אחרי הרבה עבודה, ואחרי מאמצים לא פשוטים, סוף סוף זה קורה, הגליון ה-30 של Digital Whisper רואה אור! כמו שהרבה מכם בטח שמו לב, רצינו שהגיליון ה-30 יהיה מיוחד, הן מבחינת התוכן והן מבחינת הכמות ומגוון הנושאים. אבל כמו תמיד, למציאות יש תוכניות משל עצמה, וחצי מכלל העורכים במערכת המגזין יצאו למילואים… לרגע עברה בי המחשבה שאולי, מפאת כמות הזמן שהצלחנו לפנות ומפאת התנאים (אוהל 12, גבול מצריים והרבה הרבה חול) גם החודש לא נפרסם את הגליון, אבל כמו שאתם רואים, אנחנו פה. :)
במידה ו-Anonymous לא יצליחו לנתק את כלל האינטרנט (או מה שהם לא מתכננים לעשות במסגרת מה שהם קוראים לו “Global Blackout”) הגליון יפורסם כמובטח בסוף מרץ, שבוע לפני פסח (ושבוע לפני יום-ההולדת של אשתי - מזל טוב!).
אז ברשותכם, כמה מילים אישיות: אחד השמות של פסח הוא “חג החירות”, אני אניח בצד את המשמעות הדתית או את מקור השם, מפני שזה לא המקום, ומה שחשוב הוא שיש לי הזדמנות לדבר על נושא חשוב כמו “חירות” ועל הקשר הבלתי נפרד שלו לעולם ההאקינג.
בימים כמו היום קצת קשה לראות איך האקינג קשור לחופש, או בכלל, למשהו חיובי. עם כל מה שאנחנו קוראים במדיה, הקונוטציות של האקינג הפכו רובן ככולן לשליליות. מבין כל הידיעות כי קבוצת האקרים ממדינה X פרצה והשחיתה אתרים של ממשלת מדינה Y, או שהאקר תורן עם מניעים פוליטים ממדינה כזאת פרסם מידע אישי על אזרחים ממדינה אחרת, קצת קשה להבין איך בכלל המקצוע / תחביב הזה התחיל או היה פעם משהו חיובי.
אם פעם האקינג עזר לשפר את הטכנולוגיה הקיימת, או התקיים על מנת להביע את היצירתיות הטכנולוגית שבאנשים, לשתף מידע, ללמד וללמוד אחד מהשני וליצור ביחד עולם טוב יותר, כיום נראה כי כל פעם שמישהו מדבר על האקינג, ישר עולים נושאים כגון גניבה, גרימת נזק לאחר או שאר פעולות עם גוון שלילי.
אז מה פספסנו? איפה בדרך איבדנו את השביל והכיוון שאליו צעדנו? אם להודות על האמת, אני בכלל לא מחזיק בטענה שפספסנו כאן משהו. אני לא טוען שעולם ההאקינג לא מוצג היום באור שלילי, זאת עובדה, ואי-אפשר להתעלם ממנה, אבל אני טוען משהו אחר, מכיוון אחר לגמרי.
אני טוען שעולם ההאקינג נשאר בעינו, הוא התחיל חיובי, כיום הוא חיובי, וככל הנראה ישאר חיובי לעוד הרבה הרבה זמן. וכן, זה נכון, אין ספק שקיימות היום קבוצות של אנשים אשר מחזיקות בידע הזה ומנצלות אותו לרעה, משתמשות בו על מנת להרוס או לקדם אינטרסים פוליטיים מלוכלכים. אך חשוב לזכור, שלמרות הכל, השימוש השלילי בכלי מסויים שלא למטרתו אומנם מלכלך אותו, אך אינו הופך אותו לשלילי, והמטרה שלשמה הוא קיים תמשיך לעמוד.
עם הידיעה הזאת, ועם והכיוון הזה, אני יודע שלא משנה מה, אני בחיים לא אצטער או אתנצל כלפי מישהו על העשייה בנושא ועל ההליכה בשביל הזה. ובתקווה, שיום אחד, כשמישהו יעלה את המילה היפהפיה הזאת, “האקר”, יעלו לאנשים רק קונוטציות חיוביות.
וזה, אם תשאלו אותי, חירות.
שיהיה לכולנו חג שמח!
SEH (Structured Exception Handler) Exploitation - (נכתב ע”י איל בנישתי)
חריגה היא ארוע שקורה במהלך ריצה של תוכנית שגורר בעקבותיו הרצה של קוד שלא במסגרת הרצף הנורמלי של התוכנית. הטיפול בחריגות הוא טיפול אפליקטיבי שנועד לאפשר לתוכנית ליזום ולתפוס חריגות. במאמר זה נדון בשיטה נפוצה לניצול חולשת אבטחה במנגנון ניהול חריגות עבור תוכנה שפגיעה לגלישת המחסנית במערכת ההפעלה Windows.
פריצת מנעולי לשונית מבוססי צילינדר - (נכתב ע”י אפיק קסטיאל)
מנעולי לשונית מבוססי צילינדר מלווים אותנו ביום יום - הם מוכרים כ-“מנעולי מגירה”. מנעולים אלו נקראים כך כיוון שבדרך כלל הם מותקנים על מגירות משרד וריהוט בסיגנון דומה. הם מתבססים על מנגנון נעילה חלש יחסית. מבדיקה שבוצעה נראה כי מנעולים המבוססים על המנגנון הבעייתי שאציג במאמר זה, נמצאים הרבה מעבר למגירות בריהוט כזה או אחר. במאמר זה אציג את המנגנון ואת אופן הפריצה שלו.
על GSM, VoIP ומספרים חסויים - (נכתב ע”י עדן משה / Devil Kide)
במהלך התקופה האחרונה ניתן לראות כי מספר אתרי אינטרנט שונים מציעים שרותי גילוי “שיחות חסומות”. השרות מציע התקנת אפליקצייה מסויימת על הסמארטפון אשר תגלה לנו בן רגע את פרטי הסורר. על מנת להבין כיצד תוכנות אלו הפועלות יש צורך להכיר את הדרך שבה המכשיר הסלולארי שלנו פועל. במאמר זה אסקור את פרוטוקול GSM, שהוא למעשה אחד התקנים היותר נפוצים לתקשורת סלולארית. בנוסף, נכיר את העקרון עליו אפליקציות מסוג זה פועלות.
פיתוח מערכות הפעלה - חלק א’ - (נכתב ע”י עידו פסט)
מאמר זה הינו חלק ראשון בנושא פיתוח מערכות הפעלה, החלק הראשון של המאמר יתמקד בתיאוריה שמאחורי תכנות מערכות הפעלה, ובו נתחיל לבנות מערכת הפעלה בסיסית. מערכת ההפעלה שנבנה בפרק זה תהיה מאוד מינימאלית, ותרוץ כמערכת הפעלה Live - משמע, שום דבר לא נשמר באופן קבוע לדיסק, והמערכת תתחיל מחדש בכל הפעלה של המחשב.
שובם של ה-Web Bugs - (נכתב ע”י יניב מרקס)
אחת הטכניקות בהן חברות תוכן (או לחילופין - ספאמרים) השתמשו בעבר על מנת לעקוב אחר הגולשים באינטרנט הינה טכניקת ה-Web bug. טכניקה זו הינה ישנה וכמעט לא נמצאת בשימוש כיום, זאת מפני שספקיות הדואר האלקטרוני חסמו אותן כברירת מחדל. עם זאת, נראה כי עדיין ישנן מספר ספקיות דואר אלקטרוני שאינן אוכפות את חסימת האובייקטים המאפשרים שימוש בטכניקה זו בכל המקרים ובכך מאפשרים שימוש בה שוב. במאמר זה נסקור את הטכניקה וכיצד היא באה לידי ביטוי.
מערכות מידע ובקרה פנים-ארגונית - (נכתב ע”י רו”ח גיא מונרוב)
האם מערכות המידע יעזרו לנו להתמודד גם עם הבקרה הפנימית בארגון? התשובה היא כן, כמו בכל תחום אחר בחיינו. גילוי מעילה, הונאה או כשל תפעולי בחברות הפך דבר שבשגרה. אחת לחודש מתנוססת לה הידיעה התורנית המספרת לנו באריכות ובהפתעה גמורה איך הצליח אותו עובד למעול בכספי הארגון מבלי שאף אחד שם לב. במאמר זה נראה כיצד מערכות אלו באות לידי ביטוי.
מתקפות מבוססות SMS - (נכתב ע”י אמיתי דן)
מאמר זה מתמקד בתקיפות שגורמות למכשירי הטלפון שלנו להתעורר לחיים ולהוות גורם מטריד שפוגע מידית בלקוחות, בחברה ובגורמים שונים. מאמר זה מציג שיטת עבודה שבה יש מותקף ראשי, מותקף משני ומצב שבו מישהו משלם על התקיפה, מאפשר אותה ונפגע שוב פעם על ידי לקוח זועם. בנוסף, נראה כיצד שימוש בנתונים שנלקחו ממאגרים חופשיים מאפשרים למקד תקיפות ולהגיע לפונקציות ספציפיות שיעזרו להעצים את האפקט המתקבל באספקט תקיפה זו.