הגליון המאה ושמונים ושניים של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-182 של DigitalWhisper!
החודש התגלגל אלי הפוסט "Escaping the Vulnerability Management Hamster Wheel" שנכתב ע"י Lenny Zeltser (בין היתר, ה-CISO של Axonius) ופורסם בבלוג האישי שלו.
בגדול, אחת הטענות שלני טוען (ובצדק) היא, שעל מנת לצמצם את הסבירות לפגיעה של רשת החברה, עלינו לצמצם את משטח התקיפה שלה (The Attack Surface) - הווה אומר, לצמצם את כלל הנכסים המחוברים לרשת החברה שניתן לגשת אליהם דרך רשת האינטרנט.
זאת אכן טענה נכונה, ואין כאן הרבה חדש, זה מכבר ברור לכולם שמרבה נכסים מרבה דאגות, ומרבה נכסים שמחוברים ישירות לאינטרנט - מרבה דאגות שמחוברות ישירות לאינטרנט. ודאגות שמחוברות ישירות לאינטרנט אלו צרות כפולות ומכופלות.
פתרונות לרידוד משטח תקיפה כגון טופולוגיות VPN ,DMZ, שימוש ב-ACL-ים או שרתי Bastion הם פתרונות של שני עשורים אחורה, ועדיין הם רוב הפתרונות הנפוצים היום. זה נכון שבשנים האחרונות התפתחו מוצרי Continues Attack Surface Scanning אבל הם לא מחדשים אלא פשוט מאטמטים את אותו הרעיון. ובגדול, די נראה שהתמה של איתור וצימצום כלל נכסי הרשת שרואים אינטרנט היא החזית המרכזית בקרב הזה, והיא לא באמת התחדשה לאורך כל אותם השנים.
עם זאת, מה שכן מתפתח תדיר הוא הרצון לאמץ ולחבר לרשת הארגונית שלנו אין ספור טכנולוגיות חדשות ומגווונות שלאו דווקא באמת נבדקו ועומדות בתקנים או במבחן הזמן. אם פעם, הסיכונים העיקריים לרשת הארגון באמת הגיעו רק מבחוץ, היום כמות הרכיבים שקולטים, מפרסרים, מאכסנים, שולפים ופועלים על בסיס קלט של מבקר כמעט אקראי באתר שלנו והם אינם מחוברים לאינטרנט אלא נמצאים בלב הפרודקשן שלנו - הוא עצום.
ניכר שאסור לנו לפספס דבר: בין אם זה קלט שבאמת מעניין אותנו, כדוגמת משתמש שעדכן דבר מה באתר הפעולות ואכן חשוב לאכסנו ב-DB, ובין אם זאת רשומת לוג על פעולה אקראית באתר, אך משום מה כל כך חשוב לנו ליצור ממנה insight בדשבורד לא רלוונטי ב-SOC אבל ש-" אסור לנו לפספס"...
בכל פעם זו טכנולוגיה אחרת. אני זוכר כמה מהר נכנס עולם ה-IoT לשוק הביתי, ובו רמת האבטחה עדיין שואפת כמעט לאפס, ובשנים האחרונות זה כמובן ה-AI. סביר להניח שאם תזרקו אבן בחדר שרתים אקראי היא ככל הנראה תנחת על רכיב שמריץ כרגע איזו רשת נוירונים. אין היום ארגון שלא הטמיע AI בכל פינה אצלו ברשת, כולם רוצים את זה, אסור להשאר מאחור. אם זה לעזור למפתחים לכתוב קוד, אם זה לעזור לארט להכין את הלוגו החדש, אם זה למכירות לעזור לנסח מיילים (או לענות בעצמו ללקוחות), ואם זה כל תחום אחר. ו... כמה באמת האבטחה של המודלים האלו נבדקה? רק לאחרונה קראתי מאמר (שהספיקו כבר להוריד מהאינטרנט) שמתאר משפחות חדשות של חולשות שתקפות רק למוצרי בינה-מלאכותית ושלא היו קיימות לפני כן, ואני בטוח שאלו רק קצה הקרחון ויבואו עוד רבות. וזאת בדיוק הסיבה שלדעתי לני מעט מפספס בפוסט שלו. ה-Attack Surface כבר מזמן התבדר. והדרך לצמצם אותו מתחילה קודם כל בלהבין שיש להגדירו מחדש.
רק לפני כמה ימים התפרסמה החולשה (הכל כך יפה) ב-telnetd שהקוראים הצעירים, כלל לא מסוגלים להבין את כמות הבלאגן ורמת הנזק שגילוי של החולשה הזאת היה עושה אם הוא היה מתרחש לפני כמה עשורים. וזאת עוד טכנולוגיה פשוטה שרוב מי שמתקין ומשתמש בה מבין איך היא עובדת. מה שלא נכון לומר לגבי אותן טכנולוגיות בינה-מלאכותית. תחשבו מה יקרה כשתתפרסם חולשה בסדר גודל שכזה ברכיב ליבה מרכזי בכל אותן טכנולוגיות בינה-מלאכותית, שעד לפני שנים בודדות לא חלמנו על עצם קיומן והיום כבר נמצאות עמוק מאוד בתוך ליבת הרשת שלנו.
האגו האנושי מניע אותנו להתקדם ולהתחדש, ולא מאפשר לנו לעצור לרגע ולחשוב האם אנחנו ערוכים לטכנולוגיות שאנו כה ממהרים לאמץ והאם רמת האבטחה ברשת שלנו מספקת בשביל להתמודד איתה. ובפועל, כמות הפעולות המתרחשות ברשת שלנו על בסיס קלטים אקראיים, ברכיבים שבמקרה הטוב אנחנו כנראה זוכרים שהם שם, ובמקרה הרע (והדי נפוץ) אנחנו אפילו לא מודעים לקיומם, היא לא שפויה. וכרגע לפחות, נראה שאנחנו מגדירים את ה-Attack Surface שלנו לא נכון, מה שגורם לכך שאנחנו לא מתמקדים בנקודות הקריטיות באמת. שווה אולי להוריד מעט את הקצב, ולנסות להבין האם ההגדרות הישנות שלנו מעודכנות מספיק.
ושיהיה לכולנו בהצלחה!
החודש, הגליון כולל את המאמרים הבאים:
- מבוא לפריצת מערכות Embedded - חלק ב' - מאת ניר גילס וארד דוננפלד
אי שם בפברואר 2017 כשיצא הגיליון ה-80 של Digital Whisper, פורסם מאמר שנכתב ע"י דן פלד תחת הכותרת "מבוא לפריצת מערכות Embedded - חלק א", ומאז חלק ב' לא פורסם. במאמר זה החליטו ניר וארד להמשיך מאותה הנקודה שבה עצר דן. מאמר זה מניח קריאה של המאמר הקודם, שכן מאמר זה מתבסס עליו.
- פורצים את הדיסק: מתקפות UEFI ב-20₪ - מאת רן ורשוור
BitLocker הוא ניסיון של מיקרוסופט להתמודד עם אתגר די רציני: כיצד מחשב יכול לפתוח את הדיסק המוצפן שלו בצורה אוטומטית בפני משתמש מורשה אך לסרב לכל מי שאינו מורשה? השאלה שהניעה את המחקר שביצע רן היא פשוטה: עד כמה באמת אפשר לסמוך על מערכת כאשר תוקף מחזיק בגישה פיזית לחומרה? ובאופן יותר ספציפי איך מנגנוני הצפנת הדיסק של מיקרוסופט כגון Bitlocker עובדים מתחת למכסה המנוע, ולהבין איך אפשר לעקוף אותם עם כמה כלים זולים מאלי אקספרס. את המאמר הנ"ל כתב רן, והוא נוצר בהשראה רבה מהחומרים המצוינים של OpenSecurityTraining2 שהציתו את סקרנותו ושלחו אותו לחקור. ובמאמר זה הוא מציג את המחקר שביצע ואת מסקנותיו.
- מיטיגציות ב-MachO ואיך לזהות אותן - מאת אדי צלוליכין
בכל תוכנה הכתובה בשפה Level Low המאפשרת לעשות פעולות מסוכנות בזיכרון - קיימים באגים. חוקרי חולשות יודעים למצוא ולהשתמש בחולשות אלו בעת שהתוכנה רצה בזיכרון, להשתלט על זרימת הקוד הטבעית בכדי לגרום להרצת קוד משלהם וע"י כך אף להשתלט על השרת או המחשב עליו תוכנה זו רצה. חולשת הזכרון המפורסמת ביותר - Stack Overflow תועדה לראשונה ע"י AlpehOne במאמר המפורסם: ”Smashing the Stack for Fun and Profit”. מאז פרסום המאמר החלו מפתחי מערכות ההפעלה והמהדרים לפתח מיטיגציות - או דרכים להתמודד ולהקשות על הפיכת באג בניהול זיכרון לחולשה שיכולה לגרום להרצת קוד של תוקף. במאמר זה סוקר אדי את המיטיגציות הקיימות במערכות הפעלה מבוססות XNU, כיצד כל הגנה עובדת, למה היא חשובה, ואיך ניתן לזהות אותה בבינאריים באמצעות הכלי machsec שכתב.
- Trust No One - עוברים לפדרציה? אל תשאירו את המפתחות בדלת - מאת הילה קוזוקרו
תקופה ארוכה, סיסמאות ומפתחות סטטיים היו עבור הילה סוג של "ברירת מחדל". הכל השתנה כאשר גילתה שאפשר להתנהל כמעט בלעדיהם בזכות מנגנון בשם Federation. המעבר לפדרציה מרגיש כמו קפיצת מדרגה, זה פתרון אלגנטי שפותר בעיות אבטחה מהשורש, אך ככל שמתעמקים בו, מבינים שהוא דורש מאיתנו משהו אחר: דייקנות. במאמר זה הילה תציג למה פדרציה היא כלי כל כך עוצמתי, ודווקא בגלל זה היא דורשת מאיתנו תשומת לב מקסימלית לפרטים הקטנים. החלק הראשון של המאמר יתמקד בהגדרות ולאחר מכן הילה תדגים כיצד טעות הגדרה קטנה, יכולה להפוך את המנגנון הזה לדלת פתוחה לשליטה מלאה ברשת הארגונית.
- Subdomain Takeover ב-Azure - כשה‑DNS נשאר מאחור - מאת שירה זיו
בשנים האחרונות יותר ויותר ארגונים נתקלים בתופעה שנקראת Dangling Subdomain. מה בעצם קורה כשמוחקים שירות בענן אבל שוכחים לעדכן את רשומות ה-DNS? מבחינת ה-DNS שום דבר חריג. הוא ממשיך לעשות את מה שהוגדר לו: להפנות תעבורה ליעד מסוים. אז איפה מתחילה הבעיה? כשהיעד הזה כבר לא קיים. בסביבות Azure זה קורה לא מעט. שירותים עולים ויורדים, סביבות בדיקה נמחקות וארכיטקטורות משתנות. אך רשומות DNS נוטות להישאר. לפעמים חודשים. לפעמים שנים. לפעמים זה בדיוק מה שצריך כדי להפוך טעות תפעולית קטנה ל-Subdomain Takeover. במאמר זה סוקרת שירה את תופעת ה-Dangling Subdomains ב-Azure, למה זה נפוץ דווקא שם, איך מבינים מתי זה באמת מסוכן, מה תוקף יכול לעשות עם זה, ומה אפשר לעשות כדי לצמצם משמעותית את הסיכון בארגון.
- פתרון השלב השני של BSidesTLV25 CTF - מאת רומן קויפמן
כמדי שנה, גם במהלך שבוע הסייבר בדצמבר 2025, BSidesTLV הוציאו סדרת אתגרי האקינג במספר נושאים שונים. במאמר זה מציג רומן את הפתרון שלו לאתגר, פתרון שלא נלקח בחשבון כאשר האתגר נכתב.
קריאה נעימה,
אפיק קסטיאל וספיר פדרובסקי
