הגליון המאה שלושים ואחד של DigitalWhisper שוחרר!


ברוכים הבאים לגליון ה-131 של DigitalWhisper.
 
חולשות... במבט רטרוספקטיבי, מאז שאני זוכר את עצמי הייתה לי החולשה לחולשות. אם מדובר בחולשות "קלאסיות" במערכות מידע, אם חולשות במנעולים, אם חולשות במשחקי קופסא או באופן כללי - חולשות בדפוסי חשיבה. בכל משחק (פיזי או אלקטרוני) שהייתי משחק, הייתי נהנה לחשוב איך ניתן לבצע בו מהלכים "לא הוגנים" אך מבלי לעבור על סט החוקים. זאת אומרת: לחפש מקרי קצה, צעד או מהלך כזה שמצד אחד הוא חוקי לחלוטין עונה על כלל ההגדרות של המשחק, אך מצד שני - ברור לכולם שלא זאת הייתה כוונת המשורר ובזכותו אני אקבל יתרון על פני שאר השחקנים שלא הפגינו את סגנון המחשבה הזה.
 
מעולם לא הייתי שחקן תחרותי, המטרה שלי, וגם ההנאה שלי לא הייתה באה מלנצח באותם משחקים את השחקנים האחרים אלא מלנצח את המשחק עצמו, מעין "לנצח" את זה שהמציא את חוקי המשחק.
אני חושב שכחלק מאוד מרכזי מהעניין הזה, מאוד נמשכתי "לקסמים", ובייחוד לכאלה מבוססי זריזות ידיים, ובאופן יותר ספציפי: קסמי זריזות ידיים בקלפים. למרות שבדרך כלל קסמים כאלה היו מלהיבים פחות, הם היו קצרים ביחס לקסמי במה שניתן היה לראות מבוצעים על-ידי קוסמים בטלויזיה, ולא היו משולבים בהם אפקטים פירוטכניים כאלה ואחרים, אני ראיתי בהם הפסגה של עולם הקסמים.
 
זריזות ידיים בקסמי קלפים ריתקה אותי באופן הזה דווקא מכיוון שמלבד זוג הידיים של הקוסם, חבילת קלפי קרטון פשוטה והמוח של הצופה - לא היה שם שום דבר: שום אביזר, לא במה מסתובבת, לא עוזרת המתחבאת מאחורי וילון שחור או בתוך קופסא, לא סכין מתקפלת ולא שום כדור שמסתתר בכיס חבוי, רק הידיים של הקוסם - כנגד העיניים והמוח של הצופה. מבחינתי - כדי שקסם כזה יצליח הוא חייב לנצל חולשה במוח של הצופה: המוח של הצופה רואה את הקלף שהוא בחר נעלם בחבילת הקלפים בעוד שבפועל הקוסם עדיין אוחז בו ומגיש אותו לצופה ביחד עם מספר קלפים אחרים. כדי שדבר כזה יעבוד חייבת להיות כאן ניצול של איזשהי חולשה במוח של הצופה.
 
בעצם, ניתן לפרש כל קסם כאל ניצול של חולשה כזאת או אחרת במוחות של הקהל הצופה. אך להרגשתי, ככל שהקסם פשוט יותר וכולל כמה שפחות אביזרים כך החולשה מבחינתי היא יותר "נקייה", או במונחים אחרים - יותר "לוגית".
 
וזה נכון שבתחום שלנו כל חולשה היא לוגית, ולא משנה כמה Pointer-ים שוכתבו, כמה Buffer-ים הוצפו או כמה Register-ים נדרסו - החולשה היא לוגית וה-Flow שהמעבד יבצע יהיה לוגי, קסמים לא באמת קיימים. אך עם זאת, יש הבדל לא קטן בין ניצול של כשל לוגי "והשארות" בתוך גבולות סט החוקים שאליהם התכוון המתכנת ב-Design המקורי של התוכנה, לבין ניצול קוד שנכתב באופן לקוי ולא מאובטח ומתוך כך ניתן להשתלט על Flow הריצה של התוכנה ולקפוץ ל-Shellcode שנשתל מראש באותה הכתובת.
 
ושלא תבינו אותי לא נכון, בשני המקרים מדובר באומנות של ממש, ועם כמות רכיבי ההגנה שיש היום ברוב מערכות ההפעלה, Framework-ים או מעבדים - מדובר, ככל הנראה, בשיא התחכום של התעשייה שלנו. אך כמו שהלב שלי נמשך יותר לתחום זריזות הידיים וקסמי הקלפים, כך גם בעולם החולשות, הלב שלי תמיד יהיה שמור לחולשות הלוגיות, כאלה שניצול שלהן הוא עדות לניצחון "על זה שהמציא את חוקי המשחק". 
 
ממש לאחרונה פורסמו שתי חולשות לוגיות הראשונה: PrintNightmare, מאפשרת Privilege Escalation או Remote Code Execution ב-Windows, והשניה: CVE-2021-3560, מאפשרת Privilege Escalation על כמעט כל הפצת לינוקס מעודכנת שמשתמשת ב-systemd (אלו רק דוגמאות, פורסמו בחודשים האחרונים עוד חולשות לוגיות מטורפות לא פחות, כמו ה-ZeroLogon למשל). שתי החולשות הנ"ל "כל כך לוגיות" כך שכאשר קראתי את ההסבר של החולשה הראשונה, הרגשתי כאילו קוסם מסביר לי איך הוא ביצע מולי קסם ולמרות שהייתי בטוח שמה שיש לי ביד זה ג'וקר, בפועל החזקתי 3 עלה, ואת החולשה השניה אפשר להפעיל בעזרת 3 שורות bash "רגילות" לחלוטין...
 
פרסומים של חולשות כאלה מנגנים אצלי ספציפית על רגש מאוד ישן מהילדות, רגש כזה שמלווה אותי עוד היום, וקריאה אודותיהן תמיד תחזיר אותי אחורה ותשלוף ממני חיוך של אותו ילד בן 10 שהייתי.
 
 
ואתם כבר מכירים את הנוהל: אין דבר כזה שניגשים לתוכן לפני שאומרים תודה לכל מי שבזכותו פרסמנו גליון כזה שווה החודש! אז... תודה רבה לעדי מליאנקר, תודה רבה לאלי קרמינצ'וקר, תודה רבה לתומר דריקר (NapongiZero) ותודה רבה לאליק קולדובסקי! 
 
  
החודש, הגליון כולל את המאמרים הבאים: 
  • Lost in Deserialization - מאת עדי מליאנקר
    במאמר זה נכנס עדי לעובי הקורה של ההתקפות השונות של Insecure Deserialization ויציג מחקר שביצע אודות האפשרויות השונות שההתקפה פותחת לנו כתוקפים. כמו כן, מאמר זה יעסוק בכמה שאלות מחקר בשפות השונות. לא כל ממצאי המחקר שביצע יפורסמו במאמר, שכן על חלקן נפתחו CVE-ים אשר עדיין לא תוקנו.

  • SSRF - השרת כסוכן כפול - מאת אלי קרמינצ'וקר
    פגיעות Server Side Request Forgery (SSRF) אינה חדשה והוצגה כבר למעלה מעשור. אולם, עם הזינוק בשימוש בפרוטוקול HTTP בשירותים שאינם Web-יים במהותם, כגון מסדי נתוני, שרתי מטמון ועוד, בנוסף לעלייה בשימוש בשירותי ענן, הפגיעות הפכה לקריטית וניצולה יכול להוביל להשלכות חמורות על שרת האפליקציה והרשת הפנימית של ארגונים. במאמר זה סוקר אלי את הפגיעות, ניצולים אפשריים שלה ואת הקושי שבהגנה מפניה.

  • Defeating Code Obfuscation with Angr - מאת תומר דריקר (NapongiZero)
    במאמר זה מדגים תומר, שלב אחר שלב, כיצד ניתן לבצע הינדוס לאחור של קוד שעבר אובפוסקציה בעזרת שימוש בכלי Angr. חבילת ספריות בפייטון 3 אשר מאפשרת לטעון קובץ הרצה ולעשות לו הרבה דברים מגניבים.
 
  • לשלוף calc מהאוזן (טכניקות להסתרת הרצת קוד דינאמית במתקפות שרשרת אספקה) - מאת אליק קולדובסקי
    פרויקטי קוד פתוח הם מבורכים ומאפשרים שיתוף ידע בין מיליוני משתמשי האינטרנט, במקום שכל אחד יממש בעצמו חבילה לטיפול בבקשות http, מישהו אחד (אולי 2) כבר מימש את זה עבורם ונתן להם את הפנאי להתפנות למשימות החשובות ביותר. ועם גודל הפוטנציאל של חבילות אלו, כך גם גודל הסכנה. השילוב בין העובדה שחבילות רצות כקוד על המחשב של הנתקף, ביחד עם העובדה שלא מורכב במיוחד לגרום לקורבן להריץ את הקוד הזדוני, נותן למתקפות מסוג זה, שקיבלו את השם "מתקפות שרשרת אספקה", עוצמה קטלנית. במאמר זה יעסוק אליק במתקפות אלו ממספר כיוונים.

 
 
 
                                                                    קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל   


תגובות על 'הגליון המאה שלושים ואחד של DigitalWhisper שוחרר!':



#1 

שני (אורח):
שני
01.07.2021 00:34:03

#2 

אורח (אורח):
c P קוראים לקסמים האלו closed up
01.07.2021 08:18:12

#3 

חזי דין (אורח):
תודה על הפרסום!
02.07.2021 19:47:47

#4 

ראשון (אורח):
מאמרים מרתקים! וגם הדברי פתיחה! תודה לכם!
03.07.2021 09:45:55

#5 

אורח (אורח):
תודה רבה, מעניין מאוד !
08.07.2021 09:56:31



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2021 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.