viernes, 19 de mayo de 2006

OCR y Codigo (maligno) de Barra

Existe la posibilidad de tomar el control de una terminal de caja, o de todo el sistema de un negocio (supermercado, farmacia, tienda de accesorios, etc...) con tan solo mostrar a un lector OCR un código de barra especialmente diseñado para otro propósito que simplemente cobrar un producto. En los pasillos de los establecimientos aparecen lectores OCR, donde a partir del código de barra realizan una busqueda del precio del producto y lo despliega en pantalla, para la previa selección del comprador. Estas barras representan un número en formato UPC o EAN-8/13 (al menos en República Dominicana). Sucede que estos lectores también leen los formatos Code 128B/C/Raw que permiten representar todos los caracteres ASCII. Esto abre todo un mundo de manipulación digital, permitiendo crear inyecciones de código, anular cobros, modificar datos y quizas hasta inhabilitar el sistema. Un paraíso para futuros cyber-vándalos se podría evitar hoy prestando mayor atención a este aparentemente-inofensivo vector de ataque. Ejemplo, supongamos que tenemos un servidor MS SQL y una aplicacion con el siguiente código: query = "SELECT precio FROM productos WHERE codigo = " + OCR_getCode() En los lectores, la gente verifica los precios de sus productos antes de pagar, y que pasaría si mostraramos el siguiente código? (Representacion en Codigo 128B de "-1 union all select -100 as precio") Se completaria el codigo de la siguiente forma: query = "SELECT precio FROM productos WHERE codigo = -1 union all select -100 as precio" trayendo un producto de precio: $ -100.00, es decir, rebajandole 100 pesos al total de la compra si se pega este codigo a un producto. las posibilidades son terriblemente interminables... Opino que se deberia prestar mas atención a esto antes de que sea más tarde y se conozca en la calle...

martes, 16 de mayo de 2006

Lo adminto, soy un geek...

Al parecer soy un geek... Hechos: - Llegue a alcanzar el limite de espacio de lineas en un programa de gwbasic... - Saque Mayor Geek, rayando en super en el Geek Test - Le he cambiado la ropa a Super Mario (se modificar ROMs de nintendo) y le di esteroides (y lo puse invencible)... - Hice un emulador de particulas de agua (lluvia o nieve) en menos de 15 lineas de codigo - En el colegio me decían: Dexter, Newton, Nerdo, etc... - Tuve una Commodore 64 y sobreclockie virtualmente una Tandy Radio Shack 80 emulada. - Use breteles, entre otras cosas mas...

pero na... Aquí comparto unos cuantos links interesantes...

Juego matemático que simula patrones de vida artificial (Game of Life) http://en.wikipedia.org/wiki/Conway%27s_Game_of_Life

Alteraciones de Hardware y Tecnología en general Diario!!! http://www.hackaday.com/

Video Juegos con Concepto http://www.80smusiclyrics.com/games/ Unix Koans http://www.catb.org/~esr//writings/unix-koans/

actualizare este post según valla recordando más... EOF

El Café y la programación

La capacidad que tiene la cafeína (C8H10N4O2) de reducir la percepción de la fatiga y colocar la mente en un estado de alerta relajada, es en extremo beneficioso (bajo dósis adecuadas y controladas) para el programador, investigador y desarrollador. Este blog hace alución a la sustancia que esta detras de muchos de los mas sorprendentes avances que han impulsado la tecnología de la información. Asi que asegurese de darse su cibercafecito visitando siempre este, su blog, Methylxantina 256mg.