הגליון המאה ארבעים ושישה של DigitalWhisper שוחרר!

 
ברוכים הבאים לדברי הפתיחה של הגליון ה-146 של DigitalWhisper!
 
המרדף אחר היעילות הוא צורך קיומי, וכנגזרת מכך, נראה כי האנושות מסתמכת יותר ויותר על בינה מלאכותית בחיי היומיום. עם כמה שהדבר טוב ומועיל, חשוב גם לשקול את ההשלכות הפוטנציאליות של השינוי הזה. ניכר שככל שיותר משימות אשר בעבר היו מבוצעות ע"י בני אדם עוברות להתבצע ע"י מכונות מבוססות בינה מלאכותית, כך גם יותר אחראיות ויכולת שליטה בחיים שלנו מועברת לידיהם.
 
ראשית, קיימת הבעיה הטבעית, והיא - אובדן מקומות עבודה. מכונות AI הופכות ליעילות יותר במשימות שבוצעו בעבר על ידי בני אדם, והדבר עלול להוביל באופן ישיר לאבטלה נרחבת ולהפרעה כלכלית. סצינות פוסט-אפוקליפטיות שבהן אנשים נאבקים למצוא דרכים חדשות להתפרנס בעולם שבו מכונות מסוגלות יותר ויותר לעשות את העבודה - ניתן לראות בלא מעט סרטי מדע בדיוני, ולא מדובר במציאות שמחה.
 
דאגה נוספת היא הסיכון שמכונות בינה מלאכותית יהפכו מוטות או יקבלו החלטות שאינן עולות בקנה אחד עם הערכים שלנו כחברה אנושית. מכיוון שאלגוריתמי בינה מלאכותית מתאמנים על מערכי נתונים שעשויים להיות חלקיים או מוטים, קיים פוטנציאל שהמכונות יקבלו החלטות שמנציחות את ההטיות הללו, ולהן יש השפעות שליליות על קבוצות מסוימות של אנשים.
 
סיכון פוטנציאלי נוסף של הסתמכות על מערכות בינה מלאכותית, הוא האפשרות שהאקרים יוכלו לנצל פגיעויות במערכות אלו כדי לקבל גישה או לתמרן אותן. לכך עשויות להיות השלכות חמורות, בהתאם למקרה השימוש הספציפי. לדוגמה, אם האקרים ישיגו גישה לא מורשית למערכת בינה מלאכותית השולטת בתשתית קריטית, כמו רשת חשמל או תחבורה, הם עלולים לגרום לנזק משמעותי או להפרעה. באופן דומה, אם האקר היה מסוגל לתמרן מערכת בינה מלאכותית המשמשת לקבלת החלטות חשובות, כמו בתחום הבריאות, יחסים בין-לאומיים או הפיננסים, הוא עלול לזרוע הרס בלתי הפיך או לגרום למערכת לקבלת החלטות שאינן לטובת הכלל.
 
כדי לטפל בסיכון זה, חשוב לתעדף את האבטחה של מערכות AI ולנטר ולבדוק אותן באופן רציף כדי לוודא שהן עמידות בפני ניסיונות פריצה. הדבר עשוי להיות כרוך ביישום אמצעי אבטחה חזקים, כגון פרוטוקולי הצפנה ואימות, כמו גם עדכון ותיקון שוטפים של המערכות כדי לטפל בכל נקודות תורפה שמתגלות.
 
חשוב גם לשקול את הסיכונים וההשלכות הפוטנציאליים של שימוש במערכות בינה מלאכותית, ולנקוט בצעדים כדי להפחית סיכונים אלו. זה עשוי להיות כרוך בפיתוח הנחיות אתיות לשימוש ב-AI, ביצוע הערכות סיכונים והקמת פרוטוקולים לטיפול בכל בעיה פוטנציאלית שעלולה להתעורר. על ידי נקיטת אמצעי הזהירות הללו, נוכל לעזור להבטיח שהשימוש בבינה מלאכותית הוא כוח חיובי עבור האנושות, ולא מקור לסיכון או נזק.
 
בסך הכל, ככל שאנו ממשיכים לשלב בינה מלאכותית בחיינו, חשוב להיות מודעים להשלכות הפוטנציאליות ולנקוט בצעדים כדי להבטיח שהטכנולוגיות הללו מפותחות והשימוש בהן הוא בצורה אחראית. הדבר עשוי להיות כרוך בוויסות השימוש בבינה מלאכותית, קידום הנחיות אתיות והשקעה במחקר ופיתוח כדי להתמודד עם סיכונים ואתגרים פוטנציאליים. למרות שהעתיד עשוי להיות לא בטוח, עם תכנון ושיקול דעת מדוקדק, אנחנו יכולים לפעול כדי להבטיח שעליית הבינה המלאכותית תהיה כוח חיובי לאנושות.
 
“Thanks ChatGPT! You can rest now!”
 
[“Hi ChatGPT, DigitalWhisper is an Israeli hacking magazine. With every issue, the editors publish a few paragraphs as an editorial. Most of the time, they take a day-to-day subject and try to draw a line between it and a hacking concept. The vibes are often slightly overdramatic, with a bit of hope at the end. Try to write the editorial for the next DigitalWhisper issue. You can write about how humanity slowly passes control to AI machines and the problematic consequences of that on our future.”]
 
  

 
וכמו תמיד - בהצלחה לכולנו :)
 
וכמובן, איך לא, נרצה להודות לנבחרת האלופים של החודש, שבזכותם יש לנו גליון כזה מושקע: תודה רבה לדביר גולן, תודה רבה לאלון בר סלע תודה רבה ליהונתן אלקבס, תודה רבה לנועם רשקובסקי, תודה רבה לדור גרסון, תודה רבה לדניאל קויפמן, תודה רבה לשרון וילנסקי ותודה רבה לטל סעדי!
 
  
קריאה נעימה,
     אפיק קסטיאל

 
 
החודש, הגליון כולל את המאמרים הבאים: 
  • modprobe_path: Hit & Run - מאת דביר גולן
    דריסת ה-modprobe_path הינה שיטת ניצול מתחום ה-Kernel Exploitation במערכות הפעלה מבוססות לינוקס. במאמר זה סוקר דביר מה הם Loadable Kernel Modules, כיצד הקרנל של לינוקס מתמודד עם סוגים שונים של קבצי הרצה ומתי נעשה השימוש ב-modprobe. לאחר סקירה זו מציג דניאת את הטכניקה modprobe_path Overwrite, מתי וכיצד ניתן להשתמש בה כדי להשיג הרצת קוד בהרשאות root.

  • FIDO2, עולם ללא סיסמאות? - מאת אלון בר סלע ויהונתן אלקבס
    FIDO Alliance (קיצור של Fast IDentity Online) הינה קבוצת עבודה שהוקמה לצורך התמודדות עם אחת מחולשות אבטחת המידע הפגיעות ביותר באינטרנט ובכלל - שימוש בסיסמאות. FIDO2 היא מכלול תקנים שהוגדרו ע"י התאגדות FIDO במטרה לאפשר למשתמש הקצה הזדהות מהירה מול שירותים שונים באינטרנט ללא התבססות על סיסמאות אלא ע"י שימוש בהזדהות אקטיבית של המשתמש. במאמר זה סוקרים אלון ויהונתן את הנושא והתקן. מאמר זה הוא חלקה הראשון של סדרה בת 2 מאמרים. חלק זהז שם דגש על הסברים כלליים במטרה להוות הכנה טובה עבור חלקה השני של הסדרה אשר מיועד להיות משמעותית יותר hands-on עבור אלו שרוצים להבין כיצד האימות מתרחש "באמת" בתקן זה.

