Dodaj do ulubionych

5 przykładów urządzeń, do których można się włamać

22.03.10, 18:58
30 lat temu w dużym wieżowcu jak ktoś z zewnątrz próbował zatrzymać windę, to się wciskało "stop" i zaraz piętro docelowe i pomijało się zatrzymującego lecąc szybko na nasze piętro docelowe.
Obserwuj wątek
    • pocalujta_wujta Re: 5 przykładów urządzeń, do których można się w 22.03.10, 19:22
      Jak widac autor studiuje hackerskie techniki tzw "code injection" w jezyku baz danych SQL. Szkoda ze jednak podaje do wiadomosci publicznej takie rzeczy bo to nie jest tak do konca w porzadku. Owszem panowie informatycy powinni m iec sprawdzanie poprawnosci i waznosci danych, ale...

      No umowmy sie, ze pomaganie w rozwalaniu systemu nie jest zbytnio etyczne ze strony dziennikarza.

      pocalujta_wujta
      (informatyk za granic)
    • koszatek Re: 5 przykładów urządzeń, do których można się w 22.03.10, 19:52
      A mojego oprogramowania do kasy sklepowej nie da się zamknąć "głupim" ESC, bo program zaprotestuje, że nie można kończyć pracy w trakcie paragonu. A nawet jeśli ten słoik byłby pierwszym towarem w paragonie, to i tak wymagany jest inny klawisz a nie ESC.
      Nie mówiąc już o tym, że czytnik owszem można przeprogramować, ale wymaga to zczytania 2 kodów a nie jednego a po pierwszym czytnik wydaje specjalny sygnał dźwiękowy, zupełnie inny niż znane "pik" jak po zeskanowaniu zwykłego towaru i kasjerka musiałaby być głucha by tego nie zauważyć.
    • koszatek Re: 5 przykładów urządzeń, do których można się w 22.03.10, 19:53
      A mojego oprogramowania do kasy sklepowej nie da się zamknąć "głupim" ESC, bo program zaprotestuje, że nie można kończyć pracy w trakcie paragonu. A nawet jeśli ten słoik byłby pierwszym towarem w paragonie, to i tak wymagany jest inny klawisz a nie ESC.
      Nie mówiąc już o tym, że czytnik owszem można przeprogramować, ale wymaga to zczytania 2 kodów a nie jednego a po pierwszym czytnik wydaje specjalny sygnał dźwiękowy, zupełnie inny niż znane "pik" jak po zeskanowaniu zwykłego towaru i kasjerka musiałaby być głucha by tego nie zauważyć.
    • cree-is-me Re: 5 przykładów urządzeń, do których można się w 22.03.10, 22:39
      Tak tak, bo już zaraz się oprogramowanie fotoradaru rozsypie ;P Przede wszystkim numer rejestracyjny jest odczytywany z naklejki na szybie, a nie tablicy rejestracyjnej - to po pierwsze. Po drugie, jakim cudem łańcuch znaków odczytany jako numer rejestracyjny miałby być "wykonany" przez silnik basy w zwykłym insercie? O ile w takim urządzeniu w ogóle potrzebny jest jakiś SQL, wystarczy prosty zapis tekstowy na zwykłej karcie z pamięcią FLASH.
    • wl_ski Re: 5 przykładów urządzeń, do których można się w 22.03.10, 22:40
      A skąd pewność, że baza danych nazwana jest "TABLICE"?
      Poza tym czytany przez fotoradar napis na tablicy prawdopodobnie przekazywany jest jako wartość, a nie polecenie... Jakieś to wszystko strasznie naiwnie przedstawione :)
      Kody kreskowe to nic innego jak graficzna prezentacja liter i cyfr, czy wyślemy "A" czcionką arial czy courier to zawsze będzie to "A" a nie "B"
      wg mnie - BZDETY
      Kiedyś nabieraliśmy starszych ludzi w tramwajach, że aby skasować bilet muszą głośno powiedzieć dokąd jadą... Teraz możemy się spodziewać wirtuozów klawiatur w windach próbujących polecieć na Marsa za pomocą tajemnej kombinacji przycisków :)
    • misiekskin Re: 5 przykładów urządzeń, do których można się w 22.03.10, 23:50
      No cóż, jestem jednym autorów systemu wag i rozpoznawania tablic na Wrocławiu, oraz systemu fotoradarów optycznych w Warszawie, i muszę zmartwić. System sprawdza poprawność składni tablicy, ma ograniczenie do zgodnych z Polska Normą wzorców, więc gratuluję wiary w to że zrobiliśmy banalny system. Zalecałbym nieco wiary w umiejętności kolegów inżynierów , i doświadczenie. Czasem zdarza się że za robotę biorą się Ci którzy na prawdę umieją coś zrobić.

      Pozdr
    • bronek77 Re: 5 przykładów urządzeń, do których można się w 23.03.10, 08:31
      fotoradary - Dawno takich bzdur nie czytałem, ten artykuł dostanie tytuł żenady roku. Autor nie ma pojęcia o czym pisze i powtarza bajki. A wystarczyłoby dać do sprawdzenia jakiemuś programiście. No - chyba, że to jakiś początkujący programol napisał/naopowiadał autorowi, co to trochę wiedzy liznął, i już mu się wydaje, że jest gangsta masta.
    • bosman_wroclaw Re: 5 przykładów urządzeń, do których można się w 23.03.10, 09:43
      @misiekskin - a co zrobi system, jak za szybko przejedzie niemiec albo rosjanin? może "Unhandled Exception, zwolnij"?

      A tak na poważnie - chętnie dowiem się dlaczego akurat sprawdzanie z Polską Normą. Z drugiej strony na czymś trzeba się oprzeć, a Polskie rejestracje stanowią pewnie ponad 90% wszystkich. Jak kiedyś dojadą do nas Chińczycy, to też będzie problem.

      A dla wszystkich nie-informatyków lub nie-bazodanowców. Zdjęcie jest najlepszym żartem informatycznym, jaki widziałem. Ale żeby go zrozumieć, trzeba przesiąknąć problematyką baz danych. Dlatego nie przejmujcie się - to dowcip branżowy i trudno go zrozumieć nie siedząc po uszy w temacie. I nie wierzę, że udało się wysypać jakikolwiek fotoradar :-)

      PS: Na pocieszenie dodam, że około 5 lat temu znajomy opowiedział mi najlepszy dowcip techników dentystycznych... do dzisiaj nie wiem, dlaczego oni wszyscy twierdzą, że jest bardzo śmieszny.
    • mcgoo Re: 5 przykładów urządzeń, do których można się w 23.03.10, 09:54
      tak tak gratulacje z wiedzy o bazach danych
      - wiemy ze gdzies dzwoni :) -
      urządzenie ewentualnie wykona instrukcje
      "
      select numer_rejestracyny
      from tabela_z_numerami where
      nr_rejestracyjny='DROP DATABASE TABLICE'
      "
      zaiste szatanski drop sie wykona :) pomijajac juz jaka jest potrzeba odczytu numeru rejestracyjnego z bazy danych skoro mamy go na tablicy rejestracyjnej samochodu :) (miałoby to sens w przypadku jakichs restrykcyjnych działań ale nie po to żeby wyświetlić informacyjny komunikat na drodze :) )

    • omgwtfomg Re: 5 przykładów urządzeń, do których można się w 23.03.10, 10:00
      @misiekskin: koleś, jeśli to faktycznie ty robiłeś soft do tych fotoradarów, to może i na ten dowcipny SQL injection jesteście odporni, jak piszesz - ale, ALE! musze cię zmartwić, macie 100 razy poważniejszy błąd. Póki co wtajemniczeni ludzie z niego korzystają, ale jak ze wszystkim niebawem przecieknie do prasy i pewnie zapłacicie karę umowną lub/i inna firma dostanie kontrakt na poprawki a wy bad PR :>:>

      Do reszty komentujacych nie wiem jak wy, ale ja widzę w artykule wyraźnie napisane:

      "Jeśli oprogramowanie fotoradaru działa w oparciu o bazy danych i nie sprawdza danych pochodzących od użytkownika"

      jest to więc opis możliwości a nie ataku. moim zdaniem zarąbiście ciekawy.

      tyle o fororadarach. teraz czytniki sklepowe:

      DA SIE!

      sam probowalem, nie podam nazwy sklepu i miasta, ale na wolnostojacym czytniku kodow mozna wyjsc do OS i zobaczyc a) adresacje sieci b) zczytac kilka interesujacych loginow i hasel c) i dostac sie za ich pomoca na niektore z serwerow.
    • bosman_wroclaw Re: 5 przykładów urządzeń, do których można się w 23.03.10, 10:19
      @mcgoo:

      normalnie na przykład:
      insert into tabela values ('HPB00001',0,0);

      przy sql injection jak powyżej:
      insert into tabela values ('ZU O666',0,0); DROP DATABASE TABLICE; --',0,0);

      A to daje instrukcje:
      insert into tabela values ('ZU O666',0,0);
      DROP DATABASE TABLICE;
      --',0,0); wszystko, co w linii jest po dwoch myślnikach, jest komentarzem, więc jest pomijane.

      Zadziała jeżeli:
      - w pierwszym zapytaniu trafimy na poprawne zakończenie
      - proces zapisujący do bazy ma uprawnienie do jej usunięcia - mało prawdopodobne

      W najgorszym przypadku zapytanie się wywali, ale to też sukces, bo nie będzie wstawienia danych do bazy.

      Ot, taki klasyczny SQL injection. Amatorów tego typu działań informuję, że nierozważne korzystanie z tego typu wiedzy może być przestępstwem.
    • furry Re: 5 przykładów urządzeń, do których można się w 25.08.10, 14:23
      Ciekawe ile przejedzie samochód oklejony tablicą ZUO 666 :-)

      Przeprogramowanie czytnika kodów paskowych wymaga dostępu do czytnika i wczytania co najmniej kilku kodów: 1)reset, 2)konfiguracja, 3)zapis. Powodzenia w Tesco.

      Numer w windą nigdy mi się nie udał. Podobno istnieje jakiś mityczny sposób używany przez policję czy straż, ale to chyba nie to.

      Ale o chłopcu wykolejającym tramwaje było swego czasu głośno :-) www.theregister.co.uk/2008/01/11/tram_hack/

      Autora prosimy jeszcze o sprawdzone hacki aparatów telefonicznych i autoamtów z colą :-)

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka