הגליון השלושים ושמונה של Digital Whisper שוחרר!

והנה השלמנו עוד הקפה אחת סביב השמש. עוד שנה חלפה לה, ואנחנו כאן עם הגיליון ה-38.
ברוכים הבאים לגיליון ה-38 של המגזין Digital Whisper! אחרי עבודה לא פשוטה, אנו מגישים לכם את הגיליון.
 
הגיליון ה-38 הוא הגיליון שמסכם את שנת 2012, מה שאומר ש(אני צריך לשנות את ה-Footer של האתר...) דיגיטל נכנס לשנת הפעילות הרביעית שלו! בהחלט כבוד.
 
השנה היו לנו מספר לא קטן של אירועים הקשורים לאבטחת מידע ולהאקינג בעולם, ואם אשלוף כמה זכורים, אציין אירועים כמו האיום של אנונימוס לסגור את האינטרנט, כל האירועים סביב האביב הערבי והמלחמה על הקישור האינטרנטי באותן מדינות, כל מני וירוסים ותולעים משוגעות שצצו להן, מבצעים כמו Ghost Click והרבה (יותר מדי הרבה,) מופעים של המילה "סייבר"... אני לא אתחיל לסכם את האירועים, את זה תוכלו בוודאי לקרוא בגוגל, או באתרי חדשות שונים המתעסקים בנושא אבל אני אגיד שהייתה לנו שנה מעניינת מבחינת אבטחת מידע, ושאם אני צריך לנחש, אנחש כי השנה הקרובה תהיה מעניינת לא פחות.
 
הגיליון החודש כולל מאמרים מגוונים ביותר: יש לנו מאמר מעולה על שיפורים באבטחת המידע בעולם האנדרואיד, יש לנו מאמר ספיישל בחירות המסכם מחקר בנושא, יש לנו מאמר שכולל מתמטיקה, הצפנות וזכויות דיגיטליות, מאמר המשך למחקר בנושא שימוש בטוח ב-SSL (הפעם מהצד האפליקטיבי), מאמר מקיף על ה-Dark Net, השימוש והסכנות בה, ומאמר המציג טכניקות למעקף תוכנות אנטי-וירוסים.
 
לפני שניגש לתוכן, ברצוננו להגיד תודה רבה לכל מי שכתב מאמרים ובזכותו הגיליון יצא לאור:
תודה רבה לניר גלאון, תודה רבה לדן פלד, תודה רבה לגדי אלכסנדרוביץ', תודה רבה לבר חופש, תודה רבה ליובל נתיב, תודה רבה לישראל חורז'בסקי (Sro) ותודה רבה לאמיתי דן (PopShark).
 
בנוסף, תודה רבה לשילה ספרה מלר על העריכה של המגזין.
 
הלוואי ונהיה כאן גם בסוף ההקפה הבאה!
 
                                                           קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל.
 


החודש, הגליון כולל את המאמרים הבאים: 
  • כספת של סוכריות גומי - (נכתב ע"י ניר גלאון)
            מאמר זה הינו מאמר המשך ל"מנגנוני אבטחה באנדרואיד" שפורסם בגיליון ה-31. המאמר הקודם נגע בנושאים כגון החשיבות
            של אבטחת המידע ועל יסודותיה בעולם האנדרואיד, על מרכז הגישה של המכשיר, על הסכנות ועל דרכים להתמודד איתם.
            במאמר זה ניר מציג את העדכונים והחידושים שגרסאות Jelly Bean 4.1 ו-4.2 מביאות עמן בתחום האבטחה (כגון ASLR,
            סריקת רוגלות ב-Play ועוד), ובנוסף נגע במספר נקודות למחשבה על חורים הקיימים במערכת.
 
  • המדריך לתייר בסמטאות האפלות של הרשת - (נכתב ע"י דן פלד)
             על פי האתר Internet World Stats המספק מידע סטטיסטי עדכני על האינטרנט, יותר מ-2.2 מיליארד אנשים (כמעט שליש
             מאוכלוסיית כדור הארץ) משתמשים באינטרנט. על אף היותו נפוץ כל כך, מעטים מהמשתמשים בו שמעו מושגים כגון: Under
             net או Dark Web. כל אחד מהביטויים האלה מתייחס לחלקים "הנסתרים" שבאינטרנט - חלקים שאינם נגישים למשתמש
             הממוצע. במאמר זה מסביר דן על אותם חלקים, כיצד לגשת אליהם, השימוש ברשת, הסכנות בה ועוד.
   
  • ראשוני ומחוץ לחוק - (נכתב ע"י גדי אלכסנדרוביץ')
             במאמר זה מביא גדי את סיפורו של פיל קרמודי, סיפור שהוא גם משעשע, גם מערב מתמטיקה לא טריוויאלית וגם מערב
             קצת להטוטי מדעי המחשב. בשנת 2001 פיל מצא דרך שבה הוא יוכל לגרום לקוד של DeCSS (תוכנה שעזרה לעקוף הגנה
             על זכויות יוצרים מפני צריבת דסקי DVD באותו הזמן) להיות זמין באופן פומבי, בכל מקום בעולם, מבלי שהחוק יוכל לעשות
             משהו נגד זה.
  
  • Antivirus Bypass Techniques - (נכתב ע"י יובל נתיב ובר חופש)
             מאמר זה עוסק בעולם תוכנות האנטי-וירוס, המאמר מחולק לשני חלקים, החלק הראשון מדבר על הרקע - מה הן אותם
             תכונות, מה מטרתן, באילו טכניקות הן משתמשות על מנת להשיג את אותה המטרה, והחלק השני נוגע באותן טכניקות
             שבהן תוקפים משתמשים על מנת לעקוף את אותן תוכנות ומנגנונים, כגון שינוי חתימות דיגיטליות לקובץ, שימוש
             בתוכנות Packing, שימוש ב-Encodders ועוד. מומלץ מאוד לקרוא את המאמר עם רקע בתכנות (עדיפות ל-C).
 
  • חולשות ב-SSL מהפן האפליקטיבי - (נכתב ע"י ישראל חורז'בסקי / Sro)
             מאמר זה הינו מאמר המשך למאמר שפורסם בגיליון השלושים וחמישה, שעסק בחולשות ב-SSL. בעוד שנושא המאמר
             הקודם היה תשתיתי ומצא שבצד ה-Server שרתי Web מאפשרים הצפנות חלשות, ובצד ה-Client דפדפנים מעודכנים
             מוודאים שה-Tunnel מוצפן כראוי. מאמר זה הינו אפליקטיבי ועוסק בשפות תכנות, בבדיקה האם בעת שאנחנו שולחים
             החוצה בקשת HTTPS ספריות הקוד השונות מוודאות שהתווך מוצפן כראוי (שזהו תפקידו של מנגנון ה-SSL), או שהן
             מאפשרות חיבור בפונקציות חלשות - כך שתוקף שמבצע מתקפת MITM (באמצעות ARP Poisoning ,DNS Spoofing וכד')
             יוכל לפענח את התעבורה.
 
  • התנגשויות בין חוקים ותקנות - (נכתב ע"י אמיתי דן / PopShark)
             באופן מסורתי מקובל להתייחס לפרצות אבטחת מידע ככאלו המתרחשות עקב כשלים בתוכנה בקוד או בשיטות העבודה,
             לעתים דווקא חוקים ותקנות האוסרים משהו מסוים יגרמו לטריגר שיביא לשימוש בלתי חוקי בשיטה שלא הייתה מוכרת עד
             כה כבעייתית מבחינה משפטית. במחקר שערך אמיתי עולה כי מתרחשים מצבים שבהם דווקא חקיקה ותקנות, אם בתצורה
             של חוק יחיד ואם בהתנגשות בין חוקים, היא זו שתגרום להיווצרות הכשל, ולכן בחינה של חוקים תקנות ותקנונים שונים תביא
             לא פעם לאיתור פרצות אבטחה שיטתיות. במאמר זה מביא אמיתי את פני הדברים.
  

                                                                                                                     
                                                                        קריאה נעימה! 
 
 



תגובות על 'הגליון השלושים ושמונה של Digital Whisper שוחרר!':



#1 

iTK98:
מדהים! שיהיה בהצלחה ב-2013.

וראשון :)
31.12.2012 19:31:50

#2 

cp77fk4r:
תודה רבה! :) אני שם לעצמי מטרה לגרום לך לכתוב לנו לפחות מאמר אחד עד סוף 2013! ;)
31.12.2012 19:33:59

#3 

Dw4rf (אורח):
תודה רבה חברים! דרך מעולה להתחיל את השנה החדשה! :)
31.12.2012 19:53:52

#4 

Sro (אורח):
iTK, תן בראש !

סחטיין על הגליון ועל ההתמדה, נראה לי שזה הגיליון הישראלי בנושאי האקינג ששרד הכי הרבה גיליונות וזמן.
31.12.2012 23:01:19

#5 

גיל (אורח):
תודה רבה! גיליון מעולה! שנה טובה!
01.01.2013 01:10:50

#6 

שמיל (אורח):
אתם אדירים!!!! כל הכבוד על העקשנות! באמת, פשוט כל הכבוד. גיליון מעולה! המאמר הנושא שרציתי דן מדבר עליו כל כך מרגיז! פשוט לא אכפת להם...
01.01.2013 07:46:26

#7 

שמיל (אורח):
חצי מהמשפט האחרון התפקשש לי זה המשפט במקור: ״הנושא שהמאמר שאמיתי דן מדבר עליו כל כך מרגיז״.

והקפה נעימה לכולם! חח :)
01.01.2013 07:49:39

#8 

iTK98:
תיקון לגבי המאמר של דן פלד, "המדריך לתייר בסמטאות האפלות של הרשת". היום כבר אי-אפשר עוד להפסיק את TorButton, ברגע שהתקנת את התוסף הוא פעיל תמיד, אם אתה רוצה להפסיק להשתמש בו, אתה חייב לבטל אותו דרך הפאנל ניהול של התוספים.

כמו כן, בקרוב יפסיקו להציע את TorButton כתוסף. מוזילה מתקדמת מהר מדי עם השיחרורים והם לא מספיקים לעקוב אחרי כל השינויים ולהבטיח כי לא תהיה דליפה מהדפדפן עצמו.

קריאה נוספת,
https://blog.torproject.org/blog/toggle-or-not-toggle-end-torbutton
01.01.2013 07:49:55

#9 

Zerith (אורח):
גיליון מושקע ביותר :) בהצלחה ב-2013!
01.01.2013 08:49:07

#10 

יובל (אורח):
עבודה יפה :)
01.01.2013 17:48:55

#11 

גידי (אורח):
צריך לפנות יומיים לקריאה - תודה!!
01.01.2013 19:28:49

#12 

B1nary (אורח):
אחלה גיליון! מאמרים מצוינים אחד אחד! תמשיכו כך!
02.01.2013 07:01:02

#13 

idan (אורח):
אש!
מתחיל לקרוא, מצפה להנות.
03.01.2013 00:07:39

#14 

Zerith (אורח):
שגיאת כתיב (או בכוונה?) במאמר על עקיפת מנגנוני אנטי וירוס - Technics -> Techniques.
03.01.2013 15:29:26

#15 

cp77fk4r:
שגיאה שלי, יתוקן ברגע שאגיע לבית!
תודה!
03.01.2013 18:37:09

#16 

cp77fk4r:
תוקן, תודה רבה! :)
03.01.2013 22:56:00

#17 

שמיל (אורח):
היי חברים! אני לא יודע אם יצא לכם לראות אבל פרסמו מאמרים מהגיליון האחרון באתר החדשות "Newsgeek":

פרסמו את המאמר של אמיתי דן על הבחירות:
https://www.newsgeek.co.il/elections-and-the-internet

ואת המאמר של דן פלד על ה-Darknet:
https://www.newsgeek.co.il/the-dark-side-of-the-internet
04.01.2013 13:38:51

#18 

cp77fk4r:
ידוע ידוע, אנחנו בעד :)
04.01.2013 14:36:08

#19 

(אורח):
שלום,

לגבי המאמר "כספת של סוכריות גומי" : הבעיה העיקרית באנדרואיד היא באמת חוסר העידכונים של ה OEMs אבל אסור לנו לשכוח את מפתחי האפליקציות.
אחת הדוגמאות שהבאת במאמר היא האפליקציה הפופולרית מאוד Whatsapp שחוטאת מבחינת אבטחת משתמשיה.
לפני כמה חודשים פורסם ברשת כי האפליקציה משתמשת בפרוטוקול XMMP עבור השירות כאשר שם המשתמש הוא מספר הטלפון והסיסמא היא מזהה ה IMEI של המכשיר, באנדרואיד ו MAC ADDRESS עבור אייפון.
בעזרת הקוד הבא :
https://github.com/venomous0x/WhatsAPI
כל אחד יכול לשלוח הודעות ולקבל הודעות של משתמשים אחרים ברגע שיש לו את הפרטים הללו.
כאשר להשיג אותם הדבר גם מאוד קל, וכל אפליקציה שניה מבקשת גישה לפרטים הללו.
05.01.2013 10:51:32

#20 

רמז (אורח):
תודה רבה! גיליון מרתק! בהצלחה בשנה הקרובה!
08.01.2013 07:43:23

#21 

ezra:
את המאמר על ה-DARK NET וה-UNDER NET לא ממש הבנתי.
לא ממש הבנתי מה ההבדל ביניהם, וחסר גם דוגמאות ספציפיות על הסוגים של ה-DARD ו-UNDER NET בשביל שגם טמבלים כמוני יבינו את הדברים.
23.01.2013 15:51:47

#22 

iTK98:
Undernet הינו כינוי לאתרים שאינם מאונדקסים (משמע אין קישור יש
אל המידע הנמצא בהם, אי אפשר למצוא אותם במנוע חיפוש).

דוגמה לכך:
https://www.itk98.net/some-deep-stuff/you-woulndt/find-otherwise

(אין עמוד כזה בפועל, זה רק לשם דוגמה) עכשיו שנתתי לך קישור לעמוד הזה כאן, הוא כבר אינו undernet שכן גוגל "תאנדקס" אותו. יש דרכים להגן על עמודי undernet כאשר הבסיסית ביותר היא שם משתמש וסיסמה, מיסוך עמוד, מפתחות קלינטים ועוד.

Darknet הינו כינוי לאתרים שאינם מאונדקסים ונמצאים בתוך תת-רשת שאינה נגישה למשתמשים ללא אמצעי מיוחד כלשהו.דוגמאות לכך יכולים להיות רשתות VPN של מקומות עבודה, רשת TOR ועוד.
25.01.2013 00:34:09



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2023 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.