החודש (ובכלל הזמן האחרון), היו לא מעט אירועים מעניינים בעולם אבטחת המידע, אם מדובר ב-CVE-2011-4862 (החולשה ב-Ironport WSA של סיסקו), אם זה R7-2014-17 (הממצאים של המחקר אודות החולשות ב-NAT-PMP כחלק מה-Project Sonar של Rapid7), אם זה חשיפת ה-MITM של הסינים עבור ה-iCloud של חברת Apple, אם זאת CVE-2014-4114 (חולשת ה-“SandWorm” שהתגלתה לאחרונה ב-OLE של מיקרוסופט), אם זאת CVE-2014-3566 (החולשה “POODLE” שהתגלתה במימושים השונים של SSL), אם אלו מתקפות ה-DDoS השונות שהתגלו דרך SSDP Reflection שהגיעו אף אל מעל ל-120 GBps!), אם זה אירוע ריקון הכספומטים באירופה בעזרת התולעת Tyupkin שחברת Kaspersky גילתה, ואם זה עוד לא מעט אירועי אבטחת מידע שיצא לנו לשמוע עליהם החודש.
תמיד כשנראה שאי-אפשר להפתיע אותנו וש”כבר שמענו על הכל” - צצה לה איזו ידיעה שמצליחה להפיל אותנו מהרגליים, אם זאת ה-HeartBleed שהפתיעה אותנו בחודש אפריל, ואז לאחריה חולשת ה-ShellShock שהפתיעה אותנו בספטמבר, ועכשיו - POODLE, שאחרי המתקפות BEAST ,CRIME ,BREACH ו-LUCKY13 חשבנו שלא נשמע על חולשות ב-SSL בזמן הקרוב…
אך עם זאת, נראה כי עדיין ישנם ארגונים שלא לומדים לקח, ולמרות שאין שום סיבה לחשוב שעולם אבטחת המידע “יעמוד במקומו”, נראה שזאת עדיין נקודת ההנחה שלהם, ארגונים כאלה נפרצים על בסיס יומי, ומידע פרטי ומסווג מתפרסם באינטרנט ופוגע בהם, בלקוחותיהם ולפעמים אף מעבר.
כיצד ניתן למנוע זאת? אני לא בטוח עד כמה זה אפשרי. אם הארגון שלך הוצב כמטרה - כנראה שהוא יפרץ, הכל תלוי בכמות המשאבים שהתוקפים מעוניינים להשקיע. וכאן בדיוק אפשר לפעול: אם נצליח להגיע למצב בו לתוקפים לא יהיה שווה לתקוף אותנו, כי העלות של התקיפה תגדל מעל התועלת שהם יקבלו - כנראה שניצחנו, והם יעברו לארגון שפשוט יותר לתקוף. איך עושים את זה? זאת כבר שאלה אחרת, זאת כבר שאלה שקצרה היריעה מלהכיל את תשובתה, אבל אם תשאלו אותי, ההתחלה של התשובה שלה מתחילה במילה מודעות.
וכמובן, לפני שנגש לעיקר הדברים, נרצה להגיד תודה רבה ל-d4d, תודה רבה ל-CISA Dragon, תודה רבה לשחר קורוט (Hutch) ותודה רבה לשילה ספרה מלר שבזכותם אתם קוראים שורות אלו.
החודש, הגליון כולל את המאמרים הבאים:
Hacking Games For Fun And (mostly) Profit - חלק ב’ (מאת d4d)
מאמר זה עוסק בניתוח הפרוטוקול וההצפנה של המשחק Worms World Party, בחלק הקודם של מאמר זה (חלק א’), הציג d4d את מטרות המחקר, את אופן הקמת סביבה העבודה וכן את תחילתו של המחקר, חלק זה עוסק בתהליך ההינדוס לאחור לטובת הבנת סוג ההצפנה שבה השתמשו מפתחי המשחק, ניתוח מנגנון האימות לשרת ה-IRC של המשחק וניתוח ההצפנה של רשימת המשחקים.
כלכלת סייבר (מאת Dragon CISA)
המאמר מנסה לתאר את הקשיים שבכימות אירועי סייבר למונחי עלות ואת המספרים “שנזרקים” בנושא זה במחקרי שוק, בהרצאות וכמובן בתקשורת החופשית. במסגרת המאמר ננסה להוכיח כי עלות הנזק לישראל כתוצאה מ-OPISRAEL היתה זניחה כלכלית אך משמעותית מבחינה תדמיתית. בנוסף יתוארו מספר מחקרים שמנסים להתמודד עם נושא חישוב עלות נזקי הסייבר. לקינוח, יוצגו פרמטרים אשר צריכים להילקח בחשבון בעת בניית מודל לכימות והבנה של כלכלת סייבר.
The POODLE Attack (מאת שחר קורוט)
במאמר זה מציג שחר את המתקפה האחרונה שפורסמה חודש שעבר אודות פקוטורות ההצפנה SSL. במאמר מסביר שחר כיצד החולשה עובדת, ממה היא נגרמת, כיצד המתקפה עובדת, כיצד ניתן לבדוק האם אתם אכן בסיכון וכיצד ניתן להתגונן מפניה.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.