2023-08-07: My howto script Since I started my coding livestreams again there is one common question, which I wanted to address in this blogpost: what is this weird howto command I'm using?
And yes, that is just ChatGPT over API. It's actually a super simple Python script based on their examples. See for yourself: Read more... [ 3 comments ] |
2023-12-06: O rekompilacji i autorstwie z pociągami w tle UPDATE: Krótki dodatek, bo widzę, że ktoś faktycznie zainteresował się tym postem, ale jest dużo zamieszania co do dwóch kwestii: definicji słowa "hacker" oraz czym jest "Dragon Sector". Po pierwsze, jest chyba 6 czy 7 definicji słowa "hacker":
Zarówno ja, jak i inne osoby z Dragon Sector, jesteśmy hackerami w rozumieniu punktów 2 oraz 3, a czasem także 1 (tak tak, mam na myśli szczególnie Ciebie, widziałem Twój kod). W moim przypadku również ostatnia definicja by pasowała. W szczególności NIE jesteśmy hakerami w rozumieniu definicji 4. Po drugie, czym jest "Dragon Sector", o którym media piszą "grupa hackerów". Otóż Dragon Sector jest... drużyną e-sportową, która bierze udział w zawodach e-sportowych zwanych Security Capture The Flag (w skrócie: CTF), które sprawdzają umiejętności techniczne uczestników w hackingu zgodnie z definicjami 2 oraz 3 (btw pod pewnymi względami zadania na topowych CTFach są dużo bardziej skomplikowane niż to co Redford/mrtick prezentowali na Oh My H@ck). Jest to bardzo popularna rzecz w środowiskach związanych z cyberbezpieczeństwem i odnośniki do CTFów pojawiają się m.in. w tym rozporządzeniu Rady Ministrów (ctrl+f CTF) w sekcji o wymogach posiadania specjalistycznej wiedzy w zakresie cyberbezpieczeństwa. Dragon Sector jest drużyną, która zajmowała trzy razy pierwsze miejsce w rocznym rankingu światowym (patrz np. wpis na stronie Biura Bezpieczeństwa Narodowego). Tym samym Dragon Sector nie jest firmą/spółką świadczącą usługi z zakresu cyberbezpieczeństwa. Pracujemy w różnych miejscach (np. ja 12 lat przesiedziałem w Google), niektórzy z nas mają własne firmy. Ale łączy nas to, że jesteśmy hakerami zgodnie z definicją 2 i 3 powyżej, lubimy komputery, lubimy wyzwania, i interesuje nas, jak różne rzeczy działają od środka. Wczoraj (tj. 5 grudnia 2023) na konferencji Oh My H@ck widziałem zaprezentowany chyba najciekawszy case-study ze stosowanej inżynierii wstecznej w tym roku (jeśli nie w tej dekadzie). Mówię oczywiście o prelekcji „Heavyweight Hardware Hacking”, gdzie zaprezentowane zostaly wyniki badań prowadzonych przez Redforda, q3ka, oraz mrticka (PanaKleszcza). W skrócie i uproszczeniu można o nich poczytać m.in. na Z3S lub u q3ka na mastodonie. A dzisiaj na te publikacje oficjalnie odpowiedziała spółka NEWAG (mirror). W odpowiedzi pojawiło się bardzo ciekawe stwierdzenie na temat technikaliów inżynierii wstecznej, a ponieważ jest to temat, którym zajmuję się od prawie 20 lat, to postanowiłem się do tego odnieść. Na początek kilka disclaimerów:
Zacznijmy od cytatu z oficjalnego oświadczenia spółki NEWAG (podkreśliłem jedno kluczowe słowo, które jest trochę bez znaczenia dla tego postu, ale które ładnie nawiązuje do problematyki metadanych; ale to inny temat i nie na dzisiaj): 8. W konsekwencji w dowolnym czasie możliwe było wykonanie tzw. reverse
engineering oprogramowania sterującego (tj. zhakowanie) poprzez
przeniesienie jego kodu dekompilacji, modyfikacji oraz ponowne załadowanie
zmienionego oprogramowania sterującego.
[...]
10. [...] Otóż oczywistym jest, iż nawet najlepszy haker może co najwyżej
próbować poznać treść określonego zapisu cyfrowego. Żaden haker nie jest
natomiast w stanie, na podstawie samego zapis cyfrowego, wskazać kto
konkretnie jest „autorem” określonego zapisu cyfrowego.
Czytaj dalej... [ 22 komentarze ] |
Five newest or recently updated notes (these are unfinished posts, code snippets, links or commands I find useful but always forget, and other notes that just don't fit on the blog):
Click here for a list of all notes. ![]()
Some conference slides are linked at the bottom of this page. ![]()
The full list of vulnerabilities discovered by me (including collaborative work) can be found here (please note that the list might be out of date). The Google Application Security / Research site might also contain some of my findings. ![]()
|
![]()
[ 0 thumbs up | 0 comments | 0 views ] Dodatkowo: ReverseCraft - starsza seria podcastów o reverse engineeringu i assembly. ![]() Dla programistów:
Security / hacking:
Dodatkowo, kilka przemyśleń na temat odnajdywania się na rynku pracy w IT:
![]()
← trochę więcej postów jest po angielskojęzycznej stronie. |
|