LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Hakin9 5/2005 (12)

V aktuálním čísle Hakin9u, hard core IT security magazine, se tentokrát dozvíte mj. o DNS cache poisoningu, bezpečnosti VoIP a Java VM. Na závěr je připojen rozhovor s Danem J. Bernsteinem.

14.9.2005 06:00 | Ondřej Čečák | Články autora | přečteno 8046×

Obálka Hakin9 #12

Haking, jak se bránit (v l33t Hakin9) je polský mezinárodní časopis, který v současné době vychází v 7 jazycích a v papírovém vydání ve více než 18 zemích světa. Je vydáván společností Software-Wydawnictvwo Sp. z o.o. a do češtiny je překládán (nejspíše z polštiny; jako překladatelé jsou v čísle pro září/říjen uvedeni Stanislav Gráf, Jan Gregor, Jaroslav Luger, Nina Sajdoková, Svatopluk Vít, Lubomír Peterek, Luděk Vašta a jako korektor je uveden David Kredba).

Obsah čísla

Obsah čísla je nově rozdělen do více sekcí (což bude změna k lepšímu, protože minulé dělení nebylo úplně optimální a některé články se hodily do více z nich).

  • Úvodní rubriky
    • Editorial, obsah
    • Ve zkratce
    • hakin9.live – Obsah CD
    • Nástroje – PortSentry, Tor
  • Téma čísla
    • Pharming – DNS cache poisoning
  • Novinky
    • Bezpečnost VoIP – protokoly SIP a RTP
  • Praxe
    • Elektronický podpis bez poplatků
  • Techniky
    • Útoky využívající mezery v bezpečnostním modelu Java VM
    • Pokročilé techniky SQL Injection
  • Programování
    • Optimalizace shell kódu v Linuxu
  • Rozhovor
    • Špatné nástroje produkují špatný software (Rozhovor s Danem J. Bernsteinem)
  • závěrečné rubriky
    • Fejeton
    • V příštím čísle mimo jiné najdete

Podrobněji k obsahu čísla

Aktuální číslo magazínu hakin9 má sice nově přerozdělené rubriky, ale úvod je stejný. Editorial šéfredaktora Romana Poleska je tentokrát zaměřený na hrubé popsání obsahu časopisu, tedy především na jeho stěžejní část, která se týká DNS a tak trochu souvisí s rozhovorem s DJB.

V sekci Ve zkratce si přečtete krátké i delší novinky, převážně na téma bezpečnost, ze kterého vybočuje jenom krátký článek o odmítnutí patentů Evropským parlamentem. Velká část novinek se také věnuje phishingu.

Dále se dostáváme k CD, které je vlepeno na tentokrát docela zajímavém obrázku (White's Electrine Burning Oil). Na CD je jako vždy hakin9.live (verze 2.6-ng), live distribuce Linuxu s bezpečnostními nástroji a především programy a technikami probíranými v článcích, takže si můžete představenou látku snadno a rychle vyzkoušet. Zvlášť je zdůrazněn nástroj Safeboot, program pro nastavování bezpečnosti počítačů v síti. CD také obsahuje aktualizované dokumenty RFC, pár knih v PDF a HTML zdarma, tutoriály a některé nepublikované články.

Nepřijdete ani o představení dvou bezpečnostních nástrojů – PortSentry a Tor. PortSentry je nástroj pro automatickou detekci skenování portů a je určen pouze pro Linux (resp. unixové systémy), zatímco Tor, anonymní SOCKS proxy, funguje jak na Linuxu (unixech), tak na Windows – proto je popsán rychlý start jak pro Linux, tak pro Windows.

Tématem aktuálního čísla jsou útoky typu cache poisoning na DNS, umožňující pharming. Pharming je zvláštním typem phisingu (do češtiny někdy překládáno výstižně jako rhybaření), ve kterém jde typicky o podstrčení falešných stránek uživateli tak, aby prozradil nějakou tajnou informaci, kterou pak půjde podle potřeby zneužít (např. autentizační údaje k bankovnímu účtu). V článku je pak popsána technika, díky které je možné některé DNS servery přesvědčit, aby posílaly klientům jako odpověď na překlad jména nesprávnou IP, která může vést na útočníkovi stránky (tipuji, že 99,9 % uživatelů neověřuje certifikát a URI, takže toto může vést snadno k útočníkově cíli). Zmíněn je také birthday attack, který využívá tzv. narozeninového paradoxu a útoky na DNS znatelně usnadňuje. Po popsání technik je proveden test na servery s BIND verze 8 a 9, djbdns a DNS klienti Windows 2000 a XP. Na závěr je popsáno několik základních věcí, které z pohledu serveru umožňují obranu před DNS cache poisoningem.

Jako Novinka je uveden popis bezpečnosti VoIP se zaměřením na protokoly SIP a RTP. Popsány jsou útoky SIP/ARP, útoky vedoucí ke zcizení identity a registrace a DoS (Denial of Service, "odepření služby"). Také jsou představeny techniky umožňující přerušení hovoru, phreaking (víceméně teoreticky popisuje možnosti podvedení alespoň jedné ze stran; později se také dostane na staré dobré dialery – programy, "vytáčející" různá čísla) a také SPIT (spamování přes VoIP).

Rubrika Praxe obsahuje článek s názvem elektronický podpis bez poplatků, který představuje možnost asymetrického šifrování elektronické pošty pomocí PGP/GPG. Pěkně je popsaná Thawte Web of Trust, která umožňuje určité ověřování důvěryhodnosti veřejných klíčů. Spolu s tím je teoreticky popsán celý proces vzniku certifikátu, ověřování, zneplatňování a také podepisování. Na závěr je ukázáno, že i když technické řešení funguje skvěle, na druhém konci bývá obvykle jenom člověk, takže elektronický podpis není samospasitelný (ostatně jako většina bezpečnostních technologií).

O útocích, které využívají mezery v bezpečnostním modelu Java VM, se dozvíte v sekci Techniky. V rozsáhlém článku plném schémat, tabulek a oddělených odstavců se naučíte, jak tento bezpečnostní model vlastně funguje a jak využít některých slabin ve svůj prospěch. Docela zajímavé je také zmínění techniky, která využívá odhadu probíhajících výpočtů podle odebírané energie nebo také použití alfa nebo infračerveného záření tak, aby došlo k chybě v paměti.

Tím ale představení technik nekončí, protože dále jsou popsány pokročilé techniky typu SQL Injection, za které se považuje útok na syntaxi dotazu, útok na syntaxi jazyka a útok na logiku dotazu. Každé z těchto témat je bohatě popsáno, včetně příkladů. Na závěr článku je také pár obecných doporučení, jak takovým útokům předcházet.

Programátorům je tentokrát určen rozsáhlý tutoriál na optimalizaci shell kódu v Linuxu – totiž jeho zmenšení a úpravy přechodem na assembler a využití několika triků při práci s ním.

Téměř na závěr časopisu je umístěn rozhovor s poněkud kontroverzním, leč rozhodně velice zajímavým člověkem – s Danem J. Bernsteinem (DJB), který je mj. autor programů jako jsou qmail, djbdns a další. Otázky v interview se točí především kolem bezpečnosti programů (a jejich vývoji, který s tím souvisí) a samozřejmě vzhledem k hlavnímu tématu časopisu také kolem DNS.

Na závěr je jako tradičně fejeton, který je tentokrát na téma "faktor informovanosti uživatele" (tedy slabosti lidského faktoru).

Závěr

Magazín hakin9 je rozhodně kvalitním a zajímavým zdrojem informací o bezpečnosti. Navíc spolu s ním dostanete bootovací CD, na kterém si vše probírané můžete snadno vyzkoušet.

Časopis hakin9, jak se bránit s podtitulem Hard Core IT Security Magazine vychází každé dva měsíce, má 80 stran a s přiloženým CD si ho můžete koupit za 199 Kč (359 Sk) např. v Linux CD Shopu nebo v internetovém obchodě vydavatele.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

13.9.2017 8:00 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tentokrát netradičně v pondělí: 18. září od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

3.9.2017 20:45 /Redakce Linuxsoft.cz
PR: Dne 21. září 2017 proběhne v Praze konference "Mobilní řešení pro business". Hlavní tématy konference budou: nejnovější trendy v oblasti mobilních řešení pro firmy, efektivní využití mobilních zařízení, bezpečnostní rizika a řešení pro jejich omezení, správa mobilních zařízení ve firmách a další.
Přidat komentář

15.5.2017 23:50 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

1.5.2017 20:31 /Pavel `Goldenfish' Kysilka
PR: 25.5.2017 proběhne v Praze konference na téma Firemní informační systémy. Hlavními tématy jsou: Informační systémy s vlastní inteligencí, efektivní práce s dokumenty, mobilní přístup k datům nebo využívání cloudu.
Přidat komentář

15.4.2017 15:20 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě IoT a radiokomunikace? Přijď na sraz spolku OpenAlt, který se bude konat ve středu 19. dubna od 18:30 v Šenkovně (Sokolská 60, Praha 2).
Přidat komentář

5.3.2017 19:12 /Redakce Linuxsoft.cz
PR: 23. března proběhne v Praze konferenci na téma Cloud computing v praxi. Hlavními tématy jsou: Nejžhavější trendy v oblasti cloudu a cloudových řešení, Moderní cloudové služby, Infrastruktura současných cloudů, Efektivní využití cloudu, Nástrahy cloudových řešení a jak se jim vyhnout.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

18.9.2017 14:37 / Rojas
high security vault

15.9.2017 7:33 / Wilson
new zealand childcare jobs

31.8.2017 12:11 / Jaromir Obr
Re: ukůládání dat ze souboru

30.7.2017 11:12 / Jaromir Obr
Národní znaky

27.7.2017 12:24 / Jaromir Obr
Cteni/zapis

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze