הגליון המאה שלושים ושישה של DigitalWhisper שוחרר!
אז אחרי הפסקה של שלושה חודשים, קצת יותר מאלף קילומטרים ו-73 ימים מחוץ לבית - הנה אנחנו עם גליון חדש!
לשביל ישראל יצאנו אומנם בתחילת נובמבר, אך שירת הברבור של שנת 2021 הייתה כה חזקה כך שניתן היה לשמוע אותה גם עד הרי אֶדום הרחוקים. הופעתן של חולשות עם ציון 10.0 במדד CVSS הן תמיד אירוע בסדר גודל קולאוסאלי. גם אם תנסו לייצר באופן מלאכותי "חולשת-על" ותנסו למדוד אותה ב-CVSS, תראו מהר מאוד שיהיה לכם קשה לחצות את גבול ה-9.8. חולשות שפוצצו לנו את הדמיון כמו Heartbleed, DirtyCow, או Spectre קיבלו ציונים "מביכים" של 7.5, 7.8, ו-5.6. EthernalBlue קיבלה רק "8.1" ומדובר בחולשה שגם אחרי שהיא נסגרה יצרה נזק של מעל למליארד דולר ביותר מ-65 מדינות. כל החולשות הנ"ל הן חולשות שבעקבות פרסום של כל אחת מהן התעשייה געשה: עדכוני מערכת שוחררו מחוץ למחזור, מערכות הפעלה ומוצרים שהתמיכה בהם פגה - קיבלו עדכונים, משרדי הגנה מדינתיים הוציאו מזכָרים רשמיים וקריאה לָחָברות שבשטח שיפוטן לעדכן בדחיפות.
לקראת סוף שנת 2020, החבר'ה מהבלוג Debricked פרסמו מחקר קצר שהם ערכו בנושא, הפער הקיים בין כמות החולשות עם ציון 9.8 לבין 10.0 נראה לא כל כך טבעי במבט ראשון: ממוצע החולשות שפורסמו בשלושת השנים 2017-2019 עם ציון 9.8 עלה על 2,500, ובכל השנים הללו גם יחד לא פורסמו יותר מ-150 חולשות עם הציון 10.0. שווה להציץ.
Heartbleed הייתה אומנם יחסית קלה לניצול, ובעזרתה ניתן היה לקרוא מהזיכרון של אינספור שרתי HTTP, אך עדיין לא מדובר בהרצת קוד של ממש. בעזרת EthernalBlue ניתן היה להריץ קוד על רוב מערכות ההפעלה של חברת Microsoft מרחוק, אך תהליך ההשמשה והניצול שלה לא היה פשוט, ובנוסף - ברב המקרים הממשק הפגיע לא היה נגיש ישירות מהאינטרנט. בעזרת DirtyCow אומנם ניתן היה להשיג הרשאות גבוהות בכמעט כל מערכת הפעלה מבוססת לינוקס, אך ניצול של החולשה הנ"ל היה משאיר את מערכת ההפעלה במצב מאוד לא יציב שברב המקרים גרם לקריסתה (וכן העובדה שהאקר אשר היה מעוניין לנצל את החולשה הנ"ל היה צריך למצוא קודם לכן דרך להריץ קוד על המערכת). הדוגמאות הנ"ל מראות לנו שגם אם נמצאה חולשה חזקה מאוד שעלולה לגרום להרבה מאוד נזק במידה ולא נעדכן אותה - ברב המקרים, בלעדיה בלבד, התוקף עדיין מוגבל יחסית.
כשמסתכלים על חולשות עם ציון 10.0 קל מאוד לזהותן. היחס של רמת פשטות ההשמשה וניצול החולשה אל מול פוטנציאל הנזק ההיסטרי שניתן לייצר באמצעותן הוא לא מידתי בקנה מידה מפחיד. הטירוף והפאניקה שחווים צוותי ה-IT והתשתיות בעת אירועים כאלה תוך כדי נסיונות למזער את הנזק מותירים שריטות עמוקות מאוד.
Log4shell היא חולשה כזאת, רמת מורכבות הניצול שלה מביך יותר מהשיר האחרון של סטטיק ובן אל, האפקט על המערכת הפגיעה היא השתלטות מלאה, נפוצות הספריה הפגיעה היא היסטרית, וניתן לתקוף באמצעותה גם מערכות שאינן מחוברות באופן ישיר לאינטרנט. התוצאה: תסריט אימים.
אירועים כאלה הם בלתי נמנעים, וכמו שפעם במאה שנה צצה לה מגיפה שמנסה להכחיד את כל האנושות, כך גם חולשות כאלה צצות. הפעם החולשה דווחה במדיניות Responsible Disclosure, מה שמנע מההיסטריה הגדולה שהייתה להיות גדולה אף יותר. שורות הקוד הפגיעות קיימות עוד מ-2013, והפגיעות במזל לא נמצאה ע"י ארגוני פשיעה (האומנם?), אך סביר מאוד להניח שהפרטים במקרה הבא, או זה שיגיע אחריו, יהיו הרבה פחות סלחניים.
וכמו עם הקורונה - כל עוד הגבנו מספיק מהר ונשארנו בחיים, כל שנותר לנו הוא להשתמש בתרחיש ששרדנו כדי להבין מה היה עולה בגורל הרשת והתשתיות שלנו, אם לא היינו מספיקים להגיב במהירות המתאימה, או אם היו קצת יותר פרמטרים לרעתנו. במטרה, כמובן, להיות חזקים יותר לקראת התרחיש הבא שיבוא.
בהצלחה לכולנו...
וכמובן, נרצה להגיד תודה מעומק הלב לכל מי שתרמו החודש מזמנם וממרצם ושקדו על מאמרים כדי שנוכל לחזור מהפגרה עם גליון כזה מוצלח! אז קבלו אותם: תודה רבה לעידן שכטר, תודה רבה לעדן ברגר, תודה רבה לאור דוד, תודה רבה ליהונתן אלקבס, תודה רבה לדניאל גובני, תודה רבה לעידן סטרובינסקי, תודה רבה לאור גלובוס, תודה רבה ליובל סיני ותודה רבה לעמית ניר!
קריאה נעימה,
אפיק קסטיאל
החודש, הגליון כולל את המאמרים הבאים:
-
Log4Shell - החולשה ששברה את האינטרנט - מאת עידן שכטרבסוף שנת 2021 פורסמה באינטרנט החולשה Log4Shell, חולשת הרצת קוד בספריית Java פופולרית מאוד. החולשה קלה לניצול, נפוצה מאוד ובעלת פוטנציאל נזק משמעותי מאוד, ולכן זכתה לציון 10/10 ב-CVSS. במאמר זה סוקר עידן את החולשה מקצה לקצה, כיצד נראה שימוש לגיטימי בספריה הפגיעה, ממה החולשה נובעת, כיצד ניתן לנצלה וכמובן - כיצד ניתן להתגונן מפניה.
-
Secure SHell in Unsecure System - מאת עדן ברגרכולנו מכירים את המוצר SSH ומשתמשים בו על בסיס יום-יומי כדי להתחבר בבטחה לשרתינו. אך לא כולנו יודעים כי מספר רב מאוד של פיצ'רים הנתמכים באופן דיפולטיבי במוצר יכולים לשמש גם את מי שרוצה לתקוף אותנו. במאמר זה מציג עדן יכולות שנמצאות שנים רבות בתוך ssh, אך פשוט קצת מוחבאות בתוך ה-man pages.
-
Azure DevOps Exploitation - מאת אור דוד ויהונתן אלקבסAzure DevOps היא סדרת שירותי ענן וכלים שכל מהותם היא לתמוך במחזור הפיתוח ולאפשר סביבה שאינה תלויה בפלטפורמה, בשפות התכנות, בשירותי הענן ובתשתית בה עובד הארגון. במאמר זה מציגים אור ויהונתן הסבר על אופן השימוש בפלטפורמה זו וכיצד ניתן בעזרתה לייצר תהליך תומך פיתוח. לאחר מכן - הם יציגו כיצד לנצל פיצ'רים באותה הפלטפורמה כדי לבצע בה פעולות זדוניות המאפשרות להשתלט על תהליך ייצור המוצר.
-
פתרון למכונת Secret של HackTheBox - מאת דניאל גובניHackTheBox הינה פלטפורמת אתגרי האקינג המכילה אתגרים ברמות וקטגוריות שונות. במאמר זה מציג דניאל גובני את הפתרון שלו למכונה בשם "Secret" בפלטפורמה זו. המכונה מקולטגת ברמה קלה המצריכה ידע בסיסי בנושאי מחקר חולשות Web והסלמת הרשאות במערכת ההפעלה לינוקס. בין היתר, דניאל ידבר על זיוף JWT, ניצול חולשות במערכת WEB ומחקר בסביבת לינוקס.
-
סדרת אתגרי Check Point CSA - 2021 - מאת עידן סטרובינסקי ואור גלובוסבאוגוסט 2021 פרסמה חברת Check Point סדרת אתגרים כחלק מקמפיין גיוס עובדים בשם: Check Point Security Academy. האתגרים נחלקו לארבע קטגוריות: קריפטוגרפיה, רברסינג, פיתוח ו-Misc. במאמר זה מציגים עידן ואור את הפתרונות שלהם לכלל האתגרים בסידרה.
-
המערכה על התודעה במרחב הקיברנטי - מאת יובל סינילוחמה פסיכולוגית קיימת ונעשת בשימוש מזה שנים רבות. עם זאת, בשנים האחרונות החלה עליה משמעותית בחקר המערכה על התודעה במרחב הקיברנטי, דבר שכלל פיתוח מספר מתודולוגיות אשר מטרתן להציג שיטה סדורה לניהול המערכה (סיכול, או לכל הפחות, צמצום משמעותי, את יכולת המפעיל (התוקף) להגיע לידי הישג משמעותי במרחב זה). במאמר זה מציג יובל את הנושא על היבטיו השונים.
-
פרדיגמת קל-כבד מאת עמית נירבמאמר זה מציגה עמית פרדיגמה המכונה "קל-כבד". שיטה המתייחסת לפיתרון בעיות בשני אופנים: באופן הקל, ובאופן הכבד מבחינת יעילות זמן, ושילוב שלהם לטובת השגת פתרון שלישי - המוצלח יותר משני הפתרונות עליהם הוא מבוסס. במסגרת המאמר תציג עמית דוגמא וכיצד פרדיגמת "קל-כבד" באה בה לידי ביטוי. המאמר מבוסס על רעיונות שהציגו פרופסור אלון איתי ופרופסור מיכאל רודה בשנת 1978 במאמרם "Finding a minimum circuit in a graph".
