בדיקת חדירות

Yogev Mizrachi, 22 ינואר 2019
בדיקת חדירות (Pentest \ Penetration Test) בדיקת חדירות היא שיטה להעריך את האבטחה של מחשב, רשת, התקן טכנולוגי כזה או אחר אשר מכיל מידע, על ידי הדמייה של התקפה מכוונת, ניתוח וחקירת מערכות, בדיקת תגובה של מערכות הגנה וכו’. פועלים בעיקר לפי שלושה סוגי מבדקים (על בסיס סוג המבדק מבצעים את הבדיקה בהתאם לתחום הנדרש, ראה פירוט מטה): Black Box White Box Gray Box סוגי מבדקים Black Box בדיקה זאת מתבצעת…
קרא עוד

מתודולוגיית מבחן חדירות

Yogev Mizrachi, 22 ינואר 2019
הצבת יעדים ומטרות (Pre-engagement Interactions) בשלב הראשון נדון בהיקף האבחון, תיאום ציפיות והגדרת יעדי המבדק אשר יעזרו לנו לבנות מודל מתודולוגי שילווה את צוות הבודקים בכל שבעת שלבי PTES (המתודולוגיה שלנו בנויה על בסיס PTES – http://www.pentest-standard.org/index.php/Main_Page) . בשלב זה בין השאר נקבעים הנושאים הבאים: סוג המבדק (חיצוני \ פנימי \ משולב וכו’) מטרת המבדק (היעד הסופי שנקבע שברגע שהוא מושג המבדק מסתיים) הגבלות וחוקים (יצירת כללי עבודה מוסכמים מראש, לאן…
קרא עוד

הנדסה חברתית

Yogev Mizrachi, 22 ינואר 2019
רקע בימינו מערכות ההגנה התקדמו מאוד, יש מגוון רחב של מערכות בקרה, התראה, ניטור, חומות אש, מניעת גישה וכו’. מערכות אלו ללא ספק מונעות מספר לא קטן של התקפות סייבר, כמובן שאין הגנה המכסה את מלוא הסיכונים אך כל עוד מנהלים את מערכות ההגנה בצורה העונה לדרישות האבטחה של הארגון ובהתאם לניהול הסיכונים הארגוני סביר להניח כי לא כל התקפה שתגיע לארגון תצליח לפגוע ו\או לגרום נזק. מנגד, קיים מימד נוסף…
קרא עוד

מתקפת Kerberoasting

Omri Zachay, 17 ינואר 2019
בפוסט זה נתאר איך לאתר בסביבת ה- domain של Active Directory  חשבון מסוג service. נבחן כיצד תוקף יכול לנצל את אותו חשבון ולהשתמש בנתוני ההזדהות שלו כדי לעבור אימות בסביבת הדומיין ובחלק מהמקרים אפילו להשיג הרשאת Domain admin. סקירה כללית Kerberoasting מנצל את האופן שבו חשבונות מסוג Service משתמשים באימות של ה- Kerberos עם Service Principal Names (SPNs). בהמשך הפוסט נראה כיצד ניתן לגלות ברשת חשבונות Service באמצעות סריקה של…
קרא עוד

הצפנות ומה שביניהם

onlinesec, 06 יוני 2018
המילה Cryptography משמשת אותנו המון בחיי היום יום של אבטחת המידע.אז מה זה בעצם Cryptography ?כשאנחנו שומעים את המילה קריפטוגרפיה  עולים לנו בראש המון מושגים כמו: הצפנות סימטריות ואסימטריות,PKI, תעודות דיגיטליות וכו'.ריבוי המושגים האלה גורם להמון בילבול, ולרוב לאנשים קשה להסביר את הסדר ואת השימוש של המושגים ואיך לקשר אותם לתהליכים שבהם אנחנו נפגשים ביום יום שלנו ברחבי הרשת.קריפטוגרפיה  זהו ענף במתמתיקה ומדעי המחשב לעיסוק ומחקר אבטחת מידע ותקשורת נתונים.התחום מאגד תחתיו הרבה…
קרא עוד