הגליון החמישים וארבעה של Digital Whisper שוחרר!
ברוכים הבאים לגיליון ה-54 של Digital Whisper! הגיליון של חודש אוקטובר. הרבה זמן שלא היינו פה...
מה אפשר להגיד, חודש ספטמבר שחלף יזכר בין דפי ההיסטוריה של עולם ההאקינג בעקבות כנס הסייבר הבינלאומי 2014 שהתקיים בישראל זאת השנה הרביעית. לא, סתם, עם כל הכבוד לכנסי הסייבר שמתקיימים בארץ ולמטה הקיברנטי ולחבריו, חודש ספטמבר יזכר ככל הנראה בעקבות הפרסום אודות חולשת ה-Shellshock שהתגלתה ב-Bash ממש לפני מספר ימים.
על פניו זה נשמע הגיוני מאוד שחולשה כזאת תקבל מקום של כבוד בין דפי ההיסטוריה, בסופו של דבר מדובר בחולשה המאפשרת במקרים מסוימים, הרצת קוד מרחוק, שהתגלתה על רכיב שנמצא בהרבה מאוד מקומות ושאינה דורשת כמעט מאמץ. נשמע בדיוק כמו במקרה של HeartBleed, חולשה חזקה, שנמצאת באיזורים מאוד קריטים שתפסה את כולנו לא מוכנים. ושוב, אני לא חושב שכשל ה-Shellshock הוא לא עניין רציני, אני פשוט טוען שלא זאת הסיבה שכנראה נזכור אותה לעוד לא מעט זמן.
הסיבה שלדעתי נזכור אותה לאורך זמן היא מפני שהפשטות שלה אל מול פרק הזמן שהיא לא פורסמה (או לא התגלתה) הוא הזוי ברמה שקשה להבין. את ה-HeartBleed לדוגמא, מצאו באפריל 2014, בקוד שנכנס למוצר במרץ 2012 - זאת אומרת שאחרי קצת יותר משנתיים הצליחו לזהות את הכשל, על המורכבות של החולשה עוד ניתן להתווכח. אך כאן במקרה של Shellshock, מדובר בחולשה שנמצאה בקוד שנכנס למוצר בשנת 1992, כך שמדובר במעל 21 שנה בין הרגע שנוצרה לרגע בו התגלתה, וכאן קשה מאוד להתווכח עם המורכבות שלה.
ה-HeartBleed עזרה לאנשי ה-IT להבין שגם במוצרים שנחשבים אמינים ובטוחים ופרושים בכל כך הרבה מקומות קיימות חולשות, אך ה-Shellshock עזרה להבין שאותן החולשות יכולות להיות פשוט בכל מקום, ולא משנה כמה עיניים עברו על הקוד או כמה המוצר וותיק. ובעוד שהניצול של HeartBleed הוביל לחשיפת מידע בעייתי כגון סיסמאות או SessionIDs, כאן ניצול של החולשה מאפשר הרצת קוד על המכונה בלי יותר מדי עניינים, אירוע לא נעים לכל הדעות. חשוב מאוד שנדע לסמוך על הטכנולוגיות שלנו אך חשוב לא פחות לדעת להיות עירניים ולא ליפול לשאננות.
ובנימה אופטימית זו - נאחל לכל קוראינו: שתיהיה שנה בטוחה ומעניינת :)
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
החודש, הגליון כולל את המאמרים הבאים:
- ShellShock - הפגיעות הרדומה (מאת יובל (tsif) נתיב ואפיק (cp77fk4r) קסטיאל)
חולשת ה-ShellShock הינה חולשה במעטפת הפקודה Bash אשר זעזעה את עולם אבטחת המידע בימים האחרונים (יש אף
האומרים "לפחות כמו HeartBleed", אבל את זה נשאיר היסטוריונים להחליט), במסגרת מאמר זה, מציגים יובל ואפיק את
הרקע לחולשה, את החולשה עצמה ואת מהות הפגיעות, דרכים שונות לנצל אותה ואירועים שונים בהן התגלתה החולשה
בעת שימוש In The Wild ע"י נוזקות כאלו ואחרות.
- קריפטוגרפיה קוונטית (מאת גדי אלכסנדרוביץ')
במאמר זה מציג גדי אלכסנדרוביץ' יישום של עולם הקריפטוגרפיה הקוונטית, המאמר כולל סקירה קצרה על עולם ההצפנה,
הצגת בעית החלפת מפתחות הצפנה תחת ערוצים שאינם בטוחים, וכיצד ניתן לפתור בעיה זו על ידי שיתוף מפתח הצפנה
באמצעות ערוץ תקשורת קוונטי. המאמר פורסם לראשונה כפוסט בבלוג "לא מדויק".
- פוטנציאל מתקפות ה-DDoS במרחב האינטרנט הישראלי (מאת יורי סלובודיאניוק)
במאמר זה מביא יורי סלובודיאניוק סקירה אודות גל התקפות ה-DDoS שבוצע על שרתי ה-DNS של ספקי האינטרנט
במדינתנו בחודש יולי האחרון. במאמר זה סוקר יורי את התקיפות, את מאפיינין, כיצד הן בוצעו, מסקנות שניתן להסיק
ממתווה המתקפות, ומה ניתן לעשות על מנת לצמצם את כמות הנזק בפעם הבאה, בתור ספקית אינטרנט, מנהל רשת
ואפילו משתמש הקצה בבית.
- תחום מפוספס - על אבטחת מידע בברקודים (מאת דניאל ליבר)
במאמר זה סוקר דניאל את נושא אבטחת המידע בעולם הברקודים, כיצד תחום זה נוצר, אילו סוגי ברקוד קיימים, אילו סוגי
קידוד ואילו עקרונות קיימים בענף זה. בנוסף, מציג דניאל סוגי תקיפות שונות שניתן לבצע על מערכות מבוססות בקרודים.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
תגובות על 'הגליון החמישים וארבעה של Digital Whisper שוחרר!':
#1 |
ניר (אורח): ראשון!@@# 30.09.2014 15:17:42 | |
#2 |
שמיל (אורח): יפה דיברת! נושאים מעולים כרגיל, נראה כמו עוד גיליון מצוין! שתהיה שנה טובה לכולנו! 30.09.2014 15:43:28 | |
#3 |
דוד (אורח): תודה רבה! מאמרים מעולים! המאמר על ShellShock הוא המאמר המקיף ביותר קראתי על הנושא, והמאמר על אבטחת המידע בברקודים נפל עלי בול, והוא כתוב בצורה טובה מאד, עשה לי הרבה סדר בראש בדיוק לפני פרוייקט שאני מתחיל בנושא. תודה רבה! 30.09.2014 19:55:03 | |
#4 |
שמעון (אורח): תודה! אתם עושים עבודה מדהימה 30.09.2014 22:44:56 | |
#5 |
Bit (אורח): תודה! 30.09.2014 23:37:15 | |
#6 |
Web (אורח): תודה רבה! נהניתי מאד לקרוא. במיוחד את המאמר על ShellShock ואת המאמר על הברקודים. תמשיכו כך! 01.10.2014 19:51:52 | |
#7 |
H3r0 (אורח): "לדוגמא: ניתן ליצור סקריפט שבודק פעם בחודש האם יצא הגיליון של מגזין אבטחת המידע המעודף עלינו, ובמידה וכן - הסקריפט יצור תיקיה במיקום שקבענו מראש, יוריד אליה את כלל הכתבות שפורסמו במסגרת הגיליון וישלח לנו אימייל או SMS עם הודעה על כך" יצא לי לראות מישהו שממש סקריפט דומה שמוריד את הגליון בעזרת xchat :) תודה רבה על הגיליונות 02.10.2014 16:39:52 | |
#8 |
דייב (אורח): תודה רבה! גיליון משובח. 02.10.2014 17:24:57 | |
#9 |
natinet (אורח): תודה רבה, גליון מעניין! 03.10.2014 15:33:24 | |
#10 |
natinet (אורח): תודה רבה, גליון מעניין! 03.10.2014 15:33:29 | |
#11 |
eli (אורח): גיליון נוסף מעניין כל הכבוד לכם 05.10.2014 15:12:47 | |
#12 |
רובין_הוד (אורח): גיליון מעולה! כל הכבוד למי שלקח חלק, המשיכו כך! 06.10.2014 07:28:33 |
הוסף את תגובתך: