הגליון הארבעים ושבעה של Digital Whisper שוחרר!

ברוכים הבאים לדברי הפתיחה של הגיליון ה-47 של Digital Whisper!
 
כאמור, הגיליון הנ"ל הינו הגיליון ה-47, שזה אומר שהגיליון הבא הוא הגיליון ה-48, שזה אומר שבו נסגור ארבע שנות פעילות, שזה כמובן טירוף! :) אבל על זה נדבר בגיליון הבא...
  
השבוע, פורסם בלא מעט מקומות אודות 0day ,CVE-2013-5065 שאיתרה החברה FireEye, שמבצע Local Privilege Escalation על 
מערכות הפעלה Fully Patched XP SP3 ומומש בעזרת חולשה מוכרת (APSB13-15) ב-Adobe Reader. מי שקורא קבוע את דברי הפתיחה שאני כותב כאן כל חודש (חוץ מניר, שאותו אני מכריח, יש באמת בן אדם כזה?), כבר מכיר את הדעה שלי אודות המדיניות של Microsoft בכל הנוגע לתמיכה ואי-התמיכה שלה במערכות הפעלה "ישנות" או "פרוצות".
 
לפי סקר שוק שעושה האתר NetShareMarkets באופן קבוע, למערכות ההפעלה מבית Microsoft יש נתח-שוק של 90.81 אחוז. ולמערכת ההפעלה XP בפרט, יש נתח-שוק של 31.24 אחוז (מערכת ההפעלה יחידה שעקפה אותה הינה Windows 7). לפי מדיניות ה- Support Lifecycle של Microsoft, ב-08/04/2014 החברה תפסיק לתמוך ב-"Windows XP SP3 and Office 2003", שזה יוצא עוד פחות מחצי שנה.
 
כן, אני מבין את החשיבות של Support Lifecycle, ברורה לי האמרה שיש לשחרר את משאבי החברה ממוצרים ישנים, ולאפשר לה להתמקד בטכנולוגיות חדשות וכו'. אבל בדיוק כמו שקרה עם XP SP1, ועם XP SP2, יקרה גם עם XP SP3: מערכת ההפעלה הזאת תשאר בשטח, עם נתח-שוק יחסית דומה לנתק-השוק שיש לה עכשיו, הרבה אחרי שנעביר בלוח-השנה שלנו את חודש אפריל שנת 2014.
 
מה הבעיה שלי עם זה? למה אני מספר לכם את זה? כי הדוגמא שכתבתי בשורות הראשונות, היא דוגמא מצויינת לכך שמערכות הפעלה ישנות הן אחת החולשות הגדולות ביותר של הארגונים היום. אני יותר מאשמח ללחוץ את היד למנהל ה-IT שעובד בארגון (בינוני פלוס) שיכול להגיד לי שברשת הארגונית שלהם אין כיום מערכות הפעלה XP SP2, או את צוות ה-System שיכול להגיד לי בלב שלם שבאפריל שנה הבאה, אם אני אפעיל Sniffer ברשת שלו, אני לא אראה יותר חבילות מידע עם המחרוזת "5.1". בודדים (וברי-מזל) אותם אנשים, אם הם בכלל קיימים...
 
זה לא משנה כמה אבטחה נציב ברשת שלנו, וכמה חוקים יהיו ב-IDS-ים או ב-IPS-ים שלנו ברשת, כל עוד נמשיך להשתמש במערכות הפעלה כאלה - אנחנו נפסיד בקרב שלנו אל מול אותם ארגוני פשיעה / האקרים מזדמנים / צבאות סינים / סייבר-מאפיות רוסיות וכד'.
 
ברגע שחברה בסדר גודל כמו Microsoft מפסיקה לתמוך במוצר כלשהו - שנשאר בשוק (ועוד עם נתח-שוק כזה מטורף), היא מאפשרת לכל אותם גורמים להתחזק יותר ויותר על ידי הוספת אותן תחנות לרשתות ה-Bot-Net שלהם, או על ידי שימוש באותן מערכות לא נתמוכות כשער כניסה לרשת הארגונית שלנו ולהפיץ דרכה וירוסים בתוך הארגון.
 
אין לי פתרון למצב, אני לא שולט במדיניות של Microsoft, וחברות תוכנה יהיו חייבות תמיד לשחרר את המשאבים שלה ממוצרים ישנים על מנת להמשיך ולספק לנו טכנולוגיות חדשות יותר. מה שנשאר זה לנסות להגביר את המודעות בקרב אותם מנהלי IT וצוותי System, ולנסות להעביר את המסר שחוסן הרשת הארגונית שלכם - הוא כחוסן החוליה החלשה ביותר בה.

וכמובן, לפני הכל, היינו רוצים להגיד תודה רבה לכל מי שבזכותו ובזכות שנתן מזמנו הפנוי החודש, המגזין ממשיך להתפרסם: תודה רבה לליאור בר-און, תודה רבה לישראל (Sro) חורז'בסקי, תודה רבה למור כלפון, וכמובן - תודה רבה לשילה ספרה מלר, על העזרה בעריכת הגיליון.


 
                                                         קריאה מהנה!
                                                                    ניר אדר ואפיק קסטיאל.
 
 


החודש, הגליון כולל את המאמרים הבאים: 
  • Federated Identity - (נכתב ע"י ליאור בר-און):
               האינטרנט פורח - וזה דבר נהדר. במקום אתרים סטטיים יש לנו עכשיו "אפליקציות" שעושות דברים נפלאים. לעתים הולכות
               וקרבות אפליקציות משתפות פעולה זו-עם-זו בכדי לעשות משהו נפלא חדש. בכדי להגן על הפרטים האישיים של
               המשתמשים, העולם משתמש במנגנוני-אבטחה, שאחד מיסודותיהם הוא מנגנון הAuthentication (זיהוי).  כשמדברים על
               האינטרנט ואפליקציות המדברות זו-עם-זו, אנו מדברים לרוב על Authentication בעזרת Federated Identity (= זהות
               בקבוצה מבוזרת). במאמר זה ליאור סוקר את עקרונות הבסיס של פרוטוקולי Federated Identity.
 
  • Java Script Security - (נכתב ע"י ישראל (Sro) חורז'בסקי):
               במאמר זה מציג ישראל מקרים בהם למרות שמפתח האתר ביצע Input validation ו-Output encoding לפי הכללים,
               קיימים מקרים שעדיין האתר או האפליקציה לא יהיו מאובטחים כראוי למתקפות מבוססות JavaScript. מקרים אלו (אשר יוצגו
               במאמר) נגרמים משילוב של גורמים חיצוניים וספריות קוד שונות המוסיפות יכולות שונות לאתר שאותן יכול התוקף לנצל על
               מנת לפגוע בו.
  
  • How I Almost Got Infected By Trojan Horse - (נכתב ע"י מור כלפון):
             במאמר הבא מציג מור כלפון מקרה שקרה לו ובו הוא כמעט ונדבק בסוס-טרויאני על ידי כניסה פשוטה לאתר לגיטימי שנפרץ.
             מור זיהה את המקרה, חקר את הקוד העוין ואת הסוס-הטרויאני, ובסופו של דבר דיווח לגורמים הרלוונטים על מנת להסיר את
             האיום. במאמר זה יציג מור את דרך בה הוא זיהה את הקוד, כיצד חקר אותו והבין את דך פעולתו ובסופו של דבר הצעדים
             שנקט על מנת לנטרלו.



תגובות על 'הגליון הארבעים ושבעה של Digital Whisper שוחרר!':



#1 

eido300 (אורח):
ראשון!
חיכתי לזה כל החודש.
נראה מאוד מעניין תודה רבה!
30.11.2013 20:37:01

#2 

שמיל (אורח):
תתחדשו! וגם אנחנו... כמעט מזל טוב!
נראה מעניין מאוד, וכרגיל.. דברי הפתיחה - כדורבנות!
30.11.2013 20:41:03

#3 

Dw4rf (אורח):
תודה רבה! רץ להוריד!
30.11.2013 20:43:28

#4 

HFM (אורח):
הפתרון לבעיה לדעתי,
א. דרבון מעבר למערכות חדשות, אם במחיר ואם בנתינת שירות (בחינם) ליצר גרסאות מותאמות של המערכות של הגרסאות החדשות יותר.
ב. שדרוג און דה גו(זה העתיד) כמו שבגימייל המערכת כל הזמן משתדרגת בלי ששמים לב, וכמו שהכרום והפיירפוקס משדרגים את עצמם בשקט, כך צריך שהמערכת הפעלה תשתדרג. כמובן ששיטת התשלום תצתרך להיות שןנה אבל זה יהיה שווה את זה.
30.11.2013 20:50:11

#5 

cp77fk4r:
יפה,
א - אני לא בטוח עד כמה הבעיה היא המחיר, בדרך כלל הבעיה היא ב"כאב ראש" שזה דורש, בהרבה מקרים מדובר במקרה בו אתה צריך להשבית חלק מהחברה ואת רב צוות ה-System בארגון. שזה לא עניין פשוט.

על הקטע של דרבון - את זה יש כבר היום לא? חבילות מוזלות לשדרוגים (במקום קנייה מחדש), ואני מאמין שגם הקטע ש"מפסיקים לתמוך בגרסאות ישנות" זה גם קטע של דרבון, הקטע הוא שצריך להתחיל את שלב הדרבון עוד לפני שמפסיקים לתמוך במוצר - כי מדובר בתהליכים שיכולים לקחת לא מעט זמן. ועוד בייחוד כאשר מדובר במערכות סגורות (כגון מערכת סגורה שמגיעה עם שרת 2003 לדוגמא שמבצעות פעולות מסויימות - ולארגון עצמו אין גישה לשרת וכל שינוי שלו יכול לפגוע באחריות...)

ב - כשמדובר בעדכונים קטנים זה הגיוני, אבל כשמדובר בעדכונים מאג'ורים זה בעייתי מאוד, היום, כשלאט לאט יותר ויותר חברות עוברות לעולם הוירטואלי - זה הגיוני מה שאתה אומר, אבל כל עוד החברה נשארת עם הברזלים - זה כמעט בלתי אפשרי. זה לא מדובר פה בדפדפנים או בתוכנות לקוח, אלא במערכות הפעלה שלמות. יהיה לי קשה להאמין שמתישהו בזמן הקרוב נגיע למצב בו מערכת הפעלה תתעדכן (ברמת המייג'ור, לא המיינור) בתהליך של Nightly Update...

בגדול, אני מסכים עם הכיוון, אבל ברמה הפרקטית - לדעתי זה לא אפשרי בצורה כזאת.
30.11.2013 21:04:38

#6 

בועז (אורח):
מה הדעה שלך על מוצרים שמוסיפים security enhancements? (משהו שמסמלץ PaX או דברים דומים, בדגש על *לא* SELinux)
זו נראית דוגמא קלאסית להטמיע אותם בארגונים שלא
יכולים לעבור למ"ה חדשות
30.11.2013 22:23:23

#7 

cp77fk4r:
Security Enhancements זה תמיד דבר טוב (כשעושים את זה נכון כמובן) - אבל כל עוד זה מגיע בנוסף לדבר האמיתי, ולא במקום, טלאים על טלאים זה לא משהו בריא אף פעם.

בדרך כלל, מוצרים האלה מסדרים אותך יופי מול אותם מקרים ידועים, אבל כשמדובר בניסיון להגן מפני מתקפות המשלבות 0Days, גם המוצרים האלה נופלים.

במערכות הפעלה חדשות יחסית, אנחנו רואים שהיצרניות או הכניסו פתרונות כאלה שהם חלק אינטגרלי במערכת או "הכנות למזגן" - וזה מעולה. אבל שוב, לא כשזה מגיע במקום הדבר האמיתי.
30.11.2013 22:52:26

#8 

בועז (אורח):
אז אתה אומר שזה נחמד ויפה אבל לא באמת פרקטי?
יצא לך להתמודד מול מערכות כאלה?
30.11.2013 23:15:03

#9 

cp77fk4r:
היי בועז,
לא, זה לא מה שאני אומר, הרבה מהתוכנות הנ"ל אכן עוזרות ועושות את העבודה כמו שצריך (לדוגמא EMET), אבל הן לא נועדו לבוא במקום הדבר האמיתי, אם תוקף שתוקף את הרשת שלך ישתמש בחולשה לוגית, כנראה שהתוכנות הנ"ל לא יעזרו לך (ב-EMET זה כנראה יהיה תלוי במימוש של אותה
חולשה).

אם תקח לדוגמא את AppArmor תראה שאת רב העבודה שלה היא עושה בצורה מעולה, אבל אם לא תדאג לעדכן את רכיבי המערכת שלך - היא לא תוכל לעזור לך, ולדוגמא תוכל לקרוא את המאמר של עמנואל ברונשטיין שפורסם בגיליון ה-21:
http://www.digitalwhisper.co.il/files/Zines/0x15/DW21-4-DefeatingAppArmor.pdf

דוגמא נוספת תוכל לראות כאן:
http://www.digitalwhisper.co.il/0x26

המערכות הנ"ל טובות וברב המקרים כן יעזרו, אבל בכלל שהן מתבססות על טכנולוגיות שמערכת ההפעלה עצמה מספקת להם, אם תמצא כשל אבטחה באותן טכנולוגיות - כנראה שאותן התוכנות לא יוכלו לעזור לך. גם מקרים כמו ב-PaX ניתן יהיה לעקוף בעזרת מימוש המבוסס על ret2libc, זה אומנם יהיה קשה יותר, אבל עדיין אפשרי.

דוגמאות נוספות:
http://leastprivilege.blogspot.co.il/2013/04/bypass-applocker-by-loading-dlls-from.html

http://www.wilderssecurity.com/showthread.php?t=321479

http://www.mountknowledge.nl/2011/01/28/bypassing-windows-applocker-using-vb-script-in-word-and-excel

http://blog.didierstevens.com/2011/01/24/circumventing-srp-and-applocker-by-design

http://blog.didierstevens.com/2008/06/25/bpmtk-bypassing-srp-with-dll-restrictions

אז לסיכום, אני לא אומר שהמערכות הנ"ל אינן יכולות לעזור, אני רק אומר שהן לא תחליף.
01.12.2013 00:26:40

#10 

tairch (אורח):
תודה רבה! נראה מאוד מעניין!
01.12.2013 15:02:12

#11 

ג׳ק (אורח):
תודה רבה! גיליון מעולה!
01.12.2013 20:27:22

#12 

נחום (אורח):
יש שגיאת כתיב בפסקה:
"HoW I Almost Got Infected By Trojan Horse - (נכתב ע"י מור כלפון):
במאמר הבא מציג מור כלפון מקרה שקרה לו ובו הוא כמעט ונדבק בסוס-טרויאני על ידי כניסה פשוטה לאתר גיטימי שנפרץ."

האתר כנראה הוא לגיטימי ולא גיטימי כפי שנכתב.
01.12.2013 20:59:25

#13 

cp77fk4r:
תוקן. תודה רבה!
03.12.2013 07:25:23



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.