אם מסתכלים מהצד (ואולי בעצם, גם אם לא) החודש, ובכלל התקופה האחרונה, נראת הזוי מבחינת אבטחת מידע. רק בחודש-חודשיים האחרונים פרצו לכל כך הרבה אתרים גדולים ופרסמו כל כך הרבה סיסמאות… אירועים שאני זוכר כרגע הם הפריצה האחרונה ל-Yahoo Voice, שבמסגרתה פורסמו יותר מ-400,000 סיסמאות של משתמשים. הפריצה לפורום המפתחים של Nvidia, גם שם פורסם מספר דומה של סיסמאות. הפריצה ל-Gamigo הגרמנית, שלאחריה פורסמו קרוב ל-11,000,000 סיסמאות (מספר הזוי שכזה, ראינו רק ב-2009, כשפרצו ל-RockYou, ושם פורסמו קרוב ל-32,000,000 כ-PlainText), הפריצה לאתר ההיכרויות eHarmony, שבה פורסמו 1,500,000 סיסמאות. כמובן שאי-אפשר לשכוח את הפריצה ל- LinkedIn, שבמהלכה פורסמו קרוב ל-6,500,000 סיסמאות, ואני מאמין שיש עוד הרבה דוגמאות שאפשר לתת רק מהתקופה האחרונה ואני פשוט לא זוכר אותן…
עכשיו, כן, נכון, אני מסכים, ברב המקרים רואים שחצי מהמשתמשים אינם פעילים, שהרשימה כוללת רשומות כפולות ושבסופו של דבר הפירצה הייתה דרך חולשה שהייתה קיימת בשירות ישן וכו’ וכו’. אך התירוצים האלה מאוד מעניינים, השורה התחתונה היא שפרצו לאותם אתרים (וחלקם בסדר גודל בין-לאומי מטורף), הגיעו ללב המערכת ושלפו משם את אחד מפריטי המידע היותר קריטיים שיש.
למה אני מספר את זה? לא כי מפתיע אותי שהצליחו לפרוץ לאתרים בסדר גודל שכזה, אותי גידלו על המנטרה: “מערכת מאובטחת היא מערכת שלא מחוברת לטלפון, וגם זה ברב המקרים לא מספיק”. אני מספר לכם את זה כי מה שמפתיע אותי הוא הנתון שבהרבה מקרים אופן שמירת הסיסמאות במסד הנתונים היה באופן גלוי! לא מסקרומבל, לא Hashed עם Salt, לא באיזה יעני-אלגוריתם-הצפנה-שפותח-אין-ההוס, אשכרה מונח כ-“ClearText” במסד הנתונים. ולא מדובר באתר של “יוסי-בלונים”, מדובר במולטי-אתרים, עם מליוני מאות אלפי משתמשים פעילים בכל יום.
על פי PwnedList, בעת כתיבת שורות אלו, פורסמו עד כה 23,801,415 סיסמאות שניתן להצמיד אותן לאדם ספציפי על פי כתובת האימייל שלו. זה גם נתון הזוי בפני עצמו. שלא נדבר על זה שרב בני האדם משתמשים במספר סיסמאות מצומצם (בדרך כלל אחת?) למספר שירותים, (כך שאת המספר הזה אפשר להכפיל פי כמה).
אני מסכים שהרבה יותר קשה לאבטח אתר גדול כמו שצריך מאשר לפרוץ אליו. הצד המאבטח צריך לחשוב על כל כך הרבה כיוונים, לדאוג שבכל כך הרבה מקומות האבטחה תהיה מקסימלית, והצד הפורץ, צריך בסך הכל פירצה אחת, פונקציה פגיעה אחת על מנת לחדור למערכת ולגנוב את כל המידע הרגיש. אני מסכים שבאתרים בסדר גודל כמו שנפרצו הסיכוי להיות מאובטחים במאה אחוז הוא כמעט אפסי, ואני מסכים שלא משנה כמה בדיקות חדירה תבצע על המערכת, תמיד תשאר הפרצה הזאת שאף אחד לא מצא ודווקא אותו בחור זדוני מהאינטרנט מצא וניצל. אני לא מסיר את האצבע המאשימה מאותם אתרים, אבל אני מסכים עם זה שהצד המאבטח תמיד צריך לעבוד הרבה יותר קשה מהצד הפורץ.
עם דבר אחד אני לא מסכים, והוא זה שהנתונים שמורים באופן גלוי על הדיסק. פשוט לא נשמע לי הגיוני. יש כל כך הרבה פתרונות פשוטים וטובים על מנת לגרום לכך, שגם אם פרצו למסד הנתונים, ביצעו לו-Dump ופרסמו באיזה שרת מרכזי ברשת האינטרנט, המידע שיפורסם יהיה חסר ערך לחלוטין. וכן, יש סיכוי שהפתרונות האלה יאיטו קצת את הליך ההזדהות לשרת, וכן, אני מסכים שפיתוח עולה כסף, אבל דחיל-רבאק, זה א’-ב’, זה מינימום של אבטחת מידע, אתם אתר בסדר גודל בלתי-נתפס, תראו קצת רצינות…
ובנימה אופטימית זו, נעבור לתודות…
תודה רבה לד”ר גל בדישי, תודה רבה ליניב מרקס, תודה רבה לעידן פסט, תודה רבה למרק גפן וליגאל זייפמן, ותודה רבה לשילה ספרה מלר, שבזכותם הגליון יצא לאור כמו שהוא!
בנוסף, תודה רבה ללירן בנודיס ולאלכס ליפמן על מאמרים, שלמרות שבסופו של דבר לא מופיעים בגיליון זה, הם פינו מזמנם, והקדישו לגליון. בתקווה שהמאמרים יופיע כבר בגליון הבא!
החודש, הגליון כולל את המאמרים הבאים:
Operation Ghost Click - (נכתב ע”י אפיק קסטיאל / cp77fk4r)
החודש, לאחר פעילות נרחבת של ה-FBI ורשותיות החוק באסטוניה, הגיעה לסיומה פרשה שהחלה עוד בשנת 2007. במהלכה נעצרו שישה בני-אדם שהפעילו וירוס שבעקבותיו פורסמו כותרות בסיגנון “וירוס ענק מסתובב באינטרנט ומאיים לנתק מאות אלפי משתמשים” ו-“האם וירוס אגרסיבי ינתק את כולנו מהרשת”. למי לא יצא לשמוע לאחרונה על הוירוס “DNS Changer”? כל אתר חדשות המכבד את עצמו כתב על הוירוס הזה לפחות פעם אחת רק במהלך החודש האחרון. במאמר הזה ננסה להבין מה העניין ועל מה כל הרעש.
פריצה לשרתי Poison Ivy - (נכתב ע”י ד”ר גל בדישי)
מחשבים רבים בעולם נדבקים בוירוסים, תולעים, ורושעות מסוגים שונים. בד”כ, קיים אדם (או קבוצת אנשים) אשר מטרתם לשלוט על המחשבים המודבקים מרחוק ולנהל אותם בהתאם לצרכיהם. אדם זה חולש על עמדת שליטה אחת או יותר, המנהלת את הבוטים הנמצאים על המחשבים המודבקים. Poison Ivy (או בקיצור: PI) הוא דוגמה לעמדת שליטה כזאת. בעמדת השליטה ניתן לייצר בוטים חדשים ולשלוט על כל המחשבים הנגועים. הדבקת המטרות היא משימה נפרדת, ואינה חלק מ-PI. מחשב נגוע נמצא למעשה בשליטה מלאה של התוקף, שיכול להעביר לו פקודות, לקבל ממנו חיוויים, וקבצים ומידע, לעקוב אחרי המשתמש, וכו’. במאמר זה מציג גל את פרטיה של חולשה אשר פורסמה בשרת PI וכיצד מתבצע אופן ניצולה על מנת להשתלט על עמדה זו.
Incapsula - אבטחת אתרים להמונים - (נכתב ע”י מרק גפן)
בחודשים האחרונים נושא אבטחת אתרי אינטרנט זוכה ליותר ויותר כותרות, זאת בעיקר בזכות מספר התקפות גדולות, מתוחכמות ומתוקשרות כגון: הווירוס Flame, חשיפה של 6.5 מיליון סיסמאות LinkedIn, הפריצה ל-eHarmony, ההתקפה של אנונימוס על אתרי הממשל הודו ועוד כמה התקפות אחרות כדוגמתן. סיפורים אלה יוצרים רושם כאילו מתקפות על אתרים הם משהו שמתרחש אי-שם מעבר לאופק ושאין לו נגיעה למציאות היום-יומית של מאות מיליוני אתרים קטנים ובינוניים, שהם אוכלוסיית הרוב של רשת האינטרנט. אך בפועל, ההפך הוא הנכון. האירועים המתוקשרים הללו הם רק נקודות קיצון על גרף מגמה העולה של מתקפות על אתרי אינטרנט. ממדיה האמתיים של התופעה מתגלים בעיון במחקרים שנערכו בנושא. אל מול האתגר הזה חברת Incapsula, הייתה מהראשונות להרים את הכפפה. במאמר זה מציג מרק את מוצר הדגל שלהם ואת מאפייניו.
Evil Twin Attacks - (נכתב ע”י יניב מרקס)
במאמר זה, מסביר יניב על מתקפה המוכרת בשם “Evil Twin Attack”, מתקפה זו מאפשרת לרמות את תחנת הקצה ע”י הוספת Access-Point בעל שם רשת (SSID) זהה ל-Access-Point האמיתי על מנת לגרום לתחנת הקצה הנתקפת להתחבר ל-Access-Point הנוסף, במקום ל-Access-Point המקורי. במאמר מציג יניב את הסכנות בקיום מתקפה זו וכיצד ניתן להתגונן מפניהן. בנוסף להצגת המתקפה, מציג יניב הרחבה למתקפה, המגדילה את טווח הסיכוי להצלחתה.
פיתוח מערכות הפעלה - חלק ג’ - (נכתב ע”י עידן פסט)
בסדרת מאמרים זו, מסביר עידן את השלבים בעת בניית מערכת הפעלה מ-0. בחלקים הקודמים של סדרה זו למדנו על מערכות העובדות ב-Real Mode, כתיבת הקרנל, המעבר מ-Real Mode ל-Protected Mode, על כתיבה ישירה לזיכרון המסך במצב טקסט, על סטנדרנט ה-Multiboot ועל הGDT. בפרק זה נממש עוד חלק מהותי ובסיסי באוסף ה-Descriptors שעלינו לממש – ה-IDT. בנוסף ל-IDT נממש את תחילתו של ה-IRQ ודרכו נממש שעון בסיסי.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.