Wtorek, 06 stycznia 2009 :: 20:41:21
Hakin9 12/2008 - recenzja
W ramach mojej współpracy z siecią reklamową Blogvertising, przyszło mi napisać recenzję magazynu Hakin9. Postaram się nie traktować pisma po macoszemu, mimo, że do Hakin9u mam pewien "sentyment", bo jakiś czas temu, sam do niego pisywałem. Wtedy byłem pewien, że pismo stoi na wysokim poziomie, bo znałem redaktora naczelnego oraz część redakcji :-)
Później jednak, z Hakin9iem stało się coś dziwnego ...i większość osób znających się na rzeczy odeszła, a artykuły, które zaczęły się pojawiać, były powtarzającymi się w kółko przedrukami zagranicznych autorów. Jakby tego było mało, redaktorzy naczelni zmieniali się co miesiąc... Ponieważ współpraca z osobami nie mającymi pojęcia o bezpieczeństwie komputerowym (a niestety, często także i o kulturze osobistej) nie należała do przyjemnych, poszedłem w ślady innych i również przestałem współpracować z pismem.
Teraz, po przeszło półtora roku, mam wrażenie, że w rękach trzymam inną gazetę. Zmieniła się oprawa graficzna, a większość artykułów wyszła spod pióra Polaków. Czyżby pismo wróciło do dawnej formy? Przekonajmy się...
Recenzja start!
W redakcji magazynu dalej brak osób związanych z bezpieczeństwem komputerowym... i choć zobaczyć tam jakieś znane nazwisko byłoby wskazane, to przecież nie "sławy" stanowią o jakości magazynu. Pytanie, które trzeba sobie jednak postawić, to czy ktoś obecnie recenzuje nadsyłane artykuły? Jak zaraz się przekonacie, odpowiedź najprawdopodobniej brzmi "nie".
Aktualności
Moim zdaniem, rubryka aktualności, przy cyklu wydawniczym trwającym ponad miesiąc nie ma sensu. Nie znalazłem w tym dziale żadnej informacji, o której już dwa miesiące temu bym nie słyszał... Pisanie o wrześniowych (sic!) wydarzeniach w grudniowym (sic!) wydaniu uważam za, nie tyle niepoważne, co po prostu śmieszne... Na dodatek, dwa newsy, choć inaczej sformułowane, są o tym samym zdarzeniu!
Płyta CD
Magazyn sprzedawany jest z bootowalną płytą CD, będącą platformą testową narzędzi i ataków opisywanych w magazynie. Znajdziemy na niej filmy instruktażowe (m.in. o błędach w stosowaniu Register Globals), skrypty stworzone przez autorów artykułów i pełną wersję pakietu Copernic Desktop Search. Jako system bazowy wybrano Backtracka 2.0 - i jest to bardzo dobry wybór - sam korzystam z tej dystrybucji podczas prowadzenia większości szkoleń z bezpieczeństwa komputerowego.
Magiczne pudełko, czy siła technologii?
Wydanie rozpoczyna Grzegorz Błoński, recenzując urządzenia klasy UTM firmy Fortinet. Hakin9 znów pechowo trafia na mnie, jako recenzenta, gdyż jestem jednym z dwóch certyfikowanych trenerów firmy Fortinet na Polskę, i co by dużo nie mówić, FortiGate'y znam na wylot ;-)
W artykule zabrakło mi informacji na temat licencjonowania poszczególnych modułów - co działa "z marszu" w cenie urządzenia, a za co trzeba dodatkowo płacić. Recenzent natomiast bardzo dobrze wytłumaczył zalety dedykowanego procesora FortiAsic, który wspomaga pracę urządzenia pod kątem filtrowania treści. Za potknięcie można uznać stwierdzenie, że owy procesor "może podnosić przepustowość sieci" - Grzegorz chyba nie odfiltrował tzw. "marketing bullshitu" — przepustowości sieci nie da się podnieść, można jej natomiast nie obniżać. ;-)
Ogólnie, jestem bardzo pozytywnie zaskoczony wiedzą autora na temat sprzętu firmy Fortinet - recenzja jest naprawdę szczegółowa i wyważona. I o ile faktycznie, UTM-y Fortinetu mogę z czystym sumieniem polecić (nie, Fortinet nie płaci mi za to zdanie), to moja dobra rada jest taka: nie korzystajcie z softwarowego firewalla tej firmy, zawartego w narzędziu FortiClient ;-)
Odzyskiwanie Danych
Kolejny artykuł dotyczy metod odzyskiwania danych i wyszedł spod pióra Przemysława Żarneckiego. W tekście brak mi choćby krótkiego fragmentu na temat ogólnej zasady działania programów do odzyskiwania danych. Autor niestety ograniczył się tylko do zrecenzowania kilkunastu programów - trzeba jednak przyznać, że zrobił to dość dokładnie. Niestety, kiedy coś złego się stanie, tekst nie pomoże nam w wyborze tego jedynego programu, gdyż każdy przypadek utraty danych jest indywidualny — trzeba zagryźć zęby i próbować wszystkich możliwych programów (o czym autor lojalnie wspomina). Dzięki artykułowi Przemka, mamy dobrą listę programów, od których należy zacząć.
Godne pochwały jest wtrącanie w recenzje programów dobrych praktyk kryminalistyka informatycznego - szkoda, że procedury postępowania śledczego opisane zostały bardzo pobieżnie, a często prawie mijały się z rzeczywistością... (Nie jestem w stanie zrozumieć, dlaczego wiele osób często opisuje czynności, których, co widać jak na dłoni, nigdy nie wykonywało...)
Czytanie artykułu utrudnia niestety zagmatwana konstrukcja zdań, potworne kolokwializmy ("kawałek kodu") oraz niefortunne tłumaczenia: "dekodowanie pomieszanych haseł". W poważnym piśmie nie powinno się także znaleźć naiwne sformułowanie "żywię przekonanie, że nikomu nie przyjdzie po lekturze artykułu bawić się w crackera".
Oj przydałby się recenzent w redakcji Hakin9-u.
Ataki Socjotechniczne
Rafał Podsiadły radzi, jak planować schematy bezpiecznego postępowania z informacją w firmie (cokolwiek to znaczy...). Autor zwraca uwagę na ważną sprawę: pracownicy mówią za dużo. Zgadzam się w 100% - bardzo często szeregowi pracownicy firm posiadają zbyt wielkie uprawnienia, niż jest to wymagane przez ich zakres obowiązków. Nie trzeba zbyt wiele, by od takiego pracownika wyciągnąć dane, które mogą przydać się podczas ew. ataku informatycznego. Autor wprowadza czytelnika w świat socjotechniki i na przykładach z życia pokazuje, jak za pomocą prostych sztuczek można osiągnąć korzyść materialną.
Artykuł jest ciekawy. Szkoda tylko, że autor skupił się na podręcznikowych przykładach i zachęca do tworzenia żmudnych list uprawnień, czyli dokłada do biurokracji tonę mało przejrzystych zasad, których i tak nikt nie spamięta i nie będzie przestrzegał...
Tu się nie włamiesz
Dość ryzykowne stwierdzenie stawia przed nami Łukasz Ciesielski... Jego artykuł natomiast tylko połowicznie potwierdza tezę — poruszono w nim głównie aspekty szyfrowania danych. Jest jeszcze parę akapitów o "bezpieczeństwie kont użytkowników" i "zabezpieczaniu połączeń wychodzących" - co te terminy oznaczają? Odpowiednio, sprawdzenie, czy w systemie istnieje konto bez hasła oraz uwierzytelnienie połączenia SSH przy pomocy kluczy...
Autor, niestety, nie odrobił pracy domowej z kryptografii (cytat):
"Zasada działania opiera się na porównaniu klucza prywatnego (znajdującego się na komputerze klienta) z kluczem publicznym, który jest przechowywany na serwerze. Klucze te skonstruowane są w ten sposób że do określonego klucza publicznego pasuje wyłącznie jeden klucz prywatny"
Wierzę, że jest to jedynie daleko idące uogólnienie, a nie brak zrozumienia kryptografii asymetrycznej... odrębne pytanie, czy w magazynie przeznaczonym dla osób interesujących się bezpieczeństwem tak dramatyczne spłycenie (ocierające się o błąd merytoryczny) ma rację bytu?
Dalej jest jeszcze gorzej:
"Teraz możemy zaszyfrować plik za pomocą klucza prywatnego (naszego) oraz publicznego odbiorcy"
Pan Ciesielski powinien dostać karę w postaci napisania w zeszycie sto razy następującego zdania: "Do szyfrowania służy klucz publiczny odbiorcy, a do podpisywania własny klucz prywatny".
O ile dwa powyższe przykłady można było nazwać potknięciami, to zaprezentowanie szyfrowania poczty elektronicznej na przykładzie Emacsa z obsługą PGP uważam za czysty masochizm :)
Ponieważ prywatnie pasjonuje się kryptografią, artykuł Łukasza uważam za kompletne nieporozumienie i poza informacją, że uwierzytelnienie w SSH może być przeprowadzone w oparciu o klucze, ciężko mi znaleźć jakikolwiek wartościowy fragment...
Niebezpieczny dokument elektroniczny
Andrzej Guzik wymienia zagrożenia, na jakie narażone są dokumenty elektroniczne i przedstawia wymagania dotyczące ich obsługi, wynikające z prawa oraz dobrych praktyk. Artykuł jak najbardziej godny polecenia - mimo, ze tematy przepływu informacji w firmie i wdrażania polityki bezpieczeństwa są jednymi z nudniejszych, jeśli chodzi o naszą branżę.
Autor daje garść praktycznych rad, jaki format wybrać do publikacji danych w sieci oraz jak usuwać metadane w dokumentach MS Office. W tekście znajdziemy także porady, jak odzyskać zapomniane hasło do dokumentu Worda. Dodatkowo, poruszone zostały tematy bezpieczeństwa fizycznego i odpowiedzialności karnej, a także streszczenie dobrych praktyk zebranych w normie PN-ISO/IEC 17799.
Jedyną wadą artykułu są zepsute tabele - ale nie jest to wina autora, a osoby odpowiedzialnej za skład graficzny pisma.
Uwierzytelniony dostęp do serwisu WWW
To jeden z ciekawszych artykułów w tym wydaniu magazynu Hakin9. Robert Tomaszewski szczegółowo opisuje jak skonfigurować Apache'a aby udostępniać swoje zasoby tylko tym użytkownikom, którym udostępniać chcemy. W artykule poruszona zostaje tematyka budowania za pomocą OpenSSL-a własnego CA, a także wskazówki co do podpisywania certyfikatów i generowania list CRL.
Autor szczegółowo opowiada również o innych niż certyfikaty, metodach uwierzytelniania użytkownika. Jest to zdecydowanie najlepszy tekst, jaki kiedykolwiek czytałem na ten temat. Jasno i na temat, z dużą ilością przykładowego kodu i rzetelnymi diagramami. Niestety, znów zamieszała osoba odpowiadająca za skład graficzny - obrazki i listingi znajdują się na innych stronach, niż tekst, który ich dotyczy...
Wykorzystanie zrzutów pamięci
...to jedyny (co godne pochwały) artykuł zagranicznego autora. Vincent le Toux wyjaśnia, jakie dane przechowywane są w pamięci RAM i jakimi narzędziami można je analizować. Z tekstu dowiemy się jak obejść hasło BIOS-u, ekran logowania do Windows, czy wreszcie, jak wykonać zrzut pamięci operacyjnej do pliku.
Zdziwił mnie przykład z atakiem poprzez FireWire - autor pisze, że "możliwe, że aby atak się powiódł, należy postąpić nieco inaczej niż mówi opisana dalej procedura". Osobiście odebrałem to jako: "opis ataku skopiowałem z internetu i nie udało mi się go przeprowadzić, ciągle nie wiem dlaczego"...
Nie popisał się niestety tłumacz - w wielu miejscach w oczy kole kalka językowa ("aktywować program"), a niekonsekwencja w tłumaczeniu tych samych terminów informatycznych na polskie odpowiedniki może utrudnić zrozumienie tekstu.
Podsumowanie
Niewątpliwym plusem magazynu Hakin9 jest oznaczenie trudności każdego z artykułów w skali od 1-3. Cieszy mnie również coraz większy udział w piśmie polskich autorów, o co wielokrotnie apelowałem.
Szkoda że brak jest jakiejkolwiek korekty, tak językowej, jak i technicznej - Błędy językowe utrudniają zrozumienie czytanego tekstu, a merytoryczne prowadzą do bardzo niebezpiecznego zakorzeniania się w głowach niedoświadczonych użytkowników bzdurnych przekonań.
Niesamowicie wkurzający był także nagminny brak synchronizacji pomiędzy czytanym tekstem i grafiką, listingami, czy schematami. Żeby dotrzeć do opisywanej ilustracji często trzeba było kartkować pismo - komfort czytania w takich momentach spadał drastycznie.
Podsumowując, z grudniowego magazynu zainteresowały mnie tylko 2 artykuły (na 9). Biorąc pod uwagę koszt 28,90PLN, nie jestem przekonany, czy w moim przypadku Hakin9 to dobra inwestycja.
Odnoszę jednak wrażenie, że magazyn Hakin9 nie jest przeznaczony dla tak doświadczonych pod kątem bezpieczeństwa komputerowego czytelników jak ja, więc na pewno znajdzie się sporo osób, którym grudniowe wydanie bardziej przypadnie do gustu. Czy na grudniowy Hakin9 wydacie 28,90PLN - decyzja należy do Was...
• Następny post:
Dziury w poczcie Gazeta.pl (brak)
• Poprzedni post:
Jak zawiesić Nokie (Symbiana) jednym SMS-em?
Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.
