הגיליון הארבעים של Digital Whisper שוחרר!

איזה כיף לכתוב את השורות האלה… אשכרה הגיליון ה-40 סוף סוף מוכן, יושב פה לידי ורק מחכה להשלח לשרת ה-FTP. איך מרפי אומר? “כל מה שעלול להכשל - יכשל”, משהו כזה? בכל אופן, זה בדיוק מה שהיה החודש, היו לא מעט נקודות שחשבתי שאולי יהיה עדיף לחכות ולהוציא את הגיליון הזה בחודש הבא… פתאום להזכר שחודש פברואר נגמר כל כך מהר (מי הגאון שאישר את זה?!), פתאום, הסוללה של המחשב קורסת ואי אפשר להוציא את החומר הערוך, פתאום רוב הכותבים (כל אחד וסיבותיו הבאמת טובות!) מבקשים להגיש את המאמר רק בסוף-סופו של החודש, ופתאום עוד אלף ואחד אירועים שהחליטו להתרחש דווקא בחודש שבו מתפרסם הגיליון ה-40! אז איך עשינו את זה בסופו של דבר? וואלה, אם לא הייתי רואה כל שלב ושלב לא הייתי מאמין…

אין זמן פנוי כי החודש עמוס? מפנים קצת זמן פה, ולוקחים קצת זמן משם, כותבים לאט לאט שורות, משפטים, פסקאות… ובסופו של דבר יוצא מאמר שאפשר להגיש. כותב אחר עבר החודש תאונה, ובכל זאת הספיק להגיש את המאמר עם איחור קל, לכותב אחר נקבעה טיסה לא צפוייה לחו”ל מטעם העבודה - אז אם זה מתאפשר… כותבים במטוס… וכנ”ל עם העריכה, אי-אפשר להאשים את ניר או שילה על “בזבוז זמן פנוי” החודש. בקיצור, לרוב הכותבים (אם לא לכולם) היו הרבה מאוד סיבות למה לא לכתוב מאמר, ובכל זאת - החודש אנו מפרסמים שבעה מאמרים, והגיליון הוא מעבר למאה עמודים - עבודתם של אנשים טובים מהקהילה הישראלית שנתנו מזמנם לטובת שאר הקהילה.

וכמובן, לפני שנעבור למאמרים, ברצוננו להגיד תודה לכל מי שבזכותו הגיליון יצא לאור בתורצו הנוכחית: תודה לשחר גייגר מאור, תודה ליוחאי (hrr) אטון, תודה לעו”ד לילך צאירי-כהנוב, תודה לשרון ברק, תודה ליובל נתיב, תודה לד”ר גדי אלכסנדרוביץ’ ותודה רבה לעו”ד יהונתן קלינגר.

בנוסף, תודה רבה לשילה ספרה מלר על עריכת המגזין ועל היכולת העל-אנושית שלה לסבול אותנו בשעות לא שעות.

החודש, הגליון כולל את המאמרים הבאים:

SNMP ככלי ביד תוקף - (נכתב ע”י אפיק קסטיאל / cp77fk4r)

על מנת להקל על מנהלי רשתות בעת ניהול רשתות גדולות ומורכבות ולאפשר להם לדעת מה מצב הרשת שלהם בכל זמן נתון מבלי הצורך לקום מהכיסא, פותחו פתרונות רבים, כזה הוא גם פרוטוקול ה-SNMP. ברשת המנוהלת באמצעות SNMP ימצאו רכיבים / עמדות קצה המריצים “סוכנים” (Agents) שינטרו את מצב המערכת ויתקשרו בעזרת הפרוטוקול SNMP לרכיב מרכזי. הרכיבים הנ”ל לא רק שולחים את מצב הרכיב / עמדה לאותה תחנה אלא גם מאפשרים לה ליזום תשאולים אקטיביים לגבי מצב המערכת בכל זמן נתון. במאמר זה, מציג אפיק כיצד תוקפים יכולים לבצע שימוש ברכיבים המרכיבים את הפרוטוקול הנ”ל על מנת לקבל מידע רב אודות הנוכחים ברשת, לשנותו ואף להשתמש ברכיבים אלו על מנת להשתלט על כלל הרשת ולבצע בה כרצונם.

קיצור תולדות ההאקינג - (נכתב ע”י שחר גייגר מאור)

רשת האינטרנט, אשר החלה דרכה בשנות השישים של המאה ועשרים בהעברת מסרי ARPANET, התקדמה מאוד בתקנון פרוטוקולי TCP/IP וקיבלה תאוצה משמעותית בשנות התשעים של אותה מאה עם גידול שנתי של 100% במספר המשתמשים. כל אלה הביאו לשינוי המדובר בתפיסת התקשורת בחיים של כל אחד מאתנו. עם הרחבת השימוש באינטרנט החלו להתרבות ולהשתכלל מעשי החדירה למחשבים ואבטחת המידע באינטרנט הפכה מאמצעי טקטי לקונספט אסטרטגי. במסגרת מאמר זה נראה את השינוי באופי הפריצות הלא החוקית למחשבים על פני זמן. מאמר זה לא יתרכז בעצם החוקיות המשפטית של מעשי הפריצה, כי אם במוטיבציות ובתמריצים שהנחו את אותם גורמים אשר ביצעו פריצות אלה. כמו כן נתאר את השינוי במניעי הפריצה למחשבים לאורך השנים כתלות בהתבססות העולם המודרני על תשתיות מחשבים. בנוסף, נתאר את העלייה במורכבות הפריצות, את הקלות היחסית שבה ניתן להשיג אמצעי פריצה למחשבים וכניסתם של גורמים עוינים מאורגנים כמו ארגוני פשע ומדינות לזירה הקיברנטית.

תקלה בפסי הרכבת - על כשלי האבטחה האחרונים ב-Ruby on Rails - (נכתב ע”י יוחאי אטון / hrr)

במהלך החודש החולף התגלו לא מעט כשלי אבטחה במנוע שמפעיל את Ruby On Rails, ולא מעט זמן לאחר מכן - פורסמו גם קטעי קוד שיודעים לנצל את אותם כשלי אבטחה. במאמר זה, מציג יוחאי את עולם ה-Frameworks ואת Ruby On Rails בפרט כהקדמה להסבר מפורט על החולשות שהתגלו בה. במהלך המאמר מציג יוחאי כיצד החולשה פועלת, כיצד ניתן לנצל אותה ואיזה ניזק ניתן לבצע באמצעותה. בנוסף, מסביר יוחאי מה ניתן לעשות על מנת להתגונן מפניה ובאילו פעולות כדאי לנקוט בעתיד.

הקשר בין סמים, ביטקוין ופשע מאורגן - (נכתב ע”י עו”ד לילך צאירי-כהנוב ושרון ברק)

במאמר זה נבקש לבחון את תופעת הפשע המאורגן בראי עידן האינטרנט והכלים הטכנולוגים המתקדמים שהוא מציע. בפרט נתמקד בביטקוין, המטבע הוירטואלי המסקרן והמצליח, והקשר שלו לרשת האפלה ולסחר האינטרנטי בסמים. כמו כן נדון במתודולוגיות ובפתרונות האפשריים, למה שמסתמן כאחד האיומים הגדולים הניצבים כיום מול רשויות האכיפה. האם הקידמה אכן עומדת עלינו לכלותינו?

Awesomeness - Metasploit בכללותו - (נכתב ע”י יובל נתיב)

במאמר זה, מציג יובל את פלטפורמת התקיפה המוכרת Metasploit, יובל מציג את הפלטפורמה מזווית של Pen-Tester ככלי לביצוע בדיקות חדירה (Penetration Testing) לרשתות ולארגונים. במהלך המאמר מציג יובל את הכלים המרכיבים את הפלטפורמה ואת המודולים השונים, כיצד לעבוד איתם על מנת למצות מהם את המירב וכיצד לנצל אותם על מנת לבצע מבדק חדירה בצורה מסודרת ויעילה.

מה הקשר בין מספרים ראשוניים וקריפטוגרפיה? - (נכתב ע”י ד”ר גדי אלכסנדרוביץ’)

החודש נתגלה המספר הראשוני הגדול ביותר שנתגלה אי פעם (זה קורה אחת לכל כמה שנים), וגילוי שכזה תמיד מעורר שאלות מתבקשות של “בשביל מה זה טוב?”. אם ניכנס לטוקבקים במאמר על התגלית ב-Ynet נגלה שבציבור הרחב, התחום שאליו מספרים ראשוניים מתקשרים ישירות הוא קריפטוגרפיה, אך אם נכנס לתגובות נראה כי למרות זאת, הקשר לא הכי ברור. במאמר זה, גדי מבהיר את הנושא: מספרים ראשוניים מהווים כיום מרכיב חשוב בחלק ממערכות ההצפנה שלנו; אך הם בשום פנים ואופן לא המרכיב היחיד ויש מערכות הצפנה שבהן אין כל חשיבות לראשוניים; ובכל הנוגע למציאת ראשוניים יש לנו אלגוריתמים נפלאים כיום שעובדים היטב ובלעדיהם לא הייתה שום הצפנה שמבוססת על ראשוניים, והכי חשוב: לא, לראשוני שנתגלה זה עתה אין כל קשר לכל זה.

על זיוף, חינוך ובתי-משפט - (נכתב ע”י עו”ד יהונתן קלינגר)

בשבועות האחרונים מסתובבות שמועות שנבעו ממכתב שהסתובב ברשת, ואשר נכתב לכאורה על ידי עוזרתו של שר החינוך, גדעון סער. המכתב, אשר לפחות לפי מי שחתומה עליו, לכאורה, הוא זיוף, הועבר באינטרנט, למערכות עיתונים ואפילו הופץ בפייסבוק באמצעות משתמשים פיקטיביים, והכל כדי להכפיש את שר החינוך. כעת, לאחר תלונות של שר החינוך ושל עוזרתו, המשטרה חוקרת האם מדובר בזיוף או לאו. בטקסט הקצר הזה יהונתן דן בשאלת הזיוף. הטענה העיקרית היא שכיום, ההגדרה של “זיוף” אינה מוצלחת, ואולי ההתנכלויות הוירטואליות שסופג השר בעקבות אותם פרסומים היו יכולות להיות מופנות להאקטיביזם חיובי ולמצוא מי עומד מאחורי המכתב.

קריאה מהנה!

ניר אדר ואפיק קסטיאל.