WPAD — это весьма простой протокол для автоматической настройки прокси-сервера. В этой статье я расскажу, как он устроен, какие возможности для эксплуатации он предоставляет с точки зрения злоумышленника, а также поделюсь идеями, как можно использовать эту технологию для частичного перехвата HTTPS-трафика.

В современной матрице IT-технологий квалифицированный администратор — персона хоть и не всегда видимая, зато важная и весьма занятая. Отбиваясь от назойливых пользователей, он постоянно должен присматривать за ареалом своего цифрового мира — сайтами. Давай же поможем нашему админу и создадим полезный виджет, внимательно следящий за доступностью всех его ресурсов. И да, погоду этот виджет показывать не будет.

Несмотря на то что XXI век принес в наши дома (не во все, но всё же) гигабитные каналы связи и котиков на YouTube в разрешении 4K и 60 FPS, основой Сети, самой массовой его частью, все еще остаются текстовые данные. Рефераты и курсовые работы, технические драмы на Хабре и Stack Overflow, сидящий занозой в ... Роскомнадзора Луркмор — все это текст, все это слова. А поскольку каталогизация в реальном мире очевидно хромает, то без хорошего полнотекстового поиска никуда.

Недавно мы начали знакомиться с фичами Win 10 и VS. Прошел месяц, и вот в наши волосатые руки попадает уже Visual Studio 2015 CTP 6 и SDK для Win 10! Будем разбираться. Новая ASP.NET, новое поколение компиляторов — Roslyn, новые визуальные тулзы для отладки XAML-кода... ммм... я чувствую себя, как ребенок в кондитерском магазине! Ну, как говорил Карлсон, «и ты заходи» :).

Количество зловредов под OS X росло вместе с ростом ее популярности. Немногие этого ожидали (хорошая защищенность и необходимость root создавали ощущение безопасности), но теперь этот факт можно считать установленным: чем больше народная любовь к системе, тем выше интерес к ней со стороны злокодеров, и малварь начинает появляться даже в, казалось бы, хорошо базово защищенных системах. Особенно результативным в этом плане оказался год прошлый. Мы сделали для тебя хронологическое описание всех самых заметных зловредов, поражающих продукцию от Apple. Наслаждайся!

На пути к полноценной работе с Docker у тебя может возникнуть ряд вопросов, и ты столкнешься с трудностями, которые сложно решить без знания архитектурных деталей Docker. В этом FAQ мы попытались собрать ответы на наиболее частые вопросы и решения для самых серьезных проблем Docker.

Большинство современных серверов поддерживает соединения `keep-alive`. Если на страницах много медиаконтента, то такое соединение поможет существенно ускорить их загрузку. Но мы попробуем использовать `keep-alive` для куда менее очевидных задач.

Благодаря своей архитектуре и особенностям, о которых мы уже поговорили в предыдущих статьях, Docker может быть использован для решения огромного количества задач, многие из которых простираются далеко за пределы виртуализации в классическом понимании этого слова. Docker удобно использовать для реализации микросервисов, деплоя приложений, упрощения цикла разработки, изоляции приложений и многих других задач.

Формат PDF стал очень популярен с развитием интернета и распространением электронной документации, и тем, кто имеет дело с текстами, приходится подбирать инструментарий, чтобы открывать файлы в этом формате и работать с ними. Сторонникам *nix есть из чего выбирать.

Первые хаки мы с друзьями проворачивали, когда еще не существовало интернета. Начинали с простого реверса и анлока секретов в компьютерных играх. Мы разбирались, как разблокировать секретные уровни в играх, и для нас это было не просто забавой, а осознанными, настоящими попытками взломать игру. За этим делом я провел множество дней и ночей (особенно долгих зимних).

Можно сколько угодно обсуждать достоинства и недостатки графических интерфейсов разных операционных систем, но, какой бы из них ты ни пользовался, для серьезных дел нет-нет да понадобится открыть старую добрую консоль. Пользователям Windows на этот счет раньше приходилось выслушивать насмешки от линуксоидов и маководов, но все изменилось с выходом PowerShell. В его пятой версии возможностей стало еще больше.

Микроядерные ОС нынче не то что обесценились — устройства на их основе мало пересекаются с привычными компьютерными системами. Тем не менее большая часть этих ОС, находящихся в коммерческом применении, закрыта, а открытые проекты, как правило, уже устарели и неприменимы в реальных целях. Относительно недавно, однако, появился свободный фреймворк для создания ОС — Genode, про который мы и расскажем в этой статье.

Современные дистрибутивы Linux зачастую чересчур тяжеловесны (тот же LibreOffice из-за использования Java требует много памяти), так что на маломощных компьютерах особо не разгуляться. К счастью, существуют дистрибутивы, которые максимально урезаны по размеру, но при этом содержат все необходимое для более-менее комфортной работы.

Мне всегда хотелось написать серию статей по функциональному программированию для этого журнала, и я очень рад, что у меня наконец-то появилась такая возможность. Даже несмотря на то, что моя серия про анализ данных еще далека от завершения :). Не буду анонсировать содержание всей серии, скажу лишь, что сегодня мы поговорим о разных языках программирования, поддерживающих функциональный стиль и соответствующих приемах программирования.

В современном мире различные VPN-технологии используются повсеместно. Некоторые (например, PPTP) со временем признаются небезопасными и постепенно отмирают, другие (OpenVPN), наоборот, с каждым годом наращивают обороты. Но бессменным лидером и самой узнаваемой технологией для создания и поддержания защищенных частных каналов по-прежнему остается IPsec VPN. Иногда при пентесте можно обнаружить серьезно защищенную сеть с торчащим наружу лишь пятисотым UDP-портом. Все остальное может быть закрыто, пропатчено и надежно фильтроваться. В такой ситуации может возникнуть мысль, что здесь и делать-то особо нечего. Но это не всегда так. Кроме того, широко распространена мысль, что IPsec даже в дефолтных конфигурациях неприступен и обеспечивает должный уровень безопасности. Именно такую ситуацию сегодня и посмотрим на деле. Но вначале, для того чтобы максимально эффективно бороться c IPsec, нужно разобраться, что он собой представляет и как работает. Этим и займемся!

Расширение ARC Welder позволяет запускать приложения с Android на любом компьютере, где работает браузер Chrome. Польза от такой возможности очевидна не сразу, но если задуматься, то можно найти несколько классов мобильных приложений, которые пригодятся на десктопе. К сожалению, пока и это сопряжено с разнообразными сложностями. Часть из них можно обойти.

OpenVMS — не просто одна из операционных систем общего назначения. Не особенно распространенная, она отличается поразительным долголетием. Появившись в семидесятые годы, OpenVMS пережила множество тогдашних ОС и сыграла важную роль в появлении Windows NT, на которой основаны все современные версии Windows. Жива она и сейчас.

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

WordPress - это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на Wordpress, а также покажем как устранить выявленные уязвимости.

Сегодня мы узнаем, как в OS Android можно красиво и элегантно создать собственный планировщик заданий, который будет полезен в твоих, разумеется, светлых делах. Для этого нам потребуется исключительно стандартный инструментарий: Android SDK от Google и редактор кода Eclipse c плагином ADT.

Моргания лампочки и замыкание контактов — дело интересное и полезное для первых шагов. Но, как все мы помним со школы, чем нагляднее эксперимент, тем он интереснее. Я продолжу развивать проект из предыдущих серий, и сегодня мы прикрутим термодатчик 1-Wire для того, чтобы контролировать температуру в твоем многострадальном холодильнике. Того и гляди, скоро у тебя появится «умный» холодильник :).

Считается, что при использовании Wi-Fi «зона риска» обычно не превышает пары десятков метров. Так, во многих компаниях по Wi-Fi передают конфиденциальные данные, наивно полагая, что раз зона покрытия надежно охраняется, то сеть в безопасности. Но что, если я покажу тебе, как можно незаметно поймать, проанализировать и даже полностью парализовать закрытую Wi-Fi-сеть, находясь от нее на расстоянии почти в полкилометра?

Довольно часто юзеры, привыкшие рутовать прошивки, устанавливать разного рода системный софт, менять ядра и по-другому издеваться над прошивкой, обнаруживают, что установить OTA-обновление невозможно. Оно просто не встает, ругаясь на измененные системные файлы, неправильные цифровые ключи и всякое прочее. В этой статье я расскажу о самой механике обновления, причинах возникновения проблем и о том, как их решить.

Когда увеличивать количество транзисторов на ядре микропроцессора стало физически невозможно, производители начали помещать на один кристалл несколько ядер. Появились фреймворки, позволяющие распараллеливать исполнение кода. И это было только начало: производители видеоадаптеров — графических процессоров тоже не стояли на месте.

Есть масса способов отправить большой файл через интернет, но далеко не все они дают возможность передать что-то анонимно и только одному адресату. Как поделиться большим файлом так, чтобы получатель не использовал никаких учетных записей и не оставлял следов в облаках?

Переменные и типы хороши, пока мы находимся внутри логики программы C++. Однако рано или поздно становится нужно передавать информацию между программами, между серверами или даже просто показать типы и значения переменных человеку разумному. В этом случае нам приходится заключать сделку со злобным Сериализатором и расплачиваться производительностью своего кода.

Выпуск #195. Как всегда, представляем четыре полезных daily-инструмента по версии апрельского «Хакера». Не забудь добавить в избранное!

Вот уже сто девяносто пятый раз мы собираем самые интересные вопросы, присланные в редакцию за месяц, и отвечаем на них. Как обычно, куча полезных советов по ежедневным задачам, кодингу и администрированию. Велком!

Когда-то стоял вопрос о том, нужно ли компьютерной мыши три кнопки или достаточно двух. Двухкнопочные тогда победили, но это не помешало производителям экспериментировать. Razer Naga в этом плане — выдающийся пример, у нее целых 16 кнопок! Нет, эта мышь предназначена не для инопланетян с шестнадцатипалыми верхними конечностями, а всего лишь для заядлых любителей MMO. Это уже четвертая инкарнация Naga, а значит, спрос на такие штуки есть.

Магазины полнятся десятками недешевых игровых клавиатур с изощренным дизайном и разнообразными функциями, которые помогают в нелегком геймерском деле. Буйство красок, зрелищная подсветка, кнопки с загадочными надписями — ничем из этого современного игрока не удивишь. Клавиатура Razer BlackWidow Chroma предлагает кое-что новенькое, причем интересное не только для игр, но и, потенциально, для других применений. Каждая кнопка BlackWidow снабжена собственной подсветкой, которая может менять цвет.

Соблюдение норм федерального законодательства — абсолютно необходимая, но не самая увлекательная часть нашей с тобой работы. Не утешает даже то, что этим занимаются во всем мире, а слово compliance навязло в зубах и посетителям международных конференций. В этой статье мы расскажем о внедрении недавно появившегося решения от компании «КиберСофт», известной своим шифровальным ПО (см. «Хакер» № 138), — межсетевого экрана «Киберсейф» (далее просто МЭ). Данный МЭ будет интересен относительно небольшим компаниям (50–100 узлов) с ограниченным бюджетом. Для построения систем с повышенной нагрузкой (1000 машин и больше) лучше использовать аппаратные решения.

Проблема управления большим количеством систем далеко не нова, но особенно острой она стала при распространении кластеров и облачных сервисов. Для ее решения появились разнообразные инструменты, и каждый делает это по-своему. Synctool, разработанная для голландского фонда SURFsara, обеспечивающего суперкомпьютеры для учебных заведений, ориентирована в первую очередь на кластеры. Но гибкость утилиты позволяет использовать ее практически в любой ситуации, а благодаря ее простоте долгого изучения не потребуется.

DDoS-атаки стали настоящим бичом современного интернета. С ними борются как организационными методами (о которых писали в журнале, и не раз), так и техническими. Последние, как правило, либо неэффективны, либо достаточно дороги. Ребята из NatSys Lab решили попробовать сделать open source средство для защиты от DDoS-атак на веб-приложения. Посмотрим, что у них получилось.

Если со времен твоего детства прошло больше пятнадцати лет и у тебя тогда был компьютер или игровая приставка, значит, ты, скорее всего, успел посвятить немало часов играм эпохи девяностых. Для кого-то это были Space Quest и Legend of Kyrandia, для кого-то — Super Mario, Contra или Battletoads, но вернуться в прошлое и поиграть снова хотел бы, наверное, любой из ветеранов. В этом деле немало помогают эмуляторы, но за компьютером вечно находятся занятия поважнее игрушек. Совсем другое дело — взять с собой в дорогу портативное устройство, которое эмулирует старые платформы, причем не одну, а сразу несколько. Планшет PGP AIO Droid 7 7400, побывавший у нас на тесте, — как раз одно из таких устройств. На него предустановлен DOSBox и эмуляторы для длинного списка старых приставок, а в крайнем случае он может сослужить службу в качестве обычного планшета на Android.

KDE — один из основных рабочих столов свободных *nix-систем. Но когда во времена перехода на версию 4 разработчики кардинально изменили интерфейс, множество пользователей от KDE отказались. Разработчики учли это, и следующий мажорный релиз был скорее эволюционным, нежели революционным.

В прошлый раз (в ноябре 2014-го; мне очень стыдно, что я так затянул с продолжением!) я рассказывал о базовых возможностях языка R. Несмотря на наличие всех привычных управляющих конструкций, таких как циклы и условные блоки, классический подход к обработке данных на основе итерации далеко не лучшее решение, поскольку циклы в R необыкновенно медлительны. Поэтому сейчас я расскажу, как на самом деле нужно работать с данными, чтобы процесс вычислений не заставлял тебя выпивать слишком много чашек кофе в ожидании результата. Кроме того, некоторое время я посвящу рассказу о том, как пользоваться современными средствами визуализации данных в R. Потому что удобство представления результатов обработки данных на практике не менее важно, чем сами результаты. Начнем с простого.

Представляем новый выпуск подборки лучших хакерских утилит для взлома и анализа безопасности. В этом выпуске: net-creds, Lynis, YSO Mobile Security Framework и многое другое

Сейчас все продвинутые парни любят JavaScript и данные. А что любят данные? Обработку и визуализацию. Кстати, последнюю ценят как продвинутые парни, так и их непродвинутые клиенты и тем более начальники. В этой статье мы представим твоему вниманию лучшую в обитаемой части Галактики JS-библиотеку для визуализации данных.

Что десктопные приложения, да и сам десктоп рано или поздно переедет в веб, было понятно едва ли не после рождения JavaScript, поэтому появление Chrome OS во многом предсказуемо. И что облачную ОС выпустила именно Google, тоже абсолютно закономерно. Но давай попробуем отойти от бесконечных дебатов о будущем десктопа, разжигаемых консервативной частью айтишников, и посмотрим на Chrome OS с точки зрения технической реализации.

Бороться с DDoS-атаками можно и нужно, но победить их полностью не получится, поскольку они эксплуатируют фундаментальную проблему, которую нельзя оперативно «пропатчить». Речь идет об ограниченности ресурсов. Ширина канала и вычислительные характеристики объекта атаки всегда имеют какое-то предельное значение. Кто-то измеряет его в гигабайтах в секунду, кто-то в финансовых показателях. В свою очередь, злодеи ставят задачу «нащупать» эти предельные значения и всеми возможными способами довести показатели работоспособности целевой системы до этого экстремума. Что же делать?