Monday, February 7. 2011
Dość dawno temu popełniłem kilka wpisów dotyczących TrueCrypt, między innymi wpis W poszukiwaniu kontenera TrueCrypt. Pokazałem w nim, że teoretycznie istnieje możliwość znalezienia kontenera TrueCrypt nawet wówczas, gdy informacja o jego lokalizacji została utracona. Szansa powodzenia jest dość duża w przypadku, gdy plik (kontener) znajduje się w jednym kawałku. Problem zaczyna się wówczas, gdy plik jest sfragmentowany. Dziś chciałem pokazać nieco inny scenariusz odzyskiwania kontenera, tym razem z wykorzystaniem pozostałości $Mft.
Do tematu wracam, bo w ciągu kilku ostatnich dni pojawiły się dwa pytania o możliwość odzyskania utraconego kontenera TrueCrypt, jedno z nich w komentarzu do starszego wpisu, drugie - mailem.
Ciąg dalszy "Odzyskiwanie kontenera TrueCrypt II" »
Saturday, February 5. 2011
Eben-Emael czy Linia Maginota się nie sprawdziły. Bo druga wojna światowa nie była taka, jak ta pierwsza. Mówi się, że "generałowie przygotowują swoje armie do wojny, która już była". Mam czasem wrażenie, że podobne zachowania w zakresie bezpieczeństwa, nie tylko bezpieczeństwa IT, również nie są niczym niezwykłym...
Tuesday, February 1. 2011
Takie nawiązanie do wpisu Jak bardzo można ufać swojemu oprogramowaniu?, w szczególności do jednego z komentarzy, jego fragment:
(...) Z punktu widzenia użytkownika lepsza jest sytuacja z wykryciem i naprawieniem błędów "hurtowo" - dłużej używa bezpieczniejszego softu. (...)
Wiele razy powtarzałem, że bezpieczeństwa nie buduje się przez przyklejanie łatek. Zastanawiałem się jaką wykorzystać analogię by obrazowo wytłumaczyć dlaczego. Chyba w końcu mam pomysł - nasze wspaniałe drogi!
Ciąg dalszy "Łatanie dziur to nie wszystko" »
Sunday, January 30. 2011
Był sobie przykład, takie wyzwanie. Żył sobie spokojnie, aż przyszedł ^koto, miał trochę zabawy i go zmiażdżył :) Gratulacje! Przy okazji warto polecić blog Krzyśka, przypomnieć o projekcie XSS-Track (brał udział w Top Ten Web Hacking Techniques of 2010 ) i o szkoleniu Hacking HTML5 jego autorstwa.
Dla porządku trzeba odnotować również dwa wcześniejsze raporty, których autorem jest Ice. Zainteresowani walką z tym przykładem (można kopać leżącego) mogą również skorzystać z pierwszego pakietu wskazówek, które udostępniłem w ramach wyjaśnień. Myślę, że takich pakietów pojawi się jeszcze kilka.
Czy będzie kolejna wersja tego zadania? Przypuszczam, że tak. To, że błędy zostały zaraportowane wcale nie znaczy, że w kolejnej wersji wszystkie muszą być poprawione skutecznie :)
EDIT: How to get SQL query contents from SQL injection flaw
Wednesday, January 26. 2011
Liga broni, liga radzi, liga nigdy cię nie zdradzi!
Tak się zastanawiam ile osób zostało obrobionych w trakcie czytania tego komunikatu...
