הגליון המאה ושלושה עשר של DigitalWhisper שוחרר!

  
ברוכים הבאים לגליון ה-113 של DigitalWhisper, גליון דצמבר.
 
שנת 2019 עומדת להסתיים, ואיתה גם נחתום את העשור הנוכחי. במונחים טכנולוגיים, עשור זה פרק זמן אסטרונומי. בפרק הזמן כזה, האינטרנט כמו שאנחנו מכירים אותו היום עשוי להשתנות כמעט ללא היכר. 
 
תחשבו על זה: מי צפה, לפני עשר שנים, שהיום כל תל אביב תהיה מלאה ברוכבי קורקינטים ממונעים? מי חשב אז על זה שבעוד לא הרבה שנים, כל ילד יוכל להטיס רחפן קטן למרחקים ולשדר Video של עצמו ב-Streaming ישירות לאינטרנט? והכי הכי - מי דמיין אז שיהיה ניתן להמשיך לשמוע Youtube בסמארטפון אחרי שממזערים את האפליקציה?!
 
תחום הטכנולוגיה משתנה כהרף עין, וכל הזמן רואות אור עוד ועוד טכנולוגיות חדשות שמהוות בסיס לטכנולוגיות נוספות ברמה שכבר כמעט ואי-אפשר לצפות.
אתם זוכרים איך היה נראה עולם אבטחת המידע לפני עשר שנים? על בסיס זה חושבים שתוכלו להגיד איך יראה תחום אבטחת המידע בעוד עשור? מה יהיו סוג החולשות שיהיו? נראה יותר ויותר חולשות כגון Specter ו-Meltdown, או שהמעבדים החדשים יהיו כאלה שאפילו מערכת הפעלה המצ'וקמקת ביותר תהיה חסינה מפני חולשות דריסת זיכרון?
 
מה יהיו הפלטפורמות המרכזיות שעליהם נאלץ להגן? סמארטפונים? משקפיים? ננו-רובוטים קטנים המטיילים בגוף שלנו ומשדרים טלמרטיות לשעון היד שלנו? מה או מי יהיו האיומים עלינו ברשת? מה תהיה רמת ה-AI באותה העת? היא תהיה לטובתנו או נגדנו? :)
 
איכשהו, מרגיש לי שברוב המקרים, גם הניחוש המוצלח ביותר לא יהיה מספיק קרוב כדי להכין את עצמנו לכל מה שיבוא. אני כמובן מתכוון להיות כאן כדי לראות את זה קורה, כי למרות שאני לא יודע מה זה, ברור לי שבתחום שלנו - זה תמיד יהיה מטורף, מדהים ומעניין.
  
 
וכמובן, לפני שנעבור למאמרים עצמם, נרצה להודות למי שהשקיע מזמנו החודש, ישב, חקר וכתב, והגיש לנו את המאמרים שלפניכם! תודה רבה ל-xorpd, תודה רבה לתמיר טוך ותודה רבה לאליק קולדובסקי.
 

 
  
החודש, הגליון כולל את המאמרים הבאים:
  • The Superpowers of Reverse Engineering - נכתב ע"י xorpd
    הנדסה לאחור היא יכולת מאוד שימושית. מתכנתים לעיתים משתמשים ביכולת זו על מנת למצוא באגים קשים בתוכנות שלהם. חוקרי אבטחה משתמשים בהנדסה לאחור על מנת להבין איך מערכות פועלות. xorpd כתב ערכה ללימוד הנדסה לאחור באופן עצמאי בשם ReversingHero. הערכה כוללת 15 שלבים הניתנים להורדה מהאינטרנט, ובמאמר הזה הוא יציג כיצד ניתן לפתור את שני השלבים הראשונים של הערכה. 

  • Android Kernel Exploitation: Understanding CVE 2019 2215 - נכתב ע"י תמיר טוך
    במאמר זה מציג תמיר ניתוח מלא לחולשה CVE-2019-2215. חולשה מסוג Use After Free אשר ניצול מוצלח שלה מאפשר לבצע Local Privilege Escalation במערכת ההפעלה Android ובכך להגיע מהרשאות של משתמש מוגבל לשליטה מלאה במכשיר שעליו מערכת הפעלה זו מותקנת. החולשה התגלתה ע"י ProjectZero ופרטיה פורסמו באוקטובר השנה.

  • Web Sockets - נכתב ע"י אליק קולדובסקי
    Websocket הוא פרוטוקול בשכבת האפליקציה, מעל TCP, ליצירת חיבור תקשורתי רציף בין הלקוח לשרת. ההודעות עוברות ב-WebSocket בצורה של raw binary. הפרוטוקול תוכנן לעבוד מעל תשתית HTTP ולהשתמש בפורטים 80 או 443. לפרוטוקול זה שימושים רבים מאוד ואתרים רבים עושים בו שימוש. במאמר זה יציג אליק את המבנה שלו, וכן מספר מתקפות נפוצות אשר ניתן לבצע על השימוש בו.
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל   


תגובות על 'הגליון המאה ושלושה עשר של DigitalWhisper שוחרר!':



#1 

שני (אורח):
שני
01.12.2019 00:18:46

#2 

רביעי (אורח):
סוף סוף מאמרים ברמה
01.12.2019 01:12:39

#3 

פקמן:
תודה! נראה גליון מעולה
01.12.2019 08:13:26

#4 

RebelScum (אורח):
2019 היא לא השנה האחרונה בעשור...
היא השנה האחרונה בשנים שהן בפורמט 201X, אבל מכיוון שמעולם לא הייתה שנת 0, העשור הראשון היה 1-10, השני 11-20, וכו.
יש עוד שנה, חברים :)
02.12.2019 05:02:23

#5 

cp77fk4r:
ובהתחשב בזה שהזמן הוא רק סתם מזימה אז בכלל אין על מה לדבר :)

תודה על החידוד :)
02.12.2019 06:15:17

#6 

פקמן:
@RebelScum
ככה זה שאתה מתעסק יותר מדי עם מחשבים...
05.12.2019 13:43:03

#7 

פקמן:
@RebelScum
ככה זה שאתה מתעסק יותר מדי עם מחשבים...
05.12.2019 13:43:04



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2019 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.