הגליון המאה עשרים וחמישה של DigitalWhisper שוחרר!


ברוכים הבאים לגליון ה-125 של DigitalWhisper, גליון ינואר 2021! 
 
השנה החולפת הייתה ללא ספק שנה מפתיעה מבחינת כל הציפיות. ובדיוק לקראת סופה, כשכבר סביר ניתן היה להניח שאולי כלו להן כל ההפתעות - דיווחו בחדשות על שני אירועים חריגים מבחינת אבטחת המידע: הראשון בזירה המקומית - הפריצה לחברת הביטוח שירביט, והשני בזירה העולמית - הפרסום של FireEye על כך שבזמן שהיא חקרה מקרה תקיפה אצלה ברשת, היא זיהתה Backdoor שהוחדר למוצר Solarwinds של חברת Orion.
 
אל המקרה הרשון אתייחס בהמשך. הפרטים הטכניים של המקרה השני הם מעניינים עד מאוד, אני ממליץ בחום לכל מי שלא הספיק לקרוא אודותם - לעשות זאת. מכיוון שנכתב על הפרשות הללו אינספור מילים, אני לא רואה טעם בלהוסיף עוד. עם זאת, כן ארצה להתייחס אליהן - אך מזווית מעט שונה, שלדעתי משותפת לשניהם ולעוד מספר לא קטן של מקרי פריצה שמתפרסמים חדשות לבקרים.
 
בעת חשיפת המקרה של Solarwinds, זוהו מאות אלפי חברות אשר עושות שימוש במוצר לניטור הרשת שלהן, ביניהן שלל גופים צבאיים, בטחוניים, אזרחיים, כלכליים, חברות ענק פרטיות ועוד, כך שקשה לדמיין שיש אדם אחד מאזרחי העולם המערבי שלא מושפע מלפחות 20 מהן ברמה היום-יומית.
 
החדירה לאותן הרשתות בוצעה (לפי הפרסומים) ע"י האקרים מה-SVR (הגוף שאחראי על איסוף מודיעין מחוץ לגבולותיה של רוסיה), מדובר ככל הנראה באחת מקבוצות העילית של תחום ההאקינג המדינתי. ואם זה אכן הם, אז אנחנו ככל הנראה לא מסוגלים באמת לדמיין באילו כלים ושיטות הם השתמשו (ותהיו בטוחים שמה שנתפס זה רק קצה הקרחון), לא מבחינת טכניקות התקיפה שלהם, לא מבחינת הרמה הטכנולוגית של הכלים בהם הם עשו שימוש ובפרט - שיטות ה-Persistency שלהם.
 
כחלק מפרסום קטלוג טכנולוגיות ההאקינג של ה-NSA, שפורסם ב-2013 ע"י אדוארד סנודן פורסמה יכולת Persistency בשם "IRATEMONK" שה-NSA עושים בה שימוש עוד מ-2008. מדובר ברכיב שבעת התקנתו הוא משכתב את ה-Firmware של ה-Harddisk הפיזי של המחשב וכך מאפשר לשרוד גם פירמוט כללי של מערכת ההפעלה. אם זה היה המצב ב-2008, אני חושב שסביר להניח שאנחנו אפילו לא מסוגלים לדמיין את יכולות האחיזה של אותם גופים במחשבים וברשתות כיום.
 
מה הנקודה שלי? הנה היא באה: אם פרצו לכם לרשת וזיהיתם את זה, הדרך היחידה שבה אתם יכולים להיות בטוחים לגמרי שהצלחתם למגר את אותם ההאקרים - היא לקחת את כל מה שיש לו מעבד והיה מחובר בדרך כזאת או אחרת לאותה הרשת, לזרוק אותו לפח, ולהרכיב אותה מאפס.
ואם לצטט את הכתבה ב-"The Guardian" של Bruce Schneier בנושא, אז: "The only way to ensure that your network isn’t compromised is to burn it to the ground and rebuild it".
 
וגם אז, תוכל להבטיח שאותם האקרים כבר לא נמצאים ברשת - רק עד שתחבר אותה שוב פעם לרשת האינטרנט.
 
כן... כן..., אני כבר שומע את חלקכם משתמשים בצמד מילות הקסם: "ניהול סיכונים" או "עלות ותועלת" ש-CISO-ים כל כך אוהבים להגיד כשהם מתכוונים למסמס את כשל האבטחה שהרגע הצגת להם. אבל תגידו מה שתגידו - אם נתקפתם, אין לכם שום דרך לדעת עד כמה עמוק ונסתר ה-Rootkit שהתקינו לכם ברשת, לא משנה איך תסובבו את זה או איך נראת סכימת ניהול הסיכונים שלכם. כשמדובר בחברה קטנה ופרטית העניין והסיכון של לא לבנות את הרשת מחדש הוא סביר. אבל כשמדובר בגופים שבהם הסבירות היא שאכן השתמשו בטכנולוגיות חלל שכאלה - לא להרכיב את הרשת מחדש שקול ללטמון את הראש בחול.
 
ואם מסתכלים על החברות המופיעות ברשימת הלקוחות אשר עשו שימוש ב-Solarwinds, זה מזעזע לחשוב שככל הנראה הרב המוחלט של אותן החברות לא יחשוב אפילו להקים את הרשת שלהם מחדש. ולא כי הן יתעצלו, אלא כי בהרבה מקרים זאת כנראה פעולה בלתי אפשרית (להקים את הרשת באופן הדרגתי שקול ללא לעשות כלום). קשה לי לדמיין את חברת Microsoft, Cisco, Mastercard, Visa או AT&T מרכיבים את הרשתות שלהם מחדש, לא כי קשה לי לדמיין כמה כסף וזמן אופרציה כזאת עשויה לקחת, אלא כי זה באמת בלתי אפשרי (תחשבו רגע על מה יקרה אם AT&T או חברת Mastercard ו-Visa יעלמו, אפילו רק לשבוע אחד מעל גבי הרשת).
 
אז מצד אחד ברור לנו שה-SVR פעל באותן הרשתות, ומצד שני, הפעולות שאותן החברות ינקטו בסבירות גבוהה לא יספיקו כדי למגר אותם משם. מה זה אומר? פשוט לקבל את העובדה שזה המצב? שה-SVR נמצא עמוק ברשתות של כל כך הרבה חברות פיתוח? חברות פיננסיות? תחשבו לרגע מה הוא יכול לעשות עם גישה לציוד של AT&T...
 
אז מה הפתרון שאני מציע? ברמה הפרקטית? שום דבר. מדובר בברדק כל כך גדול שאני לא בטוח שאפשר לעשות משהו. אבל אם יש פתרון כלשהו - הוא כנראה צריך להיות קיצוני ורדיקלי.
 
ומה עם שירביט? אני לא מכיר את הפרטים הטכניים של המקרה, ולכן לא ארצה להביע את דעתי עליו באופן פרטי. אבל ככלל, זה די ברור שארגונים בסדר גודל שכזה בארץ לא מסוגלים להחזיק את הרשת שלהם בסטנדרט האבטחה הנדרש, כדי להחזיק במאגרים עם המידע הפרטי והאישי של אזרחי המדינה כנגד מתקפות ממוקדות. אולי מדובר בעניין של מגבלות תקציב ואולי זה פשוט הלך הרוח הישראלי. אך שלא כמו במקרה של Solarwinds, כאן לפחות נראה שהפתרון הוא הרבה פחות סבוך: קל יותר להגן על מאגר אחד מאשר על אלפי מאגרים, ובמקום שעותקים של הפרטים האישיים של כולנו יישבו בכל כך הרבה שרתים וברשתות עם רמת תחזוקה מבישה, אפשר לייצר תשתית, שבעזרתה אותן החברות יוכלו להמשיך להתקיים ולאמת את זהותנו, גם מבלי להחזיק את המידע הפרטי שלנו אצלם במאגר. מה גם שבהרבה המקרים הם לא באמת צריכות אותו בשביל להמשיך לספק את השירות. 
 
צר לי מאוד על חברת שירביט ועל לקוחותיה, אבל במקרה הזה מדובר בפרשייה שניתן ללמוד ממנה ולהפיק ממנה תובנות פרקטיות של ממש לכלל המשק. ולכן אני מקווה שבעקבות האירוע הזה יעבירו רגולציות שימנעו מקרים כאלה בעתיד.
 

 
ולפני שתמשיכו למאמרים שאיתם בחרנו להתחיל את שנת 2021, נרצה להגיד תודה לכל אותם החברים שהקדישו מזמנם, ישבו וכתבו לכם מאמרים! תודה רבה לאמיר ישורון, תודה רבה לאיתמר מעודהתודה רבה ליהונתן אלקבסתודה רבה לגל ביטנסקי ותודה רבה ל-Yoav Shaharabani!

 
 
 
      קריאה נעימה,                             
אפיק קסטיאל וניר אדר                        

 
 
החודש, הגליון כולל את המאמרים הבאים: 
  • Native) Hypervisor from Scratch) - חלק ב' - מאת אמיר ישורון
    בשנים האחרונות השימוש בוירטואליזציה לצרכי הגנה על מערכות הפך נפוץ (לדוגמא Hyper-V של Microsoft), ומספר חוקרי האבטחה העוסקים בתחום גדל משמעותית. על רקע העליה הזאת, גדל גם הידע על כתיבת Hypervisor-ים. אך עם זאת, מידע על כתיבת Native Hypervisor - נמצאו פחות. מאמר זה הינו חלק שני מתוך שני חלקים בהם יציג אמיר ישורון את עולם ה-Native Hypervisor, ובפרט - כיצד כותבים אחד כזה מאפס. בחלק זה יציג אמיר, בין היתר, את אתחול ה־VMCS, תקשורת בין יחידות עיבוד, אתחול ה־hypervisor מעל כל ליבות המעבד, ביצוע hook לפסיקות BIOS וכן העלאת מערכת ההפעלה.

  • פיתוח Rootkit בלינוקס - חלק ב' - מאת איתמר מעודה
    מאמר זה הינו חלק שני מתוך שני מאמרים שבהם יציג איתמר מעודה כיצד ניתן לכתוב Rootkit למערכת ההפעלה לינוקס. המטרה היא ליצור Kernel Loadable Module שיאפשר לעקוב אחר המשתמש במחשב תוך כדי הסתרת נוכחותו. בחלק זה יציג איתמר כיצד להסתיר את המצאות ה-Rootkit מפני מספר מנגונים הקיימים במערכת ההפעלה: מערכת הקבצים, רשימת התהליכים ורשימת ה-Socket-ים הפתוחים. המאמר נכתב במטרה להציג את שיטת המחקר של כותב ה-Rootkit, ומוביל את הקורא שלב אחר שלב בתהליך המחקר.

  • IEEE 802.1x, פתרונות NAC, EPP ומה שביניהם - מאת יהונתן אלקבס
    מאז ומתמיד רוב ההשקעה באבטחת מידע בארגונים גדולים התמקדה באיומים המגיעים מבחוץ, אך בשנים האחרונות הבשילה ההבנה כי איומים פוטנציאלים עשויים לבוא גם מכיוון הבית. במאמר זה, מציג יהונתן תחום אשר נועד להגן את הרשת דווקא מחבריה, ובין היתר, יציג פתרונות NAC שונים, EPP, תהליך האימות של IEEE 802.1x וחלקיו השונים,  פרוטוקולים שונים ממשפחת EAP, ואיך לא - חולשות שונות בעולם זה. מטרת המסמך היא פשוטה - להסביר בקצרה על כל נושא של טכנולוגיות NAC השונות, להסביר כיצד הוא מתקשר לנושא רחב יותר - EPP ולבסוף לפרט בצורה מעמיקה על תקן 802.1x והחלקים שמרכיבים אותו. 

  • איך מתחמקים בקלות מסורקי קישורים? - מאת גל ביטנסקי
    במאמר זה מציג גל את כיצד לעקוף את סורקי הקישורים - אותם מנגנונים שאחראים לאתר ולסרוק קישורים אשר מועברים בין המשתמשים, בדרך כלל לטובת בדיקת הלגיטימיות שלהם והאם הם מפנים לכתובות זדוניות. כחלק מהמאמר, יציג גל כיצד ניתן לעשות להם לתחום ה-fingerprinting. המאמר יכלול שלל דוגמאות לכשלים בהם נתקל גל במהלך המחקר המאפשרים לתוקף לעקוף כל אחד ואחד מהמוצרים הנפוצים היום ולהיות צעד אחד קרוב יותר למעקף שכבות ההגנה בארגונים כיום.

  • Cheating is for assholes… And Smarties - חלק ג' - מאת Yoav Shaharabani
    מאמר זה הוא המאמר השלישי בסדרת המאמרים של יואב המציג את תחום הכנת הצ'יטים למשחק CubeWorld. במאמר הראשון הציג יואב דרכים לבצע מיפולציה על מבנה השחקן, במאמר השני יואב הציג את האובייקט של העולם ודרכו להגיע אל האובייקט של השחקן שלנו. במאמר זה נשתמש במידע שהשגנו ונשתמש בטכניקת hooking כדי להציג ריבועים על המסך איפה שהדמויות נמצאות. כותב המאמר מניח כי לקורא יש  ידע בסיסי באסמבלי, בשפת התכנות C או C++, ובזיכרון וירטואלי ומרחבי הכתובות.
 
 
 
 
                                                                    קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל   


תגובות על 'הגליון המאה עשרים וחמישה של DigitalWhisper שוחרר!':



#1 

ראשון (אורח):
ראשוןןןן סטף סוף!
31.12.2020 22:58:53

#2 

P0r74bl3 (אורח):
cP - אני מאוד מזדהה עם הדברי פתיחה שלך אבל אני חושב שלהחליף את כל הרשת זה לא הגנה ב100%. ההנחה שרכיב רשת חדש הוא תקין היא לדעתי הנחה עדיין בעייתית (למשל שתל משהו ברמת היצרן - ראינו שלסמוך על שירותים של חברות חיצוניות לא תמיד עזר כמו בstuxnet).

זה נשמע שלמצוא את הפרצות כאלו ולכתוב את הכלים ברמה הזו זה דבר מה בכך. אני לא חושב שאני מומחה אבטחת מידע, אבל לדעתי זה לא כל כך קל. אבל, החולשות האלו נמצאות שם איפשהו רק צריך להיות מספיק מיומן כדי למצוא אותם.

לגבי פרטיות, יש בידי הרבה חברות מידע פרטי שהוא לפעמים גם מאוד מסוכן גם אם נראה לנו שהוא לא כל כך מסוכן. אני מניח שלשרים בממשלה יש חשבון gmail שמקושר למספר שלהם או לחילופין הם עובדים עם פלאפון חכם (ראה ערך הפריצה לגנץ).

לגבי מה לעשות בנידון, פעם שמעתי משל שמומחה אבטחת מידע זה כמו רופא עור. הוא לא תמיד יצליח בטיפול אבל אתה גם לא יכול בלעדיו (המצב רק יחמיר) - להבנתי הדלה, הכול תלוי באילו רמה הגנה נדרשת ומה הסיכוי לנזק (גילוי נאות גם אני שונא המושג ניהול סיכונים אבל לצערי אנחנו לא בעולם ורוד שאפשרי להשקיע בהכול).

שוב אני לא מומחה, אני רק אומר את דעתי.
31.12.2020 23:22:33

#3 

ירון (אורח):
תודה רבה לכולם!

בהמשך למה שכתבתם בדברי הפתיחה - מיקרוסופט זיהו שמי שתקף אותם הצליח להשיג גישה לקוד המקור של חלק מהמוצרים שלהם! הם כתבו על זה בבלוג שלהם:

https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/
01.01.2021 21:45:50

#4 

אחד (אורח):
תודה רבה!!
07.01.2021 07:12:58



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2021 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.