Ostatnio mam trochę więcej innych zajęć niż zwykle, więc jeszcze nie jestem w stanie podać dat kolejnych livestreamów (choć po cichu liczę, że uda się coś w ciągu tygodnia zrobić). W związku z tym niniejsza "garść" newsów sprowadzi się w zasadzie jedynie do informacji o nowym, niejako jubileuszowym (50), numerze magazynu Programista, w którym jest kilka niezłych perełek, jak i również j00ru i mój artykuł o współczesnym fuzzingu.

Oryginalny konkurs z robotem w SVG
Pierwszy w oczy rzuca się techniczny i do tego całkiem oryginalny konkurs przygotowany przez xa (Sebastiana Rosika, tj. tego pana, z którym ostatnio przez 16 godzin robiliśmy grę; tj. on robił grę, a ja robiłem race conditiony). Konkurs dotyczy robota z okładki, który, jak się okazuje, w wersji na pewnej stronie jest programowalny via prosty RPC oparty na postMessage między ramkami. Konkurs polega na oprogramowaniu ruchów robota w taki sposób, by przeniósł wieżę Hanoi na prawy stos.

Ciekawe są również nagrody - top1 otrzymuje gift card na amazon.co.uk o wartości 100 GBP, roczną prenumeratę Programisty oraz książkę Sebastiana - "HTML5 Komponenty". Dla kolejnych dwóch miejsc przewidziane są prenumeraty Programisty - kolejno, papierowa i elektroniczna. Interesujące są również kryteria oceny (m.in. czytelność kodu czy płynność ruchów robota). Prace można nadsyłać do 1.10 (EDIT 2: jednak data nadal nie była poprawna; teraz już jest na 100% tak jak w regulaminie konkursu - przepraszam za zamieszanie), a potem zostaną ocenione przez trzyosobowe jury (full-disclosure: w którego składzie m.in. jestem ja).

W każdym razie, szczegóły API i konkursu są na stronach 4-6.

Artykuły
Jeśli chodzi o same artykuły, to wymienię kilka, które są zgodne z tematyką mojego bloga:

 
• "Nowy gracz, czyli ARMv8 z lotu ptaka" by Wojciech Macek. Czyli ARMv8 z lotu ptaka. Trudno mi coś dodać.
• "Zaciemnianie kodu, czyli jak eing6atya9zcću$indź@urtu" by Ariel "ariel" Wasteskeen oraz Michał "Z" Żuberek. Świetny 14-stronnicowy art z wprowadzeniem do obfuskacji x86 panów z bardzo dobrego polskiego teamu CTFowego Snatch The Root. Zdecydowanie polecam osobom zainteresowanym RE.
• "Fuzzing" by Mateusz "j00ru" Jurczyk oraz Gynvael Coldwind. Pamiętacie mój livestream o fuzzingu? Artykuł w zasadzie zaczyna omawianie tematu tam gdzie ja skończyłem, czyli skupia się na współczesnych metodach, które stosuje się przy wyszukiwaniu błędów tym podejściem. Dodam, że artykuł jest raczej teoretycznym omówieniem stosowanych w praktyce podejść; wyszło nam 10 stron.
• "Skarbiec w obłokach. Bezpieczne przechowywanie kluczy w Microsoft Azure" by Marcin Hoppe. Tytuł jest dość opisowy, więc dorzucę tylko, że warto ten art przeczytać, w szczególności, jeśli jest się przyzwyczajonym do trzymania haseł/kluczy/sekretów w kodzie źródłowym.
• "Jak w prosty sposób zwiększyć bezpieczeństwo aplikacji webowej" by Michał bentkowski. Krótki artykuł o współcześnie stosowanych dodatkowych "nagłówkach" HTTP.
• "Confidence CTF 2016 - Blackbox" by Jarosław Jedynak, Adam Krasuski z jednego z najlepszych polskich teamów CTFowych - p4. Jeśli byliście na moim 16-godzinnym streamie, to na jednej z sesji Q&A odpowiadałem na pytanie o najtrudniejsze zadanie CTFowe jakie rozwiązywałem. Opisałem tam PWN500, które de facto polegało na zrewersowaniu "kernela" systemu opartego na nieznanej architekturze, gdzie do dyspozycji mieliśmy dostęp do prostego ale obfitego w potrzebne narzędzia shella. Wspomniałem również, że na którymś CTFie Redford z naszego teamu dostał podobne zadanie, przy czym do dyspozycji miał tylko plik wykonywalny aplikacji (również opartej na nieznanej architekturze), ale już bez możliwości jego uruchomienia - musiał więc od zera, mając jedynie "zimny" plik binary, rozkodować architekturę, zrewersować aplikację a następnie (wspólnie z q3k) znaleźć błąd i go wyexploitować (co btw się im udało). Oczywistym jest, że po czymś takim na naszym kolejnym CTFie również pojawiło się zadanie tego typu :) Był to właśnie stworzony przez mak'a RE500 "Blackbox", rozwiązany podczas turnieju m.in. przez p4. Zdecydowanie polecam ten hardcore'owy artykuł :)

Jest też oczywiście kilka innych artykułów - cały numer ma niecałe 90 stron. Pełen spis treści jest na stronie wydawcy.

Podsumowując - imo wyszedł bardzo dobry numer i warto po niego sięgnąć. Jest masę fajnych artykułów z niskopoziomowych działek.

I tyle ;)

Full-disclosure: to nie jest post sponsorowany - na moim blogu takich nie ma; ale, trochę współpracuje / znam się z ekipą Programisty, więc mogę być delikatnie stronniczy ;)