הגליון המאה של DigitalWhisper שוחרר!

 
אתם מוכנים? אני מקווה שכן - כי הינה זה קורה: הגליון ה-100 של המגזין DigitalWhisper שוחרר!
כל כך הרבה זמן חשבתי על אילו דברים ונושאים אכתוב בדברי הפתיחה של הגליון הזה, כל כך הרבה זמן וכרגיל - כשמגיע מועד כתיבת דברי הפתיחה, המוח שלי נהיה ריק. על מה לכתוב? על זכרונות מהגליונות הראשונים? על אותם הקשיים שעברנו? על כל החברים המדהימים והיקרים שנקרו בדרכנו? אחרי100  גליונות יש כל כך הרבה דברים שאני רוצה להגיד, אבל אחרי 100 גליונות אני גם יודע שלא משנה מה אכתוב - שום אוסף מילים בעולם לא יצליח להביע את מה שאני מרגיש, לא כלפי המגזין הנפלא הזה ולא כלפי הקהילה המדהימה הזאת שיש לנו בארץ. שלדעתי הפרוייקט הזה הוא פשוט תמונת ראי שלה.
  
אני לא זוכר עוד פרוייקט קהילתי כזה שנמשך כל כך הרבה זמן, בפרק הזמן שבו הגליון קיים קורא היה יכול ללמוד ממנו לשעורים במגמה בבית הספר, להתכונן בעזרתו למיונים בצבא. ללמוד בעזרתו על כל מני נושאים שיעזרו לו במהלך שירותו הצבאי (כל עוד הוא לא בשירות קרבי...), להספיק להשתחרר ובעזרת הידע שבמגזין אף להתקבל לעבודה או להקים סטארט-אפ. זאת תקופת חיים לא מעטה וזה די בלתי נתפס.
 
את פרק הזמן הזה שבו המגזין חי, אני זוקף מצד אחד לעקשנות שלי ושל ניר, אך עקשנות לבדה אינה יוצרת תוכן. את התוכן - אתם/ן - חברי וחברוץ הקהילה יוצרים/ות. אתם אלו שביצעתם/ן את כל המחקרים, ישבתם/ן, תעדתם/ן, כתבתם/ן ותרמתם/ן מזמנכם/ן החופשי, ללא שום תמורה חומרית, מאמרים למגזין. נכון, מדי פעם עלה הצורך לתזכר או להציק (:)), אך מה זה בתמורה לכל אותו הידע שהקהילה צברה בזכותכם/ן? וחוזק או איכות הקהילה שלנו נמדד בכמות החברים הפעילים. בעצם, מה זאת קהילה אם לא חבורה של אנשים שמוכנים לתת מעצמם לטובת הכלל? 
 
להוביל את הפרוייקט האדיר הזה זאת לא משימה פשוטה, בייחוד כאשר היא מוגדרת כתחביב ומגיעה לאחר שאר משימות החיים. היא לא משימה פשוטה, אך היא בהחלט מתגמלת. כיף לי לחשוב על העניין הזה שכל חודש אנחנו מתקינים מדף חדש בספרייה הזו, שממספר ספרים בודד הפכה להיות מאגר ידע עצום, בתחום שהשפה העברית הייתה כל כך צמאה לו. לפני כמעט 20 שנה, כשרק התחלתי להכיר את התחום, הסיכוי למצוא חומר בנושא שבאמת אפשר לסמוך עליו, ומונגש בשפה נוחה ונעימה היה כמעט בלתי אפשרי. והיום, בזכות הפרוייקט הזה - עשינו שינוי מקצה לקצה. אני מנסה לחשוב על איפה הייתי היום אם היה לי את מאגר המידע הזה בהישג יד, כאשר רק התחלתי לעשות את צעדי הראשונים בתוך כל העולם הדיגיטלי המרהיב הזה. ואני כל כך שמח שהוא שם לכל אותם חברים צעירים שרק עכשיו פוקחים את עיניהם בתחום, וצמאים לכל אותו מידע שזורם בעורקים של המגזין.
 
הייתי שמח מאוד לראות שהצלחת הפרוייקט שלנו (אני מקווה ש-100 גליונות אפשר להגדיר כהצלחה בכל קנה מידה) תהווה השראה לחברים נוספים מהקהילה ליזום ולבנות עוד פלטפורמות, שבהן הקהילה תוכל להשתתף ולתרום, וכך ליצור דינמיקות נוספות שיעשירו את כלל השותפים.
 
100 גליונות זה יוצא קצת יותר מ-8 שנים של עשייה. יוצא קצת יותר מ-460 מאמרים, זה יוצא קצת יותר מ-7,200 עמודים והכל נעשה בעזרת לא פחות מ-240 כותבים שונים. 100 גליונות זה לא הסוף, 100 גליונות זה רק רוג'ום לאורך הדרך. עד לאן נמשיך? עד היכן נגיע? את התשובה לשאלה הזו - אני אשאיר לכם/ן.
 
ברצוננו להודות לכל מי שנתן יד, תמך, השקיע, ערך, כתב, אייר, חקר, עיצב, פרסם וצעד איתנו לאורך הדרך. לא אכתוב כאן את שמות כל הכותבים עד כה, כי הרשימה באמת ארוכה (ובשביל זה יש לכם את עמוד התודות המפואר שלנו). אני אישית רוצה להודות בראש ובראשונה לאריָה, אישתי, על התמיכה וההבנה לאורך כל הדרך הזו, את מדהימה. לניר אדר - שותפי להרפתקאה המופלאה הזו, ליצחק דניאל (iTK98) על כל העזרה הלוגיסטית, על תרומת פרס התחרות, ההירתמות והתמיכה בכל סוגיית הפקת החולצות, על העזרה בכנס עצמו - תודה רבה!
 
תודה רבה גם לכל מי שהשתתף בתחרות העיצוב, עיצב או הצביע ועזר לנו לבחור את העיצוב הסופי. וכמובן - תודה רבה ליואב כהנא על העיצוב שזכה בתחרות. תודה רבה גם לכל מי שהגיש עיצוב לסטיקר - אנו מתנצלים שבסופו של דבר לא הצלחנו להרים גם את התוכנית הזו, אך אנו נשתדל לנצל את אחת ההפוגות הקרובות כדי לקדם גם את התוכנית הזו.
 
תודה מיוחדת אני מעוניין להגיד לחברת ThinkCyber, למי שלא עקב: התכנון המקורי שלנו היה לחלק את החולצות שהדפסנו לכבוד הגליון ה-100 בחינם. בדיוק כמו שהמגזין מגיע בחינם - כך רצינו שגם החולצות יהיו ללא עלות. ולטובת כך הצלחנו להשיג חברה שתממן את רב העלות של הדפסת החולצות על מנת שנוכל לחלקן בעלות אפסית. וממש ברגע האחרון (אחרי שהחולצות כבר הודפסו) אותה חברה התקפלה והסירה עצמה כמקור מימון. ולאור כך החלטנו שעל מנת לעמוד בעלויות - נאלץ למכור את החולצות. עניין שניסינו להימנע ממנו מכתחילה. 
 
פחות מ-24 שעות מאז שפרסמנו על העניין, חברת ThinkCyber התעניינה, יצרה קשר, אמרה שהיא הבינה שאנחנו בבְּרוֹךְ, התעניינה ותוך שיחה בת פחות מ-10 דקות החליטה לממן את רב עלות הנפקת החולצות - מה שאיפשר לנו לחלקן בעלות אפסית. מעבר לכך שהם הצילו את המצב - אותי אישית הסיטואציה ריגשה מאוד. כיף לראות חברות מהתעשייה שאכפת מהן מהקהילה, ברור, הם מקבלים כאן פרסום - אך הם יכלו להשקיע את הכסף הזה בכל קמפיין שיווקי אחר. וברור לי שהם החליטו לתרום לנו כי אכפת להם מהקהילה. ThinkCyber - תודה רבה!
 
 
אני יכול להמשיך לכתוב כאן עוד מגילות, אך לא זו הסיבה שאנחנו כאן היום. אני רק אסיים במסר החשוב ביותר שברצוני שתקחו מכל מה שקורה כאן:
 
הקהילה היא אתם ומה שאתם עושים ממנה

כמובן, אי אפשר לגשת לתוכן שארזנו לכם החודש מבלי להוקיר תודה לכל אותם החברים שנרתמו לעזור ונתנו יד, ובזכותם הצלחנו לשבור שני שיאים חדשים - כמות מאמרים בגליון וכמות דפים בגליון (267!). תודה רבה לאייל
איטקין, תודה רבה ליניב בלמס, תודה רבה לסער אמר, תודה רבה ל-Dvd848, תודה רבה לעומר שלו, תודה רבה ל-d4d, תודה רבה לרן לוי, תודה רבה ליובל (tsif) נתיב, תודה רבה לדגן פסטרנקתודה רבה ליונתן ארז (JohnE), תודה רבה לרתם חן (Thankjnv), תודה רבה לעדן מיוחס, תודה רבה למתן וינשטיין, תודה רבה לאמיתי דן, תודה רבה לעומר כספי, תודה רבה לליאור שרון, תודה רבה לדני אודלר ותודה רבה לאדיר אברהם!
 
   
החודש, הגליון כולל את המאמרים הבאים:
  • ?!What The Fax - נכתב ע"י אייל איטקין ויניב בלמס
    מאמר זה מסכם מחקר שעשו אייל ויניב על אחד המדפסות המשולבות של חברת HP אשר מהווה את אחד מאמצעי הפקס הנפוצים ביותר בעולם. מטרת המחקר שלהם הייתה להוכיח יכולת השתלטות על רשת פנים-אירגונית ע"י זיהוי וניצול חולשות בפקס המחובר טלפוניתלעולם החיצון. תוצאות המחקר: מספר CVE-ים ואחלה הרצאה בכנס Black Hat שהתקיים באוגוסט השנה בלאס-וגאס.
  • ניצולי Low Fragmentation Heap ב-Windows Userspace - נכתב ע"י סער אמר
    ניצול חולשות דריכת זיכרון דורש מיומנות והבנה בלא מעט רכיבים במערכת, והוא לובש צורות שונות בין פלטפורמות שונות. בשנים האחרונות, ניצול חולשות דריכה ב-Windows userspace נהיה מאתגר ומעניין. כשמנצלים חולשות memory corruptions שמערבות את ה-heap, חשוב מאד להבין איך ה-allocator הרלוונטי עובד. במאמר זה יספר סער על אודות ה-allocator המרכזי שמעורב ב-Windows userspace, שהוא ה-Low Fragmentation Heap.
  • אתגרי Check Point 2018 - נכתב ע"י Dvd848
    חברת צ'ק-פוינט פרסמה סדרה של אתגרים במסגרת מסע הפרסום של "האקדמיה הראשונה לסייבר מבית צ'ק-פוינט". האתגרים הגיעו ממספר תחומים, ביניהם Web, Reversing, Programming, Networking ו-Logic. במאמר זה יציג Dvd848 את הפתרונות שלו לאתגרים אלו.
  • DNS Spoofing, HSTS, Traceroute ומה שביניהם - נכתב ע"י עומר שלו
    במאמר זה יסקור עומר את אחת ממתקפות הרשת המיידיות והאפקטיביות ביותר - מתקפת ה-DNS Cache Poisoning. הרעיון שעומד מאחוריה, הוא ליירט את תעבורת הרשת באמצעות מתקפת Man In The Middle ולבצע מניפולציות רשת שונות כגון Pharming או Phising על ידי ניצול חולשות בפרוטוקול ה-DNS. כך יכול התוקף להשיג גישה למידע פרטי של המשתמש, כגון סיסמאות מספרי כרטיס אשראי ועוד... 
  • Hacking Games for Fun and Profit: Red Alert 2 חלק א' - נכתב ע"י d4d
    מאמר זה עוסק בניתוח המשחק Red Alert 2, מטרת מאמר זה היא להציג מחקר שבוצע ע"י d4d על המשחק ולהסביר כיצד יש לגשת לחקירת משחק מחשב או תוכנה גדולה שבדרך כלל אין בה סימבולים, איך להשתמש במידע אותו חוקרים בשביל לכתוב טריינר ועזרים נוספים למשחק, שיוכלו לשנות דברים מבלי שיש גישה לקוד המקור.
  • איפה הגרופונים שלי? - נכתב ע"י רן לוי
    במאמר זה יציג רן מחקר שביצע על מערכת רכישת הקופונים של חברת גורפון ויספר כיצד עירנות ומעט מתמטיקה עזרו לו למצוא בה חולשה אשר אפשרה לו להנפיק קופונים שמשתמשים אחרים רכשו.
  • דילוג רשתות על רגל אחת, בעצם בין שתי רגליים - נכתב ע"י יובל (tsif) נתיב
    במאמר זה מספר יובל כיצד הצליח לדלג בין רשת ה-Wireless של האורחים של חברה מסויימת, לבין הרשת הארגונית שלהם - דרך מקרן שהיה מחובר לשתי הרשתות. המחקר הוא Blackbox-י לחלוטין, וכיצד מ-0 ידע הצליח לשים ידיו על ה-Firmware, חקר ומצא מספר חולשות שאיפשרו לו להריץ מספר כלי ממסור על המקרן ובכך לדלג דרכו לרשת העבודה של הארגון.
  • Exploiting The Abyss: Pysandbox Escape - נכתב ע"י יונתן ארז (JohnE) ורתם חן (Thankjnv)
    בתאריכים ה-6-12/08/2018 התקיימה התחרות TJCTF שבמסגרתה קבוצות שונות מרחבי העולם התחרו זו בזו באתגרי אבטחת מידע שונים. אתגר אחד היה מיוחד במיוחד - The Abyss. האתגר היה אתגר מסוג- Pysandbox/Python jail בגרסה פייתון2. במאמר זה יביאו יונתן ורתם את הפתרון שלהם לאתגר זה.
  • עקיפת ה-Patchguard וה-DSE ללא שימוש ב-Driver או בחולשה - נכתב ע"י עדן מיוחס ומתן וינשטיין
    מאמר זה הינו מאמר פרקטי ויעסוק בעקיפת ההגנות של Windows בקרנל, Patchguard ו-DSE בפרט. המאמר תקף לכל הגרסאות של מערכות ההפעלה  (Win7 - Win10). במאמר זה עדן ומתן יסבירו כיצד אפשר לנטרל לחלוטין את ה-PatchGuard וכיצד ניתן לעקוף את הדרישה לחתימה דיגיטלית.
  • איומים קיברנטיים על כלי תחבורה זעירה בישראל ובעולם - נכתב ע"י אמיתי דן
    החל משנת 2010, חוקרי אבטחה שונים מציגים עבודות רבות המדגימות חולשות אבטחה ברכבים, כיום חברות רכב ארבע גלגלי, מבינות שאבטחת מידע, הינו משהו שצריך לקחת בחשבון כבר מזמן הפיתוח, אך קיים שוק שפחות מודגש ולא קיבל עדיין מענה - כלי תחבורה זעירים בעלי מחשב (קורקינטיים / אופניים / סקייטבורדים חשמליים וכו'), ונראה שלא ברור האם מישהו שאל את השאלה - האם יש צורך באבטחת סייבר בעולם התחבורה הזעירה? במאמר זה יעסוק אמיתי דן בנושא.
  • OBDon’t - נכתב ע"י עומר כספי וליאור שרון
    שימוש ברכיבי דיאגנוסטיקה לרכבים כיום, הינו נפוץ במיוחד כדי לנטר את מצב הרכב בזמן-אמת ולקבל אינפורמציה בנוגע לתקלות או נתוני חיישנים  של הרכב, רכיבים אלו הינם זמינים וזולים מאוד, ולפיכך נפוצים ונגישים. במאמר זה יסבירו עומר וליאור (על קצה המזלג) על מערכות הרכב הפנימיות הקשורות לאותו ממשק ועל סכנות האבטחה שבחיבור רכיב כזה לרכב.
  • NTFS Forensics - נכתב ע"י דני אודלר
    במאמר זה יציג דני את המבנה הפנימי של מערכת הקבצים NTFS, מושגים כגון MBR, VBR ו-MFT יוסברו לעומק במאמר זה. בנוסף, יסביר דני על NTFS מההיבט הפורנזי שקיים ועל שחזור קבצים ממערכת קבצים זו.
  • טכנולוגיית Software Guard Extensions - Intel SGX - נכתב ע"י אדיר אברהם
    טכנולוגיית SGX היא מכניזם וקבוצת פקודות אשר התווספה לארכיטקטורת המעבדים של אינטל החל מה-6th generation Core, מטרתן היא לאפשר לקוד קריטי להמשיך לרוץ באופן אמין ובטוח גם בסביבה שעליה השתלט קוד עויין. במאמר זה מסביר אדיר אברהם איך המנגנון בנוי וכיצד יש להשתמש בו.
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל  


תגובות על 'הגליון המאה של DigitalWhisper שוחרר!':



#1 

פקמן:
וואו. נראה גיליון מטורף.
בתור אחד שרוב הידע שלו בנושא התחיל מהמגזין הזה,
אני חייב להגיד ישר כח ותודה רבה. ההשקעה והמאמץ ניכרים וזה כיף גדול כל חודש. בהצלחה בהמשך!
01.11.2018 05:45:44

#2 

ru (אורח):
איזה גיליון מדהים! תודה רבה על כל ההשקעה לאורך השנים
01.11.2018 08:12:07

#3 

checkpointsux (אורח):
גם אני נתקעתי באותה הצורה באתגר של checkpoint, היו לי חוקים שונים אבל עם אותו הבסיס.
מישהו הצליח לקבל פלט של דגל מהאתגר הזה?
01.11.2018 08:12:48

#4 

חי (אורח):
פשוט אלופים, גיליון מטורף !! תמשיכו כך
01.11.2018 08:29:05

#5 

fix (אורח):
"...אשר אפשרה לו להנפיק קופונים שמשתמשים אחרים *רחשו*." *רכשו*
01.11.2018 18:44:14

#6 

אורח (אורח):
תודה רבה לכולם על 100 גיליונות אני מחכה לגליון ה200 כבר :)
02.11.2018 12:41:41

#7 

Dr.Evil (אורח):
לגבי המאמר OBDon’t,
כן, זה נכון, והבאתם דוגמא לפרצה משנת 2015. במספר רכבים מהתקופה האחרונה, שאני בדקתי, פירצה דרך OBD יותר קשה חברות הרכב דאגו ל"סגור" חלק המידע שמגיע על הפורט הזה או למנוע שליחה של מידע.
02.11.2018 21:12:46

#8 

cP (אורח):
@fix - תודה רבה, תוקן.

@Dr.Evil - אנחנו מחפשים לפרסם מאמרים נוספים בתחום, אם תרצה לפרסם גם, נשמח לשמוע.
03.11.2018 15:35:26

#9 

OK (אורח):
@Dr.Evil - עדיין יש הרבה רכבים שקיימים היום בשוק שבו החברות לא דאגו לסגור את זה ובמצב בו יצרנים מעודדים השארת הדונגלים מחוברים פירצה זו עדיין רלוונטית(כמובן שזה תלוי ביצרן ואיך הרשת של הרכב הספציפי בנויה).
כמו כן כמו שזה לא ווקטור התקיפה היחיד או העיקרי כדי לפרוץ היום לרכב והמטרה של המאמר לא הייתה להסביר שזהו ווקטור התקיפה העיקרי
03.11.2018 15:57:39

#10 

NoSound (אורח):
תודה רבה! כל הכבוד לכם על ההשקעה והמאמץ, מעריך מאוד!
04.11.2018 00:44:31

#11 

help (אורח):
יהיה ממש נחמד ושימושי אם תוסיפו אפשרות חיפוש לאתר. לא משהו מסובך- חיפוש פשוט בדפים של האתר... תודה!
06.11.2018 18:20:40

#12 

ypy (אורח):
יישר כוח , כל הכבוד לכם
07.11.2018 09:35:23

#13 

אנונימי (אורח):
תעזר בגוגל
site:digitalwhisper.co.il string_to_search
11.11.2018 21:02:06

#14 

help (אורח):
@אנונימי - תודה רבה!
15.11.2018 17:56:14

#15 

פקמן:
מה עם קצת סטטיסטיקות? (כאילו כמה אנשים קוראים כל חודש וכאלה)
16.11.2018 12:31:09

#16 

shackrack (אורח):
בתור מי שהתחיל עם המגזים כמלש"ב ויצא לו אפילו לכתוב מאמר יחד עם cp- אני חייב להגיד שאפו! כל הכבוד. איזו מסירות ורוח התנדבות לאורך כ"כ הרבה זמן!
תודה תודה תודה. כן ירבו כמוכם.
25.11.2018 15:45:05

#17 

מישהו (אורח):
גליון מרתק. תודה
25.11.2018 19:06:49

#18 

nirselickter:
היום גיליתי את האתר שלכם ...תודה שאתם משאירים הכל פתוח לקריאה גם 9 שנים אחרי שהתחלתם..
28.11.2018 20:19:35



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.