ברוכים הבאים לגליון ה-27 של Digital Whisper, גליון דצמבר, הגליון האחרון לשנת 2011. אז מה שלומכם חבר’ה? אנחנו מקווים שהכל בסדר. גם הפעם רצינו להגיד תודה רבה לכל מי ששולח לנו מאמרים, משתף אותנו במחקרים שהוא עושה ומנסה לקדם בעזרת ממצאיו את שאר הקהילה. חודש נובמבר עבר, והנה אנחנו כאן, עם גליון חדש נוסף. וכמובן, לפני שנציג את המאמרים, נרצה להגיד תודה רבה לכל מי שתרם מזמנו הפרטי, השקיע, כתב ועזר לנו להגיש לכם את הגליון: תודה רבה לרועי (Hyp3rInj3cT10n), תודה רבה לעומר פינסקר, תודה רבה לליאור קפלן, תודה רבה לעו”ד יהונתן קלינגר ותודה רבה לעידו קנר.
החודש, תוכן הגליון כולל את חמשת המאמרים הבאים:
PHP Code Execution - חלק ב’ - (נכתב ע”י רועי / Hyp3rInj3cT10n):
PHP Code Execution / Injection היא כותרת לקבוצת פרצות אבטחה באפליקציות Web אשר ניצולן מאפשר לתוקף להריץ קטעי קוד PHP על השרת ולעיתים אף הרצת פקודות מעטפת על המכונה עצמה. במסמך הזה מציג רועי מספר טכניקות שונות מקבוצת פרצות זו, בצירוף דוגמאות קוד והסברים. מאמר זה הינו חלק ב’ תחת כותרת זו, החלק הראשון פורסם בגליון ה-23 של המגזין.
שירותי מיקום, הרוצח השקט - (נכתב ע”י עו”ד יהונתן קלינגר):
שירותים מבוססי מיקום לטלפון הסלולרי נמצאים בחודשים האחרונים במחלוקת סוערת בין היתר בעקבות הפוטנציאל ההרסני שיכול להיות בשימוש לא מורשה באותן תוכנות, החל מרשת החוקרים הפרטיים שנחשפו כאשר מכרו תוכנות מעקב לבני זוג, דרך שירותים מבוססי מיקום כמו ShopRooster הישראלית, שירותי עבר כמו InirU שהושקו ברשת Orange, שירותי ניווט כמו Waze ועוד. במאמר קצר זה נסקור כיצד עובדים שירותים מבוססי מיקום, מהן הבעיות המשפטיות בהן וכיצד, לדעתי, צריך לטפל בבעיות אלה.
אינטגרציית Snort IDS ונתב Cisco- (נכתב ע”י עומר פינסקר):
המאמר הבא, מאת עומר פינסקר, עוסק ביישום Intrusion Prevention System) IPS) בתצורת Active-Response על בסיס רכיבים נפוצים כגון נתב Cisco, הנתב הנפוץ בעולם ובתוכנת Snort IDS) Free BSD) אשר מוגדרת כמכתיבת תקן ה-IDS (Intrusion Detection System) בשוק דה-פאקטו. המאמר מבוסס על פרויקט גמר ללימודי הנדסה, במהלכו נחקרו הפתרונות הקיימים כיום להגנה מפני התקפות DDoS, זוהו החולשות העיקריות ועל בסיסן הוצעה התצורה המתוארת.
הצפנה בתוכנה חופשית - (נכתב ע”י ליאור קפלן)
אופי הפיתוח של תוכנה חופשית, באמצעות מגוון גדול של אנשים מכל העולם, רובם ללא הכרות פנים מול פנים, הציב דרישות גבוהות לנושא האימות והאבטחה, כך שניתן למצוא מימושים רבים לאלגוריתמים שונים ואף המצאה של אלגוריתמים חדשים בעקבות צרכים חדשים. הרישיון המתירני של תוכנה חופשית מאפשר לכל פרוייקט חדש להתבסס על פרוייקטים קיימים ללא הצורך בלהמציא את הגלגל מחדש כל פעם, וכך פרוייקטים מסויימים נהפכים לאבני בניין עבור פרוייקטים אחרים. במאמר זה סוקר ליאור כמה מהפתרונות הנפוצים לשימוש בהצפנה בהפצות לינוקס, החל מרמת המשתמש, דרך מנגנוני העדכון השונים ועד ספריות תוכנה עיקריות.
אבטחת מידע בעולם העננים - (נכתב ע”י עידו קנר ואפיק קסטיאל):
המאמר הבא מציג את נושא עולם העננים מזווית של אבטחת מידע. המטרה הינה להציף מעל לפני השטח בעיות בנושא זה,
שאולי רבים חושבים שהם לא יתקלו בהן, ונראה כי בדרך כלל רבים לא נותנים עליהן את הדעת בעת מימוש פרוייקט
כזה או אחר. כמו כן להציג לקורא אילו שאלות הוא צריך לשאול את עצמו בעת הכנה לפרוייקט מסוג זה בכדי למצוא את
הפתרון המתאים ביותר עבורו.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.