הגליון המאה חמישים ותשעה של DigitalWhisper שוחרר!

 
   
ברוכים הבאים לדברי הפתיחה של הגליון ה-159 של DigitalWhisper!
 
זה תמיד עניין של תזמון. 
 
באמצע החודש פורסמו תוצרי דלף מידע מחברת סינית בשם iSOON / Anxun Information. סביר מאוד שמעולם לא שמעתם על החברה הזאת, אך לפי הפרסומים (ולפי המסמכים שדלפו מתוך החברה), החברה משמשת כקבלן פרטי בתחום הסייבר ההתקפי לממשלת סין.
 
המסמכים שדלפו מעידים על כך שהחברה מעסיקה האקרים וחוקרי אבטחה ובעזרתם סיפקה (או עדיין מספקת?) לממשלת סין גישה לשלל רשתות באסיה ובעולם: רשתות של ספקיות טלקום, רשתות ממשל וגופי בטחון של מדינות יריבות / שכנות, וברשתות של אוניברסיטאות, של ארגונים פוליטיים בין-לאומיים, NATO ועוד.
 
מלבד גישה לרשתות, המסמכים שדלפו מספרים גם על מוצרים נוספים שהחברה מספקת לממשלת סין, החל מכלי תקיפה ושליטה מרחוק על מחשבי Windows, Linux, macOS וכן טלפונים חכמים (מבוססי Android ו-iOS), דרך חולשות בשירותים פומביים (כגון יכולת 1-Click לטובת עקיפת 2FA ב-Twitter) וכלה במוצרי אלקטרוניקה לתקשורת מוצפנת, חדירה לרשתות Wireless ועוד. בנוסף, המסמכים מעידים על קשר ישיר של החברה ל-APT41. קבוצת התוקפים המעצמתית הסינית הידועה לשמצה.
 
המדליף העלה את כלל המסמכים לחשבון GitHub בשם I-S00N, אך זה נמחק פרק זמן קצר לאחר מכן. עם זאת, רבים הספיקו להוריד את תכולתו (ולהעלות אותו שנית, עם תרגום מכונה לאנגלית - לדוגמא כאן) והיא כוללת כ-180 מ"ב דחוס של מסמכי תכן על מוצרי החברה ושירותיה, מבנה החברה, תמונות, מצגות, התכתבויות מייל פנימיות של החברה ועוד (ולמיטב הבנתי - הדליפה לא כוללת קטעי קוד או תוכן בינארי). מפאת הגודל של התוכן והשפה, אני מעריך שבתקופה הקרובה ייצאו עוד ועוד סיכומים של מה שדלף המידע הנ"ל כולל. בינתיים, למי שמעוניין, הינה מקור שמסקר חלק ממה שדלף ועוד קצת:

למיטב זכרוני, מדובר כנראה באחת מדליפת המסמכים הגדולה ביותר שהתרחשה בכל הנוגע לממשלת סין בתחום הסייבר. אומנם לא באותו סדר גודל כמו אירועי ה-ShadowBrokers, אך בהחלט אירוע משמעותי שכנראה יספק הרבה מאוד תשובות לשאלות שמעולם לא שמענו שנשאלו.
 
אין כמעט אתר חדשות טכנולוגיה שלא סיקר את האירוע וסיפר עליו, וברב המוחלט של המקורות דנו בשאלת זהותו של המדליף. השערות שקראתי עד כה היו שאולי מדובר בנקמה של עובד ממורמר, כי מהשיחות הפנימיות שדלפו עולה שהעובדים לא מרוצים מהמשכורות שלהם, או שאולי מדובר בריגול עסקי והמסמכים דלפו ע"י חברה פרטית מתחרה, או אולי שהפעולה היא תוצאת ריגול של ממש ומדובר בפעולה של מעצמת יריבה.
 
יכול להיות שאני טועה, אך לפי מבחן העבר ומבט על אירועים מקבילים (כמו ה-ShadowBrokers או דלף המידע מה-NTC Vuklan הרוסיה), זאת כנראה תהיה שאלה נוספת בתחום שלא נדע עליה את התשובה. דרך אחרת שלדעתי מעניין להסתכל על האירוע הזה היא לנסות להבין למה המידע הזה פורסם דווקא כעת. למי יש אינטרס שדווקא כעת כל המידע הזה יראה אור?
 
דוגמא טובה לכך היא פרשיית Russiagate (ממליץ מאוד על הגרסה האנגלית, הזאת בעברית ממש על הפנים) על שלל הסתעפויותיה במהלך השנים. הפרשייה החלה כאשר דלפו ל-Wikileaks מסמכים ממטה הבחירות של הילרי קלינטון עוד ב-2016 והכפישו את המועמדת וחשפו מידע על ההתנהלות הפנימית של מטה הבחירות. עם זאת, כמספר שנים לאחר מכן, דו"ח של ה-FBI קבע חד משמעית שרוסיה הייתה זאת שהעלתה ל-Wikileaks את המסמכים. הם הושגו ע"י תקיפה של מחשבי מטה הבחירות של קלינטון, במטרה לגרום לטראמפ לזכות בבחירות, שהיה פרו-רוסיה באותה התקופה. אגב, בהמשך טראמפ ומספר מיועציו נחקרו (וחלקם אף הודו ששיקרו במהלך החקירה) על שיתוף פעולה עם רוסיה בהקשרי הפרשייה.
 
בתחילה, כמובן שכאשר פורסמו המסמכים קלינטון נפגעה מאוד בסקרים, אך אם הדו"ח היה מתפרסם לפני מועד הבחירות והיה מובן לציבור כי רוסיה עומדת מאחורי הפרסומים והם מפורסמים דווקא במועד הזה כאינטרסט של הרוסים, כנראה שמטה הבחירות של קלינטון היה יכול לנצל את העובדה הזאת לטובתו ואולי אף לנצח בבחירות בזכותה. אגב, גם על הפרסום של הדו"ח של ה-FBI ב-2019 אפשר לשאול למה הוא פורסם דווקא אז ולמי היה האינטרס.
 
כי בסוף, הכל זה עניין של תזמון.
 
ושיהיה לכולנו בהצלחה!

 
 

וכמובן, תודה ענקית לכל הכותבים שהתפנו מזמנם לכתוב מאמרים לגליון זה. תודה רבה לעידו שוורצר, תודה רבה לאלי קסקי ותודה רבה לאסף פישר!
 
 
החודש, הגליון כולל את המאמרים הבאים: 

  • Toddler’s Bottle - פתרון חלק א'- מאת עידו שוורצר
    במאמר זה מציג עידו את דרך החשיבה והפתרונות שלו ל-section הראשון בסדרת אתגרי ה-Binary Exploitation של האתר pwnable.kr. אתר המביא עשרות אתגרים מגוונים מהרמה הכי בסיסית עד רמה שמדמה חולשות אמיתיות שנמצאו בעבר. ה-section הראשון שבו מכונה "Toddler's Bottle". מהות אתגרים אלה היא להציג קונספטים בסיסיים בעולם ה-Binary Exploitation תוך כדי עשייה.
 
  • Practical Python Internals - חלק א' - אופרטור ++ - מאת אלי קסקי
    זהו מאמר ראשון בסדרת מאמרים שבה אלי יציג אספקטים שונים במימוש של CPython. המילה "Practical" נוספה לכותרת מכיוון שלכל אורך המאמר, תוך כדי הלמידה אלי יצלול לעמוק המימוש של CPython ויציג כיצד לבצע בפועל שינויים בשפה. בחלק זה של סדרת המאמרים, אלי מתמקד בתהליך הקומפילציה של קוד Python, ותוך כדי כך יציג כיצד ניתן להוסיף לשפה את האופרטור "++".

  • מעשה בבאג לוגי ב-GDB (ודיבאגרים אחרים בלינוקס) - מאת אסף פישר
    במאמר זה אסף מציג באג אשר מצא ב-GDB. מטרתו של אסף בכתיבת מאמר זה הינה לשתף שיטות מחקר בהן הוא משתמש כאשר חוקר כיצד תוכנות כגון GDB פועלות מבלי להיכנס לבסיס קוד גדול. במאמר זה אסף מניח כי לקורא קיים ידע במערכות הפעלה מבוססות Unix וכיצד הן פועלות.
 
 
 
קריאה נעימה,
           אפיק קסטיאל 



תגובות על 'הגליון המאה חמישים ותשעה של DigitalWhisper שוחרר!':



#1 

 פיטר (אורח):
תודה! מאמרים ממש מגניבים
05.03.2024 21:22:03

#2 

 דן (אורח):
עוד סיכום מפורט על הסינים:
https://t.ly/jLVLS
10.03.2024 18:00:40

#3 

 אלופים! (אורח):
תודה רבה על המאמרים!
20.03.2024 20:11:00

#4 

 קורא נלהב (אורח):
תודה!
29.03.2024 15:35:19


הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2025 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.