הגליון העשרים-ושניים של Digital Whisper שוחרר!

ברוכים הבאים לגליון ה-22 של Digital Whisper!
ראשית, שמחנו לראות החודש הענות גבוהה מאנשים שרוצים לעזור ביצירת הגליון החודשי, לצערינו לא יכולנו להכניס את כלל המאמרים שהוגשו אך אנו מודים לכל מי שהגיש מאמר גם אם הוא לא נכנס לגליון. שנית, במהלך החודש האחרון שקלנו לפתוח פינה חדשה שבה
בכל חודש יוזכרו מספר אירועים מעולם אבטחת המידע המקומי והעולמי, החודש לא יצא לנו ואנו מקווים שהחל מהגליון הבא היא תתחיל
לרוץ. אבל אנחנו לא מבטיחים שום דבר :)

דבר נוסף הוא שלדעתנו, החודש אנחנו מציגים לכם את אחד הגליונות המרשימים שהיו עד כה, ואנו מעוניינים להודות לכל מי שעזר לנו
ליצור אותו.

תודה רבה ל-Ender, שחוץ מלפתור את החידות המוזרות של An7i, סוף סוף נכנע ללחצים הרבים שהפעלנו עליו וסיים את אחד המאמרים המוצלחים. תודה רבה לאורי (Zerith) שהציג לנו את הפתרון המאוד יצירתי שלו לחידה של Ratinho- ועל הדרך הגיש לנו מאמר מעולה.
תודה רבה לאדיר אברהם על מאמר איכותי בנוגע להקשחת שרתי אינטרנט, תודה רבה לשי חן על מאמר (במקור באנגלית) בנושא
"וקטורים עקיפים לתקיפת מערכות", ותודה אחרונה חביבה לעידו נאור (Ce@ser)- על מאמר נפלא בנוגע לאבטחת מידע בעולם
הרפואה.


                                                                                        אפיק קסטיאל וניר אדר.
 
החודש, תוכן הגליון כולל את חמשת המאמרים הבאים:
  • Zeus - The Take Over- (נכתב ע"י Ender):
             במאמר זה נותן לנו Ender הצצה לעולם ה-"Malware Research" אשר בשנים האחרונות החל לצבור תאוצה רבה, ע"י סקירה
              של הסוס-הטרויאני "Zeus / ZBot". במאמר, Ender מציג כיצד מבצעים השתלטות מוחלטת על שרת ה-ZropZone של Zeus
             (גרסה 1x), תוך כדי ניצול חולשה במנגנון ההצפנת התקשורת של הבוט עם השרת.
 
  • Hooking The Page Fault Handler (או: Smashing Ratinh0 For Fun And Profit) - (נכתב ע"י אורי / Zerith):
             במאמר הבא, אורי (Zerith) מציג לנו את הפתרון שלו לאתגר שפורסם על ידי Ratinh0. הסעיף המרכזי באתגר של Ratinh0
             היה "למצוא את הפתרון המורכב והמסובך ביותר לאתגר". Zerith החליט לקחת את הסעיף הזה ברצינות, ואנחנו הרווחנו מאמר 
           מעולה :)
 
  • אבטחת שרתי אינטרנט - (נכתב ע"י אדיר אברהם):
            כולנו משתמשים בשירותי אינטרנט באופן יום-יומי, חלקנו אף מנהלים שרת או מספר שרתים כאלה, אך השאלה היא האם אנו
            עושים זאת באופן מאובטח ומוקשח? במאמר זה מציג לנו אדיר מספר עקרונות (ודרכים לממש אותם) חשובים בכדי להפוך 
            את רמת האבטחה של השרת.
  
  • Session Puzzles - וקטורים עקיפים לתקיפת מערכות - (נכתב ע"י שי חן, תורגם ע"י אפיק קסטיאל):
            מאמר זה הוא תרגום לעברית של המאמר המעולה שפורסם על ידי שי חן. במאמר מציג שי סוג חדש של וקטור לתקיפת 
              מערכות אינטרנט אפליקטיביות שעד לאחרונה נחשב כלא אפשרי. המונח Session Puzzle מתאר חשיפה אשר מאפשרת
              לפורצים לבצע שלל התקפות המבוססות על שינוים המבוצעים בזיכרון הזמני (או הקבוע) בצד השרת (Session) המשויך 
            למשתמש ספציפי.  
    
  • Medical Hazardous Implants - (נכתב  ע"י עידו נאור):
            במאמר הבא מנסה עידו נאור לתת הצצה לעתיד הלא-כל-כך-רחוק של העולם הרפואי בנוגע לאבטחת המידע. עולם
            הרפואה מתקדם במהירות לעבר השימוש בטכנולוגיות חדישות וחדשניות בכדי לייעל את הטיפול בחולים, וכולנו יודעים 
              שכאשר משתמשים בטכנולוגיות חדשות- יש מקום גם לפרצות אבטחה חדשות. אך הפעם, ניצול פרצות בטכנולוגיות
            כאלה לא יוביל לזליגת של הפרטים האישיים של המטופל או ריקון חשבון הבנק שלו, אלא יכול להוביל להרג.
    
  
                                                                          קריאה נעימה!
 


תגובות על 'הגליון העשרים-ושניים של Digital Whisper שוחרר!':



#1 

vbCrLf (אורח):
מזל טוב!
אני אלך לקרוא.
30.06.2011 21:06:26

#2 

cp77fk4r:
קריאה נעימה :) תגיד לי מה אתה חושב על הסרטון המטורף שאורי (הראשון/השני) הכין :)
30.06.2011 21:15:26

#3 

עמיחי (אורח):
תודה רבה, התוכן נראה מעולה, אגיב שוב לאחר קריאה :)
30.06.2011 21:38:51

#4 

Exploter (אורח):
האללה עוד מגזין בהצלחה חברה:)
30.06.2011 21:39:03

#5 

זה רק אני או שהיום ה30? (אורח):
בעמ' הראשי רשום שפורסם ב25 בצהריים..
סטלה קלה אך הגליון עושה רושם שיפצה על זה.
כל הכבוד
30.06.2011 23:00:13

#6 

cp77fk4r:
צודק בהחלט, את העמוד שאתה קורא הכנתי מראש בכדי לחסוך זמן בעת פרסום הגליון :)
01.07.2011 01:17:59

#7 

שמיל (אורח):
גליון מעולה.
המאמרים מגוונים ביותר וגם לדעתי מדובר באחד הגליונות הטובים ביותר שיצאו עד כה.

קראתי עד עכשיו רק את המאמר על Zeus של Ender- אתם צריכים להפעיל עליו יותר לחץ שיכתוב עוד מאמרים :) - מאמר מעולה! מחר נמשיך לשאר הגליון...


תודה רבה חבר'ה!
01.07.2011 01:57:20

#8 

natinet (אורח):
תודה רבה! באמת נראה כאחד הגליונות היותר מעניינים עד כה, המשיכו כך!
01.07.2011 09:49:49

#9 

Dw4rf (אורח):
תודה רבה! גליון משוגע! :)
01.07.2011 11:16:49

#10 

Zerith (אורח):
אהבתי מאוד את המאמר של Ender
01.07.2011 11:53:17

#11 

אלי (אורח):
אין עליכם אחלה גיליון (עוד לא קראתי הכל אבל חלק קראתי) תאמינו לי אחד הדברים שכואב לי שאני צריך לחכות חודש שלם לזה אין לכם מושג כמה אני מחכה לזה כל פעם (ואגב מה באמת לגב ראיון שתכתבו קצת מדריכים ומאמרים קצרים באמצע החודש)
01.07.2011 12:37:42

#12 

cp77fk4r:
אלי, את הבלוג הזה ואת המגזין אני וניר מתפעלים על בסיס זמן פנוי שיש לנו במהלך השבוע, גם אני וגם הוא ורובו המוחלט של מי שכותב את המאמרים שמופיעים במגזין עובדים בעבודה קבועה / לימודים / מחוייבים למסגרות שונות ועושים את זה בהתנדבות. כמה זמן פנוי אתה חושב שיש לנו להקדיש לזה? :)
01.07.2011 14:06:06

#13 

אלי (אורח):
צודק אחי רק סתם אני פשוט לא יכול להמתין :)
01.07.2011 14:18:13

#14 

רונן (אורח):
חבל שאין הורדה ל-Zeus אבל כל השאר פשוט מדהים תמשיכו כך.
ד"א בטעות יצא לי לכתוב את Zeus בעברית וזה מה שיצא "זקוד", מעניין.
01.07.2011 15:03:16

#15 

cp77fk4r:
מה מעניין ב-"זקוד"? משהו יותר מעניין: ברוקולי וקולורבי זה בדיוק אותן האותיות רק בסדר שונה! ;)

ואלי- זה בסדר, אולי בפנסיה נוכל להשקיע יותר :)
01.07.2011 15:07:52

#16 

זיו (אורח):
חבר'ה- סחטיין על הגליון! משובח כמו תמיד! איזו דרך נפלאה לפתוח את החודש :)

תודה רבה רבה לכל הכותבים!
01.07.2011 17:37:23

#17 

zEt0s- (אורח):
אפיק, השוטרים הסטלנים פה התפעלו מהתגלית שלך על הקולורבי..
אבל מה, הם מתגעגעים בן אדם.. אתה מוזמן לקפוץ לביקור ;)
ובנוגע לגליון -> כל הכבוד שאתם מחזיקים מעמד, זה לא פשוט ואני באמת לא יודע איך אתם מוצאים לזה זמן.. סחטיין עליכם ושבת שלום חביבי
01.07.2011 18:26:02

#18 

כתב אורח (אורח):
@אלי, נורא קל לבוא בבקשות, טענות ומענות. מי אתה חושב שמשלם לכותבים? בסה"כ קיבלנו טיסה פרטית לכנס DEFCON 19, מלון ואירוח על חשבונם, אבל זה לא מספיק! כרגע אנחנו במו"מ שהשכר יעלה מ- 10K ש"ח לכתבה ל- 100K ש"ח לכתבה.

וברצינות, לכל גליון צריכים כותבים. נורא קל לחשוב שגיליון כזה צונח out of the blue. במקום לשאול "האם אפשר ליצור גיליון באמצע החודש", תשאל את עצמך "איך אני יכול לתרום לכך שיהיה גיליון באמצע החודש". אם התשובה היא שאתה לא יכול, אז פשוט תמתין לסוף החודש.
02.07.2011 00:03:55

#19 

cp77fk4r:
אבל כבר אמרנו לכם שאחרי השביתה של העורכים לא נוכל לעמוד בדרישות שלכם! ;)
ואלי- הוא צודק לחלוטין, אין שום התנגדות לכך שיהיה גליון באמצע החודש, במידה ויהיה מספיק כח אדם- אין לי בעיה לשחרר את המגזין גם על בסיס יומי :)
02.07.2011 00:44:10

#20 

cp77fk4r:
וצ׳יטה- תודה על ההזמנה, אני מקווה שהולך לך טוב בלימודים! :)
02.07.2011 00:45:19

#21 

Ce@ser (אורח):
אפיקוססס... יופי של גיליון!! תודה על המקום המכובד
אני מבטיח שהמאמר הבא יהיה אחרי שאני יעשה איזה DoS על חולה סוכרת (:
בכל אופן אני כבר מת לקרוא אז יאללה ביייי...
03.07.2011 09:24:58

#22 

inHaze (אורח):
מאוד מעניין ומפתיע כל חודש מחדש. תודה רבה!
03.07.2011 10:38:48

#23 

Ce@ser:
שימו לב, בהמשך למאמר שלי - ה-Cius של CISCO
(טאבלט) יצא כפיילוט בבתי חולים..
משמע - פריצה לטאבלט החדש והנוצץ הזה = ....
למידע נוסף או CSRF.. תבדקו חחח
http://it.themarker.com/tmit/article/15930
03.07.2011 12:01:04

#24 

מתן:
היי אפיק, אני מנסה ללמוד אבטחת מידע כבר הרבה זמן. יש לי מעט ידע(אפילו קצת יותר), אני מנסה ללמוד עוד ועוד דרך המגזין שלך, אבל יש הרבה מאוד סעיפים שאני לא מבין, כלומר, שדרוש להם ידע קודם שאין לי אותו. מבאס. הייתי שמח מאוד אם תוכל לעשות מס' סעיפים במגזינים הבאים שלא דורשים הרבה ידע קודם, יותר למתחילים או פשוט נושא שלא קשה ללמוד.
מקווה שהבנת אותי ו*אולי* תממש את הרעיון. תודה רבה, חולה על הבלוג הזה. :-)
04.07.2011 03:11:42

#25 

cp77fk4r:
היי מתן,
ראשית- הגליון הזה לא שלי :)
שנית- אני מבין אותך לגמרי, מציק לקרוא מאמר שלא מבינים בו את נקודות ההנחה שמהן יצא הכותב. אבל מצד שני, תחשוב על זה שאם תקרא רק מאמרים שאתה מבין מהם הכל- כמות הידע שלמדת תהיה נמוכה יותר.

אני כמעט בטוח שבכל המאמרים שפורסמו עד כה, לא נעשה שימוש במושג שאין הסבר נרחב עליו ועל העולם שממנו הגיע אותו מושג בויקיפדיה. אישית, במאמרים שאני כותב, אני משתדל להפנות לכמה שיותר מקורות על מושגים שהם קצת יותר מ-״בסיסיים״, אבל אם אתה נתקל במושג שלא הובן לך ולא מוסבר במאמר- פתח ויקיפדיה, כשאני קורא מאמר בנושא שחדש לי- אני קורא יותר בויקיפדיה/מקורות חיצוניים מאשר באותו מאמר, ככה אני לא רק לומד את אותו המאמר- אלא עוד הרבה מעבר. אני ממליץ לך בחום לאמץ את השיטה.

אני לא מתכוון להתפשר על התכנים שיופיעו בגליון, ולמען האמת- תמיד אשאף להגיע לנושאים המורכבים ביותר ולכותבים האיכותיים ביותר, אבל! אני אגדיל ואומר שיש לך את המייל שלי, כל שאלה שיש לך בקשר לכל מאמר שפורסם עד כה או יפורסם בעתיד- אתה מוזמן לשאול אותי. כמובן שעדיף שתשאל את שאלותיך כאן, בפוסט הפרסום של הגליון- וככה גם אחרים יוכלו לשמוע את התשובות וההסברים לשאלות, אבל דע לך שהמייל שלי פתוח תמיד.

אחלה יום! :)
04.07.2011 07:05:57

#26 

cp77fk4r:
Ce@ser- תודה לך! ומאמר הבא: פרקטיקה של הנושא שכתבת בגליון- למרות שאני בטוח שיהיה קשה למצוא מתנדבים ל-PoC ;)
04.07.2011 07:08:24

#27 

מתן:
אין בעיה אפיק, וד"א, אני פותח המון את גוגל וויקיפדיה, שלא תחשוב שאני לא.
אבל (לדוגמא), מאמר בנושא C, ויקיפדיה וגוגל לא יוכלו לעזור לי להבין את המאמר. זאת הכוונה שלי(אני לא יודע C).
בשאר המאמרים שלא דרוש הרבה ידע קודם(לדוגמא, שפת תכנות), אני בד"כ מסתדר, או לפחות מנסה.
תודה רבה אפיק שאתה מציע לי עזרה באימייל, אני אשתדל שלא לשאול הרבה :)
ד"א, לא קשור לפוסט, אתה ממליץ לי ללמוד C? יש לי ידע ברמה דיי גבוהה של PHP, אך עם כל עניין האבטחת מידע, אני שם לב שאני צריך ללמוד שפה עילית כלשהיא. אשמח לתשובה בעניין.

תודה רבה אפיק!
04.07.2011 07:18:12

#28 

מתן:
תוכל להחזיר לי תשובה בקשר לשפת C באימייל: MatanYtr@gmail.com
כי השאלה שלי ממש לא קשורה לפוסט, מצטער.
04.07.2011 07:46:09

#29 

MrDrivers (אורח):
מאמר נ-ה-ד-ר.
בהחלט אחד הגליונות הטובים ביותר שראינו עד כה!
אני חייב לציין שמאוד נהנתי לקרוא את המאמר של Zerith , ובכלל את כל המאמרים שלו כל הכבוד !
04.07.2011 14:33:29

#30 

שמיל (אורח):
דווקא להיפך- מאמר בנוגע לשפת תיכנות מסויימת- גוגל הכי יכול לעזור לך, תוכל למצוא בו דוגמאות קוד, הסבר על הסינטקס, מימושים שונים וכו׳...

ובקשר ללמידה, לא יודע מה cP ימליץ כך, אבל אני ממליץ לך על ++C.
04.07.2011 19:32:53

#31 

Ce@ser:
אפיק, ה-POC עלי כמובן.. יגיע בימים הקרובים.
זה יהיה קצת יותר מורכב לכתיבה.. אני מקווה שיכנס לגיליון 24 מקסימום 25 (:

תגיד, יש מצב שאתה מוסיף פיצ'ר קטן שסוכם את מספר המבקרים בכל מאמר... נתון מעניין לא?
05.07.2011 14:16:23

#32 

שמיל (אורח):
בגלל שהגליון מופיע גם פה, גם ב-Underwar.co.il, גם ב-Exploit-DB, גם ב-Packet Storm Security ובעוד מקומות רבים נוספים- אני בספק אם אפילו ניר ואפיק יכולים לדעת את הנתון הזה...
07.07.2011 09:16:42

#33 

גיל (אורח):
משהו שנתקלתי בו במקרה (לגבי הקשחת שרתים)
www.planetnana.co.il/cp77/texts/bc.pdf
10.07.2011 22:59:44

#34 

Dw4rf (אורח):
בקשר למאמר על הציוד הרפואי:

http://alturl.com/n9bwr
05.08.2011 11:52:04



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.