הגליון המאה ואחד של DigitalWhisper שוחרר!

 
ברוכים הבאים לגליון ה-101 של DigitalWhisper! הגיליון הפותח את המאה השניה של המגזין! האתגר הבא: נראה אם נצליח להתמיד עד כדי הפרסום של הגליון ה-200. אעבור אז כבר את גיל 40 :)
 
אירוע הפרסום של הגליון ה-100 חודש שעבר, ביחד עם פרוייקט החולצות היה אירוע חוויתי מאוד, שמחתי לפגוש ולראות את מי מכם שהגיע לאירוע של dc9723 ובכלל, להשתתף בכנס של dc9723, הרבה זמן שלא יצא לי להגיע לכנסים ולפגוש את הקהילה, בהחלט התגעגעתי לזה.
 
לכל מי שהתעניין ושאל - נשארו לנו חולצות, חלק מהמידות אומנם נגמרו, אך תרגישו חופשי לפנות אלינו ונראה איך נתאם להעביר לכם אותן. בנוסף, אני מאמין שלפי מידת הביקוש, נגיע שנית לאחד המפגשים הקרובים של dc9723 עם שארית החולצות וכך שגם מי שלא הספיק להשיג עדיין חולצה יוכל לעשות זאת.
 
מעבר לכך, אשמור את המילים לדברי הפתיחה של הגליון הבא - הגליון הסוגר את שנת 2018.
 
עד אז - קראו ספרים, צאו לטייל, סעו בזהירות, אל תסמכו על שום דבר ותשתדלו להיות כמה שפחות עם הפלאפון שלכם.

 
וכמובן, לפני שנגש למאמרים, נרצה להגיד תודה לכל מי שהשקיע החודש מזמנו וכתב לנו ולכם מאמרים, תודה רבה לעודד ואנונו, תודה רבה לדיקלה ברדה, תודה רבה לרומן זאיקין, תודה רבה לאור (OrKa) קמארה, תודה רבה למתן אלפסי, תודה רבה לאלון בן-צור ותודה רבה למשה אלון!
 
   
החודש, הגליון כולל את המאמרים הבאים:
  • DJEye מ-XSS בפורום ועד להשתלטות על רחפן - נכתב ע"י עודד ואנונו, דיקלה ברדה ורומן זאיקין
    תעשיית הרחפנים מוערכת בכ-127 מיליארד דולר, ונשלטת ברובה על ידי חברת הרחפנים הסינית DJI. החברה מחזיקה בנתח שוק גלובלי של כ-70% מכלל התעשייה, ופועלת ביותר ממאה מדינות. במחקר שביצעו עודד, דקלה ורומן על DJI בצ'ק פוינט, נמצאו ליקויי אבטחה אשר מעניקים לתוקף גישה לחשבון DJI של המשתמש מבלי שהמשתמש יהיה מודע לכך. ובכך גם להשיג גישה לתמונות ולסרטונים שצולמו ע"י הרחפן, מסלולי טיסה, צפייה בשידור חי, מידע המשוייך לחשבון המפעיל ועוד. במאמר זה הם מציגים את תהליך המחקר ואת תוצאותיו.
  • Git Internals - נכתב ע"י אור (OrKa) קמארה
    Git הינה מערכת ניהול גרסאות מבוזרת (Distributed Version Control System) אשר נוצרה בשנת 2005 על ידי לינוס טורבאלדס. במאמר זה OrKa יסביר בקצרה על Git ולאחר מכן יצלול לעומק המערכת, במאמר נראה איך Git ממומש ואיך פקודות בסיסיות שאנחנו מבצעים בעבודה השוטפת שלנו עובדות מאחורי הקלעים. 
  • פתרון אתגרי הקריפטוגרפיה מגמר תחרות CSAW2018 - נכתב ע"י מתן אלפסי ואלון בן-צור
    בין התאריכים 8-10 בנובמבר 2018 התקיים גמר תחרות  CSAW בחיפה וארך כ-36 שעות. האתגרים הקריפטוגרפים בתחרות היו בנושאים מאוד מוכרים: DSA ו-RSA, אך בשניהם וקטורי ההתקפה היו קשורים דווקא במימוש ובמתן השירותים הלקוי של השרת. במאמר זה מציגים מתן ואלון את הפתרונות שלהם לאתגרים אלו.
  • Kerberoasting Attack on SQL Server - נכתב ע"י משה אלון
    במאמר הבא מציג משה פריצת אבטחה שהתגלתה לפני מספר שנים במימוש של Microsoft לפרוטוקול קרברוס וזכתה לכינוי "Kerberoast" (פריצה ועריכה של Kerberos Tickets). ניצול מוצלח של הפרצה מאפשרת לאדם בעל הרשאה מינימלית ביותר בסביבת Microsoft Domain לקבל שליטה מלאה על שרת SQL שקיים באותו ארגון, או על כל Service רשתי כזה או אחר שנמצא בסביבת ה-Domain שמשתמש ב-Kerberos לאימות. הצגת החולשה תתבצע תוך הדגשה והסבר על ה-MS Kerberos ועל ביצוע שלם של המתקפה. מבניית המערכת וסביבתה עד להשגת שליטה מלאה על שרת SQL.
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל  


תגובות על 'הגליון המאה ואחד של DigitalWhisper שוחרר!':



#1 

אנונימי (אורח):
ממתי יש tracker בקישור? כאשר הגעתי מפייסבוק היה את הפרמטר fbclid.
30.11.2018 15:35:15

#2 

עוד מישהו אנונימי (אורח):
דיי הגיוני, נותן לבעלי אתרים לעקוב אחר קמפיינים. תנסה להעלות לינק לקיר שלך ולבדוק בסורס אם זה מוסיף לבד או לא.
30.11.2018 15:41:18

#3 

cP (אורח):
זה נראה כמו משהו שפייסבוק מוסיפים לבד. לא קשור למגזין באופן ייחודי ואני מבטיח לך שאנחנו לא עושים את זה משהו מיוחד מלבד לשדוד לך את חשבון הבנק :) (כן יש לנו analytics של גוגל, ואולי הם עושים עם זה משהו)
30.11.2018 16:37:42

#4 

Kerberos (אורח):
חיפשתי הרבה זמן שם לכלב שאני אאמץ, בזכות המאמר האחרון אני סופסוף החלטתי על שם
30.11.2018 19:42:29

#5 

יהודה (אורח):
שוב ממש ממש תודה רבה! אתם פשוט אלופים, ואני מקווה שאתם מודעים לעובדה שיש לכם חלק חשוב מאוד בידיעות בנושא אבטחת מידע של המון מטובי המוחות שלנו ביחידות הטכנולוגיות. בהצלחה בהמשך
01.12.2018 09:06:31

#6 

פקמן:
ישר כח! נראה מעניין
01.12.2018 18:21:25



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.