הגליון השבעים וארבעה של Digital Whisper שוחרר!
ברוכים הבאים לגליון ה-74 של DigitalWhisper! אז... מה שלומכם? אחרי קפיצה קצת פחות מתוכננת מעל חודש יולי הנה אנחנו שוב :)
אח, חודש אוגוסט... חודש הכנסים בלאס-וגאס, החודש בו תעשיית אבטחת המידע מכל העולם מחכה בקוצר רוח ל-Buzzwords החדשים שיבואו בעקבות ההרצאות שיועברו ב-Black Hat ו-DEFCON הבאים עלינו לטובה. נראה מה נקבל הפעם...
כל שנה ושנה, נערכת ב-DEFCON תחרות CTF בת 48 שעות בין מספר קבוצות האקרים מכל העולם, כאשר הקבוצה המנצחת הינה הקבוצה אשר הצליחה לפתור את עשרת אתגרי ההאקינג (ברובם מדובר ב-Reverse Engineering) בזמן הקצר ביותר.
שנה שעברה נציג מהארגון DARPA בשם Mike Walker הציג מעל אחת מבמות הכנס את חוקי תחרות ה-CTF אשר הם מתכננים להריץ בכנס שעתיד להתקיים השנה. לתחרות הם קראו Cyber Grand Challenge, ומה שמעניין בה, מלבד הפרס (2 מליון דולר), הוא שבתחרות הנ"ל המשתתפים אינם יהיו האקרים מרחבי העולם, אלא תוכנות שמספר צוותים מרחבי כתבו במהלך השנה האחרונה. התוכנה שתנצח תזכה את הכותבים בפרס.
במסגרת התחרות, התוכנות עתידות לקבל כ-120 קבצים בינארים עם פגיעויות שונות (ככל הנראה מבוססות Memory Corruption), ומטרתן תיהיה לזהות את כשל האבטחה בכל אחד מהבינארים, לכתוב באופן אוטונומי ניצול אשר ידע לטרגר את אותה החולשה ולהגיש מטרה מסויימת (הרצת קוד בהרשאות התוכנה על מנת לקרוא תוכן של קובץ בשם קבוע? סתם להקריס את התוכנה?) ולאחר מכן - לשכתב את התוכנה כך שאותה הפגיעות תעלם (אך כמובן שהפונקציונליות המקורית של התוכנה - תשאר).
לפי דבריו של Walker, מטרתה של DARPA היא לבחון האם האנושות נמצאת היום בשלב בו ניתן לפתח "מערכות חיסון אוטונומיות" - מערכות שישבו באיזורים אסטרטגיים במרחב הרשת ובאופן עצמאי ינסו לאתר ולתקן כשלי אבטחה ברכיבים השונים. לפי טענתם עולם אבטחת המידע, ובייחוד עולם ההאקינג מתקדם בקצב כל כך מהיר, שבו, אם שלב החיסון לא יהיה אוטומטי - הצד המגן ישאר הרבה מאחור. בייחוד כשבעתיד הקרוב כל מקרר וטוסטר הולכים לקבל כתובת IP.
שווה להשאר מעודכנים בעניין הזה. ומעניין כמה אנחנו רחוקים מהמציאות של Ghost In The Shell...
וכמובן, לפני הכל - נרצה להגיד תודה רבה לכל מי שבזכותו אתם קוראים מילים אלו: תודה רבה לשרון בריזינוב, תודה רבה לעידו נאור, תודה רבה לדני גולנד, תודה רבה לאופיר בק, תודה רבה לשחר גלעד ותודה רבה ל-0x3d5157636b525761!
החודש, הגליון כולל את המאמרים הבאים:
- אסמבלי - חלק ב' (מאת אופיר בק):
מאמר זה הינו חלק ב' בסדרת המאמרים שמטרתה ללמד לתכנת באסמבלי, בחלק הקודם אופיר הציג
את ההקדמה לסדרה וכן רקע לשפה ואת המאפיינים שלה, בחלק זה נצלול קדימה ונכיר מספר פקודות
וכיצד יש להשתמש בהן.
- הבוטנט החברתי - החלק החסר בפאזל (מאת עידו נאור ודני גולנד):
במאמר זה מציגים עידו ודני תוצאות מחקר אשר בצעו לאחרונה על קמפיין פישינג מעל הרשת החברתית
פייסבוק, הקמפיין הצליח להגיע לעשרות אלפי משתמשים בפחות מ-48 שעות מאז הפעלתו. הקמפיין כלל
אף ניצול של כשל אבטחה במערכות הקישורים / תיוגים של פייסבוק.
- טיפים לשיפור אבטחת WordPress (מאת שחר גלעד):
WordPress הינה אחת ממערכות ה-CMS הנפוצות ביותר בעולם, המאמר זה שחר מציג מספר דרכים ופעולות
אשר נקיטה בהם מצד מנהל האתר והמערכת תגביר משמעותית את האבטחה שלה. אם זה בשימוש נכון
ומאובטח בעת ניהול המערכת ואם זה בהתקנת תוספי אבטחה למערכת עצמה על מנת להדוף את המתקפות
השונות המסכנות אותה.
- קריפטוגרפיה - חלק א' (מאת אופיר בק):
מאמר זה הינו מאמר הפותח סדרת מאמרים בנושא הצפנה ופענוח צפנים, במאמר זה מציג אופיר את עולם
הצפנים, מושגי יסוד בעולם זה, מספר צפנים בסיסים וכן מספר שיטות לפענוח צפנים מסיגנון זה.
- משטחי תקיפה באפליקציות אנדרואיד - חלק ב' (מאת 0x3d5157636b525761):
מאמר זה הינו מאמר המשך בסדרת מאמרים אשר מציגה את משטחי התקיפה (Attack surfaces) באפליקציות
אנדרואיד. במאמר זה, 0x3d5157636b525761 מציג חולשה שמצא ב-RootBrowser, הכותב מציג את אופן
ביצוע המחקר, מה ניתן היה לעשות על מנת להמנע מפגיעות זו.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
תגובות על 'הגליון השבעים וארבעה של Digital Whisper שוחרר!':
#1 |
לאון (אורח): וואו כמה שחיכיתי לזה! תודה רבה לצוות המגזין ולכל הכותבים! 31.07.2016 20:01:51 | |
#2 |
אנונימי (אורח): מלאכים תודה! 31.07.2016 22:54:44 | |
#3 |
abatza_abatza: תודה !!!!!!! 31.07.2016 23:01:32 | |
#4 |
האיש בחלון (אורח): הגיליון ממש ממש מושקע! בכתבה על בדיקות חדישה ממש מקיפה ומרתקת משאירה שיעורי בית להמון זמן. נ.ב. בפרק השני יש טעות על תחתיות העמודים כתובים "כבדיקות חדירה" במקום הנושא של פרק 2 01.08.2016 01:16:13 | |
#5 |
B1nary (אורח): גליון אדיר אדיר אדיר! מאמרים מצוינים אחד אחד! התחלתם / המשכתם סדרות פשוט מעולות! תודה רבה! 01.08.2016 07:15:19 | |
#6 |
cp77fk4r: תודה לכולם. @האיש בחלון - תודה רבה, תוקן! 01.08.2016 07:30:43 | |
#7 |
רעמיאל/יובל (אורח): גיליון מטורף! אחשוב על נושא לכתיבה. 01.08.2016 16:56:13 | |
#8 |
Riddle (אורח): אין מילים.. אחד הגליונות המטורפים !! 02.08.2016 06:28:38 | |
#9 |
שמיל (אורח): תודה רבה, כל מאמר - מלמיליאן! 02.08.2016 07:31:08 | |
#10 |
lolerit (אורח): וואו, הגיליון מוצלח בקטע אחר! 04.08.2016 12:30:18 | |
#11 |
Qazjap11: גליון מצוין! 05.08.2016 12:35:03 | |
#12 |
DHK (אורח): תודה.... מחכים כבר לגיליון הבא. ובעיקר ל"בדיקת חדירות". 10.08.2016 11:45:34 | |
#13 |
יפה.. (אורח): חחח למה מחקתם את המאמר הראשון? 11.08.2016 14:15:59 | |
#14 |
שמיר (אורח): מצאתי להם כמה טעויות טכניות מביכות חח אמרו לי שהם מתקנים 11.08.2016 16:53:59 | |
#15 |
אחד שיודע (אורח): למה מחקתם את המאמר הראשון? 12.08.2016 13:49:27 | |
#16 |
יונתן (אורח): סתכל הודעה אחת למעלה.. עכשיו השאלה היא אם יחזירו את זה בגליון הבא או שיתקנו את הגליון הזה 12.08.2016 18:35:40 | |
#17 |
cp77fk4r: היי, ברגע שנקבל גרסא עדכנית שהכותב יהיה מרוצה ממנסה - נעלה את המאמר שנית! 13.08.2016 18:38:48 | |
#18 |
יהונתן (אורח): תודה רבה נהנתי מכל מילה ב-PDF הזה. אתם אדירים! 19.08.2016 00:37:38 | |
#19 |
דן (אורח): מישהו במקרה שמר על המחשב את הגליון/המאמר שנמחק (על בדיקת חדירות) ויכול לשתף אותו? 01.04.2017 00:23:41 | |
#20 |
אבי (אורח): מצטרף לדן #19...מי יכול לפרסם את המאמר על בדיקת חדירות שנמחק משום מה ועד עכשיו לא הועלה ??? 25.11.2017 10:31:35 |
הוסף את תגובתך: