ברוכים הבאים לגליון סוף השנה האזרחית של Digital Whisper. אנחנו מקווים שאתם קוראים את הגליון ב-1.1 ולא ב-31.12 תוך כדי שאתם עסוקים בהעלמת ההאנג-הובר המציק הזה.
גליון זה נכתב בסלון של אפיק. כן כן, אחרי 28 גליונות החליטו העורכים של הגליון, להלן אנחנו, שהגיע הזמן להפגש באמת בפעם הראשונה ולשבת ביחד על עריכת המגזין (אנחנו גרים ~70 בתים אחר מהשני, צריך שנתיים וחצי כדי שנמצא זמן להפגש!). לפרוטוקול עבור כל מי שהתלבט - אפיק באמת שמן, אבל מהאמיתיים - מאלה שצריכים להסתובב על הצד כדי לעבור בדלת. ואחרי שאפיק סיים לאכול חצי גליון - אפשר להמשיך בדברי הפתיחה.
שנתיים וחצי של גליונות - או כמו שנאמר:
לכבוד השנה החדשה אנחנו מסתכלים על הרחבת Digital Whisper ונשמח לשמוע את דעתכם. אחד הדברים שמעניינים אותנו הוא ליצור יותר שיחה בקהילה בין אנשים שחיים ואוהבים אבטחת מידע. נשמח בתגובות למגזין לשמוע איך נראה לכם נכון לעשות את זה. הזכרנו בעבר את הרעיון לפתוח פורום באתר המגזין. פוסטים אורחים בבלוג שלנו הם אופציה נוספת. נשמח לשמוע את דעתכם ונשמח עוד יותר שתצטרפו אלינו ותעזרו לנו לעשות את Digital Whisper גדול יותר וכיף עוד יותר במהלך 2012.
וכמובן, לפני הכל, נרצה להגיד תודה רבה לכל מי שתרם מזמנו ועזר לנו להגיש לכם את הגליון: תודה רבה ללירן בנודיס, תודה רבה לאלעד גבאי, תודה רבה לנצר רוזנפלד, תודה רבה לשלמה יונה ותודה רבה ליהודה גרסטל (Do5) שבסופו של מדבר מאמר שלו לא נכנס לגליון הקרוב אך יכנס לגליון הבא.
החודש, תוכן הגליון כולל את ארבעת המאמרים הבאים:
על פי פרסומים זרים - (נכתב ע”י אפיק קסטיאל / cp77fk4r):
במאמר זה מציג אפיק קסטיאל את עולם ה-Malvertising שהוזכר לא פעם במסגרת המגזין. בטכניקות ה-Malvertising השונות עושים שימוש גורמים בעלי כוונות זדון בכדי להפיץ תולעים, Botnets ושאר מזיקים. במהלך המאמר נראה כי חוץ מפעולות אלו, אותם ארגונים עושים שימוש בטכניקות אלו גם לפעולות כגון Distributed Denial of Service ועוד.
HTML5 מזווית אחרת - חלק ב’ - (נכתב ע”י עלירן בנודיס ואלעד גבאי):
מאמר זה הינו החלק השני בסדרת המאמרים “HTML5 מזווית אחרת” - סגרת מאמרים הסוקרת את נושא האבטחה בתקן החדש. במאמר זה, מציגים לירן בנודיס ואלעד גבאי את מנגנון ה-“Drag and Drop” החדש הקיים בתקן, את יכולותיו ואת הנקודות בהן ניתן לבצע שימוש בכדי לפגוע בגולשים ע”י מתקפות המאפשרות גניבת מידע, מתקפות Click Jacking מתוחכמות.
הצפנות נתונים ב-MSSQL - (נכתב ע”י נצר רוזנפלד):
במאמר זה, בוחן נצר רוזנפלד את אפשרויות ההצפנה הקיימות ב-SQL Server בכלל ובפרט פיצ’ר “חדש” יחסית שיצא בגירסת SQL Server 2008 Enterprise. במהלך המאמר מציג נצר, את כל תהליך ההצפנה - שאילתות, סקריפטים, הצגת המידע לפני ההצפנה ואחריה, וכן בעיות נפוצות בשימוש במנגנוני ההצפנה השונים.
פענוח הצפנות במסמכי XML - (נכתב ע”י שלמה יונה)
במאמר הבא מציג שלמה יונה חולשה שנמצאה על ידי מספר חוקרי אבטחה גרמניים בתקן ההצפנה XML-Enc, תקן המשתמש להצפנת מידע במסמכי XML. החולשה מאפשרת את פיצוח ההצפנה וחשיפת המידע הרגיש. במאמר זה נבין כיצד עובד מנגנון ההצפנה ב-XML, מהי החולשה וכיצד משתמשים בה כדי לפצח טקסט מוצפן ולחשוף את המידע שהוצפן.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.