הגיליון הארבעים ושמונה של Digital Whisper שוחרר!

ברוכים הבאים לגיליון ה-48 של DigitalWhisper! הגיליון הראשון של שנת 2014...
 
עם צאת הגיליון ה-48 אנו חוגגים שני אירועים, הראשון - פתיחת שנת 2014, שזה מגניב לכשעצמו, והשני - העובדה המתמטית שהמספר 48 מתחלק ב-12 ללא שארית. מה שאומר שסגרנו עוד שנת פעילות של המגזין, שנה רביעית ברציפות של פרסום גליונות. במובני זמן של קהילת ההאקינג המקומית, מדובר, ללא ספק, בפרק זמן מכובד ביותר :)
 
אז ראשית, היינו רוצים לאחל לכל הקוראים שנה אזרחית טובה, ושנית, להגיד תודה רבה לכל מי שעזר לנו השנה, השקיע מזמנו וכתב מאמרים. תודה רבה ל:
 
לירן בנודיס, רועי (Hyp3rInj3cT10n), יובל נתיב, shackrack, סשה גולדשטיין, חיליק טמיר, שי חן, אמיר שגיא, ניר גלאון, דן פלד, בר חופש, יובל נתיב, ישראל חורז'בסקי (Sro), אמיתי דן (PopShark), ד"ר אריק פרידמן, מיתר קרן, יונתן גולדהירש, רון הרניק, יצחק דניאל (iTK98), שחר גייגר מאור, יוחאי (hrr) אטון, עו"ד לילך צאירי-כהנוב, שרון ברק, ד"ר גדי אלכסנדרוביץ', עו"ד יהונתן קלינגר, יובל סיני, דודו ברודה, משה פרבר, רועי חי, אריק יונאי, לאוניד יזרסקי, יורי סלובודיאניוק, מריוס אהרונוביץ', רן לוי, יניב מרקס, רונן שוסטין (Antartic), פלג הדר (P), תומר זית, ליאור בר-און, מור כלפון, דר' גבי נקבלי, יוני ג'ה, נדב איבגי ולליאור גבעון.
 
וכמובן, ברצוננו להודות במיוחד לכל מי שכתב מאמרים לגיליון הנוכחי, ובזכותו המגזין ממשיך להתפרסם: תודה רבה לדר' גבי נקבלי, תודה רבה ליוני יחזקאל, תודה רבה לעו"ד יהונתן קלינגר, תודה רבה לנדב איבגי, תודה רבה לליאור גבעון ותודה רבה לרועי חי. וכמובן, תודה מיוחדת לעודכת שלנו - שילה ספרה מלר. בלעדיכם לא היינו כאן החודש.



 
                                                         קריאה מהנה!
                                                                    ניר אדר ואפיק קסטיאל.
 
 


החודש, הגליון כולל את המאמרים הבאים: 
  • Owning the Routing Table - OSPF Attacks - (נכתב ע"י דר' גבי נקבלי, תוגרם ע"י אפיק קסטיאל / cp77fk4r):
                 במאמר זה סוקר דר' גבי נקבלי מספר מתקפות על אחד מפרוטוקולי הניתוב הנפוצים בעולם - הפרוטוקול OSPF (קיצור
                 של (Open Shortest Path First. בממאמר מפורטות שלוש מתקפות חדשות שפרסם גבי במשך השנים האחרונות בכנסי
                 Black Hat האחרונים בלאס-וגאס. ההתקפות שעליהן ידבר, אינן מנצלות אופן מימוש ספציפי של הפרוטוקול בדגם נתבים
                 ספציפי, אלא מנצלות כשלים בפונקציונליות הסטנדרטית של הפרוטוקול, כך שכל נתב אשר תומך בפרוטוקול זה - יהיה
                 חשוף למתקפות אלו.
 
  • שימוש בטוח בביטקוין מהסוף להתחלה - (נכתב ע"י יוני יחזקאל):
                במאמר זה סוקר יוני את הדרכים בהן ניתן לאבטח ארנק ביטקוין מפני אובדן וגניבה, בנוסף לנושאים שחשובים גם הם
                בשימוש יומיומי ונרחב של ביטקוין - הגנה מפני רמאויות, ושמירה על פרטיות. במאמר זה מניח יוני, שרוב הקוראים מתמצאים
                באבטחת מידע ברמה זו או אחרת ועל כן לא נכנס לפרטים בנושאים בסיסיים כמו ניהול סיסמאות, זיהוי בשני שלבים,
                הצפנה, האשינג, ונושאים אחרים שכמובן חשובים מאוד כדי ליצור ארנק מאובטח אך אינם קשורים ספציפית לביטקוין.
  
  • פתרון בעיית התשלומים ב-Bitcoin - (נכתב ע"י עו"ד יהונתן קלינגר, נדב איבגי וליאור גבעון):
                אחת הסיבות שמונעות את אימוץ פרוטוקול הביטקוין בקהילת הגולשים ברשת, מעבר לאוריינות טכנולוגית, היא חוסר
                הפיכות העסקאות שבו. מצד אחד, מדובר על דרך שבה לא ניתן לעקוץ מוכרים בצורה של הכחשת עסקה, אך מצד שני,
                קיומו של מנגנון מסגנון של "הכחשת עסקה" מייצר עלויות עסקה ועמלות אשר מייקרות את מחיר המוצר. על ידי יצירת
                מנגנון בוררות, כשם שמוצג על ידי Bitrated באמצעות מערכת ה-MultiSig, ניתן להשיג חסכון בעמלות ועלויות עסקה,
                ולמצוא מערך שיוכל לטפל בעסקאות Bitcoin אף בצורה שתוכל להכניס ודאות עסקית. מאמר זה מדבר על היתרונות של
                מעבר לטכנולוגית MultiSig בכלל, ועל הצורך האבטחתי בכך. לצורך העניין מניחים כותבי המאמר כי אין צורך להציג את
                ביטקוין כמטבע מבוזר, את היתרונות שלו ואת היקף השימוש בו, ולכן יעסוק המאמר בכך בצורה קצרה במיוחד.
  
  • Android Fragment Injection - (נכתב ע"י רועי חי):
                במאמר זה מציג רועי פגיעות חדשה שקבוצת המחקר שלו גילתה באנדרואיד. ליתר דיוק הפגיעות היא ב-Android
                Framework, והיא משפיעה על כל אפליקציה אשר מכילה exported Activity שיורש מ-PreferenceActivity. מכיוון
                שהשימוש ב-Activity זה הוא שכיח למדי, מספר רב של אפליקציות פגיעות (Android Settings, Dropbox, Gmail,
                Evernote וכד') למתקפה זו, בנוסף, המאמר כלול הקדמה קצרה על Android ועל מנגנוני האבטחה בו.
 



תגובות על 'הגיליון הארבעים ושמונה של Digital Whisper שוחרר!':



#1 

NoX (אורח):
תודה רבה!
31.12.2013 17:03:54

#2 

iTK98:
כבוד הוא לי היה להיות חלק מהמגזין DigitalWhisper. שתהיה שנה אזרחית חדשה מעולה לכולם, ושנמשיך לזכות לגליונות נוספים מ-DigitalWhisper.
31.12.2013 18:19:07

#3 

nirgn975 (אורח):
ואוו! 4 שנים רצופות זה בהחלט המון זמן, כל הכבוד!
תודה רבה לכל הכותבים על הגיליון, המאמרים נשמעים מאוד מעניינים, נותר לרוץ לקרוא..

ורק נאחל שתיהיה לכולם שנה אזרחית טובה! ושגם שנה הבאה תיהיה מלאה במאמרים.
31.12.2013 20:27:41

#4 

שמיל (אורח):
שנה טובה והמון תודה על הגיליון והמגזין הזה! ללא ספק, אתם אחד מזרמי הרוח החזקים ביותר שנושבים במפרשי הקהילה!
31.12.2013 22:54:03

#5 

גיל (אורח):
מאמרים טובים ביותר! תודה רבה!

מצטרף לדבריו של הבחור מעלי. תותחים!
01.01.2014 09:57:18

#6 

B1nary (אורח):
תודה רבה כל הכותבים בכל השנים האלה! תמשיכו ככה!
01.01.2014 23:48:57

#7 

eido300 (אורח):
חיכיתי לזה כל החודש.
אחלה גיליון תודה רבה לכם, תמשיכו כך.
02.01.2014 22:29:55

#8 

רביבו (אורח):
תודה רבה! מזל טוב!
02.01.2014 23:34:54

#9 

n0t (אורח):
תודה!
05.01.2014 00:55:57

#10 

shoko (אורח):
יצא לי להגיע לכמה מפגשי defcon בהם הכרתי חלק קטן מהכותבים והתרשמתי עמוקות מהידע והמקצועיות שלהם.
גם היום אחרי 4 שנים אני עדיין לומד ונהנה מכל מאמר.
תמשיכו כך!!
אפיק, כל הכבוד :-)
26.01.2014 17:28:07

#11 

dsyoyo:
ת'אמת מפחיד קצת לגלוש באתר שלכם ולקרוא את המאמרים שלכם עם כל הפריצות לך תדע עם כל האתר הזה לא נגוע :)
סתם אתם פשוט אלופים מת על הגיליונות שלכם!
נ.ב: תחשבו איזה גאוני זה להחדיר לאתר תולעת וכל מאבטחי המידע בארץ ידבקו...פשוט גאון אני!
26.01.2014 19:23:20

#12 

tairch (אורח):
המאמר על ospf מעולה! עכשיו רק חסר החלק השני שמסביר איך להשיג גישה לראוטר מלכתחילה... סומכים עליכם!
dsyoyo - הרעיון עם התולעת ממש חכם, ובאמת אם מאבטח מידע בארץ לא יכיר את האתר הזה כמה אנשים יסתכלו עליו עקום ככה שהוא המקום האידאלי לתולעת. רק אל תפיצו... שלא יגיע לאוזניים הלא נכונות!
26.01.2014 23:43:55

#13 

dsyoyo (אורח):
חח תודה tairch נקווה שלא יעלה למישו הג'וק למוח..
ת'אמת אני כרגע מחפש ללמוד אבטחת מידע באופן מקצועי ולעבוד אבל אני לא ממש יודע איפה כדאי ללמוד ומה דרוש ממאבטח מידע..מי שמוכן לעזור לי ולהכווין מוזמן לשלוח מייל dsyoyo@walla.com
28.01.2014 18:58:39



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.