  • Supply Chain & Open Source Attacks - מאת נועם רשקובסקי
    אין כמעט תוכנה היום שלא עושה שימוש בקוד פתוח. קוד אשר נגיש וחופשי לשימוש של הכלל. הדבר מבורך ומומלץ - הרי אין סיבה לכתוב מחדש קוד שכבר נכתב ונבדק.
    עם זאת, הנושא הנ"ל טומן בחובו לא מעט בעיות. אחת מהן היא שאיננו מכירים את המפתח שכתב את אותן הפונקציות ואיננו יודעים הקוד שלו אכן עושה את מה שהוא אמור לעשות, ואינו כולל גם קוד זדוני. במאמר זה מציג נועם אילו מתקפות יש לקוד פתוח (Open Source),  איך נוכל להגן מפניהן ואציג כלי שכתבתי שיכול לסייע בהגנה.

  • Overwriting the Global Offset Table - מאת דור גרסון
    GOT Overwrite הינה טכניקה פופולארית בתחום ה-Binary Exploitation לשינוי או חטיפה (hijacking) של זרם הריצה של binaries במערכות Unix. במאמר זה יציג דור את הטכניקה, מה היא בכלל ה-Global Offset Table, איך נראה מהלך השימוש בה וכיצד נוכל לנצל חולשת format string לשכתוב הטבלה ולהשגת shell מתוך בינארי רץ. ניסיון עם gdb ו-pwntools מומלץ להבנה טובה של המאמר!
 
  • תפיסות שגויות נפוצות לגבי Windows Event Logs - מאת דניאל קויפמן
    כאשר מבצעים חקירת IR למערכות הפעלה מבוססות Windows, אחד הכלים המרכזיים שיש לחוקר הוא ה-Windows EventLog. מדובר בתת-מערכת מורכבת עם מספר רב של אירועי קצה. Windows Event Logs יכולים לתפוס מגוון רחב של פעילויות ולספק לנו תובנות יקרות בנושא המערכות והסביבות שלנו. עם זאת ניכר כי ישנן לא מעט תפיסות שגויות ונפוצות שבהן חוקרי ה-IR נוטים להחזיק ואשר עלולות לפגוע בחקירה. במאמר זה דניאל סוקר תפיסות אלו.
 
  • Windows VS Linux - אוטומציית הקשחה ובקרה - מאת שרון וילנסקי
    מאמר זה הינו המשך למאמרו הקודם של שרון בנושא "אוטומציה לתהליכי הקשחה לצמצום משטחי תקיפה". המאמר הקודם התמקד במערכות הפעלה מבוססות לינוקס ואילו מאמר זה יתמקד בהגדרת תקני הקשחה עבור משאבי Windows, בצורה המותאמת לארגונים שונים.

  • איך להסתפר מבלי לחכות בתור - מחקר אפליקציית EasyTor - מאת טל סעדי
    מאמר זה הינו המאמר השני בסדרת המאמרים של טל, בנושא דרכי ניצול של אפליקציות יומיומיות לטובת השגת מידע רגיש של משתמשים. הקו המנחה של המאמרים בסידרה זו הוא מציאת חולשות לוגיות, שלעתים אינן חולשות כלל אשר כל מה שדרוש על מנת לנצלן הוא הבנה בסיסית של דרך הפעולה של הלקוח וכמה כלי מחקר פשוטים.
 


תגובות על 'הגליון המאה ארבעים ושישה של DigitalWhisper שוחרר!':



#1 

רייסטלין (אורח):
ראשוןןןןןןן1
31.12.2022 19:19:13

#2 

True (אורח):
אחד הטובים!
01.01.2023 13:50:08

#3 

itay (אורח):
מאמר מעולה! כל הכבוד. למדתי הרבה דברים חדשים :-)
13.01.2023 17:23:02

#4 

0xxor (אורח):
מעולה!
31.01.2023 13:25:19



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2024 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.