הגליון המאה ושלושה של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-103 של DigitalWhisper! אנו מקווים שלא חטפתם וירוס או הצטננתם :).
החודש, בין שלל המאמרים המעולים שמרכיבים את הגליון, יש מאמר ספציפי שהייתי רוצה לדבר עליו - המאמר "זיהוי באפלה" שנכתב ע"י שי נחום ומסכם מחקר שבוצע על ידיו ועל ידי אסף שוסטר ועופר עציון. אני לא רוצה להרוס, אך רק אומר שבמחקרם הם מציגים דרך מעניינת לזהות שרתי שליטה של Botnet-ים ע"י החדרת וקטורי XSS לתוצרי האיסוף של אותם כלים ובכך להגיע להרצת קוד JS על הדפדפן של מי שמנהל אותו ה-Botnet.
העבודה שהם עשו מעולה, ולכן היא כאן לפניכם :). ואת הרעיון של ניצול חולשות במנגנונים שבהם האקרים משתמשים כדי לחשוף את מקור המתקפה או כדי לנטרל אותה ראינו כבר בעבר. ב-2012 עו"ד יהונתן קלינגר פרסם במגזין מאמר על פרואקטיביות בתחום אבטחת המידע, ב-2014 דנור כהן פרסם כאן מאמר על חולשה שמצא בכלי Acunetix, ובעבר פורסמו שלל חולשות בכלי האקינג נוספים, כגון: Nessus ,Aircrack-NG ,Metasploit שיכולות בקלות להוות כלים בידי מגנים פרו-אקטיבים. ובכלל, לא חסר גופי הגנה בתעשייה שמבצעים מתקפות על תשתיות של האקרים או רשתות בוט-נטים על בסיס יומי.
כשמדובר בלחימה "קלאסית", הגנה פרו-אקטיבית נחשבת לאסטרטגיה יעילה מאוד (ואת זה לא אני אמרתי, אלא סוּן דְזְה, בספרו אומנות המלחמה) והיא כנראה גם האסטרטגייה שתשא הכי הרבה פירות ביחס לכמות המשאבים הכללית שנשקיע. לדוגמא - זיהוי אקטיבי של שרת ה-C&C של האקר ע"י שתילת קוד זדוני בפרטי המידע שהוא אוסף, השתלטות עליו ועל ידי כך חיסול כל רשת הבוטים, תהיה פעולה יעילה יותר מאשר לחקור את הוירוס, לכתוב חתימה מספיק טובה שתזהה את כל הוריאנטים שלו, לעדכן את כל עמדות הקצה בארגון, ולקוות שמחר לא יבוא וריאנט שאנחנו לא מכירים ויצפין לנו את כל הרשת.
מערכות הגנה פרו-אקטיבית שמסתיימת בין כותלי ה-LAN הארגוני (כגון מערכות Honeypots "חכמות") הן כנראה משהו שיחסית קל לבלוע מבחינה חוקית, אך הן גם פחות יעילות לעומת מערכת הגנה פרו-אקטיבית אמיתיות, כאלה שחוצות את גבול ה-GW הארגוני, ומנסות לנצל פרצות בכלי התקיפה של התוקפים. אך ביתרון שבהן טמון גם חסרונן: יהיה כנראה קשה מאוד לאשר אותן בחוק (לדוגמא, חוק של איזו מדינה חל במקרה של False Positive? מי הצד הנתבע? הארגון? המתקין? היצרנית? וכו').
אני לא מכיר לעומק את הפתרונות שחברות העוסקות בתחום מציעות (ויש אף מספר שחקניות ישראליות, ניתן לקרוא על כך תחת הערך Active Defense בויקיפדיה), כך שאני לא יודע עד כמה הן פרו-אקטיביות ועד היכן וקטור האקטיביות שלהם נמשך, אך יש לי הרגשה שלמרו הקושי החוקי, מדובר בתחום שנשמע עליו לא מעט בשיח היום-יומי בעתיד הלא רחוק.
למה אני חושב ככה? מפני שמדובר בסופו של דבר באבולוציה, וראינו שינויים באסטרטגיות הגנה כבר בעבר: רמת התחכום של גופי הפשיעה הקיברנטים רק עולה עם זמן, ורמת מורכבות התקיפות וה-"חוצפה" שלהם רק תמשיך לעלות. אם פעם, כל גופי ההגנה עבדו באופן נפרד - כיום ניתן לראות שיתוף פעולה אדיר בין מספר רב של חברות מתחומי ההגנה השונים. מדובר בשינוי אסטרטגי של חברות אלו, והוא נובע מכורח המציאות. אני מעריך שתוך לא הרבה זמן ידרש שינוי נוסף באסטרטגיית הלחימה הזו, ואולי השלב הבא יהיה פרו-אקטיביות מלאה. שלא נאמר, פרו-האקטיביות :)
ואיך לא, לפני שנגש למאמרים, נרצה להגיד תודה רבה לכל מי שנתן מזמנו ובזכותו הגליון הזה פורסם החודש, אז - תודה רבה ליובל חשביה, תודה רבה לאביאל צרפתי, תודה רבה לעו"ד יהונתן קלינגר, תודה רבה לרז עומריי ותודה רבה לשי נחום!
החודש, הגליון כולל את המאמרים הבאים:
- האור שבקצה המנהרה - על מתקפת BadTunnel - נכתב ע"י יובל חשביה
כבר שנים רבות שחולשות Man In The Middle (MITM) מוכרות לכל. ARP Poisoning לא זרה לאף אחד ומשמשת כמעיין ברירת מחדל כאשר מדובר בחולשות ברשתות פנימיות, וכולנו גם שמענו כבר על NBNS Spoofing. ב-2016 התפרסם עדכון אבטחה למערכות Windows להתמודדות עם החולשה CVE-2016-3213, המכונה גם BadTunnel. החולשה מאפשרת לתוקף לבצע NBNS Spoofing מעבר לטכנולוגיות NAT ו-FW, או במילים אחרות - NBNS Spoofing גם על גבי רשת ה-WAN ובכך MITM או אף קבלת NTLMHash. במאמר זה מציג יובל את מימוש המתקפה בנקודה הראשונה אותה תוקף יוכל להשיג והיא התחזות לשירות ברשת ממנה ניתן להגיע גם לביצוע מתקפת MITM או לקבלת פרטי NTLM (NTLM Hash) בקלות.
- באג או פיצ'ר? ניצול לרעה של יכולות מובנות במערכת ההפעלה Windows - נכתב ע"י אביאל צרפתי
זה לא באג, זה פיצ'ר! אנו שומעים את הביטוי הזה לא מעט, בעיקר כהלצה, אך אם ננסה להבין מה עומד מאחוריו, נוכל להסיק כי בעולם הפיתוח ישנם אילוצים שונים ומשונים הגורמים למוצרים לצאת לשוק כאשר הם מכילים בעיות שונות - באגים מעצבנים ולעתים אף פרצות אבטחה שונות המוסוות תחת פיצ'רים, אם בכוונה ואם בטעות. במאמר זה אביאל יעסוק בניצול לרעה של יכולות שונות במערכות ההפעלה מבית Microsoft בכדי לבצע שלל פעולות התקפיות על מערכת ההפעלה ולבסוף ביטול של יכולות מנגנון דלף מידע מבית McAfee. בנוסף, יוצגו דרכי פעולה וקווים מנחים לתקיפת תחנת קצה, העבודה תיעשה בעזרת כלים מובנים של מערכת ההפעלה בלבד, וללא שימוש בכלים "חיצוניים" כלל. לכל אורך התהליך אתייחס גם לתחום ה-Defense Evasion והשארת מספר נמוך ככל האפשר של עקבות בתחנת הקצה.
- על התערבות בבחירות - נכתב ע"י עו"ד יהונתן קלינגר
אז מה זו "התערבות בבחירות" ואיך עושים אותן? מדוע, בכלל, אנחנו מפחדים ממצב שבו מעצמה כזו או אחרת יתערבו בבחירות לכנסת או ממצב שבו יבצעו מניפולציות כלשהן על תוצאות הבחירות? במאמר זה יציג עו"ד קלינגר את הסוגים השונים של התערבות בבחירות, ולאחר מכן, אנו ניישם: נראה איך עושים את זה בדיוק.
- The New Processes of Windows - נכתב רז עומריי
עם יציאתה של Windows 10, נוספו מספר פיצ'רים חדשים ומשמעותיים למערכת ההפעלה. חלק מפיצ'רים אלו מתבססים על סוג חדש של תהליכים הקיים ב-Windows, השונה מהדרך שבה עובדים התהליכים שהיו עד כה, ה-NT Processes. לתהליכים מסוג זה קוראים Minimal & Pico Processes. במאמר זה יסקור רז מהם סוגי התהליכים החדשים שקיימים ב-Windows, ובמה הם שונים מהתהליכים שהיו קיימים עד כה. בנוסף, בנוסף, יוצגו מספר שימושים שונים לסוגי התהליכים שנוצרו: ה-Memory Compression, קונספט חדש על מנת להשתמש ביותר זיכרון ולהפחית את הכתיבה לדיסק, וה-WSL (Windows Subsystem for Linux), שמאפשר הרצה של פקודות והרצה של קבצי ELF מתוך Windows ועוד. מאמר זה הינו חלק ראשון מתוך סדרה בת שני חלקים בנושא זה.
- זיהוי באפלה - ניצול חולשת XSS בשרתי C&C לטובת זיהוי נוזקות - נכתב ע"י שי נחום
קיימות אינספור טכניקות הגנה לשם מניעה וזיהוי פוגענים בתחנות קצה ובשרתים. למרות שטכניקות אלה מוטמעות באופן נרחב ברשתות ארגונים, סוגים רבים של פוגענים מצליחים להישאר מתחת לראדר ולבצע פעולות זדוניות שוב ושוב. במאמר זה, מציג שי נחום מחקר שבוצע ע"י וע"י עמיתיו בטכניון, ובמסגרתו הם מציעים גישה חדשה לזיהוי פוגענים. גישה המשתמשת בטכניקות התקפה והגנה לשם זיהוי תקיפות פעילות. זאת, על-ידי ניצול פגיעוּת פאנלי השליטה של הפוגענים, ושימוש במניפולציה על ערכים משמעותיים במערכת ההפעלה של עמדות הקצה.
קריאה מהנה!
ניר אדר ואפיק קסטיאל
תגובות על 'הגליון המאה ושלושה של DigitalWhisper שוחרר!':
#1 |
פקמן: ראשון! :) תודה רבה. נראה מעניין. אגב יש typo בתאורה של המאמר הראשון כתוב "מימוש המקפה" במקום המתקפה 31.01.2019 22:45:48 | |
#2 |
פקמן: לעזאזל עם Auto correct. מדבר על שגיאות כתיב וכותב תאורה במקום תיאור 31.01.2019 22:48:34 | |
#3 |
דודו פארוק (אורח): פשש גיליון חזק, איך זה שהוא ככה חזק? תודה על ההשקעה! 31.01.2019 23:12:54 | |
#4 |
cp77fk4r: @פקמן - תודה רבה, תוקן! 31.01.2019 23:15:06 | |
#5 |
cp77fk4r: אגב, תודות ל-@Ender, עמוד הגליונות שלנו חזר להתעדכן וכעת הוא כולל פירוט של כלל הגליונות! אז תודה לכל מי שהציק במייל במשך חמשת השנים האחרונות... :) 31.01.2019 23:23:40 | |
#6 |
פקמן: סיימתי את המגזין. והיה מצוין, אבל עכשיו יש חודש שלם... יש עוד מקורות מומלצים בנושא בעברית? מה ה"מתחרים" שלכם? 01.02.2019 01:02:48 | |
#7 |
פקמן: סיימתי את המגזין. והיה מצוין, אבל עכשיו יש חודש שלם... יש עוד מקורות מומלצים בנושא בעברית? מה ה"מתחרים" שלכם? 01.02.2019 01:02:49 | |
#8 |
אנונימי (אורח): מאמרים מקצועיים אחד אחד, גיליון מעניין מאוד !! 02.02.2019 02:36:03 |
הוסף את תגובתך: