הגליון השבעים ושלושה של Digital Whisper שוחרר!
ברוכים הבאים לגליון ה-73 של DigitalWhisper!
מי שאיכשהו הצליח לפספס ולא שם לב, במהלך חודש מאי פורסם הגליון ה-69 של המגזין האגדי - Phrack. מי מביניכם שמכיר אותי, יודע שיש לי פינה מיוחדת בלב למגזין הנ"ל, למה שהוא מסמל ולכל מה שמסביבו. ואף יותר מזה - אם אתם מהאלה ששמים לב לפרטים הקטנים יהיה לכם קשה מאוד לפספס שגם Digital Whisper הושפע מהנ"ל לא מעט.
קשה להגיד שהמעצר של Knight Lightning השפיע עלי (בכל זאת, הייתי אז בן 3...), וקשה להגיד שהרגשתי את ההבדל כאשר The Circle of Lost Hackers החלו לקחת את הפיקוד על המגזין. לא הייתי שם בגליון ה-49 כאשר Aleph One הרעיד את הרשת או בגליון ה-51 כאשר Fyodor הכריז על nmap.
אך עם זאת, Phrack מבחינתי מסמל את אחד הדברים היפים ביותר שיש היום (מעבר לזה שיש לי חולשה ל-ASCII Art), בשבילי Phrack הוא איזשהו טלפורטר לסצינת ההאקינג כאשר היא עוד רק החלה. החבר'ה שם מצליחים לשמר כמעט בכל אספקט את אותו דבר יפה שהיה כאן לפני שסצינת ההאקינג "התמסחרה", לפני שזה היה באופנה לכנות את עצמך "האקר", לפני שבייתו את המילה הזאת, ולפני שהיה כזה מקצוע.
כיום ניתן לראות כל כך הרבה חבר'ה שמתראיינים בתקשורת ותחתיהם כתוב "האקר" או "האקר לשעבר"... איך לעזאזל אפשר להיות "האקר לשעבר"?! בחיפוש קצרצר בגוגל ניתן למצוא שיש כל כך הרבה הגדרות ותפקידים וקורסים והכשרות ובתי ספר שרק אומרים לך "בוא, תלמד ותוך חצי שנה של לימודי ערב אתה תהיה האקר ויהיה לך מקצוע של האקר", אני לא יודע למה, אבל אותי זה מעציב.
בעצם, אני חושב שאני כן יודע למה: כפי שאני (ואני בטוח שעוד רבים) תופס את העניין, האקר זה לא מקצוע, אי-אפשר לשבת בכיתה וללמוד להיות האקר, האקר זה דרך חיים, זאת תפיסה שהיא מעבר ללוח וגיר, היא מעבר למקצוע והיא גם מעבר ליכולת כזו או אחרת. להיות האקר זה דרך חיים שלמה. זה טבוע בבן אדם וזה מורגש כמעט בכל צעד ופעולה שהוא עושה, לכן גם אי-אפשר להיות "האקר לשעבר", אפשר להיות אדם שפעם עסק באבטחת מידע, או להיות מורה לשעבר, אבל אי-אפשר להיות האקר לשעבר.
ולכן, בכל פעם שגליון נוסף של Phrack מתפרסם, מבחינתי זה יום חג, אני מחכה שיהיה לי ערב פנוי או אפילו מחכה לסופ"ש הקרוב, יושב וקורא את דברי הפתיחה בשקיקה, קורא את Loopback במידה ומתפרסם, חוזר וקורא את דברי הפתיחה של גליונות קודמים, מדי פעם אני חוזר וקורא את המסמך האגדי של Loyd Blankenship (בפעם המליון בערך), מתחבר ל-BBS-ים שעדיין בחיים, קורא את החדשות ואת כל מה שמסביב - ולאחר מכן, רק בסוף, מתפנה לקרוא גם את התוכן.
עכשיו, שלא תבינו אותי לא נכון - התוכן הוא הסיבה העיקרית למגזין, ובלעדיו אפשר לומר שלמגזין אין זכות קיום, אבל אם התוכן מגיע (או מתקבל אצל הקורא) ללא כל הרקע שמסביב - זה לא יהיה אותו הדבר בכלל. זה נכון שלכמעט כל מאמר שמופיע ב-Phrack אין שני, אבל אם תשאלו אותי - לא הייתי רוצה אפילו פי 2 מכמות המאמרים אם היא הייתה מגיעה ללא כל מה שמסביב.
ואולי זה רק אני, רומנטיקן שעבר זמנו...
וכמובן, לפני הכל - תודות לכל מי שתרם החודש למגזין, השקיע מזמנו, ישב וכתב על מנת שלכולנו יהיה טעם להמשיך לחיות: תודה ל-D4d, תודה לתומר זית, תודה ל-0x3d5157636b525761 ותודה רבה לאופיר בק!
החודש, הגליון כולל את המאמרים הבאים:
- פתרון אתגר המוסד 2016 (מאת D4d ותומר זית):
ביום העצמאות האחרון, "זרוע הסייבר המבצעית" של המוסד הישראלי פרסם אתגר האקינג למטרת איתור וגיוס מועמדים
פוטנציאלים לשורותיו. האתגר הורכב ממספר שלבים, בכל שלב היה נדרש ידע והבנה במספר לא קטן של נושאים. במאמר
זה מציגים D4d ותומר זית את הפתרון שלהם לאתגר. הפתרון כולל הסבר על כל שלב שלב, סקריפטים שבהם נעשה
השימוש בעת הפתרון ועוד.
- משטחי תקיפה באפליקציות אנדרואיד (מאת 0x3d5157636b525761):
מאמר זה הינו המאמר הפותח סדרת מאמרים אשר תציג משטחי תקיפה (Attack surfaces) לאנדרואיד. במאמר יתמקד
0x3d5157636b525761 בעיקר בקוד האפליקציות (זה שכתוב ב-Java) אך מדי פעם תתבצע "זליגה" גם לקוד native
פגיע. במאמר זה יוצג כיצד ניתן לבצע פעולות מרוחקות על אפליקציית WheresMyDroid הפופולרית (בין 10 ל-50 מיליון
התקנות), כולל שדרוג שלה (שאמור לעלות כסף) וכן פעולות שונות על המכשיר.
- מבוא לאסמבלי - (מאת אופיר בק):
מאמר זה הינו מאמר ראשון בסדרת מאמרים אשר תפורסם במסגרת המגזין בנושא לימוד השפה אסמבלי, השימוש בה
ומעבר. מאמר זה הינו המבוא - ובו, מעבר ללימוד השלבים הראשונים של השפה עצמה, יפרט אופיר על מבנה המחשב -
מידע אשר הכרחי בשביל לדעת אסמבלי.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
תגובות על 'הגליון השבעים ושלושה של Digital Whisper שוחרר!':
#1 |
 |
ניר (אורח): ראשון !@@@$# 31.05.2016 20:33:41 |
#2 |
|
iTK98: כל כך מסכים, אך נראה שהדור הצעיר בעל דעות אחרות, באשמתנו שאנחנו לא ממלאים את החלל ובאשמת מוסדות-שקר-כלשהו שמבטיחים ללמד אותך להיות האקר. התחלתי פה דיון למתעניינים: https://www.hacking.org.il/showthread.php/5594 31.05.2016 21:04:31 |
#3 |
|
kasper (אורח): כתיבה יפה מאוד לפתרון של הצ'אלנג'. ריספקט לd4d ותומר. 31.05.2016 22:25:20 |
#4 |
|
עובר אורח (אורח): תודה רבה על עוד גליון איכותי! [בטוח שזה רעיון טוב לפרסם פתרון לאתגר המוסד?!] 31.05.2016 22:27:57 |
#5 |
|
שלום (אורח): עובר אורח, כבר פורסם פתרון שלו 31.05.2016 22:40:50 |
#6 |
|
Mordek (אורח): גם אני מאוד אוהב את Phrack ובתקופה מסוימת קראתי אותו מההתחלה. הוא ממש נקרא כמו סיפור מתח \ דרמה בהמשכים. דמות שהופיעה בפרק הראשון תיעצר בפרק השני ובשלישי תכריז על פרישה מעולם ההאקינג כי ההורים שלה שללו את זכויות השימוש במחשב:) כל כך נכנסתי לזה שמצאתי מי היו הכותבים הראשונים ולאן החיים לקחו אותם. אגב, המנטור (לויד) הוא היום נגר. נ.ב מה דעתכם על מנגון "שכחתי סיסמה"? כי באמת שכחתי אותה ואין דרך נראית לעין לשחזר. נ.ב 2. ניסיתי להרשם מחדש עם שם המשתמש המקורי וקיבלתי הודעה מהDB שלכם ש"היוזר כבר קיים בטבלת site_users" (או משהו מאוד דומה) שזה כמובן לא מראה על פגיעות, אבל איכשהו מרגיש שלא זה האתר שאמור להחזיר הודעות כאלו. 31.05.2016 22:47:03 |
#7 |
|
שמיל (אורח): תודה רבה על עוד גליון אדיר! ואין בעיה לפרסם את הפתרון - האתגר כבר נגמר ונסגר... ובנוגע לדברי הפתיחה... פשוט אין מילים! 01.06.2016 02:27:28 |
#8 |
|
cp77fk4r: היי, תודה - סידרתי את השגיאה כך שתהיה סטטית, החזרתי את ההגדרות כך ששגיאות כאלה לא יחזרו למשתמש - תודה! בנוגע למנגנון שכחתי סיסמה: בהחלט נשקול זאת, על מנת לפתור את העניין נקודתית חיפשתי את שם המשתמש "Mordek" ב-db ולא מצאתי - שלח לי בפרטי את שם המשתמש, ונתקדם משם. 01.06.2016 03:55:45 |
#9 |
|
d4d (אורח): הפתרונות לאתגרים של המוסד פורסמו אחרי שהמוסד סגר את האתר אז אין בעיה 01.06.2016 06:25:49 |
#10 |
|
נוריקו (אורח): תודה על עוד גיליון מצוין. למישהו יש אולי RSS לעדכונים על גיליונות של phrack? לא הצלחתי למצוא. 01.06.2016 11:19:31 |
#11 |
|
דוד (אורח): תודה רבה! 01.06.2016 12:14:58 |
#12 |
|
שמיל (אורח): @נוריקו: יש לך בצד כפתור שכתוב עליו RSS, נסה ללחוץ עליו ;) 01.06.2016 12:17:58 |
#13 |
|
אנונימי (אורח): cP אני מאוד מבין אותך.. (אומנם אני לא כזה הרבה זמן בתחום כמוך אבל עדיין). לדעתי מאז הופעת הstuxnet נהיה באז חזק על הנושא. לדעתי האקר אמיתי, זה מישהו שעושה את הדברים האלו ללא קשר רק למחשבים אלא הרבה מעבר (כמו שקראת לזה "אורח חיים").ועוד משהו שעושה מישהו ל"האקר אמיתי" זה הוא גם יודע ליצור. אם אתה מזהה "נקודה חלשה" ומנצל אותה בעזרת כתיבה של קוד או כלי (ולא אחד שרק מפעיל כלים). 01.06.2016 14:54:14 |
#14 |
|
T (אורח): לגבי האתגר של המוסד - במקום brute force שתואר במאמר, ניתן היה לקחת קובץ png אחר, ל"אפס" אותו ע"י הוספת ה-CRC של אותו קובץ בסוף הקובץ ואז להוסיף בסוף את ה-CRC של last-login.png. 02.06.2016 11:08:49 |
#15 |
|
(אורח): אחלה מאמרים! מצפה לשמוע עוד על המאמרים באסמבלי (יש את התחרות המגניבה 4K שמראה כמה כוח יש לאסמבלי). בכל מקרה, למה בחרת בTasm ולא בNasm או Masm? 03.06.2016 11:16:52 |
#16 |
|
אורח (אורח): גליון מצוין!! כל המאמרים מעניינים ממש ואני ממש מקווה שיהיו מאמרי המשך לחקירת אנדרואיד ולאסמבלי, תודה !!! 06.06.2016 21:38:18 |
#17 |
|
ariel (אורח): אני יודע שזה לא קשור .. אבל חבל שאין מאמרים על ss7 וכדו' קשה למצוא חומר בעברית על זה.. 08.06.2016 22:01:36 |
#18 |
|
ophiri99: למספר #15, מצטער על התגובה המאוחרת, ואני מקווה שתוכל לקרוא את זה. הסיבה שבחרתי להשתמש דווקא ב TASM היא בגלל הפשטות שלו, לעומת NASM שיחסית דורש סידור עצמי של הזיכרון ומאפשר דברים שלטעמי קצת גורעים מהבסיס של שפת האסמבלי. בנוסף, שים לב שהקישורים במהלך המאמר הם הפוכים, כנראה בגלל טעות שלי. 11.06.2016 09:54:08 |
#19 |
|
cp77fk4r: הקישורים תוקנו :) 12.06.2016 08:23:49 |
#20 |
|
cp77fk4r: iTK98 - קראתי עכשיו את השאלה שלך בדיון שיצרת - הניסוח מעניין מאוד והעלאת שאלה מצוינת. דעתי היא כדעתך אך הייתי משנה את הניסוח - התשובה לשאלה בכותרת היא שכן, ניתן ללמוד האקינג. והתיקון שלי אליך הוא שכן ניתן ללמוד את התחום. אך השאלה הבאמת מעניינת (וזה מה שלדעתי ניסחת יפה בתוכן ההודעה): האם מי שלמד את תחום ההאקינג הוא האקר? והתשובה שלי לשאלה הזו היא: לא. 12.06.2016 10:33:59 |
הוסף את תגובתך:
