LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Hakin9 3/2007

V aktuálním čísle Hakin9u, hard core IT security magazine, se dozvíte o bezpečnosti MS IE7, použítí SSL/TLS v aplikacích a steganografii.

29.5.2007 06:00 | MaReK Olšavský | Články autora | přečteno 7270×

Haking, jak se bránit (v l33t Hakin9) je polský mezinárodní časopis, který v současné době vychází v 7 jazycích a v papírovém vydání ve více než 18 zemích. Je vydáván společností Software-Wydawnictvwo Sp. z o.o. a do češtiny je překládán (nejspíše z polštiny; jako překladatelé jsou v čísle pro leden uvedeni Jan Gregor, Nina Sajdoková, Svatopluk Vít, Joanna Rybicka, Luděk Vašta a jako korektor je uvedeni Zlata Kopová).

LP

Obsah čísla:

  • Úvodní rubriky
    • Editorial, obsah
    • Ve zkratce (neboli security news)
    • hakin9.live – Obsah CD
  • Útok
    • Háčky ve Windows
    • Metasploit – Exploiting framework
    • Neviditelné backdoory
  • Obrana
    • Obrana databáze Oracle za pomoci pokročilých bezpečnostních opatřeí
    • Bezpečnost Internet Exploreru 7
    • Bezpečnost kont PHP
    • Zabezpečení WWW služeb ve Windows Longhorn Server
    • Web Services Security
    • Šifrování v aplikacích – knihovna OpenSSL
    • Steganografie – umění okultního písma
  • Fejeton: Hacking bez tajemství

Podrobněji k obsahu čísla

První článek „Háčky ve Windows“ naučí čtenáře napsat velmi jednoduchý keyloger. Bude probrána technika, jak nepozorovaně odposlouchávat události z klávesnice, tyto poslat dále, k zpracování dalšími aplikacemi, správně klávesy rozlišit a uložit jejich význam do souboru. Háčky však nejsou jen k odposlecnutí toho, co uživatel píše.

„Metasploit – Exploiting framework“ je článek o projektu v jazyce Ruby, který vám umožní najít zranitelnosti a místa k převzetí nadvlády nad systémem, či programem. V článku je názorným způsobem ukázáno vyhledání a získání díry v lokální síti. Článek popisuje verzi 3.x, která je mnohem moznější, než verze z řady 2.x.

„;Neviditelné backdory“ popisuje vytvoření démona, který bude skryt pro firewally. Pokud chce útočník zavést díru do systému, je takovýto trojský kůň snadno odhalitelný, pokud si otvírá vlastní port na síťovém připojení. Při použití vhodné techniky se maskuje poslouchání a čekání na příchozí příkazy pod některou ze služeb, která je na napadeném PC povolena standardně a právě toto maskování se je obsahem článku, včetně praktických ukázek kódu.

Článek „Obrana databáze Oracle za pomoci pokročilých bezpečnostních opatření  píše o bezpečnostních opatřeních, autorizaci a autentizaci, které poskytuje databázový server Oracle. V článku se mimo jiné dozvíte jaký je rozdíl mezi často zaměňovanou autorizací a autentifikací. Článek je ve skutečnosti jen velmi jemným úvodem do řešení přístupových práv na úrovni systému i databáze.

Článek „Bezpečnost Internet Exploreru “ shrnuje bezpečnostní rizika a pokroky v zabezpečení MSIE 7. Jedná se o novou verzi prohlížeče, která je při nasazení do MS Windows XP hlouběji integrována do systému, než je tomu v nových MS Windows Vista. Tvůrci WWW aplikací mají starosti s dalším prohlížečem, ale ty jsou nesrovnatelné se starostmi, které mohou mít systémoví správci. Jsou probrána všechna zlepšení bezpečnosti, která jsou proti MSIE 6 a není jich málo, čiže směle lze prohlásit, že MSIE 7 je bezpečný prohlížeč, pokud ovšem uživatel bude používat hlavu, protože je ponořen do systému hlouběji, než je to u prohlížečů ostatních výrobců.

V článku „Bezpečnost kont PHP“ je probráno zabezpečení PHP scriptů. Zabezpečení není probíráno z hlediska programátora píšícího tyto scripty, ale z hlediska správce serveru, kde běží. Je postupně popsán útok na získání dat a přístupu uživatele i kroky, které by měly tomuto pokusu zabránit. Postupně je probrán boj s bezpečnostními opatřeními safe_mode a open_basedir i riziko POSIXových funkcí v sestavení scriptovacího modulu. V článku je ukázáno, že bezpečnost webových aplikací nespočívá pouze ve správně napsaných scriptech.

„Zabezpečení WWW služeb ve Windows Longhorn Server“ vypadá jako předčasný článek o ještě neexistujícím serverovém operačním systému, ale ve skutečnosti je o IIS 7, který je, více než jeho předchůdce, rozdělen do modulů a nabízí mnohem detailnější nastavení služeb. Rovněž bylo posílené bezpečnostní hledisko a vyřazena podpora Microsoftem dříve prosazovaného řešení MS Passport.

Vývojářům SOA je urřen příspěvek „Web Services Security“, ve kterém jsou vysvětleny možné techniky vzdáleného napadení SOAP/XML-RPC aplikací, ať již útoky DoS, odchycení a manipulace s odesílanými zprávami, zfalšování žádostí klientů a odpovědí klientům, nebo snahy o zápis/čtení na serveru. Útoků je přiblíženo více a pokud vývojář pracuje na SOA, měl by být schopen ubránit systém alespoň proti útokům představeným v článku.

„Šifrování v aplikacích – knihovna OpenSSL“ je článek, který je určen vývojářům, kteří potřebují vyvíjet aplikace, komunikující po síti a žádající ochranu dat šífrováním pomocí SSL/TLS. Nejprve se dozvíte, jak vytvořit dvojice potřebných certifikátů a poté budete provedeni základy vytvoření klienta i serveru využívajícího šifrované komunikace pomocí SSL. Očekávány jsou znalosti jazyka C.

„Steganografie – umění okultního písma“ se zabývá ukrytím informací tak, že je můžete vystavit a přesto je nemusí drtivá většina lidí nikdy najít, například uschováním do fotografie dítěte na klouzačce. Bohužel software, který používali autoři je určen pro MS Windows, ale naši čtenáři mohou Linuxový/BSD software najít v článku na portále Linux.com. Možná některá z galerií obrázků, které navštěvujete, ukrývá data, která nemáte vidět.

závěr

Magazín hakin9 je rozhodně kvalitním a zajímavým zdrojem informací o bezpečnosti a nejen to. Navíc spolu s ním dostanete bootovací CD, na kterém si můžete probíraná témata snadno vyzkoušet.

Časopis hakin9, jak se bránit s podtitulem Hard Core IT Security Magazine vychází, každé dva měsíce, má 82 stran a s přiloženým CD si ho můžete koupit za 199 Kč (359 Sk) např. v internetovém obchodě vydavatele, předplatit u distributora Send, či zakoupit v dobrých novinových stáncích.

Verze pro tisk

pridej.cz

 

DISKUZE

kamenny obchod 30.5.2007 21:12 starenka
  L Re: kamenny obchod 11.6.2007 17:02 Pavel Kácha




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

15.1.2018 0:51 /František Kučera

První letošní pražský sraz se koná již tento čtvrtek 18. ledna od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Vítáni jsou všichni příznivci svobodného softwaru a hardwaru, ESP32, DIY, CNC, SDR nebo dobrého piva. Prvních deset účastníků srazu obdrží samolepku There Is No Cloud… just other people's computers. od Free Software Foundation.


Přidat komentář

14.11.2017 16:56 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tradičně první čtvrtek před třetím pátkem v měsíci: 16. listopadu od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.11.2017 11:06 /Redakce Linuxsoft.cz
PR: 4. ročník odborné IT konference na téma Datová centra pro business proběhne již ve čtvrtek 23. listopadu 2017 v konferenčním centru Vavruška, v paláci Charitas, Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00. Konference o návrhu, budování, správě a efektivním využívání datových center nabídne odpovědi na aktuální a často řešené otázky, např Jaké jsou aktuální trendy v oblasti datových center a jak je využít pro vlastní prospěch? Jak zajistit pro firmu či jinou organizaci odpovídající služby datových center? Podle jakých kritérií vybrat dodavatele služeb? Jak volit součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně spravovat datové centrum? Jak eliminovat možná rizika? apod.
Přidat komentář

13.9.2017 8:00 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tentokrát netradičně v pondělí: 18. září od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

3.9.2017 20:45 /Redakce Linuxsoft.cz
PR: Dne 21. září 2017 proběhne v Praze konference "Mobilní řešení pro business". Hlavní tématy konference budou: nejnovější trendy v oblasti mobilních řešení pro firmy, efektivní využití mobilních zařízení, bezpečnostní rizika a řešení pro jejich omezení, správa mobilních zařízení ve firmách a další.
Přidat komentář

15.5.2017 23:50 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

16.1.2018 1:08 / Ivan Pittner
verejna ip od o2 ubuntu

15.1.2018 17:26 / Mira Harvalik
Re: Jak udělat HTML/Javascript swiping gallery do mobilu?

30.12.2017 20:16 / Michal Knoll
odmocnina

31.8.2017 12:11 / Jaromir Obr
Re: ukůládání dat ze souboru

30.7.2017 11:12 / Jaromir Obr
Národní znaky

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2018) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze