הגליון המאה ואחד-עשר של DigitalWhisper שוחרר!

  
ברוכים הבאים לגליון ה-111 של DigitalWhisper, גליון אוקטובר! 
 
תקופת החגים כבר כאן, מה שמגדיל את הסיכוי לכך שאתם קוראים את הגליון מחוץ לביתכם (אצל ההורים? בנופש בצפון? באיזו בירה אירופאית? באמצע טרק במזרח וטיפסתם על הר מאוד גבוה כדי למצוא קליטה מספקת כי אתם יודעים שהגליון ה-111 עומד לצאת?), ואם זה אכן המצב - בטח יצא לכם לשאול את עצמכם בזמן ההכנות לטיול האם לקחת איתכם גם את הלפטופ. מצד אחד - אין תחליף ל-Setup הביתי, אך מצד שני - להתחבר עם הלפטופ לכל מני רשתות חשודות ומזדמנות זה לא הכי מומלץ, או גרוע מכך - המחשב יכול להגנב, להשבר או סתם ללכת לאיבוד...
 
מצד שלישי, לא לקחת את הנייד לטיול - זה גם סיכון, אם תדרשו לבצע פעולה באחד החשבונות שלכם, ופעולה זו אינה ניתנת לביצוע דרך הסמארטפון שלכם - אתם תדרשו ככל הנראה להקליד את הסיסמאות שלכם על מחשב
ציבורי / של מישהו אחר - גם משהו לא מומלץ.
 
כשמדובר בטיול של שבוע-שבועיים, ברב המקרים יהיה ניתן לדחות את המשימות הללו, אך כאשר טסים לטיול ארוך ובכל זאת מעוניינים לשמור על האפשרות של לעבוד בסביבה האישית, הדילמות מתחילות לעלות.
פגשתי שלל אנשים עם שלל פתרונות לבעיה הזו: מפתרונות נאיבים של "אני פשוט אגלוש ב-Private Mode" דרך פתרונות מתחכמים יחסית בסגנון של Portable KeePass+Portable Browser על DoK שמוצפן ב-TrueCrypt, ועד פתרונות סמי-יעילים כמו מחשב יעודי לטיולים וגם מעט יותר מופרעים / מוגזמים: Portable VirtualBox / LiveLinux על IronKey עם מערכת הפעלה מינימלית וחתומה, שיודעת לחייג לשרת VPN בענן שעליו יש Client של TeamViewer חתום דיגיטלית, וכמובן - החיבורים אך ורק עם 2FA, Ubikey ו-PoE שנשלט רק מה-VPN (סתם, מישהו שמשתמש בכזה פתרון עדיין לא פגשתי... :))
 
אך בכל פתרון מהפתרונות שפגשתי תמיד בלט איזשהו חסרון, חלקם היו לא באמת יעילים (כי אם יש KeyLogger על העמדה - כלל הסיסמאות ממנהל הסיסמאות יגנבו), חלקם היו לא רלוונטים (כי מחשב הטיולים נהפך בן-רגע להיות נכס שגם עליו צריך להתחיל להתחיל להגן) וחלק היו פשוט מסורבלים מדי (כי מי ירים עכשיו VM וכו' רק בשביל לבדוק משהו קטן באיזה חשבון? ולכו תשברו את הראש עכשיו עם DHCP Troubleshooting או משחק חתול-ועכבר עם ה-NAC ברשת של המלון...)
 
עדיין לא פגשתי פתרון טוב לבעיה הזו (אבל אני בטוח שקיים אחד כזה), כזה שבאמת יידע להתמודד מול איומים שסביר שנתקל בהם במהלך הטיול אך מצד שני לא יידרוש מאיתנו יותר מדי הכנות ולוגיסטיקה. 
 
ב-2017 יצאתי לטיול של כמעט חצי שנה באיזורים עם תשתיות אינטרנט רעועות עד לא קיימות, ובחלק מהחודשים המגזין היה עדיין פעיל. בגלל שמדובר באירוע שאני יודע לתזמן (באופן מפתיע, היום האחרון של כל חודש - אכן יוצא תמיד בסוף החודש!) יכולתי לתכנן את הטיול באופן כזה שבמידת האפשר אהיה ליד מחשב בסוף החודש. וכמובן שגם היה את ניר שעבד מהארץ ודאג להכל. אך עם זאת, עדיין היו מקרים שבהם נדרשתי לבצע עריכה מחו"ל ולא לקחתי איתי מחשב נייד.
 
הפתרון שלי היה לקחת מראש Portable Word עם תמיכה בעברית על SD Card, מתאם OTG, וקורא כרטיסים קטן שיאפשר לי לקרוא את תוכן הכרטיס מכל מחשב. וכמובן - סמארטפון עם כרטיס SIM.
כל מה שיכולתי לבצע מהסמארטפון - הקשר עם הכותבים דרך האימייל, כניסה למערכת הניהול של האתר, העלאת התוכן לשרתים ולמערכת האתר - בוצע דרך הסמארטפון. כאשר נדרשתי לבצע עריכה, הורדתי את התוכן לכל מחשב אקראי דרך ה-SD Card עם קורא הכרטיסים, פתחתי את ה-Portable Word וכשסיימתי את העריכה - שמרתי הכל על הכרטיס, העברתי לסמארטפון - והמשכתי לבצע הכל דרכו.
 
הפתרון היה יחסית נח, אך רק בגלל שיכולתי לדעת מראש מה הם כל הדברים שאצטרך. אם הייתי נדרש לפתור בעיה שהייתה דורשת ממני לעשות דברים מעט מעבר לעריכת קבצים, כנראה שהייתי נדרש להתפשר על רמת ביטחון המידע שלי.
 
כאמור, לא מצאתי פתרון גנרי שיהיה מספיק נח גם למשימות מורכבות יותר. יכולתי למצוא חסרונות די ברורים עבור כל אחד מהפתרונות שמצאתי באינטרנט. וברור לי שזאת בעיה שרבים נתקלים בה, כך שמעט מוזר לי שהיא עדיין לא נפתרה בצורה תשתיתית או שלא קמה איזו חברה עם פתרון מספיק טוב ומאובטח.
 
אולי אני סתם מגזים והבעיה לא כזו נפוצה? מה הפתרונות שלכם?
 
וגם - שתהיה שנה טובה ובטוחה לכולנו!

 
ולפני שנגש לתוכן הגליון, נרצה להודות לכל מי שהשקיע החודש מזמנו וממרצו כדי לכתוב מאמר. תודה רבה לתום חצקביץ', תודה רבה ל-Dvd848, תודה רבה ל-YaakovCohen88, תודה רבה ליובל יוחנן, תודה רבה לאורית כהן, תודה רבה לשי נחום, תודה רבה לתומר איזנברג, תודה רבה לנגה אור ותודה רבה לאור הופרט-גרף.


  
החודש, הגליון כולל את המאמרים הבאים:
  • First Steps to Linux Kernel Exploitation - נכתב ע"י תום חצקביץ'
    במאמר זה מציג תום את השלבים הראשונים שלמדת בתחום ה-kernel exploitation במערכת ההפעלה-linux, מה ניתן לעשות, כיצד ניתן לעשות, ובעיקר את הבסיס שיפתח לכם את שער הכניסה ל-kernel. המאמר איננו הולך לעסוק במחקר/ניצול חולשות במערכת ההפעלה אלא בניצול חולשות המתרחשות במצב בו אנו רצים ב-Kernel Mode בכלליות.

  • סדרת אתגרי Check Point CSA 2019 - נכתב ע"י Dvd848 ו- YaakovCohen88
    באמצע מאי 2019 פרסמה חברת Check Point סדרת אתגרים כחלק מקמפיין גיוס עבור ה-Check Point Security Academy. האתגרים חולקו לארבע קטגוריות: רברסינג, פיתוח, קריפטוגרפיה ושונות. במאמר זה מציגים Dvd848 ו-YaakovCohen88 את הפתרונות שלנו לסדרת האתגרים.

  • Having Fun With Binary Formats - נכתב ע"י יובל יוחנן
    במאמר זה מסביר יובל לעומק מה קורה כאשר מריצים את הפקודה ls בטרמינל, או מה קורה כשאתם מריצים סקריפט פייתון תחת מערכת ההפעלה לינוקס, כל מה שרציתם לדעת על Binary Formats ואף כיצד לכתוב אחד בעצמכם.

  • המארב הפרוע - SRUM ומבט לעתיד עולם ההגנה - נכתב ע"י אורית כהן ושי נחום
    SRUM הינו אובייקט פורנזי חדש שהופיע החל מ-Windows 8. במאמר זה אורית ושי יסבירו על SRUM ומה תפקידו. כיצד ניתן להשתמש בו בעת חקירה פורנזית בתור מגנים וכיצד ניתן לפגוע בפעילותו בתור תוקפים.

  • האבולוציה של אבטחת רשתות WI-FI - נכתב ע"י תומר איזנברג, נגה אור ואור הופרט-גרף
    במאמר זה סוקרים תומר, נגה ואור את עולם אבטחת המידע של רשתות ה-Wireless לאורך השנים האחרונות, הם יסבירו בקצרה על הפרוטוקול WEP ובהרחבה על הפרוטוקולים WPA, WPA2 ו-WPA3.
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל   


תגובות על 'הגליון המאה ואחד-עשר של DigitalWhisper שוחרר!':



#1 

פקמן:
ראשון!
לפי הכותרות נראה נושאים לטעמי... :)
01.10.2019 20:51:00

#2 

שמיל (אורח):
תודה על המאמרים!

מה רע ב-Teamviewer?
03.10.2019 19:50:19

#3 

אורח (אורח):
תודה על גיליונות מצויינים!
לגבי אבטחה בזמן טיול תמיד יש הפתרון - "אל תצא לטיול" P:
ועכשיו ברצינות,אני מאמין שהכול תלוי במה ה assets שלך ולפי זה להתאים מענה הגנה. פתרון של טאבלט לא כדאי?
07.10.2019 12:49:21

#4 

עידו (אורח):
קודם כל, כל הכבוד על הגליונות, אני נהנה כל פעם מחדש.

אתה יכול לקחת איתך את המחשב (לינוקס) בארנק, לא, לא התכוונתי לdok עם מערכת לייב לינוקסית, שמעת על raspberry pi zero? אם לא, כדאי לך,
מחשב שנכנס לארנק, אמנם הוא לא מי יודע מה חזק אבל בהחלט בסדר גמור (יש את שאר סדרת הraspberry pi שהם כבר יותר חזקים, אבל גם קצת יותר גדולים), החיסרון זה צורך במסך ומקלדת (לא ציפית שגם הם יכנסו לארנק, נכון?!), מקלדת, שמעתי על כאלה מתגלגלות מסיליקון שאפשר בקלות לסחוב, ובשביל מסך אפשר לחבר לטלויזיה בחדר, כמובן, אפשר תמיד לשלוט על ידי הפלאפון עם vnc או לחבר לטלויזיה ולהשתמש בפלאפון כמקלדת בssh, אבל לדעתי הפתרון הראשון הכי טוב.
07.10.2019 23:26:21

#5 

דייב (אורח):
תודה רבה על המאמרים!

והנושא שהעלתם - חשוב מאוד, אני לא מכיר היום פתרון כללי לבעיה, אבל יש לא מעט פתרונות Passwordless מבוססי התקן פיזי (כמו Ubikey) או מבוססי WebAuthn כגון Fido2:
https://fidoalliance.org/fido2 ששווה להסתכל עליהם.
10.10.2019 07:19:00



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2019 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.