Zgodnie z zapowiedzią podam wyniki eksperymentu, ale bez szczegółów odnośnie tego, do czego był mi on potrzebny.
Ciąg dalszy "Wyniki eksperymentu" »Wednesday, October 31. 2012
Saturday, October 27. 2012
Windows 8
Czasem bywa tak, że człowiekowi wpadnie do głowy jakiś pomysł. Jak wpadnie, to pół biedy. Gorzej, jeśli go zrealizuje. Mnie wczoraj wpadł pomysł by w końcu zmienić swojego wysłużonego Windows XP na Windows 8. Jak pomyślałem tak zrobiłem...
Nie, nie będę narzekał na system, bo prawdę mówiąc nawet mi się podoba. Mimo, że mój laptop jest dość leciwy, to nowy system nie działa wolniej niż XP. Jedyny problem to urządzanie się na nowo.
Monday, October 22. 2012
Eksperyment - prośba o pomoc
Raz na jakiś czas mam pomysł na eksperyment. Tak jest i tym razem, ale potrzebna mi Wasza pomoc.
Ciąg dalszy "Eksperyment - prośba o pomoc" »Saturday, October 20. 2012
Pozostałości po rekordzie w sqlite
Krótki(?) wpis w nawiązaniu do historii o uwierzytelnieniu w aplikacjach mobilnych i danych, które mogą wyciec z uwagi na wykorzystanie baz sqlite. Postanowiłem przeprowadzić prosty eksperyment - zapisać w bazie pewien rekord, a następnie zmodyfikować go na kilka sposobów:
- przez UPDATE,
- przez sekwencję INSERT, DELETE i VACUUM,
- przez sekwencję DELETE, INSERT i VACUUM,
W każdym z przypadków spróbuję znaleźć w systemie plików pozostałości tego rekordu. Tajna wartość brzmi tak:
MAGICPMQ00
Dodatkowe założenie - testy wykonywane na FAT32.
Ciąg dalszy "Pozostałości po rekordzie w sqlite" »Friday, October 19. 2012
Jak zepsuć uwierzytelnienie w aplikacji mobilnej?
Czasem zdarza mi się wystąpić na jakiejś konferencji. Z reguły jest tak, że na każdą taka okazję przygotowuję inna prezentację. Nie jest to zbyt efektywne podejście, ilość czasu poświęcona na przygotowanie prezentacji jest zdecydowanie większa, niż czas, przez który wykorzystuję otrzymany "produkt". By trochę poprawić sytuację, umieszczam treść (oczywiście nie słowo w słowo) prezentacji na blogu. Tym razem jest to prezentacja przygotowana na SecurityBSIDEs Polska (albo Warszawa, jak kto woli).
Przykłady podawane w tekście brane są z różnych aplikacji mobilnych, z którymi miałem do czynienia. Nie podaje ich nazw i nie demonstruję konkretnych podatności w konkretnej aplikacji. Raczej staram się dokonać uogólnienia i wykazać ogólne klasy problemów.
Całość dotyczy jednej z podstawowych funkcji bezpieczeństwa, czyli uwierzytelnienia użytkownika. Czy atakujący, który uzyska dostęp do urządzenia ofiary będzie w stanie ustalić jego dane uwierzytelniające i uzyskać dostęp do (jakiegoś) systemu?
Ciąg dalszy "Jak zepsuć uwierzytelnienie w aplikacji mobilnej?" »