הגליון הארבעים ושלושה של Digital Whisper שוחרר!
זהו, חודש יוני חלף לו, וחודש יולי בפתח, ואיתו גם הגיליון ה-43 של Digital Whisper! ברוכים הבאים.
מי שמתעסק בהאקינג - חי האקינג ונושם האקינג, יום יום דקה דקה. אני מאמין שאפשר להגיד את זה על מקצועות נוספים, אבל לא סתם אומרים על האקינג שזה "דרך חיים". אני בטוח שגם מוסכניק שאוהב את המקצוע שלו חי אותו יום יום דקה דקה, אבל עדיין, אף פעם לא שמעתי אנשים שאומרים "להיות מוסכניק זו דרך חיים" (לפחות לא בלי שירימו עליהם גבה). האקינג זה מקצוע שהוא דרך חיים. מוסכניק כן מתנתק מהפטיש אויר או מהג'ק ליפטים כשהוא נועל מאחוריו את דלת המוסך, אבל מי שמתעסק בהאקינג לא מתנתק מהעולם הזה ברגע שהוא מכבה את המחשב או מנתק את ה-RJ45 מה-Port בקיר. הביטים ממשיכים לזרום בדם גם אם אין חשמל בכבל, והם ימשיכו לזרום גם כשהוא יזמין פיצה, יתקלח, יוציא את הילדה מהגן או ילך למוסך. לטוב ולרע.
ומה אפשר להגיד? בחרנו מקצוע לא פשוט... אבטחת מידע, זה אולי הנושא הכי דינמי שיש... כל הזמן אלה פורצים לאלה, אלה מפתחים טכנולוגיות אבטחה חדשות ואלה מצליחים לעקוף אותן, אלה מגלים אותם, מפתחים טכנולוגיות חדשות ואלה שוב פעם מוצאים דרכים לעקוף אותן. ומילא היה מדובר בשתי קבוצות, אבל נראה שמדובר במאות אלפים ואפילו יותר... ובנוסף, לא נראה שיש לזה סוף, לא לכאן ולא לכאן. ההרגשה הכללית היא, שכמו בכל עניין אחר, גם כאן ה-Bad Guys יהיו תמיד מספר צעדים לפני החבר'ה שתפקידם להגן.
קיימות סיבות רבות למה תמיד הצד התוקף יהיה מספר צעדים קדימה מהצד המגן. הצד המגן אמור להגביה ולתחזק על בסיס שעתי את כלל החומות מסביב לעיר, לדאוג שבכל העמדות, ה-Services שרצים יהיו תמיד מעודכנים, ולדאוג לעירנותם של כלל השומרים, בכל הפורטים, עשרים-וארבע-שבע. עליהם לוודא שאותם השומרים תמיד יהיו up-to-date לכל האירועים האחרונים ויודעים לזהות בצורה חד משמעית את כל האיומים על העיר, וכמובן - אסור להם להתבלבל חס וחלילה עם עוברי אורח תמימים (כבר ראינו מקרים שבהם חברות אנטי-וירוס זיהו בלי כוונה, ומחקו, חלקים ממערכת ההפעלה, אירוע לא נעים במיוחד).
ולעומתם, החבר'ה התוקפים צריכים לעבוד הרבה פחות קשה. הם לא צריכים לתקוף את כל השומרים בכלל החזיתות בכל שעות היום. הם צריכים לבחור יעד, לאסוף עליו מידע (וגם כאן לא חובה להתחיל ללכלך את הלוגים של היעד, עולם ה-Passive Reconnaissance Techniques הוא לא קטן, מאמר מעולה בנושא, וגם כאן), ולאחר מכן, לאתר את הנקודה החלשה ביותר באותה חומה, את אותה עמדה מרוחקת ומבודדת שהעדכונים בה תמיד מגיעים מאוחר אם בכלל, והשומרים בה תמיד עייפים ומריצים גרסאות ישנות. הם יכולים להרים מודל של אותה עמדה, להתאמן עליה, לכתוב Tailor-made Shellcodes הכי שקטים והכי יעילים ורק בסוף, לבחור את שעת הכושר, שבה התוקפים הכי עירניים, והשומרים באמצע החלום השביעי ולתקוף.
אני לרגע לא אומר שכל ילד בן 13 הוא האיום המרכזי של רשת הארגון שלכם (למרות שגם מקרים כאלה ראינו, ולא פעם), אבל אני בהחלט אומר שהתפקיד של ראש מערך אבטחת המידע בארגון X הוא בלתי אפשרי בהגדרה. ושבהגדרה, החבר'ה שתפקידם להגן יהיו תמיד בעמדת נחיתות.
שלא תראו לרגע את השורות האלה כתלונה למקצוע, או חס וחלילה, כלפי אלוהי ההאקינג. לא רק שאני סבור שאין בשוק מקצוע מעניין יותר, מספק יותר או מאתגר יותר, אני גם סבור שרוב המעלות הטובות שלו נובעות ממה שכתבתי בשורות האחרונות.
אחרי ההקדמה הנ"ל, ולפי שנגיע לתוכן הגיליון, ברצוננו להגיד תודה רבה לכל מי שבזכותו הגיליון הזה פורסם החודש: תודה רבה לסשה גולדשטיין, תודה רבה ליורי סלובודיאניוק, תודה רבה למריוס אהרונוביץ', תודה רבה לעו"ד יהונתן קלינגר. וכמובן, תודה רבה שילה ספר מלר.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
החודש, הגליון כולל את המאמרים הבאים:
- למה מומלץ להקשיב ל-PenTester שלך (או: וקטורי XSS מתקדמים) - (נכתב ע"י אפיק קסטיאל / cp77fk4r):
לכל Penetration Tester יוצא להשתתף בלא מעט ישיבות הנהלה בעקבות דו"חות בדיקה, ולא מעט פעמים עולה הדיון
סביב המתקפה Cross Site Scripting. בדרך כלל במהלך הדיון, הבוחן נאלץ לשכנע את צוות הפיתוח, ראש הצוות שלהם,
לקוח המערכת הנבדקת ולפעמים אפילו את מזמין הבדיקה, למה הוא דירג את הממצא כגבוה. במהלך הדיון עולים טיעונים
שונים ומשונים כנגד המתקפה שרובם נובעים מחוסר הבנה של הצד הנבדק. במאמר הזה, אפיק מציג מספר וקטורי XSS
פחות "קלאסים" על מנת להמחיש את פוטנציאל הנזק האמיתי הקיים ב-XSS לטובת מתן מענה לאותן טענות.
- חילוץ ופענוח פרמטרים של פונקציות המשתמשות ב-x64 Calling Convention - (נכתב ע"י סשה גולשטיין):
במאמר זה בוחן סשה את נושא ה-Calling Convention (מוסכמת קריאה) למערכות מבוססות 64 ביט, ומראה כיצד
ניתן לחלץ פרמטרים של פונקציות המשתמשות במוסכמה זו (ב-Windows). המקרים שבהם יש צורך בחילוץ ידני כזה
של פרמטרים רבים, וביניהם ניתוח דאמפים, הנדסה הפוכה, ופענוח שגיאות כאשר המחסנית נדרסה בטעות בגלל באג
בתוכנית או הושחתה בכוונה על ידי תוקף.
- פיצול מידע בשירותי ענן - (נכתב ע"י מריוס אהרונוביץ'):
השימוש בשירותי מחשוב בענן (cloud computing) מתרחב בשנים האחרונות באופן מהיר. השירותים מספקים יכולת
גידול, דינמיות וצמצום עלויות הטמעה ותפעול IT של ארגונים. יחד עם זאת, שירותים אלו יוצרים אתגרים לא פשוטים
בנושא חיסיון וזמינות המידע, כאשר ספק השירות הינו האחראי הבלעדי לניהול תשתיות המחשוב ואבטחת המידע.
השימוש בשירותי מחשוב בענן (cloud computing) מתרחב בשנים האחרונות באופן מהיר. השירותים מספקים יכולת
גידול, דינמיות וצמצום עלויות הטמעה ותפעול IT של ארגונים. יחד עם זאת, שירותים אלו יוצרים אתגרים לא פשוטים בנושא
חיסיון וזמינות המידע, כאשר ספק השירות הינו האחראי הבלעדי לניהול תשתיות המחשוב ואבטחת המידע. במאמר זה,
מציג מריוס טכניקה שנועדה לשמור את חיסיון המידע גם בעולם הענן, ע"י פיצולו.
- מתקפות DDoS - איך מתכוננים ליום הדין? - (נכתב ע"י יורי סלובודיאניוק):
במהלך השנים האחרונות, אנו עדים לכך כי התקפות Distributed Denial of Service (DDoS) תופסות מקום הולך וגדל
בקרב התקשורת ובקרב קהילות אבטחת מידע בעולם. מגמה זו מתקיימת משתי סיבות עיקריות: הראשונה הינה ההיקף
והכמות של התקפות מסוג זה. השניה הינה הנזק הכספי או התדמיתי הנגרם לנתקפים. ככל שעובר הזמן הארגונים
המבצעים תקיפות אלו מפתחים עוד ועוד דרכים שיטות ודרכים להגדיל את משאביהם וכך מתקפותיהם הופכות לאיכותיות
יותר ויותר - נתון המגדיל את היקף הביצוע ואת הנזק הנגרם ממנו. במאמר זה, יורי מציג דרכים ומידע שיעזור לכם, בתור
אנשים פרטיים ובתור ארגון עסקי, להגן על עסק שלכם ולצמצם נזקים.
- פרסום חולשות - איך עושים את זה נכון? - (נכתב ע"י עו"ד יהונתן קלינגר):
במאמר זה מציג עו"ד יהונתן קלינגר, את הדרך האתית והבטוחה לפרסם פרצת אבטחה שמצאתם, מבלי לגרום לכם לסיים
את התהליך בכלא או בחובות קשים. המאמר מבוסס על מספר טקסטים שחשוב שתקראו, בינהם המדריך של ה-EFF על
נושאים שקשורים לחשיפת פרצות אבטחה, המדיניות של CERT בכל הנוגע לגילוי פרצות אבטחה, המדיניות של מיקרוסופט,
ועוד. במהלך המאמר יהונתן מתייחס לנקודות כגון מתי אפשר ומתי אי אפשר לפרסם חולשה, כיצד לדווח עליה, פרק הזמן
שיש לחכות בין שלבים בתהליך וכו'.
תגובות על 'הגליון הארבעים ושלושה של Digital Whisper שוחרר!':
#1 |
rtaui (אורח): ראשון 30.06.2013 23:31:26 | |
#2 |
שמיל (אורח): איזה דברי פתיחה! תודה רבה על הגיליון! לפי רשימת הנושאים - נראה שהולך להיות גיליון איכותי ביותר! תודה רבה לכל הכותבים! 30.06.2013 23:39:36 | |
#3 |
עידוק (אורח): הלינקים לכתבות לא עובדים. 01.07.2013 02:21:08 | |
#4 |
Dw4rf (אורח): הלינקים עובדים אצלי... נושאים מצוינים! מאמרים איכותיים מאוד! תודה רבה! 01.07.2013 06:45:57 | |
#5 |
HFM (אורח): אפיק... רואים שכותב את זה חייל במיל' - וד"א אומרים את זה גם ב"תורת המלחמה"(ייתרון התוקף) וגם במילואים ("שתדעו תמיד שאתם אנשים והכל אבל תמיד כשיצתרכו אתכם אתם חיילים...") אני מציע שתעשה ניוזלטר עם "משפטי עידוד על הבוקר" - או "פסיכולוגיית חיים בשקל" ;) אבל בדוגרי - יפה - ופואטי משהוא. נ.ב. יש כמה כתבות שנראות ממש מעניינות. 01.07.2013 06:50:58 | |
#6 |
Z (אורח): תודה רבה! עד 1337 גיליונות! דברי פתיחה פצצה! תודה רבה לכל מי שכתב ועזר להוציא את הגיליון! 01.07.2013 07:30:10 | |
#7 |
Dor (אורח): תותחים !!! תודה רבה לכל מי שעסק בגיליון . 02.07.2013 00:32:28 | |
#8 |
דייב (אורח): תודה רבה על הגליון! יש לי שאלה בנוגע למאמר הראשון: כשאני טוען עמוד בIFrame הדפדפן לא אמור למנוע ממני לגשת לתוכן שלו על מנת להגן עלי מפני גניבה של ערכים על ידי העמוד המארח? משהו בסיגנון של SOP? איך הKeyLogger בJS, מצליח לגשת להקשות המקלדת שנשלחות לIFrame? 02.07.2013 07:15:16 | |
#9 |
cp77fk4r: אתה צודק במידה ושני המשאבים היו נטענים משני דומיינים שונים, אבל כאן הם נטענים מאותו הדומיין (הסקריפט שלך רץ בעזרת XSS בתוך משאב מאותו הדומיין שממנו אתה מעוניין לגנוב את הקשות המקלדת). ככה שאין כאן שום בעיה. 02.07.2013 19:02:53 | |
#10 |
שלומי (אורח): גיליון מעניין מאוד! תודה רבה! 04.07.2013 06:39:47 | |
#11 |
כסיף דקל (אורח): היי, אחלה מאמרים! לגבי ה DoS לדעתי יש עוד כמה סוגים .. יש גם סוגי client dos כמו למשל : https://fd.the-wildcat.de/apache_e36a9cf46c.php (בלינק מראים שימוש בזה על מנת לעקוף את ה HTTPOnly אבל ניתן להשתמש גם כדי למנוע שירות - עד שהיוזר לא ימחק קוקיז הוא לא יצליח לגשת לאתר ולא כל משתמש תמים יודע לעשות את זה וגם לא ידע שצריך כי כל מה שמתקבל הוא 400).. תודה על המאמר וההשקעה לכולם ! 04.07.2013 12:13:20 | |
#12 |
כסיף דקל (אורח): הערה לגבי התגובה האחרונה שלי: על מנת לנצל את מה שציינתי בשביל למנוע שירות צריך להזריק קוד צד לקוח (באמצעות XSS או דרך אחרת) על מנת "להזריק" עוגיות לדפדפן של הלקוח. 04.07.2013 12:14:42 | |
#13 |
דייב (אורח): תודה רבה על התשובה המפורטת! 05.07.2013 15:14:28 | |
#14 |
דייב (אורח): כסיף, בתחילת המאמר יורי כתב שהוא מתכוון לגעת אך ורק בפתרונות התשתיתיים ואולי בהמשך הוא יוציא מאמר על פתרונות אפליקטיביים, במקרה שלך נראה שפתרון אפליקטיבי יהיה יעיל יותר ממשהו תשתיתי. 06.07.2013 23:03:03 | |
#15 |
אלי (אורח): גיליון מאד מעניין תודה אהבתי את המאמר על XSS זה פתח לי את הראש לחשוב על זה בכיוון שונה לגמרי (גם אני תמיד לא ייחסתי לזה יותר מדי חשיבות) 07.07.2013 11:15:34 | |
#16 |
דותן (אורח): תודה רבה! מאמרים מעולים! נהנתי לקרוא אותם אחד אחד. תמשיכו עם הכבוד הטובה! 08.07.2013 19:46:36 | |
#17 |
דותן (אורח): עם העבודה הטובה* 08.07.2013 19:48:01 | |
#18 |
זיו (אורח): תודה רבה! תמשיכו ככה! מאמרים מצוינים, פשוט אין מילים... 18.07.2013 00:22:47 | |
#19 |
אורן (אורח): כתבות מעניינות ומאוד אינפורמטיביות. עם זאת, אתם חייבם לתקן שגיאות כתיב בסיסיות לפני שאתם מעלים מאמרים. 31.07.2013 17:31:18 | |
#20 |
cp77fk4r: תודה רבה אורן! אנחנו נשמח מאוד אם תצביע על השגיאות שמצאת (וברור לי שיש הרבה) - על מנת שנוכל לתקן אותן. אין לנו את משאבי העריכה אותם היינו רוצים, אך במסגרת מה שיש לנו - אנו עושים את המירב. ברור לי שבהרבה מקרים זה לא מספיק, אך כרגע זה מה שיש לנו להציע (כל העוסקים בפרויקט עושים זאת במקביל לעבודה במשרה מלאה פלוס וכו'). ושוב, תודה רבה! 31.07.2013 22:19:14 |
הוסף את תגובתך: