הגליון המאה שבעים ושבעה של DigitalWhisper שוחרר!

ברוכים הבאים לדברי הפתיחה של הגליון ה-177 של DigitalWhisper!   

מאז שאני בת 19 בערך, אני מתלהבת כל שנה ש-Defcon יוצא ביום הולדת שלי, ותמיד משתעשעת במחשבה שלהיות שם זו מתנת יום ההולדת האולטימטיבית!

השנה לא זכיתי לכך, אבל רבים מכם כן, וההד שנוצר מההרצאות המטורפות בוגאס בתקופה הזו של השנה מגיע עד לישראל במהירות :)

אז כמובן אי אפשר להעלות גליון בחודש אוגוסט בלי לדבר על Blackhat ו-defcon, כנסי אבטחת המידע וההאקינג הגדולים בעולם!

ומלבד BlackHat ו-Defcon החודש קרה עוד אירוע מרגש! המגזין Phrack פרסם את הגיליון ה-72 שלו, ומציין 40 שנות פעילות! רוצו לקרוא! :)

קשה שלא להתחיל ממשפט בסגנון: "ואו, היו מלא הרצאות על AI!". וכמו שאי אפשר לזרוק היום אבן בשום תחום מבלי שהיא תנחת על ראש של איזה AI Agent, כך גם בתחום שלנו... וכבר ראינו לא פעם כיצד ניתן להשתמש לרעה ב-AI.

רציתי לציין במיוחד את ההרצאה המצוינת של Zenity (אחרי ההרצאה המעולה של שנה שעברה), הפוסט הזה מסכם את מרבית החולשות ששוחררו לאחרונה.

בנוסף, צוות המחקר ב-Safe Breach חלקו עימנו תקיפה על Gemini, בה הם משתלטים על Agent באמצעות שליחה של Google Calender Invitation. תוכלו לקרוא עוד על כך כאן.

אני לא סתם מציינת את שתי ההרצאות האלו, מעבר לכך שהן נוגעות בנושאים חדשניים ומעניינים, וכן מציגות משטח תקיפה אמיתי, הן גם הוצגו על ידי כמה משלנו!

מעבר לכך שאי אפשר להתעלם מכמות ההרצאות על AI, אי אפשר להתעלם מכמות השמות הישראליים שקפצו לי בעין כשעברתי על רשימת ההרצאותוכמה שבדרך כלל נתון כזה מעורר גאווה, אז בטח ובטח בתקופה שכזו, זה מרגש לראות כמה הישראלים מובילים בתחום שלנו.

עוד משהו שעניין אותי, היה לראות על מה ההרצאות בקטגוריית ה-"מתקפות מהעולם האמיתי" דיברו. אני הכי אוהבת בעולם ללמוד על חולשות חדשות ומורכבות, ותמיד נדהמת כשאני מגלה שבתקיפות בפועל קורים לפעמים דברים הרבה יותר פשוטים (לפחות בתקיפות שמצליחים לזהות...).

ונקודה מעניינת שעלתה לי בזמן שעברתי על ההרצאות: יכול להיות שלא היתה אף הרצאה על תקיפה "אמיתית" שמשלבת AI משום שלא פותחו יכולות ההגנה המתאימות כדי לזהות תקיפות מסוג זה?

הרבה פעמים התקיפות האלו מסתכמות בקובץ "תמים" שמכיל Prompt , שהוא "פשוט" טקסט, שיכול להוות נזק גדול. הרבה יותר קשה לזהות את זה מאשר לזהות איזה EXE או elf שרץ ועושה פעולות. האמת שרק המחשבה על לזהות דברים כאלו מרגשות אותי, אני מקווה לראות בשנה הבאה גם יותר הרצאות מהסוג הזה!

נקודה אחרונה לדברי פתיחה אלו, רצינו לומר תודה רבה לכל מי שטרח להציע רעיונות ולהתייחס לדברי הפתיחה של החודש הקודם. הגיעו אלינו כמה וכמה פתרונות מאוד מעניינים, והתרגשנו לראות את הרצון של האנשים לתרום למגזין ולקהילה! אנו מקווים שכבר בקרוב נתקדם ותוכלו לראות את התוצרים! :)

וכמובן, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה לאריאל סימון, תודה רבה לאבישי גונן, תודה רבה לעדיאל סול, תודה רבה לאילן וינוגרד!
 
החודש, הגליון כולל את המאמרים הבאים: 
  • Permission Impossible: Azure API Vulnerabilities and Over-Privileged Roles - מאת אריאל סימון
    במאמר זה אריאל חושף ממצאי מחקר על חולשות אבטחה ב-Azure, הכוללים Role-ים עם הרשאות עודפות וחולשת API קריטית שמאפשרת הדלפת מפתחות ל-VPN. שילוב הבעיות יוצר תרחיש תקיפה מעניין, המאפשר למשתמש חלש להתרחב לגישה נרחבת בענן ואף לרשתות On-prem, ומעלה שאלות מעניינות לגבי רמת האמון בספקית הענן.


  • GraphQL וחולשות נפוצות - מאת אבישי גונן
    GraphQL צמחה כאלטרנטיבה מודרנית ל-REST, שמאפשרת עבודה יעילה וגמישה יותר מול APIs. אבל יחד עם היתרונות מגיעות גם חולשות חדשות. במאמר זה אבישי סוקר את עקרונות השפה, מציג דרכים לאיתור נקודות תורפה בעזרת כלים כמו Burp Suite, ומדגים כיצד ניתן לנצל חולשה אמיתית שמצא באתר מוכר, לצד צעדי ההגנה הנדרשים.
  
  • Prompt Hacking - מאת עדיאל סול
    Prompt Hacking הוא אחד האיומים החדשים בעולם הבינה המלאכותית. מדובר במתקפה שלא מנצלת קוד או חולשה טכנית, אלא את השפה עצמה. איך "טקסט תמים" יכול לשכנע מודל לחשוף מידע מסווג, לעקוף מגבלות בטיחות או לבצע פעולות זדוניות? במאמר זה עדיאל מציג את שיטות התקיפה, דוגמאות מהעולם האמיתי, ודרכי ההגנה, כולל פתרון אתגר CTF שממחיש את הסיכון מקרוב.
  
  • Proxy DLL - מאת אילן וינוגרד
    במערכות רבות קיימות תוכנות סגורות או ספריות חיצוניות שאין לנו גישה לקוד המקור שלהן, אך עדיין נרצה להבין את דרך פעולתן או להרחיב את היכולות שלהן. אחת הטכניקות המאפשרות זאת היא Proxy DLL, ספרייה דינמית שמתחזה למקורית, אך בפועל עוטפת את הקריאות הפנימיות ומאפשרת לנו להוסיף או לשנות לוגיקה בדרך. במאמר זה נבין כיצד פועלת הטכניקה, מה היתרונות והאתגרים שלה, ונראה דוגמה יישומית מתוך פרויקט DirectXSwapper, שממחיש את היכולות הגלומות בה.

   
 
 
  קריאה נעימה,
אפיק קסטיאל וספיר פדרובסקי



תגובות על 'הגליון המאה שבעים ושבעה של DigitalWhisper שוחרר!':



#1 

 אחד (אורח):
תודה. המאמר על GraphQL היה נחמד
05.09.2025 19:58:38

#2 

 קורא הדוק (אורח):
אתם פשוט מעולים, תודה לאפיק ובהצלחה לך ספיר!
בעמוד של גליונות אפשרי לעדכן את הגליונות האחרונים ?זה לא מופיע שם ואנשים מפספסים מידע מדהים

שוב תודה ורק תמשיכו !!!
16.09.2025 08:30:54

#3 

 cP (אורח):
תודה על המילים החמות!

ספיר העורכת של המגזין כבר נראה לי מעל חצי שנה, אז נראה לי שאפשר לצרף אותה בקלות כבר לתודה ולא רק לברכת הבהצלחה ;)

את עמוד הגליונות נעדכן בהמשך, מבטיחים!
18.09.2025 23:19:49

#4 

 sapirxfed (אורח):
מחזקת את אפיק ומוסרת תודה רבה! :)
30.09.2025 06:31:17

#5 

 cP (אורח):
עמוד הגליונות עודכן :)
11.10.2025 15:31:10


הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2025 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.