הגליון החמישים ותשעה של Digital Whisper שוחרר!
ברוכים הבאים לגיליון ה-59 של DigitalWhisper!
אח, זה פשוט לא נגמר. נראה שכל חודש-חודשיים חברת אנטי-וירוס אחרת מפרסמת אודות "הוירוס החזק ביותר שהתגלה עד כה", לפני מספר חודשים שמענו מפי חברת Symantec אודות Regin - "כלי הריגל המורכב ביותר שזוהה אי-פעם" והחודש נראה כי תורה של חברה Kaspersky לצאת עם פרסומים בסיגנון דומה, הפעם אודות ה-"Equation Group". מעבר להמלצה לקרוא את הדו"חות הטכניים והמעניינים (מאוד) שפורסמו ב-SecureList אני באמת לא מבין את הרעש מסביב העניין. אם הרעש היה בעקבות הטכנולוגיה - הייתי מצטרף לדיונים, אבל ברב המקרים הרעש הוא מסביב ל"איום" שאותו וירוס יוצר.
תמיד בשבוע-שבועיים לאחר פרסומים כאלה, כל אתרי החדשות קוראים לעדכן את כל המערכות, השרתים, האנטי-וירוסים וכו', אבל איכשהו ההיגיון שלי אומר לי שזאת בדיחה, שאם במערכת של שרת שאני מנהל התגלתה איזו חולשה שמאפשרת לגורם זר להריץ עליה קוד, כל רשתות הבוטנטים יגיעו אלי הרבה יותר מהר מאשר Regin או כל וירוס אחרי בסיגנון. לפי איך שאני רואה את זה, בתור אזרח מהשורה, כל עוד אני לא מתכוון לייצר פצצת אטום בשנה-שנתיים הקרובות, נראה שלא הם האיום היומיומי שלי, אלא וירוסים כמו Zeus, Carberp או שפעת.
דוגמא טובה לחוסר ההבנה של האיום האמיתי היא הרעש והפרסום שנעשה בעקבות כל הפרסומים האלה. כמעט באותו הזמן ש-Kaspersky הוציאו את White Papers שלהם אודות ה-"Equation Group", הם פרסמו White Paper אודות קמפיין APT בשם "Carbanak": קמפיין שבגינו נשדדו מספר לא קטן של בנקים, נגנבו מעל לחצי מיליארד דולר ונרשמו הפסדים של יותר ממליארד דולר. יש לא מעט פרסומים אודות הקמפיין הנ"ל בתקשורת הישראלית (הרי אין שום סיכוי שאתרי החדשות בארץ יפספו כזה סיפור חם אודות אירוע סייבר), אך ההתייחסות לכך היא יותר כאל "עוד סיפור מעניין" ואין הבנה כי זה האיום היומיומי שלנו וניתנים פחות צעדים קונקרטיים כיצד ניתן להמנע מכך. זה נכון שכשמדובר במתווה העבודה של Carbanak למשתמש הקצה אין יותר מדי מה לעשות, אך הרעיון הוא אותו רעיון.
לפי איך שאני מבין את המפה (ותרגישו חופשי לא להסכים איתי), בתור אזרח פשוט האיום היומיומי שלי הוא לא שה-NSA יעקבו אחרי אלא וירוסים "פשוטים" יותר, עם מניעים "אזרחיים" יותר, כגון וירוסים מסוג ה-Ransomwhare שינסו לנעול לי את המחשב עד שלא אשלם להם, או כל ה-Bot-Net-ים שהמטרה שלהם היא לגנוב כרטיסי אשראי או כאלה שמבצעים מתקפות MITB ומנסים לרוקן לנו את חשבונות הבנק מבלי שנרגיש.
וירוסים בסיגנון של Regin או Stuxnet מאוד מעניינים ברמת הטכנולוגיה, אך ממש לא ברמת האיום על הרשת הפרטית שלי בבית או על הרשת הארגונית שלי (שוב, כל עוד אני לא מעשיר אורניום בחצר האחורית). נראה שלא הרבה אנשים מבינים את זה, ואולי זאת הסיבה שעדיין ניתן לראות היום מחשבים נגועים ב-Conficker.
ולפני שנגיע לחלק הבאמת מעניין של הגיליון, נרצה להגיד תודה רבה לחבר'ה שבזכותם הגיליון ה-59 פורסם החודש! חבר'ה שהשקיעו מזמנם הפרטי לטובת הקהילה. תודה רבה ליובל סיני, תודה רבה לגל תא שמע ותודה רבה ל-d4d!
וכמובן, תודה רבה לעורכת שלנו: שילה ספרה מלר, שאין לי מושג איך היא עדיין מצליחה להחזיק מעמד איתנו :)
החודש, הגליון כולל את המאמרים הבאים:
- מבוא לשימוש ביכולות Machine Learning בפתרונות אבטחת מידע וסייבר (מאת יובל סיני)
מזה תקופה ארוכה ארגונים נאלצים להתמודד עם כמויות גדלות והולכות של מידע, דבר הכולל מידע המאוחסן בפורמטים
שונים ומגוונים, אשר מקורו בערוצים רבים. לצד סוגיות עסקיות ואתגרים עסקיים טהורים, איתור מידע רלוונטי מהווה נתבך
חשוב בנושא התמודדות עם סוגיות אבטחת מידע וסייבר כדוגמת איתור חריגות בהתנהגות משתמשים ואו מחשבים.
במאמר זה, מציג יובל שימושים שונים ליכולות Machine Lerning לטובת התמודדות עם בעיה זו.
- The Husky Code (מאת גל תא שמע)
במאמר זה מציג גל את הפרויקט "The Huskey Code". מטרת הפרוייקט הינה ליצור קוד javascript המורכב מקבוצה
מוגבלת של אותיות. כך שעל הקוד להיות בנוי באופן שיוכל להתכב בצורות, ולא יחייב מבנה פיזי ספציפי. במהלך
המאמר מציג גל את השלבים ליצירת הקוד, את המחשבה מאחוריו ואת תהליך הבניה עצמו.
- חלק ג' - Hacking Games For Fun And (mostly) Profit (מאת d4d)
מאמר זה הינו החלק השלישי של סדרת המאמרים "Hacking Games For Fun and Profit", שבה מציג d4d תהליך מורכב
שמטרתו יצירת שרת פרטי למשחק Worms World Party. התהליך כולל Reversing ומחקר פרוטוקולים וכן לא מעט פיתוח.
בחלק זה, מציג d4d את שלבי יצירת ה-Back-End של הפרויקט.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
תגובות על 'הגליון החמישים ותשעה של Digital Whisper שוחרר!':
#1 |
Hfm (אורח): שני!!! 28.02.2015 20:45:21 | |
#2 |
שמיל (אורח): תודה רבה! נושאים מעניינים מאוד. אני רץ להוריד! 28.02.2015 20:54:29 | |
#3 |
רועי (אורח): שלום גל, נתקלתי בעבר בחידה שהצגת בסוף המאמר (שאגב, היה פשוט מרתק) ולא הצלחתי לפתור. אשמח אם תוכל להציג פתרון. 28.02.2015 21:49:08 | |
#4 |
דויד (אורח): אין סיבה להפריד בין איום שהוא ממשלתי (להלן - equation), לבין איום טריוויאלי אחר (להלן Carberp ושות'), כל אחד מהם, כמו שאמרת, מזיק. המאמר על Husky Code גאוני, אבל אני אצטרך לקרוא אותו לפחות פעמיים בשביל להבין את הטריקים שנעשו שם עם JS, האם זה פועל על מנוע JS מיוחד או שיעבוד גם על IE / FF / Chrome / Safari / Opera ? 28.02.2015 23:13:29 | |
#5 |
m3n (אורח): לרועי, תשובה לחידה כאן: https://pastebin.com/Nv15GdK6 01.03.2015 01:57:21 | |
#6 |
רועי (אורח): תודה רבה! 01.03.2015 07:53:30 | |
#7 |
גל (אורח): אני שמח שאהבתם את המאמר =] לדויד, בדקתי את הקוד על כרום אבל הוא אמור לעבוד על כל מנוע js. לרועי, הנה קישור לתמונה נחמדה בנושא https://i.stack.imgur.com/mmvud.png פה יש פוסט נחמד המסביר קצת על שיוויון בjs: https://javascriptweblog.wordpress.com/2011/02/07/truth-equality-and-javascript 01.03.2015 22:21:49 | |
#8 |
רועי (אורח): תודה רבה, לא הכרתי את זה :) 02.03.2015 16:47:36 | |
#9 |
קספר (אורח): אפיק, אני חייב שלא להסכים עם מספר דברים: 1) Regin גם הוא של קאספרסקי 2) היה הרבה רעש סביב הדרך בה הקבוצה מצאה את דרכה לתוך הארד דרייבים חדשים מהניילון. כמו כן יש הרבה דברים שהדו"ח לא מספר ולצערי לא אוכל לשתף. 3) Carbanak, שוב אתה טועה ומטעה חבר יקר. יש הרבה מתחת למכסה מנוע שהדו"חות לא מספרים. מתחת לפני השטח זורמים ויזרמו עדכונים לגבי אותה התקפה. אל תשכח שהרבה גופים גינו את הוירוס וטענו שכבר ידעו עליו מספר חודשים. חלקם טענו שאין טרייסים באמריקות למרות שזה שקר וכזב. בכל מקרה, יאללה לסעיף הבא (: 4) לא נעים לי שום לסתור, אבל randsomware הוא אחרון דאגותיך. תעשה גיבוי או שתרכוש קאספרסקי; יש כבר לא מעט פתרונות בילט אין למגוון לא קטן של אותה נוזקה מרגיזה. תאר לך קמפיין איסוף מידע כמו Desert Falcon. אני אתן לך רק רמז אחד - Je Suis Charlie. זה צריך להפחיד אותך מאוד - הדברים שמחוץ למחשב. חוצמזה אחלה מאמרים וכמובן עבודה ראויה להערכה! תודה והמשך שבוע מקסים עידו 03.03.2015 21:56:42 | |
#10 |
cp77fk4r: היי עידו, איכשהו, עושה רושם שלא קראת לעומק את מה שכתבתי וסתם מיהרת להגיב. חבל :) 1 - אני לא יודע למה אתה מתכוון כשאתה אומר ״Regin הוא גם של קספרסקי״, הדו״ח של קספרסקי והדו״ח של סינמטק יצא באותו היום. וכן, קראתי את הדו״חות וראיתי ממתי כל חברת אנטי-וירוס החלה לחקור את האירוע, ולא, אני ממש לא מתכוון לשחק במשחק של למי-יש-דו״ח-גדול או ״דיבס״ ביניהם, זה לא מעניין אותי מספיק. 2 - שוב, תקרא את מה שכתבתי, אני לא מדבר על חברות אנטי-וירוס, אני מדבר על אתרי חדשות פופולארים. אמרתי שבכל מה שנוגע לטכנולוגיה אני ממליץ בחום (וזה איפה שהדו״חות של חברות האנטי-וירוס נכנסים, לא אתרי החדשות). 3 - שוב, נסה לקרוא שנית... קבוצה של כמה אנשים עם אג׳נדה פוליטית ברורה ויכולות האקינג הרבה פחות ברורות ומאוד שניות במחלוקת, ממש לא מהווה את האיום היום-יומי שלנו (ולא רק בתור ישראלים) בתור כלל משתמשי האינטרנט. 04.03.2015 23:33:44 |
הוסף את תגובתך: