הגליון המאה שמונים ושישה של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-186 של DigitalWhisper!
 

היי, כאן ספיר  :)

בחודש האחרון היו לא מעט אירועים משמעותיים בתחום הסייבר, החלטתי לשנס מותניים ולכתוב על האירוע שהכי פחות מדבר אלי - Copy Fail.

אני אגיד שהסיבה שהוא לא עניין אותי היא לא כי הוא לא חשוב - הוא מאוד חשוב. אבל בתור בן אדם שכל חייו עסק רק במערכת ההפעלה Windows ואז עבר לענן, לינוקס פשוט חולף מעלי בדרך כלל, וכשאני רואה "לינוקס" במאמר, אני נוטה לדלג.

אבל אין מקום טוב יותר לאתגר את עצמי מאשר בדברי הפתיחה לירחון הזה!

אז אם כמוני רציתם לדעת על מה החולשה, אבל המוח שלכם מפלטר החוצה כל דבר עם המילה לינוקס - מוזמנים להמשיך לקרוא :)

אתחיל מלהגיד שבויקיפדיה יש ערך של Copy Fail רק ב-3 שפות:

אנגלית, תורכית ולומברדית מודרנית, שהיא שפה גאלו-רומאנית ממשפחת השפות ההודו-אירופיות. היא מדוברת כיום בפי מיליוני אנשים בעיקר במחוז לומברדיה שבאיטליה ובקנטון טיצ'ינו שבשווייץ.

כבר למדתי משהו חדש, מעניין מה זה אומר על קהילת הסייבר העולמית אם אלו השפות היחידות שאליהן תורגם ערך הויקיפדיה הזה.

ועכשיו לנושא ממנו אני מתחמקת כבר חודש - המתקפה (כמובן בקצרה, כי אני באמת לא מבינה בזה).

Copy Fail היא חולשת אבטחה חדשה וחמורה בלינוקס שמאפשרת למשתמש רגיל להפוך ל־root, כלומר לקבל שליטה מלאה על המערכת. החולשה קשורה למנגנון בשם Page Cache, שהוא מעין זיכרון זמני שבו לינוקס שומר קבצים כדי להאיץ גישה אליהם. בגלל באג בקרנל, תהליך רגיל יכול לשנות כמה bytes בתוך העותק של קובץ שנמצא בזיכרון, גם אם אין לו הרשאה לערוך את הקובץ האמיתי בדיסק. זה לא עובד בצורה אקראית של "לשנות bytes ולקוות לטוב", התוקף יודע איזה קובץ הוא רוצה לשנות, למשל תוכנה שרצה עם הרשאות גבוהות כמו sudo, ויודע בדיוק באיזה offset לשנות bytes כדי להשפיע על זרימת ההרצה של התוכנית.

מספיק לפעמים לשנות instruction אחת, בדיקת הרשאות או jump קטן כדי לגרום לתוכנית להריץ קוד שהתוקף בחר, אבל עם הרשאות root. חשוב להדגיש שהקובץ בדיסק בכלל לא משתנה, רק ההעתק שבזיכרון משתנה, ולכן מבחוץ הכול יכול להיראות תקין.

דרך נחמדה לדמיין את זה היא לחשוב על ספרייה שבה הספר המקורי נעול בכספת ואסור לערוך אותו, אבל בגלל טעות מישהו מצליח להחליף כמה שורות בעותק הזמני שמונח על שולחן הקריאה. כל מי שקורא אחר כך את העותק הזה חושב שזה הספר האמיתי, למרות שהמקור עצמו מעולם לא השתנה.

בנוגע לניצול בעולם האמיתי, ראיתי כמה מקומות שכתבו שהיה active exploitation, יש מלא POC-ים כאן: https://exploit-intel.com/vuln/CVE-2026-31431.

מה שהיה מאוד מעניין בחולשה הזו, זה שהיא עובדת כל כמעט כל הפצה של לינוקס מאז 2017, ודיי קל להשמיש אותה. עוד משהו שבהחלט תרם להייפ של החולשה הזו, זה שבמידת מה היא זוהתה באמצעות AI.

לפי החברה הזו - https://xint.io/blog/copy-fail-linux-distributions שמספקת מוצר חיפוש חולשות באמצעות AI, החוקר שמצא את החולשה התחיל מגילוי ראשוני שלו, ואז מצא את החולשה עצמה באמצעות שימוש במערכת שלהם.

אין ספק שההשפעות של AI על עולם הסייבר כבר מתגלות בעוצמה דיי גדולה, בעיקר בשימוש של חיפוש חולשות, ותוקפים.

כבר שמענו על תוקפים שמריצים קמפיינים שלמים באמצעות קלוד, מבלי לכתוב שורת קוד.

לא חסרים אנשים עם כוונות רעות בעולם, מעניין מתי הם יגלו שהם לא צריכים  להבין משהו בסייבר כדי להריץ קריפטומיינרים או Ransomwares, וכמה זה ישפיע על העולם מבחינת כמות המתקפות, והיכולת להתגונן מפניהן

 
וכמובן, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה לידידיה בקורדזה, תודה רבה לליאורה רבייב, תודה רבה לאמיתי דן תודה רבה לניר אברהם ותודה רבה לליאל חנוכוב!

 
החודש, הגליון כולל את המאמרים הבאים:
  • Trust no package: זיהוי נוזקות ב-NPM  - מאת ליאורה רבייב
    אם לא שמעתם על אחד ממליון מתקפות ה-NPM שהגיעו לחיינו השנה, אתם כנראה חיים מתחת לסלע. במאמר הזה, ליאורה סוקרת את אחת מהמתקפות האהובות עלי השנה - Shai Hulud, ומפרטת כיצד בנתה סורק איומים היוריסטי שכתבה, במטרה לאתר חבילות NPM זדוניות. המאמר הזה לא רק מעניין, הוא גם מהווה פתרון לבעיה אמיתית שהמון ארגוני אבטחה מנסים לפתור בימים אלו ממש! ואם כל הטוב הזה לא היה מספיק, ליאורה בוחנת האם הסורק עובד על חבילות זדוניות בשטח.
  • הצי השקט: כלי מחקר תת ימיים חשופים לאינטרנט AUVs - Autonoumous Underwater Vehicle - מאת אמיתי דן
    אם הכותרת לא עשתה שלה ושכנעה אתכם להכנס למאמר, אני מפצירה בכם - כנסו למאמר! אמיתי סוקר מחקר שהוא עשה, בו הוא הצליח להשיג שליטה על כלי מחקר תת ימיים, דרך מיסקונפיגורציות שלהם, וחשיפה לאינטרנט. אמיתי סוקר את הכלי עצמו, השימושים שלו, ומסביר כיצד הצליח להשתלט עליו. בנוסף, אמיתי מציג תרחישים שונים בהם משתלטים על הכלי, וההשלכות של המקרים האלו.
  • כיצד Spyware מסוג Predator עוקף את חיווי ההקלטה ב-iOS - מאת ניר אברהם
    במאמר זה סוקר ניר spyware, מציג את הפונקציות השונות שלו, ומסביר כיצד הוא עוקף אינדיקטורי הקלטה ב-iOS. המאמר מלא בצילומי מסך מהקוד של הפוגען, ודוגמאות רבות. בסוף המאמר, ניר מציג רעיונות  לזיהוי היכולות השונות של הפוגען. המאמר פשוט מרתק לקריאה ומעלה מחשבות (מעט מדאיגות) על רמת האבטחה בטלפונים שלנו (כן כן, גם ב-iPhone).
  • אבטחה מבוססת וירטואליזציה - Virtualization Based Security - מאת ליאל חנוכוב
    המאמר של ליאל הוא מאמר windows קלאסי במלוא מובן המילה. ליאל סוקר איך עובדת וירטואליזציה, כיצד השכבות השונות מתקשרות זו עם זו, ואילו קטעי קוד מעורבים בתהליך. בנוסף, ליאל מסביר על יישומים שממומשים ב-Isolated User Mode, ומציג כלי שכתב על מנת לדבג אותם. למרות שנושא המאמר הוא "כבד" ו-"מפחיד", המאמר כל כך מעניין ונעים לקריאה וברור גם לאנשים שלא חיים ונושמים Windows.
  

  

 
 
  קריאה נעימה,
אפיק קסטיאל וספיר פדרובסקי



 
Digital Whisper © 2009 - 2026 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.