נראה כי שנת 2015 הייתה שנה מעניינת לרב הדעות, עושה רושם שאירועים הקשורים למקצוע שלנו בפרט ולכל עניין הפרטיות בעולם האינטרנט בכלל עברו אסקלציה די רצינית בשנה האחרונה, החל מחולשות שפורסמו ברמה תשתיתית - כזו שגורמת גם לאדישים ביותר בתחום להרים גבה, ולהבין שכל ההגנות שלנו הן אשלייה אחת גדולה (או כמה אשליות קטנות, תחליטו אתם, זה לא באמת משנה), וכלה בקצוות קרחוני ענק שמעידות (כביכול?) על התערבות של שחקן בסדר גודל מדינתי ברמה שנוגעת ברובנו יום-יום.
אירועים כאלה יכולים ללמד אותנו לא מעט תובנות, וביניהם קיימות שלוש חשובות מאוד:
-
הראשונה: תמיד נופתע, האירועים האחרונים מלמדים אותנו שלאינטרנט יש יותר שכבות ממה שנראה על פני השטח, וחשוב שנצא מנקודת ההנחה ששום דבר לא בטוח במאה אחוז. ברגע שנשכח את זה - פספסנו. תחשדו בהכל, אל תסמכו על כלום.
-
השניה: טוב שאנחנו משקיעים באבטחה, וחשב לעשות זאת, אבל חשוב יותר לזכור שהכל או ככל הנראה - הרוב - לא יהיה רלוונטי במידה ויסמנו את הארגון שלנו כמטרה. ואם נצא מנקודת ההנחה הזאת בעת פריסת תשתית ההגנה שלנו, או בעת בניית טופולוגיית הרשת שלנו - הרווחנו.
-
השלישית: תחשבו תמיד מחוץ לקופסא ותמיד צעד אחד קדימה, למרות שנראה שהעניין חשוב מאוד לצד התוקף, הוא חשוב מאוד (ואולי אף יותר) לצד המגן. על מנת באמת להגן על ארגון שלנו ועל הנכסים היקרים בו עלינו להניח שכבר פרצו לנו, או שההצפנות שלנו לא מספיק חזקות בשום מקרה. עלינו לסדר את מערך ההגנה שלנו כך שגם אז ובכל מקרה - הנכסים שלנו יהיו מוגנים.
כמובן שאפשר להמשיך ולדבר ולהציג עוד נקודות, אך אלו החשובות שבחרנו לסמן. אז מה תוליד שנת 2016? שאלה קשה, כנראה שלא נוכל לדעת, אבל מה שכן - ברור שיהיה לזה IP, שזה יידע לרוץ על טוסטר, ושנופתע בצורה מביכה מכמה שזה לא מאובטח…
וכמה מילים בפאן האישי ממש לפני שנגמרת לנו השנה: כל זמן הוא זמן טוב להוכיר תודה למי שעזרו לך, ובחלוף שנת 2015 ברצוננו להגיד תודה רבה לכל מי שעזר לנו השנה, ולכול מי שתרם מזמנו וממרצו, ולכל מי שהשקיע ולכל מי שבזכותו הפרוייקט הזה ממשיך לרוץ ולבעוט - תדעו שזה לא מובן לנו מאליו, תדעו שאנו מעריכים כל שעה ושעה מזמנכם שהקדשתם לפרוייקט ודרכו לקהילה.
אז תודה רבה ל: ארי’ה קסטיאל, שילה ספרה מלר, 5Fingers, יובל tisf נתיב, מתן אביטן, מתן הרט, יגאל סולימני, שחף אלקסלסי, ליאור אופנהיים, יניב בלמס, שחק שלו, יובל סיני, גל תא שמע, d4d, מנחם ברויאר, עידו קנר, שמואל ירוחם / sub, ליאור ברש, ישי גרסטל, 0x3d5157636b525761, רזיאל בקר, נתנאל רובין, תומר זית, יהודה גרסטל, איאן מילר, עמית סרפר, אלכס פרייזר, עו”ד יהונתן קלינגר, ישראל (Sro) חורז’בסקי, דימה פשול, עדן אלון, ניר עופר / hyprnir, גל ביטנסקי, עופר גייר, אור וילדר, יגאל זייפמן ו-OGRose.
וכמובן לפני הכל - נרצה להגיד תודה רבה לכל מי שהשקיע מזמנו ובזכותו אתם קוראים שורות אלו: תודה רבה לים מסיקה, תודה רבה לניר נטר, תודה רבה לעדן ברגר ותודה רבה לעידו קנר!
מה קרה החודש? (מאת ים מסיקה)
גם החודש ים ליקט מספר כותרות מאירועי החודש החולף ששווה שאף אחד לא יפספס, וסיקר אותם מזווית טכנית: הופעתו של ה-Status Code החדש שנכנס ל-HTTP ונוגע לצנזורת האינטרנט. החולשה האחרונה שנמצאה ב-Grub2 שמאפשרת, בעזרת לא יותר מדי תחכום וגישה פיזית לעקוף כל סוג של אימות שמנוהל ב-Grub2. הסיפור על ה-PenTester שלקח את תוכנית ה-BugBounty של Facebook צעד אחד יותר מדי, התקיפה שבוצעה על שרתי ה-Root DNS של האינטרנט, על הדלת האחורית שהתגלתה במוצרים של חברת Juniper ועוד!
Windows Scripting - חלק א’: Introduction (מאת ניר נטר)
עולם שפות הסקריפטינג המובנות במערכת ההפעלה Windows לדורותיה הוא ענף מאוד. מאמר זה, הינו ראשון בסדרת מאמרים, שבה ניר יציג לנו את עולם זה. בסידרה, ניר יציג את שפות ה-Scripting השונות, יכולותיהן ותפקידן, בדגש על PowerShell. במאמר הנוכחי, ניר יבצע סקירה כללית של הסטוריית שפות ה-Scripting השונות ב-Windows ואת חלקן אף יציג לעומק.
איך ליצור שכבת אנונימיות לבית ע”י בידוד מערכות ורשת TOR (מאת עדן ברגר)
רשת TOR הינה רשת לכל דבר, והיא נועדה לספק אנונימיות ע”י שליחת חבילות המידע בין רשת מחשבים לפני הגעתן ליעד. לרשת זו מספר חסרונות בכל הנוגע לאנונימיות כאשר משתמשים בה בצורה לא נכונה, במאמר זה יציג עדן את אותם החסרונות, כיצד הם יכולים לחשוף את המשתמשים בה, וכיצד על-ידי הקמת תשתית מתאימה ברשת הבית ניתן להתגבר על אותם חסרונות.
הכרת SCTP - חלק שני (מאת עידו קנר)
במאמר זה מציג עידו את הפרוטוקול SCTP. זהו חלק שני מתוך סדרה בת שני מאמרים. בחלק הקודם הובא הסבר על הרעיון הכללי של הפרוטוקול, על הבעיה שהוא בא לפתור וכיצד הוא עושה זאת, בחלק זה מובא הסבר טכני על מבנה הפרוטוקול, הרעיון הכללי במבנה שלו, מבנה החבילות בו, סוגיהן, כיצד התקשורת מתבצעת בפועל, ועוד.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.