הגליון השלושים ושניים של Digital Whisper שוחרר!

אח… גליון 32 באויר סוף סוף.

זה מפתיע אותי איך זה מפתיע אותי בכל פעם מחדש, כל חודש אני רואה איך כל גליון וגליון מתבשל לו במהלך החודש, ובכל זאת, בכל פעם שאני מתיישב לכתוב את דברי הפתיחה, ושם לב למספר הגליון, אני מופתע מחדש. גליון 32, עם הפסקה של חודש באמצע (אם אתם זוכרים, הגליון ה-30 פורסם באיחור של חודש), מה שאומר שהגליון הראשון פורסם לפני… הרבה זמן! :)

ו… זהו, כאן נגמרים דברי הפתיחה. וכמובן, לפני הכל, תודה רבה לכל מי שבזכותו הגליון יצא לאור: תודה רבה ליאיר מוליאן, תודה רבה ליוסף הרוש, תודה רבה לשילה ספרה מלר ותודה רבה לתום רז.

החודש, הגליון כולל את המאמרים הבאים:

NetBIOS Name Service Spoofing Attacks - (נכתב ע”י אפיק קסטיאל / cp77fk4r)

מתקפת NetBIOS Name Service Spoofing הינה מתקפת MITM המתבססת על זיוף שמות NetBIOS ברשת פנים-אירגונית. מדובר במתקפה שקטה מאוד, מפני שלא כמו במתקפות אחרות (כגון ARP Spoofing), המתקפה מתנהלת מול הקורבן בלבד והיא מתרחשת רק כאשר הקורבן עצמו יוצר את הטריגר. במתקפה זו התוקף מחכה שתתבצע בקשה ל-Name Resolution ברשת, וברגע שזאת אותרה - המטרה היא לנסות ולהגיב מהר יותר יישות הרשת האמיתית. במאמר זה נראה כיצד מנגנון ה-NetBIOS עובד, נבין כיצד מתאפשרות מתקפות מסוג זה ומה הפוטנציאל הקיים בהן (לצד התוקף) ונראה איך ניתן להשתמש בהן בשילוב מתקפות נוספות על מנת להגדיל את יכולותיו של התוקף. בנוסף יוצג במאמר כיצד ניתן לממש אותן בעזרת כלים יעודים המובנים ב-Metasploit.

שימוש בעקרונות האי-וודאות למניעת מתקפות MITM - (נכתב יאיר מוליאן)

מציאת דרך להעברת מידע ממקום אחד למשנהו באופן בטוח הינה בעיה שבה מדענים, מתמטיקאים וקריפטוגראפים מתעסקים לא מהיום. מסריקה זריזה ניתן לראות כי כיום מרבית השיטות שנמצאות בשימוש מבוססות על פיזיקה קלאסית. עם זאת, למרות ששיטות אלה כרגע נחשבות כבטוחות, הן בדרך כלל מבוססות על ההנחה כי לתוקף קיים כוח מוגבל של חישוביות. שימוש במערכת קוונטית להעברת מידע דיגיטלי, מעלה תופעות הצפנה קוונטית, שמבטיחות כי אפילו מצותת בעל כוח חישוביות אין סופית לא יוכל להתחמק מלהיתפס בעת ניסיון לביצוע מתקפה. המדע העומד מאחורי הצפנה קוונטית נחשב חדש יחסית, והוא נראה כמו תשובה מושלמת לבעיות חשובות רבות. לדוגמא, על ידי יצירת רצף מספרים רנדומליים אמיתי לא ניתן יהיה לזייף כסף, וניתן יהיה להגן על מידע מפני העתקתו או ציתותו. כרגע הרב עדיין תיאורטי בלבד והכל עדיין בחיתוליו, אך בכל זאת קיים נושא אחד שיכול להיות מעשי אפילו עם הטכנולוגיה והידע שיש כיום בנושא והוא החלפת מפתחות קוונטית ובו נתמקד במאמר זה.

Security Tokens וכרטיסים חכמים - (נכתב ע”י יוסף הרוש)

במבט ראשון כרטיס פלסטיק עם לוח מגעים יכול לתת את התחושה של כרטיס אחסון פשוט והאמת היא שמראה ראשוני יכול להטעות. במאמר זה נקבל הצצה לעולם הכרטיסים החכמים וה-Security Tokens. תחילה יוסבר מהו Security Token, נסקור את הסוגים הקיימים כיום, נראה באילו דרכים ניתן להתממשק אליהם כמפתחים, נסביר מהם מנגנוני ההגנה שקיימים בהם ונראה דוגמאות לשימושים שעושים בהם כיום.

קריאה מהנה!

ניר אדר ואפיק קסטיאל.