הגליון השני של Digital Whisper שוחרר!

אז מה המצב? הגיע עוד סוף חודש ואיתו מגיע הגליון השני של המגזין Digital Whisper.
אבל לפני הכל, היינו רוצים להגיד תודה רבה לכל מי שהגיש יד בפרסום המגזין
ברחבי האינטרנט. מאז שחרורו של הגליון הראשון פנו אלינו מספר לא קטן של קוראים שהציעו
לכתוב מאמרים לגליונות הבאים, הציעו הצעות לשיפור, נתנו פידבקים, תיקנו והשקיעו זמן יקר
מזמנם- תודה רבה!

הגליון הנ"ל מכיל שבע כתבות חדשות בנושא הטכנולוגיה ואבטחת המידע. החודש לא היה
פשוט מבחינת זמנים עקב גורמים כאלה ואחרים אבל כמו שאתם רואים- סוף החודש כאן וגם
אנחנו.
 
תודה רבה ל- Zerith על שכתב מאמר לגליון! 

הגליון השני מכיל את הכתבות הבאות:
  • SSL & Trasport Layer Security Protocol: (נכתב ע"י cp77fk4r)
               מאמר הסוקר את משפחת הפרוטוקולים הללו ודרכי התמודדותם עם המתקפות השונות.

  • Manual Unpacking: (נכתב ע"י Zerith)
               מאמר המסביר איך לגשת לקובץ שביצעו עליו Packing, ועל איך לזהות ולעקוף מספר מנגנוני "Anti-Reversing" למיניהם.

  • וירוסים- שיטות טעינה: (נכתב ע"י cp77fk4r)
               מאמר המציג את דרכי הטעינה הפופולאריות שבהן משתמשים כותבי הוירוסים למערכות חלונאיות במהלך השנים.

  • RFID Hacking: (נכתב ע"י cp77fk4r)
               מאמר המציג את החולשות הקיימות בטכנולוגיית ה- RFID, אופן ביצוע המתקפות עליהן ודרכי ההתמודדות איתן.

  • Port Knocking: (נכתב ע"י cp77fk4r)
               מאמר המסכם מספר דרכים לשיפור אבטחת השרת שלכם ע"י שימוש בטכניקת ה- Knocking.

  • הפרוטוקול Kerberos V5: (נכתב ע"י cp77fk4r)
               מאמר המסביר על ניהול הרשאות ברשת האירגונית הממודרת, על תפקיד ה- Kerberos ועל מנגנון אימות הזהויות.

  • DNS Cache Poisoning: (נכתב ע"י cp77fk4r)
               מאמר המפרט את הרעיון הכללי העומד מאחורי אותן המתקפות, על החולשות בפרוטוקול ה- DNS ועל דרכי ההתמודדות איתן.

קריאה נעימה!

הגליון הבא ייצא בדיוק ביום האחרון של חודש נובמבר. נשמח לשמוע את תגובותיכם על הגליון.


תגובות על 'הגליון השני של Digital Whisper שוחרר!':



#1 

aviho1 (אורח):
נהדר! תודה רבה
מצפה בקוצר רוח לגיליון הבא
31.10.2009 17:45:39

#2 

UnderWarrior:
:) זו היתה תגובה מהירה. כבר הספקת לקרוא?
31.10.2009 17:50:08

#3 

The Captain (אורח):
כשהגליון נמצא באתר כבר מאתמול, אז כן. זה הגיוני שהוא הספיק לקרוא :)
31.10.2009 18:17:03

#4 

zEt0s- (אורח):
אז מה..ראשון?
כל הכבוד! יקרא במשך השבוע [=
31.10.2009 18:17:33

#5 

m1ch43l1014 (אורח):
בהצלחה עם הגיליון
וקריאה מהנה לכולם !
31.10.2009 18:22:21

#6 

El Capitan (אורח):
גליון נחמד מאוד. נהנתי מיוחד מהכתבה על RFID.
מי ייתן וירבו כאלו כתבות בגליון הבא.
31.10.2009 18:25:21

#7 

UnderWarrior:
יש לך נקודה. מישהו (אפיק!!!!!!!!1) הולך לתת דין וחשבון :מבט-מרושע:
31.10.2009 18:31:48

#8 

cp77fk4r:
קשקושי שכל, הגליון עלה היום לשרת כשבע דקות לאחר יציאת השבת.
31.10.2009 18:33:54

#9 

l3D:
אחלה גיליון
31.10.2009 20:04:55

#10 

m1ch43l1014 (אורח):
מסכים עם אפיק :)
גיליון מעולה !
31.10.2009 20:22:53

#11 

someone235 (אורח):
כל הכבוד! עדיין לא קראתי, אבל אני רואה שלקחתם את ההצעה שלי לעשות תוכן עניינים עם לינקים פנימיים :)
ד"א, מה דעתכם להוסיף לאתר כפתור "שכחתי את הסיסמא", כי זה מה שקרה לי עכשיו XD
31.10.2009 21:06:49

#12 

UnderWarrior:
ססמא זה לחלשים.
(נלקח בחשבון - יכנס באחד משדרוגי האתר הקרובים)

מוקמו קישורים פנימיים. בגליון הבא אני רוצה לנסות ניסוי ולנסות להכין אותו ב-LyX - עוד נראה אם זה שיפור או נסיגה
31.10.2009 21:33:45

#13 

cp77fk4r:
someone235 - כן, זה אכן היה מתבקש. תודה! ובקשר לשכחתי סיסמא- כמו שניר אמר, יכנס באחד מהשדרוגים הקרובים :)

ולכל השאר- תודה רבה! :)
31.10.2009 22:11:31

#14 

PHANTOm (אורח):
הגליון השני די ריק מתוכן.
כתבה מאוד לא שימושית על KERB5, אפיק, לא שיחקתה עם זה הרבה אה?
Port Knocking לא שימושי בעליל
Manual Unpacking תרגום משעמם ביותר
כתבה מעניינת על וירוסים, למרות שחסר על שיטות שאנטירירוסים לא מוצאים(אבל אולי זה לא הפורום).
אבל שלא יצא שאני רק אומר דברים רעים, אחלה השקעה והגליון הראשון בהחלט היה סבבה.
01.11.2009 10:21:42

#15 

Ratinho שכחתי סיסמה:D (אורח):
קראתי כבר חצי ונראה ממש אחלה=]
כל הכבוד!
01.11.2009 11:16:02

#16 

advance (אורח):
אוקי, כתבה נחמדה על SSL אבל חסרת כל חלק טכני, חסר פירוט על התקפות וכשלים של הפרוטוקולים הקודמים, ומה עם MITM של ה-CA?

אני חושב שכרגע, הקטע מתאים בעיקר לסטודנטים למדמ"ח שרוצים לקבל איזה heads up על SSL - הכתבה כתובה בצורה קריאה ונעימה, שזה אחלה.
01.11.2009 12:19:56

#17 

cp77fk4r:
PHANTOm, תודה על הבקורת, ובמאמר על הקרברוס פשוט מאוד הצגתי את הרקע והבעיה, ואת הפתרון בעזרת השימוש בפרוטוקול.

וadvance, בקשר ל- SSL אתה צודק, המאמר לא טכני, אלה מסביר באופן ענייני את העניין בפרוטוקול, מבלי ההחתמה של התעודה והפרטים הטכניים- כי שוב, הוא לא מאמר טכני.

תודה על התגובות, הכל נלקח לתשומת הלב.
01.11.2009 12:24:40

#18 

cp77fk4r:
תודה רבה.
02.11.2009 12:30:56

#19 

האקר של ג' (אורח):
תודה לכם
02.11.2009 14:05:03

#20 

אלצ'קו (אורח):
http://www.underwar.co.il/forum/forum_posts.asp?TID=9738
03.11.2009 16:22:53

#21 

אלצ'קו (אורח):
http://www.underwar.co.il/forum/forum_posts.asp?TID=9738
03.11.2009 16:23:37

#22 

לומד (אורח):
תמשיכו ככה, נהנה לקרוא!
ותשאירו את זה כPDF.
תודה !!
05.11.2009 18:36:26

#23 

cp77fk4r:
תודה. ונכון לעכשיו אין שום כוונה לשנות את פורמט הגליון.
05.11.2009 22:17:51

#24 

jsz (אורח):
בהצלחה,חומר מעניין..
06.11.2009 13:14:46

#25 

Sky (אורח):
גיליון מרתק! Manual Unpacking הוסבר בצורה מצויינת,
כל הנושאים שנכתבו על ידי cp77fk4r ( למעט DNS Cache Poisoning ) היו חדשים לי ומרתקים מאוד!
אני נהנה לקרוא את הגיליונות שלכם ומחכה בקוצר רוח לגיליון הבא ( נראה לי שאני אמצא אותו לפני כולם ;] ).

ושוב, כל הכבוד!
07.11.2009 13:52:43

#26 

Sky (אורח):
גיליון מרתק! Manual Unpacking הוסבר בצורה מצויינת,
כל הנושאים שנכתבו על ידי cp77fk4r ( למעט DNS Cache Poisoning ) היו חדשים לי ומרתקים מאוד!
אני נהנה לקרוא את הגיליונות שלכם ומחכה בקוצר רוח לגיליון הבא ( נראה לי שאני אמצא אותו לפני כולם ;] ).

ושוב, כל הכבוד!
07.11.2009 13:53:39

#27 

קורא (אורח):
עוד גיליון מעניין!
תודה רבה!
09.11.2009 14:03:31

#28 

StamNick (אורח):
גליון מעניין, תודה. אשמח אם תשאירו כ- PDF.
14.11.2009 18:09:51

#29 

מוטי:
תודה.
האם אפשר לקבל עדכון למייל עם יציאת גליון נוסף?
14.11.2009 21:21:07

#30 

cp77fk4r:
בקרוב נוסף למערכת אפשרות של רשימת תפוצה ומנגנון RSS בכדי שתוכלו להתעדכן על כל פוסט שיוצא.
14.11.2009 21:59:36

#31 

שואל (אורח):
שאלה

תקשורת בין שרתי DNS לא מתבצעת באמצעות TCP והופכת את כל העניין לטיפה יותר מסובך?
23.11.2009 14:00:28

#32 

cp77fk4r:
רב התקשורת בין רב שרתי ה-DNS מתבצעת ע"ג UDP חוץ מבמקרים ספציפיים כגון שאילתות AXFR\IXFR (שאליתות להחלפת כלל/חלק מהמידע הקיים).

לעומת זאת, ישנם מספר שרתי DNS חלק מהגרסאות הישנות של AIX שברירת המחדל שלהן היא אכן TCP וזה באמת מקשה על התקיפה.
23.11.2009 15:41:05

#33 

timmy (אורח):
המאמר על SSL הוא לא רק לא טכני אלא גם מטעה ושגוי, הכותב צריך ללמוד מחדש איך עובד PKI ולהוציא מאמר חדש נכון ומדויק, עולה הרושם כי המשתמש המאמת את תעודת הוובסרבר ניגש תקשורתית לCA שזה פשוט לא נכון, אין שום איזכור לשימוש בתעודות trusted root ובדיקה של CRLים כמנגון בדיקת התקינות של התעודה, האיזכור לשימוש בפוקנציות גיבוב פה הוא לא נכון, כנראה לצורך פישוט המאמר בלי להכנס לפרטים של יצירת ה premaster secret ולבסוף ה master secret, כמו כן יש לשים דגש על כך שלא מספיק שהמשתמש מאמת את השרת אליו הוא גולש, גם השרת צריך לאמת את המשתמש, טעון שיפור וחלש, חבל
22.12.2009 11:57:39

#34 

cp77fk4r:
ממש לא timmy, אם אני מבין נכון הבנת את זה מהשירטוט- הרעיון היה להסביר שיש בדיקה מול צד ג' אמין בכדי לאמת את השרת. 

וכן, אתה צודק שקיימים במנגנון מרכיבים שלא הוזכרו במאמר כמו הדוגמא שנתת, אבל חשוב לזכור שהמאמר בא להסביר את הרעיון הכללי של המנגנון ולא לרדת לעומקו.

תודה על התגובה.
29.12.2009 14:07:12

#35 

אני (אורח):
בקשר ל SSL יש דרך לבצע Man in the Middle הדרך זה ש ה MitM פשוט לא מחזיר את המידע לקורבן ב SSL התוכנה sslstrip מיישמת את הרעיון הזה
03.01.2010 07:46:12

#36 

cp77fk4r:
אתה צודק אך במקרה כזה- לקורבן מאוד קל לזהות שהוא מותקף.

יצא לי לבצע מתקפה כזאת ובכדי להערים על הקורבן ה_תמים_ אפשר להוסיף (אחרי התחנה שעושה SSL SRTIP) לכתובת "HTTPS" - וכך לגרום לדפדפן להציג לקורבן את ההודעה ה-"ירוקה" (שמעידה על כך שתקשורת ה-SSL תקינה).

אבל אם תסתכל על התקנים השונים- במידה והאפליקציה יודעת שהיא אמורה לקבל תקשורת ב-SSL והיא מקבלת תקשורת HTTP (למשל) רגילה- היא אמורה לדווח על כך.
10.01.2010 13:44:01

#37 

אבשלום קור (אורח):
אגב, בגיליון זה יש שבע כתבות ולא שבעה :) (סליחה על הקטנוניות :P)
22.02.2010 15:40:01

#38 

אחד שמתקן את אבשלום קור (אורח):
אחרי אגב לא נהוג לבוא שתי נקודות [..] אלא פסיק [,] וכמובן שצריך לסגור את הסוגריים שנפתחו [(סליחה על הקטנוניות)]
22.02.2010 18:22:16

#39 

cp77fk4r:
תוקן, תודה רבה!
22.02.2010 21:16:41

#40 

אבשלום קור שעונה לאורח (אורח):
הייתי מתקן את השתי נקודות אם הייתי יכול :)
והסוגריים נסגרו - זה פשוט לא מוצג כמו שצריך.
וכמובן שהכוונה לא היתה להקניט - אני מאד נהנה לקרוא את הגליונות.
23.02.2010 08:50:42

#41 

cp77fk4r:
תקנתי לך את הנקודות, ובבקשה להגיב בהקשר לתוכן הפוסט.

תודה רבה :)
23.02.2010 11:13:50

#42 

אחד שתיקן את אבשלום קור (אורח):
אולי תתן יד ותנסה ליצור קשר עם הנהלה בנושא של הגיה?יש סיכוי מחפשים אנשים שיעברו ויעשו הגיה למאמרים.הנה הקישור: http://www.digitalwhisper.co.il/Contact/
23.02.2010 20:22:46

#43 

cp77fk4r:
הגהה*
וכן, אנחנו מחפשים כאלה.
23.02.2010 20:46:09

#44 

החל מעוד 4 חדשים אני אשמח לעזור (אורח):
אבשלום :)
24.02.2010 08:19:30

#45 

Ratinh0 (אורח):
לא עמדתי בזה, הייתי חייב =]
שיטה נוספת למאמר של הטעינת וירוסים, שלמדתי אותה על בשר המתכת של המחשב שלי =\
- וירוסים שמכניסים את עצמם לTask Scheduler שיעלו בטעינת משתמשים או המערכת...לא מופיעים בstartup למינהם... :)
08.04.2010 19:08:07

#46 

cp77fk4r:
כן, צודק לחלוטין, משתמשים ב-At וב-schtasks
08.04.2010 22:17:31

#47 

חדש פה (אורח):
אמנם באיחור, אבל שאלה לגבי PK.
בעמודים 58-59 כתבתם שReplay Attacke לא תעבוד במקרה שמוסיפים timestamp לsequence בגלל שלשרת יש timeout מהיר מאוד. אבל מה קורה אם התוקף (MITM בהכרח, נכון?) שולח את הפקטה לשרת ברגע שהוא מקבל אותה ?
תודה..
30.10.2010 14:49:37

#48 

cp77fk4r:
שולח את חבילת המידע של איזה צד? תספר את הסנאריו המלא בבקשה.
04.11.2010 09:07:06

#49 

חדש פה (אורח):
התכוונתי 56-57.. \:
בכל אופן... כשקליינט רוצה לקבל גישה לפורט מסוים ושולח לPKD פקטות לפי sequence מסוים שמכיל גם timestamp ואת המפתח הסודי שנקבע מראש לכל פורט.
כתוב שהדבר היחיד שתוקף MITM יכול לעשות זה להעביר את המידע שעובר דרכו הלאה, כי אין לו את המפתח הפרטי של השרת, ושבמקרה של replay attack מצד הMITM, היא פשוט לא תעבוד בגלל הtimestamp (למרות שכל המידע בפנים - הפורטים והמפתח הסודי שלהם).
השאלה היא מה קורה אם התוקף עושה replay attack (בשלב של הsequence ) בדיוק באותו רגע שהוא קיבל את הפקטה המקורית מהקליינט? השרת לא אמור לדחות את הבקשה לפי הtimestamp..
תודה
04.11.2010 12:19:42

#50 

cp77fk4r:
היי, במקרה כזה הפאקטה תעבור ותתקבל בשרת- שים לב שכתבתי שם שלמנגנון ה-PKD אין אפשרות לדעת מי שלח את הבקשה.

לדעתי, מה שאפשר לעשות בכדי למנוע דבר שכזה, זה להכניס פרטים על העמדה המתחברת (כגון כתובת IP מקורית) ולהצפין את המידע עם המפתח הפרטי של השרת, וכך כאשר תוקף יעביר את החבילה, השרת אכן יקבל אותה, אך כאשר הוא יפתח את החבילה וישווה בין כתובת ה-Source IP לבין מה שכתוב באותה חבילת מידע (לאחר הפענוח) - יהיו שונים והתקשורת תקבל DROP.

כאשר ממשמים את זה, חשוב לזכור שכתובת ה-IP תהיה בתוך המידע המוצפן ולא מחוצה לה, בכדי שלא יהיה ניתן לזייף אותה, או בפשטות: יש להתייחס למידע הזה בדיוק כמו שמתייחסים ל-Timestamp.

הייתי מובן?
04.11.2010 13:56:45

#51 

sdimant:
סיפי אני לא ממש הבנתי, הרי בפאקט המוצפן רשום את האייפי של השולח המקורי. ואז כשאני בתור MITM מעביר את הפאקט הלאה, ה-destination לא יכול לדעת מאיפה הפאקט הגיע (חוץ ממה שרשום בפאקט עצמו, שאותו כמובן אני אערוך לאייפי של הsource). אז לא כ"כ הבנתי אם מה הוא אמור להשוות את האייפי המוצפן.
04.11.2010 15:02:09

#52 

חדש פה (אורח):
תודה סיפי. תיארתי לעצמי שאיזשהו פרט זיהוי נוסף כמו IP אמור לפתור את הבעיה, פשוט לא חשבתי שהפרוטוקול (אם זה בכלל נחשב פרוטוקול) גמיש במימוש שלו.
ובכל זאת, אם התוקף פשוט משתמש בrawsocket הוא יכול לשלוח את הפקטה עם הIP וMAC של הקליינט.
אבל בתכלס אפשר להגן על זה אם יוצרים checksum של הפקטה כולה ושמים בתוך החלק המוצפן. אבל זה כבר כמעט IPSEC.
אולי פשוט צריך מידע של הקליינט שלא ניתן לזייף בheaderים של פקטה...

יש הצעות?
04.11.2010 19:01:22

#53 

cp77fk4r:
א׳- אנחנו לא יכולים לשנות את המידע שמגיע מהלקוח לשרת מפני שהוא מוצפן בעזרת המפתח הפרטי של השרת.

ב׳- בכדי לבצע את המניפולציה על כתובת ה-IP שלנו ולשמור על תקשורת עם השרת
אנחנו חייבים להגיע למצב של MITM מלא על כל התקשורת היוצאת והנכנסת של הקורבן, מפני שברגע שנשלח את חבילת המידע עם ה-IP של הקורבן התקשורת איתנו ועם השרת תאבד. אנחנו ניהיה חייבים לבצע Forwarding אלינו לחבילת המידע שתגיע אליו- מתקפה מסובכת מאוד למימוש.
04.11.2010 19:27:08

#54 

חדש פה (אורח):
וואלה, שכחתי מזה שהשרת גם צריך להחזיר תשובה לתוקף כדי שהכל יעבוד :)
הכל ברור תודה..
04.11.2010 20:00:55

#55 

cp77fk4r:
כן, פרט קטן ולא חשוב ;)

בבקשה, שמחתי לעזור. אם יהיו לך עוד שאלות- אשמח לענות עליהן.
04.11.2010 20:15:27

#56 

123/*66*/ (אורח):
123333
05.01.2012 09:48:46

#57 

111/**999**/ (אורח):
11111
05.01.2012 09:49:35

#58 

test1 (אורח):
test1
05.01.2012 09:53:48

#59 

test2 (אורח):
test2
05.01.2012 09:56:09

#60 

test21:
test3
05.01.2012 10:00:03

#61 

test21:
test2
05.01.2012 10:01:42

#62 

test21:
test2
05.01.2012 10:03:27

#63 

zEt0s- (אורח):
המשך השבוע נדחה באיזה 3 שנים כמעט, אבל הגיע.
עוד גליון מעולה!! (:
13.07.2012 15:45:59



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.