אם תשאלו אותי אני אגיד לכם (ובאמת בלב שלם), כי כל גליון של Digital Whisper הוא גליון מיוחד. בשבילכם, הקוראים, מדובר במוצר מוגמר אז קשה לכם להרגיש את זה, ואי אפשר להאשים אתכם, אתם מקבלים כל חודש קובץ PDF “ארוז” ועטוף יפה. אך בשבילנו, “צוות ההפקה”, המוצר שאתם רואים הוא תוצר של כל כך הרבה שלבים וגלגולים שאנו עוברים במהלך החודש, או אפילו החודשים שקדמו לתאריך יציאת הגליון.
החודש, המיוחדות של הגליון (לדעתי), מתבטאת בשלושה מתוך חמישה מאמרים שמרכיבים אותו. שלושה מאמרים המפרטים אודות פרוייקט שנעשה בתוך הקהילה הישראלית למען הקהילה הישראלית ובכלל. שלושת הפרוייקטים הם “iNalyzer” של חיליק טמיר, “Diviner” של שי חן וערן תמרי, ו-“אריג” של אמיר שגיא. שני הפרוייקטים הראשונים הם פרוייקטי קוד, של פיתוח כלים לאיתור פגיעויות אבטחת מידע (באפליקציות iOS ומערכות מבוססות Web), הפרוייקט השלישי הינו פרוייקט תשתיתי יותר (למרות שמעורב בו לא מעט קוד) ומטרתו להציע אלטרנטיבה חופשית לתשתית האינטרנט בארץ כפי שאנו מכירים אותה כיום.
לא ארחיב על הפרוייקטים - בדיוק בשביל זה יש לנו מאמרים עליהם, אך ארצה לציין את העובדה שמדובר בפרוייקטים ישראלים, פרוייקטים של הקהילה המקומית, וכמה שזה כיף לראות פרוייקטים כאלה תוצרת הארץ. אני ממליץ בחום לקרוא עליהם, להתעניין, להשתתף, והכי חשוב - לשתף. לשתף את הידע שלכם עם כלל הקהילה לטובת הקהילה, בדיוק כמו שלושת הפרוייקטים האלה, בדיוק כמו shackrack וסשה גולדשטיין שכתבו לנו עוד שני מאמרים מצויינים בגליון הזה, בדיוק כמו כל מי שכתב לנו אי-פעם מאמר למגזין ובדיוק כמו כל אחד ואחד מכם שנותן מעצמו לטובת הכלל.
וכמובן, לפני הכל, היינו רוצים להגיד תודה רבה למי שבזכותם הגליון יצא לאור: תודה רבה ל-shackrack, תודה רבה לסשה גולדשטיין, תודה רבה לחיליק טמיר, תודה רבה לשי חן ותודה רבה לאמיר שגיא.
בנוסף, הייתי מעוניין להגיד תודה לעדן מ-Sticksandstones על זה שבאופן שיטתי הוא עובר על הגליונות שפורסמו ושולח לנו אין סוף תיקונים שיש לבצע - תודה רבה!
החודש, הגליון כולל את חמשת המאמרים הבאים:
וירוסים חופשי-חודשי - (נכתב ע”י Shackrack ואפיק קסטיאל / cp77fk4r)
במאמר זה מובא ניתוח של אירוע שהתרחש בחודש האחרון, במסגרת האירוע נפרץ האתר של חברת התחבורה הציבורית “דן” והוכנס בו קוד זדוני. מטרת הקוד הינה להדביק את מחשבי הגולשים לאתר בוירוס. אותו אירוע, כמו שמתברר במהלך החקירה אינו אירוע מקומי בלבד, ונראה כי הוא חלק ממתקפה הכוללת מדינות נוספות. במאמר מובא ניתוח של המאורע, מהלך המתקפה, ניתוח של הוירוס, התשתית עליו הוא מתבסס ועוד אלמנטים נוספים אשר לקחו חלק במתקפה.
עוד על איסוף זבל ב-NET. - (נכתב ע”י סשה גולדשטיין)
מאמר זה הינו המשך למאמר שפורסם בגליון ה-35 של המגזין, במאמר הקודם סשה הציג את המרכיבים העיקריים של אוסף הזבל ב-.NET, לרבות: מבנה הערימה המנוהלת, הקצאת זיכרון, הקשר בין אוסף הזבל לבין מערכת ההפעלה, פרגמנטציה של הזיכרון, דורות, וניהול אובייקטים גדולים. במאמר זה נמשיך לסקור את מנגנון איסוף הזבל, ונתבונן במספר נושאים מתקדמים ומורכבים יותר המשפיעים על הביצועים של יישומי NET. ומאפשרים לשנות את התנהגותם.
מבוא לניתוח אבטחת מידע מתקדם באפליקציות iOS עם iNalyzer - (נכתב ע”י חיליק טמיר)
ביצוע בדיקות חדירות לאפליקציות iOS הינו עסק מסובך, אין בנמצא אימולטור, אין קוד, המוצר חתום בדרך כלל ולכן הסיפור אינו פשוט. בנוסף, במקרים רבים הבקשות הנשלחות מהמכשיר חתומות או מוצפנות ולכן אין אפשרות ממשית לבצע פעולות Tampering או Injecting שונות מתוך התווך או מפרוקסי. במאמר זה מציג חיליק גישה חדשנית לביצוע בדיקות אבטחת מידע לאפליקציות iOS, חיליק ידגים את התהליך מתחילתו ועד סופו, ויחשוף את השימוש ב-iNalyzer, פרי המחקר האחרון שלו בחברת AppSec-Labs.com אשר מופץ בחינם לשימושכם (החוקי).
הידעוני (Diviner) - ראייה צלולה בעולם הדיגיטלי - (נכתב ע”י שי חן)
מאמר זה מתאר פרויקט של שי חן וערן תמרי, בשם Diviner - הרחבה לכלי הבדיקה OWASP Zed Attack Proxy) ZAP), המאפשר ליועצי אבטחה “לנבא” את מבנה הזכרון וקוד המקור של השרת, לצפות בהשפעה של כל פרמטר קלט על כלל המערכת, לאתר תרחישי התקפה מורכבים ועקיפים, ואף לקבל המלצות לגבי ההתקפות אותם כדאי לבצע כנגד כל רכיב במערכת. בנוסף לכך, המאמר מתאר סט התקפות יחודי עליו מתבסס הפרויקט - התקפות ניבוי, המאפשרות לחזות מבנה והתנהגות של רכיבים ותהליכים בצד השרת.
אינטרנט, מַעֲשֶׂה אוֹרְגִים - (נכתב ע”י אמיר שגיא)
אריג נוצר מקישור מכשירי Wi-Fi האחד לשני, לרבות נתבים אלחוטיים, טלפונים חכמים, כלי רכב ועוד. הרשת מאפשרת תקשורת מקומית באופן שאינו תלוי בספק תשתית או אינטרנט, בזמינות גבוהה וללא צורך בחומרה מיוחדת פרט למכשיר התומך ב-Wi-Fi. במאמר זה מסביר אמיר על רשתות מטופולוגיה זו ועל פרויקט הקמת האריג הישראלי.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.