הגליון השבעים של Digital Whisper שוחרר!
ברוכים הבאים לגליון ה-70, גליון מרץ 2016!
בכלליות, הדעה שלי היא שהיחס של האנושות לזמן הוא די אבסורדי. הצורך בחישוב הזמן וספירתו מובנת לי, אך המניפולציה הפלסטית שאנחנו מבצעים עליו כל הזמן מטרידה אותי כל פעם מחדש. זה לא שאני לא מבין את כל אחת מהסיבות: אם זה היסטורית - הזזה של ימים בין חודשי הלוח הגרגוריאני (יוליוס ואוגוסטוס כל אחד בתורו), אם זה טכנית - הוספה של ימים לטובת "החזרת חוב" לשנה האסטרונומית מחישוב לא מדוייק של הקפת השמש (ה-29 לפברואר כל ארבע שנים), אם זה דתית - הוספה של חודש ללוח השנה העברי ("אדר א'") ואם זה כלכלית - הוויכוחים שיש כמעט כל שנה במעבר בין שעוני העונות. כל הסיבות מובנות לי, אך (ובלי כמובן לפגוע באף אחד) זה עדיין מרגיש קצת לא טבעי.
קחו לדוגמא את חודש פברואר השנה, בדרך כלל, חודש פברואר כולל 28 ימים, אך השנה (אם איכשהו לא שמתם לב) החודש כלל 29 ימים. למי שתהה למה, העניין נובע מכך ש: המספר 2016 מתחלק ב-4 ללא שארית, ספרת האחדות וספרת העשרות בו אינן 0, וגם המספר אינו מתחלק ב-400 (רוצים הסבר מדוייק יותר? ממליץ על ההסבר של הלמו, ממליץ מאוד על ההסבר של הידען וממליץ קצת פחות על ההסבר מויקיפדיה).
אני לא מבין גדול באסטרונומיה, לוחות שנה או באנתרופולוגיה, אבל ברור לי שהזמן ימשיך להתקדם גם אם נתייחס אליו וגם אם לא. אם משך הזמן שחולף מזריחת השמש ועד שקיעתה מתקצר עם כל השלמת סיבוב של כדור הארץ על צירו - אנחנו כנראה מתקרבים לחורף, וזה לא ישתנה אם נחליט פתאום שיקראו לעונה הזאת בשם אחר.
איך כל זה קשור לאבטחת מידע? או, אני שמח ששאלתם!
עולם הטכנולוגיה בכלל, והתחום שלנו בפרט מתבסס על הגדרות והנחות שונות, בדיוק כמו ההגדרות שיש לנו לגבי זמן. ההגדרות הללו חשובות מאוד לטובת תפקוד תקין של כלל המערכות המרכיבות אותו והסובבות אותנו. אנחנו חייבים להצליח להגדיר דברים לטובת שימוש עתידי בהם, כמו לדוגמא - פרוטוקולי תקשורת, או אלגוריתמי קידוד והצפנה, בלעדיהם לא הייתם מצליחים לגלוש לאתר של Digital Whisper ולהוריד את המגזין.
ההגדרות שלנו לדברים חשובות, וברוב המקרים - הן גם טובות מאוד. אך חשוב שנדע שהמצב בשטח הוא לא אחד לאחד מה שאנחנו מגדירים, בייחוד כשאנחנו מסתכלים בפרטי הפרטים. טוב וחשוב שנגדיר דברים וטוב שנדע לעבוד עם ההגדרות האלה. אך חשוב מאוד שנדע איפה ההגדרות שלנו כושלות ואיפה הן יכולות לבוא לרעתינו (לדוגמא, תווים שיש להתייחס אליהם באופן מיוחד כאשר מרכיבים שאילתא? ערכים ספציפיים שטיפול בהם עלול לגרום לקריסה של הפונקציה? קידודים שונים של קלט שעלולים לפגוע במערכת? גרסאות קצה של פרוטוקולים שונים שלא מומשו כמו שצריך?). אם יש לנו פונקציה שב-99 אחוז מהמקרים יודעת לפרסר באופן מדויק את הקלט שהיא קיבלה, אך כאשר מכניסים לה קלט מאוד מאוד ספציפי היא קורסת - ככל הנראה, מי שינסה לחדור לרשת שלנו יבחר להשתמש דווקא בקלט הזה, והעובדה שהפונקציה עושה את תפקידה נאמנה בשאר המקרים - לא באמת מעניינת אותו. ובדיוק כמו הטריקים של לוח השנה - חשוב שנדע איך אנחנו צריכים לפעול על מנת לתקן את אותם המקרים שבהם הפונקציות שלנו מזייפות, אותם המקרים הספציפיים שבהם ההגדרות שלנו לא מדוייקות.
הרי אף אחד מאיתנו לא מעוניין למצוא את עצמו חורש את האדמה באמצע החורף...
וכמו בכל חודש, איך נוכל לפתוח את החלק המרכזי של הגליון לפני שנגיד תודה לכל אותם החבר'ה שבזכותם ובזכות ההשקעה שלהם אנחנו כאן החודש: תודה רבה לגילי ינקוביץ', תודה רבה לשחק שלו, תודה רבה לצח ירימי, תודה רבה לליאור אופנהיים, תודה רבה ליניב בלמס, תודה רבה ל-Disscom ותודה רבה לעו"ד יהונתן קלינגר.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
החודש, הגליון כולל את המאמרים הבאים:
- Grsecurity - Security Features For The Linux Kernel (מאת גילי ינקוביץ'):
Grsecurity הינו טלאי ל-Kernel של לינוקס, ועד אוגוסט שנה שעברה אף היה זמין באופן חופשי. במאמר זה מספק גילי
ינקוביץ' סקירה טכנית על הטלאי, כיצד באים לידי ביטוי השינויים שטלאי זה מספק ברמת ה-Kernel ועוד. הטלאי כיום זמין
באופן חופשי בגרסת Test וזו הגרסא שעליה תבוצע הסקירה במאמר זה.
מאמר זה מובא כחלק מקהילת KernelTLV.com המקיימת מפגשים חודשיים חופשיים בנושאי Linux Kernel ו-Kernel
Security.
- API Set Map & AVRF (מאת שחק שלו):
במאמר זה מציג שחק שני מנגנונים שמצויים במערכת ההפעלה Windows, המנגנונים הם: API Sets ו-Application Verifier.
בתחילת המאמר מציג שחק מהו תפקידם ושימושם האמיתי, ובהמשכו כיצד תוקפים יכולים לנצל את קיומם לטובת ביצוע
מניפולציות על התהליכים במערכת ההפעלה.
- מאבטחים את הבית בפחות מ-80 שורות קוד (מאת צח ירימי):
מאמר זה הינו חלק מסדרת פוסטים אשר מתפרסמת בבלוג I, Code של צח ירימי, סדרת הפוסטים, שכותרתה היא "50 שורות
של קוד" נועדה לעזור ללמוד כיצד לתכנת בעזרת כתיבת תוכניות קצרות. במאמר זה מציג צח כיצד ניתן בעזרת מצלמת רשת
פשוטה ומספר ספריות פייתון, לכתוב תוכנית שתדע לזהות תנועה חשודה בבית כאשר הדיירים אינם בבית.
- Key-logger, Video, Mouse - חלק ד': תקווה חדשה (מאת ליאור אופנהיים ויניב בלמס):
מאמר זה הינו החלק הרביעי והאחרון בסדרת המאמרים "Key-logger, Video, Mouse" של ליאור אופנהיים ויניב בלמס. סידרה
אשר בה מציגים את מחקרם אודות ניתוח רכיב KVM במטרה להפוך אותו ל-Key-Logger ואף יותר. בחלק זה של הסידרה,
הגיעו ליאור ויניב לשלב בו קוד ה-firmware פוענח כולו וכעת יש לנתח אותו לטובת הבנת אופן פעולתו.
- Data Is In The Air (מאת Disscom):
מאמר זה הינו החלק הראשון והפותח של סדרת מאמרים בתחום ה-SDR, תחום אשר החל לצבור תאוצה בשנים האחרונות.
במסגרת הסידרה מספק Disscom היסטוריה של תחום הרדיו, תיאוריה וכן הדגמות פרקטיות למה שניתן לבצע בעזרת ציוד
SDR. במאמר זה מציג Disscom את הרקע לעולם ה-SDR, התיאוריה המלווה אותו וכן שתי דוגמאות שונות שניתן לבצע עם
ציוד SDR שניתן לרכוש בזול באתרים השונים.
- סייבר רגולציה (מאת עו"ד יהונתן קלינגר):
מטה הסייבר הלאומי מקדם במקביל שני נסיונות אסדרה; הראשון הוא נסיון אסדרה למקצועות הסייבר, והשני הוא הפיקוח
על ייצוא מוצרי סייבר. במאמר זה מציג עו"ד קלינגר את הרגולציה בנושא, את הסדרת המקצוע, את הבעייתיות שבו ומה
המלצתו בעניין זה.
תגובות על 'הגליון השבעים של Digital Whisper שוחרר!':
#1 |
שקשוקה (אורח): ראשונה!!!1 29.02.2016 22:55:57 | |
#2 |
רועי (אורח): גליון מצוין! עוד לא עברו 10 שעות מאז הפרסום וכבר סיימתי לקרוא הכל. תודה רבה! 01.03.2016 07:40:17 | |
#3 |
אלי (אורח): כל הכבוד. 01.03.2016 07:50:22 | |
#4 |
קספרסקי (אורח): כל הכבוד. אחלה מאמרים (: 01.03.2016 16:02:18 | |
#5 |
שמיל (אורח): תותחים! תודה רבה! 02.03.2016 00:21:01 | |
#6 |
שמיל (אורח): ואגב, הגליון פשוט מעולה! כל המאמרים בו, ובייחוד המאמר על ה-SDR, הסברתם מעולה! משמח לראות שזה מאמר ראשון מתוך סדרה! מחכה כבר לחלקים הנוספים! 02.03.2016 00:51:29 | |
#7 |
(אורח): מאמרים מעולים! אני באופן אישי אהבתי את המאמר של שחק שלו 02.03.2016 22:07:35 | |
#8 |
דרור (אורח): גיליון אדיר, וממש לא רק בגלל שאני מוזכר באחת הכתבות 06.03.2016 19:46:45 | |
#9 |
שאבי (אורח): איזה קטע. בדיוק לא מזמן עלתה מצגת של אלכס איונסקו שבמקרה גם מדברת על API Sets ועל Application Verifier. 13.03.2016 15:22:21 | |
#10 |
המוקיקי (אורח): ד"ש מהמוקיקי לשחק 13.03.2016 17:06:08 | |
#11 |
תומר (אורח): גליון מצוין! אהבתי מאוד את המאמר על ה-SDR, וכדאי לציין שבקלות יחסית (ועם מכשיר RTL פשוט) אפשר גם לשמוע שיחות משטרה בזמן אמת 19.03.2016 01:12:27 |
הוסף את תגובתך: