הגליון השבעים ותשעה של Digital Whisper שוחרר!
ברוכים הבאים לגליון ה-79 של DigitalWhisper, הגליון הסוגר את הבאפר הציקלי של שנת 2016!
79 זה מספר טוב מאוד לסגור איתו את שנת 2016. גם מספר ראשוני, גם מספר ינושאר, גם מספר שמח, גם השנה בה מיטניק השיג לראשונה גישה לא חוקית לרשת מחשבים, גם השנה ממנה פורסם הראיון של Joe Trip עם Captain Crunch, מסתבר שזאת אפילו השנה בה נולד האנלייזר, קיצר - אחלה מספר.
אם אתם עוקבים אחרינו מספיק זמן, וגם אינם משתייכים לקבוצה של האלה שמדלגים על דברי הפתיחה (מי אתם אותם אנשים שמדלגים על דברי פתיחה?!), אתם בטח כבר מכירים את הפוסטים מסכמי-השנה שלנו: אנחנו נזכרים במספר אירועים חדשותיים מהתחום שפקדו אותנו בשנה החולפת וכותבים מה ניתן ללמוד מהם לקראת השנה הקרובה. זה נחמד, זה חביב, זה מאוד חינוכי, ו... כן... נראה לי שהפעם נדלג על זה, זה כבר מתחיל להיות מגוחך.
למה מתחיל להיות מגוחך? כי לפי איך שזה נראה מהצד, אירועים כמו האירוע שפורסם לאחרונה אצל !Yahoo ובמסגרתו נגנבו כמליארד רשומות מאחד ה-Database-ים המרכזיים שלהם לא עומדים להעלם. ונראה שכמעט כל ארגון מרגיש צורך לחוות על בשרו אירוע כזה כדי להבין שזה כנראה לא יעזור למוניטין שלו. כאילו יש איזו תחרות סמויה של "למי הולכים לגנוב הכי הרבה נתונים בפריצה הקרובה".
להפעם נזכר בצעצועים החדשים שקיבלנו השנה... כן, זה נשמע יותר כיף :). אז הינה סקירה של מספר חולשות מעניינות אשר פורסמו בשנה החולפת:
בקטגוריית "זה למה חשוב לשמור את המידע שלך מוגן" הזוכה השנה היא ExtraBacon - חולשת Remote Code Execution במוצרי ASA ו-PIX של Cisco (פורסמה באוגוסט על ידי TheShadowBrokersמטעם ה-Equation Group). על קצה המזלג: Stack-based buffer overflow בשרת ה-SNMPd של המוצרים. החולשה זכתה אצלנו בתואר זה כי כל מי שעושה פדיחה ל-NSA מקבל מקום של כבוד :)
בקטגוריית "זה למה צריך לתקן Known Issues ולא להשאיר אותם 15 שנה!" הזוכה השנה היא Hot Potato - חולשת Privilege Escalation עם פוטנציאל ל- Remote Code Executionבכל מערכות ההפעלה הנתמכות של Microsoft. פורסמה בינואר השנה ע"י החבר'ה המוכשרים של FoxGloveSecurity. על קצה המזלג: שילוב של NTLM Over SMB over HTTP Relay ושל NBNS Spoofing/Reflection.
בקטגוריית "כשאתם משאילים קוד - תדאגו לעדכן אותו" הזוכה השנה היא Egregious Blunder - חולשת Remote Code Execution / Authentication Bypass על מוצר הדגל של חברת Fortinet. פורסמה באוגוסט ע"י TheShadowBrokers מטעם ה-Equation Group. על קצה המזלג: מימוש של חולשת Buffer Overflow בפונקציית OpenLDAP שפורסמה ב-2006 וקיימת בשרת ה-HTTPd של הרכיב אשר אחראית על פרסור ה-Authentication Cookie.
בקטגוריית "זה פשוט מדהים" הזוכה השנה היא DirtyCow - חולשת Privilege Escalation לכל הפצות הלינוקס החל מקרנל 2.6.22. פורסמה באוקטובר ע"י Phil Oester, עובד חברת Internet Brands וחוקר אבטחה עצמאי. על קצה המזלג: חולשת Race Condition במדיניות שיתוף דפי הזיכרון בין תהליכים בעת מימוש המנגנון Copy-On-Write במערכת ההפעלה.
בקטגוריית "כחול-לבן" הזוכה / הזוכות השנה היא / הן חולשות ה-QuadRooter - ארבעה חולשות Prigilege Excalation על כל מכשירי ה-Android המורצים על מעבדים של Qualcomm. פורסמה באוגוסט ע"י Adam Donenfeld מחברת CheckPoint. על קצה המזלג: כל אחת מהחולשות הנ"ל מנצלת חולשה או מספר חולשות (Race Condition, Use After Free, בדיקה לא מספיקה לסוג משאב בשימוש, ועוד) ב-Chipset Drivers של Qualcomm ומאפשרת בסופו של דבר להריץ קוד בהרשאות גבוהות.
בקטגוריית "הזאת עם אחד הפוטנציאלים הגבוהים אבל..." הזוכה היא CVE-2015-7547 - חולשת Stack-based Buffer Overflow ב-glibc מקרנל 2.9 עם יכולת טריגור מבחוץ. פורסמה בפברואר ע"י Robert Holiday מחברת Ciena ו-Google Security Team על קצה המזלג: חולשת Stack-based Buffer Overflow בפונקציה getaddrinfo של glibc שמהווה DNS Client בלינוקס.
בקטגוריית "חברת Juniper, מה נסגר איתכם?!" הזוכה היא CVE-2015-7755 - פחות חולשה אלא יותרBackdoor שהתגלה ב-ScreenOS. פורסמה בדצמבר 2015 (אבל היא שם עוד מ-2012, אז עוד יום פחות יום...) ע"י Juniper בכבודם ובעצמם! (כל הכבוד על ה-Full Disclosure). על קצה המזלג: מאיפשהו, ללא ידיעת חברת Juniper (כך, לטענתם), התווסף קוד למוצר, שהאפקט שלו הוא שניתן להתחבר עם כל משתמש כאשר מקלידים את הסיסמה: <<< %s(un='%s') = %u. די מדהים.
בקטגוריית "One vulnerability to spy them all" הזוכה השנה היא חולשת Authentication Bypass בגרסאת ה-Mobile בשירות OAuth2.0 שאיפשרה למוצאה להתחבר לכל חשבון Facebook / Gmail ועוד בעצם כמעט כל אפליקציה שאיפשרה הזדהות באמצעות שירות זה. פורסמה בנובמבר ע"י שלושת חוקרי אבטחה הסינים Ronghai Yang, Wing Cheong Lauו-Tianyu Liu. על קצה המזלג: בעקבות מימוש כושל בעת שלב הבדיקה של אחד מפרמטרי הזיהוי ב-OAuth2.0 ניתן להתחיל לבצע הזדהות עם חשבון אחד ולאחר שלב ההזדהות המוצלח - להחליף את פרמטר הזיהוי ב- IdPלחשבון שאותו רוצים לגנוב ולהתחבר אליו. בפועל: גישה לכמעט 5 מיליארד חשבונות Gmail, Facebook ו-Sina (חברה שמפעילה רשת חברתית של בלוגים בסין, משהו קקיוני שמפעיל מעל מ-50% מהבלוגים בסין...).
בקטגוריית "ב-Windows זה לא היה קורה" הזוכה השנה היא CVE-2016-4484, חולשת Authentication Bypass ב-Cryptsetup (מעטפת ל-dm-crypt, מערכת Full Disk Dncryption מרכזית במספר הפצות לינוקס) שפורסמה בנובמבר, בכנס DeepSec ע"י שני חוקרי האבטחה Hector Marco ו- Ismael Ripollמ-CyberSecurity Group. על קצה המזלג: בעקבות טיפול לא נכון בשלב ה-"מקסימום נסיונות ניחוש סיסמה" וסינכרון בשני סקריפטי אתחול של Cryptsetup ניתן פשוט ללחוץ על המקש Enter עד 70 שניות (פחות במעבדים שהם לא x86) - ואתם פשוט מקבלים Busybox Shell על המערכת הנתקפת.
היו עוד לא מעט חולשות מגניבות השנה, אך נגמרו לנו הנושאים לקטגוריות.... :), מבטיחים שנחשוב על נושאים נוספים בשנה הבאה.
ובנוסף, ברצוננו להודות לכל מי שליווה אותנו השנה, לכל מי שלקח יוזמה, פנה אלינו וכתב מאמר, בלעדיכם לא היינו כאן! אז תודה רבה לחי מזרחי, תודה רבה לרזיאל בקר, תודה רבה לישראל (Sro) חורז'בסקי, תודה רבה ל-d4d, תודה רבה לגילי ינקוביץ', תודה רבה לשחק שלו, תודה רבה לצח ירימי, תודה רבה לליאור אופנהיים, תודה רבה ליניב בלמס, תודה רבה ל-Disscom, תודה רבה לעו"ד יהונתן קלינגר, תודה רבה ל-0x3d5157636b525761, תודה רבה ל-dexr4de, תודה רבה לאלכסנדר גצין, תודה רבה לשרון בריזינוב, תודה רבה לעידו נאור, תודה רבה לדני גולנד, תודה רבה לאופיר בק, תודה רבה לשחר גלעד, תודה רבה לעידו קנר, תודה רבה לאיתי כהן, תודה רבה לליאור ברש, תודה רבה לאיתי חורי, תודה רבה ליורי סלובודיאניוק, תודה רבה לאביחי כהן, תודה רבה ליובל סיני, תודה רבה לרועי חי, תודה רבה לעומר כספי, תודה רבה ל-0xDEAD6057, תודה רבה לעמית סרפר, תודה רבה לאילן דודניק, תודה רבה לעמרי בנארי, תודה רבה לגיא פרגל, תודה רבה ללירן פאר (reaction), תודה רבה לתומר זית, תודה רבה לטל ליברמן, תודה רבה לדור תומרקין, תודה רבה לאיזגייב זוהר, תודה רבה ל-Vellichor, תודה רבה למאור ניסן, תודה רבה למאיר בלוי-חנוכה, תודה רבה לינון שקדי ותודה רבה לרותם צדוק!
וכמובן, לפני שניגש לסיבה שבגינה אתם כאן, נרצה להודות למי שתרם לנו מאמרים לגליון הנוכחי, למי שישב וכתב החודש, השקיע ונתן מעצמו לטובת הקהילה, תודה רבה לינון שקדי, תודה רבה ליובל סיני, תודה רבה לישראל (Sro) חורז'בסקי ותודה רבה לרותם צדוק!
החודש, הגליון כולל את המאמרים הבאים:
- שבירת האנונימיות באפליקציית Blindspot (מאת ינון שקדי)
- מבוא ל-Side Channel Attacks (מאת יובל סיני)
- Self-XSS - Make it critical (מאת ישראל (Sro) חורז'בסקי ורותם צדוק)
תגובות על 'הגליון השבעים ותשעה של Digital Whisper שוחרר!':
#1 |
Dor (אורח): גיליון מעניין כמו תמיד! חג שמח. 31.12.2016 16:30:18 | |
#2 |
שמיל (אורח): תודה רבה על עוד גליון! ותודה על כל השנים! חג שמח! 31.12.2016 18:38:28 | |
#3 |
kt nabv (אורח): תודה רבה! וחג שמח 31.12.2016 22:38:16 | |
#4 |
אלי (אורח): גיליון יפה מאד 01.01.2017 05:19:53 | |
#5 |
מגיב אנונימי (אורח): גליון נהדר! תודה רבה לכל הכותבים ושנה טובה לכולם! 01.01.2017 05:33:59 | |
#6 |
DrWho (אורח): תודה! קצר יחסית אבל מעולה! תעדכנו את הFooter ל-2017! 02.01.2017 06:44:33 | |
#7 |
TurboZZ (אורח): רעיון דומה שמממש self-xss https://whitton.io/articles/uber-turning-self-xss-into-good-xss/ 02.01.2017 12:12:02 | |
#8 |
Sro (אורח): זה למה => That's why נשמע לי פשוט ונכון יותר לכתוב: לכן 03.01.2017 08:34:26 | |
#9 |
cp77fk4r: Sro, ברור שמבחינת עברית אתה צודק, אבל זה סיגנון דיבור וזה בכוונה שם ככה :) 07.01.2017 11:25:51 | |
#10 |
cp77fk4r: DrWho - עודכן, תודה! 09.01.2017 19:01:29 |
הוסף את תגובתך: