הגליון המאה שמונים וחמישה של DigitalWhisper שוחרר!

ברוכים הבאים לדברי הפתיחה של הגליון ה-185 של DigitalWhisper!
 
החודש התרחשו לא מעט אירועים מעניינים, בחרתי להתמקד בשניים מהם, שמבחינתי האירוע הראשון הוא תשובה לאירוע השני.
 
האירוע הראשון הוא פרסום הדו"ח המרתק אודות היכולות של Claude Mythos של Anthropic שפורסם במסגרת Project Glasswing. בעקבות הפרסום הזה יצא לי להתקל בלא מעט (אולי אף יותר מדי?) אנשים הטוענים שזוהי הסנונית המבשרת את סופו של עידן, ושאנו חוזים בתחילת סופה של בועת הסייבר.
 
עידן שבו אין יותר חולשות וחורי אבטחה, עידן שבו כלל התוכנות יוצאות מבית הייצור ללא פגמים. הרי לפי הנתונים שהוצגו, ניתן להריץ את Claude Mythos על כל פרוייקט Open Source, לתת לו לעבור על כל דבר החל מכלל הקוד בגיטהאב ועד לכל תוכניות ה-Bug Bounty ולמצוא, על פי הדיווחים כ-90% מכשלי האבטחה שבהם. ניתן להריצו עם קונטקסט עצום, משמעותית יותר ממה שהשכל האנושי מסוגל, ולזהות פחות או יותר כל כשל שבן אנוש מסוגל לזהות אם לא יותר, ובפחות זמן באופן משמעותי.
 
בצורה כזאת יפסיקו להיות כשלים בתוכנות, דבר שיוביל לכך שלא נזדקק כמעט למוצרי הגנה. את אותו הדבר אפשר יהיה לבצע גם על קונפיגורציות של רכיבי רשת ו-Firewall-ים (המעטים שיישארו) וכל ארגון ורשת יהפכו בין לילה להיות מבצר בלתי חדיר.
 
בעולם שכזה, לא צריך יותר Penetration Testers, לא צריך יותר Red Teamers, לא צריך יותר תוכניות Bug Bounties או תוכניות אבטחה רב שנתיות, ובגדול - המקצועות הקשורים באבטחת מידע יתפוגגו מהעולם.
 
התשובה המיידית שלי לטענה הזו היא שבמקרה כזה, ובמידה וזה לא איזה גימיק שיווקי - לא יהיה מאושר ממני. בגישה שלי, כל דבר שמכונה יכולה לעשות טוב ממני - עדיף שתעשה. ואם כל הרשתות בעולם יהיו מוגנות ומאובטחות, אז החיים שלי כאזרח, כנראה יהיו הרבה יותר טובים ובטוחים. לאחר מכן, התשובה הבאה שלי היא: שעם כמה שהייתי רוצה בזאת, אני קצת סקפטי שהיום הזה יגיע בקרוב. וכל עוד בני אדם יהיו משתמשי הקצה, המפעילים או המנהלים של אותן הרשתות - יהיו באותן הרשתות רכיבים אינהרנטיים שקשה עד כמעט בלי אפשרי לעדכן או לתקן: והרכיבים האלה הם כמובן בני האדם. 
 
וזה מוביל אותי לאירוע השני שרציתי לכתוב עליו: הגניבה המטורפת מבורסת הקריפטו Drift. ככל הנראה מבית Lazarus הצפון-קוריאנים, שבמסגרתה נגנבו קצת יותר מרבע מיליארד דולר במטבעות קריפטוגרפיים מבורסת הקריפטו Drift. 
 
אני לא איש קריפטו, ולא מומחה מסחר במטבעות קריפטוגרפיים, אך מקריאה של הפרטים הטכניים, עולה כי המתקפה כלל לא כללה ניצול כשל בקוד של אחד החוזים או האפליקציות המבוזרות, לא כללה ניצול של מיס-קונפיגורציה, לא היה בה אלמט שבירת אלגורייתם צופן שלא יושם כמו שצריך או ניצול של מנגנון הרשאות מתירני מדי, היא למעשה לא כללה אף שימוש בשיטת תקיפה מה-OWASP TOP10. המתקפה יצאה לפועל בעצמה בזכות הנדסה חברתית ברמה גבוהה, תוך ניצול של פיצ'רים מובנים בתשתיות של Solana (שעל גביה רצה הבורסה Drift), ולא מעט סבלנות מצד התוקפים.
 
אחד הפיצ'רים המרכזיים שבהם נעשה שימוש ושיש ב-Solana הוא היכולת לחתום על טרנזקציה עתידית וכך לאשר אותה מבעוד מועד (פיצ'ר המכונה Durable Nonce), ועל מנת לעשות זאת, יש צורך להשיג חתימה של מספר מנהלים (מה שמכונה multisig) וניכר שאותם מנהלים הונו לחתום על אותה טרנזקציה מבלי שהם הבינו לחלוטין את התוכן שלה, ובכך (לפי מה שהבנתי, אבל אל תתפסו אותי במילה), נתנו לתוקפים בעצם יכולת להריץ טרנזקציה עתידית מבלי שאותם מנהלים יכולים לוודא את התוכן שלה עד הסוף. מסתבר גם שטרנזקציות כאלה הן טרנזקציות שמופעלות באותו הרגע שבו מזניקים אותן, וללא חלון השהייה שמאפשר לרשת לוודא שהן חוקיות. כמובן שהיו שם עוד כמה אלמנטים (קראו בלינק שצרפתי) שאפשרו לתוקפים להערים על אותם מנהלים ולעקוף את מגבלת כמות הטרנקציות המקסימלי, אך הנקודה המשמעותית היא שכל המתקפה בוצעה ללא הפרה של אף פיצ'ר במערכת.
 
וזאת, לצערי, גם התשובה שלי כלפי מי שמנפנף בדו"ח של Claude Mythos. המחשבה על מערך AI שעובר על קוד ומנפה החוצה באגים היא משעשעת ומגניבה, אבל כל עוד לא מדובר במערכות סגורות, והן מבוססות על אינטרקציה של בני אנוש, וכל עוד תהיה סיבה - תמיד תמצא הדרך לתוקפים להכנס פנימה.

 
וכמובן, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה לידידיה בקורדזה, תודה רבה לעומר מעיןתודה רבה לאשר ורד (A.I.V Dev), תודה רבה לניר אברהם ותודה רבה לנועם אפרגן!

 
החודש, הגליון כולל את המאמרים הבאים:
  • כשהעיניים רואות את מה שהאוזניות לא משמיעות - ניתוח החולשה CVE-2025-20700 - מאת ידידיה בקורדזה
    דמיינו לעצמכם שאתם יושבים בבית קפה ומאזינים למוסיקה עם האוזניות האלחוטיות שלכם. הדלקתם את האוזניות והתחברתם לטלפון והופ נפרצתם! והקטע הכי טוב? שאתם לא מודעים לזה בכלל. במאמר זה מציג ידידיה מחקר שביצע אודות פרצה בפרוטוקול תקשורת אפליקטיבי שנקרא RACE שהתגלתה באוגוסט 2025 על ידי זוג חוקרים גרמניים. הפרצה השפיעה על מערכות צ'יפים (SoC) של חברת Airoha וכמו כן על מוצרים אחרים שמשתמשים באותם הצ'יפים, ובכללם אוזניות אלחוטיות מוכרות מבית Sony ,Jabra ,JBL ועוד.
  • סוכן או סוכן כפול? על OpenClaw ועל הדור החדש של איומי אבטחה במערכות סוכני AI - מאת עומר מעין
    בשנים האחרונות התרגלנו להתייחס למערכות בינה מלאכותית כאל כלים המסייעים לנו לחשוב, לנסח, או לנתח מידע. בימים אלו מתחילה להופיע קטגוריה חדשה של מערכות: מערכות אשר כבר אינן מסתפקות במענה טקסטואלי בלבד. הן מסוגלות לקבל קלט, להבין הקשר ועל פיו לבצע פעולות כגון גישה לקבצים, הפעלת אוטומציות, תקשורת עם שירותים חיצוניים או תיאום בין מערכות שונות. המעבר הזה משנה לא רק את חוויית המשתמש, אלא גם את האופן שבו צריך לחשוב על מערכות כאלה. כאשר תוכנה אינה רק מעבדת מידע אלא גם מבצעת פעולות, קלט חיצוני יכול להפוך לתהליך עבודה, ותהליך עבודה יכול להפוך לביצוע. עבור רוב המשתמשים מדובר בהבטחה לאוטומציה חכמה ויעילה יותר. עבור חוקרי אבטחה ומהנדסי מערכות, זהו גם רגע שמעלה שאלות חדשות: כיצד נראים גבולות האמון במערכת שמקבלת החלטות תפעוליות? ומה קורה כאשר קלט לא-מהימן פוגש מערכת שמסוגלת לפעול בעולם האמיתי? במאמר זה בוחן עומר את OpenClaw מנקודת מבט ארכיטקטונית ואבטחתית: כיצד בנויה המערכת, היכן עוברים גבולות האמון שלה, אילו משטחי תקיפה נוצרים כאשר סוכן כזה מחובר לכלי ביצוע אמיתיים, ומה ניתן ללמוד מכך על הדור הבא של מערכות מבוססות Agents.
  • צבע אדום? תגנו על הטלפון! - מאת אשר ורד (A.I.V Dev)
    במאמר זה סוקר אשר אפליקציה זדונית שהופצה באינטרנט במהלך המבצע "שאגת הארי" כעדכון חשוב לאפליקציית ההתראות "צבע אדום", אפליקציה שרבים משתמשים בה לקבלת התרעות פיקוד העורף. אפליקציה, שככל הנראה פורסמה ע"י האקרים איראנים במטרה לרגל ולאסוף מידע אחר אזרחים ישראלים. האפליקציה עושה שימוש במספר דרכים על מנת לזייף את עצמה כאפליקציה המקורית ובמאמר זה אשר מציג דרכים אלו.
  • מתג ההשמדה העצמית של Predator - טכניקות Anti-Analysis לא מתועדות ב-Spyware ל-iOS - מאת ניר אברהם
    בדצמבר 2025 פרסמה Google Threat Intelligence Group) GTIG) מחקר מקיף על תוכנת הריגול Predator של חברת Intellexa, אשר תיעד את שרשראות ה-Zero-Day exploit ואת רכיב ה-stager בשם PREYHUNTER. במסגרת ביצוע Reverse Engineering עצמאי של דגימת Predator, צוות Jamf Threat Labs גילה מספר מנגנונים שלא תועדו קודם לכן, אשר חושפים עד כמה יכולות ה-Anti-Analysis של תוכנת ריגול זו מתוחכמות. ביניהם, טקסונומיה מלאה של קודי שגיאה, המאפשרת למפעילים לאבחן בדיוק מדוע ה-implant נכשל, מערכת ניטור של Crash Reporter לצורכי anti-forensics, ביצוע hooking ספציפיים ל-SpringBoard, מחלקות הקשורות ל-Kernel Exploitation החושפים את הארכיטקטורה הפנימית ועוד. במאמר זה אברהם מציג ממצאים אלו.
  • BabySteps into SLUB - חלק א' - מאת נועם אפרגן
    מאמר זה הינו מאמר ראשון בסגרת מאמרים הסורקת את ה-Slab Allocator, הרכיב בקרנל שאחראי לספק את ההקצאות הדינמיות. לרכיב זה יש מספר מימושים וסדרת מאמרים זו תעסוק באחד מהם. בחלק זה של סדרת המאמרים, מציג נועם את הבסיס החשוב להבנה כיצד ה-Slab Allocator עובד במימוש SLUB. וההבנה של חלק זה תשמש בין היתר כרפרנס בחלקים הבאים שבמהלכם אף יוצגו ניצולים מעניינים שיכולים להיווצר משימוש שגוי במנגנון זה.
  
  

  

 
 
  קריאה נעימה,
אפיק קסטיאל וספיר פדרובסקי



תגובות על 'הגליון המאה שמונים וחמישה של DigitalWhisper שוחרר!':





הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2026 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.