Мне всегда хотелось написать серию статей по функциональному программированию для этого журнала, и я очень рад, что у меня наконец-то появилась такая возможность. Даже несмотря на то, что моя серия про анализ данных еще далека от завершения :). Не буду анонсировать содержание всей серии, скажу лишь, что сегодня мы поговорим о разных языках программирования, поддерживающих функциональный стиль и соответствующих приемах программирования.

В современном мире различные VPN-технологии используются повсеместно. Некоторые (например, PPTP) со временем признаются небезопасными и постепенно отмирают, другие (OpenVPN), наоборот, с каждым годом наращивают обороты. Но бессменным лидером и самой узнаваемой технологией для создания и поддержания защищенных частных каналов по-прежнему остается IPsec VPN. Иногда при пентесте можно обнаружить серьезно защищенную сеть с торчащим наружу лишь пятисотым UDP-портом. Все остальное может быть закрыто, пропатчено и надежно фильтроваться. В такой ситуации может возникнуть мысль, что здесь и делать-то особо нечего. Но это не всегда так. Кроме того, широко распространена мысль, что IPsec даже в дефолтных конфигурациях неприступен и обеспечивает должный уровень безопасности. Именно такую ситуацию сегодня и посмотрим на деле. Но вначале, для того чтобы максимально эффективно бороться c IPsec, нужно разобраться, что он собой представляет и как работает. Этим и займемся!

Расширение ARC Welder позволяет запускать приложения с Android на любом компьютере, где работает браузер Chrome. Польза от такой возможности очевидна не сразу, но если задуматься, то можно найти несколько классов мобильных приложений, которые пригодятся на десктопе. К сожалению, пока и это сопряжено с разнообразными сложностями. Часть из них можно обойти.

OpenVMS — не просто одна из операционных систем общего назначения. Не особенно распространенная, она отличается поразительным долголетием. Появившись в семидесятые годы, OpenVMS пережила множество тогдашних ОС и сыграла важную роль в появлении Windows NT, на которой основаны все современные версии Windows. Жива она и сейчас.

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

WordPress - это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на Wordpress, а также покажем как устранить выявленные уязвимости.

Сегодня мы узнаем, как в OS Android можно красиво и элегантно создать собственный планировщик заданий, который будет полезен в твоих, разумеется, светлых делах. Для этого нам потребуется исключительно стандартный инструментарий: Android SDK от Google и редактор кода Eclipse c плагином ADT.

Моргания лампочки и замыкание контактов — дело интересное и полезное для первых шагов. Но, как все мы помним со школы, чем нагляднее эксперимент, тем он интереснее. Я продолжу развивать проект из предыдущих серий, и сегодня мы прикрутим термодатчик 1-Wire для того, чтобы контролировать температуру в твоем многострадальном холодильнике. Того и гляди, скоро у тебя появится «умный» холодильник :).

Считается, что при использовании Wi-Fi «зона риска» обычно не превышает пары десятков метров. Так, во многих компаниях по Wi-Fi передают конфиденциальные данные, наивно полагая, что раз зона покрытия надежно охраняется, то сеть в безопасности. Но что, если я покажу тебе, как можно незаметно поймать, проанализировать и даже полностью парализовать закрытую Wi-Fi-сеть, находясь от нее на расстоянии почти в полкилометра?

Довольно часто юзеры, привыкшие рутовать прошивки, устанавливать разного рода системный софт, менять ядра и по-другому издеваться над прошивкой, обнаруживают, что установить OTA-обновление невозможно. Оно просто не встает, ругаясь на измененные системные файлы, неправильные цифровые ключи и всякое прочее. В этой статье я расскажу о самой механике обновления, причинах возникновения проблем и о том, как их решить.

Когда увеличивать количество транзисторов на ядре микропроцессора стало физически невозможно, производители начали помещать на один кристалл несколько ядер. Появились фреймворки, позволяющие распараллеливать исполнение кода. И это было только начало: производители видеоадаптеров — графических процессоров тоже не стояли на месте.

Есть масса способов отправить большой файл через интернет, но далеко не все они дают возможность передать что-то анонимно и только одному адресату. Как поделиться большим файлом так, чтобы получатель не использовал никаких учетных записей и не оставлял следов в облаках?

Переменные и типы хороши, пока мы находимся внутри логики программы C++. Однако рано или поздно становится нужно передавать информацию между программами, между серверами или даже просто показать типы и значения переменных человеку разумному. В этом случае нам приходится заключать сделку со злобным Сериализатором и расплачиваться производительностью своего кода.

Выпуск #195. Как всегда, представляем четыре полезных daily-инструмента по версии апрельского «Хакера». Не забудь добавить в избранное!

Вот уже сто девяносто пятый раз мы собираем самые интересные вопросы, присланные в редакцию за месяц, и отвечаем на них. Как обычно, куча полезных советов по ежедневным задачам, кодингу и администрированию. Велком!

Когда-то стоял вопрос о том, нужно ли компьютерной мыши три кнопки или достаточно двух. Двухкнопочные тогда победили, но это не помешало производителям экспериментировать. Razer Naga в этом плане — выдающийся пример, у нее целых 16 кнопок! Нет, эта мышь предназначена не для инопланетян с шестнадцатипалыми верхними конечностями, а всего лишь для заядлых любителей MMO. Это уже четвертая инкарнация Naga, а значит, спрос на такие штуки есть.

Магазины полнятся десятками недешевых игровых клавиатур с изощренным дизайном и разнообразными функциями, которые помогают в нелегком геймерском деле. Буйство красок, зрелищная подсветка, кнопки с загадочными надписями — ничем из этого современного игрока не удивишь. Клавиатура Razer BlackWidow Chroma предлагает кое-что новенькое, причем интересное не только для игр, но и, потенциально, для других применений. Каждая кнопка BlackWidow снабжена собственной подсветкой, которая может менять цвет.

Соблюдение норм федерального законодательства — абсолютно необходимая, но не самая увлекательная часть нашей с тобой работы. Не утешает даже то, что этим занимаются во всем мире, а слово compliance навязло в зубах и посетителям международных конференций. В этой статье мы расскажем о внедрении недавно появившегося решения от компании «КиберСофт», известной своим шифровальным ПО (см. «Хакер» № 138), — межсетевого экрана «Киберсейф» (далее просто МЭ). Данный МЭ будет интересен относительно небольшим компаниям (50–100 узлов) с ограниченным бюджетом. Для построения систем с повышенной нагрузкой (1000 машин и больше) лучше использовать аппаратные решения.

Проблема управления большим количеством систем далеко не нова, но особенно острой она стала при распространении кластеров и облачных сервисов. Для ее решения появились разнообразные инструменты, и каждый делает это по-своему. Synctool, разработанная для голландского фонда SURFsara, обеспечивающего суперкомпьютеры для учебных заведений, ориентирована в первую очередь на кластеры. Но гибкость утилиты позволяет использовать ее практически в любой ситуации, а благодаря ее простоте долгого изучения не потребуется.

DDoS-атаки стали настоящим бичом современного интернета. С ними борются как организационными методами (о которых писали в журнале, и не раз), так и техническими. Последние, как правило, либо неэффективны, либо достаточно дороги. Ребята из NatSys Lab решили попробовать сделать open source средство для защиты от DDoS-атак на веб-приложения. Посмотрим, что у них получилось.

Если со времен твоего детства прошло больше пятнадцати лет и у тебя тогда был компьютер или игровая приставка, значит, ты, скорее всего, успел посвятить немало часов играм эпохи девяностых. Для кого-то это были Space Quest и Legend of Kyrandia, для кого-то — Super Mario, Contra или Battletoads, но вернуться в прошлое и поиграть снова хотел бы, наверное, любой из ветеранов. В этом деле немало помогают эмуляторы, но за компьютером вечно находятся занятия поважнее игрушек. Совсем другое дело — взять с собой в дорогу портативное устройство, которое эмулирует старые платформы, причем не одну, а сразу несколько. Планшет PGP AIO Droid 7 7400, побывавший у нас на тесте, — как раз одно из таких устройств. На него предустановлен DOSBox и эмуляторы для длинного списка старых приставок, а в крайнем случае он может сослужить службу в качестве обычного планшета на Android.

KDE — один из основных рабочих столов свободных *nix-систем. Но когда во времена перехода на версию 4 разработчики кардинально изменили интерфейс, множество пользователей от KDE отказались. Разработчики учли это, и следующий мажорный релиз был скорее эволюционным, нежели революционным.

В прошлый раз (в ноябре 2014-го; мне очень стыдно, что я так затянул с продолжением!) я рассказывал о базовых возможностях языка R. Несмотря на наличие всех привычных управляющих конструкций, таких как циклы и условные блоки, классический подход к обработке данных на основе итерации далеко не лучшее решение, поскольку циклы в R необыкновенно медлительны. Поэтому сейчас я расскажу, как на самом деле нужно работать с данными, чтобы процесс вычислений не заставлял тебя выпивать слишком много чашек кофе в ожидании результата. Кроме того, некоторое время я посвящу рассказу о том, как пользоваться современными средствами визуализации данных в R. Потому что удобство представления результатов обработки данных на практике не менее важно, чем сами результаты. Начнем с простого.

Представляем новый выпуск подборки лучших хакерских утилит для взлома и анализа безопасности. В этом выпуске: net-creds, Lynis, YSO Mobile Security Framework и многое другое

Сейчас все продвинутые парни любят JavaScript и данные. А что любят данные? Обработку и визуализацию. Кстати, последнюю ценят как продвинутые парни, так и их непродвинутые клиенты и тем более начальники. В этой статье мы представим твоему вниманию лучшую в обитаемой части Галактики JS-библиотеку для визуализации данных.

Что десктопные приложения, да и сам десктоп рано или поздно переедет в веб, было понятно едва ли не после рождения JavaScript, поэтому появление Chrome OS во многом предсказуемо. И что облачную ОС выпустила именно Google, тоже абсолютно закономерно. Но давай попробуем отойти от бесконечных дебатов о будущем десктопа, разжигаемых консервативной частью айтишников, и посмотрим на Chrome OS с точки зрения технической реализации.

Бороться с DDoS-атаками можно и нужно, но победить их полностью не получится, поскольку они эксплуатируют фундаментальную проблему, которую нельзя оперативно «пропатчить». Речь идет об ограниченности ресурсов. Ширина канала и вычислительные характеристики объекта атаки всегда имеют какое-то предельное значение. Кто-то измеряет его в гигабайтах в секунду, кто-то в финансовых показателях. В свою очередь, злодеи ставят задачу «нащупать» эти предельные значения и всеми возможными способами довести показатели работоспособности целевой системы до этого экстремума. Что же делать?

Современные версии ОС налагают на исполняемый код ограничения, связанные с требованиями безопасности. В таких условиях использование механизма исключений в инжектированном коде или, скажем, во вручную спроецированном образе может стать нетривиальной задачей, если не быть в курсе некоторых нюансов. В этой статье речь пойдет о внутреннем устройстве юзермодного диспетчера исключений ОС Windows для платформ x86/x64/IA64, а также будут рассмотрены варианты реализации обхода системных ограничений.

MySQL — одна из самых распространенных СУБД. Ее можно встретить повсюду, но наиболее часто она используется многочисленными сайтами. Именно поэтому безопасность базы данных — очень важный вопрос, ибо если злоумышленник получил доступ к базе, то есть большая вероятность, что он скомпрометирует не только ресурс, но и всю локальную сеть. Поэтому я решил собрать всю полезную инфу по взлому и постэксплуатации MySQL, все трюки и приемы, которые используются при проведении пентестов, чтобы ты смог проверить свою СУБД. 0day-техник тут не будет: кто-то еще раз повторит теорию, а кто-то почерпнет что-то новое. Итак, поехали!

Microsoft собирается обрушить на рынок всю свою технологическую мощь уже осенью этого года. Нам необходимо быть к этому готовыми. Что ж, давай посмотрим на новую экосистему, образовавшуюся вокруг Windows 10, с точки зрения разработчика программного обеспечения, чтобы узнать скорое будущее. Я постараюсь в виде кратких постов рассказать о самом главном из того, на что стоит обратить пристальное внимание.

Наш журнал не назывался бы так, как он называется, если бы с завидной регулярностью мы не анализировали ситуацию в мире эксплойт-паков и drive-by-загрузок (см., например, ][ № 162). С момента последнего обзора много изменений коснулись средств для доставки вредоносного кода. В частности, люди, в чьи обязанности входит оберегать простых трудящихся от всяческих опасностей всемирной паутины, не спали, и арест небезызвестного Paunch’а — автора некогда самого популярного набора эксплойтов Black Hole — наверняка повлиял на перераспределение основных игроков на рынке эксплойт-паков.

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

Сегодня мы с тобой разберем, так ли хороши кросс-платформенные решения в плане безопасности. Рассмотрим пример того, что если ты используешь в своей работе некий фреймворк, то не стоит забывать и о его проверке, а также о просмотре новостей с найденными в нем уязвимостями. И напоследок проанализируем несколько уязвимостей нулевого дня в различных веб-приложениях.

Практически ни один серьезный пентест не обходится без проверки СУБД, ведь это одна из самых популярных у злоумышленников дверей к желаемой информации и машине. В крупных проектах в качестве СУБД очень часто используется MS SQL Server. И о проверке именно его безопасности мы сегодня и поговорим. Открывать Америку не будем — опытные камрады лишь освежат свои знания, а вот для тех, кто только начинает осваивать тему, я постарался максимально подробно разложить все по пунктам.

В этом выпуске: как «обойти» SOP для Flash, провести MITM на свиче через переполнение CAM, настроить Cisco как сервер и проснифать с него трафик

Как гласит известная айтишная мудрость, сисадмины делятся на тех, кто не делает бэкапы, и тех, кто уже делает бэкапы. Думаю, каждому хоть раз после прошивки или сбоя приходилось настраивать телефон/планшет с нуля. А ведь делать это совсем не обязательно, если есть сохраненный бэкап. В данной статье мы рассмотрим разные виды бэкапа (резервной копии) содержимого Android-устройств на все случаи жизни.

Кто и что делает в области виртуальной реальности? Мы выбрали несколько наиболее интересных шлемов, чтобы оценить их особенности и перспективы. Одни могут поступить в продажу уже в этом году, другие сулят невиданные возможности. На закуску: как снимают виртуальное кино и порно.

Будем честны, Docker сегодня — это самая трендовая и хайповая DevOps-тема наших дней. У нее множество фанатов и огромное комьюнити энтузиастов, в том числе и в России, которые всегда готовы делиться опытом друг с другом. Было бы странно, если бы в такой среде не родилась идея проводить митапы, целиком посвященные Docker и сопутствующим ему технологиям. Сказано — сделано! Первый московский Docker-event прошел успешно. Насколько — читай ниже.

Судебные разбирательства вокруг Android всегда были наполнены глупостью и совершенно диким сюрреализмом. То Oracle начинает предъявлять абсурдные претензии к API, то Microsoft устроит поборы с производителей смартфонов на основании каких-то нелепых и очевидных патентов, то Apple засудит Samsung за скругленные углы смартфона. Все мы уже привыкли к этим несуразным разборкам, но совсем недавно на небосводе судебного идиотизма взошла новая звезда — компания «Яндекс».

Некоторым технологиям требуется одно-два десятилетия на то, чтобы из лабораторных разработок превратиться в мейнстримные продукты. Так уже было со смартфонами: между IBM Simon (подробнее о нем — в статье «Двадцать лет истории смартфонов» в № 10 за 2014 год) и iPhone прошло тринадцать лет. Теперь, когда телефон-компьютер в кармане почти у каждого, индустрия находится в поисках следующего большого хита. Кто-то думает, что им могут стать часы, другие присматриваются к телевизорам, третьи поглядывают на бортовые системы автомобилей, но на революцию все это не тянет. Что же тогда? Может показаться излишне смелой мысль, что сейчас станут популярными шлемы виртуальной реальности, ведь эту идею забросили еще в девяностые. Впрочем, похожие камбэки уже встречались в истории техники.