אז… מה שלומכם? אחרי קפיצה קצת פחות מתוכננת מעל חודש יולי הנה אנחנו שוב :)
אח, חודש אוגוסט… חודש הכנסים בלאס-וגאס, החודש בו תעשיית אבטחת המידע מכל העולם מחכה בקוצר רוח ל-Buzzwords החדשים שיבואו בעקבות ההרצאות שיועברו ב-Black Hat ו-DEFCON הבאים עלינו לטובה. נראה מה נקבל הפעם…
כל שנה ושנה, נערכת ב-DEFCON תחרות CTF בת 48 שעות בין מספר קבוצות האקרים מכל העולם, כאשר הקבוצה המנצחת הינה הקבוצה אשר הצליחה לפתור את עשרת אתגרי ההאקינג (ברובם מדובר ב-Reverse Engineering) בזמן הקצר ביותר.
שנה שעברה נציג מהארגון DARPA בשם Mike Walker הציג מעל אחת מבמות הכנס את חוקי תחרות ה-CTF אשר הם מתכננים להריץ בכנס שעתיד להתקיים השנה. לתחרות הם קראו Cyber Grand Challenge, ומה שמעניין בה, מלבד הפרס (2 מליון דולר), הוא שבתחרות הנ”ל המשתתפים אינם יהיו האקרים מרחבי העולם, אלא תוכנות שמספר צוותים מרחבי כתבו במהלך השנה האחרונה. התוכנה שתנצח תזכה את הכותבים בפרס.
במסגרת התחרות, התוכנות עתידות לקבל כ-120 קבצים בינארים עם פגיעויות שונות (ככל הנראה מבוססות Memory Corruption), ומטרתן תיהיה לזהות את כשל האבטחה בכל אחד מהבינארים, לכתוב באופן אוטונומי ניצול אשר ידע לטרגר את אותה החולשה ולהגיש מטרה מסויימת (הרצת קוד בהרשאות התוכנה על מנת לקרוא תוכן של קובץ בשם קבוע? סתם להקריס את התוכנה?) ולאחר מכן - לשכתב את התוכנה כך שאותה הפגיעות תעלם (אך כמובן שהפונקציונליות המקורית של התוכנה - תשאר).
לפי דבריו של Walker, מטרתה של DARPA היא לבחון האם האנושות נמצאת היום בשלב בו ניתן לפתח “מערכות חיסון אוטונומיות” - מערכות שישבו באיזורים אסטרטגיים במרחב הרשת ובאופן עצמאי ינסו לאתר ולתקן כשלי אבטחה ברכיבים השונים. לפי טענתם עולם אבטחת המידע, ובייחוד עולם ההאקינג מתקדם בקצב כל כך מהיר, שבו, אם שלב החיסון לא יהיה אוטומטי - הצד המגן ישאר הרבה מאחור. בייחוד כשבעתיד הקרוב כל מקרר וטוסטר הולכים לקבל כתובת IP.
שווה להשאר מעודכנים בעניין הזה. ומעניין כמה אנחנו רחוקים מהמציאות של Ghost In The Shell…
וכמובן, לפני הכל - נרצה להגיד תודה רבה לכל מי שבזכותו אתם קוראים מילים אלו: תודה רבה לשרון בריזינוב, תודה רבה לעידו נאור, תודה רבה לדני גולנד, תודה רבה לאופיר בק, תודה רבה לשחר גלעד ותודה רבה ל-0x3d5157636b525761!
החודש, הגליון כולל את המאמרים הבאים:
אסמבלי - חלק ב’ (מאת אופיר בק):
מאמר זה הינו חלק ב’ בסדרת המאמרים שמטרתה ללמד לתכנת באסמבלי, בחלק הקודם אופיר הציג את ההקדמה לסדרה וכן רקע לשפה ואת המאפיינים שלה, בחלק זה נצלול קדימה ונכיר מספר פקודות וכיצד יש להשתמש בהן.
הבוטנט החברתי - החלק החסר בפאזל (מאת עידו נאור ודני גולנד):
במאמר זה מציגים עידו ודני תוצאות מחקר אשר בצעו לאחרונה על קמפיין פישינג מעל הרשת החברתית פייסבוק, הקמפיין הצליח להגיע לעשרות אלפי משתמשים בפחות מ-48 שעות מאז הפעלתו. הקמפיין כלל אף ניצול של כשל אבטחה במערכות הקישורים / תיוגים של פייסבוק.
טיפים לשיפור אבטחת WordPress (מאת שחר גלעד):
WordPress הינה אחת ממערכות ה-CMS הנפוצות ביותר בעולם, המאמר זה שחר מציג מספר דרכים ופעולות אשר נקיטה בהם מצד מנהל האתר והמערכת תגביר משמעותית את האבטחה שלה. אם זה בשימוש נכון ומאובטח בעת ניהול המערכת ואם זה בהתקנת תוספי אבטחה למערכת עצמה על מנת להדוף את המתקפות השונות המסכנות אותה.
קריפטוגרפיה - חלק א’ (מאת אופיר בק):
מאמר זה הינו מאמר הפותח סדרת מאמרים בנושא הצפנה ופענוח צפנים, במאמר זה מציג אופיר את עולם הצפנים, מושגי יסוד בעולם זה, מספר צפנים בסיסים וכן מספר שיטות לפענוח צפנים מסיגנון זה.
משטחי תקיפה באפליקציות אנדרואיד - חלק ב’ (מאת 0x3d5157636b525761):
מאמר זה הינו מאמר המשך בסדרת מאמרים אשר מציגה את משטחי התקיפה (Attack surfaces) באפליקציות אנדרואיד. במאמר זה, 0x3d5157636b525761 מציג חולשה שמצא ב-RootBrowser, הכותב מציג את אופן ביצוע המחקר, מה ניתן היה לעשות על מנת להמנע מפגיעות זו.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.