Ostatnio mam trochę więcej innych zajęć niż zwykle, więc jeszcze nie jestem w stanie podać dat kolejnych livestreamów (choć po cichu liczę, że uda się coś w ciągu tygodnia zrobić). W związku z tym niniejsza "garść" newsów sprowadzi się w zasadzie jedynie do informacji o nowym, niejako jubileuszowym (50), numerze magazynu Programista, w którym jest kilka niezłych perełek, jak i również j00ru i mój artykuł o współczesnym fuzzingu.

Oryginalny konkurs z robotem w SVG
Pierwszy w oczy rzuca się techniczny i do tego całkiem oryginalny konkurs przygotowany przez xa (Sebastiana Rosika, tj. tego pana, z którym ostatnio przez 16 godzin robiliśmy grę; tj. on robił grę, a ja robiłem race conditiony). Konkurs dotyczy robota z okładki, który, jak się okazuje, w wersji na pewnej stronie jest programowalny via prosty RPC oparty na postMessage między ramkami. Konkurs polega na oprogramowaniu ruchów robota w taki sposób, by przeniósł wieżę Hanoi na prawy stos.

Ciekawe są również nagrody - top1 otrzymuje gift card na amazon.co.uk o wartości 100 GBP, roczną prenumeratę Programisty oraz książkę Sebastiana - "HTML5 Komponenty". Dla kolejnych dwóch miejsc przewidziane są prenumeraty Programisty - kolejno, papierowa i elektroniczna. Interesujące są również kryteria oceny (m.in. czytelność kodu czy płynność ruchów robota). Prace można nadsyłać do 1.10 (EDIT 2: jednak data nadal nie była poprawna; teraz już jest na 100% tak jak w regulaminie konkursu - przepraszam za zamieszanie), a potem zostaną ocenione przez trzyosobowe jury (full-disclosure: w którego składzie m.in. jestem ja).

W każdym razie, szczegóły API i konkursu są na stronach 4-6.

Artykuły
Jeśli chodzi o same artykuły, to wymienię kilka, które są zgodne z tematyką mojego bloga:
     
  • "Nowy gracz, czyli ARMv8 z lotu ptaka" by Wojciech Macek. Czyli ARMv8 z lotu ptaka. Trudno mi coś dodać.
  • "Zaciemnianie kodu, czyli jak eing6atya9zcću$indź@urtu" by Ariel "ariel" Wasteskeen oraz Michał "Z" Żuberek. Świetny 14-stronnicowy art z wprowadzeniem do obfuskacji x86 panów z bardzo dobrego polskiego teamu CTFowego Snatch The Root. Zdecydowanie polecam osobom zainteresowanym RE.
  • "Fuzzing" by Mateusz "j00ru" Jurczyk oraz Gynvael Coldwind. Pamiętacie mój livestream o fuzzingu? Artykuł w zasadzie zaczyna omawianie tematu tam gdzie ja skończyłem, czyli skupia się na współczesnych metodach, które stosuje się przy wyszukiwaniu błędów tym podejściem. Dodam, że artykuł jest raczej teoretycznym omówieniem stosowanych w praktyce podejść; wyszło nam 10 stron.
  • "Skarbiec w obłokach. Bezpieczne przechowywanie kluczy w Microsoft Azure" by Marcin Hoppe. Tytuł jest dość opisowy, więc dorzucę tylko, że warto ten art przeczytać, w szczególności, jeśli jest się przyzwyczajonym do trzymania haseł/kluczy/sekretów w kodzie źródłowym.
  • "Jak w prosty sposób zwiększyć bezpieczeństwo aplikacji webowej" by Michał bentkowski. Krótki artykuł o współcześnie stosowanych dodatkowych "nagłówkach" HTTP.
  • "Confidence CTF 2016 - Blackbox" by Jarosław Jedynak, Adam Krasuski z jednego z najlepszych polskich teamów CTFowych - p4. Jeśli byliście na moim 16-godzinnym streamie, to na jednej z sesji Q&A odpowiadałem na pytanie o najtrudniejsze zadanie CTFowe jakie rozwiązywałem. Opisałem tam PWN500, które de facto polegało na zrewersowaniu "kernela" systemu opartego na nieznanej architekturze, gdzie do dyspozycji mieliśmy dostęp do prostego ale obfitego w potrzebne narzędzia shella. Wspomniałem również, że na którymś CTFie Redford z naszego teamu dostał podobne zadanie, przy czym do dyspozycji miał tylko plik wykonywalny aplikacji (również opartej na nieznanej architekturze), ale już bez możliwości jego uruchomienia - musiał więc od zera, mając jedynie "zimny" plik binary, rozkodować architekturę, zrewersować aplikację a następnie (wspólnie z q3k) znaleźć błąd i go wyexploitować (co btw się im udało). Oczywistym jest, że po czymś takim na naszym kolejnym CTFie również pojawiło się zadanie tego typu :) Był to właśnie stworzony przez mak'a RE500 "Blackbox", rozwiązany podczas turnieju m.in. przez p4. Zdecydowanie polecam ten hardcore'owy artykuł :)
Jest też oczywiście kilka innych artykułów - cały numer ma niecałe 90 stron. Pełen spis treści jest na stronie wydawcy.

Podsumowując - imo wyszedł bardzo dobry numer i warto po niego sięgnąć. Jest masę fajnych artykułów z niskopoziomowych działek.

I tyle ;)

Full-disclosure: to nie jest post sponsorowany - na moim blogu takich nie ma; ale, trochę współpracuje / znam się z ekipą Programisty, więc mogę być delikatnie stronniczy ;)

Comments:

2016-09-02 13:30:53 = Z
{
"z wprowadzeniem do obfuskacji x86"
nie jestem pewny co do modyfikacji binarek (asm na pewno bedzie wygladal inaczej), ale czesc dotyczaca kompilatorow spokojnie dziala tez dla ARM-ow i dowolnych innych, gdzie tylko kompilator podola z wypluciem poprawnych hexow ;)
}
2016-09-02 16:42:26 = skirge
{
Coś ten programista zdominowany jest ostatnio przez jedną tematykę? A gdzie najpopularniejsze działanie "programistyczne" czyli budowa interfejsu do tabelki w bazie danych?
}
2016-09-02 17:43:44 = Gynvael Coldwind
{
@Z
+1

@skirge
Też chyba w okolicy tego było w spisie treści - po prostu wymieniłem to, co mnie osobiście ciekawi ;)
}
2016-09-02 20:19:54 = Bartosz Wójcik
{
Pierwszy numer, który od dawna mnie zainteresował :)
}
2016-09-02 22:27:51 = t.lo
{
Bartek, to olbrzymi zaszczyt dla nas ;)
}
2016-09-02 23:34:25 = Rashmistrz
{
A ja wciąż żałuję, że nie wygrałem
tego konkursu w którym można
było wygrać roczną prenumeratę...
}
2016-09-04 15:04:09 = duq
{
Ktoś mógłby podrzucić jakieś info o tym robocie z okadłki? Nie mogę na razie kupić gazety ale chciałbym zobaczyć co to za konkurs :P
}

Add a comment:

Nick:
URL (optional):
Math captcha: 1 ∗ 9 + 3 =