有關 鋤強扶弱

4 March 2006

買野最怕就係冇第二個 choice
D sales 仲惡過你

講個我聽返黎故事俾大家聽

話說有個地方, 例如一個荒島, 不嬲既毒品就由三個人帶入去賣
咁唔知點解版主就有好多錢 wor
就請人都運毒品入去個島賣
仲要個價係低過來貨價 係果三個人做開既十份一!

我既毒品咁平梗係好好賣啦
果三條友迫住都要減價 同我一齊燒銀紙
同時 版主仲要仆街到 送free sample 去全島所有既學校
等由幼稚園學生到大學生都食我既毒品

等到果三個人既銀紙燒到咁上下頂唔順
我咪收購埋佢地
好啦
到而家 competitor 又冇曬兼全島人都上癮既時間
我中意點 markup 個價都得啦
嘿嘿

拿
上面個故仔 聽完就算
版主冇讀過 econ 唔知岩唔岩
不過我就真係好想多返幾間公司黎同 M$ 爭下
等佢冇咁霸道

德蟲系列 之 M35

原文 post 於 二千零六年一月十九日

版主好中意睇戰爭片
由 Saving Rrivate Ryan 到 虎虎虎!偷襲珍珠港!
睇到去 大陸拍既 血戰台兒莊
甚至係 日本既 敵後縱橫八百里
中外通殺

以前每看大陸/台灣既戰爭片
總覺得國民黨軍隊制服甚是好看
年青軍官總是英偉不凡 (咁當然只限台灣片啦)
尤其係個頭盔
後尾少少驍起比起美軍半圓型成個龜殼咁 贏足成條街

以前細個唔識諗 點解當年中國咁窮
都可以做到個咁靚既國盔
直到有次睇一個講二戰德國既電視節目我先發覺

媽的!
原來德軍同國軍係用埋同一款頭盔!
M35 頭盔!!

我好相信
大家都知二戰果陣
德/日/意 是軸心國
中/英/美/法/蘇 是為盟軍 兩面係對立既
國軍同德軍用埋同一款頭盔
其實都係一件幾特別既事

其實
由滿清洋務運動開始
中德關係一直都幾好



由於德國陸軍強大
不嬲都有個講法就係
海軍師英國
陸陣師德國
德國陸軍對中國影響最大既時候
就係三十年代
國共兩面都有德國既軍事顧問
而蔣介石本身都係欣賞德國
甚至係欣賞 納粹黨
(大家都有共產黨呢個共同敵人)
蔣介石亦都將佢既二仔蔣緯國送去德國軍校讀書
而蔣緯國亦好似參加過佔領瑞士同奧地利 ( 仙樂飄飄處處聞!! )

而德國果陣係一戰戰敗國
急需貿易伙伴
要幫佢地既軍備搵買家
蔣介石就急需軍備
一拍即合

中國果時係冇錢
就用錫/鎢呢d金屬黎換軍備返黎
除左頭盔之外
仲有裝甲車/槍械等等 都係果陣運入黎中國

咁到左最後
德國聯絡日本幫手砌美國
點都要放棄中國

咁之前我睇過一本書叫 蔣介石與希特勒
(http://www.sanmin.com.tw/page-product.asp?pf_id=000097691)
入面講過中國同德國到左二戰中後期
都係 面不和心和 既關係
果陣反左面之後
中國大使返中國, 係有德國官員叫佢地留返一個人員向中國既
到左盟軍勝利之後
係人都唔會話自己同希特勒有路架啦
加埋國民黨有美國撐

呢段中德關係就慢慢俾人忘記

Tora Tora Tora!

前幾晚睇左呢套
偷襲珍珠港
英文叫 tora tora tora!
tora
日文黎的
意思係老虎
而 tora tora tora 就係日本向1941年偷襲珍珠港
用既一個密碼

呢套戲係向 1970 年拍既
而家睇返都係咁好睇
仲好睇幾年之前由Ben Affleck 做果套

tora tora tora 特別既地方在於
由美日兩國既導演一齊合作拍既
由美國導演拍美軍
由日本導演拍日軍
以前細個會中意飛機大炮打黎打去
而家真係開始識欣賞戰略部署
果種準備工作更加引人入勝
呢套戲好成功交代兩邊向偷襲珍珠港前既工作

由於係兩國導演一齊拍既
比起其他既戰爭片都算好中立
甚至我覺得成部遵都係日本海軍既戲份係多過美軍

講起偷襲珍珠港
就不得不講成個行動既策劃人
日本海軍聯合艦隊總司令 山本五十六
此人一直都反對同美國開戰
因為佢知道美國實力比日本強
但由於內閣比陸軍控制
又日本需要經過英美控制既 菲律賓 香港 同 新加坡
先去到南印尼拎到石油
所以不得不戰

Re: RFID virus?

The whole idea is not to infect the chip, but the reader.

