הגליון השישים וחמישה של Digital Whisper שוחרר!

 
ברוכים הבאים לדברי הפתיחה של הגיליון ה-65 של Digital Whisper!
 
כשמתעסקים באבטחת מידע הופכים להיות לאט לאט פרנואידים, אם משתמש "רגיל" סתם מתעצבן כאשר הוא חוטף Blue Screen, אנחנו בדרך כלל נהיה די סקרנים לגבי הסיבה, וננסה לגלגל אחורה בראש איזה דרייבר התקנו לאחרונה, ואולי אפילו נחפש ונחקור את ה-MiniDump על מנת להבין לעומק את הסיבה (ואז גם נגיד לעצמנו ש-"אחרי ה-Reboot הקרוב נשנה את הקונפיגורציה כך שסוף סוף נתחיל לקבל FullDump..."), אם משתמש רגיל ירגיש איטיות בעת הגלישה ברשת הבייתית שלו, אנחנו נתחבר לנתב שלנו ונבדוק את הסטטוס של ה-DHCP וננסה לברר האם שכן סורר הצליח לנחש את הסיסמה הסופר מורכבת שלנו...
 
תמיד אפשר לבוא אלינו בטענות, להגיד שאנחנו סתם חיים בסרט, שנשמור את הקונספירציות שלנו לעצמנו או לטעון שאנחנו פרנואידים... (ואנחנו כמובן נצטט את הלר ג'וזף, ונטען ש:"רק בגלל שאנחנו פרנואידים לא אומר שלא רודפים אחרינו..." :) ).
 
אבל עם כל הכבוד, האירועים שהיו החודש די לא עוזרים להרפות מהפרנויה: זאת כבר הפעם השלישית שענקית המחשבים לנובו נתפסת מנסה להשחיל לנו כל מני כלי ריגול על המחשבים שלהם ובעזרתם להפוך גם אותנו להיות חלק מהצבא הסיני... (ומי יודע כמה פעמים היא ניסתה ולא נתפסה...). ולא די בזאת, מסתבר לאחרונה, שלא מעט אפליקציות ומשחקים שהועלו ל-Apple Store בזמן האחרון כללו קוד זדוני, שגם הוא, איכשהו קשור לסינים...
אז פרנויה או לא פרנויה - החלטה שלכם, בכל מקרה הייתי פוקח עין אחת לפחות על ה-Netstat...
 
ובנוסף, החודש החלטנו לתת נסיון נוסף לפינה חדשה-ישנה: פינת החדשות. והפעם בניצוחו של ים מסיקה, שטרח, אסף, סיכם וערך לנו מספר אירועים מעניינים שפקדו אותנו החודש - תודה רבה! בתקווה שנצליח להחזיק איתה יותר מ-3 גליונות רצוף... :).
 
וכמובן, לפני שניגש לחלק האומנותי, ברצוננו להודות לכל מי שהשקיע ונתן מזמנו האישי ובזכותו הגיליון פורסם, תודה רבה לליאור אופנהיים, תודה רבה ליניב בלמס, תודה רבה לדימה פשול ותודה רבה לרזיאל בקר!
  
החודש, הגליון כולל את המאמרים הבאים: 
 
  • How to turn your KVM into a raging Key-Logging monster חלק ב' - בשורות רעות (מאת ליאור אופנהיים ויניב בלמס)
            בסדרת מאמרים זו, מציגים ליאור ויניב את תוצאותיו של פרויקט מחקרי מעניין מאוד שהם בצעו. הפרויקט הינו לקחת KVM (רכיב
            חומרתי המאפשר למקלדת ועכבר בודדים לשלוט במספר מחשבים במקביל), ולהפוך אותו ע"י שינויים תוכנתיים לרכיב מפגע
            המסוגל להסב נזק למחשבים אליהם הוא מחובר ולהריץ עליהם קוד זדוני שנשתל בו מראש. במסגרת מאמר זה, הם מציגים את
            ההתקדמות בשלבי קילוף ההצפנה של ה-Firmware.
  
  • אתגרי ה-CrackMe של רפאל 2015 (מאת דימה פשול)
            בחודש מאי האחרון, פרסמה חברת רפאל ארבעה אתגרי Reverse Engineering, בכל אחד מהאתגרים, על הפותרים יש
            למצוא סיסמה אשר תניב הדפסה של הודעת ניצחון וכתובת דוא"ל דרכה ניתה לדווח את הפתרון. הפרס עבור פתירת ארבעת
            האתגרים הוא השתתפות בהגרלת כרטיס טיסה ללאס-וגאס וכרטיס כניסה לכנס BlackHat שהתקיים גם הוא, באוגוסט השנה.
            הכנס עבר, והתחרות נגמה. במאמר זה מובאים הפתרונות לכל ארבעת האתגרים כפי שמומשו על-ידי דימה פשול. במסגרת
            המאמר, דימה מציג את הפתרונות שלו לאתגרים ואת המחשבה שהובילה אותו לכל פתרון ופתרון.
 
  • הסודות החבואים ב-WebSocket (מאת רזיאל בקר)
           במאמר זה מציג רזיאל את עולם ה-WebSocket, את הסיבות שבגינן פותח הפרוטוקול, את היתרונות שלו, את אופן המימוש
           שלו, כיצד הוא מגיע לידי ביטוי ואת האפשרויות שהוא פותח בפנינו בתור מפתחים. אך מעבר לזאת, מציג רזיאל את האפשרויות
           שהפרוטוקול פותח בפנינו בתור האקרים, כאשר המערכת שאותה אנו חוקרים משתמשת בפרוטוקול בצורה שאינה בטוחה, וכיצד
           אנו יכולים לנצל זאת לטובתנו. 
  
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל. 


תגובות על 'הגליון השישים וחמישה של Digital Whisper שוחרר!':



#1 

cp77fk4r:
קריאה מהנה :)
30.09.2015 22:28:08

#2 

חי (אורח):
תודה :)
30.09.2015 22:56:15

#3 

Antartic (אורח):
מאמרים מעולים כמו תמיד!

https://i.imgur.com/9zd9Qxq.png
תמונה מגניבה של רצף הקריאות מפונקצית ה- main באתגר האחרון של רפאל.
30.09.2015 23:24:43

#4 

שמיל (אורח):
תודה רבה! מאמרים מעולים!
30.09.2015 23:29:28

#5 

BF (אורח):
אין עליכם ! פשוט תותחים.
01.10.2015 11:54:35

#6 

Dor (אורח):
גיליון נהדר, תודה לכם :)
01.10.2015 14:41:20

#7 

Taz (אורח):
בקשר לאתגר ה - RE, תרגיל האחרון.
פתרון יפה, אך במקרה זה, כוונת המשורר היתה שהפותר יזהה שהפונקציות בונות גרף, ושהפתרון הוא הדרך הקצרה ביותר בין פונקציית המוצא לפונקציית היעד ... רגע, אתם תוהים בוודאי איך נקבע המשקל לקשת בין שני קודקודים ? את זה אפשר בקלות להבין מהקוד ...
06.10.2015 13:12:39

#8 

דני (אורח):
סתם מתוך סקרנות, מבחינת רמת קושי ומורכבות של האתגר האחרון של רפאל, איך זה משתווה לקוד זדוני ממוצע ?
אלו בערך הכלים שרואים בקוד זדוני או שמדבור באתגר פשוט יחסית למה שמתעופף שם ?
29.10.2015 21:24:26

#9 

cp77fk4r:
זה מאוד משתנה בין הוירוסים השונים, מצד אחד קיימים וירוסים פשוטים מאוד, ללא מנגנוני הגנה כלל או שכוללים מנגנונים פשוטים מאוד. הכותבים שלהם בדרך כלל יוצאים מנקודת הנחה שתפיסה של הוירוס (או אותו חלק) לא באמת מהווה עליהם איום - כי אין להם יותר מדי דברים להחביא באותו קוד ועלות הכתיבה של אותו החלק - כנראה נמוכה מאוד.

ומצד שני - קיימים לא מעט וירוסים שמורכבים משכבות שונות של הגנה וכל חלק שבהם יכול להיות מוצפן או מוגן בצורה אחרת. דוגמאות לטכניקות הגנה שניתן לראות כיום בוירוסים: מנגנון שמאפשר לזהות ריצה בסביבות מעבדה (VM וכו') והתנהגות בהתאם. שינוי כל אינסטנס שלהם כך שיראה שונה על הדיסק / בזיכרון. שילוב של קוד שתפקידו להתיש את החוקר. נעילה של ה-I/O כשמזהים איום. טעינה בחלקים לזיכרון וכו'.

ניתן לראות היום הרבה "טריקים" שחלקם מאוד יצירתיים ומורכבים ביותר, אך כל כותב וירוסים יודע שבסופו של דבר - כמה שתצפין או תגן על הקוד - הוא אמור לרוץ בצורה מפוענחת ב-CPU (גם אם זה אומר בתוך VM יעודי שנכתב כשכבת הגנה, או אם זה אומר לפענח בכל פעם את השורה הבאה, לטעון ולהריץ, להצפין אותה וכו' - בסופו של דבר חייב להיות קוד שרץ בצורה גלויה) ולכן כל אותם "טריקים" יכולים רק לעכב את החוקר אבל לא באמת לעצור אותו.

כך ששוב, יש רמות שונות של וירוסים ורמות שונות של הגנה. תחפש בגיליונות השונים ותמצא לא מעט דוגמאות לניתוח של כל מני וירוסים יחסית עדכניים - ותוכל לראות מהתוכן את הרמה.


מקווה שעניתי על השאלה. קריאה נעימה.
30.10.2015 18:46:12



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.