Monday, January 18. 2010
Co prawda dzieliłem się już tymi wpisami, ale co tam:
Tym razem zadanie jest dość "proste", chodzi(ło) o odzyskanie utraconego pliku (JPEG), w którym zapisany był bardzo istotny numer konta. Namierzenie nagłówka pliku nie nastręczało wielu problemów, dość szybko jednak okazywało się, że plik jest zapisany w kilku fragmentach i... No właśnie, nie miałem cierpliwości "składać" tego pliku do kupy, choć zadanie to jest zdecydowanie łatwiejsze niż ewentualne odzyskiwanie kontenera TrueCrypt w przypadku podobnej awarii.
Mądrości ludowe mają to do siebie, że często rozmijają się z rzeczywistością. Jedna z takich mądrości, która wraca przy każdym błędzie w Internet Explorer jest "zalecenie", by nie używać tej przeglądarki. Ja do korzystania z Internet Explorer nikogo zachęcać nie zamierzam, sam korzystam z Firefox. Nie podoba mi się natomiast przeświadczenie, że używanie innej niż Internet Explorer przeglądarki zapewnia bezpieczeństwo.
Ciąg dalszy "Nie używasz Internet Explorer? No i co z tego..." »
Saturday, January 16. 2010
Taka straszna pandemia miała być. Tyle ofiar śmiertelnych. Wielka afera, że rząd nie kupił szczepionek i... Nic. Okazuje się, że teraz większy problem będą miały te kraje, które szczepionki kupiły i teraz im niewykorzystane (ach ci niedobrzy obywatele, szczepić się nie chcieli) zalegają... Zwycięskie będą media, które najpierw nakręcały panikę pod hasłem świńska grypa lub nowa grypa, a teraz będą mogły demaskować spiski złych koncernów farmaceutycznych. Ech...
Friday, January 15. 2010
Nie będę się rozpisywał na temat tego, jak Google zostało skutecznie zaatakowane przy pomocy nowego błędu w Internet Explorer (CVE-2010-0249). Jeśli ktoś ma ochotę poczytać na ten temat, może zrobić to na przykład tu: Techniczne szczegóły ataku na Google. Ja tylko jeszcze raz chciałem podkreślić, że napisanie absolutnie bezpiecznej przeglądarki jest praktycznie niemożliwe. Dlatego należy stosować tak wiele środków zaradczych, jak to jest tylko możliwe. Wówczas jest szansa, że skutki wykorzystania podatności będą ograniczone.
Ciąg dalszy "IE zero-day: Aurora czyli CVE-2010-0249" »
Po wczorajszym spotkaniu OWASP chciałem zwrócić uwagę na fragment wypowiedzi Piotra Łaskawca z prezentacji dotyczącej fuzzingu i fuzzerów. Powiedział on mniej więcej tyle, że w procesie tworzenia oprogramowania (konkretnie podczas jego testowania) firma, w której pracuje wykorzystuje fuzzing. Kluczowy fragment jest jednak inny. Wykorzystywane fuzzery są tworzone specjalnie pod testowane aplikacje, bo tworzone aplikacje są na tyle specyficzne, że "standardowe" fuzzery sobie z nimi nie radzą.
Ciąg dalszy "Po spotkaniu OWASP - fuzzery" »
