הגליון הארבעה-עשר

ברוכים הבאים לגליון ה-14 של מגזין Digital Whisper. עוד חודש עבר ואנחנו שמחים שוב להציג לכם את הגליון החודשי.
בסוף כל גליון אנחנו מזכירים כי אנחנו נשמח לקבל מכם כתבות שלכם – הפעם אני רוצה דווקא להתחיל בנושא זה. נשמח
לקבל מכם כתבות ולפרסם גם את מה שיש לכם להגיד בנושאי אבטחת מידע וטכנולוגיה. למגזין אלפים של קוראים בכל
חודש, ומספר מגיבים גדול בבלוג שלנו (כיף לראות את כל התגובות – ממש עושה טוב שיש מקום שאפשר לדבר בו על
כל הנושאים המרתקים האלה בעברית, וכיף לראות את הרמה המקצועית של הדיון בהערות).
 
נשמח לקבל מכם מאמרים, נשמח גם לפרסם פוסטים שלכם בבלוג כך שגם אתם תוכלו להשפיע על הדיון המתרחש באתר.
תודה שאתם קוראים את המגזין שלנו, ואנחנו מקווים להמשיך להביא לכל הקהילה מאמרים מרתקים כאלה במשך זמן רב.




הגליון הארבעה-עשר של Digital Whisper כולל את המאמרים הבאים:
  • (Chasing Worms (Koobface Pwning (נכתב ע"י אפיק קסטיאל / cp77fk4r)
                מאמר המציג ניתוח מקיף ומפורט של התולעת החברתית Koobface, הניתוח כולל הצגת הפעולות שמבצעת התולעת, דרכי
                פעולת ה-Payloads שהיא מורידה למחשב, דרכי הפצתה, איתור ה-DropZone המשמש אותה והשבתתו.
 
  • אין סודות בחברה (נכתב ע"י אריק פרידמן)
              מאמר המסביר את  החשיבות של להצמד לעקרון קרכהופס, על חוסר יעילותה של סודיות כאמצעי לאבטחת מידע או כהגנה על
              אלגוריתם קריפטוגרפי.
 
  • מתי אפשר לתפוס שרתים, מחשבים ודיסקים (נכתב ע"י עו"ד יהונתן קלינגר)
             מאמר הסוקר את הדרכים בהן ניתן לבקש תפיסה של חומר מחשב, וכיצד מבוצעת התפיסה מבוצעת בפועל. בנוסף, המאמר
             מעלה מספר שאלות הנוגעות לשינויים שחלים כיום בעולם המחשוב והשפעתם על תהליך התפיסה בעתיד.
 
  • אבטחת חבילות תוכנה (נכתב ע"י ליאור קפלן)
             מאמר המתאר את התהליך המתרחש בהפצות הלינוקס הנוגע לנושאי אבטחה של חבילות תוכנה ואילו מנגנוני אבטחה נמצאים
             בשימוש בכדי למנוע מגורמים זדוניים לחבל בתהליך, בנוסף, המאמר מציג מחקר שנערך בארה"ב העוסק בפרצות אבטחה
             במאגרי הפצות הלינוקס ושיטת ניהול החבילות.
 

                קריאה נעימה!
 
 
 



תגובות על 'הגליון הארבעה-עשר':



#1 

Hero (אורח):
ראשון !!!
אחלה גליון !!!
עבודת קודש אין מילים !!
31.10.2010 23:49:08

#2 

cp77fk4r:
אתה חייב להפסיק להריץ את הכלי ההוא! סתם ;)
אשמח לשמוע את התגובה שלך _לאחר_ קריאה :)

ותודה רבה...
31.10.2010 23:50:58

#3 

Hero (אורח):
אתה צודק טעות שלי !! פשוט כשעשיתי שכתוב של הסקריפט במקום לעשות 1500 שניות (שזה 25 דקות) זה יצא 150 שניות (שזה 3 דקות ) ומכאן קרה כל הבלאגן.
אז סליחה
קראתי חלק נכבד מהגליון.
יצא גליון ממש משובח.
אני מקווה שביום מן הימים אצליח לכתוב מאמר או כמה
31.10.2010 23:55:06

#4 

מאוכזב קצת (אורח):
"למרות האכזבה, לא אפרט כאן יותר מדי מסיבות השמורות במערכת, אלא רק אגיד שלאחר חקירת
המערכת הספציפית על שרת מקומי ובדיקת מספר נתונים עליו, הצלחתי להכנס אל תוך המערכת ולהשיג
אליה גישת ניהול."

חוץ מזה, אחלה מאמר :)
01.11.2010 00:24:10

#5 

שמיל (אורח):
גיליון מצוין! סיימתי רק את המאמר הראשון והוא פשוט משובח ברמה! בהחלט עושה חשק להשלים את מלאכת הקריאה, נמשיך אותה מחר... אפיק, שאפו על הניתוח ועל המאמר המצוין! לילה טוב! 
01.11.2010 00:27:40

#6 

sdimant:
וואי איזה יופי! תודה רבה.
01.11.2010 00:28:02

#7 

cp77fk4r:
תודה רבה, נשמח לקבל תגובות על תוכן הגליון עצמו, מה אהבתם ומה פחות (חסר לכם!)
01.11.2010 00:53:26

#8 

Dw4rf (אורח):
רשימת הנושאים נראת מבטיחה! תודה רבה!
01.11.2010 01:00:15

#9 

Dw4rf (אורח):
התחלתי הפעם דווקא מהמאמר של פרידמן ואני חייב לציין שהבחור כותב בחסד, פשוט מרתק. כל הכבוד!
01.11.2010 01:38:34

#10 

גיא.פ (אורח):
גליון מצוין! cp77fk4r- שיחקת אותה!
01.11.2010 13:44:24

#11 

iTK98:
מדהים, גליון של הקהילה - בשביל הקהילה.

לצערי אין לי כמעט פנאי לנושא הזה היום
(אבטחת מידע) עם הלימודים שיש על הראש -
אז לא יצא לי לקרוא את המאמרים. :(

אך אם כל זאת, אני מעריך רבות את השקעה
של הכותבים.
01.11.2010 16:58:17

#12 

שמיל (אורח):
ובהחלט מגיע להם!
01.11.2010 17:29:10

#13 

cp77fk4r:
תודה רבה iTK98, אשמח לשמוע מה אהבת :) תודה רבה גם לך שמיל.
01.11.2010 17:56:20

#14 

כסיף דקל (אורח):
אחלה CP :) תודה
מאמרים מצויינים , תצליחו
01.11.2010 18:01:18

#15 

שדגכ (אורח):
אחלה גיליון. הניתוח של koobface היה פשוט מרתק-- אני מקווה שבאמת תמשיך בסדרה :)
01.11.2010 20:51:36

#16 

sdimant:
בנתיים קראתי 2 מאמרים ("אין סודות בחברה", "Chasing Worms") ואת שניהם ממש ממש (*999^999) אהבתי.
סיפי, במיוחד אהבתי את הניתוח שלך (למדתי ממנו המון), והלוואי שזה יהפוך לסדרת מאמרים.
01.11.2010 20:51:44

#17 

iTK98:
אני מאוד נהנה מהמאמרים של עו"ד יהונתן קלינגר, הוא מתנסח בצורה בהירה וברורה. הוא מצליח בנוסף לכניס תחום שהיה קצת מנוכר והאקרים כמעט ולא עוסקו בו למרות היו מודעים אליו, הצד המשפטי.
01.11.2010 21:33:29

#18 

TheLeader (אורח):
כל הכבוד!
Worm Chasing - איזה מאמר איכותי.. היה מאוד מרתק.
קראתי גם את השאר, גיליון מרתק.
01.11.2010 21:53:26

#19 

cp77fk4r:
תודה רבה! :)
01.11.2010 23:43:59

#20 

בקשר למאמר הראשון, ובכלל (אורח):
ראשית- לדעתי מדובר במאמר מצוין, אך שנית- לא היה כדאי להוסיף פרק או כמה מילים על איך להסיר את החולירע הזאת?

ובאותה נשימה הייתי מעוניין להגיד שהגליונות שלכם פשוט מרתקים! דרך מצויינת להתחיל כל חודש בתור אחד שאבטחת מידע היא המקצוע שלו, אני אחראי אבטחת מידע באירגון לא קטן ואני חייב להגיד שברב המקרים אני מפיץ את הגליונות שלכם לכל הצוות שלי, גם אם המאמרים לא תמיד מדברים בדיוק לתפקיד שלהם- תמיד טוב להרחיב אופקים בנושא שאתה עוסק בו. תודב רבה!
02.11.2010 09:39:51

#21 

cp77fk4r:
היי ״בקשר למאמר הראשון, ובכלל״- הנושא של המאמר היה הצגת ניתוח של פעולות התולעת ונסיון להשבתה שלה, רב האנטי וירוסים כיום יודעים לזהות אותה ורב מנגנוני ה-״safe browsing" מאתרים ומזהים את העמודים שדרכם היא מפיצה את עצמה, אבל אני מבטיח לשקול את ההצעה הזאת בעת כתיבת מאמרים עתידיים בנושא, תודה רבה.

ובאותה נשימה- תודה רבה, בהחלט מחמיא! רק שים לב שהמאמרים שלנו אינם מהווים תחליף לשום "Best Practices" ואינם באים להחליף שום יועץ בנושא, תמיד עדיף לשלם ליועץ חיצוני בכדי שיהיה את מי להאשים לאחר מכן. ;)
02.11.2010 10:15:04

#22 

אותו אחד (אורח):
הבנתי אותך. וכן, זה ברור מאליו.
תודה רבה!
02.11.2010 14:20:59

#23 

Script0rX (אורח):
גליון מעולה! תודה רבה!
02.11.2010 22:30:43

#24 

zEt (אורח):
מתישהו צריך לעשות שיעורי בית..מסתבר שיצאו איזה 3-4 מאמרים בלי ששמתי לב.
לא יצא לי לקרוא על קובפייס, אבל אם לזה הכוונה:
https://apps.facebook.com/yourvideohahah/
אז זה אחלה רעיון. (:
03.11.2010 00:08:15

#25 

שמיל (אורח):
לא על זה מדבר המאמר, למרות שעשו שם עבודה איכותית בלינק שנתת!
03.11.2010 06:18:13

#26 

cp77fk4r:
היי צ׳יטה,

מה לעזאזל? אין אפילו בדיקה מינימאלית של האפליקציה? הם פשוט גרועים...ובהחלט- הרעיון גאוני, אך לא עליו דיברתי.
03.11.2010 07:20:03

#27 

Oink (אורח):
גליון אדיר! כמו שכבר אמרו פה- המאמר של אפיק פשוט מרתק! המאמר של פרידמן פשוט... אין מילים! וכמובן, אני חייב להסכים עם iTK98- המאמרים של קלינגר כל כך מוסיפים לגליונות שבהם הם מופיעים... ואחרון- ליאור קפלן, בחור רציני ביותר שכתב על נושא מעניין מאוד, נחמד להכיר את הצד הטכני של הדברים "הברורים מאליהם"- תודה רבה!
03.11.2010 10:59:51

#28 

קורא אדוק (אורח):
כרגיל- מאמרים איכותיים, תודה רבה! :)
03.11.2010 18:52:05

#29 

An7i (אורח):
קראתי את הניתוח של התולעת..ממש דלישס מה שנקרא.
אני רק חייב לציין בהקשר למה שאמרת שאתה לא יודע מדוע מי שהריץ את התולעת טוען דף טיפשי של אנטיוירוס 2010 במקום להריץ אותו פשוט
שגם אני תהיתי בקשר לזה כשבדקתי אותה
ונראה לי שבעצמך ענית על זה במאמר בין השורות
יתכן וקיימת הפרדה בין כותב התולעת למי שהוסיף בין בעצמו ובין על ידי כותב התולעת את ה-paylod
ולכן כנראה נוצר המצב הזה

סך הכל מאמר מרתק , נהנתי מכל שורה!
תמשיך כך אפיק.. אתה עושה עבודת קודש לקהילה
03.11.2010 23:40:16

#30 

cp77fk4r:
תודה, וחשבתי על זה גם אני, אני לא מקבל את הסברה שלך, למרות שכן- ברור לי שמי שכתב את התולעת לא כתב את ה-Payload, אבל אני לא מקבל אותה בגלל סיבה פשוטה- הבחור שכתבות אותו קוד יודע שהוא רץ באופן מקומי- הרי הוא משלם לבעל התולעת, כך שגם במקרה כזה אין לו שום סיבה להציג את העמוד היפיפה ההוא אלא להריץ קוד ולסיים עניין. 

אני חשבתי על סיבה כזאת: הקוד הזה במקור כנראה היה דורש מהמשתמש להכניס מספר אשראי בכדי להוריד את התוכה השלמה, וכך בעל התולעת היה גונב מספרי אשראי, אבל לך תדע..
04.11.2010 06:34:43

#31 

UnderWarrior:
אני עדיין בדעה שאמרתי לך בטלפון-שהוא פשוט לא כזה מקצוען
04.11.2010 07:08:38

#32 

cp77fk4r:
זה שאתה תמיד נשאר בדעה שלך אני כבר יודע- אתה בונקר!!! ;)

בקשר למקצוען או לא- זה נכון, אבל זה לא קשור לדעתי- הרי ב-Payloads אחדים כן נעשה שימוש בהורדת קבצים באופן אוטומטי וב-Payloads כמו כאן- אין. אני בטוח שאם נחקור את הקוד שלהם נוכל לזהות סיגנונות כתיבה שונים.

לדעתי עליתי על הסיבה :)
04.11.2010 10:35:48

#33 

Oink (אורח):
נו!?
04.11.2010 16:16:40

#34 

sdimant:
Oink- ציטוט של סיפי (תגובה מס' #30): "אני חשבתי על סיבה כזאת: הקוד הזה במקור כנראה היה דורש מהמשתמש להכניס מספר אשראי בכדי להוריד את התוכה השלמה, וכך בעל התולעת היה גונב מספרי אשראי, אבל לך תדע.."
04.11.2010 17:03:04

#35 

cp77fk4r:
דווקא לא, עוד לא יצא לי לבדוק את זה- אבל חשבתי על זה שמדובר פה, לא סתם בהנדסה חברתית, אלא:

הרבה מאוד אנטי וירוסים חוסמים את הפונקציה של הורדת קבצים בלי אינטרקציה של המשתמש (כל הוריאציות של urltofile) - מה שאני חשבתי עליו זה שכותב התולעת גם מוריד את אותם Payloads באופן אוטומטי אך, גם מנסה לגרום למשתמש להוריד אותם לבד, ככה שבמידה והם יחסמו ע"י הפונקציה הזאת- הם לא יחסמו ע"י הדפדפן (שלגיטימי שדרכו יורידו קבצי EXE) - ככה האנטי וירוסים לא יחסמו אותם.
04.11.2010 17:22:37

#36 

Dw4rf (אורח):
נשמע הגיוני... בשביל לבדוק את זה צריך לבדוק האם זה באמת אותו הקובץ שיורד.
ושאלה: איך ניתן לזהות סיגנון כתיבה של מתכנת?
04.11.2010 19:53:23

#37 

cp77fk4r:
איך ניתן? דפוסי קוד מסויימים, לא ביצעתי את זה אף פעם, אבל אני בטוח שזה אפשרי, כל אחד רגיל לכתוב או לממש פונקציות בצורה שונה, בהרבה מאוד מהמקרים לא מדובר רק בשמות משתנים או ברמת הסדר של הקוד אלא גם במקרים של חיסכון, בקרה, איתחול וכו'...

בעזרת ניתוח סיגנון תיכנות הצליחו להבין שאת הוירוס SQL Slammer כתבו לפחות שני אנשים, לדוגמה: בחלק מהקוד של התולעת מימשו:
xor ecx,ecx
xor ecx,9B040103h

שמקביל באסמבלי ל:
mov ecx, 0x9B040103

ובחלק מקוד התולעת מימשו את ההקבלה (mov ecx, 0x9B040103) מה שמעיד על שני סיגנונות כתיבה שונים.

מאמר מומלץ של David Litchfield שפורסם ב-Threatpost.com:

https://threatpost.com/en_us/c6p


ממליץ בחום לקרוא את המאמר הבא:
04.11.2010 22:25:56

#38 

Dw4rf (אורח):
וואלה... קראתי, מגניב, תודה!
05.11.2010 15:04:40

#39 

שמיל (אורח):
שמעתי על עוד מקרה של ניתוח קוד בסיגנון, היה משהו דומה ב-Stuxnet, לא?
07.11.2010 21:43:57

#40 

cp77fk4r:
לפי מה שאני קראתי אכן ביצעו ניתוח קוד, אבל בכדי לזהות את מקור התולעת, לא בכדי לזהות את מספר הכותבים.
07.11.2010 22:36:35

#41 

אביהו (אורח):
אם תהפכו את המאמר שאפיק קסטיאל כתב על ה-Koobface לסידרה- זה יהיה אדיר! אני בעד.
08.11.2010 21:25:51

#42 

כסיף דקל (אורח):
המאמר על התולעת היה מרתק זה יהיה מדהים אם יהיו עוד כאלו :)
09.11.2010 13:34:49

#43 

The5elEm3nT (אורח):
המאמר שאפיק כתב פשוט ריתק אותי, מקווה שיהיו עוד כאלו.
12.11.2010 07:35:14

#44 

שלומי (אורח):
אחלה מאמר, כרגיל אפיק מספר 1, מאמר מדהים על התולעת. חסרים לי העידכונים הרגילים שלך(אלה שלא קשורים לגיליון)
13.11.2010 15:10:06

#45 

cp77fk4r:
תודה רבה :) ובקשר לעדכונים האחרים במערכת- כן, אני נמצא בתקופה עם הרבה עומס, ככה שאין לי יותר מדי אפשרות לעדכן, אבל אל דאגה, העדכונים יחזרו ברגע שתהיה לי עוד דקה אחת פנויה בכל יום ;)
13.11.2010 15:37:43



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2024 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.