הגליון המאה שבעים וארבעה של DigitalWhisper שוחרר!
החודש התמודדתי עם אתגר, ופישלתי. לא רק שפישלתי, הרגשתי שהציפיות שלי, ושל הנוכחים, היו כל כך גבוהות. אז יצא שפישלתי בגדול.
מאז אותו היום אני במסע להשבת הביטחון העצמי שלי.
כשהתיישבתי לכתוב את דברי הפתיחה חשבתי לעצמי, כל כך הרבה אנשים קוראים את המגזין הזה, אולי גם הם זקוקים לזריקת מוטיבציה וקצת עידוד.
אז ברוכים הבאים לטיפול הקבוצתי של DigitalWhisper!
אתחיל בקלישאה האהובה עלי, מי שמכיר אותי יודע שאת סרטי הארי פוטר ראיתי עשרות פעמים בחיי (פר סרט).
איזה מצחיק שהספר הזה נחל הצלחה כל כך גדולה (ובצדק), ובכל זאת, 12 מוציאים לאור סרבו להוציא אותו.
בואו נדבר רגע על ההגדרה של כישלון, לפי ויקיפדיה:
"כישלון הוא מצב שבו לא הושגה מטרה מסוימת של אדם או של קבוצת אנשים. עם זאת, כישלון אינו מצב מנוגד להצלחה, ועל פי רוב מהווה תנאי הכרחי להצלחה. הכישלון מהווה חלק בלתי נפרד מחיי האדם, מלידתו ועד למותו."
אהבתי! כבר בעת ההגדרה הם מעודדים אותנו.
אז כישלון אומר שלא השגנו מטרה מסוימת, האם זה אומר שלעולם לא נשיג אותה? ממש לא!
האם ייתכן כי בזכות הכישלון נלמד איך להיות טובים יותר? כמעט בטוח שכן!
בפעם האחרונה שבדקתי, אני לא פסיכולוגית, עובדת סוציאלית, או בעלת כל סוג מקצוע שיש לו ההרשאות לתת לאנשים עצות שכאלו.
אז במקום לחלק עצות ללא הכשרה שאולי יעזרו ואולי יעשו נזק בלתי הפיך, אני אשתף אתכם ב-2 משפטי מוטיבציה מאנשים שבאמת יש להם מה ללמד:
"רק אלו שמעזים להיכשל בגדול יכולים להצליח בגדול" – רוברט פ. קנדי (זה קצת קרינג' אבל יש בזה משהו)
"לא נכשלתי. פשוט מצאתי 10,000 דרכים למה זה לא עובד" – תומס א. אדיסון (אתם חייבים להודות זה דיי מנחם שלקח לו כל כך הרבה ניסיונות להמציא את הנורה)
ולסיום – קצת כישלונות מעולם הסייבר :)
בשנת 2023 Okta, שהיא אחת הספקיות Identity הגדולות בעולם, דיווחו על פריצה למערכת ה-Support שלה, ממנה נגנבו קבצים שהכילו Session tokens של 134 לקוחות. הפריצה קרתה בעקבות עובד שהתחבר לחשבון הגוגל הפרטי שלו מהמחשב של העבודה, ושמר שם את שם המשתמש והסיסמא של Service Account עם הרשאות לקרוא את הקבצים ממערכת ה-Support. חשבון הגוגל של אותו עובד נפרץ, וכך התוקף השיג את הגישה למערכת. עוד פרטים כאן: Okta breach
בערך באותה שנה, היתה הפריצה של הרוסים לסביבת ה-Production של מיקרוסופט, שנבעה מכך שסביבת ה-Test שלה היתה כל כך פריצה, והכילה אפליקציה עם קישור ישיר והרשאות גבוהות לסביבת ה-Production, מה שהסתכם ביכולת לקרוא את כל המיילים של כל עובדי החברה. ממליצה לקרוא את הבלוג של Wiz על הפריצה.
וכמובן, בתור עובדת Crowdstrike שנסעה ביום שבת לבית חולים כדי לעזור להרים מחשבים ב-SafeMode אחרי שחטפו BSOD, בואו לא נשכח את הפשלה הזו, שהוכיחה כמה חשוב QA איכותי ;)
אז מה בעצם אני מנסה להגיד כאן? שהכל טוב! לעיתים נכשלים, אפילו אם זה לא צפוי, זה לא מעיד שום דבר על הערך העצמי שלנו, ולהפך, עכשיו זה הזמן לקום חזרה על הרגליים ולהתחיל מחדש :)
וכפי שאמר דודו טסה - "עדיף כישלון מפואר מחלומות במגירה"!
וכמובן, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה למיכאל שליטין, תודה רבה לדניאל קויפמן, תודה רבה למלאני שורש, תודה רבה לסופיה שביקובסקי, תודה רבה לניקול פולינקובסקי!
- Ordering &
Memory Barriers - מאת מיכאל שליטין
במאמר זה מיכאל סוקר את מנגנוני סידור הזיכרון (Memory Ordering) ואת הדרכים בהן ארכיטקטורות מחשוב מתמודדות עם שינויי סדרי ביצוע של פעולות זיכרון. לאחר הסבר כללי על בעיית סידור הזיכרון, המאמר מתמקד במחסומי זיכרון - כלים שמאפשרים למתכנתים לשלוט על הסדר שבו פעולות זיכרון מתבצעות בפועל. נסקור סוגים שונים של מחסומים במספר ארכיטקטורות, עם דגש על המחסומים מסוג release-acquire שהשימוש בהם נפוץ כיום בזכות יעילותם. המאמר כולל דוגמאות מעשיות ודיון בהתנהגויות השונות שמחסומים אלה יכולים לייצר.
- Invoke-Shadow - יישום פסיכולוגיה יונגיאנית
על Detection Engineering - מאת דניאל קויפמן
בפוסט ייחודי זה, דניאל בוחן את הקשרים האפשריים בין עקרונות מהפסיכולוגיה האנליטית של קרל יונג לבין תחום הנדסת הגילוי .(Detection Engineering) דרך השוואה בין דפוסי תקיפה מתקדמים לבין רעיונות כמו הארכיטיפים, הצל, והלא-מודע הקולקטיבי, הוא מציע נקודת מבט חדשה על הבנת תוקפים והתנהגותם. המאמר מציע כיצד תובנות אלו יכולות לתרום לכתיבת חוקים מדויקים יותר, לזיהוי דפוסים מורכבים ולפיתוח SOC בעל גמישות מחשבתית גבוהה יותר. מדובר בניסיון לפרוץ את גבולות החשיבה הליניארית ולבחון כיצד מודלים מעולם הפסיכולוגיה יכולים לשמש גם ככלים פרקטיים בניתוח טלמטריה ואיומים.
- כשהמטרה היא
בינה מלאכותית - מאת מלאני שורש
בעידן שבו בינה מלאכותית הפכה לחלק בלתי נפרד מהיום-יום, חשוב לעצור לרגע ולשאול: האם הכלים שאנחנו משתמשים בהם בטוחים? במאמר זה, מלאני בוחנת את תחום אבטחת הבינה המלאכותית – את האיומים הייחודיים שהוא מציב, ואת הדרכים שבהן תוקפים יכולים לנצל חולשות במודלים ובמערכות. תוך שימוש בדוגמאות חיות ובקוד, המאמר שואף להמחיש את אתגרי האבטחה בעולם ה-AI, ולהציע דרכי התמודדות עם סיכונים שהופכים לרלוונטיים יותר מיום ליום.
- שתי ציפורים במכה אחת - מאת סופיה שביקובסקי
מאז שנכנסה לשימוש נרחב, טכניקת ה-buffer overflow היוותה אבן יסוד בארגז הכלים של תוקפים. אחד המנגנונים שנועדו להתמודד עם האיום הזה הוא Stack canary - טכניקה שנועדה לזהות ניסיונות פגיעה בזיכרון לפני שהם מובילים להשתלטות על התהליך. במאמר הזה, סופיה סוקרת מהו ,Stack Canary איך הוא עובד, אילו מגבלות יש לו, ואיך הוא משתלב במערך ההגנה המודרני מפני מתקפות מבוססות זיכרון.
- No Touch
Needed - מאת ניקול
פולינקובסקי
כרטיסי בקרת גישה מבוססי RFID הפכו לחלק בלתי נפרד מהשגרה שלנו – במקומות עבודה, חדרי כושר, תחבורה ציבורית ועוד. הצמדה קצרה של הכרטיס – והדלת נפתחת. אך מאחורי הנוחות הזו מסתתרת פגיעות מהותית: טכנולוגיות RFID וNFC- מאפשרות תקשורת אלחוטית נוחה, אך גם חושפות את המשתמשים לסיכוני שיכפול, גניבת מידע, וכניסה לא מורשית. במאמר זה ניקול סוקרת את הטכנולוגיות הללו, את האיומים הביטחוניים הנלווים להן, ומציגה דוגמאות לשיטות תקיפה והגנה.
