הגליון השמונים ושישה של DigitalWhisper שוחרר!
ברוכים הבאים לגליון ה-86 של DigitalWhisper!
מה אתם יודעים? מסתבר ש-86 מתחלק ב-12 ללא שארית [עריכה: טוב, כמעט...], מה שאומר שסגרנו עוד שנה לוגית של פעילות. מה שאומר - 7 שנים של תוכן. 7 שנים של מאמרים וכמעט 200 חברים שצעדו איתנו קדימה, עזרו, תרמו מזמנם וממרצם כדי לכתוב ולאפשר לנו להמשיך לפרסם מאמרים ובכך לתרום לסצינת ההאקינג בארץ. ועל כך - תודה רבה!
ולעניין שונה אך דומה:
הייתי שמח אם שבעת השנים שחלפו היו מלאות יותר ביוזמות יום-יומיות הקשורות לסצינה המקומית, יש כמובן יוזמות ברוכות, והן עוזרות ודואגות שתהיה במה לתחום פה בארץ (כמו לדוגמא dc9723, שמתחזקים קבוצת פייסבוק ענפה ודואגים לארגן מפגשים והרצאות בנושא, או כנסים שהיו פה בשנים האחרונות כגון BsidesTLV, BlueHat IL, OWASP Israel, שבועות Cyber בכל מיני אוניברסיטאות בארץ וכו'), אבל נראה שזה עדיין לא מספיק כדי להרים את הרמה של הקהילה בארץ (ולא, קבוצות Whatsapp הן לא היוזמות שאני מדבר עליהן).
אחד המקומות היחידים היום (שאני מכיר לפחות) שאיכשהו אפשר להגיד שמשתפים בו ידע בתחום, הוא קבוצת הפייסבוק של dc9723, אבל גם יוזמה זו אינה מספקת. דעתי האישית היא שככל הנראה פייסבוק היא לא הפלטפורמה המתאימה לדיונים עמוקים, מחקרים משותפים או סתם שיתוף ידע טכני. ובנוסף, אי-אפשר לטעון שאין אנשים ברמה בארץ (אחד מהטיעונים ששמעתי לא מעט), עובדה שבכל הכנסים הנחשבים בחו"ל יש לא מעט ישראלים שבאים להרצות, ואינספור עובדי חברות ישראליות בתחום מפרסמים דפי מחקר רציניים ביותר.
אז תקראו לי מיושן, אבל נראה לי שהמקום האידיאלי לנושא הוא מערכת פורומים מהסוג הישן והנח, כזה שניתן לשתף קוד בצורה נוחה, תרשימים, לשאול שאלות ולענות עליהן באופן מסודר ובהיר.
לא מעט פעמים חשבתי על להקים מערכת פורומים כזאת, אך היה זה אומר לקצץ עוד מהזמן שאני מקצה למגזין, ובכך לפגוע בו עוד (מספיק שכבר היום אני לא מגיע לחצי מהדברים שהייתי רוצה לקדם במסגרת המגזין), וברור לי שלא הייתי מצליח להחזיק בצורה המינימלית ביותר שני פרוייקטים בסדר גודל שכזה.
אז מה אני רוצה להגיד בעצם? שלדעתי, יש מקום באינטרנט הישראלי למערכת פורומים בתחום. מי שלא תהיה / תהיי - אם אתם קוראים את השורות האלה, ויש לכם את הרצון, הראש, הרצינות והזמן, אני חושב ששווה מאוד להרים את הכפפה הזאת. הרעיון לא אמור להיות מתוחכם כל כך, והקושי העיקרי יהיה כנראה בתקופת הזמן הראשונה: ממה שלמדנו במסגרת העבודה על המגזין, הקהל הישראלי הוא אגוז קשה לפיצוח ולוקח לו זמן לשתף פעולה (אם אני לא טועה, רב המאמרים בחמשת או ששת הגליונות הראשונים נכתבו על ידי ועל ידי ניר, מזל שחשבנו על העניין מראש, ועוד לפני יציאת הגליון הראשון כבר כתבנו כמות מאמרים שתעזור למגזין להחזיק מעמד עד שהקהל בארץ יתעורר).
אך מלבד העניין הזה, אני מעריך שקהילה כזאת עשויה לגדול ולפרוח גם בכמות המשתתפים, גם באיכות הדיונים וגם ברמה הטכנית שתהיה שם, כי היום אין באמת מקום לנהל דיון טכני מעמיק בעברית בתחום, ואם אני מצליח להרגיש טוב את השטח - זה חסר. וחבל שכך.
אה, ויש לי נקודה נוספת שקשורה ל-7 שנים!
היום (ה-30/08/2017, אתם בטח תקראו את זה כבר מחר...), בדיוק לפני שבע שנים התחתנתי עם הבחורה המדהימה ביותר שתפגשו פה באיזור. אין לכם מושג כמה אתם חייבים לה בתור קוראים של המגזין. ואני? לא יכולתי לבקש אישה תומכת ומבינה יותר, אריָה - מדהימה שכמותך, לעוד אינספור שנות נישואין מאושרות!
וכמובן, רגע לפני שניגש למאמרים, נרצה להגיד תודה רבה לכל מי שבזכותו הגליון ה-86 מתפרסם: תודה רבה לחי מזרחי, תודה רבה לעומר כספי, תודה רבה לגל ביטנסקי ותודה רבה לאייל איטקין!
החודש, הגליון כולל את המאמרים הבאים:
- Don’t Repeater Me - חלק א' (איך הבסנו רכיב תקשורת מסוג מגדיל טווח) - נכתב ע"י חי מזרחי ועומר כספי:
במאמר זה מציגים חי ועומר מחקר אשר ביצעו המדגים כיצד הם הצליחו למצוא מספר פגיעויות ברכיב תקשורת מסוג Repeater, שבאמצעותן הם הצליחו להשיג עליו שליטה מלאה. במסגרת המאמר הם מציגים את כלל דרכי החשיבה שעלו במהלך המחקר, וקטורי תקיפה, ועוד. מאמר זה מחולק ל-2 חלקים, מחקר אפליקטיבי ותשתיתי אודות הרכיב (מאמר זה) וחלק נוסף - מחקר הנדסה לאחור ומחקר אודות החומרה של רכיב ה-Embedded.
- MRuby - בריחה ממכונה וירטואלית - נכתב ע"י אייל איטקין:
משפחת חולשות ה-Format String מתארת תבניות קוד בהן תוקף יכול להשפיע על התבנית (הפורמט) שעל פיה תתבצע פעולת פרסור או הדפסה של הקלט. חולשות אלו יאפשרו הדפסה של מידע זכרון רגיש, ולעתים גם שיבוש שלו. עם זאת, עובדה פחות ידועה היא שהלוגיקה עצמה של פרסור הפורמט הינה מורכבת למדי, ולכן במקרים רבים היא תכיל חולשות מימוש ותהווה מטרה מעניית לתוקף גם ללא צורך ב-"%n". מאמר זה מתמקד בחולשה שכזו שנמצאה ע"י אייל ב-MRuby, ובמסגרת מאמר זה הוא יסמלץ את פוטנציאל הנזק משימוש במכונה וירטואלית מבוססת C/MRuby.
- Writing Malware Without Writing Code - נכתב ע"י גל ביטנסקי:
במסגרת מאמר זה, סוקר גל דוגמאות היסטוריות לשימוש במתודולגיית העתקת קטעי קוד, את תהליך בניית כלי התקיפה שפיתח העונה לשם LazyS - כלי תקיפה שלם שנוצר במינימום כתיבה של שורות קוד, את ביצועיו מול מוצרי ה-AV הנפוצים היום בשוק והתובנות שהיו לו בעקבות הפרויקט. מאמר זה הינו אדפטציה של הרצאה אותה העביר ב-Bsides LV לפני כחודש.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
תגובות על 'הגליון השמונים ושישה של DigitalWhisper שוחרר!':
#1 |
 |
GreenBlast (אורח): תודה רבה על עוד שנה! 31.08.2017 20:24:38 |
#2 |
|
ybarkan1: גליון יפה. אבל ממתי 86 מתחלק ב 12 ללא שארית?? 31.08.2017 20:55:50 |
#3 |
|
cP (אורח): שמע, אתה צודק לגמרי, יצאתי דביל :) אבל לא נורא, אני בטוח שתסלח לי :) 31.08.2017 21:00:17 |
#4 |
|
פאקמן (אורח): תודה רבה! כל חצי שעה בדקתי אם כבר עלה... 31.08.2017 21:05:09 |
#5 |
|
TL (אורח): איזה כיף, עוד לא התחלתי לקרוא אבל מהתיאורים נראה גיליון פצצה. המון כבוד וההערכה לך על ההשקעה האינסופית וכמובן לעורכים ולכותבים. לגבי הפורומים, מסכים מאוד. הקדשתי לנושא המון מחשבה ואני גם מת להחזיר את הסצנה לפעילות, זה בסוף טריידאוף של זמן ומוטיבציה + חשש מכשלון, אבל המוטיבציה שלי לעשות משהו כזה הולכת וגודלת ומתישהו זה יקרה. אם היה כפתור שהיה מחזיר אותנו לתקופות השיגשוג של הסצנה זה היה אדיר ואני יודע על עצמי שהייתי שמח להתמכר מחדש, שם במועדפים ונכנס לפורומים באופן יומיומי כמעט כדי לשתף ידע וללמוד דברים חדשים. צריך לתת את הדעת על כך עולם ההאקינג קצת המתסחר משנות ה-2000 וגם חבר'ה צעירים שמתעניינים בסקיוריטי מבינים שהם יכולים להשיג כסף טוב ב-Bug Bounties למיניהם, וגם שכנראה אם הם עושים מחקר עדיף להם לפרסם אותו בבלוג פרטי משלהם מאשר לכתוב מדריך בפורום כלשהו שהערך שהם יקבלו ממנו חזרה הוא לא מיידי ומעורפל.יצא לי להכיר המון חבר'ה מוכשרים שלא היו פעילים בפורומים (HOIL) או דעכו לאט כי הם לא ראו איך הם מקבלים ערך או הכרה מפעילות שם. אפשר כמובן גם לראות את ההתמסחרות הזו במגמות בסצנה העולמית כמו Milw0rm שהפך ל-Exploit DB של Offsec, ו-Metasploit ששייך עכשיו ל-Rapid7, סובייקטיבית זה קצת עצוב לראות את ה"אנדרגראונד" צף כמו אטלנטיס ופתאום כולם מדברים על סייבר. מצד שני עולם ה-CTFים משגשג מאי פעם, יש חומרי לימוד מדהימים באינטרנט (לא מזמן חבר טוב המליץ לי על ערוץ יוטיוב בשם LiveOverflow בהקשר של רברסינג ומחקר חולשות ולאחר שראיתי כמה שעות משם - Wow, נשאר רק לתהות מה היה קורה אם היו חומרים באיכות כזו בתקופה שלנו). המידע למי שמחפש הרבה יותר נגיש, ובעקבות העלייה של כוח החישוב ודברים כמו Docker הקלות שבה ניתן להרים מעבדה על מחשב ביתי ולדמות מעבדות ורשתות וירטואליות בקלות מאפשרת פרוייקטים כמו VulnHub נניח, וכמובן עם כל ה-"IoT" שיט, העלות והקלות של להתעסק ב-Embedded הפכה למגוחכת לגמרי. במילים אחרות, מבחינת נגישות מידע זה בערך הזמן הכי טוב שהיה אי פעם להתחיל ללמוד האקינג. אני חושב שאם רוצים להרים את הקהילה בארץ מחדש צריך לקחת בחשבון את הגורמים האלה ולראות איך אנחנו מקימים פה משהו איכותי שיענה על הצרכים, אני לא יודע אם פורומים וזהו, אולי איזושהי פלטפורמה הוליסטית יותר שתכלול גם מערכת בלוגים, מפגשים, אתגרים ואירועים כמו CTFים + מודרציה שלא תהיה יותר מדי פולשנית ו-Entitled אבל גם תדאג שהאתר לא יתדרדר למלחמות על גודל e-penis. סוג של כר גידול איכותי לאוטודידקטים חדשים שנכנסים לתחום. צריך לחשוב על זה עוד קצת, לגבש ולשייף את הפרטים של הרעיון אבל גם לי זה נורא חסר וזה יכול להיות ממש ממש מגניב, אם תרצה לעשות איזשהו שיתוף פעולה בעתיד יש לך את המייל שלי ;) ו-Happy Anniversary!! 31.08.2017 21:40:19 |
#6 |
|
אנונמי (אורח): גיליון מעולה! TL, אחלה תגובה מסכים מאוד. 31.08.2017 21:57:52 |
#7 |
|
iTK98: HOIL [1] מחפשת מישהו שיתחזק אותה, כמובן שהסיכום הסופי צריך להיות עם גיא, אני סך הכל מחזיק את המידע והוא ימסר למי שיקח את האחריות לידיו. היה נסיון גם להקים קהילה חדשה שלא ממש צלח [2], האתר עדיין באוויר, אבל אין בו פעילות. היום החבר׳ה הצעירים מתרכזים ב-FXP [3] ובצ׳אטים בסגנון וואטסאפ ודיסקורד. אני לא יודע עד כמה פורום ידבר אליהם וכמו שלידר אמר ההתמסחרות פגעה בתחום ואין לאף אחד אינטרס לפרסם מידע בפורומים, במיוחד אם הם פומביים. קישורים: 1. https://www.hacking.org.il 2. https://www.cipher.org.il 3. https://www.fxp.co.il/forumdisplay.php?f=27 31.08.2017 23:32:50 |
#8 |
|
TL (אורח): iTK98, אני מסכים חלקית. זה נכון שמעט החבר'ה הצעירים שכן מתעסקים באבט"מ ברשת בעברית עושים את זה ב-FXP ודיסקורד. אני מניח שזה גם בגלל היעדר אופציות אחרות אבל גם בגלל שזה דור אחר קצת. לדעתי זה עדיין לגמרי אפשרי To pull off אבל כמו שכתבתי זה ידרוש קצת יותר יצירתיות ועבודה מלהתקין איזה MyBB ולהשיג כניסות לאתר. נראה לי שברגע שיהיו Incentives נוספים לאנשים להגיע לאתר תיווצר איזושהי חשיפה ואז זה אפקט כדור שלג. כמו שאמרתי בלוגים, סירטונים, CTFים, מפגשים, ספריית מידע מסודרת אונליין שאפשר ללמוד ממנה נושאים (היה ניסיון כזה בעבר ב-HOIL עם ה-Wiki). אפשר גם לעשות שת"פ עם חברות בתעשיה שרואות את הערך בלשמור על קשר ולטפח את קהילת ההאקרים המקומית כמו Checkpoint, RSA, Microsoft, אוניברסיטאות וכו'. מסכים שפורום זה לא מספיק, צריך לפעול בכל החזיתות כדי ליצור קהילה. לגבי אינטרס לפרסם בפורום, אם נשים יותר דגש על לימוד תוכן קיים, הסברים על טכניקות והתקפות פומביות ושאלות ותשובות לא נראה לי שתהיה בעיה. הרבה מאיתנו גם עושים מחקרים ללימוד עצמי ולכיף ולא תמורת כסף שהיה נחמד אם היה איפה לפרסם. לגבי HOIL, עד כמה שיש לי נוסטלגיה ואהבה לחברי הקהילה הישנה וגם הערכה לגיא מזרחי על כך שנתן לנו את הפלטפורמה לשתף ידע ללמוד וליצור חברויות עם אנשים מאוד מוכשרים שחלקם מלווים אותי עד היום, לא רואה את עצמי חוזר להתעסק בלהעלות את הפורום מהאוב, כי באמת היה כיף לעשות את זה בתור טינאייג'ר אבל עכשיו תמורת השקעה של מספר כ"כ גבוה של שעות הייתי רוצה שיהיה לי משהו משל עצמי ובנוסף, יש כמה פנינים בארכיון ההוא אבל נראה לי שעדיף דף חדש. 01.09.2017 00:50:11 |
#9 |
|
cP (אורח): איזה חשק עשיתם :) גם אני מסכים שאם יוצרים קהילה - יש ליצור אותה מאפס. בנוגע למערכת פורומים בלבד או ממש פלטפורמה שלמה לשיתוף ידע - אני מאמין שעדיף להתחיל עם לגבש קהילה ותוכן בלבד, לארגן מחדש גרעין אקטיבי שמשתף תוכן איכותי ולאט לאט להוסיף עוד נדבכים, יש סיכוי שריבוי אפשרויות בהתחלה רק ירתיע משתמשים. בנוגע לשת"פים עם התעשייה - אני קצת מתנגד לעניין, לא הייתי רוצה שום השפעה חיצונית, לא פרסומת, לא חסות או כל דבר שעלול להכריח אותי להתפשר בגלל סיבה מסוימת שאינה טכנולוגית. אין כמובן שום בעיה לשתף מחקרים שהובילו אותם חברות מהתעשייה, אבל לא הייתי רוצה שהקהילה כזאת תהפוך להיות מדור דרושים. בדיוק כמו שהחבר'ה הצעירים הבינו שיש כסף בתחום, הרבה מהחברות בארץ הבינו שיש כח עובד איכותי בקהילה, ופורומים כאלה זאת אחלה דרך לאתר אנשים. אני לא אומר שזה דבר רע, אני רק אומר שלא הייתי רוצה שזה יהיה תפקידה של הקהילה. טוב, אבל זה כבר מיקרו, נראה אם הדיון הזה יתפתח ומה ייצא ממנו :) 01.09.2017 02:30:14 |
#10 |
|
bindh3x (אורח): מעולה (כמו תמיד) תודה רבה! 01.09.2017 09:51:15 |
#11 |
|
(אורח): אולי אפשר לרתום את trythis0ne לטובת העניין, צריך קצת שיפוץ אבל זו לפחות מערכת שכבר קיימת, אולי על הדרך גם לחזור להחיות את האתר... 01.09.2017 11:26:38 |
#12 |
|
Bl4de (אורח): תודה רבה מאוד נהניתי מהמאמרים. בין החומרים היותר מעניינים שקראתי לאחרונה. תמשיכו לעשות חייל בתחום. 01.09.2017 23:16:30 |
#13 |
|
yzahn (אורח): בעמ' 53: "הגליון הבא ייצא בסוף חודש אוגוסט" של איזה שנה? :) 02.09.2017 21:04:43 |
#14 |
|
DhK (אורח): מאמר - Don’t Repeater Me עמוד- 4 שורה- 1 כתבתם: נמצא כי הרכיב שלנו נמצא בכתובת רשת 10.100.102.7 הכתובת שקיבלתם = 10.100.102.51 תודה על כל המאמרים... 03.09.2017 12:05:31 |
#15 |
|
rafisem7: תודה רבה על המאמרים ומרגש הרעיון של הקהילה! כתבתי בעבר שיש הרבה קורסים בהרבה נושאים שמפוזרים פה מגליונות עבר אני ממש אשמח אם יהיה אפשרי לעשות איזו פינה באתר של הקורסים בצורה מסודרת בנפרד מהגיליונות אשמח לתגובה מהעורכים זה חשוב לי וגם לחברים שמאבדים כיוון פה באתר 03.09.2017 18:03:36 |
#16 |
|
אורח 8254 (אורח): תמיד הערכתי את הגליונות שלכם מאז ומתמיד, זה תמיד היה היהלום האיכותי ביותר שיש ברשת, שנים הייתי חובב אבטחת מידע, הייתי מתחיל להכנס לתוכן ומבין שאני רחוק מלהבין באמת משהו וסוגר את הPDF אחרי כמה עמודים, אבל חודש בחודשו הייתי מרפרף, כל חיי התעסקתי בתחום המחשבים, יותר טכנאי מחשבים ורשתות תקשורת, בעבודתי באינטל בכל מיני ניסויים ובולשיט של פיתוח הבנתי שתחום האבטחת מידע מסקרן אותי בטירוף התקנתי קאלי ואחרי כמה שבועות של התעסקות בבית ובין העבודה החלטתי לקחת פסק זמן, ללימוד PenTest יש משהו בריגוש הזה ששווה הכל, הצורה שצריך לחשוב וכדומה, עוד מתקופת ה Subseven שהייתה פופולארית תמיד חלמתי להתעסק וללמוד באמת אבטחת מידע, ומה בעצם אני בא להגיד בכל החפירה הזאת שבאה רק מצורך לשפוך כי אין למי שממי שאני מכיר מבין משהו בכלל בpen test לנו בארץ אין באמת פורום אייכותי בתחום, לפעמים בשיטוטים ברחבי האירנטרנט אני ניכנס לאחד מהפורומים שצויינו, והרמה שם של גיל 11-12, לסיכום באמת אולי הצעד הכי חכם הוא להרים פורום בסיסי ומעוצב בקהילה שתסגר אחרי תקופה, ואז דרך הזמנות נוכל להזמין אנשים חדשים, נשמור על איכות קהילה שחולקת ידע, צורת חשיבה, וכדומה. 03.09.2017 23:25:55 |
#17 |
|
bindh3x: אני מסכים עם כולם. חשבתי כבר הרבה זמן על הקמת קהילה. אבל בלי פורומים מבוססי PHP, אולי לכתוב מערכת בסיסית עם flask/django ולפתוח אותה כפרויקט ב - GIthub ככה שכל משתמש בעל ידע יוכל להוסיף פיטצ'רים\להוסיף אבטחה וככה הקהילה תעשה hacking על הפורום עצמו. (יותר מגבש לפי דעתי). הקונספט החדש יהיה להוסיף הרבה מדריכים. ליצור מפה של הגליונות של DW לפי תחום\רמה ככה שמי מתחיל ימצא את כל הגליונות שקשורים ל - re למשל במקום אחד מסודרים לפי נושאים ורמה. אם מישהו רוצה להצטרף שיצור איתי קשר. או שאפשר להשתמש ב - :https://github.com/rafalp/Misago 04.09.2017 08:43:32 |
#18 |
|
iTK98: אם מישהו מתכוון להרים את הכפפה וצריך עזרה ברמה של אירוח (לא של ניהול הפורומים או תכנות המערכת), מוזמן ליצור איתי קשר. 04.09.2017 14:50:15 |
#19 |
|
TL (אורח): טוב אז אני ועוד 3 חבר'ה התחלנו איזה מיזם, בינתיים לא רוצים סתם לעשות הייפ אבל בקרוב אולי יקרה משהו מעניין =] @אורח 8254 לא חושב שקהילה סגורה זה רעיון טוב ב-2017. הסגירות והאליטיזם היא אחת הסיבות שקהילות ישראליות קודמות התפרקו. 04.09.2017 18:01:32 |
#20 |
|
8254 (אורח): TL אם להגיד את האמת ומה נכון בעיני: הבעיה בפורום שקשור למבדקי חדירות מכל הסוגים ולגבי השיתוף המידע. המטרה שלנו הוא ללימוד להחכים להבין ולפתח, בפורום פתוח לכולם שכל מילת חיפוש שקשורה ישר תקפיץ לnoobים,שירשמו ויפוצצו את האתר בשטויות ותגובות לא רלוונטיות והרמה תדרדר לקרקעית עד שאנשים רציניים לא יהיו, בנוסח כל הפורומים שיש שקשורים לאבטחת מידע, או שעושים לנו טובה שמוספים לפורום של סופר מרקט נושא "אבטחת מידע" לא רציני אנחנו קהילה ענקים, לרוב גם אם מטרות דומות, צריך להתאחד, לדעתי צריך לפרסם בכל סוף חודש בגיליון מספר הזמנה (MD5?) או משהו כזה,שבעצם הפורום יכיל רק אנשים שהגיעו מבחוץ וקוראים את הגיליונות ולא דרך הגוגל שמחפשים "איך פורצים למחשב" או "פורום לאבטחת מידע" ושם לעשות חיפוש "איך פורצים למחשב" ככה בעצם נהיה פורום של Digitak Whisper שבעצם הוא מלא רק בקוראים ולא במשוטטי גוגל בכל גיליון יהיה בצורה יצירתית קוד הזמנה נוסח torrenleech וכדומה, ויהיה נניח מוגבל למספר נרשמים אם אותו מספר הזמנה, גם אחרי תקופה כזאת כולם יהיו באטרף על הF5 לחכות מתי יצא גיליון בישביל להבין איך גם מוציאים את הקוד הזמנה, גם נהיה רק של Digital whisper וגם האיכות תהיה גבוה, עם זאת לדעתי פורום פתוח לכל ושל מילת חיפוש תביא לשם משוטטים או אנשים בלי ידע במחשבים שרוצים להפוך להאקרים בעשרה ימים, צריך לגדר את עצמנו בצורה מסוימת 08.09.2017 10:53:00 |
#21 |
|
cP (אורח): אני שמח לראות את הדיון שהתפתח, ואפילו נראה שכבר הרימו את הכפפה, זה משמח. את הפניות באימייל בנושא אפשר לחסוך, חשוב שהדיון יהיה במקום ציבורי. 8254 - כבר היום אני מחביא בכמעט כל גליון כל מני חידות ו- Easter Eggs, אז אם זאת תהיה הבקשה - נשמח לעשות את זה. עם זאת, אני חושב שכן ניתן ליצור פורום פתוח וברמה גבוהה, כדי לעשות זאת צריך לקבוע באופן ברור חוקים נוקשים (לדוגמא: תגובה שלא מוסיפה לדיון תמחק, בדרך כלל אלו התגובות שמטרידות את הרמה), ומנהלים שיקפידו עליהם באופן גורף. yzahn - תודה, תוקן. 08.09.2017 12:20:40 |
#22 |
|
TL (אורח): @8254 נגעת בכמה נקודות, אני לא מסכים איתך לגבי הרעיון של קהילה סגורה ואפרט למה. אנחנו קהילה גדולה, לא ענקית. בישראל יש המון מתכנתים מוכשרים, מתוכם אחוז מסויים עוסקים באבטחת מידע, מתוכם אחוז מסויים מחפשים תוכן ברשת בעברית, מתוכם אחוז נמוך מכירים את DW ומתוכם אחוז נמוך מגיבים פה. להרבה אנשים בתעשיה פשוט לא אכפת מה קורה בסצנה הישראלית מעבר לרכישות של סטארטאפים, הם מבחינתם עושים כסף. והקטע שאין לך Pool אינסופי של אנשים חזקים. noobs זה בריא, קהילה בלי noobs זאת קהילה בדרך בטוחה לגסיסה. ה-noobs של היום הם ההאקרים התותחים של מחר מחרתיים. כולנו התחלנו בתור נובים. הם יכולים להיות קשים וצריך להשקות אותם ולהיות סבלניים לשטויות שהם אומרים לפעמים אבל לאורך זמן הם אלה שיחזיקו את הלפיד כשאנחנו נעלם לנו אל האופק. יש לא מעט חבר'ה בני 15-18 עם מעט מאוד ידע אבל עם הניצוץ בעיניים והיכולת להביא את עצמם לרמה גבוהה. אם אתה רוצה שהקהילה תפרח ולא תנבול כמו פרח סטטי עם כמות מוגבלת מאוד של שמש ומים אתה רוצה noobs. הם חלק בלתי נפרד מה-ecosystem. מעבר לזה, זה נראה לי קצת נוגד את כל הרוח של Information Freedom. כל הקטע של האקרים זה לקחת מידע ולשחרר אותו לעולם. לעשות קהילה סגורה זה ליצור כלוב זהב שבו האינפורמציה נרקבת לנצח וכל הידע משותף בין מספר מצומצם של אנשים באליטה הנבחרת. עכשיו אני לגמרי מבין מאיפה אתה בא, הבעיה הזו לא פשוטה. מסכים איתך שספאם, מריבות והורדת הרמה זו בעיה שמשפיעה על התפקוד והמקצועיות של הקהילה. יש כל מיני דרכים לגשת אליה, אפשר סתם לדוגמה לתגמל פעילות חיובית ולהתעלם מהשאר. אפשר לבצע חלוקה של נושאים למתחילים ולמתקדמים וכך ליצור איזשהו Barrier מנטלי ולא מלאכותי (משתמש בדרך כלל לא יספים סתם בפורום שאין לו מושג במה הוא עוסק בכלל). פשוט בעיני קהילה סגורה זו דרך קיצונית שפוגעת במטרה המקורית של הפורום - שיתוף ידע חופשי ויצירת דיון בין חלקי הקהילה בארץ. ואגב, אפשר לכתוב מגילות ארוכות על הסיבות השונות שקהילות קודמות דעכו אבל הסיבה המרכזית לדעתי לא noobs. אם לנסח את זה בקצרה - לא היה מספיק תוכן מקורי מעניין למשוך את הזבובים (מתחילים ומתקדמים כאחד), העברת הגישה והידע ל-noobs לא עבדה בצורה טובה ולכן לא היה מי שימשיך את השרשרת, וגישות אליטיסטיות אנטגוניסטיות ומתנשאות כלפי noobs (שאולי גם לי היה חלק בהם למרות שניסיתי ממש להימנע אבל לפעמים הסבלנות פקעה) הרימו את ראשם מפעם לפעם וגרמו למצב לא בריא. 08.09.2017 12:43:14 |
#23 |
|
(אורח): cp אם כבר הזכרת את החידות וeaster eggs אולי תפרסמו מפעם לפעם פיתרון לטובת אלה בינינו שנתקעו אחרי שהמירו את המחרוזת ולא הצליחו לרדת לסוף דעתך כדי לסיים את החידה? יש קוראים וותיקים שאומנם קצת noobים אבל עדיין מעונינים בחומר הזה, כמוני, אני קורא את הגיליון כמה שנים טובות, כמעט מאז שיצא, אני לא כ"כ מהתחום אבל עדיין רוצה ושמח לקרוא את החומר האיכותי הזה, אשמח שלא תמנעו מאיתנו את החוויה. 08.09.2017 13:10:22 |
#24 |
|
אורח 8254 (אורח): אוקי נראה לי שהדברים שכתבתי יצאו מהקשרם (יום שישי האישה מבשלת והתינוק ברקע ואני בין לבין אז כנראה שלא ניסחתי את עצמי נכון) אני זורק רעיונות תוך כדי חשיבה , אולי יקחו את החומר גלם ויעלה משהו מושלם, אני רואה שהגיבו אחרי יחסית מהר והנושא רלוונטי לעוד אנשים, אז הצלחתי במשימה הקטנה שלי, לגבי הnoobs מין הסתם כולנו היינו כאלה (ואני עדין כזה) וזה הצעד הראשון,ואני הכי noob שיכול להיות, אבל העולם מתחלק לשתי סוגים, כאלו שמחפשים דרך קלה ומהירה ומחפשים את הישר ולעניין ונקודתי, והחלק השני, של להבין וללמוד ולהתמקצע בתחום, ואפילו ולעסוק בזה לפרנסתנו אני מסכים איתך לגמרי לגבי המידע החופשי ויש כבוד אמיתי וראוי לכל אלו עם הניצוץ בעיניים שאפילו בלי כמעט ידע, אבל עם רעב אמיתי ליכולות ולידע ושל לילות שלמים של קריאה ולמידה אלו נובים מוערכים שכיף להיות לידם אבל יש המון ספאם והמון שאלות טיפשיות ולא רלוונטיות, פורום שכל התגובות והמידע ששם פתוח לכולם זה הדבר הטוב ביותר?, קיימת בעיה בפורום פתוח לכולם, והיא: המשך התגובה שבת בערב: חלקנו עוסקים ולומדים את הנושא של pentest ויש המון דרכים יצירתיות להנדסה חברתית, נניח שבודק בתחילת דרכו אמור לבצע מבדק חדירה ללקוח שהזמין, והוא בתור בודק, די בהתחלת הקריירה ורק עכשיו סיים את hacking defined expert או כל דבר אחר שקרוב וחלק מאיתנו היינו רוצים לשתף רעיונות ודרכים נגיד להשתלת reverse shell ודרכים יצירתיות לfake בשביל באמת להגיש דו"ח מוצלח בסוף וכדומה. אבל הנושא הזה שנוי במחלוקת, באחד השנים בחודש אוגוסט שוחרר גיליון עם תוכן שהורד אחרי זה, גליתי את זה בטעות, כשקראתי את הגיליון ואחרי כמה ימים שבאתי להמשיך הורדתי את הגיליון מהאתר וראיתי שהכתבה הספציפית הזאת לא קיימת באותו גיליון שהורדתי, היה כתבה שהורדו!,והסיבה די פשוטה שאחרי שעשו חושבים, החליטו לא לפרסם אותה ואני מסכים עם זה, אם היה לנו איזה שהיא פינה חמה, הכתבה שהורידו הייתה יכולה להתפרסם שם. ללא חששות מיותרות עם מדריך מפורט משהו עם מקלדת ויד אחת, יכול בקלות לעשות קובץ apk קטנטן שישלח בלינק תמים עם יכולות מטורפות דרך ה "מפרש על" או ל או EXE shell x64 עם הveil ששום אנטי וירוס לא יזהה, נבדק והוכח שלעשות פיילוד קטן ואחרי בדיקות של רוב האנטי ווירוסים כולל zone alaram ,avast אף אחד לא זהה אותו כקובץ בעייתי בכולם הוא עובר באופן חלק ובשלום, ופותח shell. כמובן באופן לא לקאלי קצת יפריע לי לדבר על זה בפומבי, וגם לצד השני יהיו חששות עם לדבר על רעיונות ודברים אחרים. שהקול הפנימי שלנו יגיד " רגע יש סיכוי אפילו של 0.1 שהידע הזה ישמש למשהו לא חוקי? הרי כלום כאן לא חוקי עד אשר הזמינו את המבדק, או שהמכונות הם שלך, או שבאישור. הצורה אותו צורה, רק עם אתה מחליט להשתמש בו באישור או ללא אישור, שוב אני מזכיר שאני מדבר אך ורק על נושא מבדקי החדירה ומכאן באה הסיבה היחידה לרעיון למשהו סגור, או לחלק קטן שיהיה סגור, רק לpentest ולעוסקים בתחום, תתאר לעצמך שלפעמים עולה דרך מאוד יצרתית וחכמה לגרום ללחוץ על הלינק מצד הויקטם. איפה זה יתפרסם בפורום פתוח לכל המדינה? על מי אפשר לסמוך שלא יעשה בזה שימוש לרעה מחוץ לתפקיד, אבל לאנשים שמתעסקים ב pentest זה יהיה נחמד, 09.09.2017 19:05:08 |
#25 |
|
(אורח): אני מניל שגם אנשים עם כוונות זדון ידעו איך להיכנס הרי גם אם זה רשימה סגורה של אנשים, איך ידעו שאף אחד מהם לא זומם משהו? עוד לא הומצא מכשיר שיודע לזהות מה גולש חושב... מצד שני ברור שצריך איכשהו להסתיר את המידע הזה... 11.09.2017 21:06:01 |
#26 |
|
(אורח): אגב, אם בא למישהו להיות נחמד הוא יכול לשלוח לי רמז או פיתרון לחידות בשלושת הגליונות האחרונים... 31d07b של גימייל 11.09.2017 21:09:22 |
#27 |
|
פאקמן (אורח): EASTER EEG? איפה??? 01.10.2017 05:07:35 |
הוסף את תגובתך:
