Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

В то время, когда все нормальные технические журналисты ехали в Берлин на IFA 2015 смотреть на новые смартфоны с Android (скучные и совершенно одинаковые!), я отправился туда, где показывают компьютеры, каждому из которых минимум двадцать лет, зато на каждом втором — экзотическая операционка. Питерский фестиваль Chaos Constructions уже который год собирает любителей ретрокомпьютеров и демосцены, рыцарей паяльника и ассемблера.

Шумиха вокруг того, почему ребята с форумов XDA Developers и команды типа CyanogenMod и AOKP выпускают обновления до новых версий Android быстрее самих компаний — производителей смартфонов, все не утихает. Попробую разобраться, как на самом деле происходит обновление смартфонов, и ответить уже наконец на интересующий многих вопрос.

Давай представим себе ситуацию: у нас есть какое-то веб-приложение и в нем функция, позволяющая загружать архивы. Приложение разархивирует получаемые файлы во временную директорию для работы с ними. Согласен, ситуация не из повседневных, но здесь есть интересная возможность для атаки.

В этом выпуске — плагин для Хрома, умеющий работать с текстом веб-страниц, новые интерактивные курсы по программированию на Codecademy, векторный редактор, который работает в браузере, и сайт для довольно-таки злых компьютерных розыгрышей. Наслаждайся!

Новые фитнес-трекеры и умные часы повалили как из рога изобилия. Мы протестировали два продукта известных китайских компаний: один из них интересен исключительной дешевизной, второй — возможностью из браслета превращаться в Bluetooth-гарнитуру.

«Сэр, пройдемте со мной», - говорит один из офицеров и указывает пальцем на коридор с множеством маленьких комнат для допроса. «Цель визита? – Выступление на конференции Hacker Halted 2015. Конечный пункт назначения? – Атланта, Штат Джорджия…» Через полчаса содержательной беседы нам возвращают багаж, и мы выходим из аэропорта, где нас встречает раскаленный воздух и джетлаг. Добро пожаловать в США.

В последнее время вопрос о блокировании рекламы в интернете встал очень остро — печатные издания повально переходят в онлайн, и для большинства из них реклама — это основной, если не единственный способ дохода. Но когда рекламщики перегибают палку, пользователи не выдерживают и ставят блокировщик.

Товарищи из сервиса мобильного эквайринга Pay-Me определились с победителями задач, опубликованных в прошлом номере. Да мы и не сомневались — наши читатели порвут какие хочешь задачи! Правильные ответы мы тоже сегодня опубликуем.

Эмуляторы и средства виртуализации существовали давно. Долгое время они были специфическими инструментами со сложной конфигурацией и работали очень медленно. Их современный период начался в 2006 году, когда французский программист Фабрис Беллар представил свой эмулятор QEMU (Quick EMUlator).

В этом выпуске — инструменты для сбора информации, пентестинга, поиска уязвимостей и багов под Linux.

Киборги — это не только герои фантастических фильмов. Это не терминатор, не далеки и даже не Карлсон, который живёт на крыше. Они давно среди нас, просто они не всегда напоминают киборгов из фантастических фильмов.

Сегодня мы с тобой рассмотрим уязвимость в популярном баг-трекере Bugzilla, которая позволяет повысить привилегии на большинстве доменов, и разберем недавний эксплоит для Android, который стал возможен из-за неудачного патча.

В этот раз читатели прислали в Хакер множество настолько разнообразных вопросов, что нет никакой возможности определить тему этой подборки. Тут вопросы и про мониторинг серверов, и про выбор командной оболочки, и про различные аспекты управления сетями, и конечно же, про малвари и взломы. Встречайте: сборная солянка сентября!

Xposed позволяет изменить внешний вид и функциональность Android до неузнаваемости. Но этим его возможности не ограничиваются. Изменению поддаются даже сторонние приложения. В этой статье я расскажу, как с помощью Xposed изменить и добавить дополнительные настройки в такие приложения, как Google Chrome, Youtube, WhatsApp, Gmail, Instagram, Hangouts, Google Play и некоторые другие.

Современные десктопные дистрибутивы Linux стали заметно более «жадными» по сравнению со своими предшественниками. Существует несколько путей решения этой проблемы. Первый из них — выбор минималистичного дистрибутива — мы рассмотрели в одной из прошлых статей. Второй способ заключается в уменьшении потребления памяти дистрибутива без видимого снижения функциональности, что мы и сделаем на примере последней версии Ubuntu.

Увидевшая свет в 1991 году Another World произвела фурор в игровом мире, обрела статус культовой и до сих пор считается одной из лучших игр всех времен. Необычный игровой движок, динамика боевика, отличный сюжет, проработанный игровой мир и просто любовь автора к своему детищу — все это сделало игру запоминающейся и во многом революционной. Однако с технической стороны Another World не менее, а может, даже и более интересна.

Системы мониторинга систем и сервисов — это уже стандарт в любой сети. С их помощью админы могут собирать информацию о текущих параметрах и получать предупреждения, когда возникают проблемы. Однако с появлением кластеров и виртуальных машин сегодня само понятие сервер и сервис несколько не отвечает традиционным представлениям, а значит, иногда требуются специфические инструменты. Prometheus относят к системе мониторинга следующего поколения, здесь используется несколько иной подход и архитектура.

Все мы, любители рутинга, хаков и сторонних прошивок, сталкиваемся с одной большой проблемой — резким снижением уровня защиты конфиденциальных данных. Разблокировав загрузчик и установив кастомную консоль восстановления, мы полностью открываем доступ к нашим данным любому, кто сможет завладеть смартфоном. На первый взгляд, сделать с этим ничего нельзя, но это только на первый. Я покажу, как решить проблему защиты данных на взломанном (и не только) устройстве.

Дисковая подсистема всегда была узким местом ПК. Проблема особенно обострилась с ростом вычислительной мощности, когда производительность харда фактически сводила на нет огромные возможности CPU. SSD, не имеющие движущихся частей, обеспечивали неплохую производительность в операциях чтения, однако они относительно дороги и имеют меньший ресурс. Неплохим решением стало использование тандема SSD + HDD, но это потребовало специального софта.

Завершая цикл статей о вычислении производительности софта, хотелось бы рассказать, как правильно проводить перформанс-тестирование (performance testing). Тема становится все более популярной, но при этом далеко не все понимают, что под этим подразумевается. Ведь прежде чем ответить на вопрос «как», нам нужно разобраться с вопросом «что»: что именно нам нужно тестировать?

Неожиданно понадобилось сделать автологон на винде. Все бы ничего, да комп в домене. Как быть? В этом нам поможет реестр! Набери regedit в окне «Выполнить» и найди нужную ветку. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon В ней ищешь нужное значение, если его нет — создаешь. AutoAdminLogon(REG_SZ)=1 DefaultUserName(REG_SZ)= <имя_пользователя> DefaultPassword(REG_SZ)= <пароль_пользователя> DefaultDomainName(REG_SZ)= <домен_пользовательской_учетной_записи> После перезапуска система загрузится под указанным пользователем. Как можно внести изменения в …

В этом выпуске — инструменты для внедрения в шелл и сбора данных под Windows, а также MITM-фреймворк, backdoor на Питоне и кросс-платформенный дизассемблер.

Системы мониторинга ежесекундно собирают тысячи параметров с сотен систем, визуализируя данные в виде графиков и предупреждая админа о превышении установленного значения. Но преодоление порога не всегда означает проблему, оно может быть вызвано рядом факторов. Причем нагрузочное тестирование отличается от действий реальных пользователей весьма серьезно. Увидеть зависимости в большом числе таблиц и графиков практически нереально, как и установить правильное значение порогов для метрик.

В глазах многих людей кастомные прошивки — это нечто вроде пиратских сборок Windows с измененными обоями, темами оформления и разным левым софтом в комплекте. И если говорить о прошивках, созданных юными моделистами-конструкторами после школы, то так оно и есть. Однако CyanogenMod не из их числа, это полноценный форк Android, то есть независимая операционная система, разработкой которой занимается команда компетентных программистов, и перед стоковым Android она имеет массу преимуществ.

Все мы люди и можем потерять что-то ценное в самое неподходящее время. Потеря гаджета может обернуться не только финансовыми проблемами, но и угоном электронного кошелька, аккаунтов в социальных сетях или даже шантажом. Поэтому в голове должен быть четкий план действий на случай пропажи девайса.

В этой подборке: нейросеть, которая пишет как курица лапой, плагин для Firefox, позволяющий взглянуть на веб "под новым углом", текстовый веб-редактор с поддержкой Markdown и LaTeX и особая браузерная игра "для программистов"

Пока весь мир сосредоточенно клепал мобильные приложения, в Китае придумали, как превратить в универсальную платформу обыкновенные мессенджеры. Теперь к китайскому опыту присматриваются в Кремниевой долине.

Россия, как известно, родина слонов. А также ракетных комплексов, подводных лодок, танков и, как оказалось, не менее бронированных операционных систем. Если ты рубишь в ИБ и живешь в России, то это как раз тот вид вооружений, которым ты можешь интересоваться и даже гордиться. Astra Linux SE — одна из таких ОС. Наш автор Евгений Лебеденко — специалист по таким системам, так что приготовься взглянуть на безопасность в Linux с самой серьезной стороны!

Мультизагрузочный накопитель помогает выполнять проверку железа, готовить компьютеры к установке ОС, бэкапить данные и удалять любые зловреды. А также ломать пароли и копаться в системе сколько душе угодно.

Представим себе типичную ситуацию: через какую-то уязвимость мы получили возможность удаленно выполнять команды на сервере с Windows. Высоких привилегий в ОС у нас нет, и порты зафильтрованы на внешнем файрволе. Подошел бы вариант с бэк-коннект шеллом, но ведь надо закачать наш шелл в ОС. И если под *nix-системы существует куча разных возможностей, то с виндой труднее...

Любой читатель нашего журнала как минимум что-то слышал о возможности перехвата вызовов в различных операционных системах. А скорее всего, активно этим пользовался — по крайней мере в винде. Если вкратце, ты можешь перехватить вызов какой-то функции и как-нибудь этим распорядиться: использовать параметры по своему усмотрению, выполнить свой код вместо того, который должен был выполниться. Сегодня мы будем делать это в ОС Android!

Как-то давно мы делали в журнале обзор девайсов, которые было бы желательно иметь в своем чемоданчике хакера. Среди прочих девайсов там был и USB Rubber Ducky — устройство, внешне напоминающее обычную флешку, которое притворяется клавиатурой и при подключении к компьютеру быстренько набирает все заданные в нем команды. Штука крутая и очень полезная при проведении пентестов, но зачем выкладывать за нее 40 баксов (да еще и при текущем курсе), если аналогичным трюкам можно научить обычную флешку?

Современные пользователи при выборе компании — поставщика услуг или товара нередко на первое место ставят качество и оперативность поддержки, чтобы при необходимости можно было быстро связаться и получить ответ, а также отслеживать статус запроса, если на решение проблемы требуется время. Именно поэтому у бизнеса велик интерес к специализированным продуктам для help desk, позволяющим перейти на более качественный уровень общения с клиентами. Такую систему можно найти и среди бесплатных решений.

Тестирование на проникновение (penetration testing) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Для кого-то это хобби, для кого-то работа, для кого-то это стиль жизни. На страницах нашего журнала мы постараемся познакомить тебя с профессией настоящего «этичного хакера», с задачами, которые перед ним ставятся, и их решениями.

Сегодня хранить важные данные в открытом виде стало как никогда опасно. И даже не столько из-за государственной слежки (захотят — найдут, к чему придраться, и так), сколько из-за желающих эти данные похитить. В принципе, для защиты информации имеется множество методов, но в статье будет описаны именно криптографические средства.

Модульный смартфон от Google под кодовым именем Project Ara уже успел наделать много шума и засветиться во всех хоть сколько-нибудь связанных с мобильными технологиями изданиях. Действительно, девайс, который можно собрать по кусочкам на манер всеми нами любимых IBM PC, — это очень и очень заманчивая идея, чтобы не обратить на нее внимание. Но давай спустимся на землю и выясним, а нужна ли эта модульность на самом деле?

Ты написал свой веб-сервис. Обложил тестами, дофиксил баги, сделал последние предрелизные коммиты. Теперь нужно его где-то захостить. Конечно, можно особо не напрягаться и выложить его на обычном хостинге или VPS. Но что, если ты, сам того не зная, написал новый Instagram и завтра к тебе придет миллион юзеров? Хорошо бы сразу настроить все по уму: предусмотреть балансировку нагрузки, доставку кода, правила масштабирования. И желательно без сложностей и преждевременной оптимизации. Займемся этим!

В начале лета у мессенджера Telegram, созданного командой основателя «Вконтакте» Павла Дурова, появился программный интерфейс для разработки ботов. Неплохой повод для экспериментов с диалоговыми интерфейсами!

В этом выпуске мы расскажем, как отбирают кандидатов в сервис мобильного эквайринга Pay-Me. Передаю слово Игорю Аскарову — техническому директору Pay-Me. Он поделится задачами, которые он дает на собеседованиях при приеме разработчиков в команду.