שנת 2014 החלה, ובדיוק כמו ששנת 2013 הוגדרה כ”שנת הסייבר” שבה כל ארגון שמתעסק באינטרנט הוסיף לטייטל שלו גם את המילה “סייבר” וכל איש System הפך ל-“מומחה סייבר”, אז השנה הזאת סומנה כשנת ה-“Internet Of Things”, ונראה שכולם מסביב מדברים רק על זה (אם יצא לכם לדבר עם Buzzword-יסט ושמעתם את הקיצור “IoT” ולא הבנתם על מה הוא מדבר - אז זה זה). כולם מדברים על כך שזה ה-“דבר הבא”, ואין מנוס וכבר מחר למקרר שלכם תהיה כתובת IP, ואיך עוד לא הגדרתם ב-Firewall של הטוסטר את פורט 7057 לכניסה על מנת שהם יוכלו להסתנכרן…
וכמובן, שהתקשורת וכל החברות הקשורות באבטחת מידע התחילו להתעסק בזה, ולהפחיד אותנו שהכל פרוץ, האיום של כולנו הוא שהאקר סעודי יפרסם באינטרנט מאגר מידע עם כתובת ה-MAC של המיקרוגל שלכם…
אז תנו לי בבקשה להרגיע אתכם (כן, אה?), אנחנו עוד לא שם, כן יש בתים “חכמים” שלמקררים שלהם יש כתובות IP, ויש אנשים שבגרביים שלהם יש תגי RFID שמדווחים על רמת החומציות למכונת הכביסה (טוב, את זה כנראה שעדיין אין…), אבל מכאן ועד שזה יהיה נפוץ ברמה עולמית כמו שכולם מקשקשים על זה - יעברו עוד הרבה פקטות ב-RJ…
אם תשאלו אותי (וגם אם לא…) הבקשה שלי לשנת 2014 היא: שהלוואי והשנה הזאת תעבור ללא שום Buzzwords נוספים, לא בתחום האינטרנט (סייבר, כן? :)), ולא בתחום המשק הבייתי…
וכמובן, ברצוננו להודות במיוחד לכל מי שכתב מאמרים לגיליון הנוכחי, ובזכותם המגזין ממשיך להתפרסם: תודה רבה ליוחאי אייזנרייך, תודה רבה ליובל סיני, תודה רבה לדביר אטיאס (Syst3m ShuTd0wn), תודה רבה ליובל (tsif) נתיב, תודה רבה ללהד לודר ותודה רבה ל-5Finger!
וכמובן - תודה רבה לעורכת שלנו, שילה ספרה מלר, על עריכת המאמרים בשעות לא שעות.
החודש, הגליון כולל את המאמרים הבאים:
תיאור מתקפת BEAST על פרוטוקולSSL (נכתב ע”י יוחאי אייזנרייך):
במאמר הבא, מסביר יוחאי אודות המתקפה BEAST, המתקפה הנ”ל (או בשמה המלא Browser Exploit Against SSL/TLS) הינה מתקפה על הפרוטוקול SSL אשר מאפשרת בהינתן תנאים מסוימים לקרוא תוכן של תעבורה מוצפנת. את המתקפה, הציגו לראשונה שני חוקרי האבטחה Thai Duong ו-Juliano Rizzo בכנס ekoparty בשנת 2011. מתקפת BEAST מבוססת בעצמה על מתקפת צופן שעד אז הייתה ידועה אך נחשבה תיאורטית בלבד. במאמר זה מציג יוחאי את כלל הפרטים והפירוט אודות המתקפה ואופן המימוש שלה.
Shellcoding 101 (נכתב ע”י דביר אטיאס / Syst3m ShuTd0wn):
במאמר זה מסביר דביר מה הם Shellcodes למה הם משמשים ומה הם השלבים לכתיבתם. במסגרת המאמר, מציג דביר את השלבים, הכלים ואופן השימוש בהם להכנת ה-Shellcode. המאמר והסביבה מציגים את הנושא תחת פלטפורמת לינוקס, אך העקרונות זהים ברובם גם לפלטפורמות השונות.
שימוש במתודולוגיית-DevOps להטמעת עדכוני תוכנה בארגון (נכתב ע”י יובל סיני):
DevOps הינה מתודולוגיית עבודה אשר מהווה מיזוג בין המשימות המבוצעות על ידי צוותי פיתוח (Developer Team) האחראים לפיתוח היישומים בחברה, לבין צוותי התפעול (Operation Team) של המערכות השונות בארגון. במאמר זה מסביר יובל כיצד ניתן לבצע שימוש במתודולוגיית עבודה זו לטובת הטמעת עדכוני תוכנה בארגון.
ניתוח נוזקות (נכתב ע”י יובל (tsif) נתיב, להד לודר ו-5Finger):
במאמר הבא סוקרים יובל, להד ו-5Finger את נושא ניתוח הנוזקות. ניתוח נוזקות נחשב בהרבה מקומות לנושא אשר שייך למקצוענים בלבד ולמקפצה הבאה בעולם הריברסינג. ניתוח נוזקות אומנם יכול להיות מורכב, מיוחד ומרתק אך לפי דעתם של יובל, להד ו-5Finger, כל אחד עם ידע והבנה בסיסית בעולם המחשוב מסוגל לבצע ניתוח נוזקה בסיסי בכמה שעות בודדות ולצפות בנוזקה בפעולה.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.