31

LF №02(167), Февраль 2013:

Безопасность: Осознайте подлые трюки злых хакеров и храните свои серверы в целости

С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Бена Эверарда «DVWA: Взлом web-приложений», часть II, вышедшую в «LinuxFormat» №02 (167) Февраль 2013.

На свете много гнусных типов, влезающих в web-приложения потехи ради и для заработка.Бен Эверард покажет, как они норовят употреблять сайты.

Как боевые искусства можно применять для самозащиты, так и навыки взлома пригодятся для идентификации слабых мест ваших серверов и их защиты. Слабые места есть у любой компьютерной системы; искусство заключается в том, чтобы найти их раньше взломщика. Во второй части нашего курса чёрной магии мы рассмотрим web-приложения и вносимые ими потенциальные опасности.
Web-приложения — благодатная почва для уязвимостей, так как им уделяют меньше внимания, чем другим областям. К примеру, сотни — если не тысячи — людей видели исходный код Apache и работали с ним, то есть он отлично изучен на предмет ошибок. А сколько людей видели исходный код среднего web-приложения? 10? 20? Меньше? При взрывном росте числа людей, именующих себя web-разработчиками, многие ли из них действительно разбираются в практике безопасного программирования?
Для выявления возможных проблем безопасности существуют специально разработанные web-приложения. Ранее, в LXF159, мы рассмотрели WebGoal, а сейчас собираемся использовать Damm Vulnerable Web Application [Чертовски уязвимое web-приложение], DVWA. В отличие от WebGoal, это не набор уроков, а незащищённый сайт,и на нём мы будем оттачивать наши навыки.

Скачать статью полностью »

Был, был и весь вышел...

32

LF №02(167), Февраль 2013:

Рецепты доктора Брауна: Стек LAMP

С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Криса Брауна «Стек LAMP», вышедшую в «LinuxFormat» №02 (167) Февраль 2013.

Знаменитая четвёрка из мира открытого ПО, LAMP содержит всё необходимое для управления коммерческим сайтом. Первая из четырёх статей в серии.

LAMP — пожалуй, одна из самых известных аббревиатур в мире открытого ПО, но если вы её не слышали, то L — это Linux. A — Apache, M — MySQL, а P — хм... это зависит от того, кого вы спрашиваете. Большинство, наверное, скажут «PHP», но Perl и Python тоже часто используются для написания скриптов на сервере. Вместе эти четыре технологии позволяют создавать надёжные динамические сайты на основе исключительно свободных программ с открытым исходным кодом.

Что такое «динамический» сайт? Ну, изначально содержимое сайтов было статическим. Например, люди писали свои исследовательские отчёты в виде web-страниц, а web-сервер доставлял их в браузер. При каждом посещении страницы вы видите одно и то же, если, конечно, кто-то не зашёл и не отредактировал её. На динамическом сайте, напротив, по крайней мере часть содержимого создаётся на лету, обычно с помощью кода (на стороне сервера), который каким-то образом связан с web- страницей. Простой пример — страница http://www.whattimeisit.com, которая сообщает текущее время и является истинно динамической, т.е. вы не видите одно и то же каждый раз, когда открываете её...

Скачать статью полностью »

Был, был и весь вышел...

33

LF №03(168), Март 2013:

UEFI: Пере-перезагрузка

С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Джона Лэйна «UEFI: Пере-перезагрузка», вышедшую в «LinuxFormat» №03 (168) Март 2013.

BIOS загружал ПК 30 лет, но настала пора перемен. Джон Лэйн знакомится с преемником.

С момента, когда IBM создала свой первый Персональный Компьютер в 1981 году, тот изменился едва ли не до неузнаваемости, но при его включении происходит, по большей части, всё то же самое. В каждом ПК есть BIOS, ответственная за запуск компьютера и загрузку операционной системы. Суть в том, что BIOS (сокращение от Basic Input/Output System — Базовая система ввода/вывода), прежде чем загрузить программу загрузки из записи MBR (master boot record) или на устройстве хранения, осуществляет серию тестов Power On Self Tests (именуемую POST) и исполняет её. А уж загрузчик (bootloader) затем принимается за вашу операционную систему.

Две новых технологии покушаются изменить этот порядок: BIOS потихоньку вытесняется UEFI, Unified Extensible Firmware Interface, а MBR — GUID Partition Table [Таблица разделов GUID], или GPT.

Изначально BIOS разрабатывалась как интерфейс между оборудованием и Disk Operating System (DOS, более известной как MS-DOS). Она была, и остаётся, 16-битной программой реального режима. Поскольку за эти годы операционные системы эволюционировали до 32-битного, а сейчас и 64-битного кода, они больше не используют интерфейс BIOS, содержа вместо него собственные драйвера устройств. Роль BIOS сократилась до запуска процесса загрузки операционной системы, а после этого — по сути, бездействия.

Скачать статью полностью »

Был, был и весь вышел...

34

LF №03(168), Март 2013:

Рецепты доктора Брауна: Стек LAMP

С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Криса Брауна «Стек LAMP», вышедшую в «LinuxFormat» №03 (168) Март 2013.

Вторая статья серии, в которой мы увидим, как HTML и PHP играют друг другу на руку, чтобы создать web-приложение.

Быть web-разработчиком непросто, потому что нужно уметь многое. Нужно изучить как минимум четыре языка (для стека LAMP это PHP, HTML, CSS и SQL) и, пожалуй, немного JavaScript. Нужно понимать структуру реляционной базы данных и немного представлять человеческие факторы, окружающие разработку web-приложений. Если всё это у вас есть, рынок труда для вас открыт. А есть или нет — это большой вопрос.

Но с чего-то начинать всё же надо, и в этом месяце мы начали устанавливать стек LAMP, и если вы хотите следовать за моим повествованием (а я надеюсь, что да), у вас должны быть установлены по крайней мере Apache и PHP.

Начнём со старого доброго "Hello World" на HTML. Есть ли смысл это делать? Конечно, есть!

Скачать статью полностью »

Был, был и весь вышел...

35

LF №03(168), Март 2013:

Комптьютерные сети: Основы

С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Джонатана Робертса «Комптьютерные сети: Основы», вышедшую в «LinuxFormat» №03 (168) Март 2013.

Сделайте первые шаги к пониманию сетей и объедините свои Linux-компьютеры — основные концепции сети вам растолкует Джонатан Робертс.

На страницах Linux Format мы извели массу времени на объяснения, как делать те или иные вещи — от создания анимаций и редактирования изображений до работы с командной строкой и шифрования данных. Причём большую часть этого времени мы не пользовались нашими компьютерами поодиночке, а соединили их друг с другом, разделив хранящиеся на них файлы и информацию ещё и между нашими домами, а также через  Интернет.

Чтобы помочь вам применить навыки работы в Linux в этой опутанной сетью среде, следующие два месяца мы потратим на знакомство с основами работы с сетью. Упор будет сделан на практическую работу: наряду с пояснениями теории и терминологии мы научим вас пользоваться утилитами Linux для исследования и построения сетей.

На данном уроке мы подружим вас с тремя китами, на которых зиждется вся жизнь сетей — с пакетами, физическими соединениями и адресацией. А на следующем — создадим несколько виртуальных машин и построим из них несколько простых сетей.

Скачать статью полностью »

Был, был и весь вышел...

36

LF №04(169), Апрель 2013:

Рецепты доктора Брауна: Стек LAMP — часть III

С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Криса Брауна «Стек LAMP», вышедшую в «LinuxFormat» №04 (169) Апрель 2013.

M — это MySQL. Третья часть нашей серии, и в ней мы осваиваем базы данных.

В этом месяце мы рассмотрим «M» в стеке LAMP — MySQL. Сперва вкратце ознакомимся с теорией баз данных, затем перейдём к SQL и, наконец, установим MySQL и создадим базу данных. Как и в предыдущих статьях, здесь я пользуюсь CentOS 6.2 — и советую вам последовать моему примеру и установить его на виртуальную машину.

Скачать статью полностью »

Был, был и весь вышел...

37

LF №04(169), Апрель 2013:

Сеть: Построим маршрутизатор — часть II

С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Джонатана Робертса «Сеть: Построим маршрутизатор», вышедшую в «LinuxFormat» №04 (169) Апрель 2013.

Познакомив вас с кирпичиками, из которых строят сети, Джонатан Робертс складывает из них реально работающую сеть.

Месяц назад мы познакомили вас с основными понятиями сетей — пакетами, физическими соединениями и логической адресацией, а также с утилитами, при помощи которых в Linux можно исследовать работу сети. Пользуясь ими, вы сможете эффективно работать с сетями и диагностировать проблемы, с которыми столкнётесь.

На данном уроке мы покажем, как эти элементы сочетаются друг с другом в настоящих сетях. Сперва заставим два компьютера взаимодействовать друг с другом напрямую, затем продемонстрируем, как превратить компьютер с Linux в маршрутизатор (он же — роутер). Парк компьютеров вам не потребуется — всё это мы будем делать в VirtualBox, но вы должны уметь применять те же самые технологии к настоящим сетям.

Скачать статью полностью »

Был, был и весь вышел...

38

LF №04(169), Апрель 2013:

System Rescue: Live-ремонт

С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Нейла Ботвика «System Rescue: Live-ремонт», вышедшую в «LinuxFormat» №04 (169) Апрель 2013.

Нейл Ботвик представляет небольшой полезный Live-дистрибутив, который придёт к вам на помощь при серьёзном кризисе в системе.

Обширное сообщество разработчиков Linux достойно благодарности за многие новшества. Одно из самых популярных, но, возможно, недооцененных — дистрибутив Live CD. С тех пор, как Клаус Кноппер [Klaus Knopper] выпустил свой первый Live CD Knoppix 13 лет назад, для запуска Linux без установки системы  и даже без рабочего жёсткого диска было достаточно вставить компакт-диск в подходящий привод и перегрузиться. Теперь в большинстве дистрибутивов Live CD или DVD используется как основа для установки, но они также очень полезны, если что-то пошло наперекосяк и система перестала загружаться. Для этого можно обойтись и установочными дисками, но они громоздки и содержат массу лишнего, поэтому для них часто нужен DVD или объёмистая флэшка. По-настоящему удобным был бы небольшой дистрибутив, который можно записать на компакт-диск или USB-брелок и всегда иметь под рукой на случай аварии.

Такой компакт-диск для спасения системы есть, и это SystemRescueCd! Это мой любимейший из многих Live-дистрибутивов (в противоположность дистрибутивам для установки систем на настольный компьютер). Последний ISO-образ для такого небольшого пакета весит 350 МБ. Он содержит массу полезных программ для восстановления систем Linux и Windows. И всё это поместится на любой брелок, да ещё останется достаточно места на более традиционное применение брелка — например, для переноса файлов между компьютерами.

Скачать статью полностью »

Был, был и весь вышел...

39

LF №05(170), Май 2013:

Взлом сети

С разрешения редакции журнала «LinuxFormat» предлагаю вашему вниманию статью Бена Эверарда «Взлом сети», вышедшую в «LinuxFormat» №05 (170) Май 2013.


Воровство паролей » Взлом WordPress
Эксплуатация уязвимостей » Атаки DDoS
Присоединимся к Бену Эверарду в его путешествии на тёмную сторону.

Искусство манипулировать чужим компьютером, чтобы делать всё что угодно без разрешения... одни называют его хакерством, другие — взломом или тестированием возможности проникновения в систему. Правительства, бизнесмены, диссиденты, скучающие компьютерные профессионалы и преступники атакуют друг друга — и обычных пользователей — ежедневно.

Хакерство бывает разное, но мы рассмотрим здесь сетевые атаки, поскольку именно они больше всего затрагивают обычных людей. Некоторые из этих атак, например, мстительные атаки группы Anonymous, становились широко известны, поскольку переводили сайты в режим оффлайн или добавляли граффити на главные страницы сайтов. О других сообщают очень редко, хотя они происходят что ни день, принося преступникам солидные суммы.

Если у вас есть сайт, вы, без сомнения, наблюдали множество попыток атаки по записям в своём журнале. Будучи пользователем, вы, скорее всего, наблюдали результаты этих атак в виде спама (помните эти завлекательные ссылки?); а может, вам сильно не повезло, и вы лишились личной информации, когда был атакован сервер.

В любом случае, мы все живём в тесно связанном мире, в котором всё больше и больше наших ценностей хранятся в цифровых хранилищах, а не в физических сейфах. Остаётся или просто устроиться поудобнее и ждать, когда правительство и провайдеры нас защитят, или самим осознать все возможные угрозы и заняться самозащитой.

Мы покажем вам некоторые хакерские инструменты изнутри, потому что защитить себя можно, только разобравшись, от чего защищаешься.

Мы рассмотрим четыре разных типа атак — отказ в обслуживании (DDoS), «посредник [man-in-the-middle]», межсайтовый скриптинг и атаки внедрения — и покажем, как именно их используют преступники в наше время и что надо сделать, чтобы вы сами или ваш сайт не пали их жертвами.

Скачать статью полностью »

Был, был и весь вышел...