הגליון המאה עשרים ושמונה של DigitalWhisper שוחרר!
ברוכים הבאים לגליון ה-128 של DigitalWhisper, גליון אפריל 2021!
אני מאמין שרובכם שמעתם על העניין עם PHP, אבל למי מיכם שאיכשהו פספס, אז ממש לפני 3 ימים, בוצעו שני commit-ים לאחד ה-Repo המרכזיים של PHP, אחד על-ידי ה-Project Founder והשני ע"י אחד ה-committer-ים המרכזיים של הפרוייקט. כך התחילה ההודעה שפורסמה ברשימת התפוצה של php-internalls ו-php-doc:
"Yesterday (2021-03-28) two malicious commits were pushed to the php-src repo from the names of Rasmus Lerdorf and myself. We don't yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account)."
קטעי הקוד שנוספו במסגרת שני ה-commit-ים היו זהים ובעלי אותו התפקיד, מטרתם הייתה לגרום להרצת קוד על השרת במידה ובקשת ה-HTTP הכילה Header בשם User-Agentt שהתחיל ב-"zerodium". לפי התגובות של החבר'ה ב-PHP, ה-commit-ים זוהו ישר ובוטלו ולא הספיקו להגיע אל מחוץ לשרת ה-Git. החבר'ה מ-Zerodium כמובן מכחישים כל קשר לעניין, ובצדק, אין באמת שום סיבה לחשוד בהם.
פרצו לשרת ה-Git? האם המטרה הייתה באמת להכניס Backdoor ל-PHP? לכו תדעו, לי מרגיש שאם כל זה היה קמפיין של איזו מעצמה שמנסה להשתלט על האינטרנט (אחרי הכל, הנתונים מראים ש-php מחזיקה 80% מהעמודים הדינאמיים באינטרנט) תוכנית הפעולה שלהם הייתה קצת יותר זהירה - לפחות כמו הפעם הקודמת שזה קרה (שבה, מי שהתקין PEAR במשך חצי שנה התקין גם Backdoor על השרת שלו). אז או שמדובר בקמפיין כושל או באיזו מתיחה לא כל כך מצחיקה.
לכאן או לכאן - כחלק ממספר צעדי מנע, ניהול הקוד של PHP עבר להיות ב-Github (עד כה הוא היה מנוהל במערכת Git פרטית בשם Karma ב-php.net). מעניין מאוד יהיה לראות עד איפה זה יתפתח, ובכל מקרה, אני מאוד מתחבר לדברים שצוטטו ע"י HD Moore בנושא:
"Sounds like the attackers are trolling Zerodium or trying to give the impression that the code was backdoored for much longer, Either way, I would be spending a lot of time going through previous commits if I had any security interest in PHP.”
קצת מזכיר את האירוע של Perl שפקד אותנו לפני ממש לא הרבה זמן. אם אכן מדובר בנסיון להשחיל Backdoor ולא משהו שיתברר כבדיחה מוקדמת לקראת ה-1 באפריל אז מעניין אם יש קשר בין השניים. אני בכל אופן, אמשיך לעקוב אחרי ההתפתחויות בנושא.
וכמובן - לתודות!
תודותינו נתונות לכל מי שהקדיש מזמנו החודש על מנת ליצור את רצף הביטים הכל כך מעניין הזה: תודה רבה לאופיר מנצור, תודה רבה לאליק קולדובסקי תודה רבה ל-Dvd848, תודה רבה ל-zVaz, תודה רבה ל-YaakovCohen88, תודה רבה ליואב לוי תודה רבה לדניאל איסקוב!
קריאה מהנה!
ניר אדר ואפיק קסטיאל
תגובות על 'הגליון המאה עשרים ושמונה של DigitalWhisper שוחרר!':
#1 |
 |
ראשון (אורח): ראשון 01.04.2021 08:34:21 |
#2 |
|
אורח (אורח): יש למישהו את קבצי מקור של אתגרי השבכ /ds ? 01.04.2021 08:36:22 |
#3 |
|
שירותי בריאות כללית (אורח): פה: https://archive.org/details/shabak-challenge-2021 01.04.2021 09:56:24 |
#4 |
|
Detective Conan (אורח): ישנה טעות כתיב בשורה השניה בדף מספר 3: כתוב כבחידה במקום כבדיחה. 02.04.2021 00:10:10 |
#5 |
|
אורח (אורח): בנוסף, ישנה שגיאת כתיב בדף הנוכחי: "כחלק מהפתורונות" במקום "כחלק מהפתרונות". 02.04.2021 12:24:09 |
#6 |
|
cP (אורח): תודה! התיקונים הוכנסו :) 02.04.2021 17:50:31 |
#7 |
|
SnipSkill (אורח): תודה רבה על עוד גליון לפנים! :) אני מאוד מעוניין לדעת מאיפה אתה אפיק או כל קורא אחר משיגים את המידע החדש בעולם אבטחת המידע כגון ה Commit הזה שהוכנס ל PHP לפני כמה ימים? תודה רבה מראש :) 03.04.2021 09:16:55 |
#8 |
|
cP (אורח): בתור התחלה הייתי ממליץ לך להוסיף את netsec מ-reddit ל-rss feed שלך: https://www.reddit.com/r/netsec לאחר מכן, במידה ואתה לא משתמש ב-rss feed הייתי ממליץ לך להשתמש באחד כזה (אישית אני משתמש ב-Feedly אבל כנראה שיש עוד מלא מומלצים). בשלב זה תתחיל לעקוב ולהכנס לקישורים מעניינים שמופיעים באותו subreddit, כל קישור כזה בדרך כלל יפנה אותך לבלוג / מקור מידע כזה או אחר - אם התוכן שקראת באמת עניין אותך, תוסיף גם אותו ל-rss feed שלך, וככה אם יתפרסם בו פוסט שלא הגיע ל-netsec אתה לא תפספס אותו. תתחיל בזה, ואם עוד חודש לא תגיע לכמות עדכונים ותוכן שמספק אותך - צור איתי קשר דרך הלינק באתר :) 03.04.2021 20:13:36 |
#9 |
|
SnipSkill (אורח): תודה רבה על השיתוף! אני סמוך ובטוח שאני אגיע למספיק מקורות תוכן איכותיים בעזרת ה subredit הזה :) 03.04.2021 21:39:44 |
#10 |
|
idov (אורח): היי, חיפשתי את התשובה לשאלה של יואב לוי במאמר שלו ללמה ntdll.dll נטען תמיד ומצאתי את התשובה בstackoverflow שהפנה אותי לעמוד המתאים בWindows Internals: https://books.google.co.il/books?id=w65CAwAAQBAJ&lpg=PT379&ots=4Ws2o5ToUs&dq=is+ntdll.dll+always+loaded&pg=PT379&redir_esc=y#v=onepage&q=is%20ntdll.dll%20always%20loaded&f=false מקווה שזה עוזר :) 03.04.2021 22:00:49 |
#11 |
|
יואב לוי (אורח): היי idov, לגבי ntdll.dll רשום במאמר שידוע למה הוא נטען ויש שם גם מובאה מגרסה חדשה יותר של הספר שקישרת אליו (עמ' 9 במאמר). מה שלא ברור זה למה kernel32.dll ו-kernelbase.dll נטענים גם הם :) 03.04.2021 23:32:25 |
#12 |
|
cP (אורח): George - תודה :) 24.04.2021 21:39:18 |
הוסף את תגובתך:
