ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

 
 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkפורום אבטחת המידע - היום שאחרי

published at 09/08/2004 - 12:28 · ‏פורסם פינגווין אנונימי · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע טוב, אז עבר הפורום השני... נהדר!

מה היה ומה למדנו? נתחיל במקורות.

הפורום הראשון:
לפני כחודש וחצי-חודשיים שוחחתי עם ידידינו אבירם בטלפון והתלוננתי נחרצות על כך שאין (בכלל.. אם כי כדי לא לפגוע באף אחד שווה להגיד כמעט) בישראל אף אירוע, מקצועי או חברתי בתחום אבטחת המידע שאינו ממוסחר לחלוטין ומיועד למטרה היחידה של "לדחוף לנו מוצרים לגרון".

בצורה "אופן-סורסית" למדי הסכמנו להפסיק להתלונן - ולעשות!



מצאנו במהירות נושאים לפורום הראשון: Port Knocking שיועבר על ידיד אבירם חניק (מנכ"ל Beyond Security) ו- Computer Forensics שיועבר על ידי אמיר בן יוסף (מנכ"ל מיטסי).

הרעיון המוביל היה שהפורום יהיה בלתי תלוי ולא מסחרי, משמע – "אני כך וכך מחברה כך וכך, אנו עוסקים בכך וכך.. ועכשיו להרצאה". בלי שום עניין מסחרי מסביב.

ואכן, מפה לאוזן עברה הבשורה וכפי הנראה באמת מילאנו חלל נדרש בארץ הקודש. הגיעו 75 אנשים. מבני נוער (שהתחבאו) דרך אנשי אבטחת מידע מהממשלה, מהמשטרה, בנקים, מנכ"לים, מדענים ראשיים, חיילים וסטודנטים – וכמובן, אין לשכוח אותנו הטכנולוגיסטים חסרי התקנה (או חסרי החיים).

קהל מאוד מעניין, מעורב – ונא לא לשכוח ציני.

אמיר בן יוסף לא יכל להגיע עקב מקרה חירום, ואבירם נדרש בתאילנד - אבל נועם רטהאוס הציל את היום! היה מעניין והיה כיף. אנשים השתתפו אקטיבית והדיון תוך כדי ההרצאה היה גם הוא נחמד.

נפרדנו.. והודענו על המפגש הבא.

תודה נועם - אתה תותח!

הפורום השני:
התכנסנו כ-90 איש בכיתה שיכולה להכיל כ-80.
היה מחניק. היה חם.

פעם הבאה - גלידה ואולם גדול יותר!

הפורום בהנחייתו של שחר שמש התחיל בדיון משעשע ומעניין בנושא ספאם.
דיברנו, דיסקסנו והתווכחנו. ההרצאה היתה מושקעת ומוצלחת.

מישהו אפילו התקשר לספאמר הידוע לשמצה של הסיטרואן, ושאל אותו לפשר כך שאולם מלא אנשים קיבל ממנו ספאם, ודרש: כיצד הוא מצא את כתובות הדוא"ל שלנו? לאחר שיחה קצרה הספאמר ניתק - אם כי לא לפני שהוא הציע לבחור הנחמד לשלוח לו צ'ק גדול עבור סודות המקצוע.

שיא הדיון הגיע כאשר דורון שקמוני מצא במצגת של שחר הצעה ישראלית למכור את Windows 2000 במאתיים דולר. :) אין סוף לבושה!

לדעתנו במקום דיון פתוח צריכה היתה להתנהל הרצאה מונחית, אבל יצאנו בסוף הדיון עם טעם חדש, ומעבר לכך, למדנו משהו חדש ועשינו חיים.. היי.. בעצם מה רע בזה?! :P

ההרצאה השניה התחילה באיחור מאחר והמרצה (ה- Notorious) שחר שמש לא הגיע! (בדיחה גרועה, אבל המבינים - אלה שהשתתפו בפורום - יבינו).

ההרצאה היתה בנושא SQL Injection ו- Cross-site-scripting.

נהניתי מאוד, כמו רובנו, אם כי כאן עשינו טעות:

לא הגדרנו מראש כי מדובר בהרצאה בסיסית, כך שכמה מהמשתתפים השתעממו..

לא נורא! - כפי שבעברי למדתי להגיד לבוסים בצבא - מטעויות... לומדים!

שחר בנה את תוכנית ה- PHP במקום, איתנו. היו קצת עיכובים ובעיות דוגמת תחרות ההאקינג (האמ האמ - לא באמת, אבל זו היתה בדיחה גרועה נוספת ואני תמיד אוהב לחזור עליהן) אבל בסופו של יום - היה כיף, ורבים מאיתנו למדו משהו חדש (לא לשכוח ";" !).

בנינו את התוכנית בעצמנו, אנו רואים אותה.. שורה שורה.. והנה.. פרצנו אותה! הוספנו משתמש חדר לבסיס הנתונים עם ID חדש - 666! :)

טעינו בכך שלא הגדרנו את רמת ההרצאה, אבל החבר'ה הפחות טכנולוגים שבינינו שמחו מאוד על כך שסוף סוף הם רואים משהו בשטח - וכשהגענו ל- Climax ופרצנו את בסיס הנתונים, כולם מחאו כפיים (כמה פעמים, אבל הם לא ממש אכלו באותו יום). :)

היה סבבה, היה מעניין והיה מקצועי.

הערות חשובות:
כפי שכבר הזכרתי - מזגן חזק יותר! מקום גדול יותר! להגדיר את רמת ההרצאות באופן ברור יותר!

מה בפעם הבאה?
בפעם הבאה ההרצאה הראשית היא בנושא Intrusion Detection Systems, והיא תועבר על ידי אריאל כהן, מנכ"ל סלע סיסטמם.
איננו יודעים עדיין מה יהיה נושא הדיון, אם כי אנו נוטים לכיוון "הגנת הסוס הטרויאני" - "פרצו לי למחשב! לא אני הורדתי את הפורנו! זה היה ההאקר!".

לפרטים נוספים ורשימת הרצאות ניתן לגשת לאתר שלנו:
www.cs.tau.ac.il/tausec

כמובן, ניתן להתקשר אלינו בכל שאלה - גדי עברון, 050-428610.
 
פורום אבטחת המידע - היום שאחרי | כניסה / יצירת מנוי חדש | 17 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
Re: פורום אבטחת המידע - היום שאחרי (ניקוד: 0)
ע"י פינגווין אנונימי ב 09/08/2004 - 13:19
בזמן ההרצאות וכל הפעילות הקהל משתתף ?

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי(ניקוד: 0)
ע"י פינגווין אנונימי ב 09/08/2004 - 13:23
תלוי בהרצאה, תלוי אם זו הרצאה כלל (לא דיון פתוח), ותלוי במרצה.

פרט לזה, תנסה להשתיק ישראלים. :)

עדיין לא מצאתי את השילוב בין להיות שקט ולתת לדברים לרוץ מעצמם לבין להיות שוטר/גננת.

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי (ניקוד: 1)
ע"י gal_ga ב 09/08/2004 - 15:28

(מידע על משתמש | שלח הודעה) http://www.alternative-zine.com
טוב קודם כל כל הכבוד על הרעיון והיוזמה לנסות לפתח דיון בנושאי אבטחה - רעיון מצויין.

יש לי ביקורת כלפי המארגנים, מקווה שתקבלו אותה כביקורת בונה.
כבר לפני כשבוע שקראתי על ההרצאה החלטתי שאני אגיע. נכחתי במספר הרצאות של שחר וידוע לי כי הוא אדם עם הרבה מאוד ידע ויש מה ללמוד ממנו.
הגענו 4 אנשים בציפיה לשמוע על פתרונות נגד ספאם וכיצד להתמודד עם בעיות אבטחה.
בדיון על הספאם ציפנו לשמוע רעיונות טכנולוגיים כיצד ניתן להתמודד מול דואר הזבל הבלתי נסבל. הדיון התפתח לכיוונים בנוגע לחקיקה בנושא ונושאים של רווח הפסד עקב הספאם.
הגענו לשעה השניה. הרצאה זו הייתה בסיסית וחבל שלא פורסם מראש על רמת ההרצאה.
לפי דעתי שחר היה צריך להכין את הדוגמאות מראש ולא לכתוב אותם בזמן ההרצאה - היה פשוט חוסך זמן במעבר זריז על הקוד הכתוב. הייתה קבוצה לא קטנה של משתתפים שרצו כבר להגיע לתכלס.

שורה תחתונה:
אין לי ספק שההרצאה תרמה רבות לחלק מהמשתתפים, אבל באולם נכחו מספר לא קטן של משתתפים שהכירו את הנושא.
הייתי מאוד שמח להשתתף בהרצאה\דיון על מניעת ספאם ואבטחה ברמה גבוה יותר כיוון שאני בטוח שיש לי עוד הרבה מה ללמוד בנושא.
זוהי כמובן ההתרשמות האישית שלי מהמפגש אתמול.
חשוב לי לחזור על מה שכתבתי בהתחלה - זוהי ביקורת בונה ולא תגובה מזלזלת. אני באמת שמח שמישהו משקיע זמן ומאמץ לארגן הרצאות בנושאים אלו.

גל

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי (ניקוד: 1)
ע"י שחר (whatisupatshemeshdotbiz)
ב 09/08/2004 - 16:11
(מידע על משתמש | שלח הודעה) http://www.lingnu.com
דבר ראשון - תודה על המחמאות.

הדיון הפתוח תוכנן על ידי כדיון ללא מטרה ספציפית, אלא רק עם נקודות שנדון בהם אם יצא. גם הנושאים שאתה דיברת עליהם עלו טיפה, אבל לא רצינו דיון טכני מתקדם, שיגרום לכל הניוביס לעזוב ולא להשאיר קהל להרצאה.

לגבי הדוגמאות - הכנתי את הדוגמאות מראש. פשוט העדפתי לא להציג אותם על המסך. הסיבה היא מאוד פשוטה - לא כל אחד יודע לקרוא קוד ממצגת מוקרנת. כאשר כותבים את המצגת ביחד עם הקהל, המעורבות הרבה יותר גדולה, וגם אנשים שאינם מומחים בכתיבת אתרים מבינים את הקוד, ומה קורה.

הצד השני של המטבע הוא שאילו שכן יודעים איך כותבים אתרים משתעממים. אין לי פתרון טוב לבעיה הזו. בסך הכל, אני חושב שלכתוב את המצגת עם הקהל הוכיח את עצמו.

בפעם הבאה אני אדאג לכמה שינויים קטנים. למשל - להדפיס את התוכנית הכתובה בפונט יותר גדול. זה יגרום לקוד שנכתב ביחד עם הקהל להכיל פחות באגים, וכך לעבוד יותר חלק. מצד שני, דבר כזה מקטין את המעורבות של הקהל, ומפספס את כל המטרה.

שחר

[ השב לזאת ]

פיספסת את הבדיחה (ניקוד: 1)
ע"י herouth ב 09/08/2004 - 15:32

(מידע על משתמש | שלח הודעה) http://herouth.port5.com/
העניין המצחיק לא היה הנסיון למכור Windows 2000 ב-200 דולר, אלא רד האט 7.3 במאתיים דולר...

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי (ניקוד: 0)
ע"י פינגווין אנונימי ב 09/08/2004 - 16:02
הבעיה הגדולה ביותר היתה שכותרת ההרצאה היתה:
SQL Injection and CSS

ולא, כתיבת HTML ו PHP סתם חבל.

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי (ניקוד: 1)
ע"י שחר (whatisupatshemeshdotbiz)
ב 09/08/2004 - 16:17
(מידע על משתמש | שלח הודעה) http://www.lingnu.com
הבעיה היא כזו. אחוז גדול ממפתחי ה-web שמעו על הבעיות האילו, מכירים אותם, ועדיין כותבים אתרים פגיעים! במקרה אחד, הערתי למישהו על כך שיש לו באג מהסוג הזה באתר, והוא התחיל לתקוף אותי שהוא יודע טוב מאוד מה זה, ושזה בסדר כי הוא אמר שזה בסדר.

הדרך שאני מנסה להתמודד עם זה כשאני מדריך זה לייצר את כל ההזדהות של הקהל עם הקוד המותקף שרק אפשר. יש רק דרך אחת לעשות את זה - אם הקהל כותב את הקוד. זה לא נבע מחוסר הכנה של ההרצאה, וזה לא נבע מעצלות. זאת היתה מטרה מובהקת.

אני מבין את התסכול של אנשים שיודעים מה זה HTML ו-PHP. באמת. הבעיה היא שאם הייתי מראה לכם קוד, הייתם יוצאים מההרצאה במחשבה ש"בקוד של שחר היה cross site scripting ו-SQL injection". המטרה היתה שתצאו ותשאלו את עצמכם "האם ייתכן שבקוד שלי יש את החורים האילו". את המטרה הזו, אני חושב, השגנו. תגיד לי אתה אם אתה לא מסכים.

שחר

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי(ניקוד: 0)
ע"י פינגווין אנונימי ב 10/08/2004 - 01:56
שחר,

לדעתי העניה ההרצאה היתה טובה מאד, והשיגה את מטרתה. זה שכתבת את הקוד תוך כדי תנועה רק הוסיף עניין ומיקוד, בדיוק כמו שהתכוונת.
כמו שגדי אמר - Top That!

דורון

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי(ניקוד: 1)
ע"י herouth ב 10/08/2004 - 12:14
(מידע על משתמש | שלח הודעה) http://herouth.port5.com/
קודם כל, אני מתנצלת אם הבכתי אותך במהלך ההרצאה.

לעניין: בתור מתכנתת web ותיקה. אני שמעתי משהו על Cross Site Scripting. על SQL Injection אני כבר יודעת ומטפלת בכך בקפדנות (אני מקווה). לגבי Cross Site Scripting, רציתי לדעת מה זה, אם זה באמת ישים בחיים האמיתיים, ואיך מטפלים בזה - כמו כל בעיה שקשורה באבטחת מידע, לא רק בתחום ה-web.

כך שאותי די פיספסת. קיבלתי מושג די היולי על Cross Site Scripting, כיוון שבניגוד ל-SQL Injection, לא הדגמת סקריפט קטלני, אלא רק סיפרת תיאורטית על שימושים בשבילו, שלא לגמרי היה ברור לי איך מבצעים אותם. יכול להיות שאם דף הלוגין - שכל מתכנת היה מסכים אתך שזה בערך מה שהוא עושה - היה כתוב מראש, היה לך יותר זמן להראות לנו סקריפטים מפחידים.

אני הייתי שמחה אם בהרצאה היית מגדיר כבר בהתחלה את המושגים שאתה עומד להדגים. כך הייתי יכולה יותר להתמקד על החלקים החשובים בהדגמה, ופחות על "האם סקריפט הלוגין הזה הוא באמת כמו שצריך?", כיוון שלא ידעתי מה המטרה שלך. אם היית אומר מלכתחילה "Cross Site Scripting זה ג'אווה סקריפט שהמשתמש מכניס לשדה קלט שאינו מיועד לכך, במטרה שטקסט הקלט יוצג ובעקבות כך הג'אווה סקריפט יופעל", היה הרבה יותר פשוט להבין לאן אתה חותר בהדגמה. ואז לא היה אכפת לי זה שאתה מראה איך בכלל משתמש יכול לשלוט בפלט, גם אם אני כבר יודעת איך.

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי(ניקוד: 1)
ע"י JonSnow ב 10/08/2004 - 20:19
(מידע על משתמש | שלח הודעה)
הבעיה המרכזית בהרצאה היתה שלא הגדרנו אותה נכון כ"הרצאת בסיס", ולכן.. הטעות אמנם בידינו אבל ההערות שלך, רלוונטיות ככל שיהיו לנושא ולאפשרויות והסכנות הטמונות בו.. אינן רלוונטי כלל להרצאה זו.

ההרצאה אמורה היתה להיות הרצאת בסיס, ואלה שנשארו לאורך כולה (רוב האולם), נהנו ממנה בלי כל קשר.

בעתיד נדאג להעלות את המצגות לפני כל הרצאה ולהצהיר על רמתה מראש.

אין כל פסול בללמוד מטעויות ועוד יותר אין כל רע בהרצאות המשך.

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי(ניקוד: 1)
ע"י Daedalus ב 09/08/2004 - 16:18
(מידע על משתמש | שלח הודעה) http://http://
מה תיהיה רמת ההרצאה הבאה ?

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי (ניקוד: 1)
ע"י redbaron ב 09/08/2004 - 16:47

(מידע על משתמש | שלח הודעה)

החלק הראשון היה החלק שאליו רציתי להגיע בכדי לשמוע מה יש לעולם הקוד הפתוח להציע במילחמה נגד ספאם. התאכזבתי טיפה. הדיון הפך לדיון תאורטי בנושאים חוקיים וכו'.
לעומת זאת החלק השני היה מרתק והועבר בצורה זורמת ומשעשעת (בניגוד למה שחלק מהאנשים טענו) ומיקצועית (טוב, נו, זה שחר).

היה ממש כיף, ועשינו כיף חיים ;-)
להתראות בפגישה הבאה!
גילי


[ השב לזאת ]

לא מצליח להרשם לרשימת התפוצה (ניקוד: 0)
ע"י פינגווין אנונימי ב 09/08/2004 - 17:06
לא מצליח להרשם לרשימת התפוצה :(
Final-Recipient: rfc822; tau-cs-security-subscribe@listserv.tau.ac.il
Action: failed
Status: 5.1.1
Remote-MTA: DNS; listserv.tau.ac.il
Diagnostic-Code: SMTP; 550 5.1.1 <tau-cs-security-subscribe@listserv.tau.ac.il>... User unknown
Last-Attempt-Date: Mon, 9 Aug 2004 17:07:45 +0300 (IDT

[ השב לזאת ]

Re: לא מצליח להרשם לרשימת התפוצה(ניקוד: 1)
ע"י JonSnow ב 09/08/2004 - 18:21
(מידע על משתמש | שלח הודעה)
ההרשמה תוקנה, תנסה עכשיו.

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי (ניקוד: 1)
ע"י rootux ב 09/08/2004 - 17:14

(מידע על משתמש | שלח הודעה) http://
כל-כך רציתי להיות שם... :(
האם יש דרך כלשהי לקבל את שקופית ההרצאה??
אומנם זה לא אדון שחר, אבל זה גם משהו לא? :)

[ השב לזאת ]

Re: פורום אבטחת המידע - היום שאחרי(ניקוד: 0)
ע"י פינגווין אנונימי ב 10/08/2004 - 07:19
ההרצאות היו אינטראקטיביות והועברו באמצעות הדגמות, ולכן לא יהיו מצגות הפעם.

אם זאת, אפשר למצוא מצגות על הרצאות אחרות (מעכשיו - גם לפני ההרצאות) באתר שלנו.

[ השב לזאת ]

מה שדורון ראה (ניקוד: 1)
ע"י JonSnow ב 09/08/2004 - 18:33

(מידע על משתמש | שלח הודעה)
זה RH 7.3 במאתיים דולר, עמכם הסליחה.

[ השב לזאת ]