הגליון השישים ותשעה של Digital Whisper שוחרר!
ברוכים הבאים לגליון ה-69, גליון פברואר 2016! מה שלומכם? אנחנו מקווים שהכל טוב.
אחד הסיפורים היותר מעניינים שיצא לי לקרוא החודש פורסם ב-Securelist - הבלוג של חברת האנטיוירוס קספרסקי. הסיפור פורסם תחת הכותרת "The hunt for a Microsoft Silverlight 0-day".
בגדול מאוד, וממש בקצרה, מדובר במחקר מעניין אשר במסגרתו, שני חוקרים מחברת קספרסקי הצליחו למשוך קצה-חוט שהגיע מאחד המיילים שפורסמו בעקבות הפריצה לחברת HackingTeam האיטלקית, ובעזרתו הצליחו לאתר ולהציף שימוש באקספלויט ל Silverlight-של חברת מיקרוסופט, שנחשב אז רק בגדר שמועה או 0day, כנגד אחד מלקוחותיהם.
הסיפור לדעתי הוא לא פחות ממדהים, כי (לפחות על פי הפוסט שהחברה פרסמה בבלוג שלה) הם הצליחו לאתר את שימוש בחולשה In The Wild בעזרת הרכבת חוקי YARA שהתבססו עלMetadata שנאסף מסיגנון הכתיבה של המפתח. וזאת בעזרת איסוף -PoCים שהם מצאו במאגרי אקספלויטים פומביים (במקרה הנ"ל - (PacketStorm לחולשות אחרות שפורסמו ע"י אותו חוקר חולשות.
מעבר להיבט הטכנולוגי ולשימוש ביכולות לא טרוויאליות שיש לחברה (KSN, כמעט אינסוף אינסטנסים של הקליינט שלה ברחבי העולם, אולי רשת Honeypots שהיא מפזרת ובטח עוד), נעשה במקרה הנ"ל מחקר יפה מאוד על אותו חוקר, ושני קצוות החוט היחידים שהיו לאותם חוקרים היו: הטכנולוגיה שבה קיימת החולשה שמו של חוקר החולשות.
עכשיו, ללא ספק - מדובר בסיפור מדהים ובחבר'ה שהם לא פחות ממוכשרים ביותר. איתור החולשה הנ"ל וחשיפתה ללא ספק עשה את האינטרנט למקום בטוח יותר. אך מצד שני, הסיפור הזה גורם לי לחשוב על העניין הבא: כמות הכוח שיש בידי ארגון כמו קספרסקי (שהמטרה שלו בסופו של דבר היא אחת: להרוויח עוד כסף), היא כמעט אינסופית. אני מאוד לא בעד רגולציות, ובדרך כלל התערבות של כל מני גופים ביורוקרטיים (שברוב המקרים - כלל לא טכנולוגיים) בכל מני חברות בתעשייה היא הדרך לאסון. אבל בתור משתמש פרטי הכח הזה שיש לחברה כזאת קצת מפחיד אותי.
כשמדובר בכסף תמיד יהיה מישהו עם אינטרסים שהם לאו דווקא האינטרסים שלי (בתור משתמש פרטי), ועם תזרים מזומנים בלתי נגמר שיוכל לעזור לו לממש אינטרסים אלו. אני לא טוען כלום על חברה כזו או אחרת - אך אני כן טוען שכשהאינטרס הוא כלכלי, וכשהרבה כסף מונח על השולחן - האתיקה עלולה לעיתים להדחק לצד.
קספרסקי הם ללא ספק אחת החברות המוכשרות בתחום, אני קורא קבוע בבלוג שלהם ונהנה מכל פוסט ופוסט, והסיפור הנ"ל רק מחזק את הטענה הזאת, הם ככל הנראה טובים מאוד במה שהם עושים. אך עם זאת אני ככל הנראה אשאר רק קורא בבלוג ואעדיף להמשיך להסתפק בגרסא החינמית של Avast...
וכמובן, לפני שנעבור לסיבה שבגללה הביטים האלה עשו דרכם אל כרטיס הרשת שלכם - נרצה להגיד תודה רבה לכל מי שהשקיע מזמנו ובזכותו אתם קוראים שורות אלו: תודה רבה לחי מזרחי, תודה רבה לרזיאל בקר, תודה רבה לישראל (Sro) חורז'בסקי ותודה רבה ל-d4d.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.
החודש, הגליון כולל את המאמרים הבאים:
- טכניקות לזיהוי וירטואליזציה בפוגענים - Anti Virtualization (מאת חי מזרחי)
במאמר זה מציג חי מספר טכניקות בהן וירוסים, תולעים ושאר מזיקים עושים שימוש על מנת לענות על השאלה "האם אנו
רצים תחת סביבה וירטואלית?", שזאת תת-שאלה בתוך שאלה גדולה יותר: "האם אנחנו תחת חקירה?" - יש לא מעט דרכים
לענות על שאלה זו, ובדרך כלל, אחת מהן היא לענות על אותה תת-שאלה. הצגת הטכניקות מלוות מלבד בהסבר עליהן
בהצגת קוד אשר מממש את אותה הבדיקה.
- נא להכיר: האיש שבאמצע (מאת רזיאל בקר)
במאמר זה מציג רזיאל את הפרוטוקול ARP, מה תפקידו וכיצד הוא בא לידי ביטוי בעת הקמת תקשורת בין רכיבי הרשת
ב-LAN, בנוסף, מציג רזיאל את אחת מחולשותיו וכיצד ניתן לנצלה לטובת ביצוע מתקפת Man In The Middle. התקיפה
מוצגת בעזרת פיתוח כלי פייתון קטן שתפקידו לבצעה. ובסוף - רזיאל סוקר מספר טכניקות אשר באמצעותן ניתן לזהות
ולהתריע אודות מתקפות אלו בעת התרחשותן ברשת.
- בעיות אבטחה נפוצות במימוש מנגנון Stateless (מאת ישראל חורז'בסקי / Sro)
במאמר זה סוקר ישראל מספר טעויות נפוצות של מפתחים אשר עושים שימוש במנגנון זה, טעויות כגון: הצפנה במקום
חתימה, חוסר שימוש במנגנון Expiration, חשיפת המערכת למתקפות DoS/DDoS, שימוש בהצפנות סימטריות במקום
בהצפנות א-סימטריות ועוד.
- ניתוח ה-CryptoWall3 - פיסת קוד ששווה 300 מליון דולר (מאת d4d)
במאמר זה מציג d4d ניתוח שעשה לאחרונה ל-Malware בשם CryptoWall3. מדובר ב-Malware מסוג Ransomware
שמטרתו הינה להצפין את כלל הקבצים על המחשב במטרה לדרוש מהמשתמש כופר בעבור מפתח ההצפנה. במהלך
הניתוח, מציג d4d את טכניקות ההגנה בהן עשו שימוש מפתחי הוירוס, כיצד ניתן לעקופן לטובת הקלה על ביצוע המחקר,
וכן כיצד פועל הוירוס בעת עבודתו.
תגובות על 'הגליון השישים ותשעה של Digital Whisper שוחרר!':
#1 |
Ender: גיליון מעולה :) 01.02.2016 01:09:26 | |
#2 |
חוקר (אורח): בא לי לקרוא הכל! כל הכבוד 01.02.2016 06:35:30 | |
#3 |
אלי (אורח): כמו תמיד מאמרים מעולים, כל הכבוד לכם. 01.02.2016 06:59:02 | |
#4 |
שמיל (אורח): תודה רבה! 01.02.2016 07:28:43 | |
#5 |
Sky (אורח): פצצה, תודה :) 01.02.2016 10:59:02 | |
#6 |
אלי (אורח): הערה חשובה : במאמר טכניקות לזיהוי וירטואליזציה בפוגענים - Anti Virtualization מוצגת הטכניקה magic number ובדיקה ע"י IN asm instruction חשוב לציין שבדיקה זאת תעבוד רק במידה והתוכנה רצה ב RING 0 (כמובן זה תלותי במערכת הפעלה מה היא הגדירה ב IOPL FLAG, שבדר"כ מוגדר ל 0 או 1) כל נסיון להריץ את זה ב RING גבוה מ -0 (או ממה שצויין ב IOPL) לא יניב שום תוצאה ומערכת ההפעלה תסגור את התוכנה. 01.02.2016 11:15:38 | |
#7 |
d4d (אורח): לגבי הפקודה in ב VMWare היא תתבצע עם ה magic value הזה ברינג 3 זה משו מיוחד שרק VM יודע להריץ. הטכניקה היא שברגע שהפקודה תרוץ על מחשב רגיל יהיה exception שבמידה ומגיעים אליו זה אומר שזה לא בתוך ה VM 01.02.2016 12:07:42 | |
#8 |
אלי (אורח): ^ מעניין, בדקתי וזה נכון. 01.02.2016 21:29:48 | |
#9 |
B1nary (אורח): תודה רבה! גליון מעולה! 05.02.2016 00:04:41 | |
#10 |
idanFic (אורח): אתם פשוט אדירים! נהנה לקרוא כל פעם מחדש... 06.02.2016 16:16:47 | |
#11 |
whoami (אורח): קראתי בינתיים רק את המתקפה MITM כול הכבוד רז . מאמר יפה ומקצועי. אקרא בקרוב את הכול. כול הכבוד אנשים. 07.02.2016 14:42:01 | |
#12 |
nati (אורח): תודה רבה! מעניין מאוד! 18.02.2016 11:32:26 | |
#13 |
ה' מלך ה' מלך ה' ימלוך לעולם ועד! (אורח): תודה רבה גבר אוהב אותך מאוד.! 20.02.2016 22:18:03 |
הוסף את תגובתך: