Digital Whisper - גליונות מלאים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מגזין גיליון מס' 34 של המגזין Digital Whisper. המאמרים בגיליון: Operation Ghost Click, פריצה לשרתי Poison Ivy, Incapsula - אבטחת אתרים להמונים, Ewil Twin Attacks, פיתוח מערכות הפעלה חלק ג'. |
Digital Whisper | ![]() מסמך מודפס 7270 הורדות 76 עמודים |
![]() מגזין הגליון הראשון של Digital Whisper שיצא באוקטובר 2009. בגליון המאמרים הבאים: Privilege Excalation, Manual Packing, בינה מלאכותית - מבוא והצגת בעיות כגרפים , פריצת מנעולים, מנגנון הצפנה WEP, מבוא לרקורסיה בשפת C ולסיום HTTP ATTACKS - RESPONSE SPLITTING |
Digital Whisper | ![]() מסמך מודפס 2966 הורדות 72 עמודים |
![]() מגזין הגליון השני של Digital Whisper שיצא בנובמבר 2009. בגליון המאמרים הבאים: SSL & Trasport Layer Security Protocol, Manual Unpacking, וירוסים- שיטות טעינה, RFID Hacking, , Port Knocking, הפרוטוקול Kerberos V5 ו-DNS Cache Poisoning |
Digital Whisper | ![]() מסמך מודפס 2196 הורדות 77 עמודים |
![]() מגזין הגליון השלישי של Digital Whisper שיצא בדצמבר 2009. בגליון המאמרים הבאים: PKI, שיפור Image Stagenography, IPSEC Protocols, IPTables, תבניות בשפת C# ומדריך להתקנת BackTrack כ-LiveUSB |
Digital Whisper | ![]() מסמך מודפס 1719 הורדות 68 עמודים |
![]() מגזין הגליון הרביעי של מגזין אבטחת המידע Digital Whisper. מאמרים בגליון: HTTP Fingerprints, למה RSA טרם נפרץ? Anti-Anti Debugging, SQL Injection / CLR Integration, אלגוריתמים רקורסיביים, פרצות אבטחה נפוצות במערכות WEB להעלאת קבצים, שימוש נכון ב-HTAccess |
Digital Whisper | ![]() מסמך מודפס 2140 הורדות 82 עמודים |
![]() מגזין הגליון החמישי של מגזין אבטחת המידע Digital Whisper. מאמרים בגליון: אבטחת SIP עם Asterisk, פריצת Kindle DRM, פירורי מידע לאויב שלך - Meta Data, הפסקת קפה, בניית אתרים וסמנטיקה (Semantic HTML), המאגר הביומטרי, Zip Bombs |
Digital Whisper | ![]() מסמך מודפס 3032 הורדות 76 עמודים |
![]() מגזין הגליון השישי של מגזין אבטחת המידע Digital Whisper. מאמרים בגליון: Botnet - מה זאת החיה הזאת, XSHM - Cross Site History Manipulation, ניתוח ה-Conficker, Rootkits - דרכי פעולה וטכניקות בשימוש (חלק א'), פירוט טכנולוגיות ה-Firewalling השונות, סקירת טכנולויות ההצפנה EFS ו-BitLocker |
Digital Whisper | ![]() מסמך מודפס 5500 הורדות 56 עמודים |
![]() מגזין הגליון השביעי של מגזין אבטחת המידע Digital Whisper. מאמרים בגליון: ניתוח קוד Web זדוני, Rootkits - דרכי פעולה וטכניקות בשימוש (חלק ב'), סריקת טכנולוגיות NAC ואופן מימושן, להבין את התכלס מאחורי האנונימיות המורכבת - TOR, אנונימיות בעידן הדיגיטלי ועקרונות בפיתוח מאובטח (חלק א') |
Digital Whisper | ![]() מסמך מודפס 1831 הורדות 67 עמודים |
![]() מגזין במגזין השמיני מאמר תיאורטי על עולם הסלולארים המתפתח, מאמר מצוין המציג את התפתחותם של הקבצים הבינארים, מאמר נפלא המנסה לברר את שאלת מליון הדולר של הקוד הפתוח, מאמר משובח המציג לנו את עמדת חוקתה של מדינת ישראל בנושא האנונימיות באינטרנט, מאמר נרחב מאוד על המתקפות השונות על פרוטוקול ה-HTTP. תודה רבה ל-Ratinho על שעזר בעריכת הגליון. |
Digital Whisper | ![]() מסמך מודפס 1446 הורדות 67 עמודים |
![]() מגזין המגזין התשיעי של DigitalWhisper. מאמרים בגיליון: IDS - Intrusion Detection System, הוכחות באפס ידע, DNS Rebinding, חולשות בפרוטוקול UPnP, אבטחת מידע בוירטואליזציה, האם אנדרואידים חולמים על תולעים אלקטרוניות? ופיתוח מאובטח - חלק ב'. תודה רבה ל-Ratinho על שעזר בעריכת הגליון. |
Digital Whisper | ![]() מסמך מודפס 1384 הורדות 68 עמודים |
![]() מגזין המגזין העשירי של DigitalWhisper. מאמרים בגיליון: מתקפות ClickJacking, מתקפות צד לקוח, "מקור, עותק והעתק",User-Land Hooking, ו-Web Application Firewalls. |
Digital Whisper | ![]() מסמך מודפס 1851 הורדות 48 עמודים |
![]() מגזין הגיליון האחד עשר של Digital Whisper שיצא באוגוסט 2010. בגיליון המאמרים הבאים: סטגנוגרפיה בשני שקל, לוחמה אוירית בשטח בנוי, אמינותן של ראיות דיגיטליות, JAVA JAVA, PROXY PROXY, HoneyPots, Buffer Overflow 101 |
Digital Whisper | ![]() מסמך מודפס 3569 הורדות 120 עמודים |
![]() מגזין הגיליון השנים עשר של Digital Whisper. המאמרים בגיליון: Hash Collisions, האם ניתן להכריח אדם למסור מפתחות הצפנה?, מבוכים וסריאלים, אני יודע איפה גלשת בקיץ האחרון, ARM Exploitation, AI Part 2, Biting the hand with DLL load hijacking and binary planting |
Digital Whisper | ![]() מסמך מודפס 1511 הורדות 94 עמודים |
![]() מגזין הגיליון השלושה עשר של Digital Whisper. המאמרים בגיליון: Code Injection, על הצפנה בדין הישראלי: בין רצוי מצוי ונשכח, The Dark Side of XML, AI Part 3 |
Digital Whisper | ![]() מסמך מודפס 1337 הורדות 61 עמודים |
![]() מגזין הגיליון הארבעה עשר של Digital Whisper. המאמרים בגיליון: Chasing worms - Koobface Pwning, אין סודות בחברה, מתי אפשר לתפוס שרתים מחשבים ודיסקים, אבטחת חבילות תוכנה |
Digital Whisper | ![]() מסמך מודפס 1285 הורדות 44 עמודים |
![]() מגזין הגיליון החמישה עשר של Digital Whisper. המאמרים בגיליון: Web Application Firewall Bypassing, כבשת הרשע, The Art of Exploitation: Windows 7 DEP&ASLR Bypass, Exploiting Firefox Extensions |
Digital Whisper | ![]() מסמך מודפס 1647 הורדות 113 עמודים |
![]() מגזין הגיליון השישה עשר של Digital Whisper. המאמרים בגיליון: Managed Code Rootkits, Bypass Signature based detection, Client Side Web Attacks and Identity Theft, מבוא למתקפת padding oracle, מתקפות על כלים לעיבוד ולניתוח XML. |
Digital Whisper | ![]() מסמך מודפס 1530 הורדות 75 עמודים |
![]() מגזין הגיליון השבעה עשר של Digital Whisper. המאמרים בגיליון: NTFS ADS Magic Tricks, Show Me The Money, זיהוי באינטרנט: כיצד לחשוף משתמשים מבלי לעבור על החוק, Firefox Based Interactive Kiosk Overtaking. |
Digital Whisper | ![]() מסמך מודפס 1405 הורדות 65 עמודים |
![]() מגזין הגיליון השמונה עשר של המגין Digital Whisper. המאמרים בגיליון: שולים מוקשים - על שליטה בזמן ריצה, BHO - Alive N Kickin', IAT Hooking, DOMAIN NAME SYSTEM - אנומליות, איתור ומניעה. |
Digital Whisper | ![]() מסמך מודפס 1343 הורדות 1 עמודים |
![]() מגזין הגיליון התשעה-עשר של המגזין Digital Whisper. המאמרים בגיליון: Chasing Worms II - NzmBot; הדבקה בינארית; הענן והמידע שלך; שיווק רשתי, פירמידות, מידע ברשת האינטרנט ומה שביניהם. |
Digital Whisper | ![]() מסמך מודפס 1375 הורדות 56 עמודים |
![]() מגזין הגיליון ה-20 של המגזין Digital Whisper. המאמרים בגיליון: Userland Rootkits, PenTesting VoIP, Protocol Tunneling. |
Digital Whisper | ![]() מסמך מודפס 1432 הורדות 71 עמודים |
![]() מגזין הגיליון ה-21 של המגזין Digital Whisper. המאמרים בגיליון: Kernel-Mode Rootkits, פונקציות תמצות קריפטוגרפיות ותחרות ה-SHA-3, דגשים לפיתוח מאובטח, Defeating AppArmor. |
Digital Whisper | ![]() מסמך מודפס 1263 הורדות 61 עמודים |
![]() מגזין הגיליון ה-22 של המגזין Digital Whisper. המאמרים בגיליון: Zeus - The Take Over, Hooking The Page Fault Handler, אבטחת שרתי אינטרנט, Session Puzzles, Medical Hazardous Implants. |
Digital Whisper | ![]() מסמך מודפס 1448 הורדות 63 עמודים |
![]() מגזין הגיליון ה-23 של המגזין Digital Whisper. המאמרים בגיליון: PHP Code Execution - חלק א', איך לא עושים פיילוט, Net Reverse Engineering., IP כביש 6, מימוש מנגנוני סנכרון ב-Windows ומעבר להם. |
Digital Whisper | ![]() מסמך מודפס 1214 הורדות 69 עמודים |
![]() מגזין הגיליון ה-24 של המגזין Digital Whisper. המאמרים בגיליון: למה מומלץ לבדוק לסוס את השיניים, BitCoin - כסף דיגיטלי ב-P2P, תזמון חוטים ב-Windows, איך לעקוב אחרי גולשים בעזרת עוגיות חסינות מחיקה, תשתית מפתחות ציבוריים, טכניקות התרבות בקרב תולעים חברותיות, HTML5 מנקודת מבט שונה. |
Digital Whisper | ![]() מסמך מודפס 2101 הורדות 91 עמודים |
![]() מגזין הגיליון ה-25 של Digital Whisper. המאמרים בגיליון: הצפנה מבוססת עקומים אליפטיים, זיהוי ומניעת חיבור שירותי פרוקסי אנונימיים, פישינג והתחזות לאחר: מתי מותר להחזיק זהות פיקטיבית, הרקע המתמטי של RSA, DNS Cache Snooping, Google Geolocation API. |
Digital Whisper | ![]() מסמך מודפס 892 הורדות 51 עמודים |
![]() מגזין גיליון 26 של המגזין Digital Whisper. מאמרים בגיליון: Browser Exploits kit, מה חדש ב-Windows 8 ולמה זה מעניין אותי, שחזור מידע - טכנולוגיה כנגד כל הסיכויים, תהליכי הטמעה של מוצרים טכנולוגיים, ציטוט למקלדת ע"י חיישנים של טלפונים חכמים. |
Digital Whisper | ![]() מסמך מודפס 889 הורדות 48 עמודים |
![]() מגזין הגיליון ה-27 של Digital Whisper. המאמרים בגיליון: חלק ב' של PHP Code Execution, שירותי מיקום - הרוצח השקט, אינטגרציית Snort IDS ונתב סיסקו, הצפנה בתוכנה חופשית, אבטחת מידע בעולם העננים. |
Digital Whisper | ![]() מסמך מודפס 926 הורדות 83 עמודים |
![]() מגזין גיליון מס' 28 של Digital Whisper. המאמרים בגיליון: על פי פרסומים זרים, html 5 מנקודת מבט אחרת - חלק ב', הצפנת נתונים ב-MS-SQL, פענוח צפני XML-Enc במסמכי XML. |
Digital Whisper | ![]() מסמך מודפס 867 הורדות 55 עמודים |
![]() מגזין גיליון מס' 29 של המגזין Digital Whisper. המאמרים בגיליון: Wireless (un)Protected Setup, פרו-אקטיבי? האם ניתן לתקוף כדי להגן על מערכת, CSRFlashing, פרשיית Master Gate, שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים. |
Digital Whisper | ![]() מסמך מודפס 872 הורדות 57 עמודים |
![]() מגזין גיליון מס' 30 של המגזין Digital Whisper. המאמרים בגיליון: SEH (Structured Exception Handler) Exploitation, פריצת מנעולי לשונית מבוססי צילינדר, על GSM , VoIP ומספרים חסויים, פיתוח מערכות הפעלה – חלק א', שובם של ה- Web Bugs, מערכות מידע ובקרה פנים-ארגונית, תקיפות מבוססות The Text Warzone - SMS. |
Digital Whisper | ![]() מסמך מודפס 1054 הורדות 84 עמודים |
![]() מגזין גיליון מס' 31 של המגזין Digital Whisper. המאמרים בגיליון: מנגנוני אבטחה באנדרואיד, מידע דליף, עיצוב תעבורה, פיתוח מערכות הפעלה - חלק ב', DLP - Data leakage Prevention, פרטיות תעסוקתית. |
Digital Whisper | ![]() מסמך מודפס 976 הורדות 64 עמודים |
![]() מגזין גיליון מס' 32 של המגזין Digital Whisper. המאמרים בגיליון: NetBios Name Service Spoofing, ecurity Tokens וכרטיסים חכמים, שימוש בעקרונות האי-וודאות למניעת מתקפות Man In The Middle. |
Digital Whisper | ![]() מסמך מודפס 1129 הורדות 62 עמודים |
![]() מגזין גיליון מס' 33 של המגזין Digital Whisper. המאמרים בגיליון: על המימוש הפנימי של אובייקטים וטיפוסים ב-NET., מבוא ל-Fuzzing, סקירה על דיני הגנת הפרטיות ויסודות בפרטיות, SecurityTokens - גניבת Session פעיל, תפיסות אבטחה במציאות משתנה. |
Digital Whisper | ![]() מסמך מודפס 1186 הורדות 58 עמודים |
Digital Whisper - הגליון הראשון | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר המסביר מהן מתקפות Privilege Excalation, בנוסף למספר דוגמאות הקיימות במערכת ההפעלה Windows. |
cp77fk4r | ![]() מסמך מודפס 2648 הורדות 10 עמודים |
![]() מאמר הצגת דרך מעניינת לביצוע Packing על קבצים בינארים וכך לשנות את חתימתם הדיגיטלית, כולל הדגמה שלב אחרי שלב על קובץ דוגמא. |
הלל חימוביץ' | ![]() מסמך מודפס 2567 הורדות 6 עמודים |
![]() מאמר הצגה ראשונית של עולם הבינה המלאכותית, כמו שהוא בימים אלו. הצגת מונחי יסוד, סוכן אינטליגנטרי והצגת בעיות כגרפים. מאמר ראשון מתוך סדרת מאמרים. |
ניר אדר | ![]() מסמך מודפס 3312 הורדות 4 עמודים |
![]() מאמר מנעולי צילינדרים - כיצד הם עובדים וכיצד ניתן לפרוץ מנעולים אלה. המידע ניתן ללימוד בלבד ואין להשתמש בו למטרות לא חוקיות! |
cp77fk4r | ![]() מסמך מודפס 3076 הורדות 11 עמודים |
![]() מאמר מאמר מקיף מאוד המסביר על פרוטוקול ה-WEP, על עקרונות האבטחה והליקויים בהם. |
הרצל לוי | ![]() מסמך מודפס 2544 הורדות 16 עמודים |
![]() מאמר מסמך ראשון מתוך סדרת מסמכים הבאה להציג לקורא מהי רקורסיה בשפת C, איך משתמשים בה ומה הבעיתיות שעלולה להתעורר משימוש ברקורסיה. |
ניר אדר | ![]() מסמך מודפס 5495 הורדות 11 עמודים |
![]() מאמר התקפת Response Splitting היא התקפה התוקפת את פרוטוקול ה-HTTP. ההתקפה מאפשרת לתוקף לפרק את ה-Response הנשלח לקורבן למספר תגובות, ואף לשלוט על פעולת הלקוח על ידי ה-Header. המאמר מסביר על ההתקפה ומלווה במספר דוגמאות מוחשיות. |
cp77fk4r | ![]() מסמך מודפס 2445 הורדות 9 עמודים |
Digital Whisper - הגליון השני | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר משפחת הפרוטוקולים SSL&TLSP ודרכי התמודדותם עם המתקפות השונות עליהם. |
cp77fk4r | ![]() מסמך מודפס 2166 הורדות 12 עמודים |
![]() מאמר איך לגשת לקובץ שביצעו עליו Packing, ואיך לזהות ולעקוף מספר מנגנוני "Anti-Reversing" למיניהם. |
Zerith | ![]() מסמך מודפס 1946 הורדות 12 עמודים |
![]() מאמר דרכי הטעינה הפופולאריות שבהן משתמשים כותבי הוירוסים למערכות חלונאיות במהלך השנים. |
cp77fk4r | ![]() מסמך מודפס 2351 הורדות 14 עמודים |
![]() מאמר מאמר המציג את החולשות הקיימות בטכנולוגיית ה- RFID, אופן ביצוע המתקפות עליהן ודרכי ההתמודדות איתן. |
cp77fk4r | ![]() מסמך מודפס 2141 הורדות 7 עמודים |
![]() מאמר מספר דרכים לשיפור אבטחת השרת שלכם ע"י שימוש בטכניקת ה-Knocking. |
cp77fk4r | ![]() מסמך מודפס 2187 הורדות 8 עמודים |
![]() מאמר ניהול הרשאות ברשת האירגונית הממודרת, על תפקיד ה- Kerberos ועל מנגנון אימות הזהויות. |
cp77fk4r | ![]() מסמך מודפס 1836 הורדות 6 עמודים |
![]() מאמר הרעיון הכללי העומד מאחורי מתקפות DNS Cache Poisoning, על החולשות בפרוטוקול ה-DNS ועל דרכי ההתמודדות איתן. |
cp77fk4r | ![]() מסמך מודפס 5264 הורדות 13 עמודים |
Digital Whisper - הגליון השלישי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר הסוקר את הדילמות של עולם ה-PKI והפתרונות הקיימים לכל דילמה ודילמה. |
הלל חימוביץ' | ![]() מסמך מודפס 2072 הורדות 14 עמודים |
![]() מאמר כיצד ניתן לנצל עובדות על העין האנושית כדי לבנות אלגוריתמי סגנו חכמים. |
cp77fk4r | ![]() מסמך מודפס 1796 הורדות 8 עמודים |
![]() מאמר מידע על הפרוטוקולים המרכיבים את ארכיטקטורת ה-IPSec ואת דרכם להגן מפני איומים שונים. |
סולמני יגאל | ![]() מסמך מודפס 1800 הורדות 8 עמודים |
![]() מאמר מאמר המסביר על העבודה מול IPTables בכדי להגביר את אבטחת הלינוקס שלכם. |
cp77fk4r | ![]() מסמך מודפס 1874 הורדות 11 עמודים |
![]() מאמר עקרונות התיכנות הגנרי בשפת התיכנות #C. |
ניר אדר | ![]() מסמך מודפס 5525 הורדות 12 עמודים |
![]() מאמר מדריך להתקנת הפצת BackTrack כ- LiveUSB במצב של Persistent Changes. |
cp77fk4r | ![]() מסמך מודפס 1719 הורדות 11 עמודים |
Digital Whisper - הגליון הרביעי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר ישנן דרכים רבות לאסוף מידע על שרתי HTTP. אחת הדרכים המוכרות ביותר היא בעזרת איסוף ה-HTTP Fingerprints שלהם. Fingerprint הוא שם כולל לערך, תגובה או פעולה מסויימת הייחודית עבור שירות מסויים אשר בעזרתו נוכל לזהות את המוצר או את גירסתו. |
cp77fk4r | ![]() מסמך מודפס 2512 הורדות 13 עמודים |
![]() מאמר שיטת ההצפנה RSA היא אחת משיטות ההצפנה החשובות ביותר בעולם כיום. למרות מאמצים כבירים שנעשים בתחום, ולמרות כמה אלגוריתמים מתוחכמים שמפרקים לגורמים מספרים ענקיים יחסית מהר, הקרב עדיין אבוד - האלגוריתמים המהירים ביותר הם עדיין לא יעילים מספיק. מאמר זה מציג פתרון (שגוי), מסביר מדוע הוא שגוי ומעט על הקושי שבשבירת RSA |
גדי אלכסנדרוביץ' | ![]() מסמך מודפס 3021 הורדות 7 עמודים |
![]() מאמר שיטות קלאסיות לביצוע Anti-Debugging. במהלך המאמר נציג שיטות אלה משני צדדים: בתור מתכנת - נבין איך מבצעים פעולות Anti-Debugging שונות ובתור Reverser- נראה כיצד ניתן לעקוף אותן |
Zerith | ![]() מסמך מודפס 1931 הורדות 13 עמודים |
![]() מאמר חברת מיקרוסופט פיתחה מנגנון שימושי אשר מאפשר למתכנתים להרחיב את יכולות בסיס הנתונים שלהם מעבר לשפות השאילתות הרגילה (SQL) ומעבר לשפת הפרוצדורות (Stored Procedures), ע"י הכנסת השימוש בכתיבה של קוד .NET של ממש, אשר ירוץ ישירות על שרת ה-SQL. מייקרוסופט איפשרה למתכנתים חופש פעולה גדול יותר, אך היא גם פתחה בפני האקרים פתח להרצה של קוד על שרת ה-SQL שלה. |
מרון סלם (HMS) | ![]() מסמך מודפס 1734 הורדות 7 עמודים |
![]() מאמר רקורסיה היא כלי שיאפשר לנו לפתור בעיות בקלות יחסית ובאופן קצר מאשר פיתרון איטרטיבי (פתרון ללא רקורסיה). לא כל בעיה מתאימה לרקורסיה, אך יש לא מעט בעיות שהפתרון הרקורסיבי שלהן יהיה שורות ספורות, לעומת פתרון איטרטיבי מסובך. מסמך זה מציג את נושא האלגוריתמים הרקורסיביים למתחילים. |
ניר אדר | ![]() מסמך מודפס 6432 הורדות 13 עמודים |
![]() מאמר מפתחי ה-PHP יצרו עבור בונה האתר מספר פונקציות כדוגמת הפונקציה move_uploaded_file, שמעלה קבצים לשרת. הפונקציה עושה את עבודתה בצורה יפה מאוד, אך משאירה את האחריות לבדוק את הקובץ בידי המתכנת עצמו. נתמקד במאמר זה בפרצות נפוצות ואפשריות שנוצרות בעת תיכנות מערכות העלאת קבצים |
Hyp3rInj3cT10n | ![]() מסמך מודפס 2909 הורדות 17 עמודים |
![]() מאמר רכיב ה-HTAccess הוא אחד ממרכיבי הקונפיגורציה הבסיסית של שרתי ה-Apache. קובץ זה אחראי על הקונפיגורציה המקומית של התיקיה אליה אנחנו ניגשים: הוא קובע מי יוכל לגשת לאיזה תיקיה, איך היא תתנהג: איך היא תציג לנו את הקבצים, איזה קבצים יהיו נגישים ואילו ידרשו סיסמא לפני הכניסה אליהם, התייחסות שונה לפרמטרים ב- ,URLקביעת דפי שגיאה (404403 וכו') מוגדרים מראש, אילו מתודות יפעלו על תוכן התיקיה וכו'. במאמר זה נכיר את ה-HTAccess ואפשרויות שונות שבו |
cp77fk4r | ![]() מסמך מודפס 2204 הורדות 9 עמודים |
Digital Whisper - הגליון החמישי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר הטלפוניה Asterisk, מרכזיית תוכנה המשוחררת כקוד פתוח, המרכזייה עצמה שינתה את פני הטלפוניה בעולם בכלל ובישראל בפרט אך לדעתי נושא אבטחת המידע בתחום הטלפוניה אינו מקבל חשיפה ראויה. |
עידו קנר | ![]() מסמך מודפס 1635 הורדות 9 עמודים |
![]() מאמר ניהול זכויות דיגיטלי - הוא פשוט למדי - החברה המשתמשת במושג בוחרת להגביל את המשתמשים באמצעות טכניקות שונות - טכניקות אלו יכולות להיות קשורות בתוכנה או בחומרה ומטרתן להבטיח כי הצרכן של אותו המוצר לא יוכל להעביר את תוכן המוצר לאדם אחר |
LaBBa | ![]() מסמך מודפס 1723 הורדות 8 עמודים |
![]() מאמר המונח Meta Data הוא אחד מהמונחים החשובים ביותר בעולם ניהול המידע. שימוש נכון ב-Meta Data יכול לשפר משמעותית את יכולת הנגישות למידע, ואת אפקטיביות השימוש באותו מידע. המשמעות המילולית של המונח היא "מידע על מידע", כלומר שדות מידע שמוסיפים (אוטומטית או ידנית) למידע. |
cp77fk4r | ![]() מסמך מודפס 2389 הורדות 13 עמודים |
![]() מאמר Cofee - או בשמו המלא Computer Online Forensic Evidence Extractor, הוא למעשה כלי למטרות Forensics או יותר נכון טרום Forensics למערכות מבוססות Windows שפותח ע"י מיקרוסופט ומופץ דרך NW3C. הכלי מיועד לסייע לאנשי רשויות החוק לבצע איסוף נתונים מהיר ONLINE בזירת הפשע. התהליך מתוכנן לרוץ על גבי מדיה נתיקה ובמינימום מעורבות של החוקר. |
צבי קופר | ![]() מסמך מודפס 1888 הורדות 15 עמודים |
![]() מאמר Semantic HTML פירושו להשתמש ב-HTML כדי להגדיר משמעות (סמנטיקה) לחלקים בטקסט שלנו, בניגוד להגדרה בה משתמשים מתכנתים רבים, המגדירה רק את עיצוב הטקסט שלנו |
ניר אדר | ![]() מסמך מודפס 3304 הורדות 10 עמודים |
![]() מאמר על פי החוק, ידרשו בקרוב כל אזרחי ישראל לתת למדינה לאחסן בצורה דיגיטלית עותק מצילום הפנים שלהם וסריקה של שתי אצבעותיהם המורות. מידע זה ישמר במאגר ביומטרי, אליו תהיה גישה למטרות שיפורטו ועל ידי אנשים שיפורטו. בעוד שלשיטתי המאגר עצמו מהווה פגיעה בפרטיות, הרי שגם אם המאגר לא מהווה פגיעה בפרטיות, האפשרויות לניצול לרעה ופגיעה באזרח הנובעות ממהלך זה הן מהותיות. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 1679 הורדות 5 עמודים |
![]() מאמר במאמר זה נסביר את מושג הנקרא "פצצות Zip" (או Zip of Death או Zip Bombs). כמו כן נסביר איך ליצור אותה ואילו שימושים מעניינים ניתן לעשות איתה. פצצות Zip אלו קבצי Zip אשר נוצרו בעבר על מנת לגרום לקריסת מערכת ההפעלה. כיום, מערכות ההפעלה יודעות להתמודד איתן ולכן הן פחות מסוכנות למערכת ההפעלה- אך לאפליקציות אנטי-וירוס אשר לא נכתבו כך שיכולו "לטפל בהן" – הן מסוכנות מאוד. |
Crossbow ו-cp77fk4r | ![]() מסמך מודפס 3171 הורדות 12 עמודים |
Digital Whisper - הגליון השישי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מה זה בכלל בוטנט, מעגל החיים של בוטנט, טכניקת השימוש בבוטנטים, וניתוח הנזקים הנגרמים מבוטנטים. |
cp77fk4r | ![]() מסמך מודפס 2244 הורדות 11 עמודים |
![]() מאמר האורך של מערך ההיסטוריה הוא גלוי וזמין לכל אפליקציה ועל ידי ניצול תכונה זו ניתן להפר את מנגנון ה-Same Origin Policy |
אלכס רויכמן | ![]() מסמך מודפס 1684 הורדות 5 עמודים |
![]() מאמר תולעת הקונפיקר התגלתה לראשונה הנובמבר 2008, רבים הכתירו אותה כתולעת המסוכנת ביותר עד היום, ההערכות הן שיותר מ-12 מליון מחשבים נדבקו בתולעת. |
הרצל לוי ו-cp77fk4r | ![]() מסמך מודפס 1758 הורדות 12 עמודים |
![]() מאמר במהלך השנים נושא ה-Rootkits התפתח הן לצרכים יותר שליליים כגון Malwares והן ככלי לאכיפת מדיניות הגנות למשחקי רשת לדוגמא |
Zerith | ![]() מסמך מודפס 1855 הורדות 10 עמודים |
![]() מאמר למרות שנושא הפיירוולים מוכר לא כולם מכירים את השיטות השונות לביצוע הפעולות הנדרשות מ-Firewall ובכך עוסק מאמר זה. |
יגאל סולימאני ו-cp77fk4r | ![]() מסמך מודפס 2261 הורדות 8 עמודים |
![]() מאמר המאמר מתאר את צהליך ההתפנה, מנתח את שלבי ההצפנה השונים, מתאר פגיעות שונות במערכות הצפנה ומשווה בין שיטות ההצפנה BitLocker ו-EFS |
בנימין כהן | ![]() מסמך מודפס 2085 הורדות 7 עמודים |
Digital Whisper - הגליון השביעי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר ראשון מתוך שניים, המציג טעויות נפוצות בקרב מפתחי אפליקציות, בחלק הראשון המאמר יציג ויסביר את הטעויות ולמה הן יכולות לגרום והחלק השני יסקור את הפתרונות השונים הניתנים למימוש בכדי לפתור בעיות אלו. |
עידו קנר | ![]() מסמך מודפס 8931 הורדות 8 עמודים |
![]() מאמר מאמר המציג ניתוח של קוד Web זדוני, במאמר מתוארות השיטות והיכולות שבהן משתמשים כותבי התולעים כיום. |
cp77fk4r | ![]() מסמך מודפס 2185 הורדות 14 עמודים |
![]() מאמר מאמר טכני על דרכי הפעולה השונות המנוצלות בידי כותבי ה-Rootkits, המאמר בא כהמשך למאמר שפורסם בגליון השישי |
Zerith | ![]() מסמך מודפס 3681 הורדות 13 עמודים |
![]() מאמר מאמר המציג את טכנולוגיות ה-NAC השונות, מסביר על אופן מימושן, מסביר אילו בעיות הן פותרות לנו ואיך הן עושות את זה. |
רועי חורב | ![]() מסמך מודפס 1834 הורדות 9 עמודים |
![]() מאמר מאמר המציג סריקה טכנולוגית מלאה על טכנולוגיות TOR, מסביר כמה היא עוזרת לנו לשמור על האנונימיות שלנו ואיך היא מבצעת זאת. |
ליאור קפלן | ![]() מסמך מודפס 2016 הורדות 12 עמודים |
![]() מאמר מאמר המציג מספר בעיות הנושא האנונימיות בעידן שבו כל המידע נשמר באופן דיגיטלי, עד כמה הנתונים שלנו באמת חסויים והאם הדרכים בהן נוקטות הרשויות אכן מספיק חזקות בכדי למנוע מהמידע לדלוף. |
אריק פרידמן | ![]() מסמך מודפס 1755 הורדות 7 עמודים |
Digital Whisper - הגליון השמיני | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר תאורתי המציג את הנקודות הנוגעות באבטחת המידע שבהן נאלצות חברות הסלולאר להתעסק בכל הנוגע למכשירי הטלפון החכמים. |
רועי חורב | ![]() מסמך מודפס 1562 הורדות 7 עמודים |
![]() מאמר המאמר מקנה לקורא הבנה מעמיקה על קובץ הרצה, קריאות לפונקציות, ספריות וקומיפלציה תוך כדי דגש על ההתפחות שלהם לאורך ההיסטוריה. כמו כן הוא מכיל מדריך להידור קוד-מקור באסמבלי. |
יוסף רייסין | ![]() מסמך מודפס 1538 הורדות 12 עמודים |
![]() מאמר מאמר המנסה להשיב אש לכיוון אותם החבר'ה שעומדים מאחורי הדעה שהקוד הפתוח פחות בטוח. |
אורי עידן | ![]() מסמך מודפס 1484 הורדות 3 עמודים |
![]() מאמר בסקירה קצרה של החלטות בית המשפט, מציג עו"ד יהונתן קלינגר את השאלות והמקרים שעשויים יותר מכל להגדיר כיצד תשמר האנונימיות במרחב הוירטואלי עד שהמחוקקים יחליטו אחרת. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 1532 הורדות 4 עמודים |
![]() מאמר Playing with HTTP - מאמר מקיף מאוד המציג מספר רב של מתקפות שונות אותם ניתן לבצע על מאפייניו של הפרוטוקול HTTP ובכך לעקוף את מנגנוני האבטחה אשר מסתמכים על מאפיינים אלו. |
Hyp3rInj3cT10n | ![]() מסמך מודפס 3546 הורדות 37 עמודים |
Digital Whisper - הגליון התשיעי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר מעניין מאוד המפרט על מערכות ה-IDS, מסביר מה תפקידן, אין הן עושות אותו ואיך להקים אחת כזאת באירגון. |
נתנאל שיין | ![]() מסמך מודפס 1571 הורדות 11 עמודים |
![]() מאמר מאמר מצוין המסביר על נושא ההוכחה באפס ידע, במאמר אריק מציג את הנושא ומציג מקרים הדורשים הוכחות בסיגנון זה. |
אריק פרידמן | ![]() מסמך מודפס 2285 הורדות 9 עמודים |
![]() מאמר מאמר נפלא של אביעד המסביר על אחת המתקפות האחרונות על פרוטוקול ה-DNS, מסביר ממה היא נגרמת, איך מבצעים אותה ואיך אפשר להתגונן מפניה. |
אביעד | ![]() מסמך מודפס 1981 הורדות 10 עמודים |
![]() מאמר מאמר המציג תוצאות מחקר שבוצע ע"י אביב המציג מספר חולשות בפרוטוקול ה-UPnP. המאמר מסביר איך חולשות אלו מאיימות על אבטחת האירגון. |
אביב ברזילי | ![]() מסמך מודפס 1437 הורדות 9 עמודים |
![]() מאמר מאמר מקיף, המציג את עולם הוירטואליזציה, מפרט ומסביר על סוגי הטכנולוגיות השונות למימוש וירטואליזציה ופתרונות Terminal הקיימים כיום בשוק. |
ניר ולטמן | ![]() מסמך מודפס 1745 הורדות 8 עמודים |
![]() מאמר מאמר מעניין במיוחד המציג מספר נקודות חשובות שיש להתייחס אליהן בעת פיתוח אפליקציות למערכת ההפעלה אנדרואיד, בנוסף מציג אייל את מודל האבטחה הממומש במערכת. |
אייל גל | ![]() מסמך מודפס 2053 הורדות 8 עמודים |
![]() מאמר מאמר המשך למאמר שפורסם בגליון השביעי, המאמר מציג את הדרכים הנכונות לפיתוח מאובטח והמנעות מהסעיפים אשר הוצגו במאמר הקודם. |
עידו קנר | ![]() מסמך מודפס 1763 הורדות 9 עמודים |
Digital Whisper - הגליון העשירי | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר משובח המציג את התיאוריה מאחורי טכניקות ה-Hooking השונות, את ההבדלים בינהם, איך ניתן לבצען ומה ניתן להשיג בעזרתן. |
Zerith | ![]() מסמך מודפס 2115 הורדות 10 עמודים |
![]() מאמר מאמר מרתק של עו"ד קלינגר העוסק בסוגיה מהו מסמך מקורי ומהו העתק של מסמך כאשר אנו מדברים על מסמך אלקטרוני, ומציג הצצה למצב הנוכחי במדינת ישראל. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 1387 הורדות 6 עמודים |
![]() מאמר מאמר המציג סקירה והצצה לעולם מתקפות ה-Drive By, מסביר עקרונות דרכי פעולה והשימושים בהן. |
cp77fk4r | ![]() מסמך מודפס 2434 הורדות 12 עמודים |
![]() מאמר מאמר מצוין המסביר מהן מתקפות ClickJacking, מציג את התפתחותן, דרכי התקפה והגנה. |
שלומי נרקולייב | ![]() מסמך מודפס 3034 הורדות 9 עמודים |
![]() מאמר מאמר מעניין ביותר המציג את טכנולוגית ה-WAFs, הצורך והשימוש בהן, בנוסף כולל המאמר הסבר קצר על הקמת WAFs מבוסס קוד פתוח באופן עצמאי. |
נתנאל שיין | ![]() מסמך מודפס 1782 הורדות 8 עמודים |
Digital Whisper - הגיליון האחד עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר המציג טכניקות שונות בנושא הסטגנוגרפיה החזותית-דיגיטלית, ומראה את היתרונות והחולשות שבכל אחת ואחת. |
cp77fk4r | ![]() מסמך מודפס 1332 הורדות 10 עמודים |
![]() מאמר מאמר המציג מחקר בנושא ה-Fuzzing ומציאת חולשות תוך כדי הבאת דוגמה מדרייברים של כרטיסי רשת אלחוט |
אביב ברזילי | ![]() מסמך מודפס 1107 הורדות 14 עמודים |
![]() מאמר מאמר המסביר על תהליך הבאת ראיות דיגיטליות בבתי משפט, כיצד נכון להגיש אותן ואיך אפשר לקבוע את אמינותן. |
עומר כהן | ![]() מסמך מודפס 1151 הורדות 7 עמודים |
![]() מאמר מאמר המסביר מהו רכיב ה-Proxy, אילו סוגים קיימים, ואילו שימושים הם מספקים לארגונים השונים. |
רועי חורב | ![]() מסמך מודפס 1300 הורדות 7 עמודים |
![]() מאמר מאמר בנושא מלכודות הדבש - HoneyPots, סוגיהן, תפקידיהן וכיצד הן עוזרות לנו להזהר מפני סכנות ותוקפים שונים. |
נתנאל שיין | ![]() מסמך מודפס 1180 הורדות 15 עמודים |
![]() מאמר מאמר מקיף בנושא Buffer Overflow: מציאת חולשות Buffer Overflow בשיטות White Box ו-Grey Box, ניצולן, כתיבת אקספלויט מתאים והטמעתו ב-Metasploit. |
שי רוד | ![]() מסמך מודפס 1337 הורדות 63 עמודים |
Digital Whisper - הגיליון השנים עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר המסביר מה הופך אלגוריתם תמצות לאלגוריתם חזק, מה הן Hash Collisions, איך הן פוגעות באמינותו ובחוסנו של האלגוריתם וכיצד תוקף יכול לנצלן לטובתו. |
cp77fk4r ו-גדי אלכסנדרוביץ' | ![]() מסמך מודפס 1102 הורדות 8 עמודים |
![]() מאמר מאמר המציג את תהליך פריצתו של Crack-me מיוחד במינו. במאמר אורי מציג את דרך חשיבתו מפתיחת הדיבאגר ועד פריצתו תוך כדי ניתוח ומעקפים יצירתיים ביותר. |
Zerith | ![]() מסמך מודפס 1253 הורדות 18 עמודים |
![]() מאמר מאמר המציג את הדרכים בהן חברות/אתרים משתמשים בכדי לעקוב אחר הגולשים שלהם, האם באמת ניתן לגלוש בצורה אנונימית באינטרנט כיום, ועד כמה אנחנו מודעים לזה. |
אריק פרידמן | ![]() מסמך מודפס 1155 הורדות 13 עמודים |
![]() מאמר מאמר המציג את הדילמה האם ניתן לחייב אדם למסור את סיסמאת המחשב שלו או את הסיסמה שמצפינה כונן קשיח במסגרת חקירה פלילית או במסגרת הליך אזרחי. האם בחוקה של מדינתינו קיימת תשובה ברורה לנושא? |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 1093 הורדות 4 עמודים |
![]() מאמר תרגום של המאמר אשר הוצג כמצגת בכנס האקרים DEFCON האחרון (18) ע"י יצחק אברהם, המאמר מציג טכניקות לניצול של Stack-Based Overflows תחת מיקרו-מעבדי ARM. |
יצחק אברהם | ![]() מסמך מודפס 1108 הורדות 15 עמודים |
![]() מאמר מאמר המסביר מה היא חולשת ה-DLL Search Order Hijacking, ממה היא נגרמת, איך ניתן לנצל אותה במקרים השונים, איך ניתן להתגונן מפניה ועוד. |
TheLeader | ![]() מסמך מודפס 1121 הורדות 22 עמודים |
![]() מאמר אמר ההמשך למאמר בנושא בינה מלאכותית מהגליון הראשון של המגזין. המאמר מציג שני אלגוריתמים מתורת הגרפים - BFS ו-DFS, ומסביר איך הם משתלבים בעולם הבינה המלאכותית. |
ניר אדר | ![]() מסמך מודפס 1900 הורדות 9 עמודים |
Digital Whisper - הגיליון השלושה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר מפורט המסביר ומציג מספר דרכים בהן ניתן להזריק קוד לתהליך רץ תחת מערכת ההפעלה Windows. |
אוראל ארד | ![]() מסמך מודפס 1128 הורדות 16 עמודים |
![]() מאמר מאמר המציג את נושא ההצפנה בדין הישראלי. יתכן שבשימוש ב-Firefox במדינת ישראל אנו עוברים על החוק? |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 1058 הורדות 5 עמודים |
![]() מאמר מאמר המציג חולשות נפוצות באפליקציות Web Services מבוססות XML, איך ניתן לנצל חולשות אלו, ומה ניתן לעשות בכדי להתגונן בפניהן. |
cp77fk4r | ![]() מסמך מודפס 1111 הורדות 12 עמודים |
![]() מאמר המאמר השלישי בסדרת המאמרים בנושא בינה מלאכותית ומערכות לומדות. במאמר זה נראה פתרון אפשרי לחידה אותה השאיר אורי במאמר מבוכים וסריאלים. |
ניר אדר | ![]() מסמך מודפס 1973 הורדות 25 עמודים |
Digital Whisper - הגיליון הארבעה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר המציג ניתוח מקיף ומפורט של התולעת החברתית Koobface, הניתוח כולל הצגת הפעולות שמבצעת התולעת, דרכי פעולת ה-Payloads שהיא מורידה למחשב, דרכי הפצתה, איתור ה-DropZone המשמש אותה והשבתתו. |
cp77fk4r | ![]() מסמך מודפס 1052 הורדות 19 עמודים |
![]() מאמר מאמר המסביר את החשיבות של להצמד לעקרון קירכהופס, על חוסר יעילותה של סודיות כאמצעי לאבטחת מידע או כהגנה על אלגוריתם קריפטוגרפי. |
אריק פרידמן | ![]() מסמך מודפס 1044 הורדות 7 עמודים |
![]() מאמר מאמר הסוקר את הדרכים בהן ניתן לבקש תפיסה של חומר מחשב, וכיצד מבוצעת התפיסה מבוצעת בפועל. בנוסף, המאמר מעלה מספר שאלות הנוגעות לשינויים שחלים כיום בעולם המחשוב והשפעתם על תהליך התפיסה בעתיד. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 1166 הורדות 5 עמודים |
![]() מאמר אמר המתאר את התהליך המתרחש בהפצות הלינוקס הנוגע לנושאי אבטחה של חבילות תוכנה ואילו מנגנוני אבטחה נמצאים בשימוש בכדי למנוע מגורמים זדוניים לחבל בתהליך, בנוסף, המאמר מציג מחקר שנערך בארה"ב העוסק בפרצות אבטחה במאגרי הפצות הלינוקס ושיטת ניהול החבילות. |
ליאור קפלן | ![]() מסמך מודפס 1125 הורדות 9 עמודים |
Digital Whisper - הגיליון החמישה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר הסוקר מספר דרכים בהן תוקפים מבצעים שימוש בכדי לזהות ולעקוף רכיבי Web Application Firewall שונים, הבנה של דרכי החסימה ומה ניתן לעשות בכדי לחמוק מאותם מצבים. |
cp77fk4r | ![]() מסמך מודפס 1106 הורדות 13 עמודים |
![]() מאמר מאמר הסוקר את בעיות הפרטיות כאשר מתחברים לרשתות אלחוטיות חופשיות שאינן מוצפנות, הן מבחינה משפטית והן מבחינה טכנולוגית. החומר במאמר הוצג לאחרונה בוועידה השנתית לאבטחת מידע ע"י כותבי המאמר. |
עורך דין יהונתן קלינגר ו-עומר כהן | ![]() מסמך מודפס 1118 הורדות 12 עמודים |
![]() מאמר מאמר הסוקר את ההגנות DEP ו-ASLR אשר נהפכו לפופולריות מאוד במערכות הפעלה "החדשות", מסביר אודותיהן, ומציג מקרים ודרכים בהם ניתן לעקוף אותן בכדי להגיע למצב של הרצת קוד תוך כדי ניצול חולשות Overflow באפליקציות מוגנות. |
אביב ברזילי | ![]() מסמך מודפס 1154 הורדות 17 עמודים |
![]() מאמר מאמר המציג את ממצאי המחקר שביצע עמנואל בנושא אבטחת מידע במספר תוספות נפוצות לדפדפן Firefox, המאמר סוקר את טכנולוגיות התוספות, איך הן משתלבות בדפדפן עצמו, כיצד ניתן לאתר התקנה של תוספות אלו מרחוק וכיצד ניתן לנצל את החולשות בהן. |
עמנואל בורנשטיין | ![]() מסמך מודפס 1113 הורדות 66 עמודים |
Digital Whisper - הגיליון השישה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר מאמר זה מסכם את תוצאות המחקר אשר ביצע ארז בנושא Managed Code Rootkits (בעקבותיו אף נכתב ספר), כאשר מטרתו העיקרית במחקר הנה לחשוף את רמת החומרה של בעיה זו לצורך העלאת המודעות לנושא. |
ארז מטולה | ![]() מסמך מודפס 990 הורדות 24 עמודים |
![]() מאמר במאמר זה, מציג הרצל דרך מעניינת לבצע עקיפה של מנגנונים לאיתור Malwares מבוססי חתימות קוד, כיצד ניתן לזהות היכן ממוקם הקוד החתום וכיצד ניתן לשנותו בכדי לעקוף את אותם מנגנונים. |
הרצל לוי | ![]() מסמך מודפס 1030 הורדות 10 עמודים |
![]() מאמר מתקפות ה-Padding Oracle נעשו לאחרונה מאוד פופולריות עקב מספר אירועים, במאמר זה מציג דנור את המתקפה, מסביר איך היא מתרחשת, למה, כיצד ניתן לבצעה ומה הן השפעותיה. |
![]() מסמך מודפס 1003 הורדות 14 עמודים | |
![]() מאמר במאמר זה, הפותח סדרת מאמרים חדשה, מציג שלמה את עולם נ?ת??ח?י ה-XML והרבדים הקיימים בו, במהלכו מציג שלמה את המתקפות אשר ניתן לבצע על אותן השכבות מימוש שמרכיבות את מנועי ניתוח ה-XML בשירותים השונים. |
![]() מסמך מודפס 1031 הורדות 13 עמודים | |
![]() מאמר במאמר זה, מציג שלומי סיכום קצר של עולם מתקפות ה-Web מזווית ה-Client Side, מה הן ההגנות הקיימות כיום למשתמש הפשוט והאם הן באמת עונות על הקריטריונים. בנוסף, מציג שלומי מערכת חדשה אשר תפקידה להגן מפני אותם מתקפות. |
שלומי נרקולייב | ![]() מסמך מודפס 1009 הורדות 10 עמודים |
Digital Whisper - הגיליון השבעה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר ADS הוא נושא מאוד מעניין ושנוי במחלוקת במערכת הקבצים NTFS. התמיכה ב-ADS מאפשר למשתמש לבצע מספר דברים מעניינים מאוד הקשורים לאבטחת מידע. מאמר זה סוקר מספר מאפיינים בנושא. |
cp77fk4r | ![]() מסמך מודפס 1057 הורדות 10 עמודים |
![]() מאמר מתחילת שנות ה-2000 הצד המסחרי של האינטרנט תפס תאוצה, ואיתו התפתחה גם תעשיית הפשע המקוון. הפעילות ההאקרית עברה בהדרגה מ"כלכלת מוניטין" לכלכלה של מזומנים. כמה כסף אפשר להרוויח מפשע מקוון? במאמר זה, סוקר אריק את המניעים מאחורי התעשייה הזאת. |
אריק פרידמן | ![]() מסמך מודפס 1018 הורדות 8 עמודים |
![]() מאמר מאמר זה סוקר את השיטות לחשיפת גולשים ללא הפרת החוק וללא פגיעה בפרטיות, תוך כדי התייחסות לשיטות הקיימות לזיהוי שני סוגים שונים של גולשים: גולש המפעיל אתר אנונימי וגולש המייצר תוכן באתר זר. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 1147 הורדות 9 עמודים |
![]() מאמר מאמר זה הינו מחקר שביצע עמנואל בנושא פריצת מערכות קיוסק אינטראקטיביות מבוססות Firefox, במאמר זה סוקר עמנואל וקטורי תקיפה מוכרים ומציג וקטורי תקיפה שפותחו במהלך המחקר. בנוסף מציג עמנואל מספר דרכים בהן ניתן להקשיח את אותן העמדות. |
עמנואל בורנשטיין | ![]() מסמך מודפס 1070 הורדות 34 עמודים |
Digital Whisper - הגיליון השמונה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר במאמר זה אורי ידגים טכניקות מעניינות כיצד ניתן לשלוט על תהליך הרץ במערכת ההפעלה Windows, כיצד ניתן לערוך את את הזכרון שלו ובכך להשפיע על ריצתו. |
אורי להב | ![]() מסמך מודפס 1134 הורדות 10 עמודים |
![]() מאמר מאמר זה הינו תרגום של עבודה שהגיש קיריל לשציבר על עולם אבטחת ה-DNS. בנוסף לכך, מציג קיריל אלגוריתם שפותח במסגרת עבודה זו: אלגוריתם בשם Delay Fast Packets שנועד לאתר ולמנוע מתקפות שונות על שרת ה-DNS. |
קיריל לשצ'יבר | ![]() מסמך מודפס 1018 הורדות 32 עמודים |
![]() מאמר IAT Hooking - היא אחת משיטות ה-Hooking הנפוצות ביותר ב-Userland, במסגרת מאמר זה, אוריאל מציג בצורה פרקטית כיצד לבצע אותה בכדי לשלוט על זרימתו של תהליך הרץ במערכת ההפעלה ובכך לגרום לו לבצע דברים שלא היה אמור לבצע תחת ריצה טבעית. |
אוריאל מלין | ![]() מסמך מודפס 1144 הורדות 11 עמודים |
![]() מאמר במאמר זה הרצל מסקר כיצד ניתן לבצע מניפולציות על הדפדפן Internet Explorer על ידי טכנולוגיית ה-Browser Helper Object, במהלך המאמר הרצל מציג מספר מתקפות שניתן לבצע ובכך לגרום לדפדפן לשלוח לתוקף מידע, לנתב את הגולש לאתרים שונים ואיך לנהל שאר אירועים שונים. |
הרצל לוי | ![]() מסמך מודפס 1045 הורדות 7 עמודים |
Digital Whisper - הגיליון התשעה עשר | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר במאמר זה אורי מסביר כיצד ניתן לכתוב מנוע גנרי להדבקת קבצים בינארים, כגון מנועים אשר תולעים משתמשות בהם בכדי להזריק קוד בינארי לתוך קבצי הרצה (PE) על מנת לגרום להרצתן / הרצת פקודות זדווניות בעת הרצת אותו הקובץ מבלי לפגוע בריצתו התקינה. |
אורי להב | ![]() מסמך מודפס 1036 הורדות 9 עמודים |
![]() מאמר במאמר זה, מאמר שני בסידרה, אפיק מציג חקירה "פסיבית" (יחסית) על אירוע התקפת בוטי Enzyme. מתוך המאמר ניתן להבין כיצד לזהות מקרים כאלה, וכיצד ניתן לחקור אותם בכדי ליזום תקיפה על אותה הרשת. |
cp77fk4r | ![]() מסמך מודפס 990 הורדות 14 עמודים |
![]() מאמר מאמר זה הינו הרחבה של הרצאה שהעביר עו"ד יהונתן קלינגר במסגרת CloudCon 2011. מאמר זה נוגע בהיבט המשפטי של הפרטיות וההגנה על מידע כאשר הוא מאוחסן בשירות הענן, האם קיים כיום פתרון מושלם שיוכל לאפשר נגישות מספקת, אך גם הגנה ופרטיות בו זמנית? |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 948 הורדות 6 עמודים |
![]() מאמר במאמר זה נציג לכם מספר דרכים להשתמש ברשת האינטרנט כדי לאתר מידע, כשלצורך הדוגמה ניקח את חברת נו סקין ונראה מה נוכל להגיד עליה. |
ניר אדר | ![]() מסמך מודפס 1111 הורדות 22 עמודים |
Digital Whisper - הגיליון העשרים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר במאמר זה מסביר אורי על Userland Rootkits. אורי לוקח את הנושא צעד אחד קדימה ומציג את הנושא באופן מעשי, על ידי הסבר תיאורי ופרקטי- כיצד ניתן לכתוב Userland Rootkit שמבצע מניפולציות על התוכניות Explorer.exe ו-Cmd.exe ובכך לגרום להם להסתירו מהמשתמש. |
אורי להב | ![]() מסמך מודפס 1083 הורדות 8 עמודים |
![]() מאמר מאמר מקיף ביותר על עולם ה-Procotol Tunneling, כלי שבתחילה בוצע בו השימוש למטרות אבטחת מידע ולאט לאט נעשה בו השימוש למטרות שונות, כגון עקיפת מנגנוני Routing שונים ברשת, מנגנוני סינון תקשורת ועוד. במאמר מציג יהודה את הרעיון הבסיסי, העקרונות העומדים מאחוריו, בנוסף הוא נותן מספר דוגמאות פרקטיות ומסביר כיצד ניתן לממשם. |
יהודה גרסטל | ![]() מסמך מודפס 1060 הורדות 20 עמודים |
![]() מאמר במאמר זה, מציג שי, כלים ודרכים רבות לבצע בדיקות חוסן על מערכות טלפוניית VoIP, במאמר מציג שי את הפרוטוקול SIP, מציג כיצד עובדות מערכות אלו, את החולשות הקיימות בהן, כיצד ניתן לאתר אותן, באילו כלים ניתן להשתמש, ועוד הרבה. אחת הסיבות העיקריות לכתיבת מאמר זה היא העובדה שמערכות טלפוניה מבוססות IP נעשות פופולאריות וארגונים רבים מסתמכים על כך שהחברות שמספקות ומתקינות מערכות אלו מבצעות את עבודתן כראוי ומבלי לקחת בחשבון את ההשלכות והסיכונים בהיבטים של אבטחת המידע. |
שי רוד | ![]() מסמך מודפס 1662 הורדות 39 עמודים |
Digital Whisper - הגיליון העשרים ואחד | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר במאמר זה אורי יציג מימוש של טכניקה להסתרת קבצים ותהליכים ספציפיים על-ידי Rootkit שרץ ב-Ring0. הטכניקות הוצגו בעבר במאמר של אורי (Zerith) ובמאמר זה אורי (vbCrLf) מימש אותם ומביא לנו מאמר פרקטי ומעולה. |
אורי להב | ![]() מסמך מודפס 976 הורדות 14 עמודים |
![]() מאמר במאמר זה, נותן לנו ד"ר אור דונקלמן הצצה לעולם פונקציות התמצות הקריפטוגרפיות ומסביר למה הן נועדו. במהלך המאמר מסביר אור על הבעיה העיקרית העומדת בפני מי שבא להגדיר פונקציה כזו ועל התהליך בו חברי קהילת הקריפטוגרפים בעולם מנסים ליצור את הפונקציה הטובה ביותר. |
אור דונקלמן | ![]() מסמך מודפס 1105 הורדות 6 עמודים |
![]() מאמר פיתוח מאובטח שונה לחלוטין מפיתוח שאינו מאובטח. קטע קוד יכול לבצע את הפעולה שאותה הוא התבקש לבצע באופן מעולה. אבל אם לא מתחשבים באבטחת מידע כאשר כותבים את הקוד- אותו הקוד עלול לבצע עוד מספר רב של פעולות שאותן לא כדאי שהוא יבצע. במאמר זה מציג לנו אדיר מספר נקודות שחשוב לשים לב אליהן כאשר כותבים קוד. |
אדיר אברהם | ![]() מסמך מודפס 1019 הורדות 7 עמודים |
![]() מאמר AppArmor הינה מערכת MAC למערכות לינוקס, תפקידה של המערכת הוא להגביר את אבטחת ריצת התהליכים הרצים במערכת ההפעלה על-ידי ניהול הקצאת המשאבים אליהם ניגשים התהליכים בעת הריצה, במאמר זה מציג עמנואל את המערכת, איך היא בנוייה, מציג את מרכיביה וכן מציג מספר טכניקות בהן תוקף (הן מקומי והן מרוחק) עשוי להשתמש בכדי לעקוף אותה. מאמר זה הינו חלק ראשון מתוך שני חלקים הסובבים את הנושא. |
עמנואל בורנשטיין | ![]() מסמך מודפס 971 הורדות 28 עמודים |
Digital Whisper - הגיליון העשרים ושניים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר במאמר זה נותן לנו Ender הצצה לעולם ה-"Malware Research" אשר בשנים האחרונות החל לצבור תאוצה רבה, ע"י סקירה של הסוס-הטרויאני "Zeus / ZBot". במאמר, Ender מציג כיצד מבצעים השתלטות מוחלטת על שרת ה-ZropZone של Zeus(גרסה 1x), תוך כדי ניצול חולשה במנגנון ההצפנת התקשורת של הבוט עם השרת. |
Ender | ![]() מסמך מודפס 9330 הורדות 18 עמודים |
![]() מאמר במאמר זה אורי (Zerith) מציג לנו את הפתרון שלו לאתגר שפורסם על ידי Ratinh0. הסעיף המרכזי באתגר של Ratinh0 היה "למצוא את הפתרון המורכב והמסובך ביותר לאתגר". Zerith החליט לקחת את הסעיף הזה ברצינות, ואנחנו הרווחנו מאמר מעולה. |
Zerith | ![]() מסמך מודפס 1051 הורדות 10 עמודים |
![]() מאמר כולנו משתמשים בשירותי אינטרנט באופן יום-יומי, חלקנו אף מנהלים שרת או מספר שרתים כאלה, אך השאלה היא האם אנו עושים זאת באופן מאובטח ומוקשח? במאמר זה מציג לנו אדיר מספר עקרונות (ודרכים לממש אותם) חשובים בכדי להפוך את רמת האבטחה של השרת. |
אדיר אברהם | ![]() מסמך מודפס 1060 הורדות 10 עמודים |
![]() מאמר מאמר זה הוא תרגום לעברית של המאמר המעולה שפורסם על ידי שי חן. במאמר מציג שי סוג חדש של וקטור לתקיפת מערכות אינטרנט אפליקטיביות שעד לאחרונה נחשב כלא אפשרי. המונח Session Puzzle מתאר חשיפה אשר מאפשרת לפורצים לבצע שלל התקפות המבוססות על שינוים המבוצעים בזיכרון הזמני (או הקבוע) בצד השרת (Session) המשויך למשתמש ספציפי. |
cp77fk4r | ![]() מסמך מודפס 981 הורדות 16 עמודים |
![]() מאמר במאמר הבא מנסה עידו נאור לתת הצצה לעתיד הלא-כל-כך-רחוק של העולם הרפואי בנוגע לאבטחת המידע. עולם הרפואה מתקדם במהירות לעבר השימוש בטכנולוגיות חדישות וחדשניות בכדי לייעל את הטיפול בחולים, וכולנו יודעים שכאשר משתמשים בטכנולוגיות חדשות- יש מקום גם לפרצות אבטחה חדשות. אך הפעם, ניצול פרצות בטכנולוגיות כאלה לא יוביל לזליגת של הפרטים האישיים של המטופל או ריקון חשבון הבנק שלו, אלא יכול להוביל להרג. |
עידו נאור | ![]() מסמך מודפס 939 הורדות 5 עמודים |
Digital Whisper - הגיליון העשרים ושלושה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר במאמר זה (ראשון מתוך צמד מאמרים) סוקר רועי טכניקות תקיפה שונות לניצול חולשות הקיימות במערכות WEB המאפשרות לתוקף להגיע למצב של הרצת קוד על שרת ה-HTTP, בנוסף, במהלך צמד המאמרים יציג רועי פונקציות PHP שונות אשר ניתן להשתמש בהן כתיבה של PHP Shells. |
Hyp3rInj3ct10n | ![]() מסמך מודפס 1043 הורדות 19 עמודים |
![]() מאמר בקרוב מאוד יחל הפיילוט של המאגר הביומטרי פה בארץ, רבים סבורים כי מדובר בבדיחה, עו"ד יהונתן קלינגר ינסה להציג במאמר זה את הסיבות לכך ולמה לדעתו לא רק מדובר בבדיחה, אלא בבדיחה לא ממש מוצלחת. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 947 הורדות 5 עמודים |
![]() מאמר במאמר הבא, מציג בר טכניקות שונות לביצוע Reverse Engineering לקבצי Net., בנוסף, מציג בר את הטכניקות הנפוצות כיום להגנה על תוכנות מסוג זה בעזרת כלי Code-Obfuscation שונים על מנת להקשות כמה שיותר על ה-Reverser. מאמר זה הוא חלק ראשון מצמד מאמרים. |
בר | ![]() מסמך מודפס 966 הורדות 19 עמודים |
![]() מאמר IPv6 לאט לאט נכנס לתודעה הציבורית (ולתמיכה במערכות השונות), הרעיון הוא שבעתיד הקרוב הפרוטוקול יחליף לחלוטין את פרוטוקול ה-IP הנוכחי (IPv4). כחלק מהארכיטקטורה שלו, אמור הפרוטוקול להיות פשוט יותר ומאובטח יותר. האם כך הדבר גם במציאות? זה לא נראה ככה, ונראה שהפרוטוקול יאלץ להשתנות בהרבה מקומות בכדי שהוא יוכל לתת את מה שהוא נדרש לספק. |
רועי חורב | ![]() מסמך מודפס 968 הורדות 8 עמודים |
![]() מאמר במאמר זה סוקר סשה גולדשטיין את המימוש של מנגנוני הסנכרון ב-Windows המוחצנים ל-User Mode, את חלק ממנגנוני הסנכרון הנמצאים בשימוש של ה-Kernel, את הרעיונות הבסיסיים של "סנכרון ללא סנכרון", ובדרך נתבונן בקצרה באבחון של בעיות נפוצות הקשורות בסנכרון במערכות Windows. |
סשה גולדשטיין | ![]() מסמך מודפס 998 הורדות 14 עמודים |
Digital Whisper - הגיליון העשרים וארבעה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר במאמר זה אפיק מציג אירוע שהתרחש במהלך החודש ובו בוצע ניסיון לפגוע במשתמשים באתר TryThis0ne.com ובא להמחיש לקורא למה לא מומלץ להשתמש בכלים השונים מבלי לדעת איך הם עובדים, וכי העבודה שבשימוש באופן כזה לא רק לא מקדמת אף אחד אלא יכולה להיות מסוכנת למשתמש ולפגוע בו. |
cp77fk4r | ![]() מסמך מודפס 1033 הורדות 12 עמודים |
![]() מאמר במאמר הבא, סוקר ד"ר אריק פרידמן את הרעיון עליו מבוססת תשתית ה-BitCoin, כיצד אופן המימוש שלה, המתבסס על עקרונות קריפטוגרפיים שונים מונע את האפשרות לביצוע הונאות שונות. |
אריק פרידמן | ![]() מסמך מודפס 1186 הורדות 13 עמודים |
![]() מאמר במאמר הבא, סשה מראה כיצד מערכת ההפעלה Windows מחליטה איזה חוט (Thread) יש להריץ, על איזה מעבד יש להריצו(במקרים ובהם יש מספר מעבדים), כיצד ניתן להשפיע על החלטות אלה, ואילו אופטימיזציות ושיקולים משפיעים על ההחלטות האלה כתוצאה משינויי החומרה של השנים האחרונות. |
סשה גולדשטיין | ![]() מסמך מודפס 1082 הורדות 12 עמודים |
![]() מאמר במאמר זה מציג שלמה את מקרה של חברת KissMetrics, חברה העוסקת במכירת מידע על הרגלי הגלישה של המשתמשים באינטרנט וגלישתם באתרים השונים. בכדי לעקוב אחר המשתמשים, החברה עשתה שימוש במספר טכניקות מעניינות. אחת מהן מוצגת במאמר זה. |
שלמה יונה | ![]() מסמך מודפס 1283 הורדות 6 עמודים |
![]() מאמר במאמר זה מציג עמיחי את עולם המפחות הציבוריים, כיצד הוא עובד, מהם היתרונותיו וחולשותיו ובאילו דרכים ניתן לממשו כבסיס לתשתית של רשתות תקשורת. |
עמיחי פרץ | ![]() מסמך מודפס 1045 הורדות 6 עמודים |
![]() מאמר במאמר זה סוקר אפיק מקרים בהן תולעי אינטרנט בצעו שימושים שונים בהנדסה חברתית בכדי להתפשט ברחבי האינטרנט, מטכניקות ישנות ופשוטות כגון אלו שמומשו על-ידי התולעים "I Love You" או "Anna kournikova" ועד לטכניקות מורכבות כגון אלו המתבצעות על-ידי תולעים שמופצות בימים אלו. |
cp77fk4r | ![]() מסמך מודפס 1101 הורדות 13 עמודים |
![]() מאמר במאמר זה, ראשון בסידרת מאמרים חדשה, מציגים לירן ואלעד מחקר שאותו ערכו בנושא חולשות אבטחה בתקן HTML5, במהלך המחקר מציגים אלעד ולירן את כיצד התגיות והתכונות שנוספו בתקן החדש ניתנות לניצול בכדי ליצור מתקפות חדשות ובכדי לשכלל ולשפר מתקפות ישנות. |
לירן בנודיס ו-אלעד גבאי | ![]() מסמך מודפס 1233 הורדות 25 עמודים |
Digital Whisper - הגיליון העשרים וחמישה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר גדי נותן נותן טעימה מעולם העקומים האליפטיים, עולם אשר זכה לפרסום נרחב לאחר הוכחת המשפט האחרון של פרמה ב-1993, המאמר מציג גדי רובד נוסף בהם נעשה השימוש בעקומיים אליפטיים - עולם הקריפטוגרפיה. במסגרת המאמר גדי מסביר מהו עקום אליפטי, ומה זו הצפנה המבוססת על עקומים אלו. |
גדי אלכסנדרוביץ' | ![]() מסמך מודפס 946 הורדות 9 עמודים |
![]() מאמר כאשר מתבצעת פעולה לא חוקית בין דפי האתר על-ידי גולש בעל אופי זדוני, במספר רב של המקרים יהיה מדובר בחיבור אשר יגיע משרת פרוקסי הנועד לצרכי כיסוי עקבות, במאמר הבא, מציג אדיר מספר טכניקות שונות המאפשרות לבעל שרת אינטרנט לזהות חיבורי אינטרנט המגיעים בשרתי פרוקסי ולחסום אותם. |
אדיר אברהם | ![]() מסמך מודפס 827 הורדות 9 עמודים |
![]() מאמר במאמר זה סוקר עו"ד יהונתן קלינגר את חוק "החוקרים הפרטיים ושירותי השמירה" בישראל, יהונתן דן על הוראות החוק ובשאלה כיצד ניתן לבצע חקירות אבטחת מידע מבלי לעבור על הוראות החוק. בנוסף, מציג יהונתן סקירה על החקיקה ועל ביצוע חקירות עבור אדם אחר ואת הבעיות בה, עם התמקדות בנושאים הקשורים לאנשי אבטחת המידע. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 824 הורדות 6 עמודים |
![]() מאמר הצפנת RSA תופסת מקום מכובד ביותר בחיינו במאה ה-21. אם ננסה לדמיין את עולמנו כיום בלי היכולת של הצפנה ע"י מפתח ציבורי, כנראה שהעולם היה אחר בתכלית. כל נקודה פיזית על הקו, כל שרת או נתב בדרך, היה יכול להפוך מאוד בקלות לנקודת האזנה לכל פרט מידע אשר יוצא ונכנס בשער. במאמר זה מסביר בעז את הבסיס המתמטי המשתמש את הרעיון עליו מבוססת הצפנה זו. |
בעז (tsabar) | ![]() מסמך מודפס 839 הורדות 9 עמודים |
![]() מאמר במאמר זה מציג עוז מתקפה בשם "DNS Cache Snooping" אשר פותחה במקור ע"י Luis Grangeia ופורסמה לראשונה במאמר אשר נשא את הכותרת "Snooping the Cache for Fun and Profit". במסגרת המאמר מציג עוז את קוויה הכלליים של המתקפה, השפעותיה וכיצד ניתן לבצעה. |
עוז | ![]() מסמך מודפס 905 הורדות 7 עמודים |
![]() מאמר פייסבוק שואלים "מה אתה חושב עכשיו?", טוויטר מתעניינים "מה קורה עכשיו?", אבל אלו כבר חדשות ישנות, עכשיו כולם רוצים לדעת "איפה אתה עכשיו?", פייסבוק הרימו את Places, טוויטר חברו ל-Where.com, ורשתות כמו Foursquare, Brightkite ו-Gowalla ממשיכות להופיע. טכנולוגיית ה-Geolocation מתחילה אט אט לחלחל לחיינו במאמר זה סוקר דור כיצד היא ממומשת כיום בדפדפים הרצים על מחשבים ללא GPS, והאם יש לדבר השלכות על הפרטיות שלנו. |
דור זוסמן | ![]() מסמך מודפס 802 הורדות 7 עמודים |
Digital Whisper - הגיליון העשרים ושישה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר אם עד לפני מספר שנים, ארגוני פשיעה קייברנטים היו יוצרים צבאות זומבים, ומוכרים את המידע על אותם מחשבים, או את הנגישות למחשבים עצמם תמורת דולרים בודדים, כיום כבר ניתן לראות שהרבה מהגישה הזאת, שהתחילת בסביבות 2006, השתנתה כמעט לגמרי. במקום להדביק את המחשבים ולמכור אותכם, כבר ניתן לקנות ערכות "עשה זאת בעצמך", וכך, במקום לקנות מחשבים בודדים- ליצור צבא זומבים משל עצמם. במאמר זה נציג את אותם הכלים. |
cp77fk4r | ![]() מסמך מודפס 867 הורדות 14 עמודים |
![]() מאמר במאמר זה סשה מנסה לסקור בקצרה את השינויים במערכת ההפעלה - גם החיצוניים וגם הנסתרים מהעין, את מודל היישומים החדש, את המגבלות החלות על היישומים וקשיחותן, וכן תכולות נוספות של המערכת הקשורות לאבטחת מידע. |
סשה גולדשטיין | ![]() מסמך מודפס 810 הורדות 13 עמודים |
![]() מאמר במאמר הבא מציג לנו יואב זילברשטיין, מנכ"ל חברת טיק טק, את עולם שחזור המידע, במהלך המאמר מסביר יואב מה הוא שחזור מידע, מה ההבדל בין שחזור מידע פיזי לשחזור מידע לוגי, מה הוא שחזור חקירתי, כיצד נראה עולם שחזור המידע כיום ואיך לדעתו יראה עולם זה בעתיד. |
יואב זילברשטיין | ![]() מסמך מודפס 810 הורדות 4 עמודים |
![]() מאמר לאחר בחינה ושקלול של מקרים שונים מתחומים מגוונים שבהם טכנולוגיות הוטמעו במהירות מתוך כוונה להפיק רווחים בטווח הקצר, או לחלופין לקצר את הליכי הפיתוח שהנם יקרים ומצריכים משאבי מערכת, הבין אמיתי כי יש צורך בהסתכלות רחבה על הליכי הפיתוח וההטמעה של מוצרים שונים, וזאת עקב ההשלכות של הכשלים כאשר הם מופיעים. במאמר זה מציג לנו אמיתי את דעתו בעניין. |
אמיתי דן | ![]() מסמך מודפס 818 הורדות 6 עמודים |
![]() מאמר אפשר לנסות ולהתמודד עם הגנות קריפטוגרפיות מסובכות ועם מערכות הגנה מורכבות כדי לפרוץ סיסמאות וכדי לגנוב מידע רגיש, אבל קל הרבה יותר ופשוט לעקוף את הסיבוך לגישות אחרות נטולות סיבוך מתמטי שמשתמשות בהתנהגות אנושית צפויה. במאמר זה מציג לנו שלמה יונה PoC שנערך על-ידי מספר חוקרים המציג יכולת מעניינת לבצע Keyboard Sniffing באמצעות החיישנים המותקנים על רב הסמארטפונים כיום. |
שלמה יונה | ![]() מסמך מודפס 855 הורדות 7 עמודים |
Digital Whisper - הגיליון העשרים ושבעה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר PHP Code Execution / Injection היא כותרת לקבוצת פרצות אבטחה באפליקציות Web אשר ניצולן מאפשר לתוקף להריץ קטעי קוד PHP על השרת ולעיתים אף הרצת פקודות מעטפת על המכונה עצמה. במסמך הזה אציג מספר טכניקות שונות מקבוצת פרצות זו, בצירוף דוגמאות קוד והסברים. מאמר זה הינו חלק ב' תחת כותרת זו, החלק הראשון פורסם בגליון ה-23 של המגזין. |
Hyp3rInj3cT10n | ![]() מסמך מודפס 805 הורדות 25 עמודים |
![]() מאמר שירותים מבוססי מיקום לטלפון הסלולרי נמצאים בחודשים האחרונים במחלוקת סוערת בין היתר בעקבות הפוטנציאל ההרסני שיכול להיות בשימוש לא מורשה באותן תוכנות, החל מרשת החוקרים הפרטיים שנחשפו כאשר מכרו תוכנות מעקב לבני זוג, דרך שירותים מבוססי מיקום כמו ShopRooster הישראלית, שירותי עבר כמו InirU שהושקו ברשת Orange, שירותי ניווט כמו Waze ועוד. במאמר קצר זה נסקור כיצד עובדים שירותים מבוססי מיקום, מהן הבעיות המשפטיות בהן וכיצד, לדעתי, צריך לטפל בבעיות אלה. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 876 הורדות 5 עמודים |
![]() מאמר המאמר הבא, מאת עומר פינסקר, עוסק ביישום Intrusion Prevention System) IPS) בתצורת Active-Response על בסיס רכיבים נפוצים כגון נתב Cisco, הנתב הנפוץ בעולם ובתוכנת Snort IDS) Free BSD) אשר מוגדרת כמכתיבת תקן ה-IDS (Intrusion Detection System) בשוק דה-פאקטו. המאמר מבוסס על פרויקט גמר ללימודי הנדסה, במהלכו נחקרו הפתרונות הקיימים כיום להגנה מפני התקפות DDoS, זוהו החולשות העיקריות ועל בסיסן הוצעה התצורה המתוארת. |
עומר פינסקר | ![]() מסמך מודפס 845 הורדות 18 עמודים |
![]() מאמר אופי הפיתוח של תוכנה חופשית, באמצעות מגוון גדול של אנשים מכל העולם, רובם ללא הכרות פנים מול פנים, הציב דרישות גבוהות לנושא האימות והאבטחה, כך שניתן למצוא מימושים רבים לאלגוריתמים שונים ואף המצאה של אלגוריתמים חדשים בעקבות צרכים חדשים. הרישיון המתירני של תוכנה חופשית מאפשר לכל פרוייקט חדש להתבסס על פרוייקטים קיימים ללא הצורך בלהמציא את הגלגל מחדש כל פעם, וכך פרוייקטים מסויימים נהפכים לאבני בניין עבור פרוייקטים אחרים. במאמר זה סוקר ליאור כמה מהפתרונות הנפוצים לשימוש בהצפנה בהפצות לינוקס, החל מרמת המשתמש, דרך מנגנוני העדכון השונים ועד ספריות תוכנה עיקריות. |
ליאור קפלן | ![]() מסמך מודפס 815 הורדות 23 עמודים |
![]() מאמר המאמר הבא מציג את נושא עולם העננים מזווית של אבטחת מידע. המטרה הינה להציף מעל לפני השטח בעיות בנושא זה, שאולי רבים חושבים שהם לא יתקלו בהן, ונראה כי בדרך כלל רבים לא נותנים עליהן את הדעת בעת מימוש פרוייקט כזה או אחר. כמו כן להציג לקורא אילו שאלות הוא צריך לשאול את עצמו בעת הכנה לפרוייקט מסוג זה בכדי למצוא את הפתרון המתאים ביותר עבורו. |
עידו קנר ו-cp77fk4r | ![]() מסמך מודפס 852 הורדות 7 עמודים |
Digital Whisper - הגיליון העשרים ושמונה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר במאמר זה מציג אפיק קסטיאל את עולם ה-Malvertising שהוזכר לא פעם במסגרת המגזין. בטכניקות ה-Malvertising השונות עושים שימוש גורמים בעלי כוונות זדון בכדי להפיץ תולעים, Botnets ושאר מזיקים. במהלך המאמר נראה כי חוץ מפעולות אלו, אותם ארגונים עושים שימוש בטכניקות אלו גם לפעולות כגון Distributed Denial of Service ועוד. |
cp77fk4r | ![]() מסמך מודפס 811 הורדות 7 עמודים |
![]() מאמר מאמר זה הינו החלק השני בסדרת המאמרים "HTML5 מזווית אחרת" - סגרת מאמרים הסוקרת את נושא האבטחה בתקן החדש. במאמר זה, מציגים לירן בנודיס ואלעד גבאי את מנגנון ה-"Drag and Drop" החדש הקיים בתקן, את יכולותיו ואת הנקודות בהן ניתן לבצע שימוש בכדי לפגוע בגולשים ע"י מתקפות המאפשרות גניבת מידע, מתקפות Click Jacking מתוחכמות. |
לירן בנודיס ו-אלעד גבאי | ![]() מסמך מודפס 787 הורדות 12 עמודים |
![]() מאמר במאמר זה, בוחן נצר רוזנפלד את אפשרויות ההצפנה הקיימות ב-SQL Server בכלל ובפרט פיצ'ר "חדש" יחסית שיצא בגירסת SQL Server 2008 Enterprise. במהלך המאמר מציג נצר, את כל תהליך ההצפנה - שאילתות, סקריפטים, הצגת המידע לפני ההצפנה ואחריה, וכן בעיות נפוצות בשימוש במנגנוני ההצפנה השונים. |
נצר רודנפלד | ![]() מסמך מודפס 783 הורדות 21 עמודים |
![]() מאמר במאמר הבא מציג שלמה יונה חולשה שנמצאה על ידי מספר חוקרי אבטחה גרמניים בתקן ההצפנה XML-Enc, תקן המשתמש להצפנת מידע במסמכי XML. החולשה מאפשרת את פיצוח ההצפנה וחשיפת המידע הרגיש. במאמר זה נבין כיצד עובד מנגנון ההצפנה ב-XML, מהי החולשה וכיצד משתמשים בה כדי לפצח טקסט מוצפן ולחשוף את המידע שהוצפן. |
שלמה יונה | ![]() מסמך מודפס 805 הורדות 11 עמודים |
Digital Whisper - הגיליון העשרים ותשעה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר בדצמבר 2011, חוקר אבטחת מידע אוסטרי בשם סטפן ויבוק, פירסם בבלוג שלו פוסט בנוגע לנקודת תורפה בפרוטוקול (WPS (Wi-Fi Protected Setup, פרוטוקול שנועד לאפשר הגדרה והתקנה של רשתות אלחוטיות בצורה פשוטה ובטוחה. אותה נקודת תורפה מאפשרת לתוקפים לגלות את מפתח ההצפנה של אותה הרשת (ולא משנה האם מדובר ב-WEP או WPA) בתוך מקסימום יום. במאמר זה מציג דר' אריק פרידמן את הפרוטוקול והחולשה שסטפן ויבוק פרסם. |
אריק פרידמן | ![]() מסמך מודפס 807 הורדות 14 עמודים |
![]() מאמר עו"ד יהונתן קלינגר, עו"ד לדיני המידע, מציג במאמר זה את השאלה מה היא "פעילות פרו-אקטיבית"?, ובאותו נושא - האם מותר לגולש ברשת לבצע פעילות כזאת בטענת "הגנה עצמית"? האם קיים הבדל בין מאבטח אישי לבין איש אבטחת מידע? ואם כן, האם "מאבטח אישי וירטואלי" שכזה, במידה ויוכל לאתר, בזמן אמת, פגיעה בנכסים הוירטואלים של אדם על ידי אדם אחר - לפעול כנגד אותו אדם? |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 823 הורדות 5 עמודים |
![]() מאמר במאמר זה, מציג יהודה כלי שכתב המנצל פריסה לא נכונה (ולא מאובטחת) של הקובץ ניהול המדיניות לשיתוף תוכן לפלאש (CrossDomain.xml) לטובת מימוש מתקפה בסיגנון Live CSRF / SideJacking ע"י בניית מנוע מבוסס פלאש קטן המתפקד כשירות Proxy בין התוקף לאתר הנתקף על גבי מנוע הפלאש של הקורבן. |
יהודה גרסטל | ![]() מסמך מודפס 796 הורדות 18 עמודים |
![]() מאמר בשבוע האחרון, ניצן ובוריס פרסמו באינטרנט נתון מעניין שעשה רעש רב בקהילת ה-Wordpress הישראלית, אותו הנתון הוא לא פחות מפיסת קוד שהוכנסה לעיצובים שונים של מערכת ה-Wordpress שתורגמו על ידי מספר אנשים ופורסמו ברשת. תפקידו של הקוד הוא לאפשר לאותם המפרסמים לאתר הפרה של זכויות יוצרים (לטענתם), אך בפועל הוא מסכן את המערכת ומאפשר לאותם מתרגמים להשיג שליטה מלאה על המערכת והשרת המריץ אותה. |
ניצן ברומר ו-בוריס בולטיאנסקי | ![]() מסמך מודפס 791 הורדות 11 עמודים |
![]() מאמר במאמר הבא, מציג אמיתי דן מחקר שביצע (ומבצע גם בימים אלו) על אתרים לאיתור מידע על אנשים ברשת האינטרנט, במסגרת המחקר מעלה אמיתי את הטענה כי באתרים אלו בעיקר ניתן למצוא מידע שפורסם על ידי אותם האנשים, ובכדי לאתר מידע אישי יותר, שסביר להניח שלא פורסם על-ידיהם אלא שדולף לאינטרנט במסגרת מאגר מידע פרוץ כזה או אחר, ישנו הצורך למקד את החיפוש עד כדי שימוש במזהים חד חד ערכיים. |
אמיתי דן | ![]() מסמך מודפס 849 הורדות 4 עמודים |
Digital Whisper - הגיליון השלושים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר חריגה היא ארוע שקורה במהלך ריצה של תוכנית שגורר בעקבותיו הרצה של קוד שלא במסגרת הרצף הנורמלי של התוכנית. הטיפול בחריגות הוא טיפול אפליקטיבי שנועד לאפשר לתוכנית ליזום ולתפוס חריגות. במאמר זה נדון בשיטה נפוצה לניצול חולשת אבטחה במנגנון ניהול חריגות עבור תוכנה שפגיעה לגלישת המחסנית במערכת ההפעלה Windows. |
איל בנישתי | ![]() מסמך מודפס 826 הורדות 14 עמודים |
![]() מאמר מנעולי לשונית מבוססי צילינדר מלווים אותנו ביום יום - הם מוכרים כ-"מנעולי מגירה". מנעולים אלו נקראים כך כיוון שבדרך כלל הם מותקנים על מגירות משרד וריהוט בסיגנון דומה. הם מתבססים על מנגנון נעילה חלש יחסית. מבדיקה שביצעתי נראה כי מנעולים המבוססים על המנגנון הבעייתי שאציג במאמר זה, נמצאים הרבה מעבר למגירות בריהוט כזה או אחר. במאמר זה אציג את המנגנון ואת אופן הפריצה שלו. |
cp77fk4r | ![]() מסמך מודפס 1057 הורדות 13 עמודים |
![]() מאמר במהלך התקופה האחרונה ניתן לראות כי מספר אתרי אינטרנט שונים מציעים שרותי גילוי "שיחות חסומות". השרות מציע התקנת אפליקצייה מסויימת על הסמארטפון אשר תגלה לנו בן רגע את פרטי הסורר. על מנת להבין כיצד תוכנות אלו פועלות יש צורך להכיר את הדרך שבה המכשיר הסלולארי שלנו פועל. במאמר זה אסקור את פרוטוקול GSM, שהוא למעשה אחד התקנים היותר נפוצים לתקשורת סלולארית. בנוסף, נכיר את העקרון עליו אפליקציות מסוג זה פועלות. |
עדן משה | ![]() מסמך מודפס 906 הורדות 14 עמודים |
![]() מאמר מאמר זה הינו חלק ראשון בנושא פיתוח מערכות הפעלה, החלק הראשון של המאמר יתמקד בתיאוריה שמאחורי תכנות מערכות הפעלה, ובו נתחיל לבנות מערכת הפעלה בסיסית. מערכת ההפעלה שנבנה בפרק זה תהיה מאוד מינימאלית, ותרוץ כמערכת הפעלה Live - משמע, שום דבר לא נשמר באופן קבוע לדיסק, והמערכת תתחיל מחדש בכל הפעלה של המחשב. |
עידן פסט | ![]() מסמך מודפס 1228 הורדות 19 עמודים |
![]() מאמר אחת הטכניקות בהן חברות תוכן (או לחילופין - ספאמרים) השתמשו בעבר על מנת לעקוב אחר הגולשים באינטרנט הינה טכניקת ה-Web bug. טכניקה זו הינה ישנה וכמעט לא נמצאת בשימוש כיום, זאת מפני שספקיות הדואר האלקטרוני חסמו אותן כברירת מחדל. עם זאת, נראה כי עדיין ישנן מספר ספקיות דואר אלקטרוני שאינן אוכפות את חסימת האובייקטים המאפשרים שימוש בטכניקה זו בכל המקרים ובכך מאפשרים שימוש בה שוב. במאמר זה נסקור את הטכניקה וכיצד היא באה לידי ביטוי. |
יניב מרקס | ![]() מסמך מודפס 816 הורדות 5 עמודים |
![]() מאמר האם מערכות המידע יעזרו לנו להתמודד גם עם הבקרה הפנימית בארגון? התשובה היא כן, כמו בכל תחום אחר בחיינו. גילוי מעילה, הונאה או כשל תפעולי בחברות הפך דבר שבשגרה. אחת לחודש מתנוססת לה הידיעה התורנית המספרת לנו באריכות ובהפתעה גמורה איך הצליח אותו עובד למעול בכספי הארגון מבלי שאף אחד שם לב. במאמר זה נראה כיצד מערכות אלו באות לידי ביטוי. |
גיא מונרוב | ![]() מסמך מודפס 758 הורדות 5 עמודים |
![]() מאמר מאמר זה מתמקד בתקיפות שגורמות למכשירי הטלפון שלנו להתעורר לחיים ולהוות גורם מטריד שפוגע מידית בלקוחות, בחברה ובגורמים שונים. מאמר זה מציג שיטת עבודה שבה יש מותקף ראשי, מותקף משני ומצב שבו מישהו משלם על התקיפה, מאפשר אותה ונפגע שוב פעם על ידי לקוח זועם. בנוסף, נראה כיצד שימוש בנתונים שנלקחו ממאגרים חופשיים מאפשרים למקד תקיפות ולהגיע לפונקציות ספציפיות שיעזרו להעצים את האפקט המתקבל באספקט תקיפה זו. |
אמיתי דן | ![]() מסמך מודפס 800 הורדות 12 עמודים |
Digital Whisper - הגיליון השלושים ואחד | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר "יש המון וירוסים באנדרואיד" אמר לי חבר לפני כמה ימים, וזה גרם לי לחשוב כי רוב הציבור (הלא מבין) נוהג לחשוב על מערכות פתוחות כמערכות קלות לחדירה וכיוצא בזה כך גם חושבים על אנדרואיד. המאמר הבא יעסוק בשאלה "האם אנדרואיד היא פלטפורמה מאובטחת או פרוצה", וכדי לענות על השאלה נתקוף את הנושא מכמה זוויות, כגון מודל האבטחה של המערכת, נושא המפתחים וההרשאות, ממה המשתמשים צריכים לדאוג ועוד היבטים נוספים הקשורים לאבטחת מידע במכשיר זה. |
ניר גלאון | ![]() מסמך מודפס 818 הורדות 9 עמודים |
![]() מאמר היום-יום שלנו סובב מאגרים שאוספים עלינו מידע אישי. יצאנו ורכשנו בבית הקפה מתחת לבית קפה ומאפה ושילמנו בכרטיס אשראי? הפעולה נרשמה במאגר כלשהוא. לא השתמשנו בכרטיס אשראי, אבל העברנו את כרטיס המועדון? גם כן; גם אם איננו חברי מועדון, אך הודענו ברשת החברתית האהובה עלינו שרכשנו שם, הפעולה נרשמה. השתמשנו ב-GPS שמדווח על פקקים? כנ"ל. ביצענו שיחה לבוס? תחשבו שוב... במאמר זה מציג עו"ד יהונתן קלינגר את סוגי הדליפות שמאיימות על מאגרים אלו. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 803 הורדות 7 עמודים |
![]() מאמר לאחרונה מתעורר ויכוח סוער לגבי האם הרשת צריכה להיות ניטראלית, או האם ועד איזו רמה מותר לספקיות האינטרנט, שהן מפעילות ובעלות קווי התקשורת, להתערב ולתעדף סוג תעבורה אחד על פני האחר. כמות גדולה של ספקיות אינטרנט רוצות להקטין את התעבורה הנצרכת על ידי אפליקציות שצורכות תעבורה רבה (שיתוף קבצים לדוגמא) בכדי לאפשר מתן תעבורה לאפליקציות שצורכות תעבורה מעטה יחסית (גלישה וכו'). ספקיות האינטרנט יכולות ואולי גם משתמשות בעיצוב תעבורה בכדי להאט שירותים המתחרים בשירותים שהספקית עצמה מפעילה (שיחות VoIP, שירותי ענן למיניהם...). במאמר זה נדון ב-"עיצוב תעבורה" אשר מבצעות ספקיות אינטרנט בארץ ובעולם. |
לירן בנודיס ו-אלעד גבאי | ![]() מסמך מודפס 758 הורדות 10 עמודים |
![]() מאמר מאמר זה הינו חלק שני בסדרת המאמרים בנושא פיתוח מערכות הפעלה, בפרק זה מסביר עידן על המעבר ל-Protected Mode, מצב בו הגישה זיכרון ולחומרה מבוקרת ומוגנת, ונממש אותו. נלמד לכתוב למסך בעזרת כתיבה לזיכרון, בניגוד לשימוש בפסיקות BIOS, ונכתוב את תחילת הגרעין (Kernel) שלנו בשפת C. גם בפרק זה מערכת ההפעלה עדיין תרוץ Live מדיסק, ולא תהיה כתיבה לדיסק הקשיח. |
עידן פסט | ![]() מסמך מודפס 971 הורדות 19 עמודים |
![]() מאמר בעידן שבו המידע נדרש לנוע באופן דינאמי בתוך הארגון ומחוץ לארגון, חברות צריכות להתמודד עם תופעת דלף מידע גם באמצעים אקטיביים. ארגונים נדרשים לשמור על סודיות המידע, בין היתר, כדי לשמור על נכסיהם הרוחניים, תדמיתם ולעמוד בהוראות החוק והרגולציה. לאור ריבוי האיומים, יותר ויותר ארגונים מטמיעים מערכות ייעודיות בתחום ניתוח תוכן לצורך מניעת דלף מידע. ביקוש זה הביא בעשור האחרון לבשלות טכנולוגית ולריבוי של מוצרים בתחום ניתוח התוכן, אשר רובם אף נרכשו על ידי ענקי ה-IT ואבטחת המידע הגדולים ם ושולבו בסל מוצריהם. במאמר זה מציג אלכס את עולם מניעת דלף המידע מהארגונים וכיצד מבצעים זאת נכון. |
אלכס ליפמן | ![]() מסמך מודפס 829 הורדות 8 עמודים |
![]() מאמר במאמר זה, מנסה יהונתן לענות על השאלה מהו היקף הזכות לפרטיות במקום העבודה וכמה מותר למעסיק לחטט במחשבו של העובד או בחומרים שנמצאים בחזקתו. מאמר זה מהווה הרחבה ועדכון של ההרצאה שהעביר יהונתן באוגוסט 2010 שמאז ועד היום חלו לא מעט התפתחויות בנושא, אשר העיקרית בהן היא פסק הדין איסקוב (עע 90/08) אשר הפך להלכה חלוטה וקבועה שמקבעת את הפרטיות במקום העבודה. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 864 הורדות 7 עמודים |
Digital Whisper - הגיליון השלושים ושניים | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר תקפת NetBIOS Name Service Spoofing הינה מתקפת MITM המתבססת על זיוף שמות NetBIOS ברשת פנים-אירגונית. מדובר במתקפה שקטה מאוד, מפני שלא כמו במתקפות אחרות (כגון ARP Spoofing), המתקפה מתנהלת מול הקורבן בלבד והיא מתרחשת רק כאשר הקורבן עצמו יוצר את הטריגר. במתקפה זו התוקף מחכה שתתבצע בקשה ל-Name Resolution ברשת, וברגע שזאת אותרה - המטרה היא לנסות ולהגיב מהר יותר יישות הרשת האמיתית. במאמר זה נראה כיצד מנגנון ה-NetBIOS עובד, נבין כיצד מתאפשרות מתקפות מסוג זה ומה הפוטנציאל הקיים בהן (לצד התוקף) ונראה איך ניתן להשתמש בהן בשילוב מתקפות נוספות על מנת להגדיל את יכולותיו של התוקף. בנוסף יוצג במאמר כיצד ניתן לממש אותן בעזרת כלים יעודים המובנים ב-Metasploit. |
cp77fk4r | ![]() מסמך מודפס 997 הורדות 25 עמודים |
![]() מאמר במבט ראשון כרטיס פלסטיק עם לוח מגעים יכול לתת את התחושה של כרטיס אחסון פשוט והאמת היא שמראה ראשוני יכול להטעות. במאמר זה נקבל הצצה לעולם הכרטיסים החכמים וה-Security Tokens. תחילה יוסבר מהו Security Token, נסקור את הסוגים הקיימים כיום, נראה באילו דרכים ניתן להתממשק אליהם כמפתחים, נסביר מהם מנגנוני ההגנה שקיימים בהם ונראה דוגמאות לשימושים שעושים בהם כיום. |
יוסף הרוש | ![]() מסמך מודפס 906 הורדות 11 עמודים |
![]() מאמר מציאת דרך להעברת מידע ממקום אחד למשנהו באופן בטוח הינה בעיה שבה מדענים, מתמטיקאים וקריפטוגראפים מתעסקים לא מהיום. מסריקה זריזה ניתן לראות כי כיום מרבית השיטות שנמצאות בשימוש מבוססות על פיזיקה קלאסית. עם זאת, למרות ששיטות אלה כרגע נחשבות כבטוחות, הן בדרך כלל מבוססות על ההנחה כי לתוקף קיים כוח מוגבל של חישוביות. שימוש במערכת קוונטית להעברת מידע דיגיטלי, מעלה תופעות הצפנה קוונטית, שמבטיחות כי אפילו מצותת בעל כוח חישוביות אין סופית לא יוכל להתחמק מלהיתפס בעת ניסיון לביצוע מתקפה. המדע העומד מאחורי הצפנה קוונטית נחשב חדש יחסית, והוא נראה כמו תשובה מושלמת לבעיות חשובות רבות. לדוגמא, על ידי יצירת רצף מספרים רנדומליים אמיתי לא ניתן יהיה לזייף כסף, וניתן יהיה להגן על מידע מפני העתקתו או ציתותו. כרגע הרב עדיין תיאורטי בלבד והכל עדיין בחיתוליו, אך בכל זאת קיים נושא אחד שיכול להיות מעשי אפילו עם הטכנולוגיה והידע שיש כיום בנושא והוא החלפת מפתחות קוונטית ובו נתמקד במאמר זה. |
cp77fk4r, תום רז ו-שילה מלר | ![]() מסמך מודפס 950 הורדות 22 עמודים |
Digital Whisper - הגיליון השלושים ושלושה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר אם מאמינים ל-TIOBE Programming Community Language Index, אז #C ו-Visual BASIC חולשות על למעלה מ-12 אחוז מהקוד שנכתב בעולם, מה שממקם את NET. במקום השלישי והמכובד אחרי C ו-Java. כיוון ש-NET. היא סביבה מנוהלת, שבה הזיכרון, מבנה האובייקטים, ואפילו כתובות ומצביעים הם דברים שהמפתחים "לא מתעסקים בהם", קיים מעט מידע יחסית על המימוש הפנימי של NET. והקומפוננטות המרכיבות אותה. במאמר זה סוקר סשה את המבנה הפנימי של אובייקטים בערימה המנוהלת (GC heap) ומסביר על המבנה הפנימי של טיפוסים NET.-יים. בנוסף לכך, מציג סשה את מנגנון בטיחות הטיפוסים של NET., וחולשות אבטחה שהתגלו במנגנון זה בעבר. |
סשה גולדשטיין | ![]() מסמך מודפס 895 הורדות 10 עמודים |
![]() מאמר תחום מחקר החולשות הוא תחום אשר צובר תאוצה בימים אלה, יותר ויותר חברות מוכנות לשלם היום לחוקרים (Bounty Programs) על מנת שיחשפו חולשות במוצרים שלהם ובכך בעצם יעזרו להם לשמור על המוצרים שלהן בטוחים יותר. חברות גדולות כמו גוגל אף משיקות ועידות מתוזמנות ומזמינות האקרים וחוקרים מכל העולם לנסות את מזלם ולזכות בפרסים של עד כ-60K$. במאמר זה מציג איל את השימוש ב-Fuzzing על מנת לאתר חולשות אבטחה. |
איל בנישתי | ![]() מסמך מודפס 895 הורדות 12 עמודים |
![]() מאמר הזכות לפרטיות אינה זכות מוגדרת וברורה כמו חופש התנועה, חופש הביטוי או הזכות לקניין אשר ניתן להבין בצורה פשוטה ובמשפט אחד; מדובר בזכות שברורה לכולנו ואנו מבינים מהי, אך איננו יכולים להגדירה בצורה מושלמת. בסוף המאה ה-19 הגדירו סמואל וורן ולואיס ברנדייס את הזכות כזכות להנות מהחיים - הזכות להעזב בשקט. אבל דומה שהיום, בעת שהטכנולוגיה מתקדמת, אנחנו לא יכולים לומר בוודאות שאם נעזב בשקט פרטיותנו תסופק. הרי, אפשר לחשוב על כל מיני דרכים בהן אדם עדיין 'נעזב בשקט' אבל עדיין מרגיש שפרטיותו נפגעת: הדוגמא הטובה ביותר לכך היא של פרופיילינג, בו אנחנו נעזבים בשקט, אבל המידע שאוספים עלינו משמש כדי לא לעזוב אחרים בשקט. עו"ד יהונתן קלינגר, במאמר קצר ומקיף, דן בחובות אבטחת המידע והגנת הפרטיות ועונה על מה מותר ואסור לשמור במאגרי מידע, כיצד החוק מחייב להגן עליהם, ואיך אפשר לטפל בדליפות. |
עורך דין יהונתן קלינגר | ![]() מסמך מודפס 950 הורדות 11 עמודים |
![]() מאמר מאמר זה מהווה המשך למאמר שפורסם בגליון ה-32 של Digital Whisper, בשם "Security Tokens וכרטיסים חכמים". במאמר זה מדגים יוסף הרוש כיצד תוקף יכול לנצל חיבור פעיל (SESSION) ל-Security Token ע"י הזרקת קוד זדוני לתהליך המקורי אשר יצר את החיבור. |
יוסף הרוש | ![]() מסמך מודפס 956 הורדות 13 עמודים |
![]() מאמר החל משנת 2001 החלו להתגלות בעולם המחשוב סוגי התקפות מסוג חדש, אשר חלקן סווגו באופן מוטעה כתקיפות וירוסים. הסיבה הרווחות להכרה בסוגי התקיפות הנ"ל כתקיפות וירוסים נעוצה בעובדה כי לכלי התקיפה ישנם מאפיינים של וירוסים, אך לא בכך מסתיים הדבר. כלי התקיפה החדשים חשפו יכולות חדשות הכוללות ביצוע Sniffing ברמה גבוהה, גישה ל-Kernel Level ועוד. עם זאת, מרבית סביבת ה-IT לא נחשפה באופן פומבי לסוג התקיפות הנ"ל, למרות שכבר בשנת 2004 החלו להצטבר תלונות במשטרת ישראל על ניסיונות ריגול תעשייתי מצד ארגונים שונים. מאמר זה דן בשאלה האם תפיסות האבטחה הקיימות כיום עונות לצרכי הביטחון של הארגונים השונים, או שמא, תפיסות האבטחה מחייבות בחינה ובנייה מחדש. |
יובל סיני | ![]() מסמך מודפס 948 הורדות 5 עמודים |
Digital Whisper - הגיליון השלושים וארבעה | ||
---|---|---|
כותרת המסמך | מחבר | פרטים נוספים |
![]() מאמר לאחר פעילות נרחבת של ה-FBI ורשותיות החוק באסטוניה, הגיעה לסיומה פרשה שהחלה עוד בשנת 2007. במהלכה נעצרו שישה בני-אדם שהפעילו וירוס שבעקבותיו פורסמו כותרות בסיגנון "וירוס ענק מסתובב באינטרנט ומאיים לנתק מאות אלפי משתמשים" ו-"האם וירוס אגרסיבי ינתק את כולנו מהרשת". למי לא יצא לשמוע לאחרונה על הוירוס "DNS Changer"? כל אתר חדשות המכבד את עצמו כתב על הוירוס הזה לפחות פעם אחת רק במהלך החודש האחרון. במאמר הזה ננסה להבין מה העניין ועל מה כל הרעש. |
cp77fk4r | ![]() מסמך מודפס 1304 הורדות 16 עמודים |
![]() מאמר מחשבים רבים בעולם נדבקים בוירוסים, תולעים, ורושעות מסוגים שונים. בד"כ, קיים אדם (או קבוצת אנשים) אשר מטרתם לשלוט על המחשבים המודבקים מרחוק ולנהל אותם בהתאם לצרכיהם. אדם זה חולש על עמדת שליטה אחת או יותר, המנהלת את הבוטים הנמצאים על המחשבים המודבקים. Poison Ivy (או בקיצור: PI) הוא דוגמה לעמדת שליטה כזאת. בעמדת השליטה ניתן לייצר בוטים חדשים ולשלוט על כל המחשבים הנגועים. הדבקת המטרות היא משימה נפרדת, ואינה חלק מ-PI. מחשב נגוע נמצא למעשה בשליטה מלאה של התוקף, שיכול להעביר לו פקודות, לקבל ממנו חיוויים, וקבצים ומידע, לעקוב אחרי המשתמש, וכו'. במאמר זה מציג גל את פרטיה של חולשה אשר פורסמה בשרת PI וכיצד מתבצע אופן ניצולה על מנת להשתלט על עמדה זו. |
גל בדישי | ![]() מסמך מודפס 1450 הורדות 10 עמודים |
![]() מאמר בחודשים האחרונים נושא אבטחת אתרי אינטרנט זוכה ליותר ויותר כותרות, זאת בעיקר בזכות מספר התקפות גדולות, מתוחכמות ומתוקשרות כגון: הווירוס Flame, חשיפה של 6.5 מיליון סיסמאות LinkedIn, הפריצה ל-eHarmony, ההתקפה של אנונימוס על אתרי הממשל הודו ועוד כמה התקפות אחרות כדוגמתן. סיפורים אלה יוצרים רושם כאילו מתקפות על אתרים הם משהו שמתרחש אי-שם מעבר לאופק ושאין לו נגיעה למציאות היום-יומית של מאות מיליוני אתרים קטנים ובינוניים, שהם אוכלוסיית הרוב של רשת האינטרנט. אך בפועל, ההפך הוא הנכון. האירועים המתוקשרים הללו הם רק נקודות קיצון על גרף מגמה העולה של מתקפות על אתרי אינטרנט. ממדיה האמתיים של התופעה מתגלים בעיון במחקרים שנערכו בנושא. אל מול האתגר הזה חברת Incapsula, הייתה מהראשונות להרים את הכפפה. במאמר זה מציג מרק את מוצר הדגל שלהם ואת מאפייניו. |
מרק גפן | ![]() מסמך מודפס 1563 הורדות 14 עמודים |
![]() מאמר במאמר זה, מסביר יניב על מתקפה המוכרת בשם "Ewil Twin Attack", מתקפה זו מאפשרת לרמות את תחנת הקצה ע"י הוספת Access-Point בעל שם רשת (SSID) זהה ל-Access-Point האמיתי על מנת לגרום לתחנת הקצה הנתקפת להתחבר ל-Access-Point הנוסף, במקום ל-Access-Point המקורי. במאמר מציג יניב את הסכנות בקיום מתקפה זו וכיצד ניתן להתגונן מפניהן. בנוסף להצגת המתקפה, מציג יניב הרחבה למתקפה, המגדילה את טווח הסיכוי להצלחתה. |
יניב מרקס | ![]() מסמך מודפס 1706 הורדות 9 עמודים |
![]() מאמר בסדרת מאמרים זו, מסביר עידן את השלבים בעת בניית מערכת הפעלה מ-0. בחלקים הקודמים של סדרה זו למדנו על מערכות העובדות ב-Real Mode, כתיבת הקרנל, המעבר מ-Real Mode ל-Protected Mode, על כתיבה ישירה לזיכרון המסך במצב טקסט, על סטנדרנט ה-Multiboot ועל הGDT. בפרק זה נממש עוד חלק מהותי ובסיסי באוסף ה-Descriptors שעלינו לממש – ה-IDT. בנוסף ל-IDT נממש את תחילתו של ה-IRQ ודרכו נממש שעון בסיסי. |
עידן פסט | ![]() מסמך מודפס 1915 הורדות 22 עמודים |
![]() |
עדכניות המסמכים: נכון לעכשיו לא מוצגים גם מסמכים לא רלוונטיים בעת גלישתך באתר. להצגת כל המסמכים לחץ כאן. |