הגליון המאה שישים ושניים של DigitalWhisper שוחרר!

 

ברוכים הבאים לדברי הפתיחה של הגליון ה-162 של DigitalWhisper
 

ממש לפני מספר ימים, פרסם Paul Asadoorian (חבוב די וותיק ומפורסם בתחום) מאמר דעה ב-DarkReading, כותרת המאמר הינה: "Why CVEs Are an Incentives Problem", ובו הוא מציג את דעתו על מערכת קיטלוג ומספור כשלי האבטחה הנפוצה בעולם (מערכת ה-CVE) ומערכת הדירוג והניקוד לאותם כשלים (ה-CVSS). בקטן, אם מעניין אתכם לקרוא קצת יותר לעומק על הנושא, אני ממליץ לכם לקרוא את המאמר "רישום CVE-ים - המדריך לחוקר המתחיל" שפרסם אייל איטקין בגליון ה-105 של המגזין. אך בגדול, למי שלא מכיר: כאשר מתגלה כשל חולשתי במוצר כלשהו ומעוניינים שאותו כשל ייסגר - פונים לייצרן ומתחילים בהליך של רישום CVE. בעת הליך זה, מתפרסם באתר של MITRE (הארגון שיצר את התקן) לציבור פרטים "יבשים" אודות אותו הכשל במטרה לאפשר לחברות השונות להכין את כל מה שנדרש לטובת העדכון שיצרנית התוכנה תשחרר.
 
הרעיון הכללי הוא טוב, וזה גם מה שטוען Paul Asadoorian, אנחנו חייבים סדר בתחום הזה, ותקן ה-CVE אכן מספק אותו. אך עם זאת, יש בו גם צדדים רעים, בעיקר בכך שהוא מהווה תמריץ שלילי לחוקרים בתחום.
   
על כיצד תמריצים משפיעים עלינו כבני אדם עשו מחקרים רבים. חלק לא מבוטל מאותם מחקרים מראה שלעיתים רבות, נוצרים אפקטים שליליים מאותם תמריצים, אפקטים שלפעמים אף נוגדים את המטרה המקורית שלשמם אותם תמריצים נוצרו מלכתחילה! תוכלו לקרוא על המחקרים הללו בספריו של דן אריאלי ("לא רציונלי ולא במקרה" או "לא רציונלי אבל לא נורא"), או בספר שציין באותו מאמר של Paul Asadoorian (שאותו עוד לא קראתי), בשם "Freakonomics", שנכתב ע"י הכלכלן סטיבן לויט והעיתונאי סטפן דבנר, ומדבר בין השאר על תמריצים וההשפעה הבלתי צפויה שלהם.
 
לדוגמא, אם מלצרים מקבלים בונוס כתמריץ מבעל המסעדה עבור מכירה של מנה בינונית (שלא מצליחה להמכר טבעית) כדי שתמכר יותר, והם, בתורם, ממליצים עליה לסועדים השונים, קיים סיכוי שהסועדים לא יהיו מרוצים מכך ויחליטו שלא לחזור לאותה המסעדה.
 
אני בטוח שאם יצא לכם לעבור על קו"ח של עובדים מהתעשייה או סתם לחטט בלינקדאין, בלא מעט מהם תראו את רשימת ה-CVE-ים שרשומים על שמם או קישור לחשבונם ב-HackerOne ודומיו. הדבר מהווה סוג של "תיק עבודות", של אותו החוקר. וכמו בהרבה מקרים שליליים - הכמות גוברת על האיכות. 
 
אני אף יכול להעיד על עצמי, שכאשר אני וניר התחלנו עם המגזין, רצינו שהאתר יופיעו בתוצאות הראשונות בגוגל. בתקופה הזו, שמתי לב שישנם הרבה מאוד אתרים שהתוכן שלהם מיוצר בצורה אוטומטית מאתרים אחרים (ככל הנראה כדי ליצור אטרקטיביות אל מול המנוע של גוגל ודומיו), וכך גם אתרי חדשות בנושא אבטחת מידע. כדי לנצל מנגנון זה ולקדם את אתר המגזין, חיפשתי כשלים בהרבה מאוד מערכות (בעיקר מערכות בלוגים או CMS-ים שבין כה הורדתי כדי לבחון מערכת פוטנציאלית שתהיה המערכת שנבחר לאתר), ובכל פעם שפרסמתי על אודות אותן החולשות, שמתי קישור למגזין. תוך זמן קצר והקישור הזה הופיע בהרבה מאוד אתרי חדשות בתחום, ומעט לאחר מכן ה-"Page Rank" של האתר החדש של המגזין עלה פלאים בגוגל. להגיד לכם שמה שעניין אותי זה איכות ה-CVE-ים? לא ממש... 
 
Paul Asadoorian מציג סטטיסטיקה, ומראה ששנה שעברה, נרשמו כמעט 29,000 כשלי אבטחה במערכת ה-CVE, שזה כמעט 80 דיווחים על כשלים ביום בודד של אותה השנה. אין שום ארגון בעולם המסוגל לטפל בכל כך הרבה כשלים, ולכן עליו להחליט במה הוא מתמקד. פער נוסף שקיים במערכת ה-CVE הוא שה-CVE מגיע ללא הקשר, ולארגונים קשה מאוד להבין מה הדחיפות הטיפול של אותו CVE.
 
חלק מה-CVE-ים בהחלט מהווים איום על רשת הארגון ועל אנשי ה-IT לטפל בהם בזה הרגע, דוגמאות לכך הם שלל חולשות ה-SSLVPN שפוקדות אותנו לאחרונה, אם הארגון שלכם משתמש בפתרון ה-SSLVPN של Fortinet, Ivnati, PaloAlto או CheckPoint (האחרונה היא אחת ממש חדשה),  אז סביר מאוד להניח שאנשי ה-IT שלכם ראו ימים שקטים יותר. אך חלק (וחלק גדול) מאותם דיווחים ו-CVE-ים הם באמת "רעש" שנוצר בעקבות אותה השפעה בעייתית שתמריצי ה-CVE יצרו. 
 
כאמור, ל-CVE קיימת מערכת דירוג, בשם CVSS, שאמור לתת צבע מסויים לאותו CVE בהקשר של סיכון. האם ה-CVE קל לניצול? האם ניתן לנצל אותו דרך האינטרנט או שצריך גישה פיזית? האם נדרשת אינטרקציה עם המשתמש? כמה ניצול שלו פוגע בארגון? ועוד מספר שאלות שהתשובות אליהן מהוות את הבסיס לחישוב הציון הכללי במחשבון ה-CVSS. 
 
עם זאת, הציון לא תמיד (ובהרבה מקרים) לא באמת משקף את פוטנציאל הנזק. קחו לדוגמא את אחת החולשות האחרונות שפורסמו ב-Outlook, למשל CVE-2023-35636, חולשה שמאפשרת לגנוב את ה-NTLMv2 Hash של משתמש Outlook ע"י שליחת זימון זדוני ביומן. מה-NTLMv2 Hash, אפשר, בהינתן חומרה סבירה, להשיג את סיסמת המשתמש ובכך להשיג גישה לתיבת האימייל הארגונית שלו. נשמע מסוכן? הציון של אותה החולשה ב-CVSS הוא 6.5 ("בינוני"), אך עובדתית, הרוסים פירקו לא מעט מטרות באירופה בעזרת חולשה יחסית זהה (CVE-2023-23397).
 
דעתי היא שתקני ה-CVE ה-CVSS אכן חשובים, אבל אני בהחלט מסכים עם דעתו של Paul Asadoorian. נדרש שינוי משמעותי בתקן הזה ובכל שיטת התיוג והדיווח הנוכחית.
 
 

 
וכמובן, תודה ענקית לכל הכותבים שהתפנו מזמנם לכתוב מאמרים לגליון זה. תודה רבה לארז גולדברג, תודה רבה לשי גילת, תודה רבה לעומר כחלון, תודה רבה לאיתמר שבתאי עמיעזר, תודה רבה לדניאל שוסטק, תודה רבה לאלי קסקי ותודה רבה לאיתי רויז
 
 
החודש, הגליון כולל את המאמרים הבאים: 

  • Unleashing the Power of Nim - מאת ארז גולדברג
    שפות התכנות הנפוצות לכתיבת תוכנות זדוניות הן C ו-++C. אולם תוקפים משתמשים בשפות תכנות חדשות לעקוף מנגנוני אבטחה. Nim היא שפה כזאת. היא שפת תכנות מונחת עצמים אשר פורסמה ב-2008 ותוכננה לשלב את הביצועים והמהירות של שפות ברמה נמוכה (כמו C) וסינטקס של שפה ברמה גבוהה (כמו פייתון). היא שפת קימפול וקל להשתמש בה הן מצד התוקפים והן מצד כותבי התוכנות הזדוניות. על ידי כתיבת תוכנות זדוניות בשפות תכנות חדשות כמו Nim, תוקפים יכולים להקשות על מנגנוני Anti-Malware לזהות פיילודים מאחר ואין להם מערכות זיהוי מעודכנות לשפות חדשות. במאמר זה מציג ארז את השפה וכיצד ניתן להשתמש בה על מנת לחמוק מתוכנות אנטי-וירוס שונות.
 
  • Windows Kernel ממבט התקפי - מאת שי גילת
    במאמר זה שי מציג ניתוח של מנגנונים ומבני נתונים שונים בקרנל של מערכת ההפעלה Windows ולאחר מכן אני מציג שימושים פרקטיים שיכולים להיות במנגנונים אלו עבור תוקף שרוצה לנצל לרעה את המערכת או להשיג מטרה זדונית כלשהי. במאמר, שי מתמקד במערכת ההפעלה Windows10 21/22h2 (64bit). בנוסף, יעזור לקורא להכיר מושגים שונים בנושא מערכות ההפעלה, כגון Drivers, Kernel Mode/User Mode,Protection Rings  וכו’.

  • Packing and Unpacking in Malicious Files - מאת עומר כחלון
    פוגענים שונים משתמשים בשיטות שונות על מנת להקשות על חוקרים לנתח את דרך פעולתם, טכניקות אלו מתבטאות בעיקר בהארכת זמן המחקר בצורה משמעותית, ואף מניעת יכולת החקירה כלל. על מנת להקשות על תהליך החקירה, קיימות מספר טכניקות מוכרת כגון Anti-Debugging או Anti-VM ועוד. במאמר זה מציגה עומר את טכניקת ה-Packing וכיצד ניתן להתמודד עם ה-Packers שונים.
 
  • על שיניים כחולות ופרצות זדוניות: פרוטוקול Bluetooth על קצה המזלג - מאת איתמר שבתאי עמיעזר ודניאל שוסטק
    במאמר זה סוקרים איתמר ודניאל את תהליך הפעולה של משפחת פרוטוקולי Bluetooth. אלו מצבי חיבור, פרופילים ותהליכים יש בו. כיצד נראה תהליך ה-Pairing ועוד. בנוסף, יציג כיצד מבנה האבטחה של פרוטוקולים אלו מורכב ואף יציגו ניתוח של מספר פרצות ידועות במימושים שונים בפרוטוקול.
 
  • Practical Python Internals - חלק ג' - מאת אלי קסקי
    זהו המאמר השלישי בסדרת המאמרים של אלי, שבה הוא מציג אספקטים שונים במימוש של CPython. במאמרים הקודמים ביצענו שינויים בקוד המקור של CPython והוספנו פונקציות חדשות ומגניבות לשפה, ובכך למעשה יצרנו גרסאות Python משלנו. אך זו לא חוכמה גדולה לעשות דברים מגניבים בדרך הזו. הרבה יותר מרשים לעשות דברים על גרסאות Python רשמיות! במאמר זה אלי משתמש בידע שנצבר מקריאת המאמרים הקודמים, על מנת לכתוב קוד שמשנה את ה-Bytecode של עצמו בזמן ריצה.
 
  • על תכנות low-level, או - כמה נמוך אפשר לרדת? - מאת איתי רויז
    במאמר זה לוקח איתי את הקוראים אל עולם מתקפות ה-Side-Channel וספציפית - כיצד ניתן להשפיע על חישובים של המעבד באמצעות קרינה אלקטרו-מגנטית. במהלך המאמר, מציג איתי את הבעיות המרכזיות הכרוכות בעת ניסיון השפעה על מעגלים משולבים בעזרת קרינה וכיצד ניתן להתגבר עליהם, הן תיאורתית והן מעשית.



 
 
 
קריאה נעימה,
           אפיק קסטיאל 



תגובות על 'הגליון המאה שישים ושניים של DigitalWhisper שוחרר!':



#1 

יובל (אורח):
תודה רבה! אתם תותחים!
02.06.2024 07:25:36

#2 

Shrootkit (אורח):
המאמר השני נשמע מעניין, חכם מי שכתב אותו
03.06.2024 13:01:35

#3 

BM (אורח):
חושב שיש טעות בקישור לכתבה.
הקישור הוא לכתבה של שחר מנשה תחת הכותרת Why Do We Need Real-World Context to Prioritize CVEs?

ולא לכתבה Why CVEs Are an Incentives Problem
שכתובתה https://www.darkreading.com/vulnerabilities-threats/why-cves-are-an-incentives-problem
08.06.2024 22:47:49

#4 

cP (אורח):
תודה! תוקן.
11.06.2024 14:15:59

#5 

ואה ואה (אורח):
איזה מאמר!!
נשמע מרתק ומעניין :O
סוף סוף
רק תשתדלו פחות לדבר בשפה גבוהה ויותר פשוטה כדי שנבין מה נאמר ולא נצרך לשבור את הראש על כל מילה..
13.06.2024 22:54:57

#6 

Duke (אורח):
בהמשך למאמר הנהדר על שימוש ב-Nim, חברת האבטחה ESET פרסמה כלי בשם Nimflit שעושה לעשות RE לבינארים שקומפלו ב-Nim. הם פרסמו גם בלוגפוסט עליו:
https://www.welivesecurity.com/en/eset-research/introducing-nimfilt-reverse-engineering-tool-nim-compiled-binaries/
28.06.2024 11:41:52



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2024 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.