הגליון המאה ארבעים ושמונה של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-148 של DigitalWhisper!
לקראת סוף החודש, פורסם ב-TheRegister על הסכם הפשרה שהוגש בגין תביעה בין מדינת פנסילבניה לבין חברת DNA Diagnostics Center, חברת בדיקות גנטיות מהמרכזיות בעולם. התביעה התרחשה בשנת 2021, ולפי הפשרה הוחלט כי החברה, בין היתר, תשלם 400,000$ בגין אירוע פריצה ודלף מידע שהיא חוותה באותה השנה אשר במסגרתו נגנבו, בין היתר, רשומות גנטיות של יותר מ-2 מליון בני אדם.
מה שדלף והכיל את אותן הרשומות הוא מאגר מידע שהגיע לידי DDC בשנת 2012 כחלק מרכישה של חברה בריטית בשם Orchid Cellmark. יש כמה נקודות מביכות בסיפור הזה: הראשונה היא שכדי להגן על עצמה במהלך התביעה, החברה טענה שעד האירוע היא כלל לא ידעה על קיום המאגר הנ"ל או על המידע שקיים בו. טענה הגיונית אך מביכה. החברה טענה שהיא ביצעה לא מעט בדיקות חדירות והערכות אבטחה, אך רק על מידע "חי" ולא על שרתים ישנים עם מידע שלא נעשה בו שימוש. הנקודה השניה היא שהחברה גילתה את הפריצה באיחור של כמה חודשים כאשר במהלכם היא קיבלה עוד ועוד הודעות מספקית התשתית שלה על כך שיש ברשת שלה פעילות חשודה ורק כאשר היא קיבלה התראה קונקרטית על זיהוי שימוש ב-Cobalt Strike על כמה שרתים בחוות השרתים שלה - היא הגדילה והפעילה את תוכנית ה-IR שלה כתגובה וזיהתה שברשותה יש 5 שרתים ושכ-28 מאגרים שהיו ברשותה על אותם השרתים - נגנבו.
הנקודה השלישית המביכה בכל הסיפור הזה (ואולי המביכה ביותר לדעתי?), היא שאם קוראים את המסקנות של הסכם הפשרה (עמוד 10 עד עמוד 13) זה נראה בגדול שעד כה לא הותקנו שום מערכות הגנה ברשת שלה, ושרמת האבטחה ברשת שלה נמוכה מרמת האבטחה ברשת של הספרייה הציבורית הקרובה לביתכם. בהסכם הפשרה, נכתב, "על החברה להדק את רמת האבטחה שלה ולהתחיל ליישם עדכוני תוכנה שוטפים, בדיקות חדירות וליישם מנגנוני 2FA לרשת שלה", או שעליה להתחיל לאסוף ולתעד אירועים חריגים שמתרחשים ברשת שלה, להתקין מערכת SIEM, ו-IDS/IPS לטובת כך. בהמשך גם נכתב על מספר תקני אבטחה בסיסיים ביותר שעל החברה יהיה לעמוד והרוח שעולה מאותם סעיפים בהסכם הפשרה הוא שבכלליות חלאס כבר עם שובך היונים הזה שאתם קוראים לו רשת המחשבים שלכם, אתם לא משתלה ציבורית אתם מתעסקים ברשומות גנטיות של אזרחים אז תתחילו להתנהג בהתאם. אה, וכן, באחד הסעיפים נכתב גם שאולי הגיע הזמן שהם יאיישו תפקיד CISO בארגון שלהם... בטח כדי שיהיה את מי להאשים בפעם הבאה שהמידע שלהם ידלוף.
אני ממליץ לכם לקרוא את הסכם הפשרה, הוא לא ארוך והוא יאפשר לכם להחליט לבד האם התמונה שעולה ממנו היא בעיקרה עצובה, מכעיסה או מצחיקה.
המסקנה שאני הגעתי אליה היא שהתמונה שעולה מהסכם הפשרה היא אכן מעט מצחיקה (אם אתם אנשי אבטחת מידע), והיא מעט מכעיסה (אם אתם מחוקקים או אנשי פרטיות), אבל היא בעיקר עצובה. היא בעיקר עצובה אם אתם מבינים שאנשי החברה הזאת התייחסו לנתונים שהיו ברשותם בעצם כמו רב מי שקרא את אותה הכתבה. למה? כי כשנפרץ מאגר עם סיסמאות יש לנו כאב ראש של כמה דקות ועכשיו אנחנו צריכים להחליף סיסמה בכמה אתרים, ואם נפרץ מאגר עם כרטיס האשראי שלנו, אנחנו ככל הנראה נהיה עם כאב ראש למשך השבוע-שבועיים הקרובים במקסימום ואז נשכח את הפרשה.
