Wystawca certyfikatów – CA w OpenSSL

Infrastruktura PKI jest bardzo ważnym elementem systemów bezpieczeństwa. Szczególne znaczenie ma w Internecie. Certyfikaty dla stron WWW powinny być podpisane przez wystawców, których certyfikaty są zaufane w popularnych przeglądarkach internetowych. Niemniej jednak taki certyfikat kosztuje i do celów testowych dobrze jest stworzyć własne CA. Może ono też posłużyć w niewielkiej infrastrukturze PKI nie związanej z Internetem. W tym poście pokażę jak stworzyć własne CA przy pomocy OpenSSL, oraz podpisać nim certyfikaty. Read more

Google hack na home.pl

Swego czasu redaktorzy portalu hack.pl znaleźli lukę polegającą na tym, że metodą http brute force można było dostać się do stron statystyk serwisów korzystających z serwerów home.pl Zrobiła się z tego niemała awantura. Nawet była sprawa w prokuraturze bo włamali się przy jej pomocy na stronkę MEN. Tutaj jest opis całej historii wraz z sposobem wykorzystania luki: krytyczna luka w home.pl

Obserwowałem te relacje uważnie zwłaszcza, że wtedy miałem konto na home.pl. “Zabezpieczenie” luki przez home.pl jest żenujące. Zmienili adresy z statsXXX na statsMD5. Najprawdopodobniej niby losowy ciąg jest sumą MD5 z jakiś danych użytkownika i być może poprzedniego xxx (z czego nie udało mi się jeszcze ustalić, ale może
jest to do ustalenia). Czyli na przykład statsff7d26270065e8a3c0d3e2a11face882.
Ale problem jak takie urle znaleźć. Sposób jest banalny. Read more

Historia obejścia zabezpieczeń HD-DVD (AACS)

Wraz z wprowadzeniem standardów HD-DVD i Blu-Ray został wprowadzony nowy sposób zabezpieczania zawartości na krążkach. Wielkie koncerny wydały miliony dolarów na jego wdrożenie a prace nad nim trwały wiele miesięcy. Mowa o AACS (Advanced Access Content System) należący do grupy systemów DRM (Digital Rights Management).
Zgodnie z jego specyfikacją odtwarzanie danych z płyt korzystających z AACS miało być możliwe tylko przy pomocy sprzętu i oprogramowania wyprodukowanego przez producenta, który podpisał umowę licencyjna z twórcami standardu. Standard przewiduje uniemożliwienie odtwarzania nowych płyt przez urządzenia, które zostałyby skompromitowane. Daje również producentom płyty możliwość zablokowania jej odtwarzania w przypadku, gdyby była masowo klonowana. Read more

Scena wyłączania elektrowni przez Trinity w Matrix

Pod koniec listopada zeszłego roku w PC World Computer (oraz także w gazeta.pl) ukazał się artykuł o największych komputerowych nonsensach w filmach. Artykuł był na raczej niskim poziomie. Pomijając dziwne stwierdzania nim zawarte zbulwersowała mnie jedna rzecz. Autor próbował napiętnować scenę hackowania elektrowni przez Trinity w Matrix Reloaded. Mało ważne jest to, że autor nie bardzo rozumie co się działo w tej scenie pisząc między innym, że

W “Matrix: Reaktywacja” Trinity włamuje się do komputera elektrowni za pomocą podobnie prostego ciągu “Z1ON0101″

myśląc, że zgadła hasło.

Moim zdaniem wspomniana scena jest jedną z nielicznych scen w filmach opisującą realny i dosyć spójny scenariusz włamania. Read more