Buffer Overflow Attacks

3-7-2005

Şu an okuduğum Buffer Overflow Attacks 'ın girişinde şu şekilde bir paragraf var;

Getting that skill, on the other hand, has one major roadblock: most people think
that they can "learn" it. Many knacks in the IT world can be learned. Once you realize
them, they're yours to keep. But writing a buffer overflow is not like that. It's more like
weight lifting, or judo.You can learn the basics from a book, or perhaps a short class, but
the landscape you work in changes constantly. Microsoft is adding new protections to
their code every day, as hackers are constantly finding new ways to make exploits more
reliable, and finding ways to develop new types of bugs.Three months after you stop
writing buffer overflows, your skills are ancient history.The hard part about writing
buffer overflows is staring an endless treadmill of work in the face.

 

Yukarıda koyu olarak işaretlediğim yerlerdeki konsepti genişletiyorum bu sadece Buffer Overflow için değil güvenliğin bir çok noktası bu şekilde. Kitaplardan okunan güvenlik yeni yeni gerçek dünya' ya yaklaşmaya başlıyor. O da henüz emekleme aşamasında. Mesela herşey olması gerektiği gibi olduğunda bir SQL Injection aracılığı ile istediğiniz tüm dataya 15 dk. kadar bir sürede ulaşabilirsiniz ancak genelde işler bu şekilde yürümez, uğraşmanız gereken ekstra SQL cümlecikleri, application firewall korumaları, performans sorunları, farklı veritabanlari vs. gibi yüzlerce şey karşınıza çıkar.

Reverse Engineering' de benzer bir iştir. Mesela RCE konusunda bu işin üstatlarından +Fravia RCE ile uğraşrıken güçlü alkollü içercekler ile hafif dumanlanmayı tavsiye eder. Security Warriors' ta da şu şekilde bir cümle vardır.

Zen meditation skills will serve you better than many years of formal programming education. If you are good at solving verbal brain-teaser riddles on long trips with friends, you will probably be good at RCE.

 

Buradaki espri kritik konsepte devam edecek olursak, konusunda bir numara kitaplardan The Code Complete' ın yazarı Steve McConnell ' da kitabın girişinde bir dili öğrenirken insanların önce XXX' başlangıç kitabı, daha sonra ileri seviye XXX, daha sonra da ileri ileri seviye XXX gibi kitaplar okuduğundan bahseder.

Sanırım epriyi yakaladınız Code Complete genel olarak programlamayı öğretir size, bir diğer ama daha uç bir örnek ise alman Dr. Knuth' un Art of Computer Programming' tir. Hakkını vererek okumayı beceremediğim kitaplardan. "Art of" hakeden nadir eserlerden. Konu biraz dağıldı ama Pazar sabahı kitap karga bokunu yemeden kitap arasında bu muhabbetlere dalınca bu şekilde oluyor, ben kitabıma devam edeyim.

Recent Blog Posts

See all of the blog posts