כאמור, הגיליון הנ”ל הינו הגיליון ה-47, שזה אומר שהגיליון הבא הוא הגיליון ה-48, שזה אומר שבו נסגור ארבע שנות פעילות, שזה כמובן טירוף! :) אבל על זה נדבר בגיליון הבא…
השבוע, פורסם בלא מעט מקומות אודות 0day ,CVE-2013-5065 שאיתרה החברה FireEye, שמבצע Local Privilege Escalation על מערכות הפעלה Fully Patched XP SP3 ומומש בעזרת חולשה מוכרת (APSB13-15) ב-Adobe Reader. מי שקורא קבוע את דברי הפתיחה שאני כותב כאן כל חודש (חוץ מניר, שאותו אני מכריח, יש באמת בן אדם כזה?), כבר מכיר את הדעה שלי אודות המדיניות של Microsoft בכל הנוגע לתמיכה ואי-התמיכה שלה במערכות הפעלה “ישנות” או “פרוצות”.
לפי סקר שוק שעושה האתר NetShareMarkets באופן קבוע, למערכות ההפעלה מבית Microsoft יש נתח-שוק של 90.81 אחוז. ולמערכת ההפעלה XP בפרט, יש נתח-שוק של 31.24 אחוז (מערכת ההפעלה יחידה שעקפה אותה הינה Windows 7). לפי מדיניות ה- Support Lifecycle של Microsoft, ב-08/04/2014 החברה תפסיק לתמוך ב-“Windows XP SP3 and Office 2003”, שזה יוצא עוד פחות מחצי שנה.
כן, אני מבין את החשיבות של Support Lifecycle, ברורה לי האמרה שיש לשחרר את משאבי החברה ממוצרים ישנים, ולאפשר לה להתמקד בטכנולוגיות חדשות וכו’. אבל בדיוק כמו שקרה עם XP SP1, ועם XP SP2, יקרה גם עם XP SP3: מערכת ההפעלה הזאת תשאר בשטח, עם נתח-שוק יחסית דומה לנתק-השוק שיש לה עכשיו, הרבה אחרי שנעביר בלוח-השנה שלנו את חודש אפריל שנת 2014.
מה הבעיה שלי עם זה? למה אני מספר לכם את זה? כי הדוגמא שכתבתי בשורות הראשונות, היא דוגמא מצויינת לכך שמערכות הפעלה ישנות הן אחת החולשות הגדולות ביותר של הארגונים היום. אני יותר מאשמח ללחוץ את היד למנהל ה-IT שעובד בארגון (בינוני פלוס) שיכול להגיד לי שברשת הארגונית שלהם אין כיום מערכות הפעלה XP SP2, או את צוות ה-System שיכול להגיד לי בלב שלם שבאפריל שנה הבאה, אם אני אפעיל Sniffer ברשת שלו, אני לא אראה יותר חבילות מידע עם המחרוזת “5.1”. בודדים (וברי-מזל) אותם אנשים, אם הם בכלל קיימים…
זה לא משנה כמה אבטחה נציב ברשת שלנו, וכמה חוקים יהיו ב-IDS-ים או ב-IPS-ים שלנו ברשת, כל עוד נמשיך להשתמש במערכות הפעלה כאלה - אנחנו נפסיד בקרב שלנו אל מול אותם ארגוני פשיעה / האקרים מזדמנים / צבאות סינים / סייבר-מאפיות רוסיות וכד’.
ברגע שחברה בסדר גודל כמו Microsoft מפסיקה לתמוך במוצר כלשהו - שנשאר בשוק (ועוד עם נתח-שוק כזה מטורף), היא מאפשרת לכל אותם גורמים להתחזק יותר ויותר על ידי הוספת אותן תחנות לרשתות ה-Bot-Net שלהם, או על ידי שימוש באותן מערכות לא נתמוכות כשער כניסה לרשת הארגונית שלנו ולהפיץ דרכה וירוסים בתוך הארגון.
אין לי פתרון למצב, אני לא שולט במדיניות של Microsoft, וחברות תוכנה יהיו חייבות תמיד לשחרר את המשאבים שלה ממוצרים ישנים על מנת להמשיך ולספק לנו טכנולוגיות חדשות יותר. מה שנשאר זה לנסות להגביר את המודעות בקרב אותם מנהלי IT וצוותי System, ולנסות להעביר את המסר שחוסן הרשת הארגונית שלכם - הוא כחוסן החוליה החלשה ביותר בה.
וכמובן, לפני הכל, היינו רוצים להגיד תודה רבה לכל מי שבזכותו ובזכות שנתן מזמנו הפנוי החודש, המגזין ממשיך להתפרסם: תודה רבה לליאור בר-און, תודה רבה לישראל (Sro) חורז’בסקי, תודה רבה למור כלפון, וכמובן - תודה רבה לשילה ספרה מלר, על העזרה בעריכת הגיליון.
החודש, הגליון כולל את המאמרים הבאים:
Federated Identity - (נכתב ע”י ליאור בר-און):
האינטרנט פורח - וזה דבר נהדר. במקום אתרים סטטיים יש לנו עכשיו “אפליקציות” שעושות דברים נפלאים. לעתים הולכות וקרבות אפליקציות משתפות פעולה זו-עם-זו בכדי לעשות משהו נפלא חדש. בכדי להגן על הפרטים האישיים של המשתמשים, העולם משתמש במנגנוני-אבטחה, שאחד מיסודותיהם הוא מנגנון הAuthentication (זיהוי). כשמדברים על האינטרנט ואפליקציות המדברות זו-עם-זו, אנו מדברים לרוב על Authentication בעזרת Federated Identity (= זהות בקבוצה מבוזרת). במאמר זה ליאור סוקר את עקרונות הבסיס של פרוטוקולי Federated Identity.
Java Script Security - (נכתב ע”י ישראל (Sro) חורז’בסקי):
במאמר זה מציג ישראל מקרים בהם למרות שמפתח האתר ביצע Input validation ו-Output encoding לפי הכללים, קיימים מקרים שעדיין האתר או האפליקציה לא יהיו מאובטחים כראוי למתקפות מבוססות JavaScript. מקרים אלו (אשר יוצגו במאמר) נגרמים משילוב של גורמים חיצוניים וספריות קוד שונות המוסיפות יכולות שונות לאתר שאותן יכול התוקף לנצל על מנת לפגוע בו.
How I Almost Got Infected By Trojan Horse - (נכתב ע”י מור כלפון):
במאמר הבא מציג מור כלפון מקרה שקרה לו ובו הוא כמעט ונדבק בסוס-טרויאני על ידי כניסה פשוטה לאתר לגיטימי שנפרץ. מור זיהה את המקרה, חקר את הקוד העוין ואת הסוס-הטרויאני, ובסופו של דבר דיווח לגורמים הרלוונטים על מנת להסיר את האיום. במאמר זה יציג מור את דרך בה הוא זיהה את הקוד, כיצד חקר אותו והבין את דך פעולתו ובסופו של דבר הצעדים שנקט על מנת לנטרלו.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.