私はニュースレターを楽しんできました、そして私たちは2500人以上の人々を購読しています。 この時点まで、彼らは一般的に私が作っているビデオについての情報で構成されています。 私は今週の修正に行きます。 電子メールは、10人のランダムなハックを持っています。 おそらくハッカデイの過去から何か。 それはすべて非常に多くの人々が楽しんでくるものに依存しています。 ここでの表示上のタイプ、またはそこに向かって – >サイドバーに表示されます。
私はこの非常に非公式に保つつもりです。 私がどのプロジェクトが行われているプロジェクト、もっとあなたとのハックを共有しましょう。 このように聞こえるなら、あなたが楽しんでいるようなものに聞こえます! 1週間に1から2のEメールを送信することを計画しています。
CIAハックティバストは、Belarusian Rail Systemに対する一種のランサムウェアキャンペーンを導入しましたが、暗号通信の代わりに、彼らは政治囚のリリースを望んでいます。ロシアの兵士の撤去として。これはサイバーテロの例と呼ばれるかもしれませんが、これは州スポンサーのハックであるという手頃な価格の理論があります。特定のようなように見えることは、何かが鉄道輸送を中断したこと、およびTwitterのグループが違反の説得力のある証明を起こしたということです。 あなたのアンチウイルスにはクリプトミーナが含まれています 今見てはいけませんが、Norton 360またはAviraの最新の更新プログラムが暗号化マイニングモジュールをインストールした可能性があります。銀の裏地は、メーカーが開始される前に、いくつかの正気が保持されているだけでなく、メーカーが採掘の予備のサイクルがコストであることが前にオプトインしなければならないということです。している個人のために、彼らは鉱山プールに入れられ、多くのハードウェアのための小さな支払いをしました。ノートン、当然のことながら、彼らのトラブルのためにトップから15%の充電を受けます。 Linuxマルウェアの指定 Linuxマシンがマルウェアを手に入れることができないという格言であることがあります。それは本当に真に真実であることは決してなかったが、サーバの風景の継続的な征服は、Linuxマルウェアをさらに高い危険にするという側面の影響を与えてきた。 CrowdStrikeは、2021年にLinuxマルウェアで35%のブーストを見ました。 Pwnkit. そしてLinuxと言えば、非常に深刻なLinuxの脆弱性が発表されたばかりで、働いている悪用はすでにリリースされています。この問題はPolkitバイナリの基本的なものです。この目的のために、sudoの代替案として信じることができます。重要な部分は、それが独自のユーザーによって実行されたときにそれ自身の特権を昇格させるものであるSetuid Binaryです。 「今待って、「それは恐ろしい安全問題のようです!」と言うのを聞いています。それが間違っているときになることができます。ただし、基本的な現実は、個人がroot特権を必要とする操作をする必要がある場合があることです。基本的な例、pingは、関数に買うのに生のネットワークソケットを開く必要があります。これらのバイナリは、制限されたアクションのみを可能にするために非常に慎重に作成されていますが、この「サンドボックス」をエスケープすることを可能にすることが多い。 それでは、Pkexecとの物語は何ですか? NULL ARGV OK、Linuxプログラミング101の時間。プログラムがLinux上で導入されたとき、それは通常argcとargvという名前の2つのパラメータに渡されます。これらはそれぞれ整数、ならびにさまざまなCHARガイドラインです。プログラマーではない場合は、引数のリストと引数のリストとしてこれを信じる。この情報は、プログラム内でコマンドラインの選択を管理するだけでなく、解析に利用されます。 argcは常に少なくとも1つ、そしてargv [0]は常に実行されるようにバイナリの名前で構成されます。それ以外は、それは必ずしもそうではありません。 execve()関数を利用してバイナリを導入する方法はもう1つあります。その機能により、プログラマは、不一致0を含む引数のリストを直接指定できます。 それで、そのリストがちょうどnullの場合、どうなるのでしょうか。 sudoのようにプログラムがこの可能性を説明するように書かれたならば、すべてがうまくいっています。ただし、pkexecは、空のargvまたは0のargcの検査を含めません。読み取り対象の対象があるかのように機能します。代わりに、引数のように扱います。それは一致するバイナリのためのシステムパスをチェックし、それが信じるものがそれがあると考えているものであるかをチェックしますが、実際には大気変数です。これは、制御されていないテキストをPKEXEC、SETUIDプログラムの雰囲気変数として注入できることを示しています。 PKEXECが噴射が発生した直後の雰囲気変数をクリアするので、それは即座に役立つわけではありません。だから私たちが本当にこれを活用するためにどのような卑劣なテクニックを利用するかもしれませんか?エラーメッセージを投げます。 