הגליון העשרים ושניים של Digital Whisper שוחרר!

ראשית, שמחנו לראות החודש הענות גבוהה מאנשים שרוצים לעזור ביצירת הגליון החודשי, לצערינו לא יכולנו להכניס את כלל המאמרים שהוגשו אך אנו מודים לכל מי שהגיש מאמר גם אם הוא לא נכנס לגליון. שנית, במהלך החודש האחרון שקלנו לפתוח פינה חדשה שבה בכל חודש יוזכרו מספר אירועים מעולם אבטחת המידע המקומי והעולמי, החודש לא יצא לנו ואנו מקווים שהחל מהגליון הבא היא תתחיל לרוץ. אבל אנחנו לא מבטיחים שום דבר :)

דבר נוסף הוא שלדעתנו, החודש אנחנו מציגים לכם את אחד הגליונות המרשימים שהיו עד כה, ואנו מעוניינים להודות לכל מי שעזר לנו ליצור אותו.

תודה רבה ל-Ender, שחוץ מלפתור את החידות המוזרות של An7i, סוף סוף נכנע ללחצים הרבים שהפעלנו עליו וסיים את אחד המאמרים המוצלחים. תודה רבה לאורי (Zerith) שהציג לנו את הפתרון המאוד יצירתי שלו לחידה של Ratinho- ועל הדרך הגיש לנו מאמר מעולה. תודה רבה לאדיר אברהם על מאמר איכותי בנוגע להקשחת שרתי אינטרנט, תודה רבה לשי חן על מאמר (במקור באנגלית) בנושא “וקטורים עקיפים לתקיפת מערכות”, ותודה אחרונה חביבה לעידו נאור (Ce@ser)- על מאמר נפלא בנוגע לאבטחת מידע בעולם הרפואה.

החודש, תוכן הגליון כולל את חמשת המאמרים הבאים:

Zeus - The Take Over- (נכתב ע”י Ender):

במאמר זה נותן לנו Ender הצצה לעולם ה-“Malware Research” אשר בשנים האחרונות החל לצבור תאוצה רבה, ע”י סקירה של הסוס-הטרויאני “Zeus / ZBot”. במאמר, Ender מציג כיצד מבצעים השתלטות מוחלטת על שרת ה-ZropZone של Zeus (גרסה 1x), תוך כדי ניצול חולשה במנגנון ההצפנת התקשורת של הבוט עם השרת.

Hooking The Page Fault Handler (או: Smashing Ratinh0 For Fun And Profit) - (נכתב ע”י אורי / Zerith):

במאמר הבא, אורי (Zerith) מציג לנו את הפתרון שלו לאתגר שפורסם על ידי Ratinh0. הסעיף המרכזי באתגר של Ratinh0 היה “למצוא את הפתרון המורכב והמסובך ביותר לאתגר”. Zerith החליט לקחת את הסעיף הזה ברצינות, ואנחנו הרווחנו מאמר מעולה :)

אבטחת שרתי אינטרנט - (נכתב ע”י אדיר אברהם):

כולנו משתמשים בשירותי אינטרנט באופן יום-יומי, חלקנו אף מנהלים שרת או מספר שרתים כאלה, אך השאלה היא האם אנו עושים זאת באופן מאובטח ומוקשח? במאמר זה מציג לנו אדיר מספר עקרונות (ודרכים לממש אותם) חשובים בכדי להפוך את רמת האבטחה של השרת.

Session Puzzles - וקטורים עקיפים לתקיפת מערכות - (נכתב ע”י שי חן, תורגם ע”י אפיק קסטיאל):

מאמר זה הוא תרגום לעברית של המאמר המעולה שפורסם על ידי שי חן. במאמר מציג שי סוג חדש של וקטור לתקיפת מערכות אינטרנט אפליקטיביות שעד לאחרונה נחשב כלא אפשרי. המונח Session Puzzle מתאר חשיפה אשר מאפשרת לפורצים לבצע שלל התקפות המבוססות על שינוים המבוצעים בזיכרון הזמני (או הקבוע) בצד השרת (Session) המשויך למשתמש ספציפי.

Medical Hazardous Implants - (נכתב ע”י עידו נאור):

במאמר הבא מנסה עידו נאור לתת הצצה לעתיד הלא-כל-כך-רחוק של העולם הרפואי בנוגע לאבטחת המידע. עולם הרפואה מתקדם במהירות לעבר השימוש בטכנולוגיות חדישות וחדשניות בכדי לייעל את הטיפול בחולים, וכולנו יודעים שכאשר משתמשים בטכנולוגיות חדשות- יש מקום גם לפרצות אבטחה חדשות. אך הפעם, ניצול פרצות בטכנולוגיות כאלה לא יוביל לזליגת של הפרטים האישיים של המטופל או ריקון חשבון הבנק שלו, אלא יכול להוביל להרג.

קריאה מהנה!

ניר אדר ואפיק קסטיאל.