הגליון השביעי של Digital Whisper שוחרר!

אביב הגיע, פסח בא, מרץ חלף לו והגליון השביעי של Digital Whisper שוחרר! 
אז כותב שירים אני לא, אבל זה שמפרסם לכם שהגליון השביעי של המגזין שלנו סוף סוף הגיע - אני כן. :)

הגליון השביעי של Digital Whisper שוחרר היום. הרבה השקעה, מאמץ וטלפונים בוצעו בכדי שנוכל להגיש
לכם את הגליון בזמן.
 
בגליון הנוכחי הכנסנו מאמרים ממגוון נושאים, ולארסנל הכותבים שלנו נוספו שלושה כותבים חדשים - רועי
חורב, ליאור ברש ואריק פרידמן שכתבו לנו מאמרים יוצאים מהכלל, ומי יודע? אולי עוד נראה מופעים שלהם
בגליונות עתידיים. מלבדם יש לנו כותבים קצת יותר וותיקים - אורי (Zerith) שאפשר להגיד שפתח אצלנו
בגליון "טור" חודשי קבוע ;) ועידו קנר שהגיש מאמר מעניין במיוחד. 

אז לפני שנציג את תוכן הגליון - נחלק את התודות והקרדיטים לאנשים בלעדיכם הגליון לא היה מתפרסם:
 
תודה רבה לאורי (מאמר רביעי שלו במגזין!) שכתב לנו את החלק השני על עולם ה-Rookits.
תודה רבה לרועי חורב שכתב לנו מאמר משובח על טכנולוגיות ה-NAC השונות.
תודה רבה לליאור ברש שפרסם אצלנו את הניתוח המקיף שלו על טכנולוגיית TOR.
תודה רבה לאריק פרידמן שכתב לנו מאמר מצוין המציג בעיות אנונימיות מעולם כריית המידע.
תודה רבה לעידו קנר (מאמר שני במגזין!) שכתב לנו את החלק הראשון של המאמר המסביר על עקרונות
הפיתוח המאובטח.
 
החודש, תוכן הגליון כולל את המאמרים הבאים:
  • ניתוח קוד Web זדוני (נכתב ע"י cp77fk4r)
                  מאמר המציג ניתוח של קוד Web זדוני, במאמר מתוארות השיטות והיכולות שבהן משתמשים
               כותבי התולעים כיום.
 
  • Rootkits - דרכי פעולה וטכניקות בשימוש (חלק ב') (נכתב ע"י Zerith)
                  מאמר טכני על דרכי הפעולה השונות המנוצלות בידי כותבי ה-Rootkits, המאמר בא כהמשך
               למאמר שפורסם בגליון השישי

  • סריקת טכנולוגיות NAC ואופן מימושן (נכתב ע"י רועי חורב)
                  מאמר המציג את טכנולוגיות ה-NAC השונות, מסביר על אופן מימושן, מסביר אילו בעיות הן
               פותרות לנו ואיך הן עושות את זה.

  • להבין את התכלס מאחורי האנונימיות המורכבת - TOR (נכתב ע"י ליאור ברש)
                  מאמר המציג סריקה טכנולוגית מלאה על טכנולוגיות TOR, מסביר כמה היא עוזרת לנו לשמור
               על האנונימיות שלנו ואיך היא מבצעת זאת.
 
  • אנונימיות בעידן הדיגיטלי (נכתב ע"י אריק פרידמן)
               מאמר המציג מספר בעיות הנושא האנונימיות בעידן שבו כל המידע נשמר באופן דיגיטלי, עד
               כמה הנתונים שלנו באמת חסויים והאם הדרכים בהן נוקטות הרשויות אכן מספיק חזקות בכדי
               למנוע מהמידע לדלוף.
 
  • עקרונות בפיתוח מאובטח (חלק א') (נכתב ע"י עידו קנר)
               מאמר ראשון מתוך שניים, המציג טעויות נפוצות בקרב מפתחי אפליקציות, בחלק הראשון המאמר
               יציג ויסביר את הטעויות ולמה הן יכולות לגרום והחלק השני יסקור את הפתרונות השונים הניתנים
               למימוש בכדי לפתור בעיות אלו.
 
 
קריאה נעימה! 
 
 
נשמח מאוד לשמוע את דעתכם ותגובותיכם על הגליון! 
 
 


תגובות על 'הגליון השביעי של Digital Whisper שוחרר!':



#1 

cp77fk4r:
ראשון! :)
01.04.2010 03:32:05

#2 

m1ch43l1014 (אורח):
שני ! נראה די טוב
01.04.2010 03:35:57

#3 

שלום (אורח):
תודה
01.04.2010 08:31:14

#4 

גיא (אורח):
אני במקומכם הייתי שולח את המאמר של אריק פרידמן על האנונימיות ל ynet (יש סיכוי גבוהה שהם יפרסמו עם קצת עריכה).
והייתי מוסיף את זה :
http://www.darknet.org.uk/2010/03/browser-fingerprints-how-unique-is-your-browser-panopticlick/
02.04.2010 11:14:23

#5 

inHaze (אורח):
אחלה מאמר על TOR. לגבי השאלה שנשאלה בסוף על ה- DNS Query, לפי דעתי זה מאוד משמעותי היכן מתבצעת שאילתת ה-DNS מכיוון שאם היא תתבצע מה- Entering Node האנונימיות נפגעת בגלל ששרתי DNS מתעדים מידע כמו שאילתות ו- IP.
02.04.2010 13:09:32

#6 

cp77fk4r:
תודה גיא- אבל זאת כבר החלטה של אריק.
והרצל- תודה, ולדעתי אתה צודק :)
02.04.2010 15:20:06

#7 

גיא (אורח):
הבעיה עם tor דומה לבעיה עם noscript,
הם מגינים עליך אבל אתה לא יכול לזוז לשום מקום.
גלישה ללא java ושאר פלאגינים כגון פלאש הם לעתים לא יעילים בעליל (ובהרבה מקרים בפורטלים של ימינו אתה לא יכול אפילו לשלוח טופס מה שהופך את חווית הגלישה למיותרת).
ואם אתה מעוניין לשלוח באותו אתר טופס או לראות וידאו אז האנונימיות וההגנה שלך נעלמה.
"Torbutton blocks browser plugins such as Java, Flash, ActiveX, RealPlayer, Quicktime, Adobe's PDF plugin, and others: they can be manipulated into revealing your IP address. For example, that means Youtube is disabled. If you really need your Youtube, you can reconfigure Torbutton to allow it; but be aware that... they may bypass Tor and/or broadcast sensitive information. "
http://www.torproject.org/download.html.en#Warning
02.04.2010 17:32:39

#8 

m1ch43l1014 (אורח):
גיא , אתה יכול להגיד לו מה כן לעשות ומה לא להתיר למשל אתה יכול להתיר לו לנגן קליפים מיוטיוב.
תקן אותי אם אני טועה.זה די גמיש לדעתי
02.04.2010 17:55:00

#9 

גיא (אורח):
בוודאי שאתה יכול להתיר לו, אבל אז אין לך אנונימיות (או בטחון כנגד סקריפטים וכו').
לכן לדעתי זה יוצר תחושת בטחון מדומה לעתים בדומה לחומת אש, כי ברגע שאתה רוצה לעשות משהו יעיל אתה צריך לנטרל את ההגנה ואז אתה חשוף. אותו עקרון ב TOR.
הייתי שמח לקבל התייחסות לעניין בגיליון הבא.
04.04.2010 06:12:41

#10 

iTK98:
הטענה שלך מוכרת, אני אישית מכיר אותה מכך שפיירוואל גורם למתכנים לזלזל באיבטוח המוצרים שלהם בשל הסתמכות על גורם אחר (פיירוואל) - מצד שני למה להמציא את הגלגל מחדש?

יש לנטל את הפיירוואל ויש לתת אישור ספציפי. אתה צריך לזכור שהמוצרים הללו נוצרו בשל כשלים מולדים במוצרים בסיסים יותר (IP, web scripts, browsers וכודמה).

אם נתפלס, אז אין דבר כזה 100% מאובטח.

לדעתי ההשוואה שלך חסרת בסיס, או שלא ירדתי לעומק דעתך.
04.04.2010 11:49:05

#11 

cp77fk4r:
היי גיא- אנחנו נשתדל להתייחס לכך בגליון הקרוב. תודה רבה!
04.04.2010 14:16:01

#12 

גיא (אורח):
iTK98 אני ידגים אולי בשביל להיות יותר ברור.
קח את הקישור שהבאתי למעלה
http://www.darknet.org.uk/2010/03/browser-fingerprints-how-unique-is-your-browser-panopticlick/
שם הוא ממליץ להשתמש ב Noscript על מנת להמנע מזיהוי של browser fingerprint.
עכשיו בו נאמר שאני מעוניין לגלוש ב ynet תוך שמירה על אנונימיות ואני גולש עם Noscript, הכל טוב ויפה עד הרגע בו אני מעוניין לקרוא/לכתוב תגובה, בלתי אפשרי אם Noscript מופעל.
אז אתה מאפשר סריפטים ב ynet על מנת לכתוב/לקרוא תגובות ומאבד את האנונימיות (ע"י browser fingerprint או שיטה אחרת).
ההיכרות שלי עם TOR היא לא גדולה אך לפי מה שהבנתי המצב דומה גם שם (ע"ע תגובה 7).
אז מה הבעיה אם כן ?
הבעיה היא שאתרים באים ואומרים "רוצה לעקוף את הזיהוי של browser-fingerprint ? תשתמש ב Noscript. ותראה ב darknet שם:
"As with many things online, your privacy can be protected by running something like NoScript on Firefox."
או במאמר שלנו אודות TOR לדוגמא:
"עיתונאים, בלוגרים וכל מי שמפרסם מידע שיש מי שלא ירצה אותו מפורסם, ישמחו לעשות את
עבודתם באופן כזה בו הם יודעים שזהותם ומיקומם הגאוגרפי נשמרים בסוד ובפרט אם הם
רוצים להתגבר על מגבלות צנזורה." רוצים פתרון ? תשתמשו ב TOR.
אליה וקוץ בה שברוב ה CMS המוכרים היום על מנת לשלוח טופס אתה חייב שסקריפטים יהיו מאופשרים וגם עוגיות בחלק מהמקרים ואז חזרנו להתחלה:
"plugin, and others: they can be manipulated into revealing your IP address" (ע"ע תגובה 7).

מצד שני יכול להיות בהחלט שאני טועה מאחר וההיכרות שלי עם המערכת היא קטנה.
בכל אופן אני שמח לדעת שזה יזכה להתייחסות (גם כזו המעמידה אותי על טעותי) בגיליון הבא.
תודה רבה על ההשקעה וחג שמח.
04.04.2010 17:19:37

#13 

iTK98se (not logged in) (אורח):
בקשר ל-TOR כל מה שלא עובר דרך ה-שרת Socks ההתחלתי שלך ברור שיסגיר אותך. אך האם יש בעיה
פנימית במערכת, האם יש באג, שגם אם תעבור דרך
שרתי TOR יצליחו לזהות את מקומך?

אתה מערבב נושאים (לדעתי) TOR לכשעצמו הוא מאובטח, בדיוק כמו NoScript ו-פיירוואלים (כמובן שמדי פעם מוצאים באגים בכולם).

עצם כך שאישרת לאתר X להריץ סקריפטים (ב-NoScript לדוגמא) זה לא אומר שיש באג, או כשל אבטחה ב-NoScript - הרי אתה אישרת, ואז מנצלים חולשה בדפדפן.

זה כמו שמישהו יגנוב את הסיסמא של המחשב שלך ואתה תאשים את המערכת הפעלה שהיא נתנה לו להכנס... הרי הוא זה לא אתה. האם במערכת הרשאות המבוססת על סיסמאות יש דרך למנוע זאת?

זה לא באג, וגם לא תחושת בטחון מדומה, ככה הדברים האלה עובדים, אתה מצפה לפתרון קסם - אז אין, התחלואה היא ברמה בסיסית הרבה יותר.
04.04.2010 19:27:18

#14 

arikf:
גיא, תודה על התגובה שלך, אני שמח שנהנית מהמאמר. הלינק שצירפת ממחיש שגם המאפיינים של הדפדפן והמערכת הם מספיק ייחודיים בשביל לשבור את מעטה האנונימיות. אבל כנראה שהמצב גרוע הרבה יותר. נקודת תורפה שידועה כבר הרבה זמן היא אפשרות לחשוף את היסטוריית הגלישה של המשתמש על-בסיס התצוגה בדפדפן. לאחרונה יש שימוש גובר בנקודת התורפה הזאת כדי ללמוד על משתמשים או לחשוף את זהותם (למשל, http://www.cdt.org/blogs/justin-brookman/all-your-browsing-history-are-belong-us, או אפשר לקרוא על זה גם בבלוג המצויין של נריאנאן http://33bits.org/2010/02/18/cookies-supercookies-and-ubercookies-stealing-the-identity-of-web-visitors/). כנראה שיש מספיק חומר גם לחלק ב' בנושא... :)
07.04.2010 20:01:36

#15 

cp77fk4r:
אהמ.. :)
08.04.2010 01:03:10



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.