The HITB Magazine #6 now available!

As usual, I would like to inform you that the sixth issue of the Hack in the Box Magazine has just been published. Unlike previous editions, the paper is released several weeks after the HITB Amsterdam 2011 security conference – we spent the additional time working on providing you with even more interesting sections and articles. Despite the strictly technical articles (covering Web, Network, Linux, Windows and Application security areas), you can also find two unique interviews: one with the Facebook CSO Joe Sullivan, and the other one with Chris Evans and Adam Mein (members of the Google Security Team), discussing a variety of advantages, disadvantages, issues and benefits related to the famous Vulnerability Reward Program.

What shouldn’t be much of a surprise, the Windows Security section contains an article of mine, called Windows Numeric Handle Allocation In Depth. In the write-up, I have thoroughly described the allocation and deallocation algorithms, used by the Windows kernel to assign numeric identifiers (handles) to various types of hardware and software resources. As it turns out, the research might have a significant impact on an interesting (yet, not very well known) software vulnerability class, called Handle-based use-after-free condition. The details of such a vulnerability were to be made available within one week, however Microsoft has postponed the release date of several of my security advisories. Therefore, a detailed blog entry explaining the intricacies of an example flaw of this type is going to show up at my (MS?) earliest convenience. Well.

Oh and by the way, as some of you may already know, that I am soon moving to Zurich, Switzerland… Wish me luck on my new path of life :-)

Photo by Gynvael Coldwind

The magazine can be currently downloaded from here (HITB-Ezine-Issue-006.pdf, 31,4 MB)

Contents table

Events

HITB 2011 Amsterdam (04)

Random Data Gets In The Box (10)
by Nigel Brik (zkyp)

Web Security

Next Generation Web Attacks – HTML 5, DOM (L3) and XHR (L2) (14)
by Shreeraj Shah, Blueinfy Solutions

Network Security

Botnet-Resistant Coding (24)
by Fabian Rothschild and Peter Greko (Hack Miami), Aditya K Sood and Richard J Enbody (Michigan State University)

Linux Security

The story of Jugaad (34)
by Aseem Jakhar

COVER STORY

Social Security (42)
by The Editorial Team with Joe Sullivan

Windows Security

Windows Numeric Handle Allocation In Depth (48)
by Matthew “j00ru” Jurczyk

Application Security

Hardening Java Applications with Custom Security Policies (58)
by Marc Schoenefeld

Professional Development

CISSP Corner – Tips and Trick on becoming a Certified Information Systems Security Professional (68)
by Clement Dupuis

Books: The Linux Programming Interface: Linux and UNIX System Programming Handbook (70)
by Michael Kerrisk

Books: DTrace: Dynamic Tracing in Oracle Solaris, Mac OS X and FreeBSD (Oracle Solaris Series) (71)
by Brendan Gregg & Jim Mauro

Interview

Google Vulnerability Reward Program (72)
by The Editorial Crew, with Chris Evans and Adam Mein

As always, enjoy the issue!

17 thoughts on “The HITB Magazine #6 now available!”

  1. no niestety, moim zdaniem to blad
    Google to korporacyjne bagno jak wspaniali by Ci sie nie wydawali poki co, w Twoim wieku powinienes cieszyc sie mlodoscia, uczyc sie, studiowac, a nie byc wyrobnikiem dla jakiejkolwiek firmy, tracisz najlepsze lata zycia, w imie czego je tracisz ? Zastanawiales sie, czy elitarnosc tej firmy przyslonila Ci wszystko inne? Myslisz, ze oni sa lepsi niz inni? OK, jest paru zdolnych inzynierow, niezla marka, za 20 lat moze juz ich nie byc rownie dobrze… A Ty bedziesz mial 40 lat i zaczniesz sie zastanawiac czy nie zmarnowales najlepszych lat zycia na prace, odpowiedzialnosc za pare wiecej euro.

  2. @subiektywy
    Ad “Google to korporacyjne bagno”
    Z ciekawości, na czym opierasz ten pogląd?

    Ad “w Twoim wieku powinienes cieszyc sie mlodoscia, uczyc sie, studiowac, a nie byc wyrobnikiem dla jakiejkolwiek firmy, tracisz najlepsze lata zycia, w imie czego je tracisz ?”
    Ah, uwielbiam jak ludzie mówią inni co ci powinni robić ;)

    Ad “Zastanawiales sie, czy elitarnosc tej firmy przyslonila Ci wszystko inne? Myslisz, ze oni sa lepsi niz inni? OK, jest paru zdolnych inzynierow, niezla marka, za 20 lat moze juz ich nie byc rownie dobrze… A Ty bedziesz mial 40 lat i zaczniesz sie zastanawiac czy nie zmarnowales najlepszych lat zycia na prace, odpowiedzialnosc za pare wiecej euro.”
    Nie znasz zbyt dobrze j00ru, ne ? ;)

    No off, ale Twój komentarz wygląda na nieprzemyślany i oparty na widzimisiach.

    Cheers!

  3. @subiektywy: No cóż, pochlebiasz mi troską o moją karierę ;) Jeśli chcesz podyskutować nt. wyboru studiów / pracy, zapraszam na e-mail (lub IM), po uprzednim przedstawieniu się ofc.

    @Andrzej: Dzięki!

  4. Gratuluję j00ru. Pewnie faktycznie będziesz minimalnie zaniżał średnią wieku pracowników, ale to nie Twój problem, tak długo jak będziesz się tam w 100% realizował (*), czego pozostaje Ci życzyć. Zdradź jeszcze jak brzmi tytuł stanowiska, które będziesz piastować. ;)

    (*) A jak nie… odpoczniesz trochę z procentów, a dalej jest masę innych firm, do których będziesz mógł z pozytywnym skutkiem zapukać. Ionescu na pewno by Ci to potwierdził jakbyś go zapytał. :)

  5. @przemoc: Dzięki! Ano, samorealizacja to zdecydowanie jeden z warunków koniecznych do podjęcia pracy w dowolnej firmie ;) Co do innych firm – taa, Alex na pewno coś o tym wie, afair przechodził przez proces rekrutacyjny w sporej ilości wiodących korporacji związanych z IT ;)

    Tytuł stanowiska o który pytałeś to Information Security Engineer.

  6. @subiektywny:
    za to ty w wieku 40 lat bedziesz klepal webshopy w drupalu, dzieki magicznym chwilom przezytym w obskurnych pokojach swojego akademika.

    @jooru: gz :)

  7. Na wstępie gratulacje dla j00ru.
    Jako następne chciałbym nieco podsumować wypowiedź >subiektywy<.
    Wyciągnąłem wnioski z twojej wypowiedzi na ten temat i uważasz, że człowiek który masowo
    nabiera umiejętności / pracuje już w firmie nie ma czasu dla siebie, yep ?

    Teraz powiem na własnym przykładzie, myślę, że on siedzi tyle samo czasu przed monitorem co i ty, ale
    on poświęca ten czas na prowadzenie blogu / nabieranie skill'a, zamiast gier, czy facebook'a. Powiem jeszcze coś, jako że mam dosyć duży dystans do siebie i moich czynów, jestem dobrym imprezowiczem i mało kiedy
    odmawiam jakiejkolwiek libacji(oczywiście to musi mieć jakieś odstępy czasowe) xD.

  8. @antoni fujarka: thx ;> mam wątpliwości, czy warto wdawać się w tę dyskusję ;p

    @flox3nd: dzięki! dobrze wiedzieć, że jesteś dobrym imprezowiczem i libacje nie są Ci obce ;)

    @Ziro_Kul: thx, pamiętam (do właściwej przeprowadzki jeszcze trochę czasu)

    @Marcin Z: j/w thx!

  9. Hi.

    Najpierw Gyn, potem j00ru, ciekawe kto następny ;D Anyway, gw j00ru ;) imo kariera stoi przed tobą otworem, keep the fire burning !
    Wszystkiego najlepszego na nowej drodze życia jeśli mogę się tak wyrazić ;p

Comments are closed.