ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkהגליון הארבעים ושמונה של Digital Whisper יצא לאור

published at 03/01/2014 - 10:54 · ‏פורסם פינגווין אנונימי · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע כמדי חודש, צוות Digital Whisper מפרסם גליון חודשי בעברית בנושאי טכנולוגיה עם דגש על אבטחת מידע. המאמרים נכתבו ע"י צוות האתר וכותבים-אורחים.

החודש, כולל הגליון הארבעים ושמונה את המאמרים הבאים:

Owning the Routing Table - OSPF Attacks - (נכתב ע"י דר' גבי נקבלי, תוגרם ע"י אפיק קסטיאל / cp77fk4r):
במאמר זה סוקר דר' גבי נקבלי מספר מתקפות על אחד מפרוטוקולי הניתוב הנפוצים בעולם - הפרוטוקול OSPF (קיצור של Open Shortest Path First). בממאמר מפורטות שלוש מתקפות חדשות שפרסם גבי במשך השנים האחרונות בכנסי Black Hat האחרונים בלאס-וגאס. ההתקפות שעליהן ידבר, אינן מנצלות אופן מימוש ספציפי של הפרוטוקול בדגם נתבים ספציפי, אלא מנצלות כשלים בפונקציונליות הסטנדרטית של הפרוטוקול, כך שכל נתב אשר תומך בפרוטוקול זה - יהיה חשוף למתקפות אלו.

שימוש בטוח בביטקוין מהסוף להתחלה - (נכתב ע"י יוני יחזקאל):
במאמר זה סוקר יוני את הדרכים בהן ניתן לאבטח ארנק ביטקוין מפני אובדן וגניבה, בנוסף לנושאים שחשובים גם הם בשימוש יומיומי ונרחב של ביטקוין - הגנה מפני רמאויות, ושמירה על פרטיות. במאמר זה מניח יוני, שרוב הקוראים מתמצאים באבטחת מידע ברמה זו או אחרת ועל כן לא נכנס לפרטים בנושאים בסיסיים כמו ניהול סיסמאות, זיהוי בשני שלבים, הצפנה, האשינג, ונושאים אחרים שכמובן חשובים מאוד כדי ליצור ארנק מאובטח אך אינם קשורים ספציפית לביטקוין.

פתרון בעיית התשלומים ב-Bitcoin - (נכתב ע"י עו"ד יהונתן קלינגר, נדב איבגי וליאור גבעון):
אחת הסיבות שמונעות את אימוץ פרוטוקול הביטקוין בקהילת הגולשים ברשת, מעבר לאוריינות טכנולוגית, היא חוסר הפיכות העסקאות שבו. מצד אחד, מדובר על דרך שבה לא ניתן לעקוץ מוכרים בצורה של הכחשת עסקה, אך מצד שני, קיומו של מנגנון מסגנון של "הכחשת עסקה" מייצר עלויות עסקה ועמלות אשר מייקרות את מחיר המוצר. על ידי יצירת מנגנון בוררות, כשם שמוצג על ידי Bitrated באמצעות מערכת ה-MultiSig, ניתן להשיג חסכון בעמלות ועלויות עסקה, ולמצוא מערך שיוכל לטפל בעסקאות Bitcoin אף בצורה שתוכל להכניס ודאות עסקית. מאמר זה מדבר על היתרונות של מעבר לטכנולוגית MultiSig בכלל, ועל הצורך האבטחתי בכך. לצורך העניין מניחים כותבי המאמר כי אין צורך להציג את ביטקוין כמטבע מבוזר, את היתרונות שלו ואת היקף השימוש בו, ולכן יעסוק המאמר בכך בצורה קצרה במיוחד.

Android Fragment Injection - (נכתב ע"י רועי חי):
במאמר זה מציג רועי פגיעות חדשה שקבוצת המחקר שלו גילתה באנדרואיד. ליתר דיוק הפגיעות היא ב-Android Framework, והיא משפיעה על כל אפליקציה אשר מכילה exported Activity שיורש מ-PreferenceActivity. מכיוון שהשימוש ב-Activity זה הוא שכיח למדי, מספר רב של אפליקציות פגיעות (Android Settings, Dropbox, Gmail, Evernote וכד') למתקפה זו, בנוסף, המאמר כלול הקדמה קצרה על Android ועל מנגנוני האבטחה בו.
 

קישורים רלוונטיים

· עוד על אבטחת מידע
· חדשות מאת פינגווין אנונימי

הסיפור הנקרא ביותר בנושא אבטחת מידע:
האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.org

הגליון הארבעים ושמונה של Digital Whisper יצא לאור | כניסה / יצירת מנוי חדש | 1 תגובה
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
א' ־אוהל, ב' זה בית, ג' זה צרצר גדול (ניקוד: 0)
ע"י פינגווין אנונימי ב 04/01/2014 - 19:37
נהניתי לקרוא את הגיליון כרגיל. אבל אני לא מבין למה משתמשים בדוגמה שלהם באליס, בוב וצ'רלי (למרות שכל שימוש באות צ' הוא מבורך).

צפריר

[ השב לזאת ]