הגליון המאה שלושים וחמישה של DigitalWhisper שוחרר!


ברוכים הבאים לדברי הפתיחה של חודש אוקטובר, דברי הפתיחה של הגיליון ה-135.

מי היה מאמין שנספיק עוד גליון אחד (ועוד איזה! 283 עמודים...) לפני היציאה לשביל. זה רק מראה שעם תכנון של לו"ז נכון, וכותבים מוכשרים וזריזים - אפשר להספיק לעשות כמעט כל דבר :)
 
החודש, מלבד הגליון שאתם אוחזים זה עתה בידיכם (?!), יצא הגליון ה-70 של Phrack! (הקודם יצא לפני 5 שנים) - רוצו לקרוא! הרבה Meta Hacking איכותי בגליון :)
 
דברי הפתיחה של הגליון כוללים את הפיסקה הבאה:
“Phrack started as a community zine of exchanging technical information and hacking techniques in a time that it was hard to find it. It later changed. It became a symbol of achievement, eliteness, and honor to be published in Phrack. 
 
A slight but significant change happened afterwards. Phrack gravitated (willingly or not is the subject of another discussion) towards an academic medium. Academia noticed the high quality of Phrack papers, started citing them, and basing their offensive and defensive work on them. 
 
Did that alienate the underground that Phrack represented for so many years? Yes, we think it did. But the underground also changed. Some of it became involved in malware, spyware, and also the "infosec" industry. And this mutated the underground. Of course we don't judge. 
 
Shouldn't Phrack be the reflection of the community, whatever the community is? Or should Phrack be a beacon of the old school underground? Well, it remains to be seen. Phrack will always be alive as long as the community is alive, reflecting it. If the hacking community becomes "infosec" in its majority, then probably so will Phrack. If the heart of the community is CTF, Phrack will reflect that. 
 
If the community focuses on malware, so will Phrack. Isn't that what Phrack has always done? It always was and always will be "by the community, for the community". If the community has decided that Phrack has a five year release cycle, then that's where we are.” 


 
אי-אפשר להשוות לרגע האימפקט הכל כך אדיר ש-Phrack יצר ברמה העולמית, אך ברמה המקומית, ברמת קהילת ההאקינג ואבטחת המידע הישראלית קשה לי שלא לחייך בעת קריאת השורות מעלה כשאני חושב על DigitalWhisper ועל מה שכולנו יצרנו פה יחד לפני קצת יותר מעשור.
 
ואם כבר לצטט קטעים מדברי הפתיחה של Phrack (הפעם, גליון 63), אני מאמין בכל ליבי שכל עוד רוח חיים פועמת בקרב קהיליית אבטחת המידע הישראלית, והאקינג עברי ממשיך להתקיים מעל גלי האתר, אין שום סיבה שהמגזין DigitalWhisper יחדל מלהתקיים. 
 
ואולי אין זמן טוב יותר לציין זאת שניה לפני שאנחנו לוקחים הפסקה של שלושה חודשים... הכותבים של החודש עמלו במרץ ועמדו בלו"זים מאוד צפופים כדי שנספיק להעשיר עוד את תחום האקינג בעברית בעוד חומר איכותי, ואין כמו דברים כאלה כדי לחזק אצלי את התחושות לגבי נכונותה של האמונה שבי.
 
התיקים שלנו מוכנים כמעט לגמרי, נעלי ההליכה מחכות בסבלנות שכמעט פוקעת, תחזית מזג האויר נראת מושלמת, והדרך... הדרך כבר מזמן קוראת לנו לצאת...
 

ואתם מכירים את הנוהל, אי אפשר בלי להגיד תודה לכל מי שנתן יד החודש וכתב מאמר. וכאמור, על מנת שהגליון הנ"ל ייצא חרף כל העומס שהיה החודש, הכותבים נדרשו להעמיד את המאמרים מוקדם מהרגיל - והצליחו לעשות זאת, ועל כך - שאפו רציני לכולם! אז: תודה רבה לעומר כץ (m4gnum), תודה רבה למיתר ריחן (MeitarR), תודה רבה לעידו טולדנו, תודה רבה לאור פרגרתודה רבה לערן נחשוןתודה רבה ליהב ארמרמן, תודה רבה לנתנאל כהן ותודה רבה לעדי מליאנקר!
 
 
קריאה נעימה,
   אפיק קסטיאל

 
 
 
החודש, הגליון כולל את המאמרים הבאים: 
  • פתרון אתגרי Flare-On 2021 - מאת עומר כץ (m4gnum) ומיתר ריחן (MeitarR)
    בכל שנה, באיזור חודש ספטמבר, מפרסם צוות FLARE (Front Line Applied Research & Expertise) של חברת FireEye / Mandiant שורה של אתגרי CTF שמתמקדים ב-Reverse Engineering, ובנויים בצורה שמייצגת את האתגרים שצוות FLARE מתמודד איתם ביום-יום. בכל אתגר, המטרה היא להשיג דגל. אלו שפותרים את כל האתגרים זוכים בתהילת עולם וב-Merch נחמד מטעם החברה. במאמר זה סוקרים עומר ומיתר את דרך החשיבה וההתמודדות שלהם עם כל אחד מהאתגרים, ואת הפתרונות בפועל.

  • Design patterns - איך לחשוב עם הקופסה - מאת עידו טולדנו ואור פרגר
    Design Patterns מוגדרים כ-"תיאור של תקשורת בין אובייקטים ומחלקות אשר עוצבו כדי לפתור בעיית עיצוב מסויימת בהקשר מסויים". או בניסוח פשוט יותר: "מבנה פיתרון כללי לבעיה כללית כלשהי בפיתוח תוכנה". במאמר זה מציגים עידו ואור את עולם ה-Design Patterns וכיצד לא להמציא גלגלים מחדש. ההסברים בליווי דוגמאות קוד לבעיות פיתוחיות ופתרונן.

  • Leave the Door Open - Abusing Smartcard Authentication - מאת ערן נחשון
    במאמר זה מציג ערן תקיפה על Kerberos אשר אשר הוא מכנה "Anderson PAC" שמטרתה היא להוציא NTHash של משתמש מבלי לגעת ב-LSASS.  תוך כדי ההסבר מציג ערן מגוון טכנולוגיות בסביבת Active Directory, העמקה בפרוטוקולי התאמתות ובשימוש ב-Certificates בסביבות מבוססות Domain.
 
  • Territorial Dispute - כשסוכנויות ביון רבות על חנייה - מאת יהב ארמרמן
    ב-2016, פרסמו ה-"shadowbrokerss@" סט כלים וחולשות שככל הנראה נגנבו מה-NSA. אחד הכלים, המכונה "Territorial Dispute" שימש את מפעיליו כדי לזהות פעילות של שחקן או Malware נוסף במקומות אליהם הם הגיעו. במאמר מציג יהב ניתוח לכלי, הכולל הסבר טכני על הקוד ודרכי הפעולה שלו, על המניע לפיתוח שלו ועוד.

  • 2nd Step to Tame a Kerberos: Hit It Where It Hurts - מאת נתנאל כהן ועדי מליאנקר
    במאמר זה, השני (מתוך 3) בסדרה, מסבירים נתנאל ועדי על Kerberos, הפרוטוקול האגדי, אשר נפוץ מאוד בסביבות דומייניות ונחשב לאחד מפרוטוקולי ההזדהות החזקים ביותר שקיימים ועל המתקפות הקיימות לו. לאחר שסקרו את הפרוטוקול בחלק א', בחלק זה נתנאל ועדי מציגים בחלק זה סדרה של מתקפות וחולשות הקיימות בפרוטוקול, מה נדרש מהתוקף כדי לבצע אותן ואיך לבצע אותן בפועל.


                                                                    קריאה מהנה!
                                                                       אפיק קסטיאל וניר אדר


תגובות על 'הגליון המאה שלושים וחמישה של DigitalWhisper שוחרר!':



#1 

פיטר (אורח):
תותחים ! תודה!!
01.11.2021 00:10:08

#2 

דיגי (אורח):
תודה רבה!
03.11.2021 13:00:16

#3 

מישהו (אורח):
"If the community focuses on malware, so will Phrack"

אפסים. יכלו לומר משהו יותר משמעותי (וכן, לאבד תמיכה מ5 מזרח אירופאים זבי חוטם שעוסקים ב ransome)
09.11.2021 15:12:26

#4 

לא האמנתי! (אורח):
תודה רבה רבה!!!
12.11.2021 01:22:13

#5 

temp (אורח):
<script>alert("fdfd")</script>
16.11.2021 10:20:29

#6 

asd (אורח):
<audio controls autoplay onended=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
01.12.2021 12:16:46

#7 

asd (אורח):
<audio controls autoplay onended=alert(1)><source src="validaudio.wav" type="audio/wav"></audio>
01.12.2021 12:16:49



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2021 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.