הגליון השלושים ושלושה של Digital Whisper שוחרר!
ברוכים הבאים לגליון ה-33 של Digital Whisper!
חודש יוני עבר, חודש יולי בפתח, ואיתו גליון נוסף. וכמו בכל גליון, גם הפעם, אני מפנה לי זמן במיוחד, מתיישב ומנסה לחשוב על "דבר העורכים", על השורות שאתם קוראים ברגע זה. אם יש לי משהו ספציפי להגיד - אני כותב אותו, וכמו שאני בטוח ששמתם לב, לפעמים זה קורה. כשאין לי משהו ספציפי להגיד אני מנסה לחשוב על נקודות, נושאים, אירועים לאומיים או אירועים חדשותיים שהתרחשו החודש שהייתי מעוניין להתייחס אליהם בדבר העורכים, וכל פעם קשה לי למצוא נקודה שהייתי מעוניין להתייחס אליה בפתיחת הגליון.
וזה לא שלא קיימים אירועים כאלה, אם תכנסו לאתרי חדשות בנושא אבטחת מידע, תראו שכן. חוקרי אבטחה כן מוצאים וירוסים או תולעים מורכבות ששווה לדבר עליהן, וכן תמצאו כתבות על חולשות שהמימוש שלהן מסקרן ומפתיע, וכן תוכלו לקרוא על הבחור היצירתי שנתפס לאחר שניצל את הדמיון שלו על מנת להזיק לכלל. האירועים האלה קיימים, ועוד איך.
האירועים האלה מתקיימים, וכשקוראים אותם כמכלול מפחיד לחשוב כמה מסוכן האינטרנט, אשכרה ג'ונגל שם בחוץ. אם פעם האיום היה איזה וירוס קטן שנכתב על מנת להוכיח יכולת, כיום רשת אינטרנט מלאה בגורמים שרק רוצים להזיק. והם עושים זאת בצורה ברוטאלית - אתרים לגיטימיים נפרצים על ימין ועל שמאל, ומחדירים להם כל מני חולירות שרק מחכות לפגוע בגולש המזדמן. תוצאות של מנועי חיפוש מורעלות, כבר לא בטוח ללחוץ על שום קישור, ולפני שעושים "שלח" באיזה טופס אינטרנטי - צריך לבדוק טוב טוב שאנחנו אכן באתר הנכון, וגם אז אי אפשר לדעת מתי המידע הזה ייחשף כאשר יפרצו לאותו אתר. ועל לפתוח אימיילים מתיבות דוא"ל לא מוכרות? אין בכלל על מה לדבר... צריך לחשוב על זה טוב טוב.
היום נקודת המוצא שלי, כאשר אני ניגש למחשב חדש שפעם ראשונה אני עובד עליו, היא שיש עליו וירוס עד שלא הוכחתי אחרת ברמה הסבירה (דברים כגון בדיקת תהליכים הרצים, בדיקת רשימת הפעולות שמתבצעות כאשר מערכת ההפעלה עולה, וסריקת המחשב עם אנטי-וירוס מעודכן וכו') וגם אז אני לא יכול להיות בטוח.
אני לא מכיר את הסטטיסטיקאות יותר מדי, אך הרבה מאוד מחשבים כיום מריצים מערכת הפעלה "פרוצה" - כזאת שנגנבה ונפרצה כך שהדבר לא ידווח ליצרניות (מבלי להזכיר שמות, כן?), מה עושות אותן יצרניות? מפסיקות את עדכוני התוכנה לאותן מערכות הפעלה. העדכונים הנ"ל כוללים בתוכם עדכוני אבטחת מידע - כאלה שתפקידם לעצור ולתקן את אותם הכשלים שאותן חולירות מנצלות. מה יוצא בסוף? אלו שכן משלמים מקבלים עדכונים ובטוחים שהכל נגמר כאן. אך - מי שלא משלם, לא מקבל עדכונים, נדבק באיזה וירוס ונהפך להיות עוד חייל ברשת הזומבים של ה-Bot-net התורן. אותם חבר'ה (שלא בידיעתם) מתקיפים ופורצים לאתרים, מדביקים אותם בעוד קוד מזיק והפעם החבר'ה שכן משלמים נכנסים, ובמוקדם ובמאוחר גם הם ידבקו. (בלי קשר, אם תשאלו אותי, מניעת עדכוני אבטחה למערכות הפעלה גנובות, פוגע בכולם.)
עם המידע הנ"ל ועוד בסיגנון, אני עובר על כל אתרי החדשות, הבלוגים של חוקרי אבטחה, הבלוגים של חברות אנטי-וירוס ועוד, ותמיד עולה לי השאלה, איך עוד לא נדבקתי? (ואולי כן נדבקתי ואני עדיין לא יודע את זה?) והתשובה שאני עונה לעצמי, ומקווה שהיא גם התשובה הנכונה היא: ידע וגלישה מודעת.
בהקשר הזה, כשאני כותב "ידע", פירושו הכרת העולם של המזיקים. פשוטו - הבנה של איך עולם המזיקים עובד, וכיצד להמנע מלהפגע ממנו. וזה פחות או יותר מה שאנחנו מנסים לעשות במגזין - הבאת הידע לקוראים.
כשאני כותב "גלישה מודעת" אני מתכוון למשהו הרבה יותר רחב, אני מתכוון ל-State Of Mind. אני מתכוון להבנה הזאת, שכאשר אנחנו מחברים את המחשב לקו הטלפון (מתחברים לראוטר / רשת אלחוטית וכו') ומתחילים "לדבר עם האינטרנט" - אנחנו חשופים, אנחנו יכולים להדבק בוירוס או קוד מפגע מכל כך הרבה כיוונים. ידיעה כזאת תגרום לנו "לגלוש בעיניים פתוחות", תגרום לנו להיות עירניים ולחשוד במה שקורה סביבנו באינטרנט. קיבלנו אימייל על זכייה בלוטו? מישהו מניגריה מעוניין במספר החשבון שלנו על מנת להעביר עלינו סכום מטורף שקיבל בירושה? אנחנו הגולש ה-1,000,000 באתר ולכן זכינו ב-IPhone החדש? כתובת ה-IP שלנו השתתפה בהגרלה, זכינו, ורק צריך להתקין את התוסף הבא על מנת שנוכל לקבל את הפרס? כנראה שמישהו מנסה עלינו את "תרגיל מצליח".
אם אתם עוברים על הדוגמאות וחושבים לעצמכם "מי לעזאזל מאמין לדברים האלה?" - אתם במצב טוב, סליחה, אתם במצב מעולה! אך דעו לכם שסביבכם משתמשים באינטרנט אנשים תמימים, ויותר מזה, סביבכם משתמשים באינטרנט אנשים עם אופי זדוני, שמחפשים את אותם משתמשים תמימים. "הכביש מסוכן" אומרים, ולכן, כמו שאתם נוהגים בכביש אתם עירניים (אני מקווה), תיהיו עירניים כשאתם גולשים באינטרנט.
וכמובן, לפני התוכן עצמו, ברצוננו להגיד תודה לכל מי שעזר, תרם מזמנו הפנוי וכתב לנו, ובזכותו הגליון מתפרסם: תודה רבה לסשה גולדשטיין, תודה רבה לאיל בנישתי, תודה רבה לעו"ד יהונתן קלינגר, תודה רבה ליוסף הרוש ותודה רבה ליובל סיני. בנוסף, תודה רבה לשילה ספרה מלר על העזרה בעריכת המאמרים והגליון.
שתהיה לכולם קריאה נעימה,
החודש, הגליון כולל את המאמרים הבאים:
- על המימוש הפנימי של אובייקטים וטיפוסים ב-NET. - (נכתב ע"י סשה גולדשטיין)
אם מאמינים ל-TIOBE Programming Community Language Index, אז #C ו-Visual BASIC חולשות על למעלה
מ-12 אחוז מהקוד שנכתב בעולם, מה שממקם את NET. במקום השלישי והמכובד אחרי C ו-Java. כיוון ש-NET. היא
סביבה מנוהלת, שבה הזיכרון, מבנה האובייקטים, ואפילו כתובות ומצביעים הם דברים שהמפתחים "לא מתעסקים בהם",
קיים מעט מידע יחסית על המימוש הפנימי של NET. והקומפוננטות המרכיבות אותה. במאמר זה סוקר סשה את המבנה
הפנימי של אובייקטים בערימה המנוהלת (GC heap) ומסביר על המבנה הפנימי של טיפוסים NET.-יים. בנוסף לכך, מציג
סשה את מנגנון בטיחות הטיפוסים של NET., וחולשות אבטחה שהתגלו במנגנון זה בעבר.
- מבוא ל-Fuzzing - (נכתב ע"י איל בנישתי)
תחום מחקר החולשות הוא תחום אשר צובר תאוצה בימים אלה, יותר ויותר חברות מוכנות לשלם היום לחוקרים (Bounty
Programs) על מנת שיחשפו חולשות במוצרים שלהם ובכך בעצם יעזרו להם לשמור על המוצרים שלהן בטוחים יותר.
חברות גדולות כמו גוגל אף משיקות ועידות מתוזמנות ומזמינות האקרים וחוקרים מכל העולם לנסות את מזלם ולזכות
בפרסים של עד כ-60K$. במאמר זה מציג איל את השימוש ב-Fuzzing על מנת לאתר חולשות אבטחה.
- סקירה על דיני הגנת הפרטיות ויסודות בפרטיות - (נכתב ע"י עו"ד יהונתן קלינגר)
הזכות לפרטיות אינה זכות מוגדרת וברורה כמו חופש התנועה, חופש הביטוי או הזכות לקניין אשר ניתן להבין בצורה
פשוטה ובמשפט אחד; מדובר בזכות שברורה לכולנו ואנו מבינים מהי, אך איננו יכולים להגדירה בצורה מושלמת. בסוף
המאה ה-19 הגדירו סמואל וורן ולואיס ברנדייס את הזכות כזכות להנות מהחיים - הזכות להעזב בשקט. אבל דומה
שהיום, בעת שהטכנולוגיה מתקדמת, אנחנו לא יכולים לומר בוודאות שאם נעזב בשקט פרטיותנו תסופק. הרי, אפשר
לחשוב על כל מיני דרכים בהן אדם עדיין 'נעזב בשקט' אבל עדיין מרגיש שפרטיותו נפגעת: הדוגמא הטובה ביותר לכך
היא של פרופיילינג, בו אנחנו נעזבים בשקט, אבל המידע שאוספים עלינו משמש כדי לא לעזוב אחרים בשקט. עו"ד
יהונתן קלינגר, במאמר קצר ומקיף, דן בחובות אבטחת המידע והגנת הפרטיות ועונה על מה מותר ואסור לשמור
במאגרי מידע, כיצד החוק מחייב להגן עליהם, ואיך אפשר לטפל בדליפות.
- SecurityTokens - גניבת Session פעיל - (נכתב ע"י יוסף הרוש)
מאמר זה מהווה המשך למאמר שפורסם בגליון ה-32 של Digital Whisper, בשם "Security Tokens וכרטיסים חכמים".
במאמר זה מדגים יוסף הרוש כיצד תוקף יכול לנצל חיבור פעיל (SESSION) ל-Security Token ע"י הזרקת קוד זדוני
לתהליך המקורי אשר יצר את החיבור.
- תפיסות אבטחה במציאות משתנה - (נכתב ע"י יובל סיני)
החל משנת 2001 החלו להתגלות בעולם המחשוב סוגי התקפות מסוג חדש, אשר חלקן סווגו באופן מוטעה כתקיפות
וירוסים. הסיבה הרווחות להכרה בסוגי התקיפות הנ"ל כתקיפות וירוסים נעוצה בעובדה כי לכלי התקיפה ישנם מאפיינים
של וירוסים, אך לא בכך מסתיים הדבר. כלי התקיפה החדשים חשפו יכולות חדשות הכוללות ביצוע Sniffing ברמה גבוהה,
גישה ל-Kernel Level ועוד. עם זאת, מרבית סביבת ה-IT לא נחשפה באופן פומבי לסוג התקיפות הנ"ל, למרות שכבר
בשנת 2004 החלו להצטבר תלונות במשטרת ישראל על ניסיונות ריגול תעשייתי מצד ארגונים שונים. מאמר זה דן בשאלה
האם תפיסות האבטחה הקיימות כיום עונות לצרכי הביטחון של הארגונים השונים, או שמא, תפיסות האבטחה מחייבות בחינה
ובנייה מחדש.
קריאה נעימה!
תגובות על 'הגליון השלושים ושלושה של Digital Whisper שוחרר!':
#1 |
cp77fk4r: קריאה נעימה לכולם! 30.06.2012 21:06:17 | |
#2 |
אריָ'ה (אורח): ראשונה!:) 30.06.2012 21:08:47 | |
#3 |
Dm12 (אורח): אחלה גליון! תודה רבה לכל הכותבים! 30.06.2012 22:31:49 | |
#4 |
MUX (אורח): כתבות מאוד מעניינות :) תודה על גליון איכותי ! האם יהיה המשך למבוא לFuzzing? 30.06.2012 23:50:37 | |
#5 |
cp77fk4r: MUX, המשך באיזה כיוון? 30.06.2012 23:54:28 | |
#6 |
שמיל (אורח): גליון סוף הדרך! אחלה נושאים בחרתם! תודה רבה! בקשר לכיוון לחלק נוסף של ה-Fuzzing, אפשר ללכת בכיוון של לכתוב כלי כזה, בסופו של דבר זה יחסית פשוט, אבל אני בטוח שיש כמה עקרונות או אלגוריתמים שיהיה נכון יותר להשתמש בהם וכו' - אז אם למישהו יש ניסיון בזה, יהיה מעניין לקרוא מאמר בנושא! 01.07.2012 00:53:17 | |
#7 |
גיל (אורח): תדה רבה! ודברי פתיחה יפים! 01.07.2012 01:22:39 | |
#8 |
sdimant: נשמע גליון מעניין, תודה רבה! @Cp @אריָ'ה - זה לא פייר שאתם ראשונים! 01.07.2012 01:30:19 | |
#9 |
איל בנישתי: תודה לכל מי שהתעניין בפרק המבוא לפאזינג, לטעמי המשך ישיר יהיה התעמקות בפאזרים מודרנים וחכמים ופחות ישומים או טכניקות פיתוח בפועל. למי שמתעניין ומעוניין לחקור וללמוד עוד (ואולי אפילו לשתף) אני ממליץ להתחיל כאן https://taviso.decsystem.org/making_software_dumber.pdf ולעקוב אחרי הכלים המוזכרים והמתודולוגיות, המשך קריאה מהנה. 01.07.2012 13:11:37 | |
#10 |
גיל (אורח): תודה רבה על הקישור! וכמובן, תודה רבה על המאמר! 01.07.2012 18:17:59 | |
#11 |
Dw4rf (אורח): תודה רבה על המאמרים! בקשר למאמר על ה-Security Tokens, רציתי להבין משהו: במערכות הפעלה וינדוס, אני יודע שההרשאות ניתנות לכל Thread בנפרד (לפחות בכל מה שקשור לקבצים וכו׳), ולפי מה שאני מבין, אם ל-Thread אחד יש אישור לעבוד עם Security Token ואנחנו יוצרים Thread חדש באותו התהליך, אנחנו לאו דווקא נקבל את ההרשאות המתאימות. לא? 01.07.2012 23:38:50 | |
#12 |
נדב.א׳ (אורח): תודה רבה! גליון משובח כרגיל! 02.07.2012 21:19:09 | |
#13 |
MUX (אורח): אני קראתי קצת מאמרים על הנושא הfuzzing.זה לא משנה איזה המשך יהיה הכל מבורך (; (למרות שאני מאמין בכתיבה מ0 כדי למצוא באמת חולשה אבל זו דעתי) 02.07.2012 23:20:57 | |
#14 |
NET. (אורח): תודה רבה על המאמרים ובעיקר על המאמר של סשה, אני לא זוכר שראיתי עוד חומר איכותי כל כך על הנושא! אשמח לראות עוד מאמרים בנושא! 03.07.2012 20:29:02 | |
#15 |
NET. (אורח): עוד דבר, לא מצאתי אפשרות לחיפוש במערכת, אשמח לדעת האם נכתבו עוד מאמרים בסגנון "על המימוש הפנימי של אובייקטים וטיפוסים ב-NET." או בכלל של סשה... תודה רבה! 03.07.2012 20:31:07 | |
#16 |
cp77fk4r: אין אופציה לחיפוש, אך תוכל לעבור על הרשימה בעמוד הגליונות ולחפש באלו גליונות סשה מופיע. 03.07.2012 20:41:05 | |
#17 |
NET. (אורח): תודה רבה! 03.07.2012 21:35:53 | |
#18 |
שי (אורח): תודה רבה חברים! נהנתי לקרוא! כמו תמיד... 05.07.2012 07:35:39 | |
#19 |
אבישי (אורח): כל הכבוד לכם חזק ויאמץ! 06.07.2012 12:14:12 | |
#20 |
natinet (אורח): תודה רבה! המאמר על ה.net נראה מאוד מעניין! 07.07.2012 21:46:17 | |
#21 |
שמיל (אורח): אם זה אפשרי, אשמח לקרוא מאמר על ה-DNS Changer, אני קורא עליו הרבה לאחרונה ולא מצליח להבין מה השוס... נראהכמו משהו לא מורכב מדי אבל עדיין עושה הרבה מאוד רעש. תודה רבה :) 07.07.2012 22:54:28 | |
#22 |
cp77fk4r: נראה :) 08.07.2012 00:17:42 |
הוסף את תגובתך: