Hakin9 - 2/2007

Dnes už je jisté, že v tomto roce se slibovaných dvanácti čísel časopisu Hakin9 nedočkáme. Druhé číslo totiž vychází dva měsíce po předchozím, což znamená, že i letos se budeme muset smířit s „pouhými“ šesti čísly, stejně jako tomu bylo v předchozích letech. Díky tomu si však jednotlivá čísla jistě udrží stejnou kvalitu, na jakou jsme zvyklí.

V tomto čísle si pro nás autoři připravili opět spousty zajímavých článků, o kterých se blíže rozepíši níže a CD s live distribucí Linuxu nabyté jako vždy množstvím zajímavých aplikací, z nichž namátkou uvedu

• Oleansoft hidden kamera 250x1 – elektronický pozorovací systém desktopu, který nabízí mnžství zajímavých funkcí
• Axigen mail Server Lite Edition kit – snadno integrovatelný SMTP/POP/IMAP a Webmail server
• Dekart Password carrier – aplikace sloužící jako ochrana proti phishingu, keyloggerům ä jiným nebezpečím, která nás mohou potkat při logování na webových stránkách
• Dekart Private Disk Multifactor – 30tidenní trial verze software k šifrování vašich dat
• Softlogica Backup Platinum 3.0 – demoverze programu pro bezpečné zálohování důležitých dat
• Na CD se dále nachází kvalitní kurz na certifikát CISCO CCNA, ve kterém si můžete v praxi vyzkoušet správu CISCO routeru.

V časopise na nás čekají články, které nám přiblíží nástroje

• Core Impact Penetration Trstiny – aplikace pro automatické provedení penetračního testu na Vaší síti. Oproti jiným aplikacím tohoto druhu je tento nástroj obohacen o sbírku exploitů, pomocí niž se snaží nabourat do systému a zahladit po sobě stopy. Vše poté komentuje v obsáhlém výsledku testu.
• WormRadar – freeware aplikace pro vytvoření vlastního honeypotu, díky němuž můžete sledovat aktuální nebezpečí šířící se sítí.

Mezi hlavní články tohoto čísla patří

• Útoky prostřednictvím stínového software, ve kterém se dozvíme o nebezpečí, které je podobné útokům prostřednictvím stínových serverů a phishingu. Dozvíte se, jak může útočník zaútočit na uživatele, bude-li provozovat věrnou kopii aplikace, se kterou běžně uživatel pracuje.
• Hackování Internet Exploreru je název článku, v němž nám autor přiblíží historii webových browserů a poukáže na jednotlivé zranitelnosti v Internet Exploreru. Mezi popisované techniky patří například CSSX-SS nebo-li Cascading Style Sheets Cross Site Scripting, pomocí něhož je veden ukázkový útok na Gogole Desktop. Druhý příklad pak ukazuje hackování Internet Exploreru pomocí přejímání kontroly nad filtrem kritických výjimek.
• Faktorizační útok na RSA je další z velmi zajímavých článků, který se zabývá kryptologií a poukazuje na silné stránky a slabiny šifrování RSA.
• Útok na Bluetooth, článek ve kterém je nám představena technologie bluetooth a slabiny v jejím zabezpečení. Dočtete se v něm například o zranitelnostech typu bluejacking, blueprinting, bluesnarf, bluebug, bluesmack, bluebump, bluedump, bluechop, car whisperer a worm.
• Útoky XSS, na toto téma toho bylo napsáno již opravdu hodně. Článek se věnuje zranitelnosti webových aplikací pomocí útoku cross site scripting. Naučíte se, jak otestovat zabezpečení vašeho webu a jak se proti tomuto útoku bránit.
• DDoS – Moderní metody útoku a obrany je dokumentem, který si klade za cíl, seznámit vás s moderními metodami útoků DoS a DDoS, které znemožňují oprávněným uživatelům přístup k informačním službám.

V části obrana jsou připraveny články

• Úvod do bezpečnosti databáze Oracle, který se zaměřuje na bezpečnost databázového serveru Oracle, jeho historii a architekturu. Dozvíte se jak ověřit jeho zabezpečení a jaké jsou metody obrany tohoto databázového serveru.
• Jak obejít ochranu zásobníku jádra 2.6, tento článek vznikl v souvislosti se stále častějším zneužíváním zranitelnosti přetečení bufferu. Ve článku nám jsou předvedeny metody, pomocí kterých je možné obejít ochranu jádra Linuxu verze 2.6 tak, abychom úspěšně zneužili zranitelnosti buffer overflow.

Na závěr čeká na čtenáře recenze knihy Kryptologie, šifrování a tajná písma, jejímž autorem není nikdo jiný než známý český kryptolog Pavel Vondruška.

Psaní závěru této recenze mě svádí k použití funkcí copy a paste, protože jej nebudu nijak odlišovat od závěrů, které jsem použil u předchozích recenzí. Obsah časopisu je jako vždy plný zajímavých textů, v nichž každý najde to své. Jediné, co mi čtení časopisu ztěžovalo, bylo jako vždy množství gramatických chyb a špatně přeložených vět, které dělají text chvílemi naprosto nečitelným. Jako vždy je však tento malý neduh naprosto zastíněn skvělým obsahem a mě nezbývá než toto číslo opět vřele doporučit.