы. В этой статье мы на практике рассмотрим вопросы правильного хеширования паролей, руководствуясь при этом актуальными российскими методическими рекомендациями.

Xakep #230

Многофакторная аутентификация по-взрослому. Куем серьезный софт с помощью бесплатного инструментария

В этой статье мы рассмотрим, как добавить в мобильное приложение возможность еще одного подтверждения аутентификации в дополнение к имени пользователя и паролю (например, звонок на зарегистрированный на пользователя телефон или ввод кода из СМС) и как настроить backend-сервисы для реализации такой многофакторной аутентификации.

Xakep #231

Тайна казначейского ноутбука. Используем форензику, чтобы раскрыть ограбление

Сегодня тебя ждет по-настоящему интересная и актуальная задача, а точнее — целое расследование из серии «куда ушли большие деньги»: мы рассмотрим кейс с корпоративным ноутбуком на Windows 10, ставший жертвой атаки кибермошенников. А может быть, сотрудники компании просто присвоили деньги, сославшись на «злых хакеров»? Скоро узнаем. Вперед, на поиски истины!

Xakep #231

Русский народный блокчейн. Пишем простой локальный блокчейн с использованием «Стрибога»

Блокчейн и все, что с ним связано, нынче у всех на слуху, и на сегодняшний день вряд ли можно найти издание, которое обошло эту тему своим вниманием. Мы тоже в свое время подробно разобрались, что собой представляет блокчейн и зачем он нужен. Сегодня мы попробуем рассмотреть данную тему с практической стороны и напишем простейший локальный блокчейн.

Xakep #231

X-Tools для Android. Выбираем утилиты для пентеста со смартфона

Тесты на проникновение — легальный способ заниматься настоящим взломом, да еще и получать за это деньги. Продвинутый аудит безопасности обычно выполняется на ноутбуке с (Kali) Linux и специфическим оборудованием, но многие бреши легко обнаружить и с помощью обычного смартфона. В этой статье мы рассмотрим 14 утилит, которые позволят тебе выполнить пентест, не доставая ноутбук из сумки.

Xakep #230

Неуловимый Джон. Как 100 миллионов долларов изменили жизнь программиста

Джон Макафи — пионер криптобезопасности, миллионер и криптоэнтузиаст. Начав карьеру полвека назад, он и сейчас будоражит общественность и рынки своими прогнозами и всегда готов к активным действиям. Что движет этим непростым человеком — нонконформизм, алчность, честолюбие, жажда внимания, паранойя? Мы пройдемся по цветастому послужному списку Макафи, а ты выберешь сам!

Xakep #231

Самое крутое с мировых ИБ-конференций. Десять мощных докладов о взломе и реверсинге микроэлектроники

Если уязвимости в веб-приложениях тебя утомили, то взлом железа (точнее, прошивок) будет глотком свежего воздуха. В этой статье мы собрали доклады, авторам которых удалось обойти защиту разных устройств — от аппаратных кошельков для криптовалют до электронных дверных замков.

Xakep #230

Криптуем по-крупному. Разбираемся с режимами работы российских блочных шифров

В предыдущих статьях мы подробно разобрали, как работают два отечественных криптоалгоритма. Однако с помощью них получится зашифровать весьма скудный кусочек информации — 8 или 16 байт. Понятно, что нынче в такие объемы ничего втиснуть не получится и нужно что-то с этим делать. А что с этим делать, подробно изложено в очередном российском стандарте!

Xakep #230

MEGANews. Основные события мая

В этом месяце: множественные атаки ботнетов на роутеры, новые варианты уязвимостей Meltdown и Spectre, правительственная малварь VPNFilter, предустановленная малварь и баги в сотнях моделей смартфонов, куча багов в BMW, атаки на криптовалюты Verge и Bitcoin Gold, обязательные обновления для Android и многое другое.

Xakep #230

Предпоследняя капля. Разбираем уязвимость Drupalgeddon2 в Drupal 7

Недавно мир узнал о серьезной уязвимости в системе управления контентом Drupal. Однако, разобрав проблему в ветке 8.x, мы оставили за кадром аналогичную брешь в Drupal 7. А ведь на этой версии сейчас работает куда больше сайтов! Эксплуатировать уязвимость в ней сложнее, но не намного. Сейчас я покажу, как это делается.

Xakep #230

Android: Google I/O и все-все-все

Сегодня в выпуске: Jetpack для Android-разработчиков, WorkManager для всех фоновых задач, Android App Bundle вместо тысячи APK, AndroidX, а также другой треш и угар с Google I/O, включая потрясающий рассказ о том, как Android отрисовывает картинку и оптимизирует код. Ну а для любителей Kotlin — Kotlin в Android, Kotlin в браузере, Kotlin в Kotlin, который внутри Java, и два отличных читшита по этому отличному языку.

Xakep #230

WWW: Carbon — сервис для создания идеальных скриншотов кода

В теории сделать скриншот кода, чтобы кому-то показать, — задача несложная. В реальности разговор после этого нередко сворачивает на то, как у тебя настроен редактор и какой шрифт лучше для программирования. Поэтому вовсе не помешает способ делать идеально ровные картинки, которые не будут выдавать о тебе ничего лишнего.

Xakep #230

WWW: Lobe — сервис, который обещает сделать машинное обучение доступным каждому

Как известно, работа с моделями нейросетей для глубокого машинного обучения в чем-то сродни шаманству. Но чтобы начать шаманить, нужно сначала развернуть у себя окружение из многих частей — подчас непростых в настройке. Возможно, уже скоро при решении многих типовых задач всего этого можно будет избежать.

Xakep #230

WWW: asciicasts — утилита для записи консольных скринкастов и анимационного ASCII-арта

Ты наверняка видел не один скринкаст, где автор что-то долго и печально набирает в терминале. Не исключено, что тебе при этом отдельно досаждало низкое качество видео — буквы иногда еле разберешь. Но что, если в таких случаях записывать не видео, а непосредственно ввод-вывод терминала? И занимать будет меньше, и выглядеть лучше!

Xakep #231

Творческая Iskra. Делаем аппаратный менеджер паролей своими руками

Давай рассмотрим настоящий тру-хакерский, тру-гиковский, удобный и безопасный способ хранить пароли, создав свой аппаратный менеджер паролей! Он будет способен хранить в себе данные разных аккаунтов, логины и зашифрованные пароли, ключ от которых должен храниться отдельно и вводиться непосредственно перед использованием, а также будет эмулировать USB-клавиатуру для вывода данных.

Xakep #230

Ручная распаковка. Вскрываем кастомный пакер на примере вымогателя GlobeImposter 2.0

При реверсе вирусов зачастую обнаруживается, что малварь накрыта какой-нибудь «навесной» защитой вроде пакера или протектора. Причем часто используется не общедоступный вариант, а кастомный упаковщик, что серьезно усложняет дело. Я покажу, как быть в такой ситуации, на примере распаковки рансомвари GlobeImposter 2.0, пронесшейся в конце прошлого года.

Xakep #231

Охота на Енота. Как вирмейкер спалился сам и спалил заказчиков

В большинстве случаев разоблачения происходят потому, что вирмейкер где-то фундаментально накосячил. Так случилось и на этот раз, причем автор трояна не только подставился сам, но и спалил всех заказчиков, на радость специалистам по информационной безопасности. Случай, о котором пойдет речь, наглядно иллюстрирует, какую информацию можно получить, обратив внимание на незначительные детали.

Страница 4 из 32В начало...23456 102030...

«Хакер» в соцсетях

Telegram ВКонтакте Twitter Facebook
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
7190 р.
на год
720 р.
на месяц
90 р.
за 1 статью

Еженедельный дайджест

Статьи для подписчиков