הגליון המאה שבעים ותשעה של DigitalWhisper שוחרר!
בחודש אוגוסט האחרון, פורסם הגליון ה-72 של המגזין האגדי Phrack. בין כל המאמרים המרתקים שפורסמו במסגרת הגליון, פורסם גם מאמר לא טכנולוגי בכלל, אך למרות חפותו מכל אספקט טכני כזה או אחר, לדעתי הוא עלה בחשיבותו על כל שאר המאמרים שפורסמו תחת אותו הגליון.
אני מדבר על המאמר "The Hacker's Renaissance: A Manifesto Reborn" שכתב TMZ (שהוא עצמו גם אחד מהעורכים של Phrack).
אם עוד לא קראתם אותו, אני ממליץ לכולכם לעצור את מה שאתם עושים כרגע ולהשקיע בו את ה-5 דקות. ואם יצא איכשהו שאתם גם לא מכירים את המאמר המקורי של The Mentor (עליו מתבסס המאמר של TMZ) - אני ממליץ לכם לעצור לעוד רגע, לקחת את ה-10 דקות ולקרוא גם אותו, ואז לקחת שוב 5 דקות ולקרוא את המאמר של TMZ שנית. ולחזור לטקסט הזה.
הסיבה לכך שאני מעריך מאוד את הטקסט שכתב TMZ, היא שמעבר לכך שהוא מתייחס לאחד הטקסטים האהובים עלי ביותר בעולם (ואם להודות, זה כנראה הטקסט שהצית בי את אותה אש שעד היום בוערת בי לפעול ולקדם את הקהילה שלנו), זה שהוא מצליח להעביר ביקורת מאוד נכונה וחשובה על מצב סצינת ההאקינג העולמית והוא עושה זאת מבלי להישמע טרחני, מתנשא או מתלונן. מההסתכלות שלי, הוא מצליח להעביר את הביקורת הכל כך חשובה הזאת, באותו אופן שבו חבר טוב, זה שחבר של כולם בחבורה, מגיע, ומתוך אהבה והבנה מלאה איך כולם מרגישים בסיטואציה לא נעימה שצריך לפעול פה, אומר עם עיניים בורקות: "יאללה חבר'ה, נראה לי שהגיע הזמן לשנות כיוון".
במאמרו, TMZ נוגע במספר נקודות חשובות ומשווה בנוגע אליהן את מצבה של סצינת ההאקינג העולמית כיום לבין מצבה בסוף שנות ה-80, בימים שבהם המאמר של The Mentor נכתב.
הנקודה הראשונה שבה הוא נוגע היא שינוי המניע מאחורי המחקרים הנעשים בקהילה.
אם בעבר המנוע המרכזי שהניע את רב רובם של המחקרים בסצינה שלנו הייתה סקרנות טהורה, כיום רב המחקרים מתפרסמים מתוך מניע עסקי, שיווקי ובעיקרו - כלכלי (ישנו גם נתח מחקרים הנעשים ממניעים אקדמאים, ולמרות שבאופיים הם שונים, אני מכליל אותם תחת אותה הכותרת, מכיוון שאין הבדל מהותי, שכן הם לא מונעים מסקרנות טהורה, אלא כחלק ממחוייבות אקדמאית לטובת קבלת תעובדה כזו או אחרת).
בכמעט כל חברה טכנולוגית בתחום שלנו קיים צוות או מספר צוותים של חוקרי חולשות מוכשרים שכל מטרתם הוא לחקור ולפרסם חולשות במוצרים השונים, על מנת לפזר פרסום חיובי סביב מוצרי החברה או להאיר באור שלילי את מוצרי מתחריה (להוציא חברות Offensive שבהם יש צוותים שלמים החוקרים חולשות אך מסיבה ברורה לא מפרסמים אותן).
אני לא גאה בזה כמובן, אך בעצמי חטאתי בכך עשרות פעמים בתחילת דרכו של המגזין כאשר חקרתי מערכות שונות לא מתוך סקרנות אלא על מנת לפרסם את החולשות שמצאתי באתרים כגון Exploit-DB עם קישור למגזין במטרה לעלות את הציון שלו בגוגל.
אין כמובן כל רע בלפרסם חולשות אבטחה, להיפך, בזכות פרסומים אלה חולשות נסגרות והעולם שלנו כמשתמשים הופך לבטוח יותר. עם זאת, הדגש בביקורת ש-TMZ מעביר הוא אינו על האפקט הנוצר (שהוא חיובי ברובו כמובן) אלא על המניע מאחוריו: נראה שהרבה מהסקרנות התמימה והקסומה שהייתה חומר הבערה ששמר על הלפיד דולק בסצינה העולמית בעבר הוחלפה במניעים שיווקים כלכליים ואפורים. דוגמא נוספת למגמה זו אפשר לראות כאשר בוחנים את רשימות הדוברים בכנסי אבטחת המידע העולמיים. מעטים יהיו המרצים שאת המחקרים שלהם עשו במסגרת זמנם הפנוי בביתם ולא כחלק מחוזה העסקה של מחקר לטובת PR בחברה בה הם עובדים. ואותה מגמה אגב, מסבירה יפה גם את פריחתו של שוק ה-Bug Bounty שבעבר כמעט ולא היה קיים והיום הוא תעשייה משגשגת בפניה עצמה.
אני לא רוצה לצאת שלילי או קיצוני, ואני יודע שלמרות המגמה הזאת, יש לא מעט חבר'ה (גם בקהילה המקומית והיפה שלנו), שעדיין עוד חוקרים מתוך סקרנות טהורה. הם עושים מחקרים נפלאים ויהיה עוול לא להזכיר אותם. הרבה מהם צעירים כאלה שהתחום עוד חדש להם, אך יש גם לא מעט חוקרים וותיקים שממשיכים לעשות זאת וזה תמיד מרגש ונותן השראה לקרוא מחקרים כאלה (כן כן, אני מדבר עליך, זה שמשיג בדרך מפוקפקת טלפון ציבורי ישן של בזק, ויושב לחקור אותו במשך שנה סתם מתוך סקרנות גם באמצע החופשות שלך, או עלייך שכל כך מכורה ל-Active Directory וברור לי שתמשיכי לחקור וללמוד על הטכנולוגיה הזאת גם אם אף אחד לא ישלם לך). המחקרים בדרך כלל מתפרסמים במסגרת בלוג פרטי שאותם החוקרים מתחזקים וחלק מהם אף מתפרסמים כמאמרים במגזין! אך למרות הקיום של אותם חבר'ה מופלאים, נדירים ואהובים, המגמה הכללית די ברורה.
יש לכך כנראה הרבה הסברים הגיוניים ורובם מניחים גם את הדעת: מטענות שהמחקרים היום מורכבים משמעותית מבעבר, דורשים סטאפ יקר או כבד שלחוקר הביתי כמעט ואין דרך להשיג (לדוגמא מחקר על מוצר VPN יקר מאוד, או מחקר סייבר על רכבים, נשק, כספות ושלל ציוד חכם) או שהקמת מעבדת המחקר היא אינה זולה (הרשיונות לכלי המחקר מאוד יקרים, או התשתיות כגון שרתי וירטואליזציה או ציוד מעבדה פיזי לביצוע פעולות האקינג פיזיות על חומרה הוא יקר), עד טענות כגון זה שבאמת ובתמים - קשה יהיה לצפות מחוקר לחקור בבית, כאשר האלטרנטיבה היא להשקיע את אותה כמות זמן ולעשות כמעט את אותו הדבר עבור חברה אך עם ההבדל של משכורת נאה מאוד בסוף החודש.
אני כמובן לא טוען אף טענה כלפי אף חוקר, ונראה לי שגם TMZ. וכאמור רב הטענות הן הגיוניות ומניחות את הדעת. אך טובות ככל שהן יהיו, הן לא סותרות את הטענה הכללית: במרוצת השנים, המניע מאחורי המחקרים בסצינה שלנו השתנה ברובו המוחלט. וזאת הנקודה שעליה TMZ מכוון את אלומת פנסו.
ויש שישאלו: "מה זה משנה?", ואולי בצדק, כי הרי מבחינה טכנית אכן לא השתנה דבר, יש קהילה, היא מגדלת חוקרים מוכשרים והם בתורם מבצעים ומפרסמים מחקרים איכותיים שבזכותם, העולם שלנו נהיה עולם שדה פקטו - יותר בטוח לחיות בו. אך מבחינת הרוח, חל פה שינוי תהומי, שינוי שלדעתי אסור להבליג עליו. שינוי שעלול להוביל (או שכבר הוביל?) לכך שנאבד את הנשמה והחלק החשוב ביותר שמניע את הקהילה שלנו.
העולם שאופף את הסצינה שלנו הוא עולם תחרותי מאוד, מי מכם שיצא לו לחקור ולמצוא חולשה משמעותית רק כדי לגלות שחוקר אחר בדיוק פרסם אודותיה- יודע כמה כואב זה. מי מכם שניסה לדווח על פגיעות במוצר של חברה גדולה רק בשביל לגלות כמה לא באמת אכפת לה - יודע כמה מתסכל זה. מי מכם שמצא פרימיטיב חזק וזיהה שהעדכון האחרון סוגר משהו אחר אך בפונקציה קרובה לוגית - יודע כמה לחץ זה. בתחום שלנו, קל מאוד להישאב למאבקי אגו טפשיים, ליצור קליקות סגורות, לראות קולגה כיריב, חוקר מוכשר בתחילת דרכו כנטל. ומתוך כך לרצות לשמור על המידע או הידע ועל שיטות המחקר קרוב קרוב במקום להפיצו לכולם. רוצים לבחון אותי? שאלו כמעט כל חוקרת בתעשייה שלנו איך היא מרגישה.
על מנת להשמר מפני אותם נגעים, ועל מנת לשמור על עצמנו, עלינו לחזור ולאמץ את המניעים הנכונים, אלה שאבדו לנו במהלך הדרך. כי כאשר חוקרים מתוך סקרנות, אם מזהים קולגה שבמקרה חוקר/ת את אותה הפלטפורמה - טבעי יהיה שנרצה לשתף פעולה!
שמירה על המניעים הנכונים, על מחקר שנובע מתוך סקרנות ולא מתוך אגו או מניע כלכלי, שמוביל ומעודד שיתוף, שיוצר חדוות עבודה - הם הכלים להתמודד עם כל אותם צדדים אפלים, מתישים, מייסרים ולא נעימים שיש סביבנו.
אז אני עם TMZ. ואני קורא לי ולכם: בואו ונשמור על הסקרנות שלנו ונדאג שנהיה מונעים ממנה ולא מתוך אגו. כי בלעדיה, בלי אותה סקרנות טהורה ואמיתית, מה בעצם נשאר לנו?
וכמובן, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה ליהודה סמירנוב, תודה רבה לעומר שליו, תודה רבה לניר גילס, תודה רבה לארד דוננפלד, תודה רבה לברק גונן, תודה רבה לעילי טרטמן, תודה רבה לעמית גבאי!
-
ShadowHound: חלופה ל-SharpHound באמצעות Native PowerShell – מאת יהודה סמירנוב
ShadowHound מציע דרך חדשה ובטוחה יותר לאיסוף נתוני Active Directory – ללא צורך בהרצת קבצים בינאריים שעלולים להפעיל התראות. במאמר זה, יהודה מציג חלופה ל-SharpHound המבוססת על PowerShell וכלים לגיטימיים, שמאפשרת לצמצם את הסיכון לזיהוי תוך שמירה על יכולות איסוף מתקדמות.
- אלא לראותם בלבד: Mitigating (semi) new class of advanced threats - מאת עומר שליו
מאמר זה בוחן דור חדש של איומים מתקדמים שבהם תוקפים מסתירים קוד על ידי מניפולציות בזיכרון ובשכבות נמוכות - כך שהם פשוט לא נראים לכלי EDR ולכלי פורנזיקה. עומר מסביר שתי טכניקות מרכזיות להסתרה, מראה כיצד ניתן לגלותן ולנצל תכונות חומרה מודרניות (למשל ניטור ספקולטיבי) להתרעה מוקדמת. המטרה: להציע שיטות מעשיות שמאפשרות למגנים לזהות ולהגיב לאיומים אלה.
- ה-Threat Actor בארגז החול - מאת ניר גילס וארד דוננפלד
ניר וארד מזמינים את הקוראים למסע פרקטי אל עולמם של ארגזי החול: מה הם עושים, איך להשתמש בהם להגנה יומיומית, ואיך תוקפים מנסים לעקוף אותם. במאמר הם סוקרים טכניקות התחמקות, מדגימים כלי שכתבו לצורך המחשה ומציעים אמצעים לחיזוק ארגזי חול ארגוניים. מתאים לקוראים שמכירים VM-ים, מושגי Windows ופייתון ורוצים להבין גם את הצד ההתקפי וגם את ההגנתי.
- פרוטוקול TLS 1.2- מאת ברק גונן
הפרק מתוך ספרו החדש של ברק, רשתות מחשבים חלק 2, מציג את עקרונות פרוטוקול TLS 1.2 , הבסיס לאבטחת תקשורת באינטרנט של ימינו. דרך הסבר בהיר וברור, ברק סוקר את המעבר מהעברת מידע "רגילה" לתקשורת מאובטחת, ומשלב רקע היסטורי, מושגי הצפנה ויישומים מעשיים. זהו שער להבנת האופן שבו מחשבים מדברים זה עם זה – בצורה בטוחה.
- איך בונים Vulnerability Scanner - מאת עילי טרטמן
עילי לוקח אותנו מאחורי הקלעים של סורקי חולשות: מהם הסוגים הקיימים היום, איך השוק והטכנולוגיות השתנו בעשור האחרון, ולבסוף, איך לבנות סורק משלך שלב־אחר־שלב. מאמר פרקטי, שימושי ומתמקד בבחירות שמכריעות אילו כלים מתאימים לארגון.
- MPLS - מאת עמית גבאי
עמית מסביר בפשטות כיצד טכנולוגיית MPLS הפכה מאמצעי להאצת ניתוב בלבד לכלי אסטרטגי בתכנון רשתות מודרניות. המאמר מציג את עקרונות הפעולה של MPLS, את יתרונותיו בשילוב עם שירותים כמו VPN ו-QoS, ואת הסיבות לכך שהוא ממשיך להיות חלק חיוני בתשתיות תקשורת ארגוניות.
