הגלין המאה שמונים ושבעה של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-187 של DigitalWhisper!
לא מעט נכתב בחודשים האחרונים על הפרסום של חוקרי Google, שבו הציגו שיפור משמעותי בהערכת המשאבים הנדרשים לשבירת הצפנות א-סימטריות, ובין היתר כאלה המבוססות על עקומים אליפטיים (ECC) באמצעות מחשוב קוונטי. הנושא הזה מרתק, ואף יש לנו מאמר עליו בגליון הנוכחי. אבל מה שמשך את תשומת ליבי, דווקא לא היה המחקר עצמו, אלא הדרך שבה בחרו החוקרים לפרסם את תוצאותיו.
למי שמעוניין לעשות הפסקת קריאה קלילה, הינה ה-White Paper ש-Google Quantum AI פרסמו.
לא קראתי את המאמר (ה-"קריאה קלילה" הייתה בדיחה...), אבל כן צפיתי בראיון של שעה ו-40 עם דן בונה (אחד מכותבי המאמר ואחד הקריפטוגרפיים היותר פורים שחי כיום) על המאמר, ובו הוא מספר על הרקע למחקר, על האופטימיזציות לאלגוריתם, ועל המשמעויות שלו. הראיון מרתק, ממליץ לכולם.
הדרך שהחבר'ה מ-Quantum AI בחרו לפרסם את תוצאות המחקר, הייתה (לאחר התייעצות עם גורמים מדיניים) שלא לחשוף את האופטימיזציות שלהם לאלגוריתם Shor (לא לפרסם את המעגל הקוונטי שבו הם השתמשו), אלא לפרסם במקומו הוכחת אפס-ידע (Zero-Knowledge Proof) לעצם קיום המעגל ברשותם. במילים אחרות, הם אפשרו לעולם להשתכנע שברשותם מעגל שמהווה אופטימיזציה לאלגוריתם Shor, שמאפשרת להם לשבור הצפנות מבוססות עקומים אליפטיים בעזרת כמות משאבים קוונטים הנמוכה באופן משמעותי ממה שהאנושות חשבה שצריך עד כה, וזאת מבלי לחשוף שום נתון על המעגל או על הדרך שבה הם הגיעו אליו.
במבט ראשון, זאת נשמעת כמו פשרה מצוינת. מצד אחד, הקהילה המדעית וקהילת אבטחת המידע מקבלת הוכחה לתוצאות המחקר שניתן לסמוך עליה, ובכך לאפשר לכולם לדעת איך להתנהל נכון כלכלית ולהתחיל להקצות משאבים לנושא כבר בעתיד הקרוב. אך מצד שני, פרסום שכזה לא מספק מספיק פרטים שיוכלו לאפשר למעצמות, שבעתיד הקרוב יהיו נגישות למחשבים קוונטים להתכונן לרגע שבו אכן יהיו בידיים מספיק קיוביטים, ולנצל את מרווח הזמן שבין הפרסום ועד עדכון המערכות בפועל.
אבל אז קרה משהו מעניין. תוך זמן קצר מאוד מאז פרסום ה-ZKP של צוות המחקר בגוגל, החלו להופיע באינטרנט מחקרים נוספים ושילובי כוחות שניסו להגיע לאותו המעגל. חלקם אף הציגו פתרונות יעילים יותר, לפחות על פי חלק מהמדדים. ופתאום העולם מצא את עצמו עם פתרונות טובים יותר ממה שגוגל ניסו לא לפרסם, אצל גורמים שאין לאף אחד באמת שליטה עליהם.
וזה גורם לתהות: האם הפרסום שנעשה מתמטית באפס ידע אכן היה באפס ידע? וזה מוביל לשאלה יותר משמעותית: האם באמת אפשר לפרסם היום משהו מבלי לחשוף אותו? ועזבו אתכם מההגדרה המתמטית, כי הרי גם אם לא פרסמתם את הפתרון, עדיין פרסמתם את העובדה שיש פתרון. ובמקרים רבים, אולי זה כל מה שהקהילה צריכה כדי לרכז משאבים בכיוון ספציפי.
המחשבה הזו הזכירה לי תחום אחר שאנחנו מכירים היטב וגם שם יש דילמה: מה, כמה ומתי לפרסם. ה-Responsible Disclosure על חולשות שנמצאות במוצרים השונים.
במשך שנים התגבשו בתעשייה כללים לא כתובים: יש חברות שמפרסמות רק CVE ותיאור כללי. יש כאלה שמסתירות את פרטי הבאג עד שרוב המשתמשים יעדכנו. אחרות מעכבות את פרסום ה-PoC בעוד מספר שבועות או חודשים. כל אחת בוחרת איזון מעט שונה בין שקיפות לאחריות.
אבל כולן נשענות על אותה הנחת יסוד: היסוד שאומר שקיים פער משמעותי בין רמז לבין פתרון מלא.
הנחת היסוד הזאת אומרת שאם אכתוב שמצאתי חולשת Use-After-Free במנוע JavaScript ספציפי, או שפגיעות במנגנון אימות ספציפי התגלתה ותתוקן בקרוב - עדיין יידרשו שעות, ימים או שבועות של עבודה כדי שחוקרים נוספים יצליחו למצוא אותו ולהבין מה בדיוק מצאתי ואיך ניתן לשחזר את המתקפה.
והשאלה היא האם ההנחה הזו עדיין מחזיקה.
לא בגלל שחוקרים נהיו טובים יותר בן לילה, אלא בגלל שכלי העבודה נהיו עוצמתיים יותר, והעלות של לחקור כיוון מסויים הפכה להיות הרבה יותר זולה מעד לפני שנים בודדות.
גוגל למשל, נוקטת לעיתים בגישה מדורגת: תחילה הודעה כללית כמו זאת:
Note: Access to bug details and links may be kept restricted until a majority of users are updated with a fix. We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.
ורק בהמשך, פרסום מלא של פרטי החולשה. זאת מתוך מחשבה שחלון הזמן הזה עדיין מייצר יתרון למגינים. אבל עושה רושם שגם ההבחנה הזו מתחילה להיסדק.
היום כבר לא מופרך לדמיין Agent שמקבל Advisory קצר, מבצע Patch Diff, מתמקד ברכיב שהשתנה, ומפיק כיווני חקירה תוך דקות. הוא לא בהכרח מגיע לפתרון מלא - אבל מספיק כדי לצמצם משמעותית את המרחק בין רמז להבנה. למעשה, יש כבר כמה חברות שטוענות שיש להן מוצר כזה. זאת לדוגמא.
ויש גם כיוון נוסף, כמעט הפוך: פרסום עדכונים מבלי לפרט מה בדיוק תוקן. לא מתוך רצון להסתיר מידע מהקהילה, אלא מתוך ניסיון לא למשוך תשומת לב ממוקדת לנקודת החולשה לפני שהעדכון הופך לנפוץ מספיק. סוג של “עמעום זמני” של משמעות התיקון עצמו.
ופתאום גם הבחירה של Google נראית באור שונה. ה-ZKP באמת הסתיר את הפתרון. אבל האם הוא הסתיר מספיק את כיוון החיפוש? אין לי תשובה חד משמעית. למעשה, אני לא בטוח שלמישהו יש.
אבל ייתכן שבעשור הקרוב נצטרך להגדיר מחדש מושג שליווה את קהילת אבטחת המידע במשך עשרות שנים. אולי "פרסום אחראי" כבר לא יהיה רק השאלה מתי לפרסם או כמה לפרסם.
אולי השאלה תהיה הרבה יותר בסיסית: האם עצם הידיעה שיש מה לחפש - היא כבר סוג של פרסום?
ושיהיה בהצלחה לכולנו!
וכמובן, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה לשי מרדכי, תודה רבה לגיא תותחני, תודה רבה לניר אברהם, תודה רבה לסופי ציאדה, תודה רבה לדור נאמני ותודה רבה לגיא ברנהרט מגן.
החודש, הגליון כולל את המאמרים הבאים:
- Android Bootstrap Hijacking - מאת שי מרדכי
במאמר זה מתמקד שי בשבריר השניה לאחר ריצת האפליקציה על מכשיר האנדרואיד, וכיצד נוזקות מתקדמות מנסות "לעצור את הזמן" ולהידמות למערכת ההפעלה בעצמה, עוד לפני שהמשתמש רואה מסך כלשהו. במאמר זה, מנתח שי חלק מהנוזקה Anatsa - כלי תקיפה ממשפחת ה-Banking Trojans, המיועד לגניבת פרטי גישה לחשבונות פיננסיים. ב-2024 היא הגיעה ל-100,000 הורדות ב-Google Play עד שהסירו אותה. נוזקה זו מבצעת עקיפה לא שיגרתית של הצגת ה-UI של האפליקציה. שי בחר לנתח אותה, כמקרה בוחן ל-Framework שפיתח למידול התנהגות נוזקה לפי 5 שכבות, ו-Anatsa מבצעת כל אחת מהן.
- מהגנה למודיעין: בניית Honeypot מבוסס Cloudflare לזיהוי והטעיית תוקפים בזמן אמת - מאת גיא תותחני
כל שירות Web החשוף לאינטרנט, ללא קשר לגודלו או לחשיבותו, הופך כמעט מיד ליעד של תעבורה עוינת אוטומטית. בקשות חשודות מגיעות מסורקים, בוטים ותשתיות ענן ציבוריות, ומחפשות בשיטתיות חולשות מוכרות, ממשקי ניהול חשופים וקבצים רגישים. מטרת המאמר היא לתאר את מלוא מחזור החיים של הפרויקט Operation GhostEdge - פרוייקט שבמסגרתו נבנתה ע"י גיא מערכת הגנה, זיהוי והטעיה (Deception) עבור אתר אינטרנט ציבורי, אשר נבנתה כולה על גבי תשתית הקצה של Cloudflare.
- מבט מבפנים על המנוע הקרנלי של Predator - מאת ניר אברהם
מאמר זה הינו החלק השלישי ואחרון בסדרת המאמר על Predator. חלקי הסדרה הקודמים תיעדו כיצד תוכנת הריגול Predator מתחמקת מבדיקות אנטי-אנליזה ב-iOS ועוקפת את מחווני ההקלטה של iOS. המחקר חשף מה Predator עושה - אך לא כיצד היא משיגה את הגישה העמוקה למערכת שנדרשת כדי לבצע זאת. חלק זה עונה על השאלה הזו. מומלץ לקרוא את חלקיו הקודמים של מחקר זה שפורסמו בגליונות ה-185 ו-186 של המגזין. בחלק זה, ניר מציג באמצעות הנדסה לאחור של דגימות Predator ל-iOS, כיצד מנוע ניצול הקרנל של Predator מניע את יכולות המעקב שלה. מנוע זה מעולם לא דווח בעבר - עד מחקר זה. שרשרת הניצול שתוצג במאמר זה מכוונת לגרסאות iOS שקודמות ל-17 ולמכשירים עד דור A16. ההוספה של SPTM (Secure Page Table Monitor) על ידי Apple במכשירי A15, שמעבירה את ניהול טבלאות הדפים אל EL2, מהווה מנגנון הקשחה ארכיטקטוני משמעותי נגד טכניקות שינוי קוד הקרנל המתוארות במאמר זה.
- מספרי צ'רץ' - מאת סופי סיידה
קידוד צ'רץ' (או "מספרי צ'רץ') הינה דרך להציג את המספרים הטבעיים בתור פונקציות מסדר גבוה. פונקציה מסדר גבוה היא פונקציה שמקבלת פונקציה כלשהי כקלט, או מחזירה פונקציה כפלט. הקונספט פותח על ידי המתמטיקאי אלונזו צ'רץ'. במאמר זה מציגה סופי את הקנוספט והרעיון האריתמטי שפועל מאחורי מספרים אלו.
- פירוק Anti-Cheat לגורמים - דור נאמני
במאמר זה סוקר דור את התוכנה Easy Cheat Detector, תוכנת Anti-Cheat שמנהלי שרתי משחקים עושים בה שימוש כדי לוודא שהשחקנים המתחברים לשרת לא מרמים. במהלך הניתוח מראה דור כיצד התוכנה מנסה לגלות אם מריצים אותה תחת Debuger או בסביבה וירטואלית, כיצד ואיזה מידע היא אוספת על המחשב והמשתמש, וכן את השיטות שבהן התוכנה עושה שימוש כדי לגלות האם השחקן משתמש בצ'יטים. בסוף דור מנתח כיצד התוכנה מגנה על המידע שהיא אספה מפני שינויים, כיצד הוא נשלח לשרת שלה, וכמובן - כיצד ניתן לעקוף אותה.
- אמרנו לחכות. ההמתנה נגמרה. - גיא ברנהרט-מגן
המתמטיקה התקדמה. שני מאמרים שפורסמו במרץ 2026 הראו ששבירת הצפנה מבוססת עקומים אליפטיים דורשת היום הרבה פחות ממה שחשבנו, וזה מספיק קרוב כדי שזו תהיה בעיה הנדסית קצרת-טווח ולא שאלה רחוקה בפיזיקה. האמרה "Harvest Now, Decrypt Later" - נהייתה קרובה מתמיד. במאמר זה גיא סוקר בצורה מפוקחת כמה מהחדשות האחרונות בתחום ההצפנה הקוונטית.
קריאה נעימה,
אפיק קסטיאל וספיר פדרובסקי
תגובות על 'הגלין המאה שמונים ושבעה של DigitalWhisper שוחרר!':
#1 |
 |
דביר (אורח): תודה רבה על המאמרים! נינג'ות אחד אחד! 30.06.2026 08:03:33 |
הוסף את תגובתך:
