הגליון המאה חמישים וארבעה של DigitalWhisper שוחרר!
ברוכים הבאים לדברי הפתיחה של הגליון ה-154 של DigitalWhisper!
אנחנו חיים בעידן עם קצב מטורף. בעידן שבו האנושות מצליחה להמציא, לייצר ולרתום כל כך הרבה טכנולוגיות שונות ומורכבות על מנת להציב ולהשיג את מטרותיה פעם אחר פעם. עדכונים על פריצות דרך מדעיות או הישגים משמעותיים כבירים טכנולוגיים שהאנושות מצליחה לייצר, פוקדים אותנו מספר פעמים בחודש. הינה לקט רק מהחודשים האחרונים שקפצו לי לראש בזמן כתיבת הפיסקה: ההתקדמות המרשימה של ה-NIF לקראת היתוך גרעיני מבוקר - מה שאולי יאפשר בעתיד את הפסקת המרוץ הבלתי פוסק אחר מקורות אנרגיה. מחקרים פורצי דרך בממשקי אדם-מכונה, שאפשרו קריאת אותות ישירות ממוחו של מטופל שהיה משותק בכל גפיו כדי לאפשר לו לקום ולהתחיל לצעוד, והעדכון על כך ש-Neuralink קיבלה אישור מה-FDA לעשות ניסויים בשתלי מוח לבני אדם, אחרי שהציגה תוצאות מרשימות בקריאת מחשבותיהם של קופים. כל הטירוף שיש סביב עולם הבינה המלאכותית, מודלים כמו ChatGPT, Midjourney ושות' מקפיצים פלאים כל תחום שבו משלבים אותם. וכמובן - הנחיתה של החללית ההודית צ'אנדריאן 3 על הירח, שהתרחשה רק לפני ימים בודדים. ויש, כמובן, עוד מלא...
כל פריצות הדרך הללו מתבססות על טכנולוגיות שמלוות אותן ומאפשרות אותן, וקצב הגדילה והפיתוח שלהן הוא כנראה אקספוננציאלי, כי כל פיתוח טכנולוגי מהווה כלי פיתוח לעוד שלל פיתוחים טכנולוגיים, וכל פריצת דרך מדעית מאפשרת פריצות דרך טכנולוגיות נוספות.
קצב הגדילה הטכנולוגי כל כך מטורף, שכבר כמעט ולא ניתן לשלוט ב-Stack טכנולוגי שלם. סט כל הטכנולוגיות המרכיבות פתרון מסויים כל כך גדול שהאדם העוסק בנושא חייב להחליט שמאיזשהי שכבה אי-אפשר להתעמק יותר, יש לקבל את הטכנולוגיה הקיימת כמו שהיא ומכאן מתחילים. אם פעם כחלק משיעורי ביולוגיה במוסד אקדמי כלשהו, על התלמידים היה נדרש לדעת להרכיב בעצמם את המיקרוסקופ, ובסוף התואר כל סטודנט ידע איך לפרק אותו לגורמיו או לתקן כל תקלה בו, היום המצב הוא אינו כזה, והמיקרוסקופ הוא כמעט בגדר "קופסא שחורה". יש בגישה הנ"ל כמובן לא מעט חסרונות, אך יש בה גם יתרונות - מי שלומד ביולוגיה יכול בשנות לימודיו להתעסק אך ורק במחקר הביולוגי עצמו וללמוד יותר על התחום. תשאירו למהנדסים לפרק, לתקן ולהרכיב את הציוד הרפואי.
באותה הגישה, כך פועל גם עולם הפיתוח ואבטחת המידע. מפתח Web שמעוניין לפתח שירות Web-י מאובטח כלשהו, ומחליט להשתמש בשרת nginx או Apache, לא יכול לעבור על כל הקוד שלו, גם במקרים בהם הקוד של כל ה-Stack הטכנולוגי מבוסס קוד פתוח. לבקש ממפתח להכיר לעומק ולקמפל בעצמו כל טכנולוגיה שבה הוא משתמש זאת פשוט דרישה לא סבירה ולא אפקטיבית. במקרה הזה, עליו פשוט לקרוא את ה-Manual, או לממש את ה-Interface המתאים ולהניח שהצד השני, שאחראי על המימוש, עובד ללא תקלות.
קצב הגדילה, מונע מהיכולת של הפרט הבודד לשלוט בכל הטכנולוגיה שבה הוא עושה שימוש ומחייבת אותנו להפריט את העבודה למספר צוותים, צוותי Front-End, צוותי Back-End, צוותי System, תשתיות ו-DevOps. אך עדיין, הגידול המעריכי הוא כל כך מופרע, כך שגם לצוות עם מספיק כוח אדם אין שום סיכוי להכיר לעומק את רזי כלל הטכנולוגיות שבהן הוא עושה שימוש. לצפות ממנו לבצע שימוש נכון וחכם באותן הטכנולוגיות? כן, לצפות שהוא יצליח לפתור תקלות מורכבות ב-Stack שעליו הוא אחראי? בהחלט. אך להכיר לעומק בדיוק איך כל ספרייה וספרייה הטעונה לכל תהליך שמבצע עיבוד למידע עליו הצוות אחראי - פשוט אין סיכוי. הארגון חייב לגדול כדי לשרוד. וכך, בדרך כלל גם ה-Stack הטכנולוגי שבו הוא עושה שימוש.
אם פעם, עוד כשה-Stack הטכנולוגי הסטנדרטי היה "פשוט" (ובנוי ממערכת הפעלה, שרת Apache בודד שהיה מריץ PHP שמגיש תוכן דינאמי), לא היה ניתן לצפות שמפתח בודד יכיר הכל, היום, Stack סטנדרטי יהיה בנוי מעשרות או מאות מיקרו-Service-ים, שכל אחד מריץ טכנולוגיה אחרת, והאורכסטרציה שלהם מתבססת גם היא על טכנולוגיה נוספת, והלוגיקה שאחראית על מתי כל דבר יתבצע יכולה להיגזר מחישובים שמבוצעים בכלל בארגון שונה משלנו, אין שום סיכוי שניתן לעקוב אחרי כל ה-Flow ובליל הטכנולוגיות שעוברות ומנתחות את המידע שלנו.
רמת המורכבות של סביבת ה-Production לא עלתה סתם. היא נובעת מכך שהבעיה שאיתה ארגונים צריכים להתמודד נהייתה מורכבת יותר. יש יותר משתמשים, שמייצרים יותר בקשות שצריך לטפל בהן, המניפולציות שצריך לבצע על המידע נהיו מורכבות יותר, והפיצ'רים שצריך לספק דורשים טכנולוגיות רבות יותר. הכל צריך להיות מוגש בקצב מהיר יותר ובהרבה מאוד מקרים, עלות הטעות היא גבוהה יותר. החיים לא נעשים פשוטים יותר מבחינה טכנולוגית אף פעם.
פעם, היה מספיק לעשות Pen Testing אחת לרבעון, לעשות סקרי סיכונים שנתיים כדי להבין במה צריך להשקיע, או להזמין צוות Red-Team חיצוני שיבצע "רענון" או הדמייה לצוות ה-IT בארגון. בשנים האחרונות אפשר לראות מגמה כך שיותר ויותר ארגונים הקימו צוותי Red-Team פנימיים שמבצעים תרגולות באופן כמעט קבוע, ואימוץ של גישות ומוצרים עם כותרות כמו "Continuous Security Validation", כאלה שמוודאות תמיד שהטכנולוגיות בארגון מעודכנות ובקונפיגורציית Best Practice בכל רגע נהיות נפוצות יותר ויותר.
זאת כמובן מגמה חיובית, אך עושה רושם שגם היא כבר איננה מספיקה. החודש פורסם כי שני חברים בקבוצת ההאקרים $LAPSUS הורשעו בבית דין בלונדון. נראה שהילדים היו בני 16 ו-17 בזמן שביצעו את פשעיהם (שבין היתר כוללים, פריצה לחברות ענק כגון NVIDIA ,RockStar Games, חברת Otka וחברות טלקום גדולות כגון Orange, Everything Everywhere, ו-British Telecom).
מדובר בגיל שערורייתי לכל דעה. אין ספק שהחבר'ה האלה מוכשרים מאוד, כמות הנזק והרעש שהם הצליחו לייצר היא כמעט לאין-שיעור, וזה עוד לפני שהם סיימו את העשור השני לחייהם. על השיטות השונות בהן חברי LAPSUS$ נקטו כדי לחדור לארגונים השונים כבר כתבנו בגליונות עבר, וקל מאוד להסכים עם כך שהן אינן מורכבות מאוד מהפן הטכנולוגי. נראה שהרבה מהחבר'ה השתמשו ברוב המקרים, בעובדים ממורמרים, שמתוך ייאוש או כעס על המעסיק - העניקו הרשאת גישה (או ממש הביאו את פרטי הגישה ואת הקוד של ה-MFA) כדי להתחבר ב-VPN לרשת הארגון או לסביבה הנתקפת. בשום מתקפה לא נצפה שימוש ב-0day או בשיטת תקיפה מורכבת שאינה נמצאת ברשימות של MITRE.
הנ"ל מתאפשר, בעיקר מכך שכאשר יש לתוקף סיוע מגורם פנימי - כמעט ולא ניתן לעצור אותו מלהכנס. אולם, המצב שבו הוא יצליח להמשיך לגשת לרכיבים ברשת מבלי להתפס, נובע ממורכבות הטכנולוגיה, ומכך שכמעט ולא ניתן לנטר כל חוליה קטנה בשרשרת. ה-Stack פשוט מורכב מדי מכדי שיהיה ניתן לנטר אותו בצורה כזאת שלא יהיו False Positives. ובדיוק שם התוקף יכול להיכנס, ואת ה-Misconfigurations האלה ניתן לנצל כדי להתקדם עוד אל עבר היעד.
המורכבות הטכנולוגית נובעת משלל סיבות, המרכזית שבהן היא שהבעיה שארגונים מנסים לפתור והשירות שאותו הם מספקים ללקוח נהיו מורכבים לאין שיעור. כל חברה מציעה פתרון ניטור שונה לחלק מסויים ברשת, רוצים לוגים מסביבת ה-Kubernetes? תשתמשו בפתרון X, רוצים ניטור על כתיבת קבצים לתיקיות מסויימות בשרת? תשתמשו בפתרון Y. הפתרונות של נרמול הלוגים והזרמתם לפתרון דמוי אלסטיק גם לא מספקים ולא הרמטיים דיים, וכל עוד לא תתחיל מגמה של פישוט ה-Stack הטכנולוגי של הארגון (מה שכיום לא נראה כל כך אפשרי מגודל מגוון המערכות) - ארגוני פשיעה כמו $LAPSUS יוכלו להמשיך לשגשג ולפעול.
וכמובן, לפני שנעבור למאמרים הנפלאים שמתפרסמים בגליון החודש, נרצה להגיד תודה לכל מי שכתב ועמל על כך. אז תודה לכל הכותבים! תודה רבה ליונתן בר אור, תודה רבה לספיר פדרובסקי, תודה רבה לעידן שכטר!
החודש, הגליון כולל את המאמרים הבאים:
-
איך לחטוף מיגרנה - מאת יונתן בר אורמאמר זה מסכם מחקר שפורסם על ידי יונתן בר אור וצוות קבוצת Microsoft Defender ופורסם במאי 2023 ואף הוצג בכנס DEFCON השנה. המחקר מתאר כיצד חיפוש שגרתי של קוד זדוני על גבי טלמטריות EDR, גרם לגילוי design issue ב-macOS שעוקף את המנגנון SIP. לאחר השמשת החולשה הצוות דיווח על הממצאים לחברת אפל, שסגרה את החולשה (כעת ידועה גם כ-CVE-2023-32369). מטרת מאמר זה היא הנגשת המחקר בעברית ותיאור של מספר פרטים נוספים שהושמטו מפרסום המחקר לצורך נוחות קריאה.
-
Access Tokens in Azure ועוד דברים נחמדים - מאת ספיר פדרובסקיבמאמר זה מציגה ספיר את המימוש של מיקרוסופט למנגנון Oauth2.0 וכיצד הוא פועל ב-Azure. נראה שאותנטיקציה אצל מיקרוסופט זה לא רק Kerberos, נכיר את המושגים Access tokens, Refresh Tokens ובסוף, תציג ספיר דוגמאות למספר מתקפות וגילויים סביב תחום הזה.
-
מבוא למחקר אפליקציות - מאת עידן שכטרבמאמר זה עידן חושף אותנו לעולם מחקר האפליקציות בסביבת Android, דרכו נכיר כלי מחקר פרקטיים ונכנס לראשו של חוקר בתהליך מציאת פתרון לבעיה. תוכן המאמר מהווה בסיס מעולה לכל המעוניין לצלול אל עולם מחקר האפליקציות בסביבת Android ולפרוח ממנו לתחומים נוספים. המאמר רלוונטי לכל המתעניין בתחום! אך לצורך חוויה מיטבית, מומלצת ההיכרות עם שפת Java ועקרונותיה הבסייסיים וכך גם לגבי JavaScript, כמו כן ידע בפרוטוקולי תקשורת ושליטה במערכות מבוססות Linux.
קריאה נעימה,
אפיק קסטיאל
תגובות על 'הגליון המאה חמישים וארבעה של DigitalWhisper שוחרר!':
#1 |
010101 (אורח): תודה רבה על הגיליון - המאמר על מבוא למחקר אפליקציות ממש מצוין ונתן לי כמה רעיונות. 31.08.2023 13:25:58 | |
#2 |
פיטר (אורח): תודה רבה לכם!! גליון מעולה :) 01.09.2023 12:03:09 | |
#3 |
sdimant (אורח): אהבתי את ההקדמה :) 06.09.2023 16:17:32 | |
#4 |
גפן (אורח): תודה רבה על הפרסום D: 23.09.2023 12:24:27 | |
#5 |
דום (אורח): גליון מעולה! נורא נהנתי מהמבוא למחקר אפליקציות, מוסבר בצורה מצוינת ומעניינת. 26.09.2023 11:47:17 |
הוסף את תגובתך: