הגיליון הארבעים ושלושה של Digital Whisper שוחרר!

מי שמתעסק בהאקינג - חי האקינג ונושם האקינג, יום יום דקה דקה. אני מאמין שאפשר להגיד את זה על מקצועות נוספים, אבל לא סתם אומרים על האקינג שזה “דרך חיים”. אני בטוח שגם מוסכניק שאוהב את המקצוע שלו חי אותו יום יום דקה דקה, אבל עדיין, אף פעם לא שמעתי אנשים שאומרים “להיות מוסכניק זו דרך חיים” (לפחות לא בלי שירימו עליהם גבה). האקינג זה מקצוע שהוא דרך חיים. מוסכניק כן מתנתק מהפטיש אויר או מהג’ק ליפטים כשהוא נועל מאחוריו את דלת המוסך, אבל מי שמתעסק בהאקינג לא מתנתק מהעולם הזה ברגע שהוא מכבה את המחשב או מנתק את ה-RJ45 מה-Port בקיר. הביטים ממשיכים לזרום בדם גם אם אין חשמל בכבל, והם ימשיכו לזרום גם כשהוא יזמין פיצה, יתקלח, יוציא את הילדה מהגן או ילך למוסך. לטוב ולרע.

ומה אפשר להגיד? בחרנו מקצוע לא פשוט… אבטחת מידע, זה אולי הנושא הכי דינמי שיש… כל הזמן אלה פורצים לאלה, אלה מפתחים טכנולוגיות אבטחה חדשות ואלה מצליחים לעקוף אותן, אלה מגלים אותם, מפתחים טכנולוגיות חדשות ואלה שוב פעם מוצאים דרכים לעקוף אותן. ומילא היה מדובר בשתי קבוצות, אבל נראה שמדובר במאות אלפים ואפילו יותר… ובנוסף, לא נראה שיש לזה סוף, לא לכאן ולא לכאן. ההרגשה הכללית היא, שכמו בכל עניין אחר, גם כאן ה-Bad Guys יהיו תמיד מספר צעדים לפני החבר’ה שתפקידם להגן.

קיימות סיבות רבות למה תמיד הצד התוקף יהיה מספר צעדים קדימה מהצד המגן. הצד המגן אמור להגביה ולתחזק על בסיס שעתי את כלל החומות מסביב לעיר, לדאוג שבכל העמדות, ה-Services שרצים יהיו תמיד מעודכנים, ולדאוג לעירנותם של כלל השומרים, בכל הפורטים, עשרים-וארבע-שבע. עליהם לוודא שאותם השומרים תמיד יהיו up-to-date לכל האירועים האחרונים ויודעים לזהות בצורה חד משמעית את כל האיומים על העיר, וכמובן - אסור להם להתבלבל חס וחלילה עם עוברי אורח תמימים (כבר ראינו מקרים שבהם חברות אנטי-וירוס זיהו בלי כוונה, ומחקו, חלקים ממערכת ההפעלה, אירוע לא נעים במיוחד).

ולעומתם, החבר’ה התוקפים צריכים לעבוד הרבה פחות קשה. הם לא צריכים לתקוף את כל השומרים בכלל החזיתות בכל שעות היום. הם צריכים לבחור יעד, לאסוף עליו מידע (וגם כאן לא חובה להתחיל ללכלך את הלוגים של היעד, עולם ה-Passive Reconnaissance Techniques הוא לא קטן, מאמר מעולה בנושא, וגם כאן), ולאחר מכן, לאתר את הנקודה החלשה ביותר באותה חומה, את אותה עמדה מרוחקת ומבודדת שהעדכונים בה תמיד מגיעים מאוחר אם בכלל, והשומרים בה תמיד עייפים ומריצים גרסאות ישנות. הם יכולים להרים מודל של אותה עמדה, להתאמן עליה, לכתוב Tailor-made Shellcodes הכי שקטים והכי יעילים ורק בסוף, לבחור את שעת הכושר, שבה התוקפים הכי עירניים, והשומרים באמצע החלום השביעי ולתקוף.

אני לרגע לא אומר שכל ילד בן 13 הוא האיום המרכזי של רשת הארגון שלכם (למרות שגם מקרים כאלה ראינו, ולא פעם), אבל אני בהחלט אומר שהתפקיד של ראש מערך אבטחת המידע בארגון X הוא בלתי אפשרי בהגדרה. ושבהגדרה, החבר’ה שתפקידם להגן יהיו תמיד בעמדת נחיתות.

שלא תראו לרגע את השורות האלה כתלונה למקצוע, או חס וחלילה, כלפי אלוהי ההאקינג. לא רק שאני סבור שאין בשוק מקצוע מעניין יותר, מספק יותר או מאתגר יותר, אני גם סבור שרוב המעלות הטובות שלו נובעות ממה שכתבתי בשורות האחרונות.

אחרי ההקדמה הנ”ל, ולפי שנגיע לתוכן הגיליון, ברצוננו להגיד תודה רבה לכל מי שבזכותו הגיליון הזה פורסם החודש: תודה רבה לסשה גולדשטיין, תודה רבה ליורי סלובודיאניוק, תודה רבה למריוס אהרונוביץ’, תודה רבה לעו”ד יהונתן קלינגר. וכמובן, תודה רבה שילה ספר מלר.

החודש, הגליון כולל את המאמרים הבאים:

למה מומלץ להקשיב ל-PenTester שלך (או: וקטורי XSS מתקדמים) - (נכתב ע”י אפיק קסטיאל / cp77fk4r):

לכל Penetration Tester יוצא להשתתף בלא מעט ישיבות הנהלה בעקבות דו”חות בדיקה, ולא מעט פעמים עולה הדיון סביב המתקפה Cross Site Scripting. בדרך כלל במהלך הדיון, הבוחן נאלץ לשכנע את צוות הפיתוח, ראש הצוות שלהם, לקוח המערכת הנבדקת ולפעמים אפילו את מזמין הבדיקה, למה הוא דירג את הממצא כגבוה. במהלך הדיון עולים טיעונים שונים ומשונים כנגד המתקפה שרובם נובעים מחוסר הבנה של הצד הנבדק. במאמר הזה, אפיק מציג מספר וקטורי XSS פחות “קלאסים” על מנת להמחיש את פוטנציאל הנזק האמיתי הקיים ב-XSS לטובת מתן מענה לאותן טענות.

חילוץ ופענוח פרמטרים של פונקציות המשתמשות ב-x64 Calling Convention - (נכתב ע”י סשה גולשטיין):

במאמר זה בוחן סשה את נושא ה-Calling Convention (מוסכמת קריאה) למערכות מבוססות 64 ביט, ומראה כיצד ניתן לחלץ פרמטרים של פונקציות המשתמשות במוסכמה זו (ב-Windows). המקרים שבהם יש צורך בחילוץ ידני כזה של פרמטרים רבים, וביניהם ניתוח דאמפים, הנדסה הפוכה, ופענוח שגיאות כאשר המחסנית נדרסה בטעות בגלל באג בתוכנית או הושחתה בכוונה על ידי תוקף.

פיצול מידע בשירותי ענן - (נכתב ע”י מריוס אהרונוביץ’):

השימוש בשירותי מחשוב בענן (cloud computing) מתרחב בשנים האחרונות באופן מהיר. השירותים מספקים יכולת גידול, דינמיות וצמצום עלויות הטמעה ותפעול IT של ארגונים. יחד עם זאת, שירותים אלו יוצרים אתגרים לא פשוטים בנושא חיסיון וזמינות המידע, כאשר ספק השירות הינו האחראי הבלעדי לניהול תשתיות המחשוב ואבטחת המידע. השימוש בשירותי מחשוב בענן (cloud computing) מתרחב בשנים האחרונות באופן מהיר. השירותים מספקים יכולת גידול, דינמיות וצמצום עלויות הטמעה ותפעול IT של ארגונים. יחד עם זאת, שירותים אלו יוצרים אתגרים לא פשוטים בנושא חיסיון וזמינות המידע, כאשר ספק השירות הינו האחראי הבלעדי לניהול תשתיות המחשוב ואבטחת המידע. במאמר זה, מציג מריוס טכניקה שנועדה לשמור את חיסיון המידע גם בעולם הענן, ע”י פיצולו.

מתקפות DDoS - איך מתכוננים ליום הדין? - (נכתב ע”י יורי סלובודיאניוק):

במהלך השנים האחרונות, אנו עדים לכך כי התקפות Distributed Denial of Service (DDoS) תופסות מקום הולך וגדל בקרב התקשורת ובקרב קהילות אבטחת מידע בעולם. מגמה זו מתקיימת משתי סיבות עיקריות: הראשונה הינה ההיקף והכמות של התקפות מסוג זה. השניה הינה הנזק הכספי או התדמיתי הנגרם לנתקפים. ככל שעובר הזמן הארגונים המבצעים תקיפות אלו מפתחים עוד ועוד דרכים שיטות ודרכים להגדיל את משאביהם וכך מתקפותיהם הופכות לאיכותיות יותר ויותר - נתון המגדיל את היקף הביצוע ואת הנזק הנגרם ממנו. במאמר זה, יורי מציג דרכים ומידע שיעזור לכם, בתור אנשים פרטיים ובתור ארגון עסקי, להגן על עסק שלכם ולצמצם נזקים.

פרסום חולשות - איך עושים את זה נכון? - (נכתב ע”י עו”ד יהונתן קלינגר):

במאמר זה מציג עו”ד יהונתן קלינגר, את הדרך האתית והבטוחה לפרסם פרצת אבטחה שמצאתם, מבלי לגרום לכם לסיים את התהליך בכלא או בחובות קשים. המאמר מבוסס על מספר טקסטים שחשוב שתקראו, בינהם המדריך של ה-EFF על נושאים שקשורים לחשיפת פרצות אבטחה, המדיניות של CERT בכל הנוגע לגילוי פרצות אבטחה, המדיניות של מיקרוסופט, ועוד. במהלך המאמר יהונתן מתייחס לנקודות כגון מתי אפשר ומתי אי אפשר לפרסם חולשה, כיצד לדווח עליה, פרק הזמן שיש לחכות בין שלבים בתהליך וכו’.

קריאה מהנה!

ניר אדר ואפיק קסטיאל.