PKEXECは、gconv共有ライブラリを利用してエラーメッセージを印刷し、GConv-Modules構成ファイルを見つけようとしていることから始めます。このデータは、どの特定のライブラリデータを開くかを定義します。 Atmosphere変数gconv_pathを使用して、代替の設定ファイルを指定できますが、このAtmosphere変数はSetUIDバイナリを実行するときにブロックされます。ただし、ああ、これが起こった後に大気変数を注入する方法があります。それが悪用です。任意のコードを含むペイロード。私は誰?根。 この物語に興味深いねじれがあります。まず、[Ryan Mallon]は2013年のこの脆弱性を見つけることに苦痛にぴったりやって来ました。舵のバグ。 ランダムパスワードを攻撃する 安全なパスワードの多くはランダムに生成されたものです。はい、しかし、そのランダムジェネレータがそうでなくランダムではない場合はどうなるのでしょうか。今、私たちは今回は意図的なバックドアについて話していませんが、非常に大きな違いを生むことが多い一見無関係なパターン。エニグママシンは、結局のところ、それ自体として文字を符号化することは決してないので、部分的に割れた。 [Hans
職業歩を踏み出すことを決定し、Golioth.ioで開発者向け関係エンジニアとしての地位を受け入れました。私は、Elliot WilliamsがHackadayの首長で次の編集者になることを発表して嬉しく思います。 今、私は2009年の夏に始まったハッカデイで13年目にいます。 Kevin Roseが2005年初めにスクリーンセーバーのエピソードに指摘したときにHackadayについてのお知らせを覚えています。私が探していたプロジェクト。 すべてのHackaday写真がこのように見えたときに覚えていますか?これは実際に私がサイト上で特集されたプロジェクトが初めて初めてです! それを考慮して大量の量が変化しました。私が作家として始めたとき、私たちは黒と白の写真を使って止まったばかりです。後でいくつかの記事を、すべての記事を強制的に小文字にするCSSを削除しました。私が2013年にヘッドエディタになったとき、私たちはそれがハッカデイを支持して1日をハックするのをやめて、およそ1年後に私たちはそのサイトを見直し、緑色から黄色に移動し、470ピクセルの内容幅を800に拡大しました。 進捗。 変更されていないのは、どのように私たちが新鮮なままであるかです。 Hackadayは常に自分の興味に従うことによって私たちを導くために私たちの作家を信頼してきました。 Hackadayのために書く人たちは、やるべきことをはるかに優れていますが、彼らは彼らのスキルを平準化し、利用可能な技術の新しい用途を発見し、そのエネルギーをより大きなハッカデイコミュニティと共有することに焦点を当てるための彼らの文章を使います。彼らは世界中に住んでいて、たくさんのさまざまな分野で働きます。これらの経験はそこに集団的な執筆が集まっています。私はこの素晴らしい作家グループを持っていることがラッキーです、そしてあなたもそうです。彼らの時間が終わったとき、希望は、新しい読者のグループがプレートにステップアップし、そして良い時間が終わらないようにすることです。 ハッカデに特別な何か Hackadayは本当に独立した声です。長年にわたり、私は他の企業がそのメッセージが公表されているのを支払うために支払われたときに、ある会社が彼らのメッセージが公表されているときに、あるいはその後の石の後に1つのサイトを見ました。ハッカデはこれをしなければならなかった。社説の独立は、Hackadayコミュニティがそれだけの価値があると考えている私たちの親会社の供給フレームの強いバッキングのおかげで贅沢です。もちろん、他の方法ではありません。 SupplyFrameは2013年7月にハッカデーを獲得し、組織の将来に大きく投資しました。彼らはhackaday.ioを作成してプロジェクトホスティングのための場所を供給し、次の春私たちはハッカデー賞を開始しました。私たちは、2014年11月11日にミュンヘンの勝者を発表しました。これは、2015年に始まったHackaday Superconferenceへの前身であり、そこで最高のハードウェア会議として広く認識されるように成長しました。 Hackadayサーキット彫刻コンテストのためのJoe Kimによるアート Gnu Debuggerについてのマヤ・ポッシュ投稿:https://hackaday.com/2020/11/06/local-and-remote-debugging-with-gdb/ Artikytinaパノスのアート – https://hackaday.com/2015/11/23/the-antikythera-mechanism/ ロボット操作システムについてのスティーブンDufresneポストのジョー・キム・アート:https://hackaday.com/2018/05/31/modular-robotics-made-easier-with-ros/ Brian Benchoff PostのART可変命令コンピューティングについて:https://hackaday.com/2016/02/19/variable-instruction-new-again/ 芸術のアート – Joe KimのBrian