רציתי לציין שהחודש מתחיל הפרוייקט "MoAUB" (ראשי תיבות של Month Of Abysssec Undisclosed Bugs), במסגרתושל הפרוייקט, החבר'ה מ-Abysssec יפרסמו כ-Full Disclosure מספר רב של חולשות אבטחה במערכת שונות שעדיין לאנמצא להן תיק..

שנה. שנה של מחקרים וכתיבה מתמדת. שנה של מרדפים והתרוצצויות חוזרות ונשנות. שנה של עצבים, לילות לבנים ועריכות אינסופיות. שנה של אתגר, שהוצב ושנכבש. שנה של סיפוק. של סיפוק מתוק. בדיוק לפני שנה הצגנו כאן, לפניכם, את הגליון הר..

הפוסט הזה יהיה קצר, רק רציתי להציג לכם Rouge Attack מוצלחת ביותר, הגעתי אליה דרך משתמש מבולבל ב-IRC :)אני לא אפרסם פה את הקישור, רק אגיד שנכון לכתיבת שורות אלו שום מנגנון Safe-Browsing (לפחות לא של שלושת הדפדפנים הגדולים) מזהה את השרת כשרת בעל תוכן זד..

ברוכים הבאים לגליון האחד עשרה של Digital Whisper! מה העניינים חבר'ה? אצלנו פה הכל אחלה, אני מקווה שככה גם אצלכם ;) דברי הפתיחה האלה עושים לי בעיות כל פעם מחדש, כי ת'אכלס, אין לי יותר מדי מה להגיד כל פעם, אבל אם לא נכניס כמהשורות..

 לפני תחילת הפוסט חשוב לי לציין שלא מדובר בכך שניתן לגשת מחוץ לרשת ולפענח חבילות מידע מוצפנות, אלא שלמשתמשים מורשי גישה לרשת יש אפשרות לפענח מידע של משתמשים אחרים אשר מחוברים לאותה הרשת. אחרי זה - אפשר להתחיל.חוקר האבטחה ההודי..

 בתחילת השבוע פגשתי בבלוג של Ivanlef0u את הפוסט הבא:http://www.ivanlef0u.tuxfamily.org/?p=411 הבחור מצא חולשה ברכיב ה-Windows Shell של Microsoft במנגנון הצגת האייקונים של קבצי ה-Shell Link (סיומות: "LNK"ומקביליהם ב-MS-DOS: קבצי &qu..

פעמים רבות במהלך בדיקות PT אני נתקל בפתרונות האקינג הזויים ונחמדים, כמו במקרה הבא: יש לנו גישה למערכת מוקשחת, אין לנו כלום חוץ משולחן עבודה, מספר אפליקציות סיטריקסיות וכמה אפליקציות חלוניות(חלק מה-"Accessibility tools", חלק מה-&quo..

למה לא מומלץ ליישם רשימות שחורות? פשוט מאוד: ככה. רוצים דוגמה? אז ככה...לפני מספר חודשים, דיווחתי כאן על הפוסט של Didier Stevens בשם "Escape From PDF".בפוסט זה, הציג Didier, שיטה מעניינת המאפשרת לתוקף לנצל חולשה במנגנון ה-"Lau..

 כן, גם אני הרמתי גבה כאשר ראיתי את הכותרת הזאת בזמן שעברתי על המיילים הנכנסים מ-Bugtraq. המייל הגיע מחוקר בשם "Soroush Dalili", ותוכנו בקצרה:Description:Although IIS5 is very old, finding one is not impossible! Therefore, I w..

מי היה מאמין? אנחנו אשכרה מוציאים את הגליון העשירי של Digital Whisper!אחרי יותר משנה של עבודה אני חושב שאפשר להגיד שהצלחנו. עשר גליונות היו היעד ההתחלתי שלנו, ובהתחלה לאהרבה האמינו שנצליח להגשים אותו (ניר ממש ברגעים אלה מפסיד לי בהתערבות- הבחור ח..

שלחתי את תשעת הגליונות של DigitalWhisper ל-dookie2000ca מ-Offensive Secority שיעלה אותם ל-Exploit-db. עזבו את זה שאנחנו המסמך הראשון במאגר הזה שנכתב בעברית- למרות שזה נחמד, זה פחות מעניין, מה שיותר מענייןזה שתוך פחות מ-24 שעות..

 במהלך אתמול, חוקר האבטחה Michal Zalewski פרסם בבלוג שלו, פוסט מעניין המכיל קוד (מעניין גם הוא) פשוט להפליא שיכול להקל מאוד על תוקפים רבים לצאת לדייג, שימו לב ל-PoC הבא (הוצג במקור ע"י: Michal Zalewski):  &..

  לפני זמן לא רב, התוודעתי לקוד הבא, שפורסם באופן אנונימי ב-Explo.it, אני מדבר על הקוד הבא:http://www.exploit-db.com/exploits/13853/ מפרסם הקוד טוען כי ע"י שימוש בקוד הנ"ל ניתן להריץ פקודות על כל שרת IRC מסוג Unreal (גי..

 כולנו מכירים את המתקפה Arp Poisoning וכולנו יודעים עד כמה פשוטה היא לביצוע בעזרת הכלים הנכונים (למשל בעזרת כלי כמו: Cain & Able ניתן לבצע את המתקפה בפחות מעשרה "קליקים"). בנוסף, כולנו יודעים עד כמההרשת הפני..

סופו של חודש מאי הגיע (החודשים האלה עוברים יותר מדי מהר!) והגליון התשיעי של Digital Whisper מתפרסם.עשיתי חישוב קטן לקראת הגליון העשירי, ויצא שנכון לכתיבת שורות אלה (כולל...), הגענו למעל 600 (!) עמודים,עם מידע איכותי בעברית על אבטחת מידע, טכנולוגי..

 חוקר האבטחה Aza Raskin מהבלוג: Azarask.in פרסום הבוקר סוג חדש של מתקפת Phishing. הרעיון פשוטמאוד אך גאוני. הרעיון העומד מאחורי המתקפה הוא פשוט מאוד ומנצל את טכנולוגיות ה-"Tabbing" שבה (כמעט?)כולנו משתמשים לשם הנוחות.ברב, אם ל..

מספר חבר'ה מ-Matousec פרסמו לאחרונה ידיעה תחת הכותרת המפוצצת:  Earthquake for Windows Desktop Security Software   את הידיעה הם פרסמו לאחר שמצאו מספר ממצאים מעניינים במספר רב מאוד של מוצרי אבטחת מידע (בעיקר אנטי-וירוסים). רשימת ..

סוף חודש אפריל כאן, וחודש מאי בפתח, הגליון השמיני של Digital Whisper שוחרר בשעה טובה. החודש שעבר היה מעניין מאוד מבחינת אבטחת מידע, היו הרבה כנסי אבטחת מידע ברחבי העולם,והרבה חוקרים הציגו טכניקות שונות ומעניינות בכדי לעקוף רכיבים/מנגנונים כא..

הבוקר (שישי), פורסמה חולשת אבטחה מסוג Arbitrary DLL Loading, המאפשרת, בין השאר, הרצת Command-Line על המכונה המותקפת התגלתה ב-Web Start Framework של Java (המוכרת גם כ-"JavaWS"). מדובר בטכנולוגיה שפותחהע"י חברת Sun ותפקידה להקל על תה..

Escape From PDF זאת הכותרת, שחוקר האבטחה Didier Stevens קרא לפוסט שלו, שבו פרסם דוגמא מעניינת ל-Hacking ללא ניצול של שום חולשת אבטחה. Didier Stevens מציג שיטה מעניינת, המשלבת בעיקר "הנדסה חברתית" לגרום למשתמשים לאשר הרצה ..

אביב הגיע, פסח בא, מרץ חלף לו והגליון השביעי של Digital Whisper שוחרר! אז כותב שירים אני לא, אבל זה שמפרסם לכם שהגליון השביעי של המגזין שלנו סוף סוף הגיע - אני כן. :)הגליון השביעי של Digital Whisper שוחרר היום. הרבה השקעה, מאמץ וטלפונים בוצע..

חוקר אבטחה בשם Peter Vreugdenhil מהולנד, הציג בכנס CanSecWest (במסגרת התחרות Pwn2Own) אקספלויט שכתב המסוגל לנצל חולשה בדפדפן IE8 תחת מערכת ההפעלה Windows7/64bit (מעודכנתלחלוטין). מה שזיכה אותו ב-10,000 דולר ומחשב נייד חדש.על התחרות..

  למי שלא שם לב, החבר'ה מ-Honeynet פרסמו הצהריים את התשובה לאתגר השני בסדרת האתגרים שלהם-"Forensic Challenge 2010", שמו (וגם נושאו) של האתגר היה: "browsers under attack"בדיוק כמו באתגר הראשון שלהם השנה,..

גוגל שחררו הבוקר (21/03/10) את Skipfish, תוכנה המבצעת סריקה וניתוח אבטחת מידע לאפליקציות Web - בקוד פתוח. התוכנה שוחחרה בגרסאות להפצות Linux, FreeBSD, MacOS X ומסוגלת לרוץ תחת Cygwin ב-Windows. התוכנה נכתבה ב-C ולפי דברי ..

 מי שעבר על (או היה ב-) הרצאות של BlackHat DC 2010 בטח הבחין בהרצאה אחת מעניינת במיוחד (כל ההרצאות בכנס מעניינות במיוחד...), אבל בפוסט הזה אני מדבר על ההרצאה של Dionysus Blazakis על Interpreter Exploitation: Poi..

בימים האחרונים פורסמו הפרטים של חקירת ה-FBI וחברת Panda Security שבסופה נעצרו שלושת האחראים עלרשת הבוטים Mariposa. רשת הבוטים Mariposa ("פרפר" בספרדית) הורכבה מכמעט 13 מליון מחשבים ממעל 190 מדינות שונות.דרכי התפוצה שלה כללו דר..

סוף פברואר הגיע והגליון השישי של Digital Whisper סוף סוף בחוץ, רק עוד שלושה גליונות וניר חייב לי ארוחה :)  בזמן האחרון אנו שומעים עוד ועוד על רשתות Botnets חדשות שחוקרי אבטחת מידע מגלים, אם זהגירסאות שונות ומשונות של Zeus..

  Web Security Dojo הינה Open-Source Web-Application Security Lab שפיתחה חברת MavenSecurity. לפי דברי Steven Pinkham (חוקר אבטחת מידע מ-MavenSecrity), המטרה של Dojo היא ליצור סביבת עבודהלחוקרי אבטחת מידע, Penetration Testers ו..

לפני מספר שבועות פרסמנו כאן את האתגר הראשון לשנת 2010 של הפרוייקט Honeynet. מי שלא זוכר, באתגר הראשון שפורסם (pcap attack trace) היה קובץ pcap עם תעוד של תעבורת הרשת בזמן המתקפה שבוצעה על ה-Honetpot. האתגר היה לנתח את ה-p..

עריכת הגליון השישי כבר נמצאת בעיצומה - ובכל זאת, החלטנו לכתוב את הפוסט הזה בכדי להזכיר לכל החבר'ה שם בחוץ - כן כן אתם- שאף פעם אין דבר כזה "יותר מדי מאמרים" ולהזכיר שאם לא תתנו יד לא נוכל להגיע יותר מדי רחוק לבד...

מאז ש-DigitalWhisper עלה לאויר אני מתעניין בכל מני מערכות לניהול תוכן (CMS), בכדי לבחון את האבטחה שלהן. כמעט כל חברה שמכבדת את עצמה בנושא, מאפשרת איזה מערכת "DEMO" שהלקוח יוכל לבחון, לסייר, לראות את ממשקי הניהול וכו'. לאחר..

סוף ינואר הגיע, ואיתו הגליון החמישי של Digital Whisper. החודש היה חודש צפוף מאוד יחסית, לפחות מבחינתי. אך בכל זאת, אתם יכולים לראות- הגליון החמישי של Digital Whisper שוחרר בזמן ואנחנו כבר בחצי הדרך לקראת הגליון השישי.&nbs..

לפני כעשרה ימים, ב-18 לחודש, The Honeynet Project המוכר בעיקר בשל סדרת המאמרים-"Know Your Enemy" שחרר במסגרת ה-"Forensic Challenge 2010" שהוא מקיים מדי שנה את האתגר הראשון-"pcap attack trace".לפי דברי כריסט..

מדובר באקספלויט שהתפרסם לפני כשבוע, ב-14 לינואר. בעזרת אקספלויט אשר מכונה "Aurora" האקרים סינים הצליחו להשיג גישה לרשתות של 29 אירגונים גדולים בעולם ובינהם אפשר למצוא את Juniper, Adobe ולא אחרת מאשר Google.בעקבות הפרשה, המשרד לענייני אב..

הפצת הלינוקס החינמית Back|Track4 שוחררה רשמית בגירסתה הרביעית. גריסאת ה-Beta שיצאה לפני שחרור הגרסא הסופית (Pre-Release) עברה את ה-4 מיליון הורדות. למי שלא מכיר, ההפצה מיועדת בעיקר לחוקרי אבטחת מידע ומנתחי רשתות, המערכת כוללת ..

מנוע החיפוש הגדול ביותר בסין, Baidu , הושבת היום (שלישי) משעות הבוקר ובמשך שעות רבות (ועד מספר דקות קצרות לפני פרסום פוסט זה) אינו היה זמין. את ההשחתה ביצעה, לפיהכתוב, קבוצת האקרים איראנית בשם Iranian Cyber Army. לפי הדיווחים ..

זהו, מעכשיו תוכלו להתעדכן קבוע בכל מה שקורה באתר שלנו בעזרת RSS. היו מספר רב של בקשות שנתמוך גם במערכת RSS ואנו מקווים שהמנגנון יהיה לעזר. תודה רבה ל-Ender שסבל את ההצקות הרבות. http://feeds.feedburner.com/digitalwhisper ..

מה הולך בנות? אנחנו פותחים את שנת 2010 עם הגליון הרביעי , וכמעט בלי יותר מדי מילים מיותרות- אני עומד להציג בפניכם את המאמרים המרכיבים את הגליון. אבל כמו בכל פעם- ממש שניה לפני שתורידו אותו, אני מעוניין להגיד תודה לכל מי ש..

עוד ארבעה ימים הגליון הרביעי של Digital Whisper ישוחרר! והגליון החמישי כבר מתחיל לרקום עור וגידים... אבל לא זאת הסיבה שבגללה אני מפרסם את הפוסט, אני מפרסם אתהפוסט הזה בגלל רעיון מעניין שניר העלה.ניר העלה רעיון להקים קהילה מסביב לגליון, קהילה..

אז חודש נובמבר חלף לו וכמו שהבטחנו- הגליון השלישי של המגזין Digital Whisper בחוץ. (באיחור של יום וקצת)אנחנו נכנסים לחודש דצמבר שהוא חודש עמוס מטבעו, אבל אל דאגה, עם כל העומס- הגליון הרביעי יגיע גם הוא.לפני שנעבור לגליון, רצינו להגיד תודה לאנשים ש..

עקב בעיות "עריכה של הרגע האחרון" אנו נאלצים להודיע שהוצאת הגליון השלישי של Digital Whisper תתעכב ביום אחד. ולכל חסרי הסבלנות (הלוגים במערכת מלאים בנסיונות לגשת לכתובת מאוד ספציפית) אין טעם לנסות, למרות שזה מאודמחמיא. זה לא שהג..

אז מה המצב? הגיע עוד סוף חודש ואיתו מגיע הגליון השני של המגזין Digital Whisper.אבל לפני הכל, היינו רוצים להגיד תודה רבה לכל מי שהגיש יד בפרסום המגזין ברחבי האינטרנט. מאז שחרורו של הגליון הראשון פנו אלינו מספר לא קטן של קוראים שהציעו לכתוב מא..

רצינו לעדכן שעשינו שינוי קל אך משמעותי בעמודי הגליונות (נכון לעכשיו יש רק אחד). מעכשיו, חוץ מהאפשרות של הורדת הגליון עצמו- אתם יכולים להוריד כל כתבה וכתבה בנפרד. פשוט ליחצו על שם הכתבה בטבלת פירוט הכתבות. קריאה נעימה! נ.ב. בנוסף, רציתי ..

כמו בכל סוף חודש- בדיוק ביומו האחרון, מעכשיו, אנחנו נשחרר גליון. זהו הגליון הראשון של Digital Whisper ומי שעדיין לא שם לב, ישנו עמוד אשר ירכז את כלל גליונות הפרוייקט שפורסמו עד כה. מלבד זאת, לכל גליון יהיה עמוד נפרד שאליו אפשר להגיע דרך העמוד..