הגליון המאה ושישה של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-106 של DigitalWhisper!
ב-25 לחודש, משתמשי השירות Docker Hub קיבלו אימייל מ-Kent Lamb, אשר דיווח על "Unauthorized access to Docker Hub database". את הנוסח המלא של המייל ניתן לקרוא כאן.
נכון לכתיבת שורות אלו, יש מעט פרטים טכניים על האירוע, ומהמידע שפורסם עולה כי רק סט מצומצם של לקוחות נפגע, ופרטים שנחשפו כללו מזהי גישה למספר שירותים נוספים (כגון Github ו-Bitbucket במקרים שבהם אותם לקוחות השתמשו ב-autobuild).
החבר'ה של Docker ככל הנראה רציניים מאוד, ואני סמוך ובטוח שהם יטפלו באירוע בצורה הטובה ביותר. אך לאור האירוע הזה, ולאור אירועים נוספים (כגון האירוע שפורסם ע"י חברת Microsoft ב-15 לחודש, על כך שהאקרים יכלו לקרוא כל אימייל מכל חשבון אימייל פרטי שנרשם תחת outlook.com) עולה שוב השאלה: כמה באמת בטוח לסמוך על שירותי הענן ריכוזיים שכאלה?
אין שום ספק, כי שירותי הענן המרכזיים היום נהנים מרמות האבטחה הגבוהות ביותר ששירות ציבורי יכול לספק. היתרונות בביזור השירותים הארגוניים בענן מובנים וכמות היתרונות עצומה (חסכון בכח אדם, חסכון בכאבי ראש DevOps-ים, חסכון בחשמל, Uptime תמידי וכו').
אך עם זאת, לאט לאט עושה רושם שחלק מהחברות בשוק נהיות כל כך מרכזיות כך שהן נהיות סוג של Holy Grail עבור האקרים. ובלא מעט מקרים, כאשר מאגרי-על נפרצים ונתוניהם מתפרסמים, אתם כאנשים פרטיים או כארגון יכולים להפגע רק כי הייתם במאגר הזה. אם השתמשתם בשירות אימייל שדלפו ממנו כל האימיילים - הארגון שלכם יפגע, רק כי הייתם שם, אם שמתם כרטיס אשראי בחנות אינטרנטית שנפרצה - תפגעו, רק כי הייתם שם, ולא כי מישהו רצה להרע לכם באופן אישי.
כמות המידע שיש ב-Gmail, ב-Outlook365, או ב-Slack היא עצומה ותמים יהיה לחשוב שאין מי שלא ירצה לשים עליו יד באופן לא חוקי. מה הוא יעשה עם המידע הזה? אין לי מושג. אך לא הייתי רוצה להיות שם כשהכל יתפוצץ.
אני לא תמים, אני יודע שאם האקרים רוסים, סינים או כל ארגון פשיעה קיברנטי רציני החליט שהוא רוצה להשיג את כל התכתבויות האימייל של הארגון שלכם ולפרסם אותם לציבור - הם כנראה יצליחו לעשות זאת. אך הדגש כאן הוא שאתם צריכים לעניין אותם באופן אישי, וכל עוד אתם לא מעניינים אותם אתם כנראה תיהיו בסדר.
ושלא תבינו אותי לא נכון, אני לא קורא עכשיו לכולם לעזוב הכל ולממש On Premise כל שירות חיצוני כזה או אחר. אך אני כן מצפה מצוות ההגנה בארגון לבצע ניהול סיכונים ולהבין לעומק מה אפשר וטוב לשים בענן ומה רגיש מדי ועם כל כאב-הראש שבדבר - להשאיר בתוך הארגון.
לטעמי, כמעט כמו בתחום ה-IoT - שאליו העולם פשוט נוהר ללא כל הבחנה אמיתית ניהול הסיכון - כך גם בכל עולם ה-aaS*, הרבה ארגונים דוהרים לשם ללא ביצוע ניהול סיכונים אמיתי ונכון והבנה מה כן נכון ומה לא נכון לשתף. לשירותי הענן יש מקום נפלא בין כותלי הארגון ושימוש נבון בהם מהווה פוטנציאל רב לקדמת הארגון ולפריחתו. אך חשוב מאוד לנהל אותו נכון ולהבין בדיוק באיזה סל כדאי לשים אילו ביצים.
וכרגיל, אחרי כל הבירבורים שלי, ולפני שניגש לתוכן שעליו עמלו טובי בנינו, נרצה להודות להם על כל הזמן וההשקעה החודש. תודה לשחף אלקסלסי, תודה לגלעד זינגר, תודה רבה ל-Dvd848, תודה רבה ל-YaakovCohen88 ותודה רבה לעו"ד יהונתן קלינגר!
החודש, הגליון כולל את המאמרים הבאים:
- כשדחיסה היא CRIME ויוצרת BREACH באבטחה - נכתב ע"י שחף אלקסלסי ואפיק קסטיאל (cp77fk4r)
במאמר זה מציגים שחף ואפיק את המתקפות CRIME ו-BREACH, מתקפות Side-Channel כנגד הפרוטוקולים SSL ו-TLS, המאפשרות לתוקף להצליח לחשוף סודות העוברים בתווך המוצפן. מתקפות אלו הוצגו בשנים 2012 ו-2013 בכנסי אבטחת-מידע והאקינג בעולם כגון Black-Hat. מתקפות אלו מתבססות על העובדה שבתעבורת HTTP המועבת מתחת לתווך SSL-י עוברת שלב של דחיסה עליו יכול להשפיע התוקף.
- איומים, יריבים ותרחישי תקיפה מרכזיים בעולם ה-OT - נכתב ע"י גלעד זינגר
מאמר זה הינו מאמר המשך למאמר "מבוא למערכות בקרה בעולם ה-OT" שפורסם ע"י גלעד בגליון הקודם. המאמר הקודם הווה סקירת הכרות לעולם ה-OT, במה הוא שונה מהעולם המוכר של ה-IT, מהם רכיביו ומספר דוגמאות אודות שימושים נפוצים. במאמר זה גלעד מקש לסקור מעט ממגוון האיומים, היריבים ומספר תרחישי תקיפה מסורתיים.
- סדרת אתגרי ArkCon - 2019 - נכתב ע"י Dvd848 ו-YaakovCohen88
כחלק מהכנס ArkCon19 של חברת CyberArk, נפתח CTF עם תשעה אתגרים מתחומים שונים: Web, Pwn, Reversing ו-Linux. במאמר זה מציגים Dvd848 ו-YaakovCohen88 את הפתרון שלהם לאתגרים. האתגרים היו זמינים בין התאריכים 4-22/04/2019.
- מוסרים ד"ש - על גניבת 26 מליון ש"ח ב-Dash - נכתב ע"י עו"ד יהונתן קלינגר
במאמר זה עוסק עו"ד קלינגר בכתב האישום שהוגש שבוע שעבר כנגד אפק זרק, כתב אישום העוסק בגניבה של כ-26 מיליון שקלים במטבעות קריפטוגרפיים מסוג Dash.
קריאה מהנה!
ניר אדר ואפיק קסטיאל
תגובות על 'הגליון המאה ושישה של DigitalWhisper שוחרר!':
#1 |
שמואל (אורח): נראה מרתק 30.04.2019 22:58:39 | |
#2 |
אנונימי (אורח): אחלה מאמרים ! תודה לכם 01.05.2019 12:34:27 | |
#3 |
פקמן: נראה מעולה! ישר כח ותודה 03.05.2019 08:07:40 | |
#4 |
שמיל (אורח): תודה רבה! בחרתם נושאים מעניינים במיוחד הפעם! 03.05.2019 09:36:16 |
הוסף את תגובתך: