הגליון העשרים ותשעה של Digital Whisper שוחרר!

ברוכים הבאים לגליון ה-29 של Digital Whisper! גליון אחד לפני הגליון ה-30! שיסמל שנתיים וחצי של פעילות…

אם מסתכלים על אתרי החדשות הישראלים, נראה כאילו אנחנו באמצע מלחמה, אבל לא סתם מלחמה, אלא “מלחמת סייבר”…(!) לפיהם, אתרים ישראלים נפרצים עד כל צעד ושעל, כרטיסי אשראי של אזרחי המדינה נגנבים ומתפרסמים על כל עץ וירטואלי רענן, הבורסה קורסת, ענף הכלכלה קורס ואנשי ה-IT של כל הבנקים בארץ לא רואים בית…

אבל עם כל הכבוד לכל אותם אתרי חדשות, ועם כל הכבוד למילה “סייבר”, ולמלחמה הנוראה הזאת, שאין ממנה מנוס, אני חושב שאותם אתרים די מגזימים.

ראשית, אני לא אוהב את השימוש היום-יומי הזה במילה “סייבר”, המילה היפהפה הזאת נהפכה פתאום לאיזה Buzzword שכל חברת אבטחת מידע החליטה שהיא חייבת להוסיף אותה לברוז’ור שלה: “מומחה ללוחמת סייבר”, “הגנה מפני מתקפות הסייבר שפוקדות אותנו כיום”… יש בקרוב גם כנס בנושא “לוחמת סייבר” וזה לא עוצר שם. הסיפור עם המילה הזאת מזכיר את אותה השטות שהחלה לפקוד אותנו לפני זמן לא רב עם הביטוי “Advanced Persistent Threat” כשהתחלנו לראות פתאום בכל מקום את ראשית התיבות “APT”.

ושנית, אתרים ישראלים (ואולי קשה להאמין, אבל לא רק ישראלים! כן כן…) נפרצים כל הזמן, ולא מאתמול שאנו שומעים על כך שערבים פורצים לאתרים ציוניים, וישראלים פורצים לאתרים ערביים. וכמו שהסכסוך הערבי-ציוני לא חדש לנו כך הוא לא חדש לנו גם בעולם האינטרנט (או “הסייבר” אם תרצו). זה שאתרי חדשות משתמשים בזה וחופרים בנושאים האלה כל כך הרבה בכדי להשיג רייטינג (באופן מציק למדי, אבל מובן - בסופו של דבר זה התפקיד שלהם) זה אחד, אבל זה שפתאום כל בן אדם הופך להיות מומחה ללוחמת סייבר, וכל יום קמות להן חברות שכל יעודן הוא להגן מפני מתקפות סייבר מתוחכמות (קבוצה של חמישה ילדודס עם רשת זומבים שמאיימת לנתק את האינטרנט) והם מאכילים את הציבור שטויות במיץ זה כבר משהו אחר…

שאף אחד לא יעבוד עליכם עם כל מני Buzzwords כאלה ואחרות, אם חברת אבטחה באה אליכם ומודיעה לכם שהיא מומחית ללוחמת סייבר והיא מעוניינת לתת לארגון שלכם את השירותים שלה - הייתי בוחן אותה בשבע עיניים. כנ”ל לגבי כל מני קורסים שמבטיחים לכם שלאחר שתסיימו אותם תיהיו מומחים ללוחמת סייבר, או שגדולי המומחים במדינה בנושא מתקפות הסייבר יעבירו לכם הרצאות - הייתי מתרחק מהם. ברב רובם המוחלט של המקרים - השימוש ב-Buzzwords שטותיות שכאלה לאו דווקא מעיד על הבנת החומר או מקצועיות.

החודש, תוכן הגליון כולל את חמשת המאמרים הבאים:

Wireless (un)Protected Setup - (נכתב ע”י דר’ אריק פרידמן)

בדצמבר 2011, חוקר אבטחת מידע אוסטרי בשם סטפן ויבוק, פירסם בבלוג שלו פוסט בנוגע לנקודת תורפה בפרוטוקול (WPS (Wi-Fi Protected Setup, פרוטוקול שנועד לאפשר הגדרה והתקנה של רשתות אלחוטיות בצורה פשוטה ובטוחה. אותה נקודת תורפה מאפשרת לתוקפים לגלות את מפתח ההצפנה של אותה הרשת (ולא משנה האם מדובר ב-WEP או WPA) בתוך מקסימום יום. במאמר זה מציג דר’ אריק פרידמן את הפרוטוקול והחולשה שסטפן ויבוק פרסם.

פרו-אקטיבי? האם ניתן לתקוף כדי להגן על מערכת. - (נכתב ע”י עו”ד יהונתן קלינגר)

עו”ד יהונתן קלינגר, עו”ד לדיני המידע, מציג במאמר זה את השאלה מה היא “פעילות פרו-אקטיבית”?, ובאותו נושא - האם מותר לגולש ברשת לבצע פעילות כזאת בטענת “הגנה עצמית”? האם קיים הבדל בין מאבטח אישי לבין איש אבטחת מידע? ואם כן, האם “מאבטח אישי וירטואלי” שכזה, במידה ויוכל לאתר, בזמן אמת, פגיעה בנכסים הוירטואלים של אדם על ידי אדם אחר - לפעול כנגד אותו אדם?

CSRFlushing - (נכתב ע”י יהודה גרסטל / Do5)

במאמר זה, מציג יהודה כלי שכתב המנצל פריסה לא נכונה (ולא מאובטחת) של הקובץ ניהול המדיניות לשיתוף תוכן לפלאש (CrossDomain.xml) לטובת מימוש מתקפה בסיגנון Live CSRF / SideJacking ע”י בניית מנוע מבוסס פלאש קטן המתפקד כשירות Proxy בין התוקף לאתר הנתקף על גבי מנוע הפלאש של הקורבן.

פרשיית MasterGate - (נכתב ע”י ניצן ברומר ובוריס בולטיאנסקי)

בשבוע האחרון, ניצן ובוריס פרסמו באינטרנט נתון מעניין שעשה רעש רב בקהילת ה-Wordpress הישראלית, אותו הנתון הוא לא פחות מפיסת קוד שהוכנסה לעיצובים שונים של מערכת ה-Wordpress שתורגמו על ידי מספר אנשים ופורסמו ברשת. תפקידו של הקוד הוא לאפשר לאותם המפרסמים לאתר הפרה של זכויות יוצרים (לטענתם), אך בפועל הוא מסכן את המערכת ומאפשר לאותם מתרגמים להשיג שליטה מלאה על המערכת והשרת המריץ אותה.

שימוש במזהה חד חד ערכי לאיתור מאגרי מידע פרוצים - (נכתב ע”י אמיתי דן)

במאמר הבא, מציג אמיתי דן מחקר שביצע (ומבצע גם בימים אלו) על אתרים לאיתור מידע על אנשים ברשת האינטרנט, במסגרת המחקר מעלה אמיתי את הטענה כי באתרים אלו בעיקר ניתן למצוא מידע שפורסם על ידי אותם האנשים, ובכדי לאתר מידע אישי יותר, שסביר להניח שלא פורסם על-ידיהם אלא שדולף לאינטרנט במסגרת מאגר מידע פרוץ כזה או אחר, ישנו הצורך למקד את החיפוש עד כדי שימוש במזהים חד חד ערכיים.

קריאה מהנה!

ניר אדר ואפיק קסטיאל.