הגליון העשרים ותשעה של Digital Whisper שוחרר!

ברוכים הבאים לגליון ה-29 של Digital Whisper
 
ברוכים הבאים לגליון ה-29 של Digital Whisper! גליון אחד לפני הגליון ה-30! שיסמל שנתיים וחצי של פעילות...  

אם מסתכלים על אתרי החדשות הישראלים, נראה כאילו אנחנו באמצע מלחמה, אבל לא סתם מלחמה, אלא "מלחמת סייבר"...(!)
לפיהם, אתרים ישראלים נפרצים עד כל צעד ושעל, כרטיסי אשראי של אזרחי המדינה נגנבים ומתפרסמים על כל עץ וירטואלי רענן,
הבורסה קורסת, ענף הכלכלה קורס ואנשי ה-IT של כל הבנקים בארץ לא רואים בית...

אבל עם כל הכבוד לכל אותם אתרי חדשות, ועם כל הכבוד למילה "סייבר", ולמלחמה הנוראה הזאת, שאין ממנה מנוס, אני חושב
שאותם אתרים די מגזימים. 

ראשית, אני לא אוהב את השימוש היום-יומי הזה במילה "סייבר", המילה היפהפה הזאת נהפכה פתאום לאיזה Buzzword שכל
חברת אבטחת מידע החליטה שהיא חייבת להוסיף אותה לברוז'ור שלה: "מומחה ללוחמת סייבר", "הגנה מפני מתקפות הסייבר
שפוקדות אותנו כיום"... יש בקרוב גם כנס בנושא "לוחמת סייבר" וזה לא עוצר שם. הסיפור עם המילה הזאת מזכיר את
אותה השטות שהחלה לפקוד אותנו לפני זמן לא רב עם הביטוי "Advanced Persistent Threat" כשהתחלנו לראות פתאום
בכל מקום את ראשית התיבות "APT". 

ושנית, אתרים ישראלים (ואולי קשה להאמין, אבל לא רק ישראלים! כן כן...) נפרצים כל הזמן, ולא מאתמול שאנו שומעים על כך
שערבים פורצים לאתרים ציוניים, וישראלים פורצים לאתרים ערביים. וכמו שהסכסוך הערבי-ציוני לא חדש לנו כך הוא לא חדש לנו גם
בעולם האינטרנט (או "הסייבר" אם תרצו). זה שאתרי חדשות משתמשים בזה וחופרים בנושאים האלה כל כך הרבה בכדי להשיג
רייטינג (באופן מציק למדי, אבל מובן - בסופו של דבר זה התפקיד שלהם) זה אחד, אבל זה שפתאום כל בן אדם הופך להיות
מומחה ללוחמת סייבר, וכל יום קמות להן חברות שכל יעודן הוא להגן מפני מתקפות סייבר מתוחכמות (קבוצה של חמישה ילדודס
עם רשת זומבים שמאיימת לנתק את האינטרנט) והם מאכילים את הציבור שטויות במיץ זה כבר משהו
אחר... 

שאף אחד לא יעבוד עליכם עם כל מני Buzzwords כאלה ואחרות, אם חברת אבטחה באה אליכם ומודיעה לכם שהיא מומחית
ללוחמת סייבר והיא מעוניינת לתת לארגון שלכם את השירותים שלה - הייתי בוחן אותה בשבע עיניים. כנ"ל לגבי כל מני קורסים
שמבטיחים לכם שלאחר שתסיימו אותם תיהיו מומחים ללוחמת סייבר, או שגדולי המומחים במדינה בנושא מתקפות הסייבר יעבירו
לכם הרצאות - הייתי מתרחק מהם. ברב רובם המוחלט של המקרים - השימוש ב-Buzzwords שטותיות שכאלה לאו דווקא מעיד
על הבנת החומר או מקצועיות. 
 


החודש, תוכן הגליון כולל את חמשת המאמרים הבאים:
  
  • Wireless (un)Protected Setup - (נכתב ע"י דר' אריק פרידמן)
             בדצמבר 2011, חוקר אבטחת מידע אוסטרי בשם סטפן ויבוק, פירסם בבלוג שלו פוסט בנוגע לנקודת תורפה בפרוטוקול
             (WPS (Wi-Fi Protected Setup, פרוטוקול שנועד לאפשר הגדרה והתקנה של רשתות אלחוטיות בצורה פשוטה ובטוחה.
             אותה נקודת תורפה מאפשרת לתוקפים לגלות את מפתח ההצפנה של אותה הרשת (ולא משנה האם מדובר ב-WEP או
             WPA) בתוך מקסימום יום. במאמר זה מציג דר' אריק פרידמן את הפרוטוקול והחולשה שסטפן ויבוק פרסם. 
             
 
  • פרו-אקטיבי? האם ניתן לתקוף כדי להגן על מערכת. - (נכתב ע"י עו"ד יהונתן קלינגר)
            עו"ד יהונתן קלינגר, עו"ד לדיני המידע, מציג במאמר זה את השאלה מה היא "פעילות פרו-אקטיבית"?, ובאותו נושא - האם
            מותר לגולש ברשת לבצע פעילות כזאת בטענת "הגנה עצמית"? האם קיים הבדל בין מאבטח אישי לבין איש אבטחת מידע?
            ואם כן, האם "מאבטח אישי וירטואלי" שכזה, במידה ויוכל לאתר, בזמן אמת, פגיעה בנכסים הוירטואלים של אדם על ידי אדם
            אחר - לפעול כנגד אותו אדם? 
 
 
  • CSRFlushing - (נכתב ע"י יהודה גרסטל / Do5)
           במאמר זה, מציג יהודה כלי שכתב המנצל פריסה לא נכונה (ולא מאובטחת) של הקובץ ניהול המדיניות לשיתוף תוכן לפלאש
              (CrossDomain.xml) לטובת מימוש מתקפה בסיגנון Live CSRF / SideJacking ע"י בניית מנוע מבוסס פלאש קטן המתפקד 
              כשירות Proxy בין התוקף לאתר הנתקף על גבי מנוע הפלאש של הקורבן.
  
 
  • פרשיית MasterGate - (נכתב ע"י ניצן ברומר ובוריס בולטיאנסקי)
              בשבוע האחרון, ניצן ובוריס פרסמו באינטרנט נתון מעניין שעשה רעש רב בקהילת ה-Wordpress הישראלית, אותו הנתון הוא
              לא פחות מפיסת קוד שהוכנסה לעיצובים שונים של מערכת ה-Wordpress שתורגמו על ידי מספר אנשים ופורסמו ברשת.
            תפקידו של הקוד הוא לאפשר לאותם המפרסמים לאתר הפרה של זכויות יוצרים (לטענתם), אך בפועל הוא מסכן את המערכת 
            ומאפשר לאותם מתרגמים להשיג שליטה מלאה על המערכת והשרת המריץ אותה.

 
  • שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים - (נכתב ע"י אמיתי דן)
               במאמר הבא, מציג אמיתי דן מחקר שביצע (ומבצע גם בימים אלו) על אתרים לאיתור מידע על אנשים ברשת האינטרנט,
            במסגרת המחקר מעלה אמיתי את הטענה כי באתרים אלו בעיקר ניתן למצוא מידע שפורסם על ידי אותם האנשים, ובכדי לאתר 
            מידע אישי יותר, שסביר להניח שלא פורסם על-ידיהם אלא שדולף לאינטרנט במסגרת מאגר מידע פרוץ כזה או אחר, ישנו הצורך 
            למקד את החיפוש עד כדי שימוש במזהים חד חד ערכיים. 
 
קריאה מהנה! 
  
 


תגובות על 'הגליון העשרים ותשעה של Digital Whisper שוחרר!':



#1 

l0p0 (אורח):
אפיק אני עוצר את הקריאה שלי על WPS להגיד שההקדמה שלך היתה אדירה!!!
דבר שני- הכתיבה שלך מצויינת. כמובן שגם הנושא מעניין מאוד :)
תמשיכו ככה!
אני ממתין לגליון כל חודש מחדש
31.01.2012 21:15:39

#2 

cp77fk4r:
תודה רבה :) קריאה מהנה!
31.01.2012 21:25:10

#3 

RoN (אורח):
חבל שמכניסים לגיליון מקצועי ונהדר, דעות פוליטיות אישיות.
31.01.2012 21:56:46

#4 

m3 (אורח):
גמני לקחתי הפסקה באמצע הWPS..
מזל שזכרתי שהיום הוא האחרון בחודש.

תודה תודה, שרק תמשיכו להצליח!
31.01.2012 21:57:47

#5 

inHaze (אורח):
הסנונית שמבשרת על חודש חדש. נשמע מאוד מעניין. מתחיל לקרוא, תודה!
31.01.2012 22:12:21

#6 

אנונימי (אורח):
נראה גליון מעניין מאוד, מחכה שיהיה לקרוא אותו
כמובן, תודה לכל מי שתרם!
31.01.2012 22:32:13

#7 

cp77fk4r:
תודה רבה כולם :)
ו-RoN, ערכתי לך חלק מהתגובה, תבין אותי בבקשה.
אני לא יודע אם אתה מכיר אותי או את הדעות הפוליטיות שלי, אבל במאמרים יש גם מקום לדיעותיהן האישיות של הכותבים. דעתי הפוליטית שונה מאוד מדעתו של קלינגר, אבל
אני מאמין שזאת זכותו המלאה לפרסמה במסגרת מאמר שהוא כותב.

החודש עוד כותבים נוספים הגישו מאמרים- לא פחות מעניינים מהמאמר המדובר, אם לא מתאים לך - בלי לבזבז עצבים, פשוט תדלג עליו...

שיהיה חודש טוב! ובלי עצבים :) 

והרצל! מה שלומך? הרבה זמן לא שמענו ממך ;)
31.01.2012 22:44:44

#8 

שמיל (אורח):
מסכים עם כל מילה. זה שהתקשורת עושה את זה זה דבר אחד אבל זה שאנשים שאמורים להיות מקצועיים עושים את זה- זה כבר בדיחה!

תודה רבה לכל הכותבים והעורכים על הגליון!
01.02.2012 06:43:33

#9 

Do5 (אורח):
איזה כותרות מעניינות, נראה סוף הדרך, כל הכבוד על ההשקעה.

אולי כבר יש כזה, אבל כדאי לחשוב על הקמה של איזשהו פורטל שלא מיועד לאנשי אבט"מ וטכנולוגים אלא לציבור.
משהו שיציג חדשות מעולם אבטחת מידע, קישורים וכדו' ובאופן כללי ירגיע אנשים שנלחצים מהאקרים וכל הזמן באים לשאול "רגע, אז אפשר לפרוץ לי למחשב" או "אז אתה אומר שאסור לקנות שום דבר באינטרנט"
- משהו שבמקום למכור כותרות, יספק מידע אוטנטי.
01.02.2012 09:32:54

#10 

nlr (אורח):
תודה רבה לכולכם!!! לאחרונה התחלתי ללמוד ברצינות וכל חודש אתם פותחים לי חלונות לתחומים מעניינים ושימושיים, באמת שאני מעריך את זה.
שוב תודה nlr
01.02.2012 15:29:41

#11 

Dm12 (אורח):
תודה רבה לכולם! שמעתי על החולשה ב-WPS ולא הבנתי איך העניין עובד כל כך - המאמר של אריק הגיע בדיוק בזמן! בקשר למאמר של יהודה- אשמח מאוד כשתפרסמו את הכלי, הוא נראה מעניין מאוד! תודה רבה לכל צוות המגזין!
01.02.2012 17:58:00

#12 

גיל (אורח):
תודה רבה לכל מי שהשקיע!
01.02.2012 21:14:24

#13 

שי (אורח):
עוד לא עיינתי לעומק, הנושאים נראים מעניינים מאוד.

בעניין מאסטרגייט (שכבר נחשפתי אליו קודם), אני לא עו"ד, אבל למיטב הבנתי כתבתם שם דברים משפטיים לא מדויקים: בפרט, ה-GPL *לא* נותן לך זכות לשנות את הקוד שקיבלת ממאסטרגייט -- הוא רק אוסר על מאסטרגייט להפיץ קוד בלי לתת לך אישור כזה; אם הוא הפיץ קוד GPL-י בלי לתת לך אישור כזה אז הוא מפר זכויות יוצרים, אבל אם תשנה את הקוד שלו, אז גם אתה מפר זכויות יוצרים.

(היה עורך-דין שפרסם פוסט עם תוכן דומה, אבל הוא משך אותו)
02.02.2012 08:35:33

#14 

TL (אורח):
בקשר להקדמה, כל מילה בסלע.
אהבתי במיוחד את המאמר על CSRF.

כל הכבוד לכותבים, אחלה גיליון :)
02.02.2012 16:52:58

#15 

אלכס (אורח):
גליון מעולה! מסכים לגמרי עם ההקדמה!

תודה רבה לכולם!
02.02.2012 17:25:16

#16 

MUX (אורח):
לדעתי חסר כאן מאמר על פריצת מנעולים [;

לגבי מה שכתבת בפתיח - אני מסכים איתך ב2000%
לפני כחצי שנה דיברתי עם אחד הקהילה והוא גם אמר לי לבדוק את הדברים אחד לאחד ולא להאמין לכל מילה שאומרים (לצערי חוויתי דברים כאלו אישית ...)

לגבי הגליון - אחלה גליון !! באמת מדהים מה שאתם עושים כאן עבודת קודש
02.02.2012 20:04:02

#17 

tomera:
איזה כיף לראות את השם שלכם בפיד RSS :)

קראתי עד עכשיו רק את הכתבה הראשונה (WPS) והיא פשוט מעולה - מעניינת וכתובה היטב שאפילו אני שהרקע שלי בפרוטוקולים של הצפנה שואף ל-0 הצלחתי להבין מה קורה שם.
02.02.2012 23:59:17

#18 

cp77fk4r:
תודה רבה על התגובות! ו-MUX, אני מקווה שהגליון הקרוב יהיה מאמר בנושא, כל החומר כבר מוכן ורב המחקר כבר נעשה :)
03.02.2012 07:14:34

#19 

natinet (אורח):
סחתיין! תודה רבה!
03.02.2012 07:15:04

#20 

(אורח):
עבודה מעולה! מאמרים איכותיים אחד אחד! תודה רבה!
04.02.2012 23:53:42

#21 

שי כץ (אורח):
מאמרים מעולים כרגיל! תודה רבה!
06.02.2012 19:33:48

#22 

דימה (אורח):
תודה רבה כל חודש מחדש!
08.02.2012 20:06:39

#23 

iTK98:
שמעתי דעה פוליטית וידעתי שאני מוכרח לקרוא את המאמר המדובר. עו"ד יונתן קלינגר עושה שימוש במכבסת מילים, השימוש במילים "נוער גבעות", "תג מחיר" ואפילו "ערס" ללא הסבר מקדים גורמת לנו לתת הקשרים מובנים בתפיסה שלנו לגבי הפעולות, מה שנותן
הקשר מסויים וספציפי לפעולה.

בעוד שדעתיי האישיות אינן רחוקות מדעותיו של עו"ד קלינגר, הוא היה צריך להעדיף לעשות שימוש במילים רכות יותר, כמו השחתה או ונדליזם. כל מילה נותנת הקשר (שתלוי בתפיסה שלנו) עו"ד קלינגר לא פעל gל-פי עקרון החסד, והוא הציג את העמדה שאותה תקף באופן החלש ביותר מה שאיפשר לו בסוף התהליך להצדיק את דבריו.

עוד גליון מדהים! תודה לכתובים.
09.02.2012 09:13:53

#24 

לירן (אורח):
יופי של גליון!
10.02.2012 14:11:17

#25 

Pokey (אורח):
I told my grnamdother how you helped. She said, "bake them a cake!"
14.02.2012 22:17:59

#26 

מושיקו (אורח):
אפיק אתה כזה גבר-גבר! איזה הקדמה!
17.02.2012 14:18:52



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.