<< עדכונים עבור 08/06/2012 :: עדכונים עבור 01/07/2012 :: עדכונים עבור 13/07/2012 >>
6 מסמכים חדשים נוספו לאתר, המסמכים שנוספו לאתר הם: "Digital Whisper - הגיליון השלושים ושלושה", "על המימוש הפנימי של אוביקטים וטיפוסים בדוטנט", "מבוא ל-Fuzzing", "סקירה על דיני הגנת הפרטיות ויסודות בפרטיות", "SecurityTokens - גניבת Session פעיל" ו-"תפיסות אבטחה במציאות משתנה"
| מסמכים חדשים | ||
|---|---|---|
| כותרת המסמך | מחבר | פרטים נוספים |
Digital Whisper - הגיליון השלושים ושלושה
מגזין גיליון מס' 33 של המגזין Digital Whisper. המאמרים בגיליון: על המימוש הפנימי של אובייקטים וטיפוסים ב-NET., מבוא ל-Fuzzing, סקירה על דיני הגנת הפרטיות ויסודות בפרטיות, SecurityTokens - גניבת Session פעיל, תפיסות אבטחה במציאות משתנה. |
Digital Whisper |  מסמך מודפס 1099 הורדות 58 עמודים |
על המימוש הפנימי של אוביקטים וטיפוסים בדוטנט
מאמר אם מאמינים ל-TIOBE Programming Community Language Index, אז #C ו-Visual BASIC חולשות על למעלה מ-12 אחוז מהקוד שנכתב בעולם, מה שממקם את NET. במקום השלישי והמכובד אחרי C ו-Java. כיוון ש-NET. היא סביבה מנוהלת, שבה הזיכרון, מבנה האובייקטים, ואפילו כתובות ומצביעים הם דברים שהמפתחים "לא מתעסקים בהם", קיים מעט מידע יחסית על המימוש הפנימי של NET. והקומפוננטות המרכיבות אותה. במאמר זה סוקר סשה את המבנה הפנימי של אובייקטים בערימה המנוהלת (GC heap) ומסביר על המבנה הפנימי של טיפוסים NET.-יים. בנוסף לכך, מציג סשה את מנגנון בטיחות הטיפוסים של NET., וחולשות אבטחה שהתגלו במנגנון זה בעבר. |
סשה גולדשטיין | מסמך מודפס 797 הורדות 10 עמודים |
|
מבוא ל-Fuzzing
מאמר תחום מחקר החולשות הוא תחום אשר צובר תאוצה בימים אלה, יותר ויותר חברות מוכנות לשלם היום לחוקרים (Bounty Programs) על מנת שיחשפו חולשות במוצרים שלהם ובכך בעצם יעזרו להם לשמור על המוצרים שלהן בטוחים יותר. חברות גדולות כמו גוגל אף משיקות ועידות מתוזמנות ומזמינות האקרים וחוקרים מכל העולם לנסות את מזלם ולזכות בפרסים של עד כ-60K$. במאמר זה מציג איל את השימוש ב-Fuzzing על מנת לאתר חולשות אבטחה. |
איל בנישתי | מסמך מודפס 820 הורדות 12 עמודים |
|
סקירה על דיני הגנת הפרטיות ויסודות בפרטיות
מאמר הזכות לפרטיות אינה זכות מוגדרת וברורה כמו חופש התנועה, חופש הביטוי או הזכות לקניין אשר ניתן להבין בצורה פשוטה ובמשפט אחד; מדובר בזכות שברורה לכולנו ואנו מבינים מהי, אך איננו יכולים להגדירה בצורה מושלמת. בסוף המאה ה-19 הגדירו סמואל וורן ולואיס ברנדייס את הזכות כזכות להנות מהחיים - הזכות להעזב בשקט. אבל דומה שהיום, בעת שהטכנולוגיה מתקדמת, אנחנו לא יכולים לומר בוודאות שאם נעזב בשקט פרטיותנו תסופק. הרי, אפשר לחשוב על כל מיני דרכים בהן אדם עדיין 'נעזב בשקט' אבל עדיין מרגיש שפרטיותו נפגעת: הדוגמא הטובה ביותר לכך היא של פרופיילינג, בו אנחנו נעזבים בשקט, אבל המידע שאוספים עלינו משמש כדי לא לעזוב אחרים בשקט. עו"ד יהונתן קלינגר, במאמר קצר ומקיף, דן בחובות אבטחת המידע והגנת הפרטיות ועונה על מה מותר ואסור לשמור במאגרי מידע, כיצד החוק מחייב להגן עליהם, ואיך אפשר לטפל בדליפות. |
עורך דין יהונתן קלינגר | מסמך מודפס 857 הורדות 11 עמודים |
|
SecurityTokens - גניבת Session פעיל
מאמר מאמר זה מהווה המשך למאמר שפורסם בגליון ה-32 של Digital Whisper, בשם "Security Tokens וכרטיסים חכמים". במאמר זה מדגים יוסף הרוש כיצד תוקף יכול לנצל חיבור פעיל (SESSION) ל-Security Token ע"י הזרקת קוד זדוני לתהליך המקורי אשר יצר את החיבור. |
יוסף הרוש | מסמך מודפס 870 הורדות 13 עמודים |
|
תפיסות אבטחה במציאות משתנה
מאמר החל משנת 2001 החלו להתגלות בעולם המחשוב סוגי התקפות מסוג חדש, אשר חלקן סווגו באופן מוטעה כתקיפות וירוסים. הסיבה הרווחות להכרה בסוגי התקיפות הנ"ל כתקיפות וירוסים נעוצה בעובדה כי לכלי התקיפה ישנם מאפיינים של וירוסים, אך לא בכך מסתיים הדבר. כלי התקיפה החדשים חשפו יכולות חדשות הכוללות ביצוע Sniffing ברמה גבוהה, גישה ל-Kernel Level ועוד. עם זאת, מרבית סביבת ה-IT לא נחשפה באופן פומבי לסוג התקיפות הנ"ל, למרות שכבר בשנת 2004 החלו להצטבר תלונות במשטרת ישראל על ניסיונות ריגול תעשייתי מצד ארגונים שונים. מאמר זה דן בשאלה האם תפיסות האבטחה הקיימות כיום עונות לצרכי הביטחון של הארגונים השונים, או שמא, תפיסות האבטחה מחייבות בחינה ובנייה מחדש. |
יובל סיני | מסמך מודפס 866 הורדות 5 עמודים |