הגליון החמישים ושמונה של Digital Whisper שוחרר!

ברוכים הבאים לגיליון ה-58, גיליון פברואר 2015.

האינטרנט היום מלא בטרנדים, כמעט כל דבר ויראלי או סמי-ויראלי הופך להיות היום "טרנד", אפילו המילה "ויראלי" היא טרנד בפני עצמו. וכמה שטבעי שתת-המרחב יושפע מהמרחב עצמו, כך טבעי שגם בעולם אבטחת המידע וההאקינג יהיו טרנדים שכאלה.
 
חולשות מתפרסמות כל הזמן, אך בשנה-שנתיים האחרונות נראה שנהיה איזשהו קטע כזה של להמציא לכל חולשה כינוי, "שם שיווקי וקליט". אני לא טוען שהעניין חדש, על חולשה שכזו שמעתי כבר בגיל 13, והיא אחת החולשות הראשונות שאני זוכר שפורסמה עם כינוי, ה-MS00-057 שפגעה בשרתי IIS בגרסאות 4 ו-5, וזכתה בכינוי ה-"The UNICODE bug" (וגם כאן), ולאחריה גם החולשה MS04-007 שזכתה בכינוי "Kill-Bill" ופורסמו ביניהן ולאחריהן עוד לא מעט. ואני לא מדבר על חולשות שקיבלו את השם שלהן על שם התולעת שניצלה אותם כמו MS01-033 שהתגלתה בעת המחקר של התולעת ה-"Code Red", או ה-MS02-039 שזכתה לכינוי "SQL Slammer" על שם התולעת האגדית.
 
חולשות כמו ה-HeartBleed או ה-ShellShock, הן חולשות ש(לפחות לדעתי), זכו לשמן בכבוד, וכנ"ל חולשות נוספות אחרות (על חולשה מעניינת במיוחד, שזכתה לשמה בכבוד, בשל התפוצה הרחבה שלה וגודל הנזק שהיא מסוגלת להסב, אנו כותבים בגיליון הזה, חולשת ה-"Misfortune Cookie"), אך מעבר לכך העניין כבר מתחיל להריח מאוד שיווקי, פרסומים אודות "חולשות מעבדה" שכאלה, שכל מני אקדמאים מצליחים להוכיח שבתנאי מעבדה, הפרוטוקול X פריץ לחלוטי, או כל מני חולשות שבפוטנציאל מסויים, בהינתן תנאים מאוד מאוד לא סביריים "In the Wild", עלולות לגרום להקרסה של שירות שבהינתן תנאים עוד יותר מוזרים תוכל לגרום להרצת קוד על המערכת, ורק כשיש ירח מלא, רק גורמות לפאניקה מיותרת ולבלבול בקרב הגורמים הלא-טכנולוגיים שקוראים עליהן בכתבות שנכתבו על ידי גורמים עוד יותר לא-טכנולוגיים.
 
אני לא אומר שאין צורך להתייחס או לתקן חולשות מעניינות שקשה עד בלתי אפשרי לנצל אותן, אני רק טוען שצריך להעמיד את הדברים במקומם. כמובן שהסבירות לניצול החולשה לא באמת מעניינת את העורך של אתר חדשות כזה או אחר, ולא באמת אכפת לו שמה שהוא כותב זה שטויות במיץ, ושהדבר היחיד שמעניין אותו זה כמות הגולשים שממהרים להכנס ולקרוא את הכתבה אודות החולשה המסוכנת שהתגלתה לא מכבר, אך בכל מה שנוגע לניהול סיכונים, וחישובי עלות מול תועלת העניין חשוב מאוד.
 
אני לא חושב שיש חולשה שאין צורך לתקן אותה, גם בשביל שלמות הקוד או המוצר, גם בשביל האחריות של התוכניתן או החברה וגם בגלל שלא תמיד אנו מודעים ליכולות של צבא ההאקרים של סין, ה-NSA או המאפיה הרוסית. כל חולשה צריך לתקן, אך חשוב מאוד לשמור על פרופורציות. אני לא CISO, וכנראה גם לא אהיה, אך גם אני יודע שכאשר מחשבים סיכון מסוים - חשוב מאוד לקחת בחשבון את הסיכוי שהוא יתרחש. אם פוגע מטאור בכדור-הארץ אנחנו כנראה אבודים, אך זאת לא סיבה להתחיל לפתח מגן אסטרו-גלקטי שיעטוף את הפלאנטה שלנו.

אחד התפקידים החשובים שלנו בתור אנשי אבטחת-מידע הוא להגביר את העירנות והמודעות של החברה שלנו לנושא, אך תפקיד חשוב לא פחות הוא גם להרגיע בעת שיגעון שמתרחש בעקבות שטויות של כתבים רעבי-טרפיק.
 
 
וכמובן, ברצוננו להגיד תודה רבה לכל מי שבזכותם הגיליון ה-58 פורסם! תודה רבה לליאור אופנהיים, תודה רבה לשחר טל, תודה רבה לשחק שלו, תודה רבה ל-5Fingers, ותודה רבה ליובל (tsif) נתיב. תודה לכם על כל השעות שהקדשתם לטובת כתיבת המאמרים והעזרה בהכל.
 
החודש, הגליון כולל את המאמרים הבאים: 
 
  • עוגיות ביש המזל (איך למדתי להפסיק לחשוש ולהתחיל לאהוב מחקר קושחות) (מאת ליאור אופנהיים)
                  מאמר זה מתאר ליאור מחקר שנערך בקבוצת ה-Malware & Vulnerability Research בצ'ק פוינט. מחקר זה הוביל, בין
                  היתר, לחשיפת החולשה "Misfortune Cookie" שפורסמה בחודש שעבר. ניצול של חולשה זו מאפשר השתלטות מרחוק
                  על מליוני ראוטרים בכל רחבי העולם. החולשה התגלתה כחלק מפרוייקט רחב יותר על בעיות אבטחה ב-TR-069.
                  במאמר זה מתאר ליאור את התהליך שהתבצע עד למציאת החולשה ומימושה.
  • System Call Hooking (מאת שחק שלו)
                  המאמר הבא עוסק בשיטת יישום חדשה יחסית של Hooking שמתחילה לצבור תאוצה לאחר שנצפתה בסוסים הטרויאניים
                   Neurevt (הידוע גם כ-Betabot) ו-Carberp. במאמר מסביר שחק את מנגנון ה-System Call של Windows וכיצד לממש
                  את ה-Hook. המאמר מלווה בקטעי קוד רבים ושחק מסביר צעד אחר צעד כיצד לבצע Hook בטכניקה זו.
  • סוגיות אבטחה ב-MongoDB (מאת 5Fingers)
                 במאמר זה מציג 5Fingers את נושא אבטחת המידע ב-MongoDB, אילו מתקפות קיימות כיום על מערכות אשר עושות
                 שימוש במסד זה, באילו מקרים וכיצד ניתן לתקוף את המסד ישירות ועוד, במסגרת המאמר מובאת סקירה על עולם מסדי
                 הנתונים ובה הסבר על עולם ה-NoSQL.
 
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל. 


תגובות על 'הגליון החמישים ושמונה של Digital Whisper שוחרר!':



#1 

eido300 (אורח):
ראשון!
31.01.2015 23:12:52

#2 

eido300 (אורח):
תודה רבה על עוד גיליון, נראה מאוד מעניין :)
31.01.2015 23:15:31

#3 

Gidi (אורח):
Thanks!!!
31.01.2015 23:36:59

#4 

שמיל (אורח):
תודה רבה!
01.02.2015 01:56:58

#5 

tilikum (אורח):
תודה רבה!! תותחים!
01.02.2015 13:35:09

#6 

ירון (אורח):
תודה על הגיליון! ציפיתי לראות כמה מילים על CVE-2015-0234 (GHOST)‎‏, בכל אופן אחלה גיליון!
02.02.2015 16:22:54

#7 

א (אורח):
מאמרים מעולים. תודה :)
05.02.2015 08:40:29

#8 

cp77fk4r:
עד תאריך הוצאת הגיליון לא היה מידע טכני ממש על החולשה, ככה שלא רצינו לכתוב מאמר סתם שירכז את מה שכבר יש באתרי החדשות. אם יהיה באמת משהו מעניין איתה ולא רק PoC של DoS בזמן הקרוב - אולי נכתוב עליה לגיליון הקרוב.
05.02.2015 18:23:44

#9 

א---גר בחו"ל (אורח):
כתבת "אחד התפקידים החשובים שלנו בתור אנשי אבטחת-מידע הוא להגביר את העירנות והמודעות של החברה שלנו לנושא, אך תפקיד חשוב לא פחות הוא גם להרגיע בעת שיגעון שמתרחש בעקבות שטויות של כתבים רעבי-טרפיק" זה נכון אבל לא מושלםאחד התפקידים הוא לעשות Risk Assessment ולבדוק עד כמה הסיכון הוא ממשי לארגון.
כמו שאמרת חלק מהבדיקות נעשות בתנאי מעבדה ולא ממש מתאימות לעולם האמיתי לכן מה שחשוב הוא לבדוק עד כמה הסיכון הוא ממשי, האם הוקטור תקיפה מחייב את התוקף להיכנס לרשת או האם זה יכול להתצע מחוץ לרשת הפנימית.
לא ארחיב יותר מידי אבל ניהול והבנת הסיכונים הכי חשוב.
06.02.2015 17:25:32

#10 

cp77fk4r:
מסכים. אם כי בהרבה מקרים ניהול הסיכונים הוא חלק אחד, ולקבוע את רמת הסיכון שמהווה אירוע מסוים זה דבר נפרד. המטרה היא לעזור לקבוע את רמת הסיכון שמהווה אירוע מסוים לרשת הארגון, ועל ידי כך לאפשר למי שמנהל את הסיכונים לנהל אותם על פי הנתונים הנכונים ולא על פי הרעש שנוצר סביבם.
07.02.2015 20:28:38

#11 

שמיל (אורח):
מעניין איפה קראנו על זה בפעם הראשונה...
http://tinyurl.com/orr62wx
:)
14.02.2015 22:16:25



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.