אבל כשנגנבת רשומה עם מידע גנטי, העניין לא מלווה בכאב ראש של יום או יומיים, וגם לא שבוע, שבועיים חודש או חודשיים, העניין למעשה לא מלווה בכאב ראש בכלל. כי כאב הראש נובע ממשימות שעלינו לעשות כדי להתמודד עם הידיעה או להכיל אותה (לעבור על רשימת האתרים שבהם הסיסמה שלנו זהה במקרה בו לא היינו זהירים, או להתקשר לחברת האשראי, לבטל את האשראי ולהזמין אחד חדש), אבל במקרה שבו נגנבה לנו רשומה מהסוג המדובר, אין לנו שום דבר לעשות כדי להתמודד עם הידיעה הזאת. אותם 2.1 מליון האנשים שהרשומה הגנטית שלהם נחשפה לעולם ועד יהיו חשופים לשלל מתקפות וזיופים, אין שום צעד שהם יכולים לנקוט בו כדי להכיל את האירוע הזה.
בעולם שבו כדי לבצע Deepfake לקול שלכם צריך לא יותר מדגימה בת 3 שניות, בעולם שבו ראיה גנטית בבית משפט עדיין נחשבת מספיקה וחזקה במיוחד (דוגמא מעולה היא ההחלטה בתיק דנ"פ 9903/03, שבה אפילו כאשר המתלוננת לא זיהתה במסדר זיהוי חי את החשוד - הדגימה הגנטית נחשבה כמספקת כשלעצמה), ובעולם שבו ארגוני פשיעה יעשו לא מעט כדי להערים על רשויות החוק. למידע גנטי פשוט אסור להגיע למאגרים שכאלה. ובטח ובטח לא כאשר חברות שנחשבות לכאלו המובילות בתחום פשוט לא מסוגלות לשמור עליו.
ושיהיה חודש נפלא לכולנו!
ולפני שנעבור לחלק המרכזי, נרצה להגיד תודה לכל מי שהשקיע החודש מזמנו לטובת המגזין: תודה רבה לעדי מליאנקר, תודה רבה ליהונתן אלקבס, תודה רבה לעידו ולצמן, תודה רבה לזיו חדד ותודה רבה לגפן אלטשולר!
קריאה נעימה,
אפיק קסטיאל
~
החודש, הגליון כולל את המאמרים הבאים:
-
YubiKey: Unlocking Foolproof Security - מאת עדי מליאנקר ויהונתן אלקבסגוגל היא אחת החברות עם הכי הרבה תוכנות וממשקים ליבתיים ברחבי האינטרנט; ככזו היא מהווה משטח תקיפה מפתה מאוד למתקפות ונסיונות להטמנת נוזקות שרשרת אספקה עבור גופי ממשל וחברות נוספות. ביולי 2018 KrebsOnSecurity פירסם כי מאז ש-Google הכריחה את כל העובדים שלה (85,000+ במספר) לעבור להשתמש ב-Security Keys פיזיים (במקום סיסמאות ו-OTP) החברה לא נפלה לשום ניסיון פישינג. במאמר זה מסבירים עדי ויהונתן על התקנים פיזיים, ובפרט צוללים לאופן המימוש של Yubikey.
-
Venom - Poisoning Sockets for Fun and Profit - מאת עידו ולצמןבמאמר זה מציג עידו את תהליך המחקר והפיתוח של פרויקט שפרסם ב-Github בשם "Venom". הפרויקט משתמש ב-Socket גנוב של דפדפן על מנת לבצע תקשורת מול שרת מרוחק בשליטת התוקף. מלבד תהליך הפיתוח והמחקר של הפרויקט, יוצג במאמר הרעיון הכללי, כיצד ניתן להרחיב את הקונספט והפרוייקט וליישם אותו לעוד מספר רב של נושאים.
-
Linux Process Hollowing - מאת זיו חדדהיכולת להריץ לוגיקה כלשהי על מחשב נשענת על רמת ההרשאות של התהליך שמריצים. ב-Linux בלי SELinux, הרשאות של Root מאפשרות לעשות כמעט הכל. אך מה אם רצה תוכנה כלשהי שמטרתה לזהות התנהגויות לא שגרתיות? במאמר זה מסביר זיו כיצד לממש Process Hollowing בלינוקס, טכניקה מתקדמת להסתרת פעילות הנתפסת כחריגה על המחשב. מלבד זאת, במאמר יסוקר על מיפוי ELF לזיכרון של תהליך חיצוני, כיצד לכתוב shellcode ב-C וכיצד ניתן לממש Process Hollowing במספר דרכים.
-
Decentralized World - מאת גפן אלטשולררשתות מבוזרות הן רשתות תקשורת הבנויות ללא גורם ריכוזי, המאפשרות תקשורת תקינה בדומה לרשתות רגילות. הן עושות זאת ללא ישות כלשהיא היכולה לנטר בצורה בלעדית או לעצור את פעילות הרשת, וזאת באמצעות חלוקה הוגנת בין המשתתפים בצורה המסוגלת לקיים את עצמה. בשנים האחרונות רשתות מבוזרות משחקות תפקיד מרכזי בתפקוד האינטרנט, והדבר מתבטא במוצרים כדוגמת Tor, Block Chain, BitTorrent ועוד רבים נוספים. במאמר זה מציג גפן את הרשתות המבוזרות המשמשות להעברת קבצים ויסקור את היסטורית ההתפתחות שלהן, כאשר עיקר המאמר יתמקד ברשת הפופולארית ביותר להעברת קבצים כיום, והיא רשת ה-BitTorrent. המאמר יכיל חלקים תיאורטיים רבים שמעורבבים עם חלקים טכניים.