Strony

Hakin9 - numer 4/2007

- Artykuł sponsorowany - 
Przewodnim tematem, kwietniowego numeru magazynu hakin9 są luki w najpopularniejszych serwisach internetowych w Polsce.
Michał Majchrowicz informuje już w tytule, że przyjrzał się dokładniej Onetowi, WP, Allegro oraz mBankowi. Autor skupia się w swoich badaniach nad błędami bardzo popularnymi ostatnimi czasy, a więc m.in. JavaScript Injection czy też robiący ostatnio dużą “karierę” skrót XSS (Cross site scripting). W artykule opisano m.in. różne pomysły ominięcia restrykcyjnego filtrowania najróżniejszych textfieldów ze znaków niepożądanych, a więc pola edycji w webmailach czy też pola “szukaj” w nieautoryzowanej części strony banku internetowego… (pole bez walidacji…Sic!). Warto zapoznać się z tym artykułem w celu poznania kilku sprytnych rozwiązań, a także dowiedzieć się jaka była reakcja głównych zainteresowanych, a więc portali internetowych i banku. Warto wspomnieć, że na koniec artykułu zamieszczono stanowisko Rzeczniczki prasowej mBanku. Myślę, że takie oficjalne wystąpienia są jak najbardziej na miejscu, a jednocześnie są interesujące dla czytelnika.
W artykule pt. “Hak na Windowsa” Jacek Matulewski w przystępny sposób opisuje wykorzystanie systemowych hooków do różnych celów od “podsłuchu” klawiatury do tworzenia dzięki nim generatorów losowości. Możemy dowiedzieć się w praktyce jak działają i jaka jest ich konstrukcja. Artykuły o tej tematyce są bardzo ciekawe szczególnie w czasach bardzo dużej popularności najróżniejszych botnetów, ponieważ malware tworzący taką sieć często korzysta z tego typu technik.
Kolejny artykuł, który szczególnie przypadł mi do gustu jest autorstwa Daniela Learch Hostalot’a nosi tytuł “Atak faktoryzacyjny na RSA”. Muszę nadmienić, że w wielu artykułach, które widziałem wspominano często o RSA jednak albo traktowano go pobieżnie albo tłumaczono go zbyt prosto albo zbyt zawile. Tutaj mamy do czynienia z “pełnym” naświetleniem niuansów algorytmu RSA i problemów faktoryzacji liczb, tak od strony matematycznej jak i od strony programistyczno-praktycznej. Oczywiście na ten temat można pisać całe rozprawy naukowe, ale autorowi należą się brawa za kompleksowe przeprowadzenie czytelnika przez problem faktoryzacji liczb, a co za tym idzie praktyczne przedstawienie istoty algorytmu na niecałych 5ciu stronach.
Artur Żarski pracownik Microsoft prezentuje w następnym rozdziale firewalla dostępnego w Windowsie Vista. Co nowego umożliwia w stosunku do zapory dostępnej chociażby w Win XP SP2 oraz jakie reguły obowiązują przy zabezpieczaniu nowego systemu MS.
Dwa kolejne artykuły czyli “Budowanie świadomości usprawnia poziom bezpieczeństwa” Adama Kuczyńskiego oraz “Analiza ryzyka - Zarządzanie Bezpieczeństwem Informacji” Tomasza Polaczka korespondują ze sobą i nawiązują do ogólnej kwestii bezpieczeństwa, która jest równie ważna jeśli nie najważniejsza. W artykułach tych dowiemy się jak pracownik wpływa na bezpieczeństwo danych, a także jak dostosowując swoje działanie do norm bezpieczeństwa skalkulować ryzyko podczas zarządzania bezpieczeństwem informacji w firmie.
W dziale ochrona Konrad Malewski w artykule pt. “Przegląd wybranych metod niwelowania ograniczeń sieci lokalnych” przedstawia wpływ ograniczeń sieci LAN, na bezpieczeństwo całej sieci, a raczej prób ominięcia tych ograniczeń przez administratorów jak i pojedynczych userów.
Pod koniec magazynu Paweł Maziarz pokazuje jak używać biblioteki OpenSSL tak, aby nasze aplikacje sieciowe mogły korzystać z dobrodziejstw szyfrowanych połączeń sieciowych.
Kwietniowe wydanie kończy Patryk Krawczyński swoim felietonem “Niezdrowe trendy w bezpieczeństwie - full disclosure” Felieton opisuje proces powiadamiania i upubliczniania wiadomości o wykrytych bugach i o zasadności tych informacji przekazywanych bez kontaktu z autorami oprogramowania.

Brak komentarzy:

Prześlij komentarz