הגליון התשעים וחמישה של Digital Whisper שוחרר!

ברוכים הבאים לגליון ה-95 של DigitalWhisper!
 
השבוע מספר חברים הפנו את תשומת ליבי לפרסום שחברת סייבר ישראלית פרסמה. לצורך הנקודה שעליה אני מעוניין לדבר החודש שם החברה אינו רלוונטי, כנ"ל הפתרון שהיא מציעה וכך גם רוב הפרטים אודות הפרסום.
 
לפי הפרסום נראה שהחברה מאוד מתגאה במוצר שלה ועושה רושם שהכותבים מאמינים בו, ואפילו מאמינים מאוד בו - שזה כשלעצמו מעולה. במהלך הקריאה של החומר המוצג היו מספר נקודות שהפריעו לי, אך הייתה נקודה אחת ומאוד בולטת שהפריעה לי במיוחד: באתר נכתב כי מדובר במוצר האבטחה היחיד אשר מסוגל להגן על המערכת בה הוא מותקן מפני כל מתקפות ההאקינג אשר קיימות, הן "הידועות" והן ה-"לא ידועות".
 
נעזוב לרגע את העניין שכיום תחום תקיפות ההאקינג כל כך נרחב, כך שכבר אם מישהו יטען בפני שהוא מסוגל להגן מפני כל המתקפות המוכרות לנו - אבקש ממנו בנימוס אך בתקיפות, לאשפז עצמו בדחיפות בבית חולים פסיכיאטרי. החלק שהפריע לי במיוחד היה החלק השני: "הגנה מפני כל המתקפות הלא ידועות" - משפט שלדעתי גובל בחוסר אחריות מוחלט ומחשיד בחוסר הבנה של המקצוע בצורתו הבסיסית ביותר.
 
על מנת להמחיש את הנקודה שאני מעוניין להעביר, הרשו לי לקחת אתכם מספר שנים אחורה לשני אירועים המהווים אבני דרך בתחום שלנו. הראשון התרחש לפני כמעט 20 שנה, ב-1998, והשני התרחש מספר שנים אף לפני כן, ב-1996.
 
האירוע הראשון התרחש ב-25 לדצמבר, שנת 1998. בעת פרסום הגליון ה-54 של Phrack, תחת הכותרת הדי סתמית: "NT Web Technology Vulnerabilities", כמאמר שפורסם ע"י Jeff Forristal (המוכר יותר בכינויו: "Rain Forest Puppy"). המאמר הנ"ל הינו התעוד הכתוב הראשון של אחת מהחולשות הקריטיות ביותר שנמצאו היום בשרתי WEB: SQL Injection. עברו כמעט 20 שנה ועדיין, המתקפה הזו נמצאת כל שנה ב-TOP3 של OWASP. עד המאמר הנ"ל לא היו שום מתקפות על Database-ים באופן ישיר ואף מפתח או גוף הגנה לא ראה במשאב הזה משהו שצריך להגן עליו מעבר ל-לא לאפשר גישה ישירה אליו ולהגן עליו עם סיסמה.
 
היום, כל PenTester או מפתח מתחיל יודע שאם לא סינטזו את הקלט שמגיע מהמשתמש, ועושים בו שימוש לטובת הרכבת שאילתה שפונה ל-DB, המרחק משם ועד להשתלטות מלאה על שרת ה-DB ואולי אף על כלל האפליקציה הוא קצר מאוד. אך עד פרסום המאמר הנ"ל, העניין היה כל כך לא במודעות הציבור שעד היום אפשר למצוא לא מעט אתרים ומערכות הפגיעות לאותה המתקפה.
 
תחשבו על התדהמה של שני הצדדים (הן התוקפים והן המגנים) כאשר הם הבינו שניתן לשלוט באופן כמעט מלא במבנה ובפרמטרי השאילתות ששרת האפליקציה מייצר כדי לפנות לשרת ה-DB. כל תחום אבטחת המידע הקשור ל-Web קיבל מכה רצינית, ועוד באיזור הכואב והרגיש ביותר - מסד הנתונים.
 
בעקבות המאמר שפורסם הרשת רעשה וגעשה, האקרים החלו לנצל את סוג המתקפה הנ"ל, שיפרו אותה, הרחיבו אותה עוד ועוד, החלו לכתוב כלים אוטומטיים שיאפשרו לייעל את המתקפה ולנצלה בצורה איכותית יותר לטובתם. התעשייה הגיבה די מהר, ממצב שבו קיים משאב שלאף אחד כמעט ולא אכפת מהאבטחה שלו, ועד למצב שבו יש אינספור חברות ומוצרים שכל מטרתם היא להגן על אותו משאב, עבר מעט מאוד זמן.
 
האירוע השני, אשר גם הוא שינה את פני החוקים בעולם מתקפות ההאקינג, וגם הוא קשור ל-Phrack, התרחש בנובמבר שנת 1996 כמאמר שפרסם כחלק מהגליון ה-49 ונכתב ע"י בחור בשם Aleph One. המאמר פורסם תחת הכותרת האלמותית: "Smashing The Stack For Fun And Profit", ובעצם היווה את ההסבר הפומבי הראשון על מתקפות Buffer Overflow: כיצד הן פועלות, כיצד ניתן למצוא אותן, וכיצד ניתן לנצלן לטובת חדירה למערכות השונות.
 
את המאמר, פרסם Aleph One לאחר ששם לב, לטענתו, כי בחודשים שקדמו לפרסום, נוצלו ופורסמו מספר לא קטן של פגיעויות מסוג זה.
 
פחות או יותר, עד פרסום המאמר, מלבד בודדים מאוד, אף אחד לא חשב כי בעזרת קלט שמגיע מהמשתמש, ניתן לשנות את Flow ריצת התוכנית. אם התוכנית מצפה לקבל ולפעול ע"פ אחד מ-3 קלטים שונים, אין שום סיכוי או סיבה בעולם שהיא תבצע פעולה שהיא לא אחת משלושת הפעולות שנקבעו לה. להצליח לגרום לתוכנית שאמורה לרכז קבצי לוג ליזום Socket לכתובת IP של תוקף חיצוני ובכך לאפשר לו גישת Shell על השרת? אפילו לא בחלומות הכי הזויים של התוכניתן. לגרום לתוכנה שאמורה לטפל במיילים להאזין בפורט מקומי ולהדפיס לכל מי שמתחבר את קובץ ה-/etc/shadow? אין שום סיכוי, זה הרי לא כתוב לה בקוד. ואם על מנת להתחבר לתהליך מסויים יש צורך בסיסמה - אז אם הגדרנו סיסמה חזקה, אין שום סיכוי שמישהו שלא מכיר את הסיסמה יצליח להכנס. אף אחד לא יכל לדמיין או להעלות על דעתו כי כל הנ"ל אפשרי, פשוט צריך להכניס את הקלט הנכון שיגרום לדריסת זיכרון במקום הנכון.
 
אף אחד לא יכל לדמיין זאת, ובכל זאת - באותה התקופה האקרים הצליחו לגרום לכל מני תוכנות שרת כאלה ואחרות לבצע פעולות שחרגו לחלוטין ממה שהוגדר להן בקוד. איך הם עשו זאת? הכל נשאר בגדר חידה עד שאותם מסמכים (ודומיהם) פורסמו.
 
המשותף לשני האירועים הנ"ל הוא: שעד רגע הפרסום של אותם מאמרים, אנשי ה-IT של אותן מערכות פגיעות היו בטוחים לחלוטין שהם מוגנים. הרי במערכות שלהם מותקנים אחרוני העדכונים, הסיסמאות שלהם חזקות ואף אחד לא יכול לנחש אותן. וברגע שאותם מאמרים פורסמו - כבר היה מאוחר מדי.
 
נחזור לימינו. היום קל לנו לדמיין מתקפות כמו SQL Injection או Buffer Overflow, אך פעם ניצול מוצלח של מתקפה כזו היה בגדר מאגיה שחורה. הצד המגן לא יכל אפילו לדמיין מאיפה זה יבוא לו. הסיסמה הרי בלתי ניתנת לניחוש, ומדובר בכלל בטבלה במסד הנתונים שאין שום שאילתת SQL ששולפת ממנה...
 
היום הצד המגן הרבה יותר חכם ממה שהוא היה לפני 20 שנה, ואופקיו רחבים הרבה יותר מבעבר, אך מבחינה רעיונית, לפחות כפי שאני רואה את העניין, המצב כמעט ולא שונה מאיפה שהיינו לפני 20 שנה. הרי בכל רגע יכולות להתפרסם (ולעיתים גם מתפרסמות) "סופר-חולשות" או "מתקפות-על", כאלה שלא דורשות מהתוקף כמעט ידע מקדים, וההשפעה שלהן היא כמעט אינסופית. כאלה ש-"לא יכולנו לצפות מהיכן הן יגיעו". חולשה כמו Meltdown ככל הנראה עונה להגדרה הזו. כמעט ולא משנה לה מה מערכת ההפעלה שכנגדה היא רצה, ואת וקטור התקיפה שלה אפשר להשמיש (לא בצורה פשוטה, אבל אפשר) דרך כמעט כל פלטפורמה.
 
כיום, לטעון שהמוצר שלכם מגן מפני מתקפה כזו - זאת כמעט לא חוכמה. אך להגן על מתקפה כזו, או מתקפות בסיגנון הנ"ל מראש - קשה לי להאמין בזה. אני טוען שהדרך היחידה להגן בצורה מספקת על הרשת שלכם היא רק אם נבנה את מערך ההגנה תחת המחשבה שבכל רגע ורגע יכולות להתפרסם מתקפות ברמה הנ"ל, כאלה שלא יכולנו בכלל לחשוב מהיכן הן יבואו לנו.
 
לחשוב לרגע שקיים מוצר שאם נתקין אותו, אנחנו מוגנים מפני מתקפות מהסוג הנ"ל - זה גובל בשיגעון. זהו חטא לאלוהי ה-CERT. זאת פשוט מחשבה שאם נאמין בה - אתית, אנחנו פשוט צריכים להחליף מקצוע. פשוט מחשבה שלא תעלה על הדעת. ומי שמנסה לשכנע אותנו שמוצר כזה קיים - פשוט מפספס ברמה הבסיסית ביותר את קונספט החשיבה שאותו צריך להפעיל בעת בניית מערך הגנה. או מנסה למכור לנו משהו.
 
אני לא מכיר את המוצר ולכן אני לא יכול להביע שום דעה טכנולוגית עליו, הלוואי שהוא אכן מוצר אבטחה איכותי וטוב. אבל לצאת בכאלו הצהרות - מבחינתי זו טעות שאסור לבצע. טעות שברגע שנפול בה - הפסדנו עוד לפני שהמשחק החל.
 
וכמובן, רגע לפני שנעבור למאמרים שנכתבו לכבודכם החודש, איך אפשר שלא להגיד תודה לכל מי שעמל והשקיע בשביל שנוכל להוציא את הגליון החודש! אז תודה רבה ליובל עטיה, תודה רבה לגיא ברשפ, תודה רבה לזהר שחר ותודה רבה לעו"ד יהונתן קלינגר

 
 
החודש, הגליון כולל את המאמרים הבאים:
  • CVE-2016-0165: From Security Bulletin To Local Privilege Escalation - נכתב ע"י יובל עטיה
    מאמר זה הינו מאמר שלישי בסדרת מאמריו של יובל עטיה על מחקר וכתיבת אקספלוייטים ל-Kernel של Windows. בחלק זה, יובל לוקח את הידע התיאורטי שנלמד במאמריו הקודמים ומציג כיצד לממשם בעת ניצול חולשה אמיתית במערכת ההפעלה Windows 10 לטובת העלאת הרשאות. החולשה שיובל בחר לנצל, הינה החולשה הפומבית 0165-2016-CVE. יובל מציג את כלל השלבים מניתוח העדכון שיצא לחולשה  זו והבנה באיזה מנגנון החולשה  קיימת ועד לכתיבת אקספלוייט מלא למערכת הפעלה מודרנית של חברת Microsoft.
  • מבוא ל Web 3.0-וסקירה של חולשות ותקיפות חוזים חכמים מעל הבלוקצ'יין - נכתב ע"י גיא ברשפ
    תחום הבלוקצ'יין והאפליקציות המבוזרות מסתמן כאחת ההבטחות החמות של השנים הקרובות. מדובר במהפכה של ממש באופן שבו האינטרנט העתידי עשוי להתקיים (0.Web 3), כאשר הכיוון הוא להחזיר את האינטרנט למצב מבוזר שאינו ריכוזי. זאת לעומת המצב כיום, אשר רוב התעבורה והשירותים ניתנים ע"י מס' מצומצם של חברות ענקיות כגון: גוגל, פייסבוק וכד'. יחד עם זאת, בדומה לכל טכנולוגיה שמביאה עמה הזדמנויות רבות, היא גם טומנת בחובה לא מעט סיכונים ואיומים. נוסיף את כמות הכסף הרב המושקע בטכנולוגיה הזו, ובקלות נוכל להבין מדוע כלל העיסוק בבלוקצ'יין הינו "פארק שעשועים להאקרים" . במסגרת מאמר זה, מציג גיא ברשפ את הרעיונות והמקורות הטכניים ללימוד נושא הבלוקצ'יין ומהפכת Web 3.0 וכן מבצע סריקה של מגוון סוגי החולשות הידועות בתחום. 
  • One push too far - Exploiting Web Push Notifications - נכתב ע"י זהר שחר
    Push Notifications אינה טכנולוגיה חדשה. למעשה, אנו מכירים את הנושא היטב בהקשר של טלפונים ניידים, כאשר כמעט כל אפליקציה מייצרת עבורנו התראות. עם זאת, בשנים האחרונות היכולת לשלוח התראות בדחיפה התווספה גם אל עולם ה-Web ,ועתה ניתן לקבל התראות ישירות אל הדפדפן. במאמר זה, זהר מציג מחקר שביצע, הבוחן את המנגנון בהיבטי אבטחת מידע כדי לנסות ולהבין אילו הרשאות ניתנות לאתרים המשתמשים בהתראות, ואילו סיכונים מנגנון זה חושף (רמז: לא מעט!)
  • איך לא עומדים ב-GDPR? - נכתב ע"י עו"ד יהונתן קלינגר
    תקנות הגנת הפרטיות (אבטחת מידע) והוראות הרגולציה הכלליות על פרטיות (GDPR) באירופה נכנסו שתיהן לתוקף בחודש האחרון, וכמו כל רגולציה חדשה הן לוו בפאניקה, שהביאה איתה כמה הונאות, נוכלויות ובעיות אחרות. במאמר זה יציג עו"ד יהונתן קלינגר מה לא לעשות כדי לעמוד בתקנות וב-GDPR, ואיך אנשים אחרים יכולים לנצל בורות, חולשה ופאניקה כדי לקדם את האינטרס העסקי שלהם.
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל  


תגובות על 'הגליון התשעים וחמישה של Digital Whisper שוחרר!':



#1 

iTK98:
טוב נו, אהיה האידיוט התורן. ראשון.
01.06.2018 01:55:07

#2 

iTK98:
מצטער, על הדאבל, ההתרגשות והטיפשות שלטו בי לרגע.

אגב, יש תוכניות לגליון 100, איזשהו מפגש אולי?
01.06.2018 02:01:50

#3 

AF (אורח):
בתיאור המאמר הראשון כתוב "טיאורתי" במקום "תיאורטי".
01.06.2018 09:45:04

#4 

פקמן:
איזה כיף להתחיל יום ככה. תודה לכל הכותבים
01.06.2018 10:03:57

#5 

cp77fk4r:
@AF - תודה רבה על התיקון!

@iTK98 - שאלה מעניינת, לארגן אירוע במיוחד לזה זה אולי קצת מוגזם, אבל אפשר לרכב על הפגישה החודשית הקבועה של dc9723 באותו החודש. נחשוב על זה ובמידה וכן - אדבר איתם. בהחלט רעיון מעניין :)
01.06.2018 11:09:44

#6 

רועי (אורח):
דברי פתיחה מדויקים. לא יכולתי לחשוב על דרך אחרת להגיב לפרסום חסר האחריות שלהם.
01.06.2018 11:46:52

#7 

רועי (אורח):
וכתבות מצוינות! תודה רבה לכל הכותבים!
01.06.2018 11:48:22

#8 

OYK (אורח):
מוכרח לציין לטובה את סדרת המאמרים של יובל. מרתק!
02.06.2018 01:06:46

#9 

dumb one (אורח):
גליון מרתק, המאמר על ה-Push notification היה מאד מעניין.
02.06.2018 17:09:29

#10 

thomas (אורח):
thanks for posting
03.06.2018 20:19:58

#11 

Abe (אורח):
ואולי כוונת המשורר היא פשוט לומר "יש הגנה מ0-day" לאנשים שלא בהכרח מבינים את הפירוש של 0-day?
04.06.2018 17:23:29

#12 

אורח (אורח):
https://he.wikipedia.org/wiki/%D7%9E%D7%AA%D7%A7%D7%A4%D7%AA_%D7%90%D7%A4%D7%A1_%D7%99%D7%9E%D7%99%D7%9D
07.06.2018 00:19:59

#13 

שיר (אורח):
תודה רבה! אגב, התפתח בדיוק על הנושא דיון מרתק ב-Facebook של dc9273
08.06.2018 09:41:28

#14 

שמיל (אורח):
תודה רבה לכל מי שהשקיעו! גליון אדיר! רק עוד 5 למאה!
10.06.2018 22:50:27

#15 

חיים (אורח):
מה זה dc9273?
11.06.2018 09:42:56

#16 

שמיל (אורח):
קבוצת ה-defcon הישראלית. חדש בגוגל!
11.06.2018 22:04:32

#17 

שמיל (אורח):
חפש*
11.06.2018 22:04:51

#18 

רונן (אורח):
תודה רבה לכולם! יהיה מרגש לחזות בגליון ה-100!
15.06.2018 22:01:34

#19 

גגג (אורח):
כל מאמר עבודת דוקטורט.
שאפו
23.06.2018 18:43:21

#20 

רועי (אורח):
מתפרסם היום גליון?
30.06.2018 21:14:22

#21 

cp77fk4r:
אמור להתפרסם? מה התאריך היום?
30.06.2018 21:26:16

#22 

gg11:
"<script > alert("1") </script >"
24.09.2018 22:27:31

#23 

cP (אורח):
נו? כבר השגת root על השרת?
26.09.2018 00:29:19



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.