האינטרנט היום מלא בטרנדים, כמעט כל דבר ויראלי או סמי-ויראלי הופך להיות היום “טרנד”, אפילו המילה “ויראלי” היא טרנד בפני עצמו. וכמה שטבעי שתת-המרחב יושפע מהמרחב עצמו, כך טבעי שגם בעולם אבטחת המידע וההאקינג יהיו טרנדים שכאלה.
חולשות מתפרסמות כל הזמן, אך בשנה-שנתיים האחרונות נראה שנהיה איזשהו קטע כזה של להמציא לכל חולשה כינוי, “שם שיווקי וקליט”. אני לא טוען שהעניין חדש, על חולשה שכזו שמעתי כבר בגיל 13, והיא אחת החולשות הראשונות שאני זוכר שפורסמה עם כינוי, ה-MS00-057 שפגעה בשרתי IIS בגרסאות 4 ו-5, וזכתה בכינוי ה-“The UNICODE bug” (וגם כאן), ולאחריה גם החולשה MS04-007 שזכתה בכינוי “Kill-Bill” ופורסמו ביניהן ולאחריהן עוד לא מעט. ואני לא מדבר על חולשות שקיבלו את השם שלהן על שם התולעת שניצלה אותם כמו MS01-033 שהתגלתה בעת המחקר של התולעת ה