שנת 2014 הייתה שנה עם לא מעט אירועים שייצרבו כביטים מעל דפי ההיסטוריה הוירטואלים של עולם ההאקינג. חלקם לטובה, וחלקם קצת פחות. בהסתכלות על אותם האירועים, נראה כי שנת 2014 תרשם בין היתר, כשנה שבה למדנו הרבה למדי.
חולשות כגון HeartBleed לימדו אותנו שבכל מוצר עלולות להיות טעויות, גם במוצרים ש״אמורים״ להיות הבטוחים ביותר. תולעים כגון TheMoon לימדו אותנו שלכל דבר ברשת שלנו שיש לו כתובת IP, יש פוטנציאל להוות וקטור חדירה שמאיים עלינו. חולשות כגון ShellShock ו-SChannel Shenanigans, לימדו אותנו שגם בקוד שרץ ב”פרודקשיין” כבר לא מעט שנים, ניתן למצוא חולשות קריטיות שעלולות להיות מנוצלות נגדנו. חולשות כגון POODLE לימדו אותנו שגם פרוטוקולים אשר אמורים להגן עלינו לא תמיד מסוגלים לעשות זאת.
אירועים כגון מתקפות ה-DDoS מבוססות ה-NTP או SSDP מלמדים אותנו שגם השירותים המינימליים ״והסתמיים״ ביותר יכולים להיות מנוצלים נגדינו (ולהוריד לארגון שלנו סטירה במהירות של עשרות GBps). מקרים כגון מאות-אם-לא-אלפי-הארגונים-שנפרצים-על-בסיס-יומי אמורים ללמד אותנו ששום דבר באינטרנט לא בטוח, ואף פעם אל תסמכו על שום אתר. אירועים, כגון הפסקת התמיכה הפתאומית ב-TrueCrypt וסגירת הפרוייקט אמורים ללמד אותנו שאנחנו כנראה חשופים רק לקצה הקרחון ברב מבזקי החדשות שאנחנו קוראים - ולחשוד בהכל. ועוד אלף ואחת דוגמאות.
המצב טבעי וזה לגמרי בסדר ואנושי, אך על מנת שהעניין יהיה גם נסבל, אסור יהיה לנו (בתור משתמשים פרטיים, ובתור אירגונים) לחזור על אותן טעויות. תמיד יהיו מפתחים שיעשו טעויות, ותמיד יהיו אותם גורמים עויינים שידעו לכתוב כלים שינצלו את אותן הטעויות. אך אם באמת נלמד, אפילו רק מחלק מאותם המקרים שהזכרתי קודם לכן - כבר המצב שלנו יהיה טוב יותר.
ולפני שנעבור לחלק האומנותי, נרצה להגיד תודה לכל אותם חבר’ה שהשקיעו מזמנם וממרצם ובזכותם אתם קוראים את השורות האלה, תודה רבה ל-5Fingers, תודה רבה ליובל (tisf) נתיב, תודה רבה למתן אביטן, תודה רבה למתן הרט, תודה רבה ליגאל סולימני, תודה רבה לשחף אלקסלסי. וכמובן - תודה ענקית לעורכת מספר אחת: שילה ספרה מלר.
בברכת שנה בטוחה, המון 0Days, וכמה שפחות פוסטים עם הפרטים שלכם ב-Pastebin.
החודש, הגליון כולל את המאמרים הבאים:
טיפים שתוקפי סוני לא היו צריכים (מאת 5Fingers ויובל tisf נתיב)
במאמר הבא, מציגים 5Fingers ויובל נתיב טכניקות שונות בהן וירוסים וסוסים טרויאנים עלולים להשתמש (ואף משתמשים) על מנת לעקוף מערכות Data Leakage Prevention ארגוניות. המאמר נכתב בעקבות כתיבת ספריית פיית’ון בשם PyExfil.
Reversing על DLL מוצפן וכוס קפה (מאת מתן אביטן)
במאמר הבא, מציג מתן אביטן את הפתרון שלו לאתגר ריוורסינג לא פשוט אשר פורסם באתר X, במהלך האתגר משתף מתן את המחשבות, הרעיונות וכיווני החשיבה שעולים לריוורסר ומציג את כיוון המחשבה שאיתו הוא הולך על מנת להגיע לפתרון.
Paranoid Mode (מאת מתן הרט)
במאמר הבא, מציג מתן הרט את ההבדלים בין פרטיות לבין אנונימיות, את הדרכים בעזרתן בעלי אתרים, ממשלות וחברות ענק כגון גוגל יכולים לזהות אותנו בעת השימוש ברשת האינטרנט, וכיצד נוכל לפעול על מנת להתגנן מפני שיטות אלו.
פקודות שימושיות ב-Linux (מאת יגאל סולימני)
במאמר זה, מסביר יגאל סולימני על מספר פקודות שימושיות בעת עבודה עם שורת הפקודה של מערכת ההעפלה לינוקס, ההסברים של יגאל מלווים בדוגמאות ובתמונות.
הצפנת סיסמאות מנקודת מבטו של בונה אתרים (מאת שחף אלקסלסי)
במאמר הבא, סוקר שחף אלקסלסי את הטכניקות בהן על בעל אתר אינטרנט לנקוט על מנת למזער את הנזק אשר עלול להגרם מפריצה למסד הנתונים, איך ומתי עליו להצפין את פרטי ההזדהות אותם הוא שומר במסד הנתונים ועוד.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.