הגליון המאה שישים ושמונה של DigitalWhisper שוחרר!



ברוכים הבאים לדברי הפתיחה של הגליון ה-168 של DigitalWhisper!
 
ערב אחד, ממש בסוף שנות ה-90, אבא שלי חזר מהעבודה עם דיסקט שחור וקטן ביד. הוא הכניס אותו לכונן המחשב ואמר: "זה floppy שקיבלתי מחבר לעבודה, אנחנו הולכים לעזור לנאס"א למצוא חייזרים!". אבא שלי העתיק למחשב את הקבצים שהיו בתקליטון (ככה קראו לזה אז) למחשב והפעיל את אחד מהם. הייתי אז בערך בן 12 או 13, כך שלא הבנתי במדויק מה אלה כל הספרות והצבעים שאני רואה על הצג. אבל אבא שלי הסביר לי שיש פרויקט בשם SETI@home, שמופעל ע"י חבורה של מדענים מאיזו אוניברסיטה בקליפורניה, שאוספים אותות רדיו שמגיעות לכדור הארץ מהחלל באמצעות טלסקופים ענקיים ומחפשים בהם כל מיני דפוסים. מציאה של דפוסים לא טבעיים עשויה להעיד על קיום של ישויות תבוניות מחוץ לכדור הארץ. הבעיה היא שאין להם מספיק משאבי חישוב, אז הם כתבו תוכנה שמבזרת את החישוב למחשבים נוספים ומנצלת את זמן המנוחה שלהם לטובת עיבוד האותות. הייתי מרותק! :)
 
עברו כ-24 שנים לאחר מכן, והאנושות עוד לא מצאה עדויות לחיים תבוניים מחוץ לכדור הארץ (או בכלל - לחיים כלשהם מחוץ לכדור הארץ), אבל החיפוש הזה עדיין מסקרן ומעסיק את האנושות רבות. אם אני לא טועה, מדובר כנראה באחד הנושאים הכי שנויים במחלוקת בעולם המדע כיום ואפשר להגיד שהקהילה המדעית די חלוקה לגביו: יש כאלה המאמינים שלחפש סימני חיים מחוץ לכדור הארץ זה אחד המחקרים החשובים ביותר בני זמננו, ובמידה ואכן נגלה משהו כזה - זאת תהיה התגלית החשובה ביותר משחר האנושות. ויש כאלה הגורסים שזה פשוט ביזבוז של זמן ומשאבים, ושחבל על כל טיפת אנרגיה שמשקיעים בנושא הזה.
 
למרות שהנושא הזה שנוי במחלוקת, נאס"א וגופי מחקר נוספים ממשיכים להשקיע בו, ורק לפני חודש אירע אירוע משמעותי בתחום: ב-14 לאוקטובר השנה, החבר'ה הבאמת מוכשרים מהמעבדה להנעה סילונית של נאס"א (ה-JPL, אותם חבר'ה מהסיפור המטורף עם ההאקינג שהם עשו על ה-Voyager1), שיגרו גשושית בשם Clipper ושהיא עתידה להגיע ב-2030 לאירופה - אחד הירחים של צדק.
 
למה שיגור גשושית לאירופה הוא עניין כל כך משמעותי בכל הנוגע למחקר של חיים מחוץ לכדור הארץ? מפני שמספר רב של תצפיות ומדידות שבוצעו הן מכדור הארץ, הן מטלסקופי חלל והן מגשושיות שעברו בקרבתו, מצביעות על סילוני מים אדירים שפורצים אחת לפרק זמן ומגיעים מתחת לפני שטח הירח הקפוא ומגיעים לגובה של כ-200 ק"מ! הסילונים האלה ועדויות נוספות גורמות לאסטרופיזיקאים ולאסטרוביולוגים להאמין שמתחת לשכבת הקרח המכסה את הכוכב ישנו אוקיינוס עם מים נוזליים.
 
אוקיינוס עם מים זורמים מחוץ לכדור הארץ? למה זה עניין מרגש כל כך בכל הנוגע לחיפוש חיים נוספים במערכת השמש? זה מפני שלפי ההשערה המקובלת היום בעולם המדע, החיים על כדור הארץ התפתחו לראשונה בסביבת מים נוזליים. ומפני שלפי כל המחקרים, מים הם כנראה הסביבה הטובה ביותר ליצירה, התפתחות והאצתם של תהליכים מיקרוביולוגים, כפי שהאנושות מבינה עד כה. ולא די בזאת - אלא שגם צורות החיים המיקרואורגניזמיות הקדומות ביותר בכדור הארץ הידועות לאדם נמצאו - גם הן, בתוך סביבה של מים נוזליים בכדור הארץ.
 
אז אם לסכם את כל זה: הגישה של נאס"א לחיפוש חיים שונה מהגישה של החבר'ה של SETI. כשהאנושות החליטה להתחיל לחפש חיים מחוץ לכדור הארץ, היא ערכה תצפיות ובדקה כיצד חיים התפתחו במקומות אחרים (קרי... בכדור הארץ), בדקה מה התנאים שהיו שם כדי שאותם חיים יוכלו להתפתח. ואז הסתכלה לשמיים והתחילה לחפש היכן אותם התנאים מתקיימים. אגב, למה כל ארגון בחר בגישה שונה? זה מפני שכל אחד מהם מחפש משהו שונה: SETI תרים אחר קולוניות של חיים תבוניים, בעוד ש-JPL מחפשים עדויות לחיים כלשהם.
 
הפרדיגמה של נאס"א נשמעת הגיונית בסך הכל: אם ככה החיים בכדור הארץ התפתחו, אז סביר יהיה להניח שככה הם יתפתחו גם במקום אחר, לא? אבל הבעייתיות שבגישה הזו, היא שהמדגם שממנו יצרנו את המודל של "איך חיים נוצרים" הוא מאוד קטן, למעשה, הוא כולל רק דוגמא אחת בודדת: את המקרה היחיד הידוע לאנושות שבו נוצרו חיים - החיים בכדור הארץ. וידוע שדגימה בודדת היא לא מדגם מייצג - ובקלות יכולה לייצר הטיית איסוף כזאת שתוביל למסקנות שגויות.
 
הרי, אף אחד לא מבטיח לנו שככה החיים בכדור הארץ התפתחו כי "כך תמיד חיים מתפתחים ביקום". 99.9 אחוז מבעלי החיים המוכרים לאנושות זקוקים לחמצן כדי לייצר את האנרגיה הדרושה לקיום. אז רק במקומות שבהם יש חמצן חיים יכולים להיווצר? או שאולי אנחנו טועים ושאבולוציית החיים שבכדור הארץ התפתחה כך - רק בגלל שהאטמוספירה של הפלנטה שלנו כל כך רוויה בחמצן? זאת שאלה קשה מאוד. יכול להיות, ואף אולי סביר ביותר, שאם בכדור הארץ התנאים היו אחרים - גם התהליכים האבולוציונים שהובילו להתפתחות עולם החי כמו שאנחנו מכירים אותו היום היו שונים בתכלית! רק לפני 4 שנים התגלה בעל החיים הראשון שאינו צורך חמצן לנשימה, ועד לאותו הרגע האנושות הייתה בטוחה שכל בעל חיים זקוק לחמצן כדי להתפתח! אילו חיים (אם בכלל?) היו מתפתחים בכדור הארץ אם סביבנו באוויר, במקום חמצן היה חנקן, אמוניה או מימן באותן כמויות? יכול להיות שבכדור הארץ היו מתפתחים חיים שתאי גופם יודעים לפרק גלוקוז לאנרגיה גם ללא חמצן? אין לנו שום דרך לדעת מה היה יכול להיות, כמות המשתנים היא פשוט גדולה מדי...
 
אז מה? נאס"א מוטים איסופית? כמובן שלא, התשובה היא שדגימה אחת שווה יותר מאפס דגימות, ושהמרחק מכאן לאירופה הוא לא גדול מספיק (רק 630 מיליון ק"מ בממוצע) כדי שהתהליכים הביולוגיים בו יהיו שונים משמעותית. בסוף, במימדים אסטרונומים, מרחק כזה נחשב שאנחנו גדלים ממש באותו הבלוק, כמה שונים כבר נוכל לצאת? :)
 
כל זה נהדר, אבל למה אני מספר לכם את זה? דבר ראשון - כי זה מגניב ומרגש! ודבר שני - כי אנחנו יכולים ללמוד מכך רבות כשאנחנו מתכננים את ההגנה על הרשתות שלנו. האקרים הם אומנם לא חייזרים, אך לנו אין את התקציב או יכולת המחקר של נאס"א. וכשאנחנו מנסים לחשוב על הדפ"אות שבהן האקרים עשויים לבחור בעת הניסיון לחדירה לארגון שלנו, אנחנו צריכים להבין שהם לא כפופים לחוקים שאותם אנחנו מכירים, אם אנחנו נחטא לחשוב שהם יבואו מכיוון מסוים רק בגלל הטעיה איסופית או קריאה לא נכונה של נקודות התורפה של הרשת שלנו - אנחנו נשקיע את המשאבים המוגבלים שלנו, ואת הזמן היקר שלנו, במקומות הלא נכונים ונפגע.
 
אז מה הדרך הנכונה לעשות את זה? אם תשאלו אותי, הדרך הנכונה היא לאמץ את שתי הגישות. הן של נאס"א והן של SETI. שלא כמו נאס"א, לנו, לצערי, יש אינספור דגימות של תקיפות האקרים לארגונים שונים בעולם, ודרך זה אנחנו יכולים ללמוד "כיצד התפתחו החיים" ביותר ממקרה בוחן אחד. ובנוסף, אל לנו לשכוח את הגישה של SETI: אנחנו לא יודעים איך חיים עשויים להתפתח בשאר הייקום, אבל אנחנו יכולים להניח שאם הם מספיק תבוניים, הם יידרשו להשתמש בטכנולוגיה כלשהי, וכנראה שכל פיתוח טכנולוגי שלהם יגרום לפליטה של קרינה אלקטרומגנטית (כי אין מה לעשות, כך האפקטים הפיזיקלים ביקום עובדים ללא קשר לחיים) ושאת אותה הקרינה יהיה ניתן לזהות ממרחקים עצומים באמצעות מדידות של טלסקופי רדיו. 
 
וכך בדיוק גם עלינו לנהוג: אם נצליח לנתח נכון את מבנה הרשת שלנו ולמפות נכונה את הנקודות הקריטיות, נוכל בתקווה, להבין מה יהיה תוצר הלוואי של פעילות לא מורשית בארגון שלנו. וכך, גם מבלי להניח מה יהיה האופי של הפעילות, באיזה טכנולוגיות הם יבחרו להשתמש, או מה יהיה המניע של אותם תוקפים - נוכל לכל הפחות לזהות את הקיום שלהם אצלנו ברשת. זאת לא משימה פשוטה, אבל כמו שהחבר'ה מ-SETI השכילו למצוא את אותו אפקט פרימיטיבי שניתן למדידה גם ממרחקים אסטרונומים, וכעת עליהם רק לסנן את המידע ("רק" - מדובר ב-35 ג"ב של נתוני רדיו שנקלטו מהחלל פר יום, ובקני מידה של שנות ה-2000, הכמות הזאת נחשבת לפסיכית! תחשבו שאותו תקליטון שעל גביו אבא שלי הביא לנו את התוכנה - ידע לאחסן נפח של רק 1.4 מ"ב!). אם גם אנו נדע למצוא את אותו אפקט-צד שיווצר ע"י כל תנועה לא סטנדרטית אצלנו ברשת הארגון - כך נוכל לזהות את קיומן של אנומליות. וככל שהאפקט שנמצא יהיה יותר פרימיטיבי - כך נאלץ להשקיע משאבים רבים יותר בסינון של אותם ה-False Positives, אבל כך גם נדע לזהות את הקיום של אותו היריב בצורה הרמטית יותר ואף מוקדמת יותר.
 
אז עד 2030... שיהיה ל-Clipper, ל-JPL ולכולנו - בהצלחה!
 

אז זהו, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה לדניאל איסקוב, תודה רבה לליעד לוי, תודה רבה לשי גילת, תודה רבה לירין הרמן ותודה רבה לשגיב ריכטר!
 
החודש, הגליון כולל את המאמרים הבאים: 
  • פתרונות אתגרי Flare On 2024 - דניאל איסקוב
    אתגרי Flare-On הם סדרת אתגרי Revere Engineering שנוצרים מדי שנה ע"י צוות FLARE מחברת Mandiant (צוות ה-Malware Analysis של החברה). האתגרים היו שונים ומגוונים וביניהם: אתגר רברסינג ב-Go, אתגר רברסינג של Yara rules, אתגר js, אתגר BIOS עם הגנה מבוססת אימולטור, אתגר רברסינג שכלל חולשה במימוש קריפטוגרפי של עקומות אליפטיות, אתגר לינוקס ועוד. במאמר זה דניאל מציג את פתרונותיו לאתגרים אלו.
 
  • CVE-2024-8309: Hidden Risks in LangChain RAG Application - ליעד לוי
    מודלי שפה גדולים (LLMs - Large Language Models) הפכו בשנים האחרונות לחלק בלתי נפרד מעולם הבינה המלאכותית. כלים כמו ChatGPT ודומיהם משתמשים ברעיון של קלט ופלט - מקבלים טקסט מהמשתמש ומייצרים ממנו תגובה או פעולה מתאימה. בגלל הפשטות והיעילות שלהם, המודלים האלו מצאו את דרכם כמעט לכל תחום אפשרי - מאומנות וכתיבה ועד פתרונות טכנולוגיים מורכבים. LangChain הינה ספריה קוד פתוח מהפופולריות עם כמעט 100K כוכבים בגיטהאב המבוססת על הרעיון הזה של המרת קלט לפלט והיא הפכה במהירות לפלטפורמה מועדפת לפיתוח יישומים מבוססי LLM ובדגש על מערכות (RAG (Retrieval-Augmented Generation. הבעיה בתהליך הקלט-פלט של LangChain וספציפית ב-GraphCypherQAChain שאחראי על המרת שאלות בשפה טבעית לשאילתות Cypher במסדי נתונים גרפיים, עלול להיות פגיע לקוד זדוני אם הקלט לא עובר בדיקה מספקת. במאמר זה, מציג ליעד חולשה שמצא באותה הספריה, המדגימה עד כמה זה יכול להיות מסוכן: תוקף יכול לנצל קלט מניפולטיבי ולבצע מתקפת SQL injection שתאפשר לו להשתלט על מסד הנתונים כולו באמצעות שורת טקסט פשוטה. ליעד מה הן מערכות RAG, עם דגש על GraphRAG, כיצד תהליך הקלט-פלט ב-GraphCypherQAChain פועל ב-LangChain, איפה הוא כושל, וכיצד ניתן להגן על המערכת מפני התקפות מהסוג הזה.

  • זיהוי טעינת דרייברים לא חתומים - שי גילת
    מאמר זה הינו המאמר השישי בסדרת המאמרים של שי על העולם של המבנים הפנימיים בקרנל של מערכת ההפעלה Windows. לאורך המאמרים האחרונים דיברנו הרבה על נושא טעינת קוד קרנלי לא חתום לתוך מערכת ההפעלה והרצתו כחלק מרכיבי מערכת ההפעלה השונים מהפן ההתקפי. אך במאמר זה שי יתמקד בצד ההגנתי של הנושא. שי מציג ראשית את דרכי הניטור: כיצד ניתן להשיג כמה שיותר מידע חשוב מהמערכת כדי לזהות פעילות לא רצויה, וכיצד ניתן להגן על המערכת מאותה פעילות זדונית שבאה להשיג מטרה מסוימת. ולאחר מכן שי בוחן מספר דוגמאות מוכרות של Unsigned Driver Mappers שעקבו אחרי אותם צעדים בסיסיים לטעינת קוד לא חתום, אך הוסיפו לצעדים האלו פעולות / שכבות נוספות שנועדו להסוות כמה שיותר את אותם צעדים מרכזיים.
 
  • Dealing With Obfuscated Malware - ירין הרמן
    עולם ניתוח הפוגענים הוא עולם מופלא. הוא מתחיל בהרצת הכלי הכי פשוט וקל להבנה (הלא הוא strings) ומסתיים לעיתים בניסיון לרוורס מאות אלפי שורות קוד ב-IDA. אך כיום חלק נכבד מאוד מאוכלסיית הפוגענים נכתבים בצורה obfuscated, כלומר בצורה כזו שהמחשב יכול להבין אותה אך בן אדם לא, כדי להקשות על תהליך החקירה.צורת כתיבה זו מקשה מאוד על כלים strings.exe לעבוד ולהניב תוצאות מועילות. אז השאלה שעולה היא, מה קורה אם אין רצפים כאלה? מה אם אותם רצפים עברו אובפוסקציה ובעצם לא אומרים כלום בלי שיעברו דה-אובפוסקציה? במאמר זה, מציג ירין את הכלי FLOSS, שנועד להתמודד בדיוק עם הבעיה הזו.
 
  • הצפנות, לבה ומה שביניהם - שגיב ריכטר
    נושא ההצפנות הינו עמוד תווך מרכזי בעולם הסייבר ואבטחת מידע. ההצפנות השונות מבוצעות על הודעות, סיסמאות, תכנים שונים וברמת העיקרון - על כל דבר שנשלח באינטרנט. רוב ככלל סוגי ההצפנות מתבססים על "רנדומליות" מסוימת, מפתח רנדומלי מסוים אשר מספק אבטחה המונעת את פיצוחה. במידה וקיימת הצפנה בעלת רנדומליות חלשה, גורם זדוני יוכל לפצח אותה בהינתן מספיק זמן, דבר שכמובן לא נרצה כאפשרות. מאחר והרנדומליות כל כך חשובה - היא הינה הבסיס של עמוד התווך. במאמר זה סוקר שגיב בקצרה מה הם סוגי הרנדומליות, האם כל סוג באמת רנדומלי ומספיק להצפנה, ופתרונות יצירתיים ושימושיים להנפקת אותם הערכים.
   
 
קריאה נעימה,
           אפיק קסטיאל 



תגובות על 'הגליון המאה שישים ושמונה של DigitalWhisper שוחרר!':



#1 

 קורא (אורח):
המאמר השני מעולה! תודה!
30.11.2024 15:06:56

#2 

 ג (אורח):
תודה רבה!
30.11.2024 19:01:31

#3 

 סודות הצפנה (אורח):
האם לדעתכם הספר סודות ההצפנה עדיין רלוונטי בתקופה שלנו?
השאלה מכוונת לסטיב וגם ל-cP (אשמח לשמוע את דעה של שניכם)
01.12.2024 08:38:02

#4 

 cP (אורח):
בטח. הוא מעולה. הוא אינו ספר עיון, והוא פחות ספר פרקטי ללימוד על הצפנות מודרניות (למרות שלמיטב זכרוני יש בו חלק שמסביר את הבסיס להצפנה קוונטית), הוא בעיקר ספר שמספר על ההיסטוריה של ההצפנות, כיצד התחום של שבירת צפנים התפתח, הוא מסקר אירועים גדולים בהיסטריה האחרונה שבהם הצפנות ושבירת צפנים לקחו בהם חלק משמעותי. יש בו גם הסברים טכניים כיצד הצפנות עובדות, אבל זה לא עיקר הספר.

ממליץ עליו בחום,אלא אם כן המטרה שלך היא ללמוד פרקטית איך להשתמש בהצפנות בתחום של פיתוח תוכנה. אבל אם לא זאת המטרה שלך - אני ממליץ עליו ועל שאר הספרים של סיימון סינג.
01.12.2024 19:32:59

#5 

 אורח (אורח):
מצחיקים הנאסא האלו, מחפשים עדויות לחיים תבוניים מחוץ לכדור הארץ. שיתחילו לחפש חיים תבוניים בכדור הארץ קודם
03.02.2025 17:44:49


הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2025 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.