ARCHIV

Hakin9 2/2007

V aktuálním čísle Hakin9u, hard core IT security magazine, se dozvíte o hackování MS IE, XSS, či útocích na RSA a bluetooth.

5.3.2007 06:00 | MaReK Olšavský | Články autora | přečteno 9730×

Haking, jak se bránit (v l33t Hakin9) je polský mezinárodní časopis, který v současné době vychází v 7 jazycích a v papírovém vydání ve více než 18 zemích. Je vydáván společností Software-Wydawnictvwo Sp. z o.o. a do češtiny je překládán (nejspíše z polštiny; jako překladatelé jsou v čísle pro leden uvedeni Jan Gregor, Nina Sajdoková, Svatopluk Vít, Joanna Rybicka, Luděk Vašta a jako korektor je uvedeni Zlata Kopová).

Obsah čísla:

• Úvodní rubriky
  • Editorial, obsah
  • Ve zkratce (neboli security news)
  • hakin9.live – Obsah CD
  • Nástroje – Core Impact Penetration Testing; Worm Radar
• Útok
  • Útoky prostřednictvím stínového softwaru
  • Hakování Internet Exploreru
  • Faktorizační útok na RSA
  • Útok na Bluetooth
  • Útoku XSS
  • DDoS - Moderní metody útoku a obrany
• Obrana
  • Úvod do bezpečnosti databáze Oracle
  • Jak obejít ochranu zásobníku jádra 2.6
• Recenze knihy z edice oko - Kryptologie, šifrování a tajná písma, autora Pavla Vondrušky

Podrobněji k obsahu čísla

Jak je tradicí u časopisů tohoto vydavatele, velmi kvalitní obsah utrpí nekvalitním překladem a poměrně odbytou sazbou (číslo 1016 místo 10¹⁶ u počtu sekund a pak přemýšlíte, proč by ten počet výpočtů trval 300 mil. let), zlom nového odstavce uprostřed věty a mnohé další detaily.

Po novinkách z bezpečnosti se dostanete k představení dvou zajímavých programů, z nichž první (Core Impact) poslouží k proscanování Vaší sítě a ten druhý (WormRadar) vám pomůže udělat honeypot.

První článek, „Útoky prostřednictvím stínového sotwaru“, vás seznámí s útokem nastrčeného serveru, který se často využívá při rhybaření. Dobře jsou popsány nejen procesy výměny klíčů mezi klientem a serverem, ale i způsob obrany. I přes nástroje, které nám nabízejí moderní www prohlížeče je hlavní obranou proti možným ztrátám vlastní opatrnost.

„Hakování Internet Exploreru“ čtenáře v úvodu seznámí s historií a vývojem MS Internet Exploreru a pak se věnuje několika útokům na počítač, které souvisí s provázaností prohlížeče do systému a jeho možnostmi v práci s ActiveX. Podrobněji se článek věnuje útokům pomocí CSSXSS, útokům přes chyby Google Desktop Search a vzdálenému provádění kódu.

„Faktorizační útok na RSA“ bych hodnotil jako jeden z nejzajímavějších. V úvodu článku je teorie šifrování, primárně vztažená na RSA. Dozvíte se několik informací o RSA Factoring Challenge, v níž můžete získat 30 000 USD za faktorizaci prvočísel pro RSA-704. Nakonec si budete moci vyzkoušet útok na 256 bitovou šifru, čímž uvidíte, proč je nebezpečné takto krátké klíče používat.

Další článek „Útok na Bluetooth“ čtenáře napřed provede technologií Bluetooth jako takovou, dozvíte se něco o jeho verzích, … posléze se poinformujete o technikách útoku na Bluetooth a klasicky je závěr článku návodem k vyzkoušení takovéhoto útoku.

Náchylnost na „Útoky XSS“ jsou častou chybou začínajících vývojářů internetových aplikací, ale nejen jich, jsou občas k nalezení i v rozsáhlých a zavedených projektech. Čtenář bude potřebovat znalosti, alespoň základní, html, javascriptu a php. Prakticky budete provedeni podstrčením škodlivého kódu do webových stránek, kterým můžete zjistit mnoho zajímavých údajů od návštěvníků, přičemž tyto stránky mohou být naprosto cizí, nejen Vaše. Je ukázán i nejjednodušší a přesto značně účinný způsob obrany proti takovémuto útoku.

„DDoS - Moderní metody útoku a obrany“ pojednává o problematice, která může znedostupnit ne jen jeden počítač, nebo server na síti, ale při napadení správného DNS lze téměř znemožnit provoz na veliké části internetu (i to už se před několika lety stalo). DoS útoků je mnoho druhů a jejich distribucí do podoby DDoS se účinky znásobují. I proti takovýmto útokům se dá ubránit a to i velmi jednoduchými nástroji.

Oracle je bezesporu jedním z nejlepších, komerčních, databázových serverů, jak s lety rostla jeho funčnost a množství nasazení, musel se vylepšovat i bezpečnostní model. V článku nalznete nejen tip, jak pomocí google najít běžící Oracle server na internetu, ale především, jak zabezpečit ten, který je ve Vaší správě. Dozvíte se zákady zabezpečení tohoto mocného serveru.

V předposledním článku „Jak obejít ochranu zásobníku jádra 2.6“ se dozvíte, o útoku na přetečení záobníku. Nejen teorii, ale budete si moci vyzkoušet prakticky získání root shellu pomocí jednoduchého prográmku, respektive 2, protože jsou popsány 2 způsoby útoku. Článek Vás informuje i o metodách obrany proti takovémuto útočení.

Poslední článek je minirecenzí knížky „Kryptografie, šifrování a tajná písma“, z Edice OKO, kterou napsal náš přední odborník na kryptografii Pavel Vondruška. Kniha je to nesporně velmi kvalitní a doporučuji ji vaší pozornosti.

závěr

Magazín hakin9 je rozhodně kvalitním a zajímavým zdrojem informací o bezpečnosti a nejen to. Navíc spolu s ním dostanete bootovací CD, na kterém si můžete probíraná témata snadno vyzkoušet.

Časopis hakin9, jak se bránit s podtitulem Hard Core IT Security Magazine vychází, každé dva měsíce, má 82 stran a s přiloženým CD si ho můžete koupit za 199 Kč (359 Sk) např. v internetovém obchodě vydavatele, předplatit u distributora Send, či zakoupit v dobrých novinových stáncích.

Verze pro tisk

DISKUZE kameny obchod 13.3.2007 03:21 starenka   Re: kameny obchod 22.3.2007 01:13 menphis Zobrazit označené Zobrazit vše Příspívat do diskuze mohou pouze registrovaní uživatelé.