הגליון החמישים וחמישה של Digital Whisper שוחרר!
ברוכים הבאים לגיליון ה-55! הגיליון של חודש נובמבר!
החודש (ובכלל הזמן האחרון), היו לא מעט אירועים מעניינים בעולם אבטחת המידע, אם מדובר ב-CVE-2011-4862 (החולשה ב-Ironport WSA של סיסקו), אם זה R7-2014-17 (הממצאים של המחקר אודות החולשות ב-NAT-PMP כחלק מה-Project Sonar של Rapid7), אם זה חשיפת ה-MITM של הסינים עבור ה-iCloud של חברת Apple, אם זאת CVE-2014-4114 (חולשת ה-"SandWorm" שהתגלתה לאחרונה ב-OLE של מיקרוסופט), אם זאת CVE-2014-3566 (החולשה "POODLE" שהתגלתה במימושים השונים של SSL), אם אלו מתקפות ה-DDoS השונות שהתגלו דרך SSDP Reflection שהגיעו אף אל מעל ל-120 GBps!), אם זה אירוע ריקון הכספומטים באירופה בעזרת התולעת Tyupkin שחברת Kaspersky גילתה, ואם זה עוד לא מעט אירועי אבטחת מידע שיצא לנו לשמוע עליהם החודש.
תמיד כשנראה שאי-אפשר להפתיע אותנו וש"כבר שמענו על הכל" - צצה לה איזו ידיעה שמצליחה להפיל אותנו מהרגליים, אם זאת ה-HeartBleed שהפתיעה אותנו בחודש אפריל, ואז לאחריה חולשת ה-ShellShock שהפתיעה אותנו בספטמבר, ועכשיו - POODLE, שאחרי המתקפות BEAST ,CRIME ,BREACH ו-LUCKY13 חשבנו שלא נשמע על חולשות ב-SSL בזמן הקרוב...
אך עם זאת, נראה כי עדיין ישנם ארגונים שלא לומדים לקח, ולמרות שאין שום סיבה לחשוב שעולם אבטחת המידע "יעמוד במקומו", נראה שזאת עדיין נקודת ההנחה שלהם, ארגונים כאלה נפרצים על בסיס יומי, ומידע פרטי ומסווג מתפרסם באינטרנט ופוגע בהם, בלקוחותיהם ולפעמים אף מעבר.
כיצד ניתן למנוע זאת? אני לא בטוח עד כמה זה אפשרי. אם הארגון שלך הוצב כמטרה - כנראה שהוא יפרץ, הכל תלוי בכמות המשאבים שהתוקפים מעוניינים להשקיע. וכאן בדיוק אפשר לפעול: אם נצליח להגיע למצב בו לתוקפים לא יהיה שווה לתקוף אותנו, כי העלות של התקיפה תגדל מעל התועלת שהם יקבלו - כנראה שניצחנו, והם יעברו לארגון שפשוט יותר לתקוף.
איך עושים את זה? זאת כבר שאלה אחרת, זאת כבר שאלה שקצרה היריעה מלהכיל את תשובתה, אבל אם תשאלו אותי, ההתחלה של התשובה שלה מתחילה במילה מודעות.
וכמובן, לפני שנגש לעיקר הדברים, נרצה להגיד תודה רבה ל-d4d, תודה רבה ל-CISA Dragon, תודה רבה לשחר קורוט (Hutch) ותודה רבה לשילה ספרה מלר שבזכותם אתם קוראים שורות אלו.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
החודש, הגליון כולל את המאמרים הבאים:
- Hacking Games For Fun And (mostly) Profit - חלק ב' (מאת d4d)
מאמר זה עוסק בניתוח הפרוטוקול וההצפנה של המשחק Worms World Party, בחלק הקודם של מאמר זה (חלק א'),
הציג d4d את מטרות המחקר, את אופן הקמת סביבה העבודה וכן את תחילתו של המחקר, חלק זה עוסק בתהליך
ההינדוס לאחור לטובת הבנת סוג ההצפנה שבה השתמשו מפתחי המשחק, ניתוח מנגנון האימות לשרת ה-IRC של
המשחק וניתוח ההצפנה של רשימת המשחקים.
- כלכלת סייבר (מאת Dragon CISA)
המאמר מנסה לתאר את הקשיים שבכימות אירועי סייבר למונחי עלות ואת המספרים "שנזרקים" בנושא זה במחקרי שוק,
בהרצאות וכמובן בתקשורת החופשית. במסגרת המאמר ננסה להוכיח כי עלות הנזק לישראל כתוצאה מ-OPISRAEL היתה
זניחה כלכלית אך משמעותית מבחינה תדמיתית. בנוסף יתוארו מספר מחקרים שמנסים להתמודד עם נושא חישוב עלות נזקי
הסייבר. לקינוח, יוצגו פרמטרים אשר צריכים להילקח בחשבון בעת בניית מודל לכימות והבנה של כלכלת סייבר.
- The POODLE Attack (מאת שחר קורוט)
במאמר זה מציג שחר את המתקפה האחרונה שפורסמה חודש שעבר אודות פקוטורות ההצפנה SSL. במאמר מסביר שחר
כיצד החולשה עובדת, ממה היא נגרמת, כיצד המתקפה עובדת, כיצד ניתן לבדוק האם אתם אכן בסיכון וכיצד ניתן להתגונן
מפניה.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
תגובות על 'הגליון החמישים וחמישה של Digital Whisper שוחרר!':
#1 |
Mad dr (אורח): תודה רבה! שבת שלום! 31.10.2014 11:43:01 | |
#2 |
Web (אורח): נהניתי לקרוא, תודה רבה! 31.10.2014 12:41:38 | |
#3 |
שמיל (אורח): WOW!! סוף סוף מאמר המשך של D4d! תבורכו! איזה דרך טובה להתחיל את סוף השבוע.. 31.10.2014 17:36:19 | |
#4 |
שמיל (אורח): בהרבה מהמקומות ההתבטאות של d4d היא ברבים, לדוגמא: "יצרנו אמולטור ב-++C שיודע לדמות את אותה פעולה בדיוק" או "כאשר הבנו שרשימת המשחקים מוצפנת", זה בגלל שאת הפרויקט הזה מבצעים מספר שותפים? צוות? 31.10.2014 18:37:32 | |
#5 |
דן (אורח): תודה רבה! 01.11.2014 02:03:42 | |
#6 |
d4d (אורח): יש כמה סיבות שזה ברבים. - היה מישהו שכתב לי את ההוקים שיאיצו את העבודה (StepS) - וגם כדי לתת לקורא חוויה שהוא חלק מהתהליך 01.11.2014 07:27:34 | |
#7 |
Dw4rf (אורח): תודה רבה! גיליון נהדר! 03.11.2014 05:12:06 | |
#8 |
natinet (אורח): תודה רבה! מעניין מאוד! 07.11.2014 07:25:46 |
הוסף את תגובתך: