הגליון התשעים ושישה של DigitalWhisper שוחרר!

ברוכים הבאים לגליון ה-96 של DigitalWhisper
  
"היה בוקר, והשמש החדשה ניצנצה בזהב על אדוותיו של ים רוגע. במרחק מיל אחד מן החוף פילחה סירת-דייגים את המים, והאות ל"עדת השחרית" חלף באוויר. אלף שחפים באו להילחם על ניתחי-מזון. יום פעלתני חדש החל.
 
אולם, במרחקים, לבדו, בודד מעבר לסירה ולחוף עסק ג'ונתן ליווינגסטון השחף באימוניו. ברום מאה רגל באוויר השפיל כרעיו הקרומות, נשא מקורו ואימץ את כל כוחותיו לבצע בכנפיו קימור לולייני קשה ומכאיב. קימור זהמשמעו שעכשיו יעופף לאיטו, והוא האט עד שהרוח היתה לחישה בפניו, עד שהאוקיינוס דמם תחתיו. הוא אימץ עיניו בריכוז כביר, כלא את נשימתו, כפה על הקימור... עוד... אינץ'... יחיד... ואחר נפרעו נוצותיו, הוא הזדקר וצנח.
 
שחפים, כידוע לכם, אינם מאיטים לעולם, אינם מזדקרים לעולם. ההזדקרות באוויר היא להם ביזיון וחרפה. אך ג'ונתן ליווינגסטון השחף לא בוש. הוש שב ומתח כנפיו באותו קימור רוטט וקשה - האט, האט והזדקר שוב - אך הוא לא היה ציפור רגילה.
 
מרבית השחפים אינם טורחים להוסיף על לימוד עובדות הטיסה הפשוטות ביותר - כיצד להגיע מן החוף אל המזון ולחזור. די להם בכך. לגבי מרבית השחפים אין הטיסה חשובה, אלא למען המזון בלבד. אולם, לשחף זה לא היה כל עניין במזון; עיניו היו נשואות אל הטיסה לבדה. יותר מכל דבר אחר אהב ג'ונתן ליווינגסטון השחף לעוף." 

  [ג'ונתן ליווינגסטון השחף, ריצ'אד באך. עברית: נורית יהודאי]           
 
 
ונרצה גם להודות לכל מי שעמל החודש והקליד ממרצו ומזמנו הפנוי לטובת כולנו. תודה רבה לרון אורבך, תודה רבה ליובל עטיה, תודה רבה ל-mickey695, תודה רבה לינאי ליבנה ותודה רבה לתומר זית! 
 
  
החודש, הגליון כולל את המאמרים הבאים:
  • תקיפת רשת נוירונים - נכתב ע"י רון אורבך
    רשתות נוירונים מלאכותיות (Artificial Neural Network) הינן אוסף מודלים מתמטיים אשר משמשים מערכות-לומדות. ישנם תחומים רבים אשר להם אפליקציות הנשענות על רשתות נוירונים: עיבוד שפה טבעית (כגון תרגום, הבנת משפטים ומבנים תחביריים), ראייה ממוחשבת (למשל זיהוי אובייקטים מתמונה, זיהוי פנים, ואף נהיגה אוטונומית) ועוד. במאמר זה מציג רון בקצרה את רשתות הנוירונים בראי המערכות-הלומדות המיועדות לזיהוי העצם בתמונה, ולאחר מכן יממש 'תקיפה' עליהן. במסגרת המימוש, רון ייקח תמונה אשר רשת הנוירונים המאומנת תזהה בהצלחה כ-"משאית", ויערוך אותה באופן חכם שכמעט ולא נראה לעין בלתי מזוינת - ובכך יגרום לרשת הנוירונים להצהיר בביטחון כי מדובר בתמונה של "טוסטר".
  • From Security Bulletin to Local Privilege Escalation II: CVE-2016-7255 - נכתב ע"י יובל עטיה
    מאמר זה הינו מאמר המשך לסדרת המאמרים של יובל על איתור, השמשה וניצול חולשות 1day ב-win32k במערכות הפעלה מודרניות. במאמר זה, מציג יובל כיצד לאתר ולהשמיש את החולשה CVE-2016-7255 - אשר נוצלה בידי קבוצת ה-APT  הידועה בשמות Fancy Bear/APT28/Sofacy,  הקבוצה משויכת לממשלת רוסיה, והשתמשה בה במהלך קמפייני Spear-Phishing. 
  • Python String Formatting - נכתב ע"י mickey695
    במאמר זה, מציג מיקי את תחום -f-strings בפייתון. אופציה אשר נוספה לשפה בגרסת 3.6 עבור String Formatting. במסגרת המאמר משווה מיקי בין האפשרויות אשר היו קיימות בגרסאות הקודמות לבין זו החדשה, כיצד כל אחת ממומשת, בחסרונות וביתרונות של כל אחת מהן.
  • היכל הבידור (Heap Exploitation against GlibC in 2018) - נכתב ע"י ינאי ליבנה
    במאמר זה, אשר פורסם השבוע, כחלק מהגליון ה-18 של PoC||GTFO מציג ינאי טכניקת אקספלוטציה ישנה/חדשה ב-glibc המאפשרת לתוקף להשיג הרצת קוד בסביבה הנתקפת תו"כ שימוש במבנה של glibc. טכניקה זו פורסמה ב-2001 אך נגנזה עקב מספר סיבות. במסגרת המאמר ינאי שופך אור על סיבות אלו ומציג כיצד ניתן להשמישה גם על ספריות glibc העדכניות ביותר.
  • פתרון אתגרי ArkCon 2018 - נכתב ע"י תומר זית
    חברת CyberArk פרסמה ארבעה אתגרים לקראת אירוע ה-ArkCon שאירחה ב-24/4/2018. פותרי האתגרים זכו בכניסה להרצאה של אלכס יונסקו. ארבעת האתגרים, שנכתבו על ידי צוות CyberArk Labs, עוסקים בבעיות שפתרונן דורש ידע וסט יכולות שחוקרי אבטחת מידע צריכים לשאת באמתחתם על מנת להתגבר על אתגרי היומיום.  במהלך האירוע פורסם גם אתגר לבאי הכנס, שם הוענקו פרסים נוספים לפותרים המהירים ביותר. במאמר זה יציג תומר זית את הפתרונות שלו לסדרת אתגרים אלו.
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל  


תגובות על 'הגליון התשעים ושישה של DigitalWhisper שוחרר!':



#1 

 cp77fk4r:
"השחף המגביה עוף הוא זה המרחיק ראות"
30.06.2018 21:54:14

#2 

 שני (אורח):
הפעם הגזמת
30.06.2018 22:09:13

#3 

 פקמן (אורח):
תודה רבה! הספר הזה שווה קריאה?
01.07.2018 00:39:36

#4 

 cP (אורח):
הוא 90 עמודים והרב שם זה תמונות של ציפורים. מה כבר יש להפסיד? :)
01.07.2018 11:19:52

#5 

 Mb (אורח):
תקרא את תעתועים
של אותו מחבר (ריצ'אד באך)
ספר מדהים
02.07.2018 10:44:01

#6 

 cP (אורח):
על הטייס? קראתי, פחות התחברתי :)
02.07.2018 10:53:57

#7 

 Maor (אורח):
תודה רבה על עוד גיליון איכותי! כל המאמרים מעניינים במספר רמות. אני מאוד נהנה מסדרת המאמרים של יובל עטיה ולומד ממנה רבות. ומאוד נהנתי מהמאמר על תקיפת רשתות נוירונים. מעורר השראה! תודה רבה לכם!
02.07.2018 12:00:04

#8 

 שמיל (אורח):
תודה רבה! נהנתי מאד ולמדתי רבות! מתכננים להוציא מהדורה מיוחדת בגליון ה-100?
03.07.2018 06:46:41

#9 

 iTK98:
מפגש?
06.07.2018 16:06:25

#10 

 cP (אורח):
יש את המפגשים של dc שקוראים כל הזמן, ואם אני לא טועה - הקהל של הגליון והקבוצה די חופפים. ככה שאני לא בטוח שיש טעם בעוד מפגש רק כדי לציין את הגליון ה-100. אני טועה?
07.07.2018 06:50:46

#11 

 iTK98:
כנראה שאני היחיד שחושב שכן. אין ספק שמדובר בסיפור לוגיסטי להרים מפגש יעודי. מה בדבר merchandise? אני אשמח למדבקה וחולצה :)
08.07.2018 00:44:28

#12 

 cP (אורח):
מדבקה וחולצה זה בהחלט כיוון מעניין, זה פחות או יותר מה שגם אני חשבתי עליו. אנסה לחשוב מאיפה אני מביא עיצוב למשהו כזה :)
08.07.2018 02:03:48

#13 

 iTK98:
אפשר לפתוח את זה לקהילה, לעשות תחרות עיצוב עם כמה פרסים קטנים (אשמח לעזור במימון מכספי האישי, ואני בטוח שיש כאן עוד אחרים שישמחו לעזור).
09.07.2018 01:05:06

#14 

 BSD (אורח):
@iTK98
אני בעד
13.07.2018 07:38:49


הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2023 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.