В этом выпуске: сборщик информации в OS X, инструменты Java для кодогенерации и анализа, фаззер общего назначения с простым консольным интерфейсом, инструмент для сканирования роутеров Cisco, инструмент для фишинговых атак в сетях Wi-Fi, Android-приложение, которое собирает и анализирует мобильные радиоданные, proof-of-concept упаковщика для исполняемых файлов .NET.

Перед тобой — выпуск рубрики FAQ, где мы отвечаем на самые разнообразные вопросы об операционных системах Windows и Linux, рекомендуем софт, решаем разнообразные проблемы и даем хакерские советы.

Расширение для Google Chrome, позволяющее быстро тестировать сайты в разрешениях разных устройств, мощное расширение для Firefox, которое позволяет проделывать с вкладками самые разные трюки, веб‑версия WhatsApp и перезапуск браузерной версии Flipboard.

По состоянию на июль 2014 года Apple продала более 800 миллионов устройств, работающих под управлением iOS. При таком количестве устройств в обращении совершенно не удивительно, что они часто становятся объектами компьютерно-технической экспертизы. Сегодня мы поговорим о том, как можно провести такую экспертизу с минимальными затратами.

Эта статья представляет собой пошаговую инструкцию для тех, кто на практике решил попробовать применить атаки по второстепенным каналам (АВК). Для этой цели мы напишем код на Python, а данные возьмем из соревнований DPA contest. Мы будем анализировать алгоритм DES, реализованный не в софте, а аппаратно и без какой-либо защиты от АВК.

Последние годы JavaScript уверенно держится на Олимпе популярных языков программирования. Многочисленные фреймворки, разработка под популярные платформы закрепляют успех и стирают в памяти гадкие клише прошлого. Язык растет, развивается и становится логичнее, что не может не радовать многотысячную армию его фанатов.

В базах современных антивирусных продуктов содержатся описания свыше десяти миллионов вредоносных программ. Многие из них уже не способны запуститься в современных ОС, но «сухой остаток» представляет реальную угрозу. Мы протестировали облачные сервисы, выполняющие проверку сразу по десяткам баз и дополняющие ее поведенческим анализом.

Ни для кого не секрет, что современные социальные сети представляют собой огромные БД, содержащие много интересной информации о частной жизни своих пользователей. Через веб-морду особо много данных не вытянешь, но ведь у каждой сети есть свой API... Давай посмотрим, как этим можно воспользоваться для поиска и сбора информации.

В последнее время медиаприставки и HDMI-донглы набирают все большую популярность. В данной статье я расскажу про самое известное устройство из этой серии — Google Chromecast, которое имеет огромное количество всевозможных совместимых приложений, открытый SDK и с легкостью позволяет отправить на телевизор видео, фото и аудио с телефона, компа или сетевых источников.

Часто нам приходится совершать со своим iPhone монотонные и довольно скучные манипуляции, которые заставляют нас с завистью смотреть на десктопы с их безграничными возможностями настройки, скриптинга и автоматизации действий. В iOS существование подобных приложений невозможно, но у нас есть небольшая лазейка.

Есть такой класс программ, призванных получать у пользователя конкретные (или какие угодно) файлы и направлять их специально уполномоченным людям. Конечно, с предварительного письменного согласия упомянутых пользователей! Этот класс программ называют Stealer. А что было бы, если бы хакеры писали подобные программы на С#? Пофантазируем!

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

В клиент-серверной архитектуре место Java приложение - преимущественно на серверной стороне. Но что, если бы все приложение целиком писалось на Java, а его клиентская часть была бы «нативной» для браузера и соответствовала бы самым современным представлениям о юзабилити?

Шаблоны можно назвать самым главным отличием и основным преимуществом языка C++. Код специализаций шаблона строится на этапе компиляции, а это значит, что поведением создаваемых типов и функций можно управлять. Как тут удержаться от возможности попрограммировать?

Сам по себе Python, несомненно, является языком программирования. Но многие ошибочно считают, что Python — это всегда та самая штука, которая идет в комплекте с большинством *nix-систем и запускается, если набрать python в консоли. А как же оно на самом деле?

Когда получаешь деньги не за объем сделанной работы, а по затраченным на выполнение часам, не обойтись без системы учета времени. Все они разные и отличаются не только возможностями, но и самим подходом к подсчету. Мы разобрались в достоинствах и недостатках актуальных программ и узнали, что лучше подойдет фрилансеру.

Во многих компаниях по Wi-Fi передают конфиденциальные данные, наивно полагая, что раз зона покрытия надежно охраняется, то сеть в безопасности. Но что, если я покажу тебе, как можно незаметно поймать, проанализировать и даже полностью парализовать закрытую Wi-Fi-сеть, находясь от нее на расстоянии почти в полкилометра?

Прекратив поддержку Threat Management Gateway (ранее ISA server), MS поставила в ступор многих админов, которым требовалось решение для публикации приложений с проверкой подлинности. Некоторое время положение было непонятно, пока в Win2012R2 не была представлена новая роль Web Application Proxy.

«Мы говорим nginx, подразумеваем производительность, мы говорим производительность — подразумеваем nginx» — такой лозунг как нельзя лучше описывает ситуацию, сложившуюся в среде админов. И с этим было невозможно поспорить, пока неизвестный программист по имени Кадзухо Оку не представил веб-сервер H2O.

На государственном уровне в России муссируют идею НПП — национальной программной платформы. В числе прочего в НПП входит дистрибутив ROSA Linux, ранее известный как Mandriva. Не так давно вышла новая версия одного из вариантов данного дистрибутива, ROSA Fresh Desktop R4. Что же скрывается за пафосным наименованием НПП?

Многие годы внимание киберпреступников было направлено на ценные данные обычных пользователей. Однако в настоящее время фокус внимания киберпреступных групп заметно сместился в сторону целенаправленных атак (Advanced Persistent Threat, APT) на корпоративные инфраструктуры, в ходе которых также используется специализированная малварь.

Рассылка спама с вредоносными вложениями — довольно популярный способ распространения малвари и заражения компьютеров. По данным разных антивирусных компаний, доля писем с вредоносными вложениями составляет от 3 до 5% от общего объема спам-трафика, то есть как минимум каждое тридцатое письмо в потоке спам-рассылок несет в себе вредоносный сюрприз.

Два года назад малоизвестная российская компания Yota Devices сумела удивить мир, показав прототип смартфона с двумя экранами. Многие были уверены, что дальше концепта дело не зайдет, но наши соотечественники не ударили в грязь лицом и через год воплотили инновационные идеи в жизнь. Однако YotaPhone получился весьма неоднозначным смартфоном.

Права root и приложения с их поддержкой уже давно превратились в визитную карточку рубрики X-mobile. Мы написали буквально обо всем, и, казалось бы, обзор, посвященный root-приложениям, должен быть пустой страницей. Но у нас есть несколько интересностей.

В этом выпуске: сканер CMS, поиск уязвимостей в WordPress, расширение для WinDbg для задач расследования, фреймворк для создания XNU-руткитов, программа для распределенной индексации и анализа собранных данных в процессе аудита, фреймворк для разведки в открытых источниках, набор шеллов на основе htaccess-файла.

В этом выпуске мы решаем следующие задачи: провести SDRF, используя PDF, переслать пакет данных из Wireshark, проснифать трафик под Windows без WinPcap, проснифать трафик с loopback под Windows, выбрать аналог ProcMon под nix.

За новогодние праздники некоторые исследователи порадовали нас довольно интересными уязвимостями. Одну из них можно применить против разработчиков, использующих Git. Другая же позволяет с легкостью получить доступ к распространенной модели роутеров — достаточно лишь попасть в локальную сеть, созданную таким девайсом.

Сегодня в подборке: веб-сервис с расширением для браузера, которое проверяет, каким веб-сервисам и приложениям выданы права доступа; простой веб-сервис, позволяющий делать онлайн-презентации с помощью Markdown; онлайн-тест для проверки зрения; онлайн-калькулятор, показывающий, сколько времени потребуется на все игры в твоей коллекции Steam.

Перед тобой — выпуск рубрики FAQ, где мы отвечаем на разнообразные вопросы об операционных системах Windows и Linux, рекомендуем софт, решаем проблемы пользователей и админов и даем хакерские советы.

Мы уже рассматривали, как можно поднять свои привилегии до системных в мире Windows. Как оказалось, вариантов для этого более чем достаточно. Однако, как ты понимаешь, расширять свои полномочия приходится не только для окошек, но и для пингвинов. Какие здесь есть возможности? Давай посмотрим.

Сегодня мы коснемся истории исследования безопасности IPMI, рассмотрим векторы для проведения атак и их дальнейшего развития с использованием IPMI.

Вот и подошел к концу 2014 год. Пора подводить итоги. Кто и как выделился из серой массы? Чьи создатели поразили нас своей изощренностью? Кто задал новый тренд на рынке malware? Узнаешь из этой статьи!

Многие называют концепцию «взлом/защита» гонкой и противостоянием, но вся эта борьба — единственный путь к недосягаемому совершенству: стабильному и надежному ПО. Давай посмотрим, что было сделано за последние несколько лет в мире безопасности для решения этой проблемы.

В сегодняшнем обзоре мы пройдемся по различным веб-уязвимостям в одном популярном проекте, а также разберем простую, но при этом довольно интересную уязвимость в Android-устройствах от компании Samsung и то, как решение для улучшения безопасности может содержать ошибку, что приведет лишь к дополнительному вектору атаки.

Lollipop — самое значительное обновление Android со времен Ice Cream Sandwitch. Программисты Google переработали многие компоненты системы, полностью изменили интерфейс, добавили так давно ожидаемые функции из кастомных прошивок и версий системы разных производителей. Но едва ли не наибольшее количество изменений компания внесла в компоненты системы, отвечающие за безопасность смартфона и пользовательских данных.

Современные облачные сервисы предлагают хакерам потенциально неограниченные ресурсы. Так, Амазон активно используется для взлома WPA-брутфорсом, и скорость перебора наверняка достигла не одного миллиона вариантов. Даже Wikileaks перенесла свои документы в амазоновские службы. Пора в облака и нам.

Всем хороши Android-девайсы, но порой им крайне не хватает возможностей и утилит, имеющихся в настольной Linux. Отдельные инструменты, такие как Terminal IDE, частично выручают, но некоторого нужного функционала в них нет. Как же исправить ситуацию?

Ситуация в сети Tor напоминает ситуацию в глобальном инете в самом конце ХХ века: поток посетителей растет с каждым днем, качественных и полезных сервисов практически нет, впереди непаханое поле для усовершенствований и нереальные перспективы для роста. Можно брать любую выстрелившую идею и воплощать ее в анонимном формате.

За последнее время у Mozilla произошло несколько знаковых событий. Во-первых, это юбилей Firefox. Во-вторых, движок SpiderMonkey обошел V8 на собственных тестах Google. Ну и в-третьих, это, конечно же, релиз Firefox Developer Edition.

В прошлой статье из декабрьского номера я начал говорить об анализе данных и закончил на том, как быстро решить задачу линейной регрессии на R. Сегодня я более подробно расскажу об R как о языке программирования.