Czerwiec i lipiec przyniosły ze sobą dwa nowe numery magazynu Hakin9. Kontynuując część tematów z poprzedniego wydania oraz poruszając tym razem kwestie nie tylko specjalistyczne, ale także patrząc z czysto praktycznego punktu widzenia użytkownika różnorodnych urządzeń są one ciekawymi pozycjami dla wszystkich pasjonatów i hobbistów aspektów wirtualnego świata.

W czerwcu poznajemy iPhone’a 3G!

Tematem czerwcowego wydania jest artykuł o jakże wymownym tytule – “Hakowanie iPhone 3G”. Modny zwrot, słowo na czasie. Czy jednak o tym jest ten tekst?

W dzisiejszych czasach wydaje się, że należałoby ostrożnie używać odmian określenia “hacking”. Bez problemu można dostrzec, że w ramach jak dziedziny informatyczne pogłębiają się do coraz większej ilości czynności można by było dopasować tą regułę. Tak samo zrobił autor i moim zdaniem niesłusznie. Nie można przecież przedstawienia historii, doświadczeń związanych z użytkowaniem, specyfiki polityki producenta, czy kilku słów o jailbreakingu nazwać hakowaniem. To tak jakby osobę która nauczyła się wykorzystywać pewne typy gotowych exploitów nazwać hakerem…

Jeżeli pominiemy kwestię przerostu tytułu nad treścią i spojrzymy na opis jakoby na pewnego typu recenzję smartphone’a skierowaną dla laików to jest ona przyzwoita. Dowiemy się z niej jakie są wady i zalety iPhone’a, jakie są jego parametry, na czym polega jego zależność od iTunes i wreszcie kierując się odrobinę w stronę ciemnej strony mocy będziemy mieć sposobność poznać na czym polega programowanie aplikacji pod to urządzenie, oraz czym jest wspomniany już jailbreaking. Wszystko niestety w większości oparte na teorii. Obrazując sobie jednak całe przemyślenia twórcy możemy się jednak zastanawiać, czemu znany iPhone, a nie coś bardziej specyficznego?

Wirusy w Linuksie, niemożliwe? A jednak…

Gdybym miał zrobić krótki test w którym na zadane słowo odpowiadający mieliby podać kojarzący się im z nim system operacyjny to odpowiedzi mogłyby być dwie. Martwa cisza – to wśród tych którzy pogubiliby się już na znaczeniu wyrazów znajdujących się pomiędzy “s” i “y”. I druga – Windows. Nikt jednak za pewnie nie rzuciłby na pierwszą flankę Linuksa…

Systemu operacyjnego który pomijając kwestię zabezpieczeń samych w sobie jest mniej popularny niż wspomniany już twór prosto z otchłani Redmond. To za to niesie za sobą pewną proporcjonalną zależność. A mianowicie ilość wszelkiej maści robaków, elektronicznych zagrożeń jest stosunkowo niższa z racji tego, że potencjalnym twórcom mniej opłaca się ich pisanie. Co nie znaczy oczywiście, że się takowych napisać nie da. Grzegorz Niewisiewicz w oparciu o Asembler IA32 wyjaśnia problematykę funkcjonowania wirusów w tym środowisku, strukturę plików wykonywalnych ELF, kieruje nas czego możemy się spodziewać, a na co nie mamy liczyć w systemie oraz prezentuje mechanizm infekcji wraz z analizą plików wykonywalnych. Wszystko po to, aby wprowadzić czytelnika w tajniki tej niełatwo spotykanej problematyki i konkludując ją kodem przykładowego wirusa.

Szczególnie dla osób nie operujących biegle systemami uniksopodobnymi tekst ten nie będzie prosty. Dla każdego jednak kto pasjonuje się programowaniem i nie zdawał sobie wcześniej sprawy z tego jak ugryźć ten temat na pewno będzie to jednak nie lada gratka…

Web atak kradnący kliknięcia z witryny – clickjacking

Pojęcie wykorzystane w nagłówku tego paragrafu określa rodzaj ataku dzięki któremu haker może przejąć kliknięcia użytkownika i wykorzystać je np. w celu zwiększenia zarobków na reklamach. Nie jest to oczywiście jedyna możliwość ich użycia. Nie zmienia to faktu, że na pierwszy rzut oka problem wydaje się błahy. Czy na pewno?

To właśnie stara się wytłumaczyć autor tekstu. Opisując tło historyczne zaznacza, że dziś samym w sobie problemem tego ataku jest brak konkretnego zabezpieczenia przed nim. Wiąże się to z implementacją standardów CSS i HTML w przeglądarkach internetowych oraz trudnością w rozpoznaniu, czy dany kod jest na pewno groźny. Tak, może to dziwić, ale problem dotyczy właśnie języków odpowiedzialnych za tworzenie struktury strony i jej stylowanie. A dokładniej elementów pływających ramek oraz atrybutów przezroczystości i tworzenia warstw (z-index) w arkuszu stylów. W artykule znajdziemy rzeczowe tłumaczenie problemu, przykład tworzenia takowego ataku oraz ostatecznie pośrednie metody zabezpieczania się.