Hacking 1/2003

24. 6. 2003 | Lukáš Zapletal | Recenze | 6988×

Časopis má 80 stran křídového papíru, je k němu přiloženo CD a není zataven v průhledné fólii, takže se dá na stánku prolistovat. Hned po otevření se na mě usmály dvě celostránkové reklamy. Byl jsem zvědav, takže jsem bez bližšího zkoumání přešel ihned na obsah.

Ten napověděl, že časopis bude jistě zajímavý. Hacking totiž obsahuje články z různých oblastí a systémů, konkrétně Linux, BSD a Windows. Proletěl jsem si tedy regesty a otočil na obsah CD. Ten má úctyhodných 6 stran a popisuje snad všechny programy, které se na CD nalézají.

Můžete na něm nalézt zejména sniffery (etheral, iptraf, dsniff, či tcpdump), scannery (nmap, grabb), dva IDS systémy (snort a tripwire) a spoustu programů pro "práci" s MS SQL. Nabídku uzavírají tři service packy pro Windows a hromada dalších shareware či freeware nástrojů týkajících se bezpečnosti či virové problematiky. O tom, že autoři jsou skuteční odborníci (hackeři) mě utvrdil nález plné verze programu W32Dasm i s příslušným .NFO souborem, která pracuje i po vypršené trial lhůtě. Inu, i mistr tesař se někdy utne.

Bohužel hned na prvních stránkách jsem našel první nedostatky. Časopis bohužel vzniká překladem z polštiny, což se na kvalitě výrazně podepsalo. Do očí bijící hrubky nejsou výjimkou (skrypt, standartních) a překlad se také úplně nevyvedl. Například text "analysis on Win32 platform" je vtipně přeložen jako "analýzu na úrovni (plošině) Win32". Překladatel se zdráhal přeložit slovo platform jako úroveň a pro jistotu přidal do závorek slovo plošina (pro ty, co nemají bujnou fantazii). Asi je vám jasné, že slovo platform se nějakou tu dobu překládá jako platforma. Nechybí ani překlad slova package jako paket (místo balíček).

Celé to završila odfláknutá sazba. Časopis jako takový má sice pěknou grafickou úpravu, jenže sazeč si zřejmě zapomněl přečíst nějakou knihu o základech typografie. Nekorektní odsazování odstavců, odstavce tam, kde být vůbec nemají, či parchanti a vdovy kam se podíváte. Za vrchol považuji formátování některých čísel verzí programů jako datum (v7. 0 místo v7.0). Každý porod ale s sebou nese problémy a já doufám, že do příštího čísla se vyřeší. Seznámím vás tedy s tím nejdůležitějším -- obsahem článků.

První článek má název "Trojanování systému FreeBSD 4.x s použitím modulů jádra". Jedná se o poměrně složitou problematiku, kde se předpokládá znalost systémových volání systému FreeBSD a jazyka C. Polský autor ukazuje, jak je možné jednoduše obejít IDS systémy založené na kontrolních součtech (tripwire apod.) pomocí modulu jádra. Dále popisuje zajímavé techniky ukrývání modulu, procesů a souborů.

Další článek je oddechový. Má název "Sniffing pro začátečníky" a čtenáře seznamuje s pointou sniffingu. Autor nejprve vysvětlí základy počítačových sítí a poté přejde k protokolu TCP/IP. Nakonec se čtenář dozvídá, jak používat sniffingové nástroje v systémech UNIX a Windows, případně jak se proti sniffingu bránit.

Další příděl informací pokračuje. Článek "tcpdump -- administrátorův přítel" popisuje základní práci s programem tcpdump na operačních systémech UNIX. V rubrice "Udělej si sám" si dále přečtete návod na jednoduchý sniffer. Blížíme se k hlavnímu tématu časopisu.

Jedenáctistránkový článek "Útoky na databázové servery Microsoft SQL Server" podává ucelené informace všech možných i nemožných útoků na tento typ serveru. Vše je proloženo praktickými ukázkami použití nástrojů, které jsou na CD. Popisovány jsou jak nejjednodušší DoS útoky přes SQL injections, tak složitější vytváření zadních vrátek pomocí uložených procedur. Skvělé počteníčko zejména pro správce MS SQL serveru.

Výborný článek "Vzdálené rozpoznávání operačních systémů" pojednává o technice, jakou tyto programy (scannery) používají. Vše je jako obvykle dokresleno praktickými příklady s programy nmap a bsf. "Bezpečný poštovní server založený na Open Source" podává jednoduchý návod, jak nainstalovat a nakonfigurovat server postfix. Navíc přidává informace o stunnelu (SSL server tunnel), pomocí něhož je možno nabídnout klientům bezpečné připojení k jejich schránkám, o systému amavis, který umožňuje antivirovou kontrolu příloh, a konečně o programu spamassassin, který umí odhadovat, zda dopis neobsahuje reklamní obsah (junk, spam).

Dalším článkem v pořadí je "Útok a obrana protokolu Kerberos v doméně Windows 2000". V delším článku autor vysvětluje princip fungování Kerberosu, jeho implementaci v systému Windows 2000 a možné útoky a obranu. Předposledním neméně zajímavým článkem je "Nebezpečné PHP", který osvětluje, jak může laxnost administrátorů a vývojářů vyústit v díry do systému. Autor čtenáře motivuje k průzkumu svých oblíbených portálů.

Posledním článkem je "Zabezpečení v internetbankách". Jedná se o výčet možností, které dnes banky mají, jejich porovnání a ukázky, která banka co používá. Celý článek se logicky nese spíše v teoretickém duchu. Úplně na závěr mezi reklamami (kterých je s přihlédnutím na cenu časopisu poměrně hodně) najdete úsměvný článek "CDDirect - Muzika pro hackery" s nabídkou několika CD titulů. Přiznám se, že nevím, zda se jedná o reklamu nebo o článek, ale pokud by se jednalo o reklamu, mělo by to být viditelně uvedeno.

Z časopisu mám podivný pocit. Na jednu stranu bych měl jásat, že se na našem trhu konečně objevilo něco pro nás, administrátory, programátory či prostě jen fandu světa UNIXU a internetu. V tomto mě časopis nezklamal, protože přináší mnoho zajímavých informací a poměr UNIX-Windows je v časopisu podle mého názoru správný. Na straně druhé se mi ale nelíbí poměrně odfláknutá realizace, mnoho celostránkových reklam a vysoká cena. Porovnáme-li cenu s jinými tituly, které nabízejí mnohdy i 2CD a dvojnásobný počet stran (např. CHIP a podobně), dojdeme k závěru, že cena je poněkud vyšší. Závěrečné rozhodnutí zda koupit či nekoupit je samozřejmě na vás a já doufám, že tomuto rozhodnutí naše recenze jen pomůže.

Nástroje: Tisk bez diskuse