הגליון המאה שבעים ושניים של DigitalWhisper שוחרר!


 
ברוכים הבאים לדברי הפתיחה של הגליון ה-172 של DigitalWhisper
 
אז חודש אפריל הגיע, ואיתו גם ה-Due Day של חלום נושן שהיה לי להקיף את העולם. מחר אריָה ואני נעלה על טיסה מזרחה, ואם כל הכוכבים יסתדרו, אנחנו נחזור מכיוון מערב, בעוד כ-8 חודשים, אחרי שהצלחנו לגנוב כמה זריחות מעבר לכמות שהחיים הקצו לנו :)

בתחילה, כאשר תכננתי את הטיול, המחשבה שלי הייתה שהמגזין ייצא לפגרה, שכנעתי את עצמי שזה בגלל שאני כנראה לא אמצא מישהו שיעשה את זה ברמה שאני שואף אליה, או שאולי זה בעצם יהיה טוב לקהילה, למקרה שהמגזין תופס איזשהו מקום, ושהמקום הפנוי יהווה כעת קרקע לפרויקט אחר שעד כה לא הצליח להתרומם. אבל כשהסתכלתי פנימה, שמתי לב שכל הסיבות האלה הן סתם תירוצים. תירוצים, כי האגו שבי לא רצה להתמודד עם העובדה שלמרות שמדובר בפרויקט שאני מוביל כבר מעל ל-15 שנה, כנראה שהוא יכול להתקיים גם בלעדי, ובהעדרי יכול להגיע מישהו (או מישהי!) ולהוביל אותו בדיוק כמוני, ואולי אף טוב ממני...

ברגע שהבנתי שאני פועל מתוך אגו, ושבגלל האגו הזה, יש סיכוי שקהילת ההאקינג הקטנטונת שלנו עלולה לפספס מידע, ושכותב פוטנציאלי עלול לוותר על כתיבה ופרסום מאמר, הבנתי שאני הולך לחפש את מי שיחליף אותי בהעדרי. כי כשמדובר בהאקינג (או בעצם בכל דבר בעולם?) - לאגו פשוט אין מקום.

ההבנה שאני רוצה למצוא מישהו שיחליף אותי היא דבר אחד, אך בינה לבין למצוא את האדם הזה, יש מרחק לא קטן. כשפרסמתי שאני מחפש מחליף, קיבלתי מספר פניות, ואחת אחת הן חזרו בהן ברגע ששמעו מה דורש התפקיד, והדחף שהיה בי למצוא את אותו האחד (או האחת!) נמהל במעט חשש.

ואז קיבלתי מייל נוסף עם התעניינות על פרטי התפקיד ומה הוא כולל. והפעם, כשהשבתי לשולחת את דרישות התפקיד, היא אומנם הביעה מעט חשש, אך חשש מסוג אחר, כזה שהראה לי שהיא פשוט מבינה מה סדר הגודל של המשימה. מאז, ספיר נכנסה אט אט לתפקיד העורך, וכל מי שכתב מאמרים לאחד משני הגליונות האחרונים - כבר התנהל מולה כמעט מבלי התערבות שלי, ורב העריכה של שני הגליונות האלה בוצעה על-ידיה המוכשרות.

לראות את ההתנהלות של ספיר מהצד, הן מול הכותבים והן בעריכת המאמרים, הסיר ממני את מעט החשש שהספיק לקנן בי כאשר חשבתי שאולי לא אמצא מוביל למגזין בעת שהיעדר.

סאפ, אני סומך עליך במאת האחוזים, אני טס בראש שקט ובידיעה גמורה שהפרויקט הזה נמצא בידיים ראויות, ושבזכותך הקהילה הקטנה שלנו תמשיך לפרוח!


אז... נתראה עוד 8 חודשים, ובערך עוד קצת יותר מ-40,000 קילומטרים שנעבור :)

וכמובן, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה לבן זמיר, תודה רבה ליוראי הרצברג, תודה רבה למיכאל שליטין, תודה רבה לאופק ארז, תודה רבה ללינוי שוקרון!

 
החודש, הגליון כולל את המאמרים הבאים: 
  • תנועה רוחבית בין תחנות ושרתים בסביבת Azure - מאת בן זמיר
    במאמר זה בן מציג ניתוח מעמיק של אתגרי האבטחה בתנועה רוחבית (Lateral Movement) בסביבות Azure Entra ID. בניגוד לסביבות Domain Joined קלאסיות, בהן נעשה שימוש במנגנוני אימות מוכרים כמו NTLM ו-Kerberos, בסביבות מבוססות Entra ID מתבצע המעבר לזהויות ענניות, תוך שימוש ב-Primary Refresh Token (PRT). שינוי זה משפיע על מנגנוני ההזדהות בין תחנות ושרתים ומציב אתגרים ייחודיים להגנה מפני תקיפות. בן מנתח את תהליך ההזדהות, מפרט את הפרוטוקולים המעורבים, ובוחן את האיומים הפוטנציאליים בסביבה זו.  
 
  • חישוב מרובה-משתתפים מאובטח ב-Rust - מאת יוראי הרצברג
    האם ניתן להשוות סכומי כסף בין שני אנשים מבלי לחשוף מידע על הכסף עצמו? בעיה זו, המכונה "בעיית המיליונרים", היא אחת הבעיות היסודיות בקריפטוגרפיה החישובית. במאמר זה יוראי סוקר פתרון אלגנטי לבעיה, המבוסס על הכלים הקריפטוגרפיים Oblivious Transfer ו-Garbled Circuits, יוראי מסביר כיצד הם פועלים ומיישם פרוטוקול מלא ב-Rust, תוך התמקדות במבני הנתונים המרכזיים.

  • טכניקות אופטימיזציה של קוד - מאת מיכאל שליטין
    כשאנו כותבים קוד, אנו לעיתים מסתמכים על הקומפיילר שיבצע עבורנו אופטימיזציות, אך מה קורה כשדרישות הביצועים מחייבות אותנו להבין בדיוק כיצד הקוד רץ בפועל? במאמר זה מיכאל צולל אל עולמן של אופטימיזציות ברמת המעבד והקומפיילר. נתחיל בהבנת ה-store buffer, נבחן את מנגנוני שליפת המידע מהזיכרון, נתעמק בספקולציות שמעבדים מבצעים, ולבסוף נחקור כיצד קומפיילרים מייעלים את הקוד שלנו.
 
  • SSTI - הטמפלייט להצלחה - מאת אופק ארז
    אופק סוקר במאמר זה את חולשת SSTI (Server Side Template Injection), המתבססת על שימוש לא מאובטח במנועי טמפלייטים בצד השרת. תחילה, הוא מסביר את תפקידם של מנועי טמפלייטים, המסייעים להצגת תוכן דינמי בדפי HTML, וכיצד הם הפכו לכלי נפוץ בקרב מפתחי אתרים. בהמשך, אופק מתעמק במנגנוני הפעולה של מנועי טמפלייטים בשפות שונות כמו Python, C#, Java, Ruby ו-PHP, ומציג את הסיכונים שהם עלולים להציב כאשר נעשה בהם שימוש שגוי.


  • Syscalls, Diresct syscalls וכל מה שביניהן  - מאת לינוי שוקרון
    לינוי בוחנת את ההתפתחות הבלתי פוסקת של טכניקות תקיפה והסתרה, המתפתחות לצד פתרונות ההגנה המתקדמים. היא מתמקדת בטכניקה ספציפית בשם Direct Syscalls. במאמר זה, לינוי מסבירה את מנגנון syscall במערכת ההפעלה Windows, כיצד הוא פועל, כיצד השתנה לאורך השנים, וכיצד תוקפים מנצלים אותו לעקיפת פתרונות אבטחה. לבסוף, היא מציגה את הכלי Hell’s Gate, שממחיש כיצד ניתן לממש את הטכניקה בפועל.

 
 

  קריאה נעימה,
אפיק קסטיאל וספיר פדרובסקי



תגובות על 'הגליון המאה שבעים ושניים של DigitalWhisper שוחרר!':



#1 

tyr (אורח):
uutyuoyio
01.04.2025 07:57:18

#2 

1 באפריל? (אורח):
1 באפריל
01.04.2025 11:45:37

#3 

partush (אורח):
אפיקוס תהנו המון שיהיה לכם טיול מדהים!
ספיר בהצלחה!
ֿמאמרים מצוינים.
07.04.2025 20:42:31



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2025 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.