11
Mobilna pseudolosowość
Generowanie liczb pseudolosowym nie jest prostym zadaniem. Przede wszystkim musimy zatroszczyć się o dobre źródło entropii. Na szczęście, prawie wszystkie systemu operacyjne dostarczają nam własne API odpowiedzialne za generowanie liczb pseudolosowych. Zerknijmy na te, które znajdują się w naszych telefonach.
4
Co za dużo to niezdrowo
Tak nazywał się wykład, który miałem okazję przedstawić na tegorocznym Zimowym Obozie Studentów Informatyki A (w skrócie ZOSIA 2011. Poniżej abstrakt, a w dalszej części wpisu dokładniejsze info o czym opowiadałem:
Abstrakt:
Pod przykrywką zaprezentowania ataku stack buffer overflow omówimy co złego może wydarzyć się na stosie, gdy nie sprawdzamy wprowadzonych przez użytkownika danych. Dowiemy się czym są kanarki oraz poznamy jeszcze parę innych zabezpieczeń, które chronią nasze aplikacje przed tym błędem. Na koniec, zastanowimy się, czy rzeczywiście są one tak bezpieczne.
27
ZeuS – kilka słów o nim
Banki zaczynają ostrzegać o niebezpieczeństwie. Do polskiej sieci zawitała wersja ZeuSa, która potrafi omijać dwuskładnikowe uwierzytelnienie. Pojawia się coraz więcej informacji o tym malware. Rzućmy okiem na pare szczegółów opisujących jego działanie.
27
Historia zapytań MySQL
Załóżmy, że mamy pełny dostęp do maszyny pewnego użytkownika (logowanie przez SSH na konto roota). Załóżmy również, że jesteśmy wyjątkowo chciwi i chcemy poznać hasło właściciela przechowywane w bazie MySQL. Sprawę niech skomplikuje fakt, że wszystko trzymane jest w postaci zahashowanej algorytmem SHA-1. Zero szans na łamanie hasła metodami brute-force/tablicami tęczowymi. Jedyną iskierkę nadziei daje fakt, że kiedyś root wpisywał to hasło w SQL shell-u posługując się zapytaniem:
INSERT INTO tajne (my_password) VALUES (sha1('tajne_haselko'))
A to już wiele zmienia.
8
Diabeł tkwi w szczegółach precyzji
Pamięć komputera jest skończona. Zastanówmy się przez chwilę, co może wydarzyć się, gdy będziemy chcieli przechować w niej liczby, o nieskończonej ilości cyfr – na przykład ułamki. Zajmijmy się liczbami zmiennoprzecinkowymi, zapisanymi w notacji naukowej. W reprezentacji taką liczbę dzieli się na dwie części: significand (mantysa) oraz exponent (mówi, o ile miejsc należy przesunąć przecinek). Przykładowo dla pary (significand/exponent) 1.246/2 otrzymamy liczbę 124.6 (1.246e2 w notacji naukowej).
Oczywiście nie można zapisać w pamięci liczby zmiennoprzecinkowej z bezbłędną dokładnością. Stosuje się pewne przybliżenia, które mogą wpłynąć na wynik. Co jednak stanie się, gdy dla danej liczby algorytm aproksymacji niewypali?
Czytaj dalej »»
24
nmap -sX -v wesołych_świąt
No i mamy Święta. Niech magia Bożego Narodzenia przyniesie Wam zdrowie, szczęście i olbrzymią dawkę radości. Spełnienia marzeń i zawziętości w realizacji wyznaczonych celów. Życzę Wam każdego dnia spędzonego ze szczerym uśmiechem, masą dobrego humoru i optymizmem.
Dołączam oczywiście standardowe „0 bugów w kodzie” dla programistów, „szybszego czasu renderingu” dla grafików i „łatwej i przyjemnej analizy” dla pentesterów i researcherów .
Niech każdy dzień przyniesie Wam dodatkową wiedzę i poszerzy Wasze doświadczenie.
Wesołych Świąt, a żeby nie powtarzać się za tydzień, to również szczęśliwego Nowego Roku!