Digital Whisper - גליונות מלאים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Digital Whisper - הגיליון השלושים וארבעה
מגזין גיליון מס' 34 של המגזין Digital Whisper. המאמרים בגיליון: Operation Ghost Click, פריצה לשרתי Poison Ivy, Incapsula - אבטחת אתרים להמונים, Ewil Twin Attacks, פיתוח מערכות הפעלה חלק ג'. |
Digital Whisper | מסמך מודפס 7180 הורדות 76 עמודים |
Digital Whisper - הגליון הראשון
מגזין הגליון הראשון של Digital Whisper שיצא באוקטובר 2009. בגליון המאמרים הבאים: Privilege Excalation, Manual Packing, בינה מלאכותית - מבוא והצגת בעיות כגרפים , פריצת מנעולים, מנגנון הצפנה WEP, מבוא לרקורסיה בשפת C ולסיום HTTP ATTACKS - RESPONSE SPLITTING |
Digital Whisper | מסמך מודפס 2951 הורדות 72 עמודים |
Digital Whisper - הגליון השני
מגזין הגליון השני של Digital Whisper שיצא בנובמבר 2009. בגליון המאמרים הבאים: SSL & Trasport Layer Security Protocol, Manual Unpacking, וירוסים- שיטות טעינה, RFID Hacking, , Port Knocking, הפרוטוקול Kerberos V5 ו-DNS Cache Poisoning |
Digital Whisper | מסמך מודפס 2173 הורדות 77 עמודים |
Digital Whisper - הגליון השלישי
מגזין הגליון השלישי של Digital Whisper שיצא בדצמבר 2009. בגליון המאמרים הבאים: PKI, שיפור Image Stagenography, IPSEC Protocols, IPTables, תבניות בשפת C# ומדריך להתקנת BackTrack כ-LiveUSB |
Digital Whisper | מסמך מודפס 1702 הורדות 68 עמודים |
Digital Whisper - הגליון הרביעי
מגזין הגליון הרביעי של מגזין אבטחת המידע Digital Whisper. מאמרים בגליון: HTTP Fingerprints, למה RSA טרם נפרץ? Anti-Anti Debugging, SQL Injection / CLR Integration, אלגוריתמים רקורסיביים, פרצות אבטחה נפוצות במערכות WEB להעלאת קבצים, שימוש נכון ב-HTAccess |
Digital Whisper | מסמך מודפס 2114 הורדות 82 עמודים |
Digital Whisper - הגליון החמישי
מגזין הגליון החמישי של מגזין אבטחת המידע Digital Whisper. מאמרים בגליון: אבטחת SIP עם Asterisk, פריצת Kindle DRM, פירורי מידע לאויב שלך - Meta Data, הפסקת קפה, בניית אתרים וסמנטיקה (Semantic HTML), המאגר הביומטרי, Zip Bombs |
Digital Whisper | מסמך מודפס 3020 הורדות 76 עמודים |
Digital Whisper - הגליון השישי
מגזין הגליון השישי של מגזין אבטחת המידע Digital Whisper. מאמרים בגליון: Botnet - מה זאת החיה הזאת, XSHM - Cross Site History Manipulation, ניתוח ה-Conficker, Rootkits - דרכי פעולה וטכניקות בשימוש (חלק א'), פירוט טכנולוגיות ה-Firewalling השונות, סקירת טכנולויות ההצפנה EFS ו-BitLocker |
Digital Whisper | מסמך מודפס 5447 הורדות 56 עמודים |
Digital Whisper - הגליון השביעי
מגזין הגליון השביעי של מגזין אבטחת המידע Digital Whisper. מאמרים בגליון: ניתוח קוד Web זדוני, Rootkits - דרכי פעולה וטכניקות בשימוש (חלק ב'), סריקת טכנולוגיות NAC ואופן מימושן, להבין את התכלס מאחורי האנונימיות המורכבת - TOR, אנונימיות בעידן הדיגיטלי ועקרונות בפיתוח מאובטח (חלק א') |
Digital Whisper | מסמך מודפס 1810 הורדות 67 עמודים |
Digital Whisper - הגליון השמיני
מגזין במגזין השמיני מאמר תיאורטי על עולם הסלולארים המתפתח, מאמר מצוין המציג את התפתחותם של הקבצים הבינארים, מאמר נפלא המנסה לברר את שאלת מליון הדולר של הקוד הפתוח, מאמר משובח המציג לנו את עמדת חוקתה של מדינת ישראל בנושא האנונימיות באינטרנט, מאמר נרחב מאוד על המתקפות השונות על פרוטוקול ה-HTTP. תודה רבה ל-Ratinho על שעזר בעריכת הגליון. |
Digital Whisper | מסמך מודפס 1433 הורדות 67 עמודים |
Digital Whisper - הגליון התשיעי
מגזין המגזין התשיעי של DigitalWhisper. מאמרים בגיליון: IDS - Intrusion Detection System, הוכחות באפס ידע, DNS Rebinding, חולשות בפרוטוקול UPnP, אבטחת מידע בוירטואליזציה, האם אנדרואידים חולמים על תולעים אלקטרוניות? ופיתוח מאובטח - חלק ב'. תודה רבה ל-Ratinho על שעזר בעריכת הגליון. |
Digital Whisper | מסמך מודפס 1371 הורדות 68 עמודים |
Digital Whisper - הגליון העשירי
מגזין המגזין העשירי של DigitalWhisper. מאמרים בגיליון: מתקפות ClickJacking, מתקפות צד לקוח, "מקור, עותק והעתק",User-Land Hooking, ו-Web Application Firewalls. |
Digital Whisper | מסמך מודפס 1779 הורדות 48 עמודים |
Digital Whisper - הגיליון האחד עשר
מגזין הגיליון האחד עשר של Digital Whisper שיצא באוגוסט 2010. בגיליון המאמרים הבאים: סטגנוגרפיה בשני שקל, לוחמה אוירית בשטח בנוי, אמינותן של ראיות דיגיטליות, JAVA JAVA, PROXY PROXY, HoneyPots, Buffer Overflow 101 |
Digital Whisper | מסמך מודפס 3558 הורדות 120 עמודים |
Digital Whisper - הגיליון השנים עשר
מגזין הגיליון השנים עשר של Digital Whisper. המאמרים בגיליון: Hash Collisions, האם ניתן להכריח אדם למסור מפתחות הצפנה?, מבוכים וסריאלים, אני יודע איפה גלשת בקיץ האחרון, ARM Exploitation, AI Part 2, Biting the hand with DLL load hijacking and binary planting |
Digital Whisper | מסמך מודפס 1502 הורדות 94 עמודים |
Digital Whisper - הגיליון השלושה עשר
מגזין הגיליון השלושה עשר של Digital Whisper. המאמרים בגיליון: Code Injection, על הצפנה בדין הישראלי: בין רצוי מצוי ונשכח, The Dark Side of XML, AI Part 3 |
Digital Whisper | מסמך מודפס 1323 הורדות 61 עמודים |
Digital Whisper - הגיליון הארבעה עשר
מגזין הגיליון הארבעה עשר של Digital Whisper. המאמרים בגיליון: Chasing worms - Koobface Pwning, אין סודות בחברה, מתי אפשר לתפוס שרתים מחשבים ודיסקים, אבטחת חבילות תוכנה |
Digital Whisper | מסמך מודפס 1273 הורדות 44 עמודים |
Digital Whisper - הגיליון החמישה עשר
מגזין הגיליון החמישה עשר של Digital Whisper. המאמרים בגיליון: Web Application Firewall Bypassing, כבשת הרשע, The Art of Exploitation: Windows 7 DEP&ASLR Bypass, Exploiting Firefox Extensions |
Digital Whisper | מסמך מודפס 1634 הורדות 113 עמודים |
Digital Whisper - הגיליון השישה עשר
מגזין הגיליון השישה עשר של Digital Whisper. המאמרים בגיליון: Managed Code Rootkits, Bypass Signature based detection, Client Side Web Attacks and Identity Theft, מבוא למתקפת padding oracle, מתקפות על כלים לעיבוד ולניתוח XML. |
Digital Whisper | מסמך מודפס 1519 הורדות 75 עמודים |
Digital Whisper - הגיליון השבעה עשר
מגזין הגיליון השבעה עשר של Digital Whisper. המאמרים בגיליון: NTFS ADS Magic Tricks, Show Me The Money, זיהוי באינטרנט: כיצד לחשוף משתמשים מבלי לעבור על החוק, Firefox Based Interactive Kiosk Overtaking. |
Digital Whisper | מסמך מודפס 1393 הורדות 65 עמודים |
Digital Whisper - הגיליון השמונה עשר
מגזין הגיליון השמונה עשר של המגין Digital Whisper. המאמרים בגיליון: שולים מוקשים - על שליטה בזמן ריצה, BHO - Alive N Kickin', IAT Hooking, DOMAIN NAME SYSTEM - אנומליות, איתור ומניעה. |
Digital Whisper | מסמך מודפס 1330 הורדות 1 עמודים |
Digital Whisper - הגיליון התשעה-עשר
מגזין הגיליון התשעה-עשר של המגזין Digital Whisper. המאמרים בגיליון: Chasing Worms II - NzmBot; הדבקה בינארית; הענן והמידע שלך; שיווק רשתי, פירמידות, מידע ברשת האינטרנט ומה שביניהם. |
Digital Whisper | מסמך מודפס 1361 הורדות 56 עמודים |
Digital Whisper - הגיליון העשרים
מגזין הגיליון ה-20 של המגזין Digital Whisper. המאמרים בגיליון: Userland Rootkits, PenTesting VoIP, Protocol Tunneling. |
Digital Whisper | מסמך מודפס 1419 הורדות 71 עמודים |
Digital Whisper - הגיליון העשרים ואחד
מגזין הגיליון ה-21 של המגזין Digital Whisper. המאמרים בגיליון: Kernel-Mode Rootkits, פונקציות תמצות קריפטוגרפיות ותחרות ה-SHA-3, דגשים לפיתוח מאובטח, Defeating AppArmor. |
Digital Whisper | מסמך מודפס 1250 הורדות 61 עמודים |
Digital Whisper - הגיליון העשרים ושניים
מגזין הגיליון ה-22 של המגזין Digital Whisper. המאמרים בגיליון: Zeus - The Take Over, Hooking The Page Fault Handler, אבטחת שרתי אינטרנט, Session Puzzles, Medical Hazardous Implants. |
Digital Whisper | מסמך מודפס 1439 הורדות 63 עמודים |
Digital Whisper - הגיליון העשרים ושלושה
מגזין הגיליון ה-23 של המגזין Digital Whisper. המאמרים בגיליון: PHP Code Execution - חלק א', איך לא עושים פיילוט, Net Reverse Engineering., IP כביש 6, מימוש מנגנוני סנכרון ב-Windows ומעבר להם. |
Digital Whisper | מסמך מודפס 1200 הורדות 69 עמודים |
Digital Whisper - הגיליון העשרים וארבעה
מגזין הגיליון ה-24 של המגזין Digital Whisper. המאמרים בגיליון: למה מומלץ לבדוק לסוס את השיניים, BitCoin - כסף דיגיטלי ב-P2P, תזמון חוטים ב-Windows, איך לעקוב אחרי גולשים בעזרת עוגיות חסינות מחיקה, תשתית מפתחות ציבוריים, טכניקות התרבות בקרב תולעים חברותיות, HTML5 מנקודת מבט שונה. |
Digital Whisper | מסמך מודפס 2084 הורדות 91 עמודים |
Digital Whisper - הגיליון העשרים וחמישה
מגזין הגיליון ה-25 של Digital Whisper. המאמרים בגיליון: הצפנה מבוססת עקומים אליפטיים, זיהוי ומניעת חיבור שירותי פרוקסי אנונימיים, פישינג והתחזות לאחר: מתי מותר להחזיק זהות פיקטיבית, הרקע המתמטי של RSA, DNS Cache Snooping, Google Geolocation API. |
Digital Whisper | מסמך מודפס 883 הורדות 51 עמודים |
Digital Whisper - הגיליון העשרים ושישה
מגזין גיליון 26 של המגזין Digital Whisper. מאמרים בגיליון: Browser Exploits kit, מה חדש ב-Windows 8 ולמה זה מעניין אותי, שחזור מידע - טכנולוגיה כנגד כל הסיכויים, תהליכי הטמעה של מוצרים טכנולוגיים, ציטוט למקלדת ע"י חיישנים של טלפונים חכמים. |
Digital Whisper | מסמך מודפס 880 הורדות 48 עמודים |
Digital Whisper - הגיליון העשרים ושבעה
מגזין הגיליון ה-27 של Digital Whisper. המאמרים בגיליון: חלק ב' של PHP Code Execution, שירותי מיקום - הרוצח השקט, אינטגרציית Snort IDS ונתב סיסקו, הצפנה בתוכנה חופשית, אבטחת מידע בעולם העננים. |
Digital Whisper | מסמך מודפס 918 הורדות 83 עמודים |
Digital Whisper - הגיליון העשרים ושמונה
מגזין גיליון מס' 28 של Digital Whisper. המאמרים בגיליון: על פי פרסומים זרים, html 5 מנקודת מבט אחרת - חלק ב', הצפנת נתונים ב-MS-SQL, פענוח צפני XML-Enc במסמכי XML. |
Digital Whisper | מסמך מודפס 846 הורדות 55 עמודים |
Digital Whisper - הגיליון העשרים ותשעה
מגזין גיליון מס' 29 של המגזין Digital Whisper. המאמרים בגיליון: Wireless (un)Protected Setup, פרו-אקטיבי? האם ניתן לתקוף כדי להגן על מערכת, CSRFlashing, פרשיית Master Gate, שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים. |
Digital Whisper | מסמך מודפס 862 הורדות 57 עמודים |
Digital Whisper - הגיליון השלושים
מגזין גיליון מס' 30 של המגזין Digital Whisper. המאמרים בגיליון: SEH (Structured Exception Handler) Exploitation, פריצת מנעולי לשונית מבוססי צילינדר, על GSM , VoIP ומספרים חסויים, פיתוח מערכות הפעלה – חלק א', שובם של ה- Web Bugs, מערכות מידע ובקרה פנים-ארגונית, תקיפות מבוססות The Text Warzone - SMS. |
Digital Whisper | מסמך מודפס 1038 הורדות 84 עמודים |
Digital Whisper - הגיליון השלושים ואחד
מגזין גיליון מס' 31 של המגזין Digital Whisper. המאמרים בגיליון: מנגנוני אבטחה באנדרואיד, מידע דליף, עיצוב תעבורה, פיתוח מערכות הפעלה - חלק ב', DLP - Data leakage Prevention, פרטיות תעסוקתית. |
Digital Whisper | מסמך מודפס 966 הורדות 64 עמודים |
Digital Whisper - הגיליון השלושים ושניים
מגזין גיליון מס' 32 של המגזין Digital Whisper. המאמרים בגיליון: NetBios Name Service Spoofing, ecurity Tokens וכרטיסים חכמים, שימוש בעקרונות האי-וודאות למניעת מתקפות Man In The Middle. |
Digital Whisper | מסמך מודפס 1113 הורדות 62 עמודים |
Digital Whisper - הגיליון השלושים ושלושה
מגזין גיליון מס' 33 של המגזין Digital Whisper. המאמרים בגיליון: על המימוש הפנימי של אובייקטים וטיפוסים ב-NET., מבוא ל-Fuzzing, סקירה על דיני הגנת הפרטיות ויסודות בפרטיות, SecurityTokens - גניבת Session פעיל, תפיסות אבטחה במציאות משתנה. |
Digital Whisper | מסמך מודפס 1173 הורדות 58 עמודים |
Digital Whisper - הגליון הראשון | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Privilege Excalation
מאמר מאמר המסביר מהן מתקפות Privilege Excalation, בנוסף למספר דוגמאות הקיימות במערכת ההפעלה Windows. |
cp77fk4r | מסמך מודפס 2632 הורדות 10 עמודים |
Manual Packing
מאמר הצגת דרך מעניינת לביצוע Packing על קבצים בינארים וכך לשנות את חתימתם הדיגיטלית, כולל הדגמה שלב אחרי שלב על קובץ דוגמא. |
הלל חימוביץ' | מסמך מודפס 2556 הורדות 6 עמודים |
בינה מלאכותית - מבוא והצגת בעיות כגרפים
מאמר הצגה ראשונית של עולם הבינה המלאכותית, כמו שהוא בימים אלו. הצגת מונחי יסוד, סוכן אינטליגנטרי והצגת בעיות כגרפים. מאמר ראשון מתוך סדרת מאמרים. |
ניר אדר | מסמך מודפס 3292 הורדות 4 עמודים |
פריצת מנעולים
מאמר מנעולי צילינדרים - כיצד הם עובדים וכיצד ניתן לפרוץ מנעולים אלה. המידע ניתן ללימוד בלבד ואין להשתמש בו למטרות לא חוקיות! |
cp77fk4r | מסמך מודפס 3063 הורדות 11 עמודים |
מנגנון ההצפנה WEP
מאמר מאמר מקיף מאוד המסביר על פרוטוקול ה-WEP, על עקרונות האבטחה והליקויים בהם. |
הרצל לוי | מסמך מודפס 2535 הורדות 16 עמודים |
מבוא לרקורסיה בשפת C
מאמר מסמך ראשון מתוך סדרת מסמכים הבאה להציג לקורא מהי רקורסיה בשפת C, איך משתמשים בה ומה הבעיתיות שעלולה להתעורר משימוש ברקורסיה. |
ניר אדר | מסמך מודפס 5474 הורדות 11 עמודים |
HTTP Attacks - Response Splitting
מאמר התקפת Response Splitting היא התקפה התוקפת את פרוטוקול ה-HTTP. ההתקפה מאפשרת לתוקף לפרק את ה-Response הנשלח לקורבן למספר תגובות, ואף לשלוט על פעולת הלקוח על ידי ה-Header. המאמר מסביר על ההתקפה ומלווה במספר דוגמאות מוחשיות. |
cp77fk4r | מסמך מודפס 2436 הורדות 9 עמודים |
Digital Whisper - הגליון השני | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
SSL & Trasport Layer Security Protocol
מאמר משפחת הפרוטוקולים SSL&TLSP ודרכי התמודדותם עם המתקפות השונות עליהם. |
cp77fk4r | מסמך מודפס 2157 הורדות 12 עמודים |
Manual Unpacking
מאמר איך לגשת לקובץ שביצעו עליו Packing, ואיך לזהות ולעקוף מספר מנגנוני "Anti-Reversing" למיניהם. |
Zerith | מסמך מודפס 1932 הורדות 12 עמודים |
וירוסים - שיטות טעינה
מאמר דרכי הטעינה הפופולאריות שבהן משתמשים כותבי הוירוסים למערכות חלונאיות במהלך השנים. |
cp77fk4r | מסמך מודפס 2310 הורדות 14 עמודים |
RFID Hacking
מאמר מאמר המציג את החולשות הקיימות בטכנולוגיית ה- RFID, אופן ביצוע המתקפות עליהן ודרכי ההתמודדות איתן. |
cp77fk4r | מסמך מודפס 2130 הורדות 7 עמודים |
Port Knocking
מאמר מספר דרכים לשיפור אבטחת השרת שלכם ע"י שימוש בטכניקת ה-Knocking. |
cp77fk4r | מסמך מודפס 2176 הורדות 8 עמודים |
הפרוטוקול Kerberos V5
מאמר ניהול הרשאות ברשת האירגונית הממודרת, על תפקיד ה- Kerberos ועל מנגנון אימות הזהויות. |
cp77fk4r | מסמך מודפס 1827 הורדות 6 עמודים |
DNS Cache Poisoning
מאמר הרעיון הכללי העומד מאחורי מתקפות DNS Cache Poisoning, על החולשות בפרוטוקול ה-DNS ועל דרכי ההתמודדות איתן. |
cp77fk4r | מסמך מודפס 5251 הורדות 13 עמודים |
Digital Whisper - הגליון השלישי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
PKI, תעודות, כרטיסים חכמים ומה שבינהם
מאמר מאמר הסוקר את הדילמות של עולם ה-PKI והפתרונות הקיימים לכל דילמה ודילמה. |
הלל חימוביץ' | מסמך מודפס 2057 הורדות 14 עמודים |
Improving Images Steganography
מאמר כיצד ניתן לנצל עובדות על העין האנושית כדי לבנות אלגוריתמי סגנו חכמים. |
cp77fk4r | מסמך מודפס 1783 הורדות 8 עמודים |
IPSEC Protocols
מאמר מידע על הפרוטוקולים המרכיבים את ארכיטקטורת ה-IPSec ואת דרכם להגן מפני איומים שונים. |
סולמני יגאל | מסמך מודפס 1779 הורדות 8 עמודים |
IPTABLES
מאמר מאמר המסביר על העבודה מול IPTables בכדי להגביר את אבטחת הלינוקס שלכם. |
cp77fk4r | מסמך מודפס 1863 הורדות 11 עמודים |
C# Generics - תבניות בשפת C#
מאמר עקרונות התיכנות הגנרי בשפת התיכנות #C. |
ניר אדר | מסמך מודפס 5508 הורדות 12 עמודים |
Bootable BackTrack From USB - Persistent Changes
מאמר מדריך להתקנת הפצת BackTrack כ- LiveUSB במצב של Persistent Changes. |
cp77fk4r | מסמך מודפס 1710 הורדות 11 עמודים |
Digital Whisper - הגליון הרביעי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
HTTP Fingerprints
מאמר ישנן דרכים רבות לאסוף מידע על שרתי HTTP. אחת הדרכים המוכרות ביותר היא בעזרת איסוף ה-HTTP Fingerprints שלהם. Fingerprint הוא שם כולל לערך, תגובה או פעולה מסויימת הייחודית עבור שירות מסויים אשר בעזרתו נוכל לזהות את המוצר או את גירסתו. |
cp77fk4r | מסמך מודפס 2502 הורדות 13 עמודים |
למה RSA טרם נפרץ?
מאמר שיטת ההצפנה RSA היא אחת משיטות ההצפנה החשובות ביותר בעולם כיום. למרות מאמצים כבירים שנעשים בתחום, ולמרות כמה אלגוריתמים מתוחכמים שמפרקים לגורמים מספרים ענקיים יחסית מהר, הקרב עדיין אבוד - האלגוריתמים המהירים ביותר הם עדיין לא יעילים מספיק. מאמר זה מציג פתרון (שגוי), מסביר מדוע הוא שגוי ומעט על הקושי שבשבירת RSA |
גדי אלכסנדרוביץ' | מסמך מודפס 3006 הורדות 7 עמודים |
Anti Anti-Debugging
מאמר שיטות קלאסיות לביצוע Anti-Debugging. במהלך המאמר נציג שיטות אלה משני צדדים: בתור מתכנת - נבין איך מבצעים פעולות Anti-Debugging שונות ובתור Reverser- נראה כיצד ניתן לעקוף אותן |
Zerith | מסמך מודפס 1920 הורדות 13 עמודים |
SQL CLR Integration
מאמר חברת מיקרוסופט פיתחה מנגנון שימושי אשר מאפשר למתכנתים להרחיב את יכולות בסיס הנתונים שלהם מעבר לשפות השאילתות הרגילה (SQL) ומעבר לשפת הפרוצדורות (Stored Procedures), ע"י הכנסת השימוש בכתיבה של קוד .NET של ממש, אשר ירוץ ישירות על שרת ה-SQL. מייקרוסופט איפשרה למתכנתים חופש פעולה גדול יותר, אך היא גם פתחה בפני האקרים פתח להרצה של קוד על שרת ה-SQL שלה. |
מרון סלם (HMS) | מסמך מודפס 1724 הורדות 7 עמודים |
אלגוריתמים רקורסיביים
מאמר רקורסיה היא כלי שיאפשר לנו לפתור בעיות בקלות יחסית ובאופן קצר מאשר פיתרון איטרטיבי (פתרון ללא רקורסיה). לא כל בעיה מתאימה לרקורסיה, אך יש לא מעט בעיות שהפתרון הרקורסיבי שלהן יהיה שורות ספורות, לעומת פתרון איטרטיבי מסובך. מסמך זה מציג את נושא האלגוריתמים הרקורסיביים למתחילים. |
ניר אדר | מסמך מודפס 6413 הורדות 13 עמודים |
פרצות אבטחה נפוצות בהעלאת קבצים בעזרת PHP
מאמר מפתחי ה-PHP יצרו עבור בונה האתר מספר פונקציות כדוגמת הפונקציה move_uploaded_file, שמעלה קבצים לשרת. הפונקציה עושה את עבודתה בצורה יפה מאוד, אך משאירה את האחריות לבדוק את הקובץ בידי המתכנת עצמו. נתמקד במאמר זה בפרצות נפוצות ואפשריות שנוצרות בעת תיכנות מערכות העלאת קבצים |
Hyp3rInj3cT10n | מסמך מודפס 2898 הורדות 17 עמודים |
HTAccess
מאמר רכיב ה-HTAccess הוא אחד ממרכיבי הקונפיגורציה הבסיסית של שרתי ה-Apache. קובץ זה אחראי על הקונפיגורציה המקומית של התיקיה אליה אנחנו ניגשים: הוא קובע מי יוכל לגשת לאיזה תיקיה, איך היא תתנהג: איך היא תציג לנו את הקבצים, איזה קבצים יהיו נגישים ואילו ידרשו סיסמא לפני הכניסה אליהם, התייחסות שונה לפרמטרים ב- ,URLקביעת דפי שגיאה (404403 וכו') מוגדרים מראש, אילו מתודות יפעלו על תוכן התיקיה וכו'. במאמר זה נכיר את ה-HTAccess ואפשרויות שונות שבו |
cp77fk4r | מסמך מודפס 2193 הורדות 9 עמודים |
Digital Whisper - הגליון החמישי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
אבטחת SIP עם Asterisk
מאמר הטלפוניה Asterisk, מרכזיית תוכנה המשוחררת כקוד פתוח, המרכזייה עצמה שינתה את פני הטלפוניה בעולם בכלל ובישראל בפרט אך לדעתי נושא אבטחת המידע בתחום הטלפוניה אינו מקבל חשיפה ראויה. |
עידו קנר | מסמך מודפס 1621 הורדות 9 עמודים |
Hacking Kindle DRM
מאמר ניהול זכויות דיגיטלי - הוא פשוט למדי - החברה המשתמשת במושג בוחרת להגביל את המשתמשים באמצעות טכניקות שונות - טכניקות אלו יכולות להיות קשורות בתוכנה או בחומרה ומטרתן להבטיח כי הצרכן של אותו המוצר לא יוכל להעביר את תוכן המוצר לאדם אחר |
LaBBa | מסמך מודפס 1706 הורדות 8 עמודים |
Meta Data – פירורי מידע לאויב שלך
מאמר המונח Meta Data הוא אחד מהמונחים החשובים ביותר בעולם ניהול המידע. שימוש נכון ב-Meta Data יכול לשפר משמעותית את יכולת הנגישות למידע, ואת אפקטיביות השימוש באותו מידע. המשמעות המילולית של המונח היא "מידע על מידע", כלומר שדות מידע שמוסיפים (אוטומטית או ידנית) למידע. |
cp77fk4r | מסמך מודפס 2365 הורדות 13 עמודים |
הפסקת קפה
מאמר Cofee - או בשמו המלא Computer Online Forensic Evidence Extractor, הוא למעשה כלי למטרות Forensics או יותר נכון טרום Forensics למערכות מבוססות Windows שפותח ע"י מיקרוסופט ומופץ דרך NW3C. הכלי מיועד לסייע לאנשי רשויות החוק לבצע איסוף נתונים מהיר ONLINE בזירת הפשע. התהליך מתוכנן לרוץ על גבי מדיה נתיקה ובמינימום מעורבות של החוקר. |
צבי קופר | מסמך מודפס 1873 הורדות 15 עמודים |
בניית אתרים וסמנטיקה (Semantic HTML)
מאמר Semantic HTML פירושו להשתמש ב-HTML כדי להגדיר משמעות (סמנטיקה) לחלקים בטקסט שלנו, בניגוד להגדרה בה משתמשים מתכנתים רבים, המגדירה רק את עיצוב הטקסט שלנו |
ניר אדר | מסמך מודפס 3288 הורדות 10 עמודים |
המאגר הביומטרי
מאמר על פי החוק, ידרשו בקרוב כל אזרחי ישראל לתת למדינה לאחסן בצורה דיגיטלית עותק מצילום הפנים שלהם וסריקה של שתי אצבעותיהם המורות. מידע זה ישמר במאגר ביומטרי, אליו תהיה גישה למטרות שיפורטו ועל ידי אנשים שיפורטו. בעוד שלשיטתי המאגר עצמו מהווה פגיעה בפרטיות, הרי שגם אם המאגר לא מהווה פגיעה בפרטיות, האפשרויות לניצול לרעה ופגיעה באזרח הנובעות ממהלך זה הן מהותיות. |
עורך דין יהונתן קלינגר | מסמך מודפס 1668 הורדות 5 עמודים |
Zip Bombs
מאמר במאמר זה נסביר את מושג הנקרא "פצצות Zip" (או Zip of Death או Zip Bombs). כמו כן נסביר איך ליצור אותה ואילו שימושים מעניינים ניתן לעשות איתה. פצצות Zip אלו קבצי Zip אשר נוצרו בעבר על מנת לגרום לקריסת מערכת ההפעלה. כיום, מערכות ההפעלה יודעות להתמודד איתן ולכן הן פחות מסוכנות למערכת ההפעלה- אך לאפליקציות אנטי-וירוס אשר לא נכתבו כך שיכולו "לטפל בהן" – הן מסוכנות מאוד. |
Crossbow ו-cp77fk4r | מסמך מודפס 3162 הורדות 12 עמודים |
Digital Whisper - הגליון השישי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Botnet - מה זאת החיה הזאת?!
מאמר מה זה בכלל בוטנט, מעגל החיים של בוטנט, טכניקת השימוש בבוטנטים, וניתוח הנזקים הנגרמים מבוטנטים. |
cp77fk4r | מסמך מודפס 2228 הורדות 11 עמודים |
XSHM - Cross Site History Manipulation
מאמר האורך של מערך ההיסטוריה הוא גלוי וזמין לכל אפליקציה ועל ידי ניצול תכונה זו ניתן להפר את מנגנון ה-Same Origin Policy |
אלכס רויכמן | מסמך מודפס 1676 הורדות 5 עמודים |
ניתוח ה-Conficker
מאמר תולעת הקונפיקר התגלתה לראשונה הנובמבר 2008, רבים הכתירו אותה כתולעת המסוכנת ביותר עד היום, ההערכות הן שיותר מ-12 מליון מחשבים נדבקו בתולעת. |
הרצל לוי ו-cp77fk4r | מסמך מודפס 1745 הורדות 12 עמודים |
Rootkits - דרכי פעולה וטכניקות בשימוש (חלק א')
מאמר במהלך השנים נושא ה-Rootkits התפתח הן לצרכים יותר שליליים כגון Malwares והן ככלי לאכיפת מדיניות הגנות למשחקי רשת לדוגמא |
Zerith | מסמך מודפס 1844 הורדות 10 עמודים |
פירוט טכנולוגיות ה-Firewalling השונות
מאמר למרות שנושא הפיירוולים מוכר לא כולם מכירים את השיטות השונות לביצוע הפעולות הנדרשות מ-Firewall ובכך עוסק מאמר זה. |
יגאל סולימאני ו-cp77fk4r | מסמך מודפס 2250 הורדות 8 עמודים |
סקירת טכנולויות ההצפנה EFS ו-BitLocker
מאמר המאמר מתאר את צהליך ההתפנה, מנתח את שלבי ההצפנה השונים, מתאר פגיעות שונות במערכות הצפנה ומשווה בין שיטות ההצפנה BitLocker ו-EFS |
בנימין כהן | מסמך מודפס 2070 הורדות 7 עמודים |
Digital Whisper - הגליון השביעי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
עקרונות בפיתוח מאובטח (חלק א')
מאמר מאמר ראשון מתוך שניים, המציג טעויות נפוצות בקרב מפתחי אפליקציות, בחלק הראשון המאמר יציג ויסביר את הטעויות ולמה הן יכולות לגרום והחלק השני יסקור את הפתרונות השונים הניתנים למימוש בכדי לפתור בעיות אלו. |
עידו קנר | מסמך מודפס 8917 הורדות 8 עמודים |
ניתוח קוד Web זדוני
מאמר מאמר המציג ניתוח של קוד Web זדוני, במאמר מתוארות השיטות והיכולות שבהן משתמשים כותבי התולעים כיום. |
cp77fk4r | מסמך מודפס 2169 הורדות 14 עמודים |
Rootkits - דרכי פעולה וטכניקות בשימוש (חלק ב')
מאמר מאמר טכני על דרכי הפעולה השונות המנוצלות בידי כותבי ה-Rootkits, המאמר בא כהמשך למאמר שפורסם בגליון השישי |
Zerith | מסמך מודפס 3671 הורדות 13 עמודים |
סריקת טכנולוגיות NAC ואופן מימושן
מאמר מאמר המציג את טכנולוגיות ה-NAC השונות, מסביר על אופן מימושן, מסביר אילו בעיות הן פותרות לנו ואיך הן עושות את זה. |
רועי חורב | מסמך מודפס 1820 הורדות 9 עמודים |
להבין את התכלס מאחורי האנונימיות המורכבת - TOR
מאמר מאמר המציג סריקה טכנולוגית מלאה על טכנולוגיות TOR, מסביר כמה היא עוזרת לנו לשמור על האנונימיות שלנו ואיך היא מבצעת זאת. |
ליאור קפלן | מסמך מודפס 1998 הורדות 12 עמודים |
אנונימיות בעידן הדיגיטלי
מאמר מאמר המציג מספר בעיות הנושא האנונימיות בעידן שבו כל המידע נשמר באופן דיגיטלי, עד כמה הנתונים שלנו באמת חסויים והאם הדרכים בהן נוקטות הרשויות אכן מספיק חזקות בכדי למנוע מהמידע לדלוף. |
אריק פרידמן | מסמך מודפס 1745 הורדות 7 עמודים |
Digital Whisper - הגליון השמיני | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
3G Mobile Network Security
מאמר מאמר תאורתי המציג את הנקודות הנוגעות באבטחת המידע שבהן נאלצות חברות הסלולאר להתעסק בכל הנוגע למכשירי הטלפון החכמים. |
רועי חורב | מסמך מודפס 1549 הורדות 7 עמודים |
קבצי הרצה בתקופות השונות
מאמר המאמר מקנה לקורא הבנה מעמיקה על קובץ הרצה, קריאות לפונקציות, ספריות וקומיפלציה תוך כדי דגש על ההתפחות שלהם לאורך ההיסטוריה. כמו כן הוא מכיל מדריך להידור קוד-מקור באסמבלי. |
יוסף רייסין | מסמך מודפס 1528 הורדות 12 עמודים |
האם קוד פתוח פחות בטוח?
מאמר מאמר המנסה להשיב אש לכיוון אותם החבר'ה שעומדים מאחורי הדעה שהקוד הפתוח פחות בטוח. |
אורי עידן | מסמך מודפס 1474 הורדות 3 עמודים |
חוקת מדינת ישראל והאנונימיות ברשת האינטרנט
מאמר בסקירה קצרה של החלטות בית המשפט, מציג עו"ד יהונתן קלינגר את השאלות והמקרים שעשויים יותר מכל להגדיר כיצד תשמר האנונימיות במרחב הוירטואלי עד שהמחוקקים יחליטו אחרת. |
עורך דין יהונתן קלינגר | מסמך מודפס 1522 הורדות 4 עמודים |
משחקים ב-HTTP
מאמר Playing with HTTP - מאמר מקיף מאוד המציג מספר רב של מתקפות שונות אותם ניתן לבצע על מאפייניו של הפרוטוקול HTTP ובכך לעקוף את מנגנוני האבטחה אשר מסתמכים על מאפיינים אלו. |
Hyp3rInj3cT10n | מסמך מודפס 3530 הורדות 37 עמודים |
Digital Whisper - הגליון התשיעי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
IDS - Intrusion Detection System
מאמר מאמר מעניין מאוד המפרט על מערכות ה-IDS, מסביר מה תפקידן, אין הן עושות אותו ואיך להקים אחת כזאת באירגון. |
נתנאל שיין | מסמך מודפס 1562 הורדות 11 עמודים |
הוכחות באפס ידע
מאמר מאמר מצוין המסביר על נושא ההוכחה באפס ידע, במאמר אריק מציג את הנושא ומציג מקרים הדורשים הוכחות בסיגנון זה. |
אריק פרידמן | מסמך מודפס 2273 הורדות 9 עמודים |
DNS Rebinding
מאמר מאמר נפלא של אביעד המסביר על אחת המתקפות האחרונות על פרוטוקול ה-DNS, מסביר ממה היא נגרמת, איך מבצעים אותה ואיך אפשר להתגונן מפניה. |
אביעד | מסמך מודפס 1961 הורדות 10 עמודים |
חולשות בפרוטוקול UPnP
מאמר מאמר המציג תוצאות מחקר שבוצע ע"י אביב המציג מספר חולשות בפרוטוקול ה-UPnP. המאמר מסביר איך חולשות אלו מאיימות על אבטחת האירגון. |
אביב ברזילי | מסמך מודפס 1425 הורדות 9 עמודים |
אבטחת מידע בוירטואליזציה
מאמר מאמר מקיף, המציג את עולם הוירטואליזציה, מפרט ומסביר על סוגי הטכנולוגיות השונות למימוש וירטואליזציה ופתרונות Terminal הקיימים כיום בשוק. |
ניר ולטמן | מסמך מודפס 1730 הורדות 8 עמודים |
האם אנדרואידים חולמים על תולעים אלקטרוניות?
מאמר מאמר מעניין במיוחד המציג מספר נקודות חשובות שיש להתייחס אליהן בעת פיתוח אפליקציות למערכת ההפעלה אנדרואיד, בנוסף מציג אייל את מודל האבטחה הממומש במערכת. |
אייל גל | מסמך מודפס 2037 הורדות 8 עמודים |
פיתוח מאובטח - חלק ב'
מאמר מאמר המשך למאמר שפורסם בגליון השביעי, המאמר מציג את הדרכים הנכונות לפיתוח מאובטח והמנעות מהסעיפים אשר הוצגו במאמר הקודם. |
עידו קנר | מסמך מודפס 1749 הורדות 9 עמודים |
Digital Whisper - הגליון העשירי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
User-Land Hooking
מאמר מאמר משובח המציג את התיאוריה מאחורי טכניקות ה-Hooking השונות, את ההבדלים בינהם, איך ניתן לבצען ומה ניתן להשיג בעזרתן. |
Zerith | מסמך מודפס 2081 הורדות 10 עמודים |
על מקור, עותק והעתק
מאמר מאמר מרתק של עו"ד קלינגר העוסק בסוגיה מהו מסמך מקורי ומהו העתק של מסמך כאשר אנו מדברים על מסמך אלקטרוני, ומציג הצצה למצב הנוכחי במדינת ישראל. |
עורך דין יהונתן קלינגר | מסמך מודפס 1376 הורדות 6 עמודים |
Client Side Attacks
מאמר מאמר המציג סקירה והצצה לעולם מתקפות ה-Drive By, מסביר עקרונות דרכי פעולה והשימושים בהן. |
cp77fk4r | מסמך מודפס 2422 הורדות 12 עמודים |
UI Redressing A.K.A. Clickjacking
מאמר מאמר מצוין המסביר מהן מתקפות ClickJacking, מציג את התפתחותן, דרכי התקפה והגנה. |
שלומי נרקולייב | מסמך מודפס 3022 הורדות 9 עמודים |
Web Application Firewalls
מאמר מאמר מעניין ביותר המציג את טכנולוגית ה-WAFs, הצורך והשימוש בהן, בנוסף כולל המאמר הסבר קצר על הקמת WAFs מבוסס קוד פתוח באופן עצמאי. |
נתנאל שיין | מסמך מודפס 1769 הורדות 8 עמודים |
Digital Whisper - הגיליון האחד עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
סטגנוגרפיה בשני שקל
מאמר מאמר המציג טכניקות שונות בנושא הסטגנוגרפיה החזותית-דיגיטלית, ומראה את היתרונות והחולשות שבכל אחת ואחת. |
cp77fk4r | מסמך מודפס 1317 הורדות 10 עמודים |
לוחמה אווירית בשטח בנוי
מאמר מאמר המציג מחקר בנושא ה-Fuzzing ומציאת חולשות תוך כדי הבאת דוגמה מדרייברים של כרטיסי רשת אלחוט |
אביב ברזילי | מסמך מודפס 1096 הורדות 14 עמודים |
אמינותן של ראיות דיגיטליות
מאמר מאמר המסביר על תהליך הבאת ראיות דיגיטליות בבתי משפט, כיצד נכון להגיש אותן ואיך אפשר לקבוע את אמינותן. |
עומר כהן | מסמך מודפס 1136 הורדות 7 עמודים |
JAVA JAVA, PROXY PROXY
מאמר מאמר המסביר מהו רכיב ה-Proxy, אילו סוגים קיימים, ואילו שימושים הם מספקים לארגונים השונים. |
רועי חורב | מסמך מודפס 1276 הורדות 7 עמודים |
Honey Pots - מלכודות דבש
מאמר מאמר בנושא מלכודות הדבש - HoneyPots, סוגיהן, תפקידיהן וכיצד הן עוזרות לנו להזהר מפני סכנות ותוקפים שונים. |
נתנאל שיין | מסמך מודפס 1165 הורדות 15 עמודים |
Buffer Overflows 101
מאמר מאמר מקיף בנושא Buffer Overflow: מציאת חולשות Buffer Overflow בשיטות White Box ו-Grey Box, ניצולן, כתיבת אקספלויט מתאים והטמעתו ב-Metasploit. |
שי רוד | מסמך מודפס 1324 הורדות 63 עמודים |
Digital Whisper - הגיליון השנים עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Hash Collisions
מאמר מאמר המסביר מה הופך אלגוריתם תמצות לאלגוריתם חזק, מה הן Hash Collisions, איך הן פוגעות באמינותו ובחוסנו של האלגוריתם וכיצד תוקף יכול לנצלן לטובתו. |
cp77fk4r ו-גדי אלכסנדרוביץ' | מסמך מודפס 1091 הורדות 8 עמודים |
מבוכים וסריאלים
מאמר מאמר המציג את תהליך פריצתו של Crack-me מיוחד במינו. במאמר אורי מציג את דרך חשיבתו מפתיחת הדיבאגר ועד פריצתו תוך כדי ניתוח ומעקפים יצירתיים ביותר. |
Zerith | מסמך מודפס 1236 הורדות 18 עמודים |
אני יודע איפה גלשת בקיץ האחרון
מאמר מאמר המציג את הדרכים בהן חברות/אתרים משתמשים בכדי לעקוב אחר הגולשים שלהם, האם באמת ניתן לגלוש בצורה אנונימית באינטרנט כיום, ועד כמה אנחנו מודעים לזה. |
אריק פרידמן | מסמך מודפס 1133 הורדות 13 עמודים |
האם ניתן להכריח אדם למסור מפתחות הצפנה
מאמר מאמר המציג את הדילמה האם ניתן לחייב אדם למסור את סיסמאת המחשב שלו או את הסיסמה שמצפינה כונן קשיח במסגרת חקירה פלילית או במסגרת הליך אזרחי. האם בחוקה של מדינתינו קיימת תשובה ברורה לנושא? |
עורך דין יהונתן קלינגר | מסמך מודפס 1081 הורדות 4 עמודים |
ARM Exploitation
מאמר תרגום של המאמר אשר הוצג כמצגת בכנס האקרים DEFCON האחרון (18) ע"י יצחק אברהם, המאמר מציג טכניקות לניצול של Stack-Based Overflows תחת מיקרו-מעבדי ARM. |
יצחק אברהם | מסמך מודפס 1098 הורדות 15 עמודים |
Biting the hand with DLL Load Hijacking and Binary
מאמר מאמר המסביר מה היא חולשת ה-DLL Search Order Hijacking, ממה היא נגרמת, איך ניתן לנצל אותה במקרים השונים, איך ניתן להתגונן מפניה ועוד. |
TheLeader | מסמך מודפס 1112 הורדות 22 עמודים |
בינה מלאכותית - חלק שני
מאמר אמר ההמשך למאמר בנושא בינה מלאכותית מהגליון הראשון של המגזין. המאמר מציג שני אלגוריתמים מתורת הגרפים - BFS ו-DFS, ומסביר איך הם משתלבים בעולם הבינה המלאכותית. |
ניר אדר | מסמך מודפס 1883 הורדות 9 עמודים |
Digital Whisper - הגיליון השלושה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Code Injection
מאמר מאמר מפורט המסביר ומציג מספר דרכים בהן ניתן להזריק קוד לתהליך רץ תחת מערכת ההפעלה Windows. |
אוראל ארד | מסמך מודפס 1120 הורדות 16 עמודים |
על ההצפנה בדין הישראלי: בין מצוי, רצוי ונשכח
מאמר מאמר המציג את נושא ההצפנה בדין הישראלי. יתכן שבשימוש ב-Firefox במדינת ישראל אנו עוברים על החוק? |
עורך דין יהונתן קלינגר | מסמך מודפס 1048 הורדות 5 עמודים |
The Dark Side of XML
מאמר מאמר המציג חולשות נפוצות באפליקציות Web Services מבוססות XML, איך ניתן לנצל חולשות אלו, ומה ניתן לעשות בכדי להתגונן בפניהן. |
cp77fk4r | מסמך מודפס 1096 הורדות 12 עמודים |
בינה מלאכותית - חלק שלישי
מאמר המאמר השלישי בסדרת המאמרים בנושא בינה מלאכותית ומערכות לומדות. במאמר זה נראה פתרון אפשרי לחידה אותה השאיר אורי במאמר מבוכים וסריאלים. |
ניר אדר | מסמך מודפס 1954 הורדות 25 עמודים |
Digital Whisper - הגיליון הארבעה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Chasing Worms (Koobface Pwning)
מאמר מאמר המציג ניתוח מקיף ומפורט של התולעת החברתית Koobface, הניתוח כולל הצגת הפעולות שמבצעת התולעת, דרכי פעולת ה-Payloads שהיא מורידה למחשב, דרכי הפצתה, איתור ה-DropZone המשמש אותה והשבתתו. |
cp77fk4r | מסמך מודפס 1041 הורדות 19 עמודים |
אין סודות בחברה
מאמר מאמר המסביר את החשיבות של להצמד לעקרון קירכהופס, על חוסר יעילותה של סודיות כאמצעי לאבטחת מידע או כהגנה על אלגוריתם קריפטוגרפי. |
אריק פרידמן | מסמך מודפס 1031 הורדות 7 עמודים |
מתי אפשר לתפוס שרתים, מחשבים ודיסקים
מאמר מאמר הסוקר את הדרכים בהן ניתן לבקש תפיסה של חומר מחשב, וכיצד מבוצעת התפיסה מבוצעת בפועל. בנוסף, המאמר מעלה מספר שאלות הנוגעות לשינויים שחלים כיום בעולם המחשוב והשפעתם על תהליך התפיסה בעתיד. |
עורך דין יהונתן קלינגר | מסמך מודפס 1154 הורדות 5 עמודים |
אבטחת חבילות תוכנה
מאמר אמר המתאר את התהליך המתרחש בהפצות הלינוקס הנוגע לנושאי אבטחה של חבילות תוכנה ואילו מנגנוני אבטחה נמצאים בשימוש בכדי למנוע מגורמים זדוניים לחבל בתהליך, בנוסף, המאמר מציג מחקר שנערך בארה"ב העוסק בפרצות אבטחה במאגרי הפצות הלינוקס ושיטת ניהול החבילות. |
ליאור קפלן | מסמך מודפס 1113 הורדות 9 עמודים |
Digital Whisper - הגיליון החמישה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Bypassing Web Application Firewalls
מאמר מאמר הסוקר מספר דרכים בהן תוקפים מבצעים שימוש בכדי לזהות ולעקוף רכיבי Web Application Firewall שונים, הבנה של דרכי החסימה ומה ניתן לעשות בכדי לחמוק מאותם מצבים. |
cp77fk4r | מסמך מודפס 1089 הורדות 13 עמודים |
כבשת הרשע: על בעיות האבטחה של רשתות אלחוטיות
מאמר מאמר הסוקר את בעיות הפרטיות כאשר מתחברים לרשתות אלחוטיות חופשיות שאינן מוצפנות, הן מבחינה משפטית והן מבחינה טכנולוגית. החומר במאמר הוצג לאחרונה בוועידה השנתית לאבטחת מידע ע"י כותבי המאמר. |
עורך דין יהונתן קלינגר ו-עומר כהן | מסמך מודפס 1107 הורדות 12 עמודים |
The Art Of Exploitation - Windows 7 DEP&ASLR Bypas
מאמר מאמר הסוקר את ההגנות DEP ו-ASLR אשר נהפכו לפופולריות מאוד במערכות הפעלה "החדשות", מסביר אודותיהן, ומציג מקרים ודרכים בהם ניתן לעקוף אותן בכדי להגיע למצב של הרצת קוד תוך כדי ניצול חולשות Overflow באפליקציות מוגנות. |
אביב ברזילי | מסמך מודפס 1141 הורדות 17 עמודים |
Exploiting Firefox Extensions - הגרסה הישראלית
מאמר מאמר המציג את ממצאי המחקר שביצע עמנואל בנושא אבטחת מידע במספר תוספות נפוצות לדפדפן Firefox, המאמר סוקר את טכנולוגיות התוספות, איך הן משתלבות בדפדפן עצמו, כיצד ניתן לאתר התקנה של תוספות אלו מרחוק וכיצד ניתן לנצל את החולשות בהן. |
עמנואל בורנשטיין | מסמך מודפס 1100 הורדות 66 עמודים |
Digital Whisper - הגיליון השישה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Managed Code Rootkits
מאמר מאמר זה מסכם את תוצאות המחקר אשר ביצע ארז בנושא Managed Code Rootkits (בעקבותיו אף נכתב ספר), כאשר מטרתו העיקרית במחקר הנה לחשוף את רמת החומרה של בעיה זו לצורך העלאת המודעות לנושא. |
ארז מטולה | מסמך מודפס 978 הורדות 24 עמודים |
Bypass Signature-Based Detection
מאמר במאמר זה, מציג הרצל דרך מעניינת לבצע עקיפה של מנגנונים לאיתור Malwares מבוססי חתימות קוד, כיצד ניתן לזהות היכן ממוקם הקוד החתום וכיצד ניתן לשנותו בכדי לעקוף את אותם מנגנונים. |
הרצל לוי | מסמך מודפס 1019 הורדות 10 עמודים |
מבוא למתקפות Padding Oracle
מאמר מתקפות ה-Padding Oracle נעשו לאחרונה מאוד פופולריות עקב מספר אירועים, במאמר זה מציג דנור את המתקפה, מסביר איך היא מתרחשת, למה, כיצד ניתן לבצעה ומה הן השפעותיה. |
מסמך מודפס 991 הורדות 14 עמודים | |
התקפות על כלים לעיבוד ולניתוח XML
מאמר במאמר זה, הפותח סדרת מאמרים חדשה, מציג שלמה את עולם נ?ת??ח?י ה-XML והרבדים הקיימים בו, במהלכו מציג שלמה את המתקפות אשר ניתן לבצע על אותן השכבות מימוש שמרכיבות את מנועי ניתוח ה-XML בשירותים השונים. |
מסמך מודפס 1023 הורדות 13 עמודים | |
Client Side Web Attacks And Identity Theft
מאמר במאמר זה, מציג שלומי סיכום קצר של עולם מתקפות ה-Web מזווית ה-Client Side, מה הן ההגנות הקיימות כיום למשתמש הפשוט והאם הן באמת עונות על הקריטריונים. בנוסף, מציג שלומי מערכת חדשה אשר תפקידה להגן מפני אותם מתקפות. |
שלומי נרקולייב | מסמך מודפס 996 הורדות 10 עמודים |
Digital Whisper - הגיליון השבעה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
NTFS ADS Magic Tricks
מאמר ADS הוא נושא מאוד מעניין ושנוי במחלוקת במערכת הקבצים NTFS. התמיכה ב-ADS מאפשר למשתמש לבצע מספר דברים מעניינים מאוד הקשורים לאבטחת מידע. מאמר זה סוקר מספר מאפיינים בנושא. |
cp77fk4r | מסמך מודפס 1042 הורדות 10 עמודים |
Show Me The Money
מאמר מתחילת שנות ה-2000 הצד המסחרי של האינטרנט תפס תאוצה, ואיתו התפתחה גם תעשיית הפשע המקוון. הפעילות ההאקרית עברה בהדרגה מ"כלכלת מוניטין" לכלכלה של מזומנים. כמה כסף אפשר להרוויח מפשע מקוון? במאמר זה, סוקר אריק את המניעים מאחורי התעשייה הזאת. |
אריק פרידמן | מסמך מודפס 1007 הורדות 8 עמודים |
כיצד לחשוף משתמשים מבלי לעבור על החוק
מאמר מאמר זה סוקר את השיטות לחשיפת גולשים ללא הפרת החוק וללא פגיעה בפרטיות, תוך כדי התייחסות לשיטות הקיימות לזיהוי שני סוגים שונים של גולשים: גולש המפעיל אתר אנונימי וגולש המייצר תוכן באתר זר. |
עורך דין יהונתן קלינגר | מסמך מודפס 1134 הורדות 9 עמודים |
Firefox Based Interactive Kiosk Overtaking
מאמר מאמר זה הינו מחקר שביצע עמנואל בנושא פריצת מערכות קיוסק אינטראקטיביות מבוססות Firefox, במאמר זה סוקר עמנואל וקטורי תקיפה מוכרים ומציג וקטורי תקיפה שפותחו במהלך המחקר. בנוסף מציג עמנואל מספר דרכים בהן ניתן להקשיח את אותן העמדות. |
עמנואל בורנשטיין | מסמך מודפס 1059 הורדות 34 עמודים |
Digital Whisper - הגיליון השמונה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
שולה מוקשים - על שליטה בזמן ריצה
מאמר במאמר זה אורי ידגים טכניקות מעניינות כיצד ניתן לשלוט על תהליך הרץ במערכת ההפעלה Windows, כיצד ניתן לערוך את את הזכרון שלו ובכך להשפיע על ריצתו. |
אורי להב | מסמך מודפס 1125 הורדות 10 עמודים |
DOMAIN NAME SYSTEM - אנומליות, איתור ומניעה
מאמר מאמר זה הינו תרגום של עבודה שהגיש קיריל לשציבר על עולם אבטחת ה-DNS. בנוסף לכך, מציג קיריל אלגוריתם שפותח במסגרת עבודה זו: אלגוריתם בשם Delay Fast Packets שנועד לאתר ולמנוע מתקפות שונות על שרת ה-DNS. |
קיריל לשצ'יבר | מסמך מודפס 1007 הורדות 32 עמודים |
IAT Hooking
מאמר IAT Hooking - היא אחת משיטות ה-Hooking הנפוצות ביותר ב-Userland, במסגרת מאמר זה, אוריאל מציג בצורה פרקטית כיצד לבצע אותה בכדי לשלוט על זרימתו של תהליך הרץ במערכת ההפעלה ובכך לגרום לו לבצע דברים שלא היה אמור לבצע תחת ריצה טבעית. |
אוריאל מלין | מסמך מודפס 1134 הורדות 11 עמודים |
BHO - Livin & kickin
מאמר במאמר זה הרצל מסקר כיצד ניתן לבצע מניפולציות על הדפדפן Internet Explorer על ידי טכנולוגיית ה-Browser Helper Object, במהלך המאמר הרצל מציג מספר מתקפות שניתן לבצע ובכך לגרום לדפדפן לשלוח לתוקף מידע, לנתב את הגולש לאתרים שונים ואיך לנהל שאר אירועים שונים. |
הרצל לוי | מסמך מודפס 1035 הורדות 7 עמודים |
Digital Whisper - הגיליון התשעה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
הדבקה בינארית
מאמר במאמר זה אורי מסביר כיצד ניתן לכתוב מנוע גנרי להדבקת קבצים בינארים, כגון מנועים אשר תולעים משתמשות בהם בכדי להזריק קוד בינארי לתוך קבצי הרצה (PE) על מנת לגרום להרצתן / הרצת פקודות זדווניות בעת הרצת אותו הקובץ מבלי לפגוע בריצתו התקינה. |
אורי להב | מסמך מודפס 1025 הורדות 9 עמודים |
Chasing Worms II - NzmBot
מאמר במאמר זה, מאמר שני בסידרה, אפיק מציג חקירה "פסיבית" (יחסית) על אירוע התקפת בוטי Enzyme. מתוך המאמר ניתן להבין כיצד לזהות מקרים כאלה, וכיצד ניתן לחקור אותם בכדי ליזום תקיפה על אותה הרשת. |
cp77fk4r | מסמך מודפס 976 הורדות 14 עמודים |
הענן והמידע שלך
מאמר מאמר זה הינו הרחבה של הרצאה שהעביר עו"ד יהונתן קלינגר במסגרת CloudCon 2011. מאמר זה נוגע בהיבט המשפטי של הפרטיות וההגנה על מידע כאשר הוא מאוחסן בשירות הענן, האם קיים כיום פתרון מושלם שיוכל לאפשר נגישות מספקת, אך גם הגנה ופרטיות בו זמנית? |
עורך דין יהונתן קלינגר | מסמך מודפס 937 הורדות 6 עמודים |
שיווק רשתי, פירמידות, מידע ברשת ומה שביניהם
מאמר במאמר זה נציג לכם מספר דרכים להשתמש ברשת האינטרנט כדי לאתר מידע, כשלצורך הדוגמה ניקח את חברת נו סקין ונראה מה נוכל להגיד עליה. |
ניר אדר | מסמך מודפס 1103 הורדות 22 עמודים |
Digital Whisper - הגיליון העשרים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Userland Rootkits
מאמר במאמר זה מסביר אורי על Userland Rootkits. אורי לוקח את הנושא צעד אחד קדימה ומציג את הנושא באופן מעשי, על ידי הסבר תיאורי ופרקטי- כיצד ניתן לכתוב Userland Rootkit שמבצע מניפולציות על התוכניות Explorer.exe ו-Cmd.exe ובכך לגרום להם להסתירו מהמשתמש. |
אורי להב | מסמך מודפס 1070 הורדות 8 עמודים |
Protocol Tunneling
מאמר מאמר מקיף ביותר על עולם ה-Procotol Tunneling, כלי שבתחילה בוצע בו השימוש למטרות אבטחת מידע ולאט לאט נעשה בו השימוש למטרות שונות, כגון עקיפת מנגנוני Routing שונים ברשת, מנגנוני סינון תקשורת ועוד. במאמר מציג יהודה את הרעיון הבסיסי, העקרונות העומדים מאחוריו, בנוסף הוא נותן מספר דוגמאות פרקטיות ומסביר כיצד ניתן לממשם. |
יהודה גרסטל | מסמך מודפס 1047 הורדות 20 עמודים |
PenTesting VoIP
מאמר במאמר זה, מציג שי, כלים ודרכים רבות לבצע בדיקות חוסן על מערכות טלפוניית VoIP, במאמר מציג שי את הפרוטוקול SIP, מציג כיצד עובדות מערכות אלו, את החולשות הקיימות בהן, כיצד ניתן לאתר אותן, באילו כלים ניתן להשתמש, ועוד הרבה. אחת הסיבות העיקריות לכתיבת מאמר זה היא העובדה שמערכות טלפוניה מבוססות IP נעשות פופולאריות וארגונים רבים מסתמכים על כך שהחברות שמספקות ומתקינות מערכות אלו מבצעות את עבודתן כראוי ומבלי לקחת בחשבון את ההשלכות והסיכונים בהיבטים של אבטחת המידע. |
שי רוד | מסמך מודפס 1652 הורדות 39 עמודים |
Digital Whisper - הגיליון העשרים ואחד | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Kernel-Mod Rootkit
מאמר במאמר זה אורי יציג מימוש של טכניקה להסתרת קבצים ותהליכים ספציפיים על-ידי Rootkit שרץ ב-Ring0. הטכניקות הוצגו בעבר במאמר של אורי (Zerith) ובמאמר זה אורי (vbCrLf) מימש אותם ומביא לנו מאמר פרקטי ומעולה. |
אורי להב | מסמך מודפס 965 הורדות 14 עמודים |
פונקציות תמצות קריפטוגרפיות ותחרות ה-SHA3
מאמר במאמר זה, נותן לנו ד"ר אור דונקלמן הצצה לעולם פונקציות התמצות הקריפטוגרפיות ומסביר למה הן נועדו. במהלך המאמר מסביר אור על הבעיה העיקרית העומדת בפני מי שבא להגדיר פונקציה כזו ועל התהליך בו חברי קהילת הקריפטוגרפים בעולם מנסים ליצור את הפונקציה הטובה ביותר. |
אור דונקלמן | מסמך מודפס 1092 הורדות 6 עמודים |
דגשים לפיתוח מאובטח
מאמר פיתוח מאובטח שונה לחלוטין מפיתוח שאינו מאובטח. קטע קוד יכול לבצע את הפעולה שאותה הוא התבקש לבצע באופן מעולה. אבל אם לא מתחשבים באבטחת מידע כאשר כותבים את הקוד- אותו הקוד עלול לבצע עוד מספר רב של פעולות שאותן לא כדאי שהוא יבצע. במאמר זה מציג לנו אדיר מספר נקודות שחשוב לשים לב אליהן כאשר כותבים קוד. |
אדיר אברהם | מסמך מודפס 1010 הורדות 7 עמודים |
Defeating AppArmor
מאמר AppArmor הינה מערכת MAC למערכות לינוקס, תפקידה של המערכת הוא להגביר את אבטחת ריצת התהליכים הרצים במערכת ההפעלה על-ידי ניהול הקצאת המשאבים אליהם ניגשים התהליכים בעת הריצה, במאמר זה מציג עמנואל את המערכת, איך היא בנוייה, מציג את מרכיביה וכן מציג מספר טכניקות בהן תוקף (הן מקומי והן מרוחק) עשוי להשתמש בכדי לעקוף אותה. מאמר זה הינו חלק ראשון מתוך שני חלקים הסובבים את הנושא. |
עמנואל בורנשטיין | מסמך מודפס 962 הורדות 28 עמודים |
Digital Whisper - הגיליון העשרים ושניים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Zeus - The Take Over
מאמר במאמר זה נותן לנו Ender הצצה לעולם ה-"Malware Research" אשר בשנים האחרונות החל לצבור תאוצה רבה, ע"י סקירה של הסוס-הטרויאני "Zeus / ZBot". במאמר, Ender מציג כיצד מבצעים השתלטות מוחלטת על שרת ה-ZropZone של Zeus(גרסה 1x), תוך כדי ניצול חולשה במנגנון ההצפנת התקשורת של הבוט עם השרת. |
Ender | מסמך מודפס 9316 הורדות 18 עמודים |
Hooking The Page Fault Handler
מאמר במאמר זה אורי (Zerith) מציג לנו את הפתרון שלו לאתגר שפורסם על ידי Ratinh0. הסעיף המרכזי באתגר של Ratinh0 היה "למצוא את הפתרון המורכב והמסובך ביותר לאתגר". Zerith החליט לקחת את הסעיף הזה ברצינות, ואנחנו הרווחנו מאמר מעולה. |
Zerith | מסמך מודפס 1041 הורדות 10 עמודים |
הקשחת שרתי אינטרנט
מאמר כולנו משתמשים בשירותי אינטרנט באופן יום-יומי, חלקנו אף מנהלים שרת או מספר שרתים כאלה, אך השאלה היא האם אנו עושים זאת באופן מאובטח ומוקשח? במאמר זה מציג לנו אדיר מספר עקרונות (ודרכים לממש אותם) חשובים בכדי להפוך את רמת האבטחה של השרת. |
אדיר אברהם | מסמך מודפס 1049 הורדות 10 עמודים |
Session Puzzles - וקטורים עקיפים לתקיפת מערכות
מאמר מאמר זה הוא תרגום לעברית של המאמר המעולה שפורסם על ידי שי חן. במאמר מציג שי סוג חדש של וקטור לתקיפת מערכות אינטרנט אפליקטיביות שעד לאחרונה נחשב כלא אפשרי. המונח Session Puzzle מתאר חשיפה אשר מאפשרת לפורצים לבצע שלל התקפות המבוססות על שינוים המבוצעים בזיכרון הזמני (או הקבוע) בצד השרת (Session) המשויך למשתמש ספציפי. |
cp77fk4r | מסמך מודפס 971 הורדות 16 עמודים |
Medical Hazardous Implants
מאמר במאמר הבא מנסה עידו נאור לתת הצצה לעתיד הלא-כל-כך-רחוק של העולם הרפואי בנוגע לאבטחת המידע. עולם הרפואה מתקדם במהירות לעבר השימוש בטכנולוגיות חדישות וחדשניות בכדי לייעל את הטיפול בחולים, וכולנו יודעים שכאשר משתמשים בטכנולוגיות חדשות- יש מקום גם לפרצות אבטחה חדשות. אך הפעם, ניצול פרצות בטכנולוגיות כאלה לא יוביל לזליגת של הפרטים האישיים של המטופל או ריקון חשבון הבנק שלו, אלא יכול להוביל להרג. |
עידו נאור | מסמך מודפס 932 הורדות 5 עמודים |
Digital Whisper - הגיליון העשרים ושלושה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
PHP Code Execution
מאמר במאמר זה (ראשון מתוך צמד מאמרים) סוקר רועי טכניקות תקיפה שונות לניצול חולשות הקיימות במערכות WEB המאפשרות לתוקף להגיע למצב של הרצת קוד על שרת ה-HTTP, בנוסף, במהלך צמד המאמרים יציג רועי פונקציות PHP שונות אשר ניתן להשתמש בהן כתיבה של PHP Shells. |
Hyp3rInj3ct10n | מסמך מודפס 1032 הורדות 19 עמודים |
איך לא עושים פיילוט
מאמר בקרוב מאוד יחל הפיילוט של המאגר הביומטרי פה בארץ, רבים סבורים כי מדובר בבדיחה, עו"ד יהונתן קלינגר ינסה להציג במאמר זה את הסיבות לכך ולמה לדעתו לא רק מדובר בבדיחה, אלא בבדיחה לא ממש מוצלחת. |
עורך דין יהונתן קלינגר | מסמך מודפס 935 הורדות 5 עמודים |
Net Reverse Engineering.
מאמר במאמר הבא, מציג בר טכניקות שונות לביצוע Reverse Engineering לקבצי Net., בנוסף, מציג בר את הטכניקות הנפוצות כיום להגנה על תוכנות מסוג זה בעזרת כלי Code-Obfuscation שונים על מנת להקשות כמה שיותר על ה-Reverser. מאמר זה הוא חלק ראשון מצמד מאמרים. |
בר | מסמך מודפס 956 הורדות 19 עמודים |
IP כביש 6
מאמר IPv6 לאט לאט נכנס לתודעה הציבורית (ולתמיכה במערכות השונות), הרעיון הוא שבעתיד הקרוב הפרוטוקול יחליף לחלוטין את פרוטוקול ה-IP הנוכחי (IPv4). כחלק מהארכיטקטורה שלו, אמור הפרוטוקול להיות פשוט יותר ומאובטח יותר. האם כך הדבר גם במציאות? זה לא נראה ככה, ונראה שהפרוטוקול יאלץ להשתנות בהרבה מקומות בכדי שהוא יוכל לתת את מה שהוא נדרש לספק. |
רועי חורב | מסמך מודפס 959 הורדות 8 עמודים |
מימוש מנגנוני סנכרון ב-Windows ומעבר להם
מאמר במאמר זה סוקר סשה גולדשטיין את המימוש של מנגנוני הסנכרון ב-Windows המוחצנים ל-User Mode, את חלק ממנגנוני הסנכרון הנמצאים בשימוש של ה-Kernel, את הרעיונות הבסיסיים של "סנכרון ללא סנכרון", ובדרך נתבונן בקצרה באבחון של בעיות נפוצות הקשורות בסנכרון במערכות Windows. |
סשה גולדשטיין | מסמך מודפס 989 הורדות 14 עמודים |
Digital Whisper - הגיליון העשרים וארבעה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
למה מומלץ לבדוק לסוס את השיניים
מאמר במאמר זה אפיק מציג אירוע שהתרחש במהלך החודש ובו בוצע ניסיון לפגוע במשתמשים באתר TryThis0ne.com ובא להמחיש לקורא למה לא מומלץ להשתמש בכלים השונים מבלי לדעת איך הם עובדים, וכי העבודה שבשימוש באופן כזה לא רק לא מקדמת אף אחד אלא יכולה להיות מסוכנת למשתמש ולפגוע בו. |
cp77fk4r | מסמך מודפס 1016 הורדות 12 עמודים |
BitCoin - כסף דיגיטלי ב-P2P
מאמר במאמר הבא, סוקר ד"ר אריק פרידמן את הרעיון עליו מבוססת תשתית ה-BitCoin, כיצד אופן המימוש שלה, המתבסס על עקרונות קריפטוגרפיים שונים מונע את האפשרות לביצוע הונאות שונות. |
אריק פרידמן | מסמך מודפס 1176 הורדות 13 עמודים |
תזמון חוטים ב-Windows
מאמר במאמר הבא, סשה מראה כיצד מערכת ההפעלה Windows מחליטה איזה חוט (Thread) יש להריץ, על איזה מעבד יש להריצו(במקרים ובהם יש מספר מעבדים), כיצד ניתן להשפיע על החלטות אלה, ואילו אופטימיזציות ושיקולים משפיעים על ההחלטות האלה כתוצאה משינויי החומרה של השנים האחרונות. |
סשה גולדשטיין | מסמך מודפס 1072 הורדות 12 עמודים |
איך לעקוב אחרי גולשים בעזרת עוגיות חסינות מחיקה
מאמר במאמר זה מציג שלמה את מקרה של חברת KissMetrics, חברה העוסקת במכירת מידע על הרגלי הגלישה של המשתמשים באינטרנט וגלישתם באתרים השונים. בכדי לעקוב אחר המשתמשים, החברה עשתה שימוש במספר טכניקות מעניינות. אחת מהן מוצגת במאמר זה. |
שלמה יונה | מסמך מודפס 1271 הורדות 6 עמודים |
תשתית מפתחות ציבוריים
מאמר במאמר זה מציג עמיחי את עולם המפחות הציבוריים, כיצד הוא עובד, מהם היתרונותיו וחולשותיו ובאילו דרכים ניתן לממשו כבסיס לתשתית של רשתות תקשורת. |
עמיחי פרץ | מסמך מודפס 1032 הורדות 6 עמודים |
טכניקות התרבות בקרב תולעים חברותיות
מאמר במאמר זה סוקר אפיק מקרים בהן תולעי אינטרנט בצעו שימושים שונים בהנדסה חברתית בכדי להתפשט ברחבי האינטרנט, מטכניקות ישנות ופשוטות כגון אלו שמומשו על-ידי התולעים "I Love You" או "Anna kournikova" ועד לטכניקות מורכבות כגון אלו המתבצעות על-ידי תולעים שמופצות בימים אלו. |
cp77fk4r | מסמך מודפס 1091 הורדות 13 עמודים |
HTML5 מנקודת מבט אחרת
מאמר במאמר זה, ראשון בסידרת מאמרים חדשה, מציגים לירן ואלעד מחקר שאותו ערכו בנושא חולשות אבטחה בתקן HTML5, במהלך המחקר מציגים אלעד ולירן את כיצד התגיות והתכונות שנוספו בתקן החדש ניתנות לניצול בכדי ליצור מתקפות חדשות ובכדי לשכלל ולשפר מתקפות ישנות. |
לירן בנודיס ו-אלעד גבאי | מסמך מודפס 1222 הורדות 25 עמודים |
Digital Whisper - הגיליון העשרים וחמישה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
הצפנה מבוססת עקומים אליפטיים
מאמר גדי נותן נותן טעימה מעולם העקומים האליפטיים, עולם אשר זכה לפרסום נרחב לאחר הוכחת המשפט האחרון של פרמה ב-1993, המאמר מציג גדי רובד נוסף בהם נעשה השימוש בעקומיים אליפטיים - עולם הקריפטוגרפיה. במסגרת המאמר גדי מסביר מהו עקום אליפטי, ומה זו הצפנה המבוססת על עקומים אלו. |
גדי אלכסנדרוביץ' | מסמך מודפס 932 הורדות 9 עמודים |
זיהוי ומניעת חיבור שרתי פרוקסי אנונימיים
מאמר כאשר מתבצעת פעולה לא חוקית בין דפי האתר על-ידי גולש בעל אופי זדוני, במספר רב של המקרים יהיה מדובר בחיבור אשר יגיע משרת פרוקסי הנועד לצרכי כיסוי עקבות, במאמר הבא, מציג אדיר מספר טכניקות שונות המאפשרות לבעל שרת אינטרנט לזהות חיבורי אינטרנט המגיעים בשרתי פרוקסי ולחסום אותם. |
אדיר אברהם | מסמך מודפס 815 הורדות 9 עמודים |
פישינג והתחזות לאחר: מתי מותר להחזיק זהות פיקטיבית
מאמר במאמר זה סוקר עו"ד יהונתן קלינגר את חוק "החוקרים הפרטיים ושירותי השמירה" בישראל, יהונתן דן על הוראות החוק ובשאלה כיצד ניתן לבצע חקירות אבטחת מידע מבלי לעבור על הוראות החוק. בנוסף, מציג יהונתן סקירה על החקיקה ועל ביצוע חקירות עבור אדם אחר ואת הבעיות בה, עם התמקדות בנושאים הקשורים לאנשי אבטחת המידע. |
עורך דין יהונתן קלינגר | מסמך מודפס 814 הורדות 6 עמודים |
הרקע המתמטי של RSA, או: איך הצפנת RSA עובדת
מאמר הצפנת RSA תופסת מקום מכובד ביותר בחיינו במאה ה-21. אם ננסה לדמיין את עולמנו כיום בלי היכולת של הצפנה ע"י מפתח ציבורי, כנראה שהעולם היה אחר בתכלית. כל נקודה פיזית על הקו, כל שרת או נתב בדרך, היה יכול להפוך מאוד בקלות לנקודת האזנה לכל פרט מידע אשר יוצא ונכנס בשער. במאמר זה מסביר בעז את הבסיס המתמטי המשתמש את הרעיון עליו מבוססת הצפנה זו. |
בעז (tsabar) | מסמך מודפס 830 הורדות 9 עמודים |
DNS Cache Snooping
מאמר במאמר זה מציג עוז מתקפה בשם "DNS Cache Snooping" אשר פותחה במקור ע"י Luis Grangeia ופורסמה לראשונה במאמר אשר נשא את הכותרת "Snooping the Cache for Fun and Profit". במסגרת המאמר מציג עוז את קוויה הכלליים של המתקפה, השפעותיה וכיצד ניתן לבצעה. |
עוז | מסמך מודפס 893 הורדות 7 עמודים |
Google's GeoLocation API
מאמר פייסבוק שואלים "מה אתה חושב עכשיו?", טוויטר מתעניינים "מה קורה עכשיו?", אבל אלו כבר חדשות ישנות, עכשיו כולם רוצים לדעת "איפה אתה עכשיו?", פייסבוק הרימו את Places, טוויטר חברו ל-Where.com, ורשתות כמו Foursquare, Brightkite ו-Gowalla ממשיכות להופיע. טכנולוגיית ה-Geolocation מתחילה אט אט לחלחל לחיינו במאמר זה סוקר דור כיצד היא ממומשת כיום בדפדפים הרצים על מחשבים ללא GPS, והאם יש לדבר השלכות על הפרטיות שלנו. |
דור זוסמן | מסמך מודפס 792 הורדות 7 עמודים |
Digital Whisper - הגיליון העשרים ושישה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Browser Exploit kits
מאמר אם עד לפני מספר שנים, ארגוני פשיעה קייברנטים היו יוצרים צבאות זומבים, ומוכרים את המידע על אותם מחשבים, או את הנגישות למחשבים עצמם תמורת דולרים בודדים, כיום כבר ניתן לראות שהרבה מהגישה הזאת, שהתחילת בסביבות 2006, השתנתה כמעט לגמרי. במקום להדביק את המחשבים ולמכור אותכם, כבר ניתן לקנות ערכות "עשה זאת בעצמך", וכך, במקום לקנות מחשבים בודדים- ליצור צבא זומבים משל עצמם. במאמר זה נציג את אותם הכלים. |
cp77fk4r | מסמך מודפס 857 הורדות 14 עמודים |
מה חדש ב- Windows 8 ולמה זה מעניין אותי?
מאמר במאמר זה סשה מנסה לסקור בקצרה את השינויים במערכת ההפעלה - גם החיצוניים וגם הנסתרים מהעין, את מודל היישומים החדש, את המגבלות החלות על היישומים וקשיחותן, וכן תכולות נוספות של המערכת הקשורות לאבטחת מידע. |
סשה גולדשטיין | מסמך מודפס 801 הורדות 13 עמודים |
שחזור מידע - טכנולוגיה כנגד כל הסיכויים
מאמר במאמר הבא מציג לנו יואב זילברשטיין, מנכ"ל חברת טיק טק, את עולם שחזור המידע, במהלך המאמר מסביר יואב מה הוא שחזור מידע, מה ההבדל בין שחזור מידע פיזי לשחזור מידע לוגי, מה הוא שחזור חקירתי, כיצד נראה עולם שחזור המידע כיום ואיך לדעתו יראה עולם זה בעתיד. |
יואב זילברשטיין | מסמך מודפס 801 הורדות 4 עמודים |
תהליכי הטמעה של מוצרים טכנולוגיים
מאמר לאחר בחינה ושקלול של מקרים שונים מתחומים מגוונים שבהם טכנולוגיות הוטמעו במהירות מתוך כוונה להפיק רווחים בטווח הקצר, או לחלופין לקצר את הליכי הפיתוח שהנם יקרים ומצריכים משאבי מערכת, הבין אמיתי כי יש צורך בהסתכלות רחבה על הליכי הפיתוח וההטמעה של מוצרים שונים, וזאת עקב ההשלכות של הכשלים כאשר הם מופיעים. במאמר זה מציג לנו אמיתי את דעתו בעניין. |
אמיתי דן | מסמך מודפס 807 הורדות 6 עמודים |
ציתות למקלדת ע"י חיישנים של טלפונים חכמים
מאמר אפשר לנסות ולהתמודד עם הגנות קריפטוגרפיות מסובכות ועם מערכות הגנה מורכבות כדי לפרוץ סיסמאות וכדי לגנוב מידע רגיש, אבל קל הרבה יותר ופשוט לעקוף את הסיבוך לגישות אחרות נטולות סיבוך מתמטי שמשתמשות בהתנהגות אנושית צפויה. במאמר זה מציג לנו שלמה יונה PoC שנערך על-ידי מספר חוקרים המציג יכולת מעניינת לבצע Keyboard Sniffing באמצעות החיישנים המותקנים על רב הסמארטפונים כיום. |
שלמה יונה | מסמך מודפס 845 הורדות 7 עמודים |
Digital Whisper - הגיליון העשרים ושבעה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
PHP Code Execution - חלק ב'
מאמר PHP Code Execution / Injection היא כותרת לקבוצת פרצות אבטחה באפליקציות Web אשר ניצולן מאפשר לתוקף להריץ קטעי קוד PHP על השרת ולעיתים אף הרצת פקודות מעטפת על המכונה עצמה. במסמך הזה אציג מספר טכניקות שונות מקבוצת פרצות זו, בצירוף דוגמאות קוד והסברים. מאמר זה הינו חלק ב' תחת כותרת זו, החלק הראשון פורסם בגליון ה-23 של המגזין. |
Hyp3rInj3cT10n | מסמך מודפס 793 הורדות 25 עמודים |
שירותי מיקום, הרוצח השקט
מאמר שירותים מבוססי מיקום לטלפון הסלולרי נמצאים בחודשים האחרונים במחלוקת סוערת בין היתר בעקבות הפוטנציאל ההרסני שיכול להיות בשימוש לא מורשה באותן תוכנות, החל מרשת החוקרים הפרטיים שנחשפו כאשר מכרו תוכנות מעקב לבני זוג, דרך שירותים מבוססי מיקום כמו ShopRooster הישראלית, שירותי עבר כמו InirU שהושקו ברשת Orange, שירותי ניווט כמו Waze ועוד. במאמר קצר זה נסקור כיצד עובדים שירותים מבוססי מיקום, מהן הבעיות המשפטיות בהן וכיצד, לדעתי, צריך לטפל בבעיות אלה. |
עורך דין יהונתן קלינגר | מסמך מודפס 858 הורדות 5 עמודים |
אינטגרציית Snort IDS ונתב Cisco
מאמר המאמר הבא, מאת עומר פינסקר, עוסק ביישום Intrusion Prevention System) IPS) בתצורת Active-Response על בסיס רכיבים נפוצים כגון נתב Cisco, הנתב הנפוץ בעולם ובתוכנת Snort IDS) Free BSD) אשר מוגדרת כמכתיבת תקן ה-IDS (Intrusion Detection System) בשוק דה-פאקטו. המאמר מבוסס על פרויקט גמר ללימודי הנדסה, במהלכו נחקרו הפתרונות הקיימים כיום להגנה מפני התקפות DDoS, זוהו החולשות העיקריות ועל בסיסן הוצעה התצורה המתוארת. |
עומר פינסקר | מסמך מודפס 836 הורדות 18 עמודים |
הצפנה בתוכנה חופשית
מאמר אופי הפיתוח של תוכנה חופשית, באמצעות מגוון גדול של אנשים מכל העולם, רובם ללא הכרות פנים מול פנים, הציב דרישות גבוהות לנושא האימות והאבטחה, כך שניתן למצוא מימושים רבים לאלגוריתמים שונים ואף המצאה של אלגוריתמים חדשים בעקבות צרכים חדשים. הרישיון המתירני של תוכנה חופשית מאפשר לכל פרוייקט חדש להתבסס על פרוייקטים קיימים ללא הצורך בלהמציא את הגלגל מחדש כל פעם, וכך פרוייקטים מסויימים נהפכים לאבני בניין עבור פרוייקטים אחרים. במאמר זה סוקר ליאור כמה מהפתרונות הנפוצים לשימוש בהצפנה בהפצות לינוקס, החל מרמת המשתמש, דרך מנגנוני העדכון השונים ועד ספריות תוכנה עיקריות. |
ליאור קפלן | מסמך מודפס 802 הורדות 23 עמודים |
אבטחת מידע בעולם העננים
מאמר המאמר הבא מציג את נושא עולם העננים מזווית של אבטחת מידע. המטרה הינה להציף מעל לפני השטח בעיות בנושא זה, שאולי רבים חושבים שהם לא יתקלו בהן, ונראה כי בדרך כלל רבים לא נותנים עליהן את הדעת בעת מימוש פרוייקט כזה או אחר. כמו כן להציג לקורא אילו שאלות הוא צריך לשאול את עצמו בעת הכנה לפרוייקט מסוג זה בכדי למצוא את הפתרון המתאים ביותר עבורו. |
עידו קנר ו-cp77fk4r | מסמך מודפס 841 הורדות 7 עמודים |
Digital Whisper - הגיליון העשרים ושמונה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
על פי פרסומים זרים
מאמר במאמר זה מציג אפיק קסטיאל את עולם ה-Malvertising שהוזכר לא פעם במסגרת המגזין. בטכניקות ה-Malvertising השונות עושים שימוש גורמים בעלי כוונות זדון בכדי להפיץ תולעים, Botnets ושאר מזיקים. במהלך המאמר נראה כי חוץ מפעולות אלו, אותם ארגונים עושים שימוש בטכניקות אלו גם לפעולות כגון Distributed Denial of Service ועוד. |
cp77fk4r | מסמך מודפס 798 הורדות 7 עמודים |
HTML5 מנקודת מבט אחרת - חלק ב'
מאמר מאמר זה הינו החלק השני בסדרת המאמרים "HTML5 מזווית אחרת" - סגרת מאמרים הסוקרת את נושא האבטחה בתקן החדש. במאמר זה, מציגים לירן בנודיס ואלעד גבאי את מנגנון ה-"Drag and Drop" החדש הקיים בתקן, את יכולותיו ואת הנקודות בהן ניתן לבצע שימוש בכדי לפגוע בגולשים ע"י מתקפות המאפשרות גניבת מידע, מתקפות Click Jacking מתוחכמות. |
לירן בנודיס ו-אלעד גבאי | מסמך מודפס 776 הורדות 12 עמודים |
הצפנת נתונים ב- MS-SQL
מאמר במאמר זה, בוחן נצר רוזנפלד את אפשרויות ההצפנה הקיימות ב-SQL Server בכלל ובפרט פיצ'ר "חדש" יחסית שיצא בגירסת SQL Server 2008 Enterprise. במהלך המאמר מציג נצר, את כל תהליך ההצפנה - שאילתות, סקריפטים, הצגת המידע לפני ההצפנה ואחריה, וכן בעיות נפוצות בשימוש במנגנוני ההצפנה השונים. |
נצר רודנפלד | מסמך מודפס 773 הורדות 21 עמודים |
פענוח צפני XML-Enc במסמכי XML
מאמר במאמר הבא מציג שלמה יונה חולשה שנמצאה על ידי מספר חוקרי אבטחה גרמניים בתקן ההצפנה XML-Enc, תקן המשתמש להצפנת מידע במסמכי XML. החולשה מאפשרת את פיצוח ההצפנה וחשיפת המידע הרגיש. במאמר זה נבין כיצד עובד מנגנון ההצפנה ב-XML, מהי החולשה וכיצד משתמשים בה כדי לפצח טקסט מוצפן ולחשוף את המידע שהוצפן. |
שלמה יונה | מסמך מודפס 793 הורדות 11 עמודים |
Digital Whisper - הגיליון העשרים ותשעה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Wireless (un)Protected Setup
מאמר בדצמבר 2011, חוקר אבטחת מידע אוסטרי בשם סטפן ויבוק, פירסם בבלוג שלו פוסט בנוגע לנקודת תורפה בפרוטוקול (WPS (Wi-Fi Protected Setup, פרוטוקול שנועד לאפשר הגדרה והתקנה של רשתות אלחוטיות בצורה פשוטה ובטוחה. אותה נקודת תורפה מאפשרת לתוקפים לגלות את מפתח ההצפנה של אותה הרשת (ולא משנה האם מדובר ב-WEP או WPA) בתוך מקסימום יום. במאמר זה מציג דר' אריק פרידמן את הפרוטוקול והחולשה שסטפן ויבוק פרסם. |
אריק פרידמן | מסמך מודפס 792 הורדות 14 עמודים |
פרו-אקטיבי? האם ניתן לתקוף כדי להגן על מערכת
מאמר עו"ד יהונתן קלינגר, עו"ד לדיני המידע, מציג במאמר זה את השאלה מה היא "פעילות פרו-אקטיבית"?, ובאותו נושא - האם מותר לגולש ברשת לבצע פעילות כזאת בטענת "הגנה עצמית"? האם קיים הבדל בין מאבטח אישי לבין איש אבטחת מידע? ואם כן, האם "מאבטח אישי וירטואלי" שכזה, במידה ויוכל לאתר, בזמן אמת, פגיעה בנכסים הוירטואלים של אדם על ידי אדם אחר - לפעול כנגד אותו אדם? |
עורך דין יהונתן קלינגר | מסמך מודפס 814 הורדות 5 עמודים |
CSRFlashing
מאמר במאמר זה, מציג יהודה כלי שכתב המנצל פריסה לא נכונה (ולא מאובטחת) של הקובץ ניהול המדיניות לשיתוף תוכן לפלאש (CrossDomain.xml) לטובת מימוש מתקפה בסיגנון Live CSRF / SideJacking ע"י בניית מנוע מבוסס פלאש קטן המתפקד כשירות Proxy בין התוקף לאתר הנתקף על גבי מנוע הפלאש של הקורבן. |
יהודה גרסטל | מסמך מודפס 785 הורדות 18 עמודים |
פרשיית Master Gate
מאמר בשבוע האחרון, ניצן ובוריס פרסמו באינטרנט נתון מעניין שעשה רעש רב בקהילת ה-Wordpress הישראלית, אותו הנתון הוא לא פחות מפיסת קוד שהוכנסה לעיצובים שונים של מערכת ה-Wordpress שתורגמו על ידי מספר אנשים ופורסמו ברשת. תפקידו של הקוד הוא לאפשר לאותם המפרסמים לאתר הפרה של זכויות יוצרים (לטענתם), אך בפועל הוא מסכן את המערכת ומאפשר לאותם מתרגמים להשיג שליטה מלאה על המערכת והשרת המריץ אותה. |
ניצן ברומר ו-בוריס בולטיאנסקי | מסמך מודפס 781 הורדות 11 עמודים |
שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים
מאמר במאמר הבא, מציג אמיתי דן מחקר שביצע (ומבצע גם בימים אלו) על אתרים לאיתור מידע על אנשים ברשת האינטרנט, במסגרת המחקר מעלה אמיתי את הטענה כי באתרים אלו בעיקר ניתן למצוא מידע שפורסם על ידי אותם האנשים, ובכדי לאתר מידע אישי יותר, שסביר להניח שלא פורסם על-ידיהם אלא שדולף לאינטרנט במסגרת מאגר מידע פרוץ כזה או אחר, ישנו הצורך למקד את החיפוש עד כדי שימוש במזהים חד חד ערכיים. |
אמיתי דן | מסמך מודפס 837 הורדות 4 עמודים |
Digital Whisper - הגיליון השלושים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
SEH (Structured Exception Handler) Exploitation
מאמר חריגה היא ארוע שקורה במהלך ריצה של תוכנית שגורר בעקבותיו הרצה של קוד שלא במסגרת הרצף הנורמלי של התוכנית. הטיפול בחריגות הוא טיפול אפליקטיבי שנועד לאפשר לתוכנית ליזום ולתפוס חריגות. במאמר זה נדון בשיטה נפוצה לניצול חולשת אבטחה במנגנון ניהול חריגות עבור תוכנה שפגיעה לגלישת המחסנית במערכת ההפעלה Windows. |
איל בנישתי | מסמך מודפס 817 הורדות 14 עמודים |
פריצת מנעולי לשונית מבוססי צילינדר
מאמר מנעולי לשונית מבוססי צילינדר מלווים אותנו ביום יום - הם מוכרים כ-"מנעולי מגירה". מנעולים אלו נקראים כך כיוון שבדרך כלל הם מותקנים על מגירות משרד וריהוט בסיגנון דומה. הם מתבססים על מנגנון נעילה חלש יחסית. מבדיקה שביצעתי נראה כי מנעולים המבוססים על המנגנון הבעייתי שאציג במאמר זה, נמצאים הרבה מעבר למגירות בריהוט כזה או אחר. במאמר זה אציג את המנגנון ואת אופן הפריצה שלו. |
cp77fk4r | מסמך מודפס 1045 הורדות 13 עמודים |
על GSM , VoIP ומספרים חסויים
מאמר במהלך התקופה האחרונה ניתן לראות כי מספר אתרי אינטרנט שונים מציעים שרותי גילוי "שיחות חסומות". השרות מציע התקנת אפליקצייה מסויימת על הסמארטפון אשר תגלה לנו בן רגע את פרטי הסורר. על מנת להבין כיצד תוכנות אלו פועלות יש צורך להכיר את הדרך שבה המכשיר הסלולארי שלנו פועל. במאמר זה אסקור את פרוטוקול GSM, שהוא למעשה אחד התקנים היותר נפוצים לתקשורת סלולארית. בנוסף, נכיר את העקרון עליו אפליקציות מסוג זה פועלות. |
עדן משה | מסמך מודפס 893 הורדות 14 עמודים |
פיתוח מערכות הפעלה – חלק א'
מאמר מאמר זה הינו חלק ראשון בנושא פיתוח מערכות הפעלה, החלק הראשון של המאמר יתמקד בתיאוריה שמאחורי תכנות מערכות הפעלה, ובו נתחיל לבנות מערכת הפעלה בסיסית. מערכת ההפעלה שנבנה בפרק זה תהיה מאוד מינימאלית, ותרוץ כמערכת הפעלה Live - משמע, שום דבר לא נשמר באופן קבוע לדיסק, והמערכת תתחיל מחדש בכל הפעלה של המחשב. |
עידן פסט | מסמך מודפס 1218 הורדות 19 עמודים |
שובם של ה- Web Bugs
מאמר אחת הטכניקות בהן חברות תוכן (או לחילופין - ספאמרים) השתמשו בעבר על מנת לעקוב אחר הגולשים באינטרנט הינה טכניקת ה-Web bug. טכניקה זו הינה ישנה וכמעט לא נמצאת בשימוש כיום, זאת מפני שספקיות הדואר האלקטרוני חסמו אותן כברירת מחדל. עם זאת, נראה כי עדיין ישנן מספר ספקיות דואר אלקטרוני שאינן אוכפות את חסימת האובייקטים המאפשרים שימוש בטכניקה זו בכל המקרים ובכך מאפשרים שימוש בה שוב. במאמר זה נסקור את הטכניקה וכיצד היא באה לידי ביטוי. |
יניב מרקס | מסמך מודפס 802 הורדות 5 עמודים |
מערכות מידע ובקרה פנים-ארגונית
מאמר האם מערכות המידע יעזרו לנו להתמודד גם עם הבקרה הפנימית בארגון? התשובה היא כן, כמו בכל תחום אחר בחיינו. גילוי מעילה, הונאה או כשל תפעולי בחברות הפך דבר שבשגרה. אחת לחודש מתנוססת לה הידיעה התורנית המספרת לנו באריכות ובהפתעה גמורה איך הצליח אותו עובד למעול בכספי הארגון מבלי שאף אחד שם לב. במאמר זה נראה כיצד מערכות אלו באות לידי ביטוי. |
גיא מונרוב | מסמך מודפס 750 הורדות 5 עמודים |
תקיפות מבוססות The Text Warzone - SMS
מאמר מאמר זה מתמקד בתקיפות שגורמות למכשירי הטלפון שלנו להתעורר לחיים ולהוות גורם מטריד שפוגע מידית בלקוחות, בחברה ובגורמים שונים. מאמר זה מציג שיטת עבודה שבה יש מותקף ראשי, מותקף משני ומצב שבו מישהו משלם על התקיפה, מאפשר אותה ונפגע שוב פעם על ידי לקוח זועם. בנוסף, נראה כיצד שימוש בנתונים שנלקחו ממאגרים חופשיים מאפשרים למקד תקיפות ולהגיע לפונקציות ספציפיות שיעזרו להעצים את האפקט המתקבל באספקט תקיפה זו. |
אמיתי דן | מסמך מודפס 790 הורדות 12 עמודים |
Digital Whisper - הגיליון השלושים ואחד | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
מנגנוני אבטחה באנדרואיד
מאמר "יש המון וירוסים באנדרואיד" אמר לי חבר לפני כמה ימים, וזה גרם לי לחשוב כי רוב הציבור (הלא מבין) נוהג לחשוב על מערכות פתוחות כמערכות קלות לחדירה וכיוצא בזה כך גם חושבים על אנדרואיד. המאמר הבא יעסוק בשאלה "האם אנדרואיד היא פלטפורמה מאובטחת או פרוצה", וכדי לענות על השאלה נתקוף את הנושא מכמה זוויות, כגון מודל האבטחה של המערכת, נושא המפתחים וההרשאות, ממה המשתמשים צריכים לדאוג ועוד היבטים נוספים הקשורים לאבטחת מידע במכשיר זה. |
ניר גלאון | מסמך מודפס 809 הורדות 9 עמודים |
מידע דליף
מאמר היום-יום שלנו סובב מאגרים שאוספים עלינו מידע אישי. יצאנו ורכשנו בבית הקפה מתחת לבית קפה ומאפה ושילמנו בכרטיס אשראי? הפעולה נרשמה במאגר כלשהוא. לא השתמשנו בכרטיס אשראי, אבל העברנו את כרטיס המועדון? גם כן; גם אם איננו חברי מועדון, אך הודענו ברשת החברתית האהובה עלינו שרכשנו שם, הפעולה נרשמה. השתמשנו ב-GPS שמדווח על פקקים? כנ"ל. ביצענו שיחה לבוס? תחשבו שוב... במאמר זה מציג עו"ד יהונתן קלינגר את סוגי הדליפות שמאיימות על מאגרים אלו. |
עורך דין יהונתן קלינגר | מסמך מודפס 792 הורדות 7 עמודים |
עיצוב תעבורה
מאמר לאחרונה מתעורר ויכוח סוער לגבי האם הרשת צריכה להיות ניטראלית, או האם ועד איזו רמה מותר לספקיות האינטרנט, שהן מפעילות ובעלות קווי התקשורת, להתערב ולתעדף סוג תעבורה אחד על פני האחר. כמות גדולה של ספקיות אינטרנט רוצות להקטין את התעבורה הנצרכת על ידי אפליקציות שצורכות תעבורה רבה (שיתוף קבצים לדוגמא) בכדי לאפשר מתן תעבורה לאפליקציות שצורכות תעבורה מעטה יחסית (גלישה וכו'). ספקיות האינטרנט יכולות ואולי גם משתמשות בעיצוב תעבורה בכדי להאט שירותים המתחרים בשירותים שהספקית עצמה מפעילה (שיחות VoIP, שירותי ענן למיניהם...). במאמר זה נדון ב-"עיצוב תעבורה" אשר מבצעות ספקיות אינטרנט בארץ ובעולם. |
לירן בנודיס ו-אלעד גבאי | מסמך מודפס 748 הורדות 10 עמודים |
פיתוח מערכות הפעלה – חלק ב'
מאמר מאמר זה הינו חלק שני בסדרת המאמרים בנושא פיתוח מערכות הפעלה, בפרק זה מסביר עידן על המעבר ל-Protected Mode, מצב בו הגישה זיכרון ולחומרה מבוקרת ומוגנת, ונממש אותו. נלמד לכתוב למסך בעזרת כתיבה לזיכרון, בניגוד לשימוש בפסיקות BIOS, ונכתוב את תחילת הגרעין (Kernel) שלנו בשפת C. גם בפרק זה מערכת ההפעלה עדיין תרוץ Live מדיסק, ולא תהיה כתיבה לדיסק הקשיח. |
עידן פסט | מסמך מודפס 958 הורדות 19 עמודים |
DLP - Data leakage Prevention
מאמר בעידן שבו המידע נדרש לנוע באופן דינאמי בתוך הארגון ומחוץ לארגון, חברות צריכות להתמודד עם תופעת דלף מידע גם באמצעים אקטיביים. ארגונים נדרשים לשמור על סודיות המידע, בין היתר, כדי לשמור על נכסיהם הרוחניים, תדמיתם ולעמוד בהוראות החוק והרגולציה. לאור ריבוי האיומים, יותר ויותר ארגונים מטמיעים מערכות ייעודיות בתחום ניתוח תוכן לצורך מניעת דלף מידע. ביקוש זה הביא בעשור האחרון לבשלות טכנולוגית ולריבוי של מוצרים בתחום ניתוח התוכן, אשר רובם אף נרכשו על ידי ענקי ה-IT ואבטחת המידע הגדולים ם ושולבו בסל מוצריהם. במאמר זה מציג אלכס את עולם מניעת דלף המידע מהארגונים וכיצד מבצעים זאת נכון. |
אלכס ליפמן | מסמך מודפס 821 הורדות 8 עמודים |
פרטיות תעסוקתית
מאמר במאמר זה, מנסה יהונתן לענות על השאלה מהו היקף הזכות לפרטיות במקום העבודה וכמה מותר למעסיק לחטט במחשבו של העובד או בחומרים שנמצאים בחזקתו. מאמר זה מהווה הרחבה ועדכון של ההרצאה שהעביר יהונתן באוגוסט 2010 שמאז ועד היום חלו לא מעט התפתחויות בנושא, אשר העיקרית בהן היא פסק הדין איסקוב (עע 90/08) אשר הפך להלכה חלוטה וקבועה שמקבעת את הפרטיות במקום העבודה. |
עורך דין יהונתן קלינגר | מסמך מודפס 850 הורדות 7 עמודים |
Digital Whisper - הגיליון השלושים ושניים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
NetBios Name Service Spoofing
מאמר תקפת NetBIOS Name Service Spoofing הינה מתקפת MITM המתבססת על זיוף שמות NetBIOS ברשת פנים-אירגונית. מדובר במתקפה שקטה מאוד, מפני שלא כמו במתקפות אחרות (כגון ARP Spoofing), המתקפה מתנהלת מול הקורבן בלבד והיא מתרחשת רק כאשר הקורבן עצמו יוצר את הטריגר. במתקפה זו התוקף מחכה שתתבצע בקשה ל-Name Resolution ברשת, וברגע שזאת אותרה - המטרה היא לנסות ולהגיב מהר יותר יישות הרשת האמיתית. במאמר זה נראה כיצד מנגנון ה-NetBIOS עובד, נבין כיצד מתאפשרות מתקפות מסוג זה ומה הפוטנציאל הקיים בהן (לצד התוקף) ונראה איך ניתן להשתמש בהן בשילוב מתקפות נוספות על מנת להגדיל את יכולותיו של התוקף. בנוסף יוצג במאמר כיצד ניתן לממש אותן בעזרת כלים יעודים המובנים ב-Metasploit. |
cp77fk4r | מסמך מודפס 983 הורדות 25 עמודים |
ecurity Tokens וכרטיסים חכמים
מאמר במבט ראשון כרטיס פלסטיק עם לוח מגעים יכול לתת את התחושה של כרטיס אחסון פשוט והאמת היא שמראה ראשוני יכול להטעות. במאמר זה נקבל הצצה לעולם הכרטיסים החכמים וה-Security Tokens. תחילה יוסבר מהו Security Token, נסקור את הסוגים הקיימים כיום, נראה באילו דרכים ניתן להתממשק אליהם כמפתחים, נסביר מהם מנגנוני ההגנה שקיימים בהם ונראה דוגמאות לשימושים שעושים בהם כיום. |
יוסף הרוש | מסמך מודפס 894 הורדות 11 עמודים |
שימוש בעקרונות האי-וודאות למניעת מתקפות MItM
מאמר מציאת דרך להעברת מידע ממקום אחד למשנהו באופן בטוח הינה בעיה שבה מדענים, מתמטיקאים וקריפטוגראפים מתעסקים לא מהיום. מסריקה זריזה ניתן לראות כי כיום מרבית השיטות שנמצאות בשימוש מבוססות על פיזיקה קלאסית. עם זאת, למרות ששיטות אלה כרגע נחשבות כבטוחות, הן בדרך כלל מבוססות על ההנחה כי לתוקף קיים כוח מוגבל של חישוביות. שימוש במערכת קוונטית להעברת מידע דיגיטלי, מעלה תופעות הצפנה קוונטית, שמבטיחות כי אפילו מצותת בעל כוח חישוביות אין סופית לא יוכל להתחמק מלהיתפס בעת ניסיון לביצוע מתקפה. המדע העומד מאחורי הצפנה קוונטית נחשב חדש יחסית, והוא נראה כמו תשובה מושלמת לבעיות חשובות רבות. לדוגמא, על ידי יצירת רצף מספרים רנדומליים אמיתי לא ניתן יהיה לזייף כסף, וניתן יהיה להגן על מידע מפני העתקתו או ציתותו. כרגע הרב עדיין תיאורטי בלבד והכל עדיין בחיתוליו, אך בכל זאת קיים נושא אחד שיכול להיות מעשי אפילו עם הטכנולוגיה והידע שיש כיום בנושא והוא החלפת מפתחות קוונטית ובו נתמקד במאמר זה. |
cp77fk4r, תום רז ו-שילה מלר | מסמך מודפס 934 הורדות 22 עמודים |
Digital Whisper - הגיליון השלושים ושלושה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
על המימוש הפנימי של אוביקטים וטיפוסים בדוטנט
מאמר אם מאמינים ל-TIOBE Programming Community Language Index, אז #C ו-Visual BASIC חולשות על למעלה מ-12 אחוז מהקוד שנכתב בעולם, מה שממקם את NET. במקום השלישי והמכובד אחרי C ו-Java. כיוון ש-NET. היא סביבה מנוהלת, שבה הזיכרון, מבנה האובייקטים, ואפילו כתובות ומצביעים הם דברים שהמפתחים "לא מתעסקים בהם", קיים מעט מידע יחסית על המימוש הפנימי של NET. והקומפוננטות המרכיבות אותה. במאמר זה סוקר סשה את המבנה הפנימי של אובייקטים בערימה המנוהלת (GC heap) ומסביר על המבנה הפנימי של טיפוסים NET.-יים. בנוסף לכך, מציג סשה את מנגנון בטיחות הטיפוסים של NET., וחולשות אבטחה שהתגלו במנגנון זה בעבר. |
סשה גולדשטיין | מסמך מודפס 876 הורדות 10 עמודים |
מבוא ל-Fuzzing
מאמר תחום מחקר החולשות הוא תחום אשר צובר תאוצה בימים אלה, יותר ויותר חברות מוכנות לשלם היום לחוקרים (Bounty Programs) על מנת שיחשפו חולשות במוצרים שלהם ובכך בעצם יעזרו להם לשמור על המוצרים שלהן בטוחים יותר. חברות גדולות כמו גוגל אף משיקות ועידות מתוזמנות ומזמינות האקרים וחוקרים מכל העולם לנסות את מזלם ולזכות בפרסים של עד כ-60K$. במאמר זה מציג איל את השימוש ב-Fuzzing על מנת לאתר חולשות אבטחה. |
איל בנישתי | מסמך מודפס 883 הורדות 12 עמודים |
סקירה על דיני הגנת הפרטיות ויסודות בפרטיות
מאמר הזכות לפרטיות אינה זכות מוגדרת וברורה כמו חופש התנועה, חופש הביטוי או הזכות לקניין אשר ניתן להבין בצורה פשוטה ובמשפט אחד; מדובר בזכות שברורה לכולנו ואנו מבינים מהי, אך איננו יכולים להגדירה בצורה מושלמת. בסוף המאה ה-19 הגדירו סמואל וורן ולואיס ברנדייס את הזכות כזכות להנות מהחיים - הזכות להעזב בשקט. אבל דומה שהיום, בעת שהטכנולוגיה מתקדמת, אנחנו לא יכולים לומר בוודאות שאם נעזב בשקט פרטיותנו תסופק. הרי, אפשר לחשוב על כל מיני דרכים בהן אדם עדיין 'נעזב בשקט' אבל עדיין מרגיש שפרטיותו נפגעת: הדוגמא הטובה ביותר לכך היא של פרופיילינג, בו אנחנו נעזבים בשקט, אבל המידע שאוספים עלינו משמש כדי לא לעזוב אחרים בשקט. עו"ד יהונתן קלינגר, במאמר קצר ומקיף, דן בחובות אבטחת המידע והגנת הפרטיות ועונה על מה מותר ואסור לשמור במאגרי מידע, כיצד החוק מחייב להגן עליהם, ואיך אפשר לטפל בדליפות. |
עורך דין יהונתן קלינגר | מסמך מודפס 933 הורדות 11 עמודים |
SecurityTokens - גניבת Session פעיל
מאמר מאמר זה מהווה המשך למאמר שפורסם בגליון ה-32 של Digital Whisper, בשם "Security Tokens וכרטיסים חכמים". במאמר זה מדגים יוסף הרוש כיצד תוקף יכול לנצל חיבור פעיל (SESSION) ל-Security Token ע"י הזרקת קוד זדוני לתהליך המקורי אשר יצר את החיבור. |
יוסף הרוש | מסמך מודפס 939 הורדות 13 עמודים |
תפיסות אבטחה במציאות משתנה
מאמר החל משנת 2001 החלו להתגלות בעולם המחשוב סוגי התקפות מסוג חדש, אשר חלקן סווגו באופן מוטעה כתקיפות וירוסים. הסיבה הרווחות להכרה בסוגי התקיפות הנ"ל כתקיפות וירוסים נעוצה בעובדה כי לכלי התקיפה ישנם מאפיינים של וירוסים, אך לא בכך מסתיים הדבר. כלי התקיפה החדשים חשפו יכולות חדשות הכוללות ביצוע Sniffing ברמה גבוהה, גישה ל-Kernel Level ועוד. עם זאת, מרבית סביבת ה-IT לא נחשפה באופן פומבי לסוג התקיפות הנ"ל, למרות שכבר בשנת 2004 החלו להצטבר תלונות במשטרת ישראל על ניסיונות ריגול תעשייתי מצד ארגונים שונים. מאמר זה דן בשאלה האם תפיסות האבטחה הקיימות כיום עונות לצרכי הביטחון של הארגונים השונים, או שמא, תפיסות האבטחה מחייבות בחינה ובנייה מחדש. |
יובל סיני | מסמך מודפס 935 הורדות 5 עמודים |
Digital Whisper - הגיליון השלושים וארבעה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
Operation Ghost Click
מאמר לאחר פעילות נרחבת של ה-FBI ורשותיות החוק באסטוניה, הגיעה לסיומה פרשה שהחלה עוד בשנת 2007. במהלכה נעצרו שישה בני-אדם שהפעילו וירוס שבעקבותיו פורסמו כותרות בסיגנון "וירוס ענק מסתובב באינטרנט ומאיים לנתק מאות אלפי משתמשים" ו-"האם וירוס אגרסיבי ינתק את כולנו מהרשת". למי לא יצא לשמוע לאחרונה על הוירוס "DNS Changer"? כל אתר חדשות המכבד את עצמו כתב על הוירוס הזה לפחות פעם אחת רק במהלך החודש האחרון. במאמר הזה ננסה להבין מה העניין ועל מה כל הרעש. |
cp77fk4r | מסמך מודפס 1286 הורדות 16 עמודים |
פריצה לשרתי Poison Ivy
מאמר מחשבים רבים בעולם נדבקים בוירוסים, תולעים, ורושעות מסוגים שונים. בד"כ, קיים אדם (או קבוצת אנשים) אשר מטרתם לשלוט על המחשבים המודבקים מרחוק ולנהל אותם בהתאם לצרכיהם. אדם זה חולש על עמדת שליטה אחת או יותר, המנהלת את הבוטים הנמצאים על המחשבים המודבקים. Poison Ivy (או בקיצור: PI) הוא דוגמה לעמדת שליטה כזאת. בעמדת השליטה ניתן לייצר בוטים חדשים ולשלוט על כל המחשבים הנגועים. הדבקת המטרות היא משימה נפרדת, ואינה חלק מ-PI. מחשב נגוע נמצא למעשה בשליטה מלאה של התוקף, שיכול להעביר לו פקודות, לקבל ממנו חיוויים, וקבצים ומידע, לעקוב אחרי המשתמש, וכו'. במאמר זה מציג גל את פרטיה של חולשה אשר פורסמה בשרת PI וכיצד מתבצע אופן ניצולה על מנת להשתלט על עמדה זו. |
גל בדישי | מסמך מודפס 1428 הורדות 10 עמודים |
Incapsula - אבטחת אתרים להמונים
מאמר בחודשים האחרונים נושא אבטחת אתרי אינטרנט זוכה ליותר ויותר כותרות, זאת בעיקר בזכות מספר התקפות גדולות, מתוחכמות ומתוקשרות כגון: הווירוס Flame, חשיפה של 6.5 מיליון סיסמאות LinkedIn, הפריצה ל-eHarmony, ההתקפה של אנונימוס על אתרי הממשל הודו ועוד כמה התקפות אחרות כדוגמתן. סיפורים אלה יוצרים רושם כאילו מתקפות על אתרים הם משהו שמתרחש אי-שם מעבר לאופק ושאין לו נגיעה למציאות היום-יומית של מאות מיליוני אתרים קטנים ובינוניים, שהם אוכלוסיית הרוב של רשת האינטרנט. אך בפועל, ההפך הוא הנכון. האירועים המתוקשרים הללו הם רק נקודות קיצון על גרף מגמה העולה של מתקפות על אתרי אינטרנט. ממדיה האמתיים של התופעה מתגלים בעיון במחקרים שנערכו בנושא. אל מול האתגר הזה חברת Incapsula, הייתה מהראשונות להרים את הכפפה. במאמר זה מציג מרק את מוצר הדגל שלהם ואת מאפייניו. |
מרק גפן | מסמך מודפס 1541 הורדות 14 עמודים |
Evil Twin Attacks
מאמר במאמר זה, מסביר יניב על מתקפה המוכרת בשם "Ewil Twin Attack", מתקפה זו מאפשרת לרמות את תחנת הקצה ע"י הוספת Access-Point בעל שם רשת (SSID) זהה ל-Access-Point האמיתי על מנת לגרום לתחנת הקצה הנתקפת להתחבר ל-Access-Point הנוסף, במקום ל-Access-Point המקורי. במאמר מציג יניב את הסכנות בקיום מתקפה זו וכיצד ניתן להתגונן מפניהן. בנוסף להצגת המתקפה, מציג יניב הרחבה למתקפה, המגדילה את טווח הסיכוי להצלחתה. |
יניב מרקס | מסמך מודפס 1680 הורדות 9 עמודים |
פיתוח מערכות הפעלה - חלק ג'
מאמר בסדרת מאמרים זו, מסביר עידן את השלבים בעת בניית מערכת הפעלה מ-0. בחלקים הקודמים של סדרה זו למדנו על מערכות העובדות ב-Real Mode, כתיבת הקרנל, המעבר מ-Real Mode ל-Protected Mode, על כתיבה ישירה לזיכרון המסך במצב טקסט, על סטנדרנט ה-Multiboot ועל הGDT. בפרק זה נממש עוד חלק מהותי ובסיסי באוסף ה-Descriptors שעלינו לממש – ה-IDT. בנוסף ל-IDT נממש את תחילתו של ה-IRQ ודרכו נממש שעון בסיסי. |
עידן פסט | מסמך מודפס 1898 הורדות 22 עמודים |
עדכניות המסמכים: נכון לעכשיו לא מוצגים גם מסמכים לא רלוונטיים בעת גלישתך באתר. להצגת כל המסמכים לחץ כאן. |