הגליון השלושים ושמונה של Digital Whisper שוחרר!

והנה השלמנו עוד הקפה אחת סביב השמש. עוד שנה חלפה לה, ואנחנו כאן עם הגיליון ה-38. ברוכים הבאים לגיליון ה-38 של המגזין Digital Whisper! אחרי עבודה לא פשוטה, אנו מגישים לכם את הגיליון.

הגיליון ה-38 הוא הגיליון שמסכם את שנת 2012, מה שאומר ש(אני צריך לשנות את ה-Footer של האתר…) דיגיטל נכנס לשנת הפעילות הרביעית שלו! בהחלט כבוד.

השנה היו לנו מספר לא קטן של אירועים הקשורים לאבטחת מידע ולהאקינג בעולם, ואם אשלוף כמה זכורים, אציין אירועים כמו האיום של אנונימוס לסגור את האינטרנט, כל האירועים סביב האביב הערבי והמלחמה על הקישור האינטרנטי באותן מדינות, כל מני וירוסים ותולעים משוגעות שצצו להן, מבצעים כמו Ghost Click והרבה (יותר מדי הרבה,) מופעים של המילה “סייבר”… אני לא אתחיל לסכם את האירועים, את זה תוכלו בוודאי לקרוא בגוגל, או באתרי חדשות שונים המתעסקים בנושא אבל אני אגיד שהייתה לנו שנה מעניינת מבחינת אבטחת מידע, ושאם אני צריך לנחש, אנחש כי השנה הקרובה תהיה מעניינת לא פחות.

הגיליון החודש כולל מאמרים מגוונים ביותר: יש לנו מאמר מעולה על שיפורים באבטחת המידע בעולם האנדרואיד, יש לנו מאמר ספיישל בחירות המסכם מחקר בנושא, יש לנו מאמר שכולל מתמטיקה, הצפנות וזכויות דיגיטליות, מאמר המשך למחקר בנושא שימוש בטוח ב-SSL (הפעם מהצד האפליקטיבי), מאמר מקיף על ה-Dark Net, השימוש והסכנות בה, ומאמר המציג טכניקות למעקף תוכנות אנטי-וירוסים.

לפני שניגש לתוכן, ברצוננו להגיד תודה רבה לכל מי שכתב מאמרים ובזכותו הגיליון יצא לאור: תודה רבה לניר גלאון, תודה רבה לדן פלד, תודה רבה לגדי אלכסנדרוביץ’, תודה רבה לבר חופש, תודה רבה ליובל נתיב, תודה רבה לישראל חורז’בסקי (Sro) ותודה רבה לאמיתי דן (PopShark).

בנוסף, תודה רבה לשילה ספרה מלר על העריכה של המגזין.

הלוואי ונהיה כאן גם בסוף ההקפה הבאה!

החודש, הגליון כולל את המאמרים הבאים:

כספת של סוכריות גומי - (נכתב ע”י ניר גלאון)

מאמר זה הינו מאמר המשך ל”מנגנוני אבטחה באנדרואיד” שפורסם בגיליון ה-31. המאמר הקודם נגע בנושאים כגון החשיבות של אבטחת המידע ועל יסודותיה בעולם האנדרואיד, על מרכז הגישה של המכשיר, על הסכנות ועל דרכים להתמודד איתם. במאמר זה ניר מציג את העדכונים והחידושים שגרסאות Jelly Bean 4.1 ו-4.2 מביאות עמן בתחום האבטחה (כגון ASLR, סריקת רוגלות ב-Play ועוד), ובנוסף נגע במספר נקודות למחשבה על חורים הקיימים במערכת.

המדריך לתייר בסמטאות האפלות של הרשת - (נכתב ע”י דן פלד)

על פי האתר Internet World Stats המספק מידע סטטיסטי עדכני על האינטרנט, יותר מ-2.2 מיליארד אנשים (כמעט שליש מאוכלוסיית כדור הארץ) משתמשים באינטרנט. על אף היותו נפוץ כל כך, מעטים מהמשתמשים בו שמעו מושגים כגון: Under net או Dark Web. כל אחד מהביטויים האלה מתייחס לחלקים “הנסתרים” שבאינטרנט - חלקים שאינם נגישים למשתמש הממוצע. במאמר זה מסביר דן על אותם חלקים, כיצד לגשת אליהם, השימוש ברשת, הסכנות בה ועוד.

ראשוני ומחוץ לחוק - (נכתב ע”י גדי אלכסנדרוביץ’)

במאמר זה מביא גדי את סיפורו של פיל קרמודי, סיפור שהוא גם משעשע, גם מערב מתמטיקה לא טריוויאלית וגם מערב קצת להטוטי מדעי המחשב. בשנת 2001 פיל מצא דרך שבה הוא יוכל לגרום לקוד של DeCSS (תוכנה שעזרה לעקוף הגנה על זכויות יוצרים מפני צריבת דסקי DVD באותו הזמן) להיות זמין באופן פומבי, בכל מקום בעולם, מבלי שהחוק יוכל לעשות משהו נגד זה.

Antivirus Bypass Techniques - (נכתב ע”י יובל נתיב ובר חופש)

מאמר זה עוסק בעולם תוכנות האנטי-וירוס, המאמר מחולק לשני חלקים, החלק הראשון מדבר על הרקע - מה הן אותם תכונות, מה מטרתן, באילו טכניקות הן משתמשות על מנת להשיג את אותה המטרה, והחלק השני נוגע באותן טכניקות שבהן תוקפים משתמשים על מנת לעקוף את אותן תוכנות ומנגנונים, כגון שינוי חתימות דיגיטליות לקובץ, שימוש בתוכנות Packing, שימוש ב-Encodders ועוד. מומלץ מאוד לקרוא את המאמר עם רקע בתכנות (עדיפות ל-C).

חולשות ב-SSL מהפן האפליקטיבי - (נכתב ע”י ישראל חורז’בסקי / Sro)

מאמר זה הינו מאמר המשך למאמר שפורסם בגיליון השלושים וחמישה, שעסק בחולשות ב-SSL. בעוד שנושא המאמר הקודם היה תשתיתי ומצא שבצד ה-Server שרתי Web מאפשרים הצפנות חלשות, ובצד ה-Client דפדפנים מעודכנים מוודאים שה-Tunnel מוצפן כראוי. מאמר זה הינו אפליקטיבי ועוסק בשפות תכנות, בבדיקה האם בעת שאנחנו שולחים החוצה בקשת HTTPS ספריות הקוד השונות מוודאות שהתווך מוצפן כראוי (שזהו תפקידו של מנגנון ה-SSL), או שהן מאפשרות חיבור בפונקציות חלשות - כך שתוקף שמבצע מתקפת MITM (באמצעות ARP Poisoning ,DNS Spoofing וכד’) יוכל לפענח את התעבורה.

התנגשויות בין חוקים ותקנות - (נכתב ע”י אמיתי דן / PopShark)

באופן מסורתי מקובל להתייחס לפרצות אבטחת מידע ככאלו המתרחשות עקב כשלים בתוכנה בקוד או בשיטות העבודה, לעתים דווקא חוקים ותקנות האוסרים משהו מסוים יגרמו לטריגר שיביא לשימוש בלתי חוקי בשיטה שלא הייתה מוכרת עד כה כבעייתית מבחינה משפטית. במחקר שערך אמיתי עולה כי מתרחשים מצבים שבהם דווקא חקיקה ותקנות, אם בתצורה של חוק יחיד ואם בהתנגשות בין חוקים, היא זו שתגרום להיווצרות הכשל, ולכן בחינה של חוקים תקנות ותקנונים שונים תביא לא פעם לאיתור פרצות אבטחה שיטתיות. במאמר זה מביא אמיתי את פני הדברים.

קריאה מהנה!

ניר אדר ואפיק קסטיאל.