Mara: mój blog

Komentarze sa tymczasowo wylaczone -- do momentu kiedy znajde chwile na testy nowego skryptu. Zmiana wynikla z nadmiaru spamu. Niestety.

Znacnziki RFID maja bardzo malo pamieci. Wydawac by sie moglo, ze z tego powodu nie da sie ich wykorzystac do atakow i sa calkowiecie bezpieczne. Nie jest to prawda. Dane w znacznikach, mimo niewielkiego rozmairu, moga byc tak spreparowane, ze powoduja przepelnienia bufora, wstrzykiwanie polecen SQL (SQL injection) i inne. Powod? Wykorzystanie bledow w oprogramowaniu odbierajacym te dane.

To nic nowego. Niczym nowym nie sa tez opinie (tlumaczenie z artykulu) podobne do ponizszej (wyglaszane przed pierwsza powazna awaria):

Mimo ze czujemy opor przed przekazaniem ''tym zlym'' pecyzyjnej informacji jak zainfekowac znaczniki RFID, kiedy rozmawialismy z osobami odpowiedzialnymi za systemy wykorzystujace te znaczniki, czesto odrzucaja oni obawy zwiazane z bezpieczenstwem jako rozwazania akademickie, nierealistyczne i niewarte wydawania pieniedzy na zapobieganie im, bo wskazywane problemy sa po glownie ''teoretyczne''.

Techweb opisuje trwajacy skandal z PIN-ami kart debetowych Citibanku (w skrocie: skradziono spora liczbe PIN-ow, w zwiazku z afera w Wielkiej Brytanii, Rosji i Kanadzie sa wydawane nowe karty).

Wedlug artykulu nie nalezy sie takim aferom dziwic, bo zasady bezpieczenstwa sa w niektorych przypadkach razaco naruszane. Na przyklad zdarza sie, ze zaszyfrowane dane zawierajace PIN i klucz, ktorym mozna je rozszyfrowac, sa przechowywane razem. Co to oznacza w przypadku wlamania, nie musze chyba tlumaczyc. Nasuwa sie tez pytanie dlaczego te dane sa w ogole przechowywane...

Klik to metoda uruchamiania programow bez koniecznosci ich kompilowania czy instalacji. Wystarczy pobrac archiwum, bez martwienia sie o zaleznosci (zostana takze pobrane, automatycznie).

Klik wykorzystuje system plikow cramfs (i pakiety Debiana .deb). Uprawnienia administratora (czytaj: roota) sa potrzebne tylko do dokonania wpisu do fstab zezwalajacego na montowanie. Jest to ciekawe i przydatne rozwiazanie kiedy instalacja, z pewnych przyczyn, nie wchodzi w rachube.

Systemy rodziny Unix znane sa z obslugi duzej liczby systemow plikow. Ostatnio pojawily sie rozwiazania pozwalajace na tworzenie sterownikow nowych systemow plikow dzialajacych nie w obrebie jadra (jak to bylo dotychczas), ale jako programy uzytkownika. Przynosi to korzysci zarowno uzytkownikom koncowym -- bo nie musza kompilowac jadra, zeby wykorzystywac nowe funkcjonalnosci, ale takze programistom -- przez latwiejsze tworzenie takiego sterownika i wyszukiwanie w nim bledow.

Przyklady tego typu nowych systemow plikow? wyobrazmy sobie katalog na serwerze FTP zamontowany jako lokalny. Mozna do niego kopiowac, uzywac standardowych narzedzi itd. To jest mozliwe. Midnight Commander ma obsluge FTP 'udajaca' katalogi. Problem polegal ma tym, ze rozwiazania byly niestandardowe.

Przykladem interfejsu/narzedzia umozliwiajacego latwe tworzenie nowych systemow plikow jest FUSE. Sumit Singh z IBM-a napisal ogolny artykul na ten temat (warto przeczytac, po angielsku).

Przyklady wykorzystania FUSE: GMailFS, gphoto2-fuse-fs (system plikow do aparatow cyfrowych), Cvs-FS, Ssh-FS i wiele innych. Liste mozna zobaczyc na stronie projektu.