The main problem is that people/RFID programmers nowadays tend to
implicitly trust things that are stored in the RFID chip. Once read, the
data from the RFID is assumed to be correct without any data checking.
This practice is problematic when you have no assurance of what is
actually stored in a foreign RFID chip.

For instance, it is not safe to assume that storing to the database is
harmless. One of a well known problem already identified and (hopefully)
well circulated in the web programming community is the infamous SQL
Injection. This also apply to the RFID case. Depending on what can be
stored in the RFID (which Sun can tell me hehe), some extend of SQL
commands can be stored into the chip as DATA to be read by the RFID
reader. The RFID reader, I suppose, should be treating the data decoded
to be a string (or array of characters). If no checking is done, and the
reader tries to read from the database the information related to the
tag ID (I am just guessing there is a tag ID in the RFID :P correct me
if I am wrong), something like the following is executed:

SELECT * FROM RFIDTABLE WHERE TAGID="";

where the  part is the data read from RFID.

Normally, this should work and fetch all the data fields related to the
given Tag ID. However, consider if I am able to store in the RFID a
string of 3716273612\"; DELETE FROM RFIDTABLE;

then the SQL statement after decode becomes

SELECT * FROM RFIDTABLE WHERE TAGID="3716273612"; 

DELETE FROM RFIDTABLE;

Which is now TWO queries, the first one being a simple query while the
other one is to delete everything from the RFIDTABLE. You get the point
by now, right?

This is only one of the possibilities. Depending on the programming
language used, it is possible to exploit buffer overflow again, as has
been used countless times in the computer virus world.

Another possibility depends on the communication protocol that a (hand
held) reader communicates with the back-end system. A common choice
would be HTTP, like accessing a web-based application from a PDA that is
reading RFIDs. Now, again, everything that applies to web programming
applies here. The programmer on the PDA side may not be careful with the
data read, and pass directly to the backend via HTTP. Yet, the backend
programming may simply thinks that the PDA programmer won't cheat the
company by crafting wrong inputs to my scripts and do no checking at
all. This will allow easy code insertion in the form of javascript,
vbscript, etc. to the backend system.

All in all, when you do programming, reading data can mean code
execution, especially when you are doing scripting and database
languages, where you are passing dynamic string like commands around. A
good practice is to NEVER trust data external to your program.

Sun wrote:

> 我唔明
> RFID chip 入面既 data
> load 左入去 database
> 都係 data
> 
> 你唔 execute 佢就應該冇事
> 有冇 CS 人可以答到得?

 [科技新知]無線射頻辨識標籤易中毒,威脅安全--荷蘭科學家
3月 16日 星期四 13:09 更新
路透阿姆斯特丹電---荷蘭一大學的科學家周三稱，正在替代無所不在條碼的廉價
無線電晶片不僅威脅隱私，而且容易受到電腦病毒攻擊。
阿姆斯特丹自由大學(Free University)的研究人員製作了一個感染病毒的無線射
頻辨識(RFID)晶片以證明︰盡管這種廉價晶片的記憶體容量極低，但RFID系統仍很
容易受病毒攻擊。
研究說，問題在於RFID標籤一旦中毒，當穿過掃描門，以無線方式被讀取時，就可
能感染正在處理晶片資訊的資料庫。
「研究RFID技術的每個人心裡都以為，僅把RFID標籤掃描一下不會改變後端軟體，
肯定不會給它帶來惡性影響。遺憾的是，他們錯了，」自由大學的科學家寫道。
「RFID標籤可能感染病毒，而這一病毒可以感染RFID軟體使用的後端資料庫，然後
又可從那兒輕易傳播給其他RFID標籤，」他們說。
他們表示，因此罪犯或激進分子可能使用感染過的RFID來破壞航空公司行李處理系
統，從而可能導致災難性後果。同一技術還可能被用來破壞超級市場的資料庫。
「這是為了敲響警鐘。我們要求RFID業界設計出安全的系統，」研究報告作者之一
塔嫩鮑姆接受電話採訪時說。
發明於50多年前的RFID技術正取得一些緩慢進展，但生產成本的制約仍在阻礙其大
規模進入市場。RFID微型晶片被推崇者譽為奇妙科技，因為它可望在購物和製造業
領域掀起一場革命。
從理論上講，日常生活中每樣東西都可用RFID無線網絡連接起來，每一件製成品都
可被追蹤監控。電腦科學家把RFID稱作「物品的網際網絡」，批評者則認為，這種
無線電標籤可能導致隱私權被肆意侵犯
--

原罪

序

友 ivan 兄於公元二千零六年三月十七日
誠在吾新聞組內發表對 RFID virus 一文之回應
其內容分析之獨到 組織之嚴謹
實為本谷之模範

唯 checknews server 儲量甚少
恐 ivan 兄之心血付諸東流
現吾特另闢此 blog
望此等好文章能比日月 永存汗青

草於公元二千零六年三月十九日
此為
原序