הגליון התשעה-עשר של Digital Whisper שוחרר!

עוד חודש חלף לו ועוד גליון של Digital Whisper יוצא מהתנור.. הפעם הגליון ה-19!
הפעם, באורח פלא, אין לי יותר מדי דברים חכמים להגיד, ולכן אגיד שאתם אחלה חבר'ה, קוראים מעולים, בלה בלה בלה,
ו... ניגש ישר לחלק המעניין :) כמובן, לא לפני שנגיד תודה למי שעזר לנו להכין את הגליון הזה.
 

תודה רבה לאורי להב (vbCrLf) על מאמר שני ברציפות, ותודה רבה לעו"ד יהונתן קלינגר על המאמר המי-יודע-כמה כבר
שהוא כותב לנו :), ותודה רבה לנועה אור-עד על העזרה במלאכת עריכת הגיליון!
 

החודש, תוכן הגליון כולל את ארבעת המאמרים הבאים:
  • Chasing Worms II - NzMBot (נכתב ע"י אפיק קסטיאל / cp77fk4r):
              במאמר זה, מאמר שני בסידרה, אפיק מציג חקירה "פסיבית" (יחסית) על אירוע התקפת בוטי Enzyme, ממאמר ניתן
            להבין כיצד לזהות מקרים כאלה, וכיצד ניתן לחקור אותם בכדי ליזום תקיפה על אותה הרשת.
 
  • הדבקה בינארית (נכתב ע"י אורי להב / vbCrLf)
            במאמר זה אורי מסביר כיצד ניתן לכתוב מנוע גנרי להדבקת קבצים בינארים, כגון מנועים אשר תולעים משתמשות בהם בכדי
              להזריק קוד בינארי לתוך קבצי הרצה (PE) על מנת לגרום להרצתן / הרצת פקודות זדווניות בעת הרצת אותו הקובץ מבלי
            לפגוע בריצתו התקינה.
 
  • הענן והמידע שלך (נכתב ע"י עו"ד יהונתן קלינגר)
              מאמר זה הינו הרחבה של הרצאה שהעביר עו"ד יהונתן קלינגר במסגרת CloudCon 2011, מאמר זה נוגע בהיבט המשפטי
            של הפרטיות וההגנה על מידע כאשר הוא מאוחסן בשירות הענן, האם קיים כיום פתרון מושלם שיוכל לאפשר נגישות מספקת
            אך גם הגנה ופרטיות בו זמנית?
  
  • שיווק רשתי, פירמידות, מידע ברשת האינטרנט ומה שביניהם (נכתב ע"י ניר אדר / UnderWarrior):
             במאמר זה נציג לכם מספר דרכים להשתמש ברשת האינטרנט כדי לאתר מידע, כשלצורך הדוגמא ניקח את חברת נו סקין
             ונראה מה נוכל להגיד עליה.

 
 
קריאה נעימה! 
  



תגובות על 'הגליון התשעה-עשר של Digital Whisper שוחרר!':



#1 

רועי (Hyp3rInj3cT0n):
אל תאמינו לו, הוא מנסה לעבוד עליכם כי זה אחד באפריל!
01.04.2011 15:58:27

#2 

cp77fk4r:
המתיחה הייתה שהוצאנו את הגליון רק עכשיו! -_-
01.04.2011 16:00:50

#3 

שמיל (אורח):
Chasing Worms הקודם שפורסם היה אחד המאמרים האהובים עלי שפורסמו עד כה, כיף לראות שלא זנחתם ;)
01.04.2011 16:30:17

#4 

Zerith (אורח):
בינתיים קראתי רק את Chasing Worms II -
מאמר מעניין, היה יכול להיות מאמר הרבה יותר טוב,
חבל לי שלא ניצלת את הווירוס קצת יותר, לעשות איתו דברים יותר מעניינים כמו במאמר הקודם.
01.04.2011 16:39:22

#5 

cp77fk4r:
היי Zerith, מדובר בחלק הראשון- של חקירת האירוע, כמו שכתבתי במאמר עצמו, יש כוונה לתקוף את אותה הרשת, במידה ואצליח- הדברים יפורסמו כחלק שני למאמר זה. השגתי כבר את עותק של בינארי מזומבי שהוא חלק מהרשת, והחקירה בעיצומה :)
01.04.2011 16:45:15

#6 

not-a-kip0d (אורח):
ah ha cp! so you and your evil bots are behind the evil DDoS attack against guymiz and hacking.org.il
you should be ashamed of yourself :)
01.04.2011 17:40:14

#7 

Dm12 (אורח):
חייב להסכים עם שמיל. אגיב ביתר פירוט לאחר קריאת כלל המאמרים.

תודה רבה!
01.04.2011 19:04:51

#8 

Dw4rf (אורח):
סחטיין חבר׳ה! גליון מעולה! הלוואי וניר היה כותב בתדירות גבוהה יותר! מאמרים מעולים! וגם הכותב החדש- אורי להב, מפציץ במידע איכותי! :)
02.04.2011 10:20:07

#9 

Exploter (אורח):
אחלה גיליון קצת לא הבנתי את ההקשר של הכתבה על שיווק בגיליון של אבטחת מידע
02.04.2011 13:06:26

#10 

Dm12 (אורח):
Exploter - תקרא את ה-"Description" של המאמר (בעמוד הגליון), את ההקדמה של ניר- ואז את המאמר עצמו :)
02.04.2011 15:27:45

#11 

sdimant:
מסכים עם שמיל, אגיב בעז"ה כשאסיים את הגליון.

אגב סיפי, אתה בכוונה מפרסם את הגליון בכניסת שבת ככה שאני לא אוכל להגיב ראשון?
02.04.2011 20:10:36

#12 

cp77fk4r:
איזה בכוונה, התכנון היה להספיק לחמישי בלילה, הבעיה היא שניר אוכל כל הזמן אז התעכבנו קצת...
03.04.2011 03:31:05

#13 

בן גל (אורח):
Wow! גליון 19! מי היה מאמין?! נראה לי שאפילו גהינום לא הגיעו למספר הזה! כל הכבוד חבר׳ה!
04.04.2011 03:41:56

#14 

אורח (אורח):
אפיק, לגבי המאמר Chasing Worms ובכלל, כאשר אתה מדביק את הvirtual machine בוירוס אותו אתה רוצה לבדוק, איך זה שאין חשש שהוירוס יברח למחשב המארח ויגרום נזקים? הרי מי שיצר אותו ידע שיום אחד יחקרו את הוירוס.
04.04.2011 10:29:59

#15 

Dw4rf (אורח):
אני מאמין ישיש חולשות בכלי הוירטואליזציה שניצול שלהן מאפשר לתולעים להריץ קוד על המכונה המארחת, אבל אני בספק שיפרסמו את הקוד שלהן באינטרנט סתם ככה, ועוד יותר בספק שניצול שלהן יופץ בבוט-נטים כאלה... מדובר בחולשות נדירות ויקרות מאוד!

עוד דבר, תמיד יש את הסיכון- אלא אם כן יש לך את הסורס ביד, ואז ניתן לעבור עליו ולוודא את זה...
04.04.2011 15:50:26

#16 

cp77fk4r:
אם תמצא קוד שיודע לעבור VM, אשמח שהוא ידביק את המחשב שלי :)
בגדול, מה ש-Dw4rf אמר נכון, בנוסף גם שהקוד מולי ואין לי בעיה לראות מה הוא עושה.

במקרים בהם אין לי את הקוד- זה באמת סיכון, אבל אני מאמין שהוא די קטן.
04.04.2011 18:09:58

#17 

שמיל (אורח):
היו מקרים מעולם, כמו ה-Blue Pill המפורסם וה-Cloudburst escape...
אני זוכר שאתה זה שהציג לי אותם, אז ברור שאני לא מחדש לך, אבל עדיין,
ראיתי לנכון להזכיר אותם פה... :)
05.04.2011 03:40:20

#18 

שמיל (אורח):
מצטער על הדאבל פוסטינג, מצאתי את הלינק למצגת על ה-CloudBurst שהוצגה בבלאקהאט 2009:

http://www.blackhat.com/presentations/bh-usa-09/KORTCHINSKY/BHUSA09-Kortchinsky-Cloudburst-SLIDES.pdf
05.04.2011 03:57:46

#19 

cp77fk4r:
אתה צודק שהיו מקרים מעולם, והבאת אחלה דוגמאות, אבל המקרים האלה מאוד מאוד מאוד שכיחים, חולשות כאלה מאוד נדירות...
05.04.2011 15:34:01

#20 

שמיל (אורח):
לא יצא לי להגיד אבל שני המאמרים האחרונים של אורי להב- פשוט תענוג! במאמר האחרון הוא מימש טכנולוגיה ישנה יחסית להדבקה של קבצים, אך בכל זאת, גם המאמרים וגם דוגמאות הקוד מובנות ומסודרות ביותר. תודה רבה!
05.04.2011 16:18:36

#21 

vbCrLf (אורח):
תודה רבה שמיל!

אין ספק שהמאמרים של אפיק, יהונתן וניר מצוינים אחד אחד, ובנוסף, כל אחד בתחום שונה לחלוטין. נהניתי לקרוא.
#19 הוא בהחלט אחד מהגיליונות הטובים שהיו. :)
05.04.2011 17:21:22

#22 

שמיל (אורח):
תודה לי? תודה לך! אני *עדיין* לא כתבתי כלום למגזין, ואתה כבר מפציץ פעמים ברצף! :)

הגליון ה-19 באמת טוב, אבל לדעתי, שום גליון לא טוב יותר מהגליונות 11 ו-12. :)
05.04.2011 20:54:43

#23 

zEt0s- (אורח):
זה כי גליון 1337 עוד לא יצא..
כשהוא יצא אני מבטיח לך מאמר מעיף
05.04.2011 22:47:08

#24 

cp77fk4r:
כן אה, כשנגיע לגליון 1337 זה יהיה ממש קצת לפני שתשתחרר... יא׳צעיר פעור!
06.04.2011 03:37:10

#25 

Dm12 (אורח):
גם אני מאוד אהבתי את המאמרים של אורי להב, כתוב בצורה מאוד מובנת. מצד אחד תוכן לא הכי פשוט אך מצד שני עדיין מנוח בצורה קלילה... כל הכבוד!
06.04.2011 18:26:25

#26 

An7i (אורח):
אפיק, נראה לי שהתולעת שהצגת במאמר חושפת את המחשב הנגוע למתקפת STACK BASED OVERFLOW.

1: תחילה כל הפקודות FTP שנשלחות לתולעת מוזנות לבאפר בגודל 100 תווים

2: המחרוזת מתפרקת לשתי מחרוזות בפקודה sscanf
וכעת במידה והמחרוזת מורכבת משני מחרוזות מופרדות ברווח, הראשונה נכנסת אל TEMPBUF והשניה אל tempbuf2.

3:כעת מתחילה שרשרת הבדיקות שמתבצעת על המחרוזת TEMPBUF2, וכמו ששמתי לב אין שום בדיקה אמיתית, כלומר אין צורך באמת בהזנת שם או סיסמה, זה סתם מנגנון טיפול ליופי..

4: החלק המעניין מגיע בפקודה בשורה 134

else if (strcmp(tmpbuf,"PORT") == 0) {
sscanf(buf,"%*s %[^,],%[^,],%[^,],%[^,],%[^,],%[^\n]",a,b,c,d,p1,p2);

כלומר, אם המילה הראשונה במחרוזת היא PORT, אז למעשה מתחילה הזנה של שאר המחרוזת לתוך משתנים.
משתנים אלו שכולם מוגדרים למעלה כמחרוזות(char)
בגודל 4 תווים. אם אני לא טועה מחרוזת כמו

port AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

תגרום שם להצפה, מה אתה אומר?
11.05.2011 22:18:49



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.