הגליון החמישים ושבעה Digital Whisper שוחרר!
ברוכים הבאים לגיליון ה-57, הגיליון הפותח את שנת 2015!
שנת 2014 הייתה שנה עם לא מעט אירועים שייצרבו כביטים מעל דפי ההיסטוריה הוירטואלים של עולם ההאקינג. חלקם לטובה, וחלקם קצת פחות. בהסתכלות על אותם האירועים, נראה כי שנת 2014 תרשם בין היתר, כשנה שבה למדנו הרבה למדי.
חולשות כגון HeartBleed לימדו אותנו שבכל מוצר עלולות להיות טעויות, גם במוצרים ש״אמורים״ להיות הבטוחים ביותר. תולעים כגון TheMoon לימדו אותנו שלכל דבר ברשת שלנו שיש לו כתובת IP, יש פוטנציאל להוות וקטור חדירה שמאיים עלינו. חולשות כגון ShellShock ו-SChannel Shenanigans, לימדו אותנו שגם בקוד שרץ ב"פרודקשיין" כבר לא מעט שנים, ניתן למצוא חולשות קריטיות שעלולות להיות מנוצלות נגדנו. חולשות כגון POODLE לימדו אותנו שגם פרוטוקולים אשר אמורים להגן עלינו לא תמיד מסוגלים לעשות זאת.
אירועים כגון מתקפות ה-DDoS מבוססות ה-NTP או SSDP מלמדים אותנו שגם השירותים המינימליים ״והסתמיים״ ביותר יכולים להיות מנוצלים נגדינו (ולהוריד לארגון שלנו סטירה במהירות של עשרות GBps). מקרים כגון מאות-אם-לא-אלפי-הארגונים-שנפרצים-על-בסיס-יומי אמורים ללמד אותנו ששום דבר באינטרנט לא בטוח, ואף פעם אל תסמכו על שום אתר. אירועים, כגון הפסקת התמיכה הפתאומית ב-TrueCrypt וסגירת הפרוייקט אמורים ללמד אותנו שאנחנו כנראה חשופים רק לקצה הקרחון ברב מבזקי החדשות שאנחנו קוראים - ולחשוד בהכל. ועוד אלף ואחת דוגמאות.
המצב טבעי וזה לגמרי בסדר ואנושי, אך על מנת שהעניין יהיה גם נסבל, אסור יהיה לנו (בתור משתמשים פרטיים, ובתור אירגונים) לחזור על אותן טעויות. תמיד יהיו מפתחים שיעשו טעויות, ותמיד יהיו אותם גורמים עויינים שידעו לכתוב כלים שינצלו את אותן הטעויות. אך אם באמת נלמד, אפילו רק מחלק מאותם המקרים שהזכרתי קודם לכן - כבר המצב שלנו יהיה טוב יותר.
ולפני שנעבור לחלק האומנותי, נרצה להגיד תודה לכל אותם חבר'ה שהשקיעו מזמנם וממרצם ובזכותם אתם קוראים את השורות האלה, תודה רבה ל-5Fingers, תודה רבה ליובל (tisf) נתיב, תודה רבה למתן אביטן, תודה רבה למתן הרט, תודה רבה ליגאל סולימני, תודה רבה לשחף אלקסלסי. וכמובן - תודה ענקית לעורכת מספר אחת: שילה ספרה מלר.
בברכת שנה בטוחה, המון 0Days, וכמה שפחות פוסטים עם הפרטים שלכם ב-Pastebin.
החודש, הגליון כולל את המאמרים הבאים:
- טיפים שתוקפי סוני לא היו צריכים (מאת 5Fingers ויובל tisf נתיב)
במאמר הבא, מציגים 5Fingers ויובל נתיב טכניקות שונות בהן וירוסים וסוסים טרויאנים עלולים להשתמש (ואף משתמשים)
על מנת לעקוף מערכות Data Leakage Prevention ארגוניות. המאמר נכתב בעקבות כתיבת ספריית פיית'ון בשם PyExfil.
- Reversing על DLL מוצפן וכוס קפה (מאת מתן אביטן)
במאמר הבא, מציג מתן אביטן את הפתרון שלו לאתגר ריוורסינג לא פשוט אשר פורסם באתר X, במהלך האתגר משתף
מתן את המחשבות, הרעיונות וכיווני החשיבה שעולים לריוורסר ומציג את כיוון המחשבה שאיתו הוא הולך על מנת להגיע
לפתרון.
- Paranoid Mode (מאת מתן הרט)
במאמר הבא, מציג מתן הרט את ההבדלים בין פרטיות לבין אנונימיות, את הדרכים בעזרתן בעלי אתרים, ממשלות וחברות
ענק כגון גוגל יכולים לזהות אותנו בעת השימוש ברשת האינטרנט, וכיצד נוכל לפעול על מנת להתגנן מפני שיטות אלו.
- פקודות שימושיות ב-Linux (מאת יגאל סולימני)
במאמר זה, מסביר יגאל סולימני על מספר פקודות שימושיות בעת עבודה עם שורת הפקודה של מערכת ההעפלה לינוקס,
ההסברים של יגאל מלווים בדוגמאות ובתמונות.
- הצפנת סיסמאות מנקודת מבטו של בונה אתרים (מאת שחף אלקסלסי)
במאמר הבא, סוקר שחף אלקסלסי את הטכניקות בהן על בעל אתר אינטרנט לנקוט על מנת למזער את הנזק אשר עלול
להגרם מפריצה למסד הנתונים, איך ומתי עליו להצפין את פרטי ההזדהות אותם הוא שומר במסד הנתונים ועוד.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
תגובות על 'הגליון החמישים ושבעה Digital Whisper שוחרר!':
#1 |
שמיל (אורח): תותחים! תודה רבה! 31.12.2014 22:07:25 | |
#2 |
eido300 (אורח): נראה אחלה גיליון, תודה רבה לכם. 01.01.2015 01:40:13 | |
#3 |
H3r0 (אורח): תודה רבה על עוד גיליון איכותי :) 01.01.2015 06:13:12 | |
#4 |
shrek0 (אורח): גליון מצוין! תודה רבה! למי שמעוניין, אני מצר, קישור לסקריפט להורדה בקלות של גליונות Digitalwhisper שאני ועוד מישהו כתבנו: github.com/shrek0/DigitalDown אני מקווה שיהיה לו שימוש. 01.01.2015 14:39:27 | |
#5 |
דייב (אורח): עוד מקבץ מאמרים איכותי להעביר איתו את הסופ״ש. אחלה דרך לפתוח את שנת 2015. 01.01.2015 15:02:49 | |
#6 |
m0b (אורח): גיליון נהדר! יובל ו-5Fingers, מאמר מעולה! למדתי ממנו רבות. אגב, יש לכם עמוד פייסבוק שיהיה אפשר להיות מנוי אליו ולקבל עדכונים שם? 02.01.2015 07:23:37 | |
#7 |
מישהו (אורח): > הצפנת סיסמאות מנקודת מבטו של בונה אתרים (מאת שחף אלקסלסי) גיבוב זה לא הצפנה. 02.01.2015 17:10:02 | |
#8 |
שמיל (אורח): אגב, המאמר של יובל ו-5Fingers מגיע מעולה ביחד עם המאמר שפורסם בגיליון ה-20 ע"י יהודה גרסטל על Tunneling: https://www.digitalwhisper.co.il/files/Zines/0x14/DW20-3-Tunneling.pdf 02.01.2015 19:17:18 | |
#9 |
cp77fk4r: אין לנו עמוד פייסבוק, אבל יש לנו RSS שאפשר (ואף מומלץ) להשתמש בו ואנו משתדלים לפרסם בעמוד הפייסבוק של קבוצת ה-DC המקומית. 07.01.2015 05:18:23 | |
#10 |
natinet (אורח): תודה רבה! מאמרים מעניינים מאוד! 17.01.2015 20:12:20 |
הוסף את תגובתך: