הגליון השלושים וארבעה של Digital Whisper שוחרר!

ברוכים הבאים לגליון ה-34 של Digital Whisper!

אם מסתכלים מהצד (ואולי בעצם, גם אם לא) החודש, ובכלל התקופה האחרונה, נראת הזוי מבחינת אבטחת מידע. רק בחודש-חודשיים האחרונים פרצו לכל כך הרבה אתרים גדולים ופרסמו כל כך הרבה סיסמאות... אירועים שאני זוכר כרגע הם הפריצה האחרונה ל-Yahoo Voice, שבמסגרתה פורסמו יותר מ-400,000 סיסמאות של משתמשים. הפריצה לפורום המפתחים של Nvidia, גם שם פורסם מספר דומה של סיסמאות. הפריצה ל-Gamigo הגרמנית, שלאחריה פורסמו קרוב ל-11,000,000 סיסמאות (מספר הזוי שכזה, ראינו רק ב-2009, כשפרצו ל-RockYou, ושם פורסמו קרוב ל-32,000,000 כ-PlainText), הפריצה לאתר ההיכרויות eHarmony, שבה פורסמו 1,500,000 סיסמאות. כמובן שאי-אפשר לשכוח את הפריצה ל- LinkedIn, שבמהלכה פורסמו קרוב ל-6,500,000 סיסמאות, ואני מאמין שיש עוד הרבה דוגמאות שאפשר לתת רק מהתקופה האחרונה ואני פשוט לא זוכר אותן...

עכשיו, כן, נכון, אני מסכים, ברב המקרים רואים שחצי מהמשתמשים אינם פעילים, שהרשימה כוללת רשומות כפולות ושבסופו של דבר הפירצה הייתה דרך חולשה שהייתה קיימת בשירות ישן וכו' וכו'. אך התירוצים האלה מאוד מעניינים, השורה התחתונה היא שפרצו לאותם אתרים (וחלקם בסדר גודל בין-לאומי מטורף), הגיעו ללב המערכת ושלפו משם את אחד מפריטי המידע היותר קריטיים שיש.

למה אני מספר את זה? לא כי מפתיע אותי שהצליחו לפרוץ לאתרים בסדר גודל שכזה, אותי גידלו על המנטרה: "מערכת מאובטחת היא מערכת שלא מחוברת לטלפון, וגם זה ברב המקרים לא מספיק". אני מספר לכם את זה כי מה שמפתיע אותי הוא הנתון שבהרבה מקרים אופן שמירת הסיסמאות במסד הנתונים היה באופן גלוי! לא מסקרומבל, לא Hashed עם Salt, לא באיזה יעני-אלגוריתם-הצפנה-שפותח-אין-ההוס, אשכרה מונח כ-"ClearText" במסד הנתונים. ולא מדובר באתר של "יוסי-בלונים", מדובר במולטי-אתרים, עם מליוני מאות אלפי משתמשים פעילים בכל יום. 
 
על פי PwnedList, בעת כתיבת שורות אלו, פורסמו עד כה  23,801,415 סיסמאות שניתן להצמיד אותן לאדם ספציפי על פי כתובת האימייל שלו. זה גם נתון הזוי בפני עצמו. שלא נדבר על זה שרב בני האדם משתמשים במספר סיסמאות מצומצם (בדרך כלל אחת?) למספר שירותים, (כך שאת המספר הזה אפשר להכפיל פי כמה).

אני מסכים שהרבה יותר קשה לאבטח אתר גדול כמו שצריך מאשר לפרוץ אליו. הצד המאבטח צריך לחשוב על כל כך הרבה כיוונים, לדאוג שבכל כך הרבה מקומות האבטחה תהיה מקסימלית, והצד הפורץ, צריך בסך הכל פירצה אחת, פונקציה פגיעה אחת על מנת לחדור למערכת ולגנוב את כל המידע הרגיש.
אני מסכים שבאתרים בסדר גודל כמו שנפרצו הסיכוי להיות מאובטחים במאה אחוז הוא כמעט אפסי, ואני מסכים שלא משנה כמה בדיקות חדירה תבצע על המערכת, תמיד תשאר הפרצה הזאת שאף אחד לא מצא ודווקא אותו בחור זדוני מהאינטרנט מצא וניצל. אני לא מסיר את האצבע המאשימה מאותם אתרים, אבל אני מסכים עם זה שהצד המאבטח תמיד צריך לעבוד הרבה יותר קשה מהצד הפורץ.

עם דבר אחד אני לא מסכים, והוא זה שהנתונים שמורים באופן גלוי על הדיסק. פשוט לא נשמע לי הגיוני. יש כל כך הרבה פתרונות פשוטים וטובים על מנת לגרום לכך, שגם אם פרצו למסד הנתונים, ביצעו לו-Dump ופרסמו באיזה שרת מרכזי ברשת האינטרנט, המידע שיפורסם יהיה חסר ערך לחלוטין. וכן, יש סיכוי שהפתרונות האלה יאיטו קצת את הליך ההזדהות לשרת, וכן, אני מסכים שפיתוח עולה כסף, אבל דחיל-רבאק, זה א'-ב', זה מינימום של אבטחת מידע, אתם אתר בסדר גודל בלתי-נתפס, תראו קצת רצינות...


ובנימה אופטימית זו, נעבור לתודות...
 
 
תודה רבה לד"ר גל בדישי, תודה רבה ליניב מרקס, תודה רבה לעידן פסט, תודה רבה למרק גפן וליגאל זייפמן, ותודה רבה לשילה ספרה מלר, שבזכותם הגליון יצא לאור כמו שהוא!  
 
בנוסף, תודה רבה ללירן בנודיס ולאלכס ליפמן על מאמרים, שלמרות שבסופו של דבר לא מופיעים בגיליון זה, הם פינו מזמנם, והקדישו לגליון. בתקווה שהמאמרים יופיע כבר בגליון הבא!
 
 

החודש, הגליון כולל את המאמרים הבאים: 
 
 
  • Operation Ghost Click - (נכתב ע"י אפיק קסטיאל / cp77fk4r)
           החודש, לאחר פעילות נרחבת של ה-FBI ורשותיות החוק באסטוניה, הגיעה לסיומה פרשה שהחלה עוד בשנת 2007. במהלכה
           נעצרו שישה בני-אדם שהפעילו וירוס שבעקבותיו פורסמו כותרות בסיגנון "וירוס ענק מסתובב באינטרנט ומאיים לנתק מאות
           אלפי משתמשים" ו-"האם וירוס אגרסיבי ינתק את כולנו מהרשת". למי לא יצא לשמוע לאחרונה על הוירוס "DNS Changer"?
           כל אתר חדשות המכבד את עצמו כתב על הוירוס הזה לפחות פעם אחת רק במהלך החודש האחרון. במאמר הזה ננסה
           להבין מה העניין ועל מה כל הרעש.
 
 
  • פריצה לשרתי Poison Ivy - (נכתב ע"י ד"ר גל בדישי)
          מחשבים רבים בעולם נדבקים בוירוסים, תולעים, ורושעות מסוגים שונים. בד"כ, קיים אדם (או קבוצת אנשים) אשר מטרתם
          לשלוט על המחשבים המודבקים מרחוק ולנהל אותם בהתאם לצרכיהם. אדם זה חולש על עמדת שליטה אחת או יותר, המנהלת
          את הבוטים הנמצאים על המחשבים המודבקים. Poison Ivy (או בקיצור: PI) הוא דוגמה לעמדת שליטה כזאת. בעמדת השליטה
          ניתן לייצר בוטים חדשים ולשלוט על כל המחשבים הנגועים. הדבקת המטרות היא משימה נפרדת, ואינה חלק מ-PI. מחשב נגוע
          נמצא למעשה בשליטה מלאה של התוקף, שיכול להעביר לו פקודות, לקבל ממנו חיוויים, וקבצים ומידע, לעקוב אחרי המשתמש,
          וכו'. במאמר זה מציג גל את פרטיה של חולשה אשר פורסמה בשרת PI וכיצד מתבצע אופן ניצולה על מנת להשתלט על עמדה
          זו.
 
 
  • Incapsula - אבטחת אתרים להמונים - (נכתב ע"י מרק גפן)
           בחודשים האחרונים נושא אבטחת אתרי אינטרנט זוכה ליותר ויותר כותרות, זאת בעיקר בזכות מספר התקפות גדולות,
           מתוחכמות ומתוקשרות כגון: הווירוס Flame, חשיפה של 6.5 מיליון סיסמאות LinkedIn, הפריצה ל-eHarmony, ההתקפה
           של אנונימוס על אתרי הממשל הודו ועוד כמה התקפות אחרות כדוגמתן. סיפורים אלה יוצרים רושם כאילו מתקפות על אתרים
           הם משהו שמתרחש אי-שם מעבר לאופק ושאין לו נגיעה למציאות היום-יומית של מאות מיליוני אתרים קטנים ובינוניים, שהם
           אוכלוסיית הרוב של רשת האינטרנט. אך בפועל, ההפך הוא הנכון. האירועים המתוקשרים הללו הם רק נקודות קיצון על גרף
           מגמה העולה של מתקפות על אתרי אינטרנט. ממדיה האמתיים של התופעה מתגלים בעיון במחקרים שנערכו בנושא. אל מול
           האתגר הזה חברת Incapsula, הייתה מהראשונות להרים את הכפפה. במאמר זה מציג מרק את מוצר הדגל שלהם ואת
           מאפייניו.
  
   
  • Evil Twin Attacks - (נכתב ע"י יניב מרקס)
           במאמר זה, מסביר יניב על מתקפה המוכרת בשם "Evil Twin Attack", מתקפה זו מאפשרת לרמות את תחנת הקצה ע"י
           הוספת Access-Point בעל שם רשת (SSID) זהה ל-Access-Point האמיתי על מנת לגרום לתחנת הקצה הנתקפת להתחבר
           ל-Access-Point הנוסף, במקום ל-Access-Point המקורי. במאמר מציג יניב את הסכנות בקיום מתקפה זו וכיצד ניתן להתגונן
           מפניהן. בנוסף להצגת המתקפה, מציג יניב הרחבה למתקפה, המגדילה את טווח הסיכוי להצלחתה.   
 
 
  • פיתוח מערכות הפעלה - חלק ג' - (נכתב ע"י עידן פסט)
           בסדרת מאמרים זו, מסביר עידן את השלבים בעת בניית מערכת הפעלה מ-0. בחלקים הקודמים של סדרה זו למדנו על
           מערכות העובדות ב-Real Mode, כתיבת הקרנל, המעבר מ-Real Mode ל-Protected Mode, על כתיבה ישירה לזיכרון
           המסך במצב טקסט, על סטנדרנט ה-Multiboot ועל הGDT. בפרק זה נממש עוד חלק מהותי ובסיסי באוסף ה-Descriptors
           שעלינו לממש – ה-IDT. בנוסף ל-IDT נממש את תחילתו של ה-IRQ ודרכו נממש שעון בסיסי.
  

                                                                                                                     
                                                                                                                    קריאה נעימה! 
 
  
 


תגובות על 'הגליון השלושים וארבעה של Digital Whisper שוחרר!':



#1 

Dm12 (אורח):
ראשון!!!!
31.07.2012 23:15:32

#2 

cp77fk4r:
וואו כמה שאתה זריז! שלך היה הסקריפט שזיבל לי את הלוגים?
31.07.2012 23:17:14

#3 

Dm12 (אורח):
תנחש :)
31.07.2012 23:19:15

#4 

X0r (אורח):
סיימתי לקרוא את המאמר על Poison Ivy ועל ה-DNS Changer - מעולים! למדתי הרבה!

תודה רבה!
01.08.2012 00:03:41

#5 

iTK98se (אורח):
כמה אינקפסולה שילמו לכם? :)
01.08.2012 02:04:26

#6 

cp77fk4r:
זה שירות לציבור ;)
01.08.2012 02:10:45

#7 

בלה בלה בלה (אורח):
שירות לציבור נחמד ויפה אבל לא ראינו כאן עוד צד, זאת נטו כתבת פרסום.
וכי זאת החברה היחידה בעולם שמאבטחת אתרים ולכן רק אותה סיקרתם???
01.08.2012 03:11:44

#8 

iTK98se (אורח):
אין פה צורך להתלהם. בסוף המאמר יש גילוי נאות - מיהו בדיוק מחבר המאמר (מרק גפן). אני גם בדעה שזו כתבה בעלת אופי שיווקי, והיא דיי מפספסת את המטרה. בסופו של דבר, הגליון מגיע בפורמט כזה שאתה יכול לקרוא רק את הכתבות שאתה מעוניין בהם.
01.08.2012 03:17:24

#9 

cp77fk4r:
iTK98se, אין סיבה להתייחס בחומרה לתגובה ההיא, צפיתי את זה והי לי ברור שתגובות כאלה יגיעו.

Digital Whisper הוא מגזין שמתעסק באבטחת מידע, אם חברה שמתעסקת באבטחת מידע מעוניינת לפרסם מאמר בנוגע למוצר שלה, שקשור לאבטחת מידע - אני לא רואה סיבה להתנגד, פסקת ״על המחבר״, ושם המחבר באים בדיוק לשם כך - שכולם ידעו מי כתב את המאמר. לא מתאים לך לקרוא מאמר על מוצר של חברה מסויימת - תדלג למאמר הבא, אנחנו לא סתם משקיעים מהזמן שלנו בכתיבת / עריכת המאמרים.

ובקשר לשאלה שעלתה, זאת לא החברה היחידה שמספקת שירות אבטחת אתרים, וזאת גם לא החברה היחידה שפרסמנו סקירה על מוצר שלה.

שיהיה אחלה יום :)
01.08.2012 07:31:19

#10 

יגאל - אינקפסולה (אורח):
הי,
שמי יגאל ואני מנהל קהילת הלקוחות באינקפסולה. בתקופה האחרונה הייתה לי הזכות לעבוד עם צוות המקצועי של DigitaWhisper על כתיבת הכתבה אודותינו ואני רוצה להגיד שמעולם לא הזדמן לי לעבוד עם צוות שהיה כה מחוייב למתן ערך מוסף לקוראיו.
הנה סיפור רקע קצר: את הכתבה המקורית הגשנו לפני יותר מחודש וחצי והיא הייתה בערך באורך של כ-6 עמודים. למרות שנועדה לגיליון הקודם, הצוות של DW לא הסכים לפרסמה בשום פנים ואופן, כל עוד לא תעמוד בסטנדרטים הגבוהים שקבעו לעצמם.

וכך, מאז ועד למועד הפרסום הכתבה עברה סדרה של 7-8 עריכות כאשר, בכל פעם, הפידבקרים שקיבלנו מ-DW עסקו אך ורק במתן ערך מוסף לקורא.
התוצאה הסופית של מקצועיות חסר פשרות זו היא כתבה באורך כפול מאורכה המקורי שמעניקה מבט מעמיק על המוצר ועל דרך תפעולו. אני מתנצל אם התוצאה עדיין נראית שיווקית מדי. אנו משקיעים זמן רב ומאמץ אדיר בעבודיתנו ומקריבים רבות עבורה. אנו עושים זאת מתוך תחושה אמיתית של מחוייבות ורק בגלל שאנו אוהבים מאוד את המוצר שלנו (ומאמינים בו מאוד) ולכן, כלל הנראה, לא יכולנו לרסן את ההתלהבות ולשמור על נייטרליות.

בנושא אחר...
כמו שאמרו כאן כבר קודם, אנחנו ממש לא חברת אבטחה יחידה ואפילו לא היחדיה שמעניקה שירותי אבטחה בענן. טוב שכך, היות וכולנו זקוקים לרשת מאובטחת וריבוי פתרונות רק תורם להשגת מטרת העל.
עם זאת, אנחנו בהחלט חלוצים בתחום אבטחת ענן והיחידים שמציעים כיום Cloud PCI DDS compliant WAF (פתרון WAF מבוסס ענן העומד בסטנדרט האבטחה PCI DDS). זוהי עובדה בשטח ואני אמשח לשמוע מכל מי שיש לו מידע אחר בנושא.

לבסוף, למען הסר ספק (וזה בהחלט לציטוט) מעולם לא שקלנו, אפילו לרגע, להעליב את אנשי המקצוע של DW בהצעה של כתבה בתשלום.
01.08.2012 10:24:31

#11 

מישו (אורח):
בכתבה על Poison Ivy מעולה
01.08.2012 13:29:05

#12 

Gmbqq (אורח):
המאמר של twin attacks מאד מענינת
01.08.2012 14:53:29

#13 

אלי (אורח):
אחלה גיליון כמה שחיכיתי לראות את פיתוח מערכות הפעלה חלק ג וגם שאר המערכים ממש מעולים אין עליכם תמשיכו ככה
01.08.2012 15:20:14

#14 

שמיל (אורח):
גליון מ-ע-ו-ל-ה! תודה רבה! המאמרים פשוט טובים אחד אחד! :)
02.08.2012 15:50:09

#15 

קורא הדוק (אורח):
אחלה גיליון מאוד נהנתי
03.08.2012 01:28:11

#16 

שמיל (אורח):
אגב, אני מסכים עם כל מילה בקשר לדברי הפתיחה.
cP, אתה צריך לפתוח בלוג פחות טכנולוגי שנוכל לשמוע אותך יותר גם בנושאים פחות טכנולוגיים - אני נהנה מדברי הפתיחה של הגיליונות האחרונים ממש כאילו הם מאמר בפני עצמו. תודה רבה!
03.08.2012 01:52:48

#17 

קרוא אדוק (אורח):
מאמרים מצויינים המשיכו כך.
03.08.2012 07:24:43

#18 

Hero (אורח):
אם יש משהו שאני משתדל לעשות אותו זה לקרוא את הגליון שלכם כל חודש ! תודה על 34 גליונות איכותיים ! מי יתן ותוכלו להמשיך עוד ועוד !
03.08.2012 17:58:37

#19 

ליאור (אורח):
המאמר על ה-PI ממש מעניין! תודה רבה! מעניין האם בעתיד יכנסו כל מני מוצרים / הרחבות למוצרי אבטחה קיימים שידעו לבצע הגנה פרו-אקטיביתבאופן אוטומטי, למשל: שיזהו כשהמוצר מזהה אתר שמנסה להדביק אותך הוא שולח את פרטיו לשרת מרכזי שמנהל עליו DDoS, או שאם בוטנט מנסה להדביק אותך ישירות הוא מנסה עליו כל מני חולשות שמוכרות באותו הבוטנט, וכמובן - הכל באופן חוקי ואוטומטי...

ראיתי את הבלוג של גל, והייתי שמח לראות עוד מאמרים שלו במגזין!
05.08.2012 08:05:20

#20 

אריק (אורח):
מאמר שיכול להיות מעניין לקוראים של הגליון:
http://www.israeldefense.co.il/?CategoryID=512&ArticleID=2960
הנושא: איך בונים תפיסת הגנה לאומית באינטרנט, ועל החלק של המדינה באבטחת מחשבים ורשתות (ממשלתיים ופרטיים)
14.08.2012 01:35:05

#21 

שלומי (אורח):
תודה רבה! מאמר מאוד מעניין, לא הכרתי את המגזין ההוא כלל!
15.08.2012 00:42:08

#22 

שלומי (אורח):
ושכחתי להגיד - אפיק וניר, אני קורא שלכם בערך מהגליון העשירי קבוע, מגזין איכות יש לכם! בחיי שבחיים שלי לא נתקלתי בפרוייקט כזה איכותי שמופץ בחינם! תודה רבה לכם!
15.08.2012 00:44:19

#23 

natinet (אורח):
תודה רבה, ממש מעניין!
17.08.2012 12:42:38

#24 

ניר גלאון (אורח):
עוד גיליון איכותי, כבר אין מילים להודות לכם! (:
27.08.2012 08:09:32

#25 

Syst3m ShuTd0wn (אורח):
Evil Twin Attacks
שקראתי על beacons לפני הרבה זמן חשבתי על מתקפה כזאתי ויצרתי AP מזויף עם שם מזויף(אותו שם שמסומן אצלי כתתחבר באופן אוטומטי) והכל עבד חלק :)
עכשיו אני יודע שלמתקפה הזאתי יש שם.

נ.ב: אחרי הרבה זמן שלא קראתי את הגיליונות שלכם אני מתחיל לקרוא אותם שוב(חוסר זמן).
גיליון ענק!
31.08.2012 16:17:54



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.