הגליון המאה שלושים ותשעה של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של גליון מאי 2022, הגליון ה-139 של DigitalWhisper!
מבדיקה שטחית, זריזה ומאוד בזויה שביצעתי ע"י פשפוש בזיכרון שלי, רב המאמרים שפורסמו במסגרת המגזין אשר עסקו במתקפות על ארגונים או רשתות של ארגונים, עסקו בעיקר במתקפות המהוות איום על ארגונים מבחוץ, או בהתגוננויות מפני מתקפות כאלה.
עם זאת, כולנו שמענו מליוני פעמים "שאחד האיומים המרכזיים והמשמעותיים ביותר על ארגונים הם דווקא גורמים פנימיים" או כל מני אגדות אורבניות כמו זה "שכל מתקפה שלישית שארגון חווה היא מגורם פנימי". עכשיו, כדי להמשיך לכתוב את הפסקה הבאה, עצרתי והתחלתי לחפש בגוגל מאמרים ודו"חות המשווים את האיום הפנימי אל מול האיום החיצוני ומציגים אחוזים וכו' - כדי לעצור את השכונה זאת ולהביא את הנתונים פעם אחת ולתמיד.
עברתי על לא מעט מאמרים ומחקרים ודו"חות ועדיין לא הצלחתי להביא את האחוז המדוייק, אבל מה שכן שמתי לב אליו הוא שכמעט כל המאמרים שעליהם עברתי (הן האקדמאים בנושא והן השיווקיים בנושא) פשוט מסתמכים על הנתונים מדו"חות ה-Threat Intelligence של IBM X-Force. הדו"חות עצמם הם סמי-מעניינים (אלא אם כן אתם CISO-ים, ואז בשבילכם מדובר במכרה זהב ואחלה דרך להעלות את התקציב השנתי :)), אבל מה שכן, מהם אכן עולה תמונה שמעידה שבאמת פשוט אי-אפשר להתעלם מהאיום הזה, והוא אחד הראשונים שצריך להשקיע בו. (והינה הם למי שאוהב דו"חות: 2017, 2018, 2019, 2020, 2021, 2022, אגב - ספויילר - המצב לא טוב בהקשר הזה, אבל הוא משמעותית טוב יותר מאשר "כל תקיפה שלישית", והאיום הגדול ביותר על ארגונים בשלושת או ארבעת השנים האחרונים הן מתקפות ה-Ranesomware).
הדו"חות האלה (לאו דווקא של IBM) מציגים את המגמות בתחום, עולות או יורדות - זה לא כל כך משנה, ותמיד בעזרת שימוש בדו"חות כאלה מנסים לחזות איך יראו הנתונים בדו"חות הבאים, איך תראה השנה הבאה אם המגמה הנ"ל תמשך. ברב המקרים התחזיות האלה אכן צודקות, אך ספציפית לנושא הזה - הדו"ח של שנת 2023 בתחום הולך להציג נתונים שפשוט לא ניתן היה לצפות. וזה התחיל בדצמבר 2021, עם ההודעה הראשונה של LAPSUS$.
אם בדיוק הקצתם משנת החורף שלכם, ולא שמעתם על הקבוצה הזו, אז ראשית, בוקר טוב . ושנית - ממש בקצרה: מדובר בארגון Cybercrime שהגיח לאויר העולם בדצמבר שנה שעברה וכמו הרבה ארגוני פשיעה אחרים ממשפחה זו, גם הם ישמחו להשיג גישה למידע הפרטי והסודי של ארגונכם ואז לבקש כופר כתמורה לכך שהם לא יפיצו אותו באינטרנט או ימכרו אותו בדארקנט.
אז מה חדש? מה הטריק של LAPSUS$? בגדול: אם קראתם את הדו"חות השונים שפורסמו באינטרנט (דו"ח מעולה של Microsoft, אחד מצויין בבלוג של Brian Kerbs, ועוד אחד נפלא בבלוג של NCC Group) בטח שמתם לב שאין חדש ברמה הטכנולוגית. הטכניקות שבהן החבר'ה האלה עושים שימוש כדי לסייר ברשת הארגון הן מיושנות ומאוד רועשות, ובכלליות שהרמה הטכנולוגית שלהם היא אינה גבוהה - שלא לומר מביכה (יצירה של משתמשי Domain Admin חדשים, מחיקה של מכונות וירטואליות מ-vCenter-ים, אין שימוש בחולשות פומביות (שלא נאמר פרטיות), שימוש בכלי Sysinternals או כלי ניהול מערכת שמשאירים הרבה מאוד לוגים ולא שימוש בכלים שנכתבו / שונו על-ידם, התחברויות לחשבונות עם 2FA מספר רב של פעמים עד שבעל החשבון יאשר את הפעולה, שימוש ב-DCSync הרגיל והקלאסי במקום בדרך שקטה יותר, ביצוע Lateral Movement באמצעות RDP וכו').
אז אם אין חדש מבחינה טכנולוגית, איך אפשר להסביר את רמת ההצלחה הלא סבירה שלהם? (בין הארגונים שאליהם הם הצליחו לפרוץ נרשמו: Nvidia, Microsoft, Samsung, Ubisoft, Okta, T-Mobile ועוד, וכל זה במספר חודשים בודד). התשובה היא (לדעתי כמובן) שאומנם מהבחינה הטכנולוגית אין חידוש, אבל - הם לקחו את אותם הנתונים של "הגורם הפנימי" ומשכו אותם לקיצון: לא מדובר בגורם פנימי "שטעה" ובלי כוונה גרם לאובדן מידע בארגון, וגם לא בגורם פנימי זדוני שהחליט לעבוד לבד, לנסות להתנקם בארגון ולגנוב מידע, אלא בגורם זדוני פנימי שהפך ברגע אחד לארגון Cybercrime די משומן ואם עד כה דמיינו את אותו גורם פנימי ממורמר כאחד כזה שמצא דרך לעקוף את מערכת ה-DLP שלנו והחליט להעתיק לכונן USB כמה מסמכים או אפילו DB שלם, כעת המצב החריף משמעותית והגורם הפנימי הזה הפך להיות האקר שחופר לנו את רשת הארגון באקסטרים.
לאיפה כל זה הולך להתפתח? קשה לדעת, בלא מעט אתרי אינטרנט דווח על גל עצירות משמעותי של משטרת לונדון, וגם אם כל החבורה הזאת תעצר לחלוטין - אין שום מניעה לקבוצה חדשה לקום ולהשתמש באותו מודל עסקי, בדיוק כמו אחרי מתקפת הכופרה הראשונה, גם אם היא נעצרה, אין שום סיבה שלא יקומו עוד 30 (או 300) קבוצות כאלה ויפעילו תוכנות כופרה חדשות, ברגע שהמודל העסקי הזה פורסם באינטרנט (ובהצלחה רבה מאוד אפשר לומר) - סביר להניח שנראה עוד קבוצות כאלה צצות ונעשות מתוחכמות יותר ויותר.
וכמובן, שניה לפני שניגש לתוכן - נרצה להגיד תודה לכל מי שהשקיע החודש וכתב מאמרים: תודה רבה לליאם מור, תודה רבה ליאיר בן דוד, תודה רבה לתמיר אזוגי ותודה רבה לד"ר יעקב רימר!
קריאה נעימה,
אפיק קסטיאל
החודש, הגליון כולל את המאמרים הבאים:
-
על Bytecode, JVM ומה שביניהם - חלק א' - מאת ליאם מור ויאיר בן דודJava היא אחת משפות התכנות הפופולריות ביותר בעולם נכון לשנת 2022. Java מאפשרת את הרצת הקוד שלה על כל מערכת הפעלה באשר היא, ולא דורשת שינויים בקוד שלנו כשעוברים ממערכת הפעלה אחת לאחרת. במאמר זה עוסקים ליאם ויאיר במימוש הפנימי של שפת Java עם דגש על התהליך הקורה מאחורי שכבת האבסטרקציה שהיא מספקת לנו. מאמר זה הינו חלק ראשון מתוך סדרת מאמרים, וחלק זה עוסק במימוש HotSpot JVM שהוא ה-JVM הרשמי של Oracle.
-
מהנדסים צמחים - מאת תמיר אזוגיבמאמר הבא מציג תמיר כיצד להנדס לאחור את המשחק "Plants vs. Zombies" לטובת הכנסת מספר שינויים שיקלו על השחקן. המאמר מיועד לאנשים עם רקע בסיסי באסמבלי ו-Reverse Engineering. תמיר מציג את תהליך המחקר שיש לבצע על מנת להגיע לתוצאה הסופית וכיצד לבצעו צעד אחד צעד באמצעות הכלים OllyDbg ו-IDA.
-
בינה מלאכותית והגנת סייבר: הייפ ומציאות - חלק ג' - מאת ד"ר יעקב רימרבשנים האחרונות נוצר הייפ גדול סביב השינוי מהקצה עד הקצה שיביאו לעולם הגנת הסייבר שיטות של בינה מלאכותית בכלל ולמידת מכונה בפרט. ההייפ מלובה ע"י מאמרים אקדמיים, וכמובן מחלקות שיווק של חברות סייבר שונות. מאמר זה הינו מאמר שלישי מתוך סדרת מאמרים אותה מגיש ד"ר יעקב רימר אשר תעסוק בשאלה האם השיטות הללו אכן יצליחו לשנות את התמונה באופן משמעותי וישימו סוף לתקיפות הסייבר השונות או שאכן מדובר בהייפ ותו לא.
תגובות על 'הגליון המאה שלושים ותשעה של DigitalWhisper שוחרר!':
#1 |
אליפות! (אורח): תודה רבה לכל הכותבים! תמשיכו ככה! 01.05.2022 07:09:06 | |
#2 |
Peter (אורח): תודה רבה רבה !!! 09.05.2022 00:01:15 | |
#3 |
דוב (אורח): תודה רבה על הפרסום 09.05.2022 22:16:34 | |
#4 |
another peter (אורח): תודה רבה 16.05.2022 22:11:04 | |
#5 |
קורל (אורח): אני לא מאמינה שגיליתי על האתר פעם ראשונה רק עכשיווו תודה רבה 17.05.2022 23:19:36 | |
#6 |
cP (אורח): ברוכה הבאה :) 18.05.2022 23:12:03 |
הוסף את תגובתך: