Довольно часто мы ведемся на красивые маркетинговые фразы многих продуктов, такие как «Ваш компьютер защищен» или «Ваша система в безопасности». Мы довольно расслабляемся и думаем, что нам ничего не грозит. Но, оказывается, security-решения сами нуждаются в защите. Считаешь, та легкость, с которой злоумышленники в кино открывают любые двери — всего лишь красивая режиссерская выдумка? Ну что ж, давай выясним!

Существует масса причин зашифровать данные на своем жестком диске, но расплатой за безопасность данных будет снижение скорости работы системы. Цель этой статьи — сравнить производительность при работе с диском, зашифрованным разными средствами.

В сегодняшнем обзоре мы рассмотрим DoS уязвимость в антивирусе QuickHeal, посмотрим, как происходит процесс поиска и эксплуатации ошибки в браузере Baidu для Android, и закончим взглядом на серию уязвимостей в популярной веб-камере.

Такие приложения, как Tasker и Locale, уже давно стали одним из главных аргументов в споре поклонников Android и iOS. Действительно, обычные, не требующие ни прав root, ни прав администратора приложения, а позволяют творить со смартфоном такое, что любой ветеран Linux-скриптинга обзавидуется. Как же они работают и почему подобных приложений нет в других мобильных системах?

Облачные решения все плотнее смешиваются с привычными, и сегодня определить, на каком сервере запущено приложение, становится сложнее, да и ситуация может измениться в любой момент. Помимо физических сетей, в ЦОД присутствуют сотни виртуальных. Управлять этим зоопарком при помощи традиционных сетевых технологий все труднее. В Windows Server 2016 появился новый элемент Network Controller, реализующий концепцию программно определяемой сети (Software Defined Networking).

Проект Remix OS для ПК — еще одна попытка превратить Android в систему для обычного персонального компьютера с клавиатурой, мышью и дисплеем. И эта цель, пусть и не без изъянов, достигнута. Вот только зачем?

Ни для кого не секрет, что основным источником программ для взломанных iOS-устройств служат репозитории — особенным образом созданные сайты, откуда можно скачать исполняемые файлы. Нажав несколько кнопок в Cydia, можно получить доступ к тысячам платных и бесплатных твиков. Однако мало кто сможет точно сказать, как репозитории создавать; а ведь это не так уж и сложно.

В «Юниксоиде» мы постоянно пишем про Linux и FreeBSD, но совсем забываем о других BSD-системах. Может показаться, будто дело в том, что эти системы морально умерли и не годятся для реального использования. Это не так, настоящая причина — низкий интерес к BSD. Мы хотим это исправить и этим циклом статей покажем, что BSD не только живы и активно развиваются, но и невероятно красивы с точки зрения архитектуры и более чем пригодны для применения.

Android-роботы версий 5 и 6 продолжают гордо шагать по смартфонам и планшетам радостных пользователей, сверкая красотами Material Design. При этом, надо отдать должное Google, старые девайсы никто не забывал, они тоже примерили шкурки материального дизайна, пусть и не в полном объеме. О том, как все это работает, мы сегодня и поговорим.

В этом выпуске — возможности сайта команды InsidePro, Twitter-троян, фаззер для браузера Edge и песочница для dll-малвари. Stay Tuned!

С каждым обновлением появляется все больше новых функций, призванных облегчить жизнь пользователю. В этой статье я расскажу о наиболее полезных голосовых командах, контекстном поиске Now on Tap, а также покажу, как настроить телефон для выполнения любых голосовых команд, в том числе с помощью Tasker. Ведь именно об этом мы так мечтали, читая произведения фантастов в детстве.

Спектр устройств на основе платформы от Google постоянно расширяется. Если во времена первых версий Android предназначался исключительно для мобильных, то позже к ним добавились планшеты, еще позже — умные часы, а сейчас вообще появилась бытовая техника на его основе — хотя, безусловно, пока что это экзотика. В этой статье мы и поговорим об экзотике: фотоаппаратах, холодильниках, микроволновках и даже умных зеркалах.

Нейросети сейчас в моде, и не зря. С их помощью можно, к примеру, распознавать предметы на картинках или, наоборот, рисовать ночные кошмары Сальвадора Дали. Благодаря удобным библиотекам простейшие нейросети создаются всего парой строк кода, не больше уйдет и на обращение к искусственному интеллекту IBM.

Свойственные платформе Android гибкость и открытость вместе с пришедшими позже популярностью и фрагментацией привели к тому, что в головах простых пользователей прочно закрепилась идея об общей небезопасности системы. И конечно же, быстро нашлись люди, которые начали на этом спекулировать. Сначала подключились разработчики антивирусов, а затем и производители смартфонов. Но так ли на самом деле безопасны эти самые смартфоны по сравнению с обычными? Попробуем разобраться.

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего хакера на службе корпорации, с задачами, которые перед ним ставятся, и их решениями.

Nmap — культовый сканер, без которого не может обойтись практически ни один хакер. Использовать в паре с Nmap другие инструменты — обычная практика. Использование скриптов в Nmap может помочь хакерам более автоматизированно взламывать системы, а сисадминам — проверять системы на наличие дефолтных дыр и своевременно их устранять.

Многие разработчики защитных программ выпускают бесплатные антивирусы. Даже ЗАО «Лаборатория Касперского» представила халявный вариант — Kaspersky Free. Насколько базовых функций достаточно для предотвращения заражения в реальных условиях — например, при веб-серфинге? Чем приходится расплачиваться за бесплатный сыр? Давай выясним это.

16 февраля глава Apple Тим Кук опубликовал открытое письмо, в котором обвинил ФБР в том, что они под предлогом борьбы с терроризмом хотят получить «ключ от всех существующих айфонов». Но если разобраться, окажется, что ФБР вовсе не просило Apple встроить бэкдор в iOS и даже не просило создать уязвимую версию системы, а Тим Кук очень преувеличил, заявив про «отмычку от сотен миллионов дверей».

Tox — новый протокол (разработка активно ведется с лета 2013 года) для обмена текстовыми сообщениями, голосовой и видеосвязи, созданный как альтернатива Skype и другим VoIP-сервисам. Как и Skype, Tox предлагает голосовую и видеосвязь, конференции с несколькими участниками, сетевые статусы, эмотиконы, обмен текстовыми сообщениями и передачу файлов. И никакой рекламы.

Power of Community — южнокорейская конференция по практической информационной безопасности, где вот уже с 2006 года собирается преимущественно корейская и китайская аудитория. Несмотря на кажущуюся «местечковость», программа мероприятия пестрит докладами спикеров из разных стран, чьи имена часто встречаются на более крупных конференциях.

Часто хакер проделывает огромную работу для проникновения в систему, и от получения к ней полного доступа его отделяет всего один шаг — подбор пароля к хешу (зашифрованному паролю администратора или нужного пользователя). На словах звучит просто, а как на деле? И что нужно знать и уметь, чтобы успешно восстанавливать даже самые стойкие пароли? А может, лучше сразу обратиться к тем, кто профессионально занимается хешкрекингом многие годы?

Не так давно появилась «новая» атака, позволяющая повысить привилегии в Windows с обычного пользователя до SYSTEM. Причем работает она практически «из коробки» под всеми современными версиями Windows, впрочем, должна и под древними. Ее название — Hot Potato.

Есть немало способов отследить человека в Сети. Следы, позволяющие отличить одного пользователя от другого, оставляет практически всё: поисковые запросы, клики по ссылкам, настройки системы. «Баннерорезки» помогают уберечься от самой простой слежки, но постепенно начинают появляться и более хитрые способы замести следы.

Забавная ситуация: пираты, Голливуд и Кремниевая долина, по сути, сражаются за будущее кинематографа, причем последнее оружие в этой войне — юзабилити. И поскольку этот сложный конфликт уже в ближайшие годы может вступить в фазу решающей битвы, пора разобраться, что происходит и почему.

В этом выпуске: быстро находим определения и перевод выделенных слов, ищем самый простой способ переключения между запущенными приложениями, создаем список дел, о котором ты точно не забудешь, и добавляем поддержку макросов во все поля ввода. Приятного чтения!

При code review ты указываешь разработчикам на забытые printf и console.log? С ужасом видишь код с синтаксической ошибкой? Хочешь разграничить права на работу с ветками, потому что джуниор путает порядок при слиянии? Хватит это терпеть! У нас же есть Git и Bash!

Читая наш журнал, особенно многочисленные статьи рубрики X-Mobile о рутинге, джейлбрейке, архитектуре Android и настройке производительности, ты мог подумать, что все мы здесь пользуемся рутованными смартфонами с несколькими операционками и взломанными айфонами с кучей софта для вардрайвинга. Если так, то добро пожаловать под кат, ибо там ты узнаешь, что на самом деле предпочитают использовать сотрудники ][, находясь вдали от дома.

Перед тобой практическое руководство по аудиту безопасности веб-приложений с поддержкой Single Sign-On — технологии, которая позволяет логиниться в веб-приложение через сторонний сайт. Мы подробно расскажем, какие инструменты нужно использовать для пентестов, на наличие каких уязвимостей нужно проверять приложение: XXE, атаки через преобразования, XPath-инъекции, ошибки при проверке подписи, атаки XSW, атаки на зашифрованные assertions и многое другое. Велком!

Java-программисты на протяжении нескольких лет остаются самыми востребованными специалистами на рынке IT. Невзирая на все мрачные предсказания, проектов, связанных с Java-технологиями, становится все больше: профессиональные Java-специалисты ценятся по всему миру. Если ты задумываешься о карьере Java-разработчика, то эта статья для тебя! В ней собраны практические советы по подготовке и прохождению собеседования, поиску работы в офисе и удаленно.

Сегодня мы разберем CSRF-уязвимость в популярном форуме phpBB, а также покажем пример поиска подобных ошибок в большом проекте. Далее разберем технологию обхода kASLR и изучим эксплоит, основанный на удаленном выполнении кода в Ruby on Rails.

Появившись, Docker практически сразу стал интересен IT-шникам, которые получили в руки удобный инструмент для безопасного и быстрого развертывания приложений. Но, немного поигравшись, понимаешь, что базового набора недостаточно. Большая популярность проекта привела к тому, что он мгновенно оброс сопутствующими субпроектами и хаками, предлагающими улучшения и устранения известных недостатков.

«Проблемы» с нативной двоичной сериализацией в Java (да и не только) стали, наверное, одним из главных трендов 2015 года. На основе этой технологии были найдены критические уязвимости не просто в каком-то ПО, а в протоколах; зацепило и Android. Но технологии не ограничиваются только бинарной сериализацией (кроме нативной, есть еще целый пучок сторонних библиотек), есть и другие варианты. Один из них — XML-сериализация объектов.

Canarytokens позволяет узнать, что кто-то украл документы, и вовремя принять меры. Идея отличная, к тому же можно выбрать метод определения того, что документ был открыт. Но реализовано это не лучшим образом, поэтому рассмотрим новый метод трекинга.

Представим себе, что есть какая-то организация. И кто-то взломал ее и стащил документы. Если они будут опубликованы, то это даже плюс — в организации хотя бы узнают о взломе и смогут принять меры. Иначе у атакующих есть шанс хорошенько закрепиться и иметь доступ ко всей информации на протяжении многих лет.

Режим энергосбережения Doze — одно из ключевых новшеств Android 6.0. Это не просто очередная оптимизация — это кардинальное улучшение, позволяющее, по словам Google, существенно продлить «жизнь» устройства. Но так ли эффективен этот механизм на самом деле? Попробуем выяснить, а заодно разберемся, как он работает.

В первые годы после появления Android перепрошивка и обновление устройства представляли собой довольно сложный процесс из множества шагов: подключение смартфона по USB, запуск скриптов и непонятных команд... Сегодня все, что нужно, — это разблокированный загрузчик и root, а остальное можно сделать прямо со смартфона.

В сегодняшнем обзоре — необычные JS- и jQuery-библиотечки для развлечения, повышения функциональности и облегчения интерфейса как твоего веб-проекта, так и твоего собственного ПК. Некоторые даже полезные!

UNIX-подобные системы всегда связывали с командной строкой, поэтому уровень админов считался выше, а новички обходили такие решения стороной. Но времена меняются, даже в небольшой организации можно встретить *nix-системы, которыми приходится кому-то управлять. Нужно признать, что у GUI есть ряд преимуществ — наглядность, простота в использовании, понятность и меньшая вероятность ошибки. Выбрать среди десятков проектов непросто: несмотря на кажущуюся схожесть, у всех разный набор функций. Остановимся на самых знаковых.

Много кто помнит черно-белый интерфейс SoftICE с просмотром дизассемблерного листинга и содержимого регистров. Еще больше человек знают об IDA Pro (декомпилятор не рассматриваем) и бессменном objdump (в случае линуксоидов). Однако времена ручного разбора ассемблера прошли. Сейчас большую популярность приобрели инструменты преобразования нативного кода в некое абстрактное представление для упрощения анализа. Подобные инструменты используются повсеместно — от набора компиляторов на основе LLVM до декомпилятора HexRays. В данной статье я попытаюсь объяснить основы этого метода на примере ESIL от проекта radare2.

Каждый день в мобильных устройствах выявляют уязвимости, которые могут быть проэксплуатированы злоумышленниками. Но ведь можно пойти и другим путем! Дать пользователю вполне нужное приложение (игрушку с птичками), у которого в манифесте будет записан список интересной нам информации на устройстве...