Google hack na home.pl

Swego czasu redaktorzy portalu hack.pl znaleźli lukę polegającą na tym, że metodą http brute force można było dostać się do stron statystyk serwisów korzystających z serwerów home.pl Zrobiła się z tego niemała awantura. Nawet była sprawa w prokuraturze bo włamali się przy jej pomocy na stronkę MEN. Tutaj jest opis całej historii wraz z sposobem wykorzystania luki: krytyczna luka w home.pl

Obserwowałem te relacje uważnie zwłaszcza, że wtedy miałem konto na home.pl. “Zabezpieczenie” luki przez home.pl jest żenujące. Zmienili adresy z statsXXX na statsMD5. Najprawdopodobniej niby losowy ciąg jest sumą MD5 z jakiś danych użytkownika i być może poprzedniego xxx (z czego nie udało mi się jeszcze ustalić, ale może
jest to do ustalenia). Czyli na przykład statsff7d26270065e8a3c0d3e2a11face882.
Ale problem jak takie urle znaleźć. Sposób jest banalny. Read more

Pobieranie typu klucza z pustej EnumMap

Klasa java.util.EnumMap jest bardzo wydajną implementacją java.util.Map dla wyliczeń. Jest wydajna dlatego, że hasze dla kluczy są wartościami porządkowymi instancji danego wyliczenia. Dokładniej jej implementacja przechowuje wartości w tablicy obiektów a indeksy to wartości porządkowe wyliczeń. W metodzie get możemy znaleźć taki kod:

vals[((Enum)key).ordinal()]

służący do pobierania wartości z tablicy vals dla klucza key. Żeby miało to sens (aby uniknąć powtarzania się kluczy) jeden obiekt typu EnumMap musi mieć klucze będące obiektami tego samego wyliczenia. Mechanizm typów generycznych nie wystarczy do zapamiętania typu klucza bo informacje o typach generycznych są wymazywane podczas kompilacji. Read more

Historia obejścia zabezpieczeń HD-DVD (AACS)

Wraz z wprowadzeniem standardów HD-DVD i Blu-Ray został wprowadzony nowy sposób zabezpieczania zawartości na krążkach. Wielkie koncerny wydały miliony dolarów na jego wdrożenie a prace nad nim trwały wiele miesięcy. Mowa o AACS (Advanced Access Content System) należący do grupy systemów DRM (Digital Rights Management).
Zgodnie z jego specyfikacją odtwarzanie danych z płyt korzystających z AACS miało być możliwe tylko przy pomocy sprzętu i oprogramowania wyprodukowanego przez producenta, który podpisał umowę licencyjna z twórcami standardu. Standard przewiduje uniemożliwienie odtwarzania nowych płyt przez urządzenia, które zostałyby skompromitowane. Daje również producentom płyty możliwość zablokowania jej odtwarzania w przypadku, gdyby była masowo klonowana. Read more

Scena wyłączania elektrowni przez Trinity w Matrix

Pod koniec listopada zeszłego roku w PC World Computer (oraz także w gazeta.pl) ukazał się artykuł o największych komputerowych nonsensach w filmach. Artykuł był na raczej niskim poziomie. Pomijając dziwne stwierdzania nim zawarte zbulwersowała mnie jedna rzecz. Autor próbował napiętnować scenę hackowania elektrowni przez Trinity w Matrix Reloaded. Mało ważne jest to, że autor nie bardzo rozumie co się działo w tej scenie pisząc między innym, że

W “Matrix: Reaktywacja” Trinity włamuje się do komputera elektrowni za pomocą podobnie prostego ciągu “Z1ON0101″

myśląc, że zgadła hasło.

Moim zdaniem wspomniana scena jest jedną z nielicznych scen w filmach opisującą realny i dosyć spójny scenariusz włamania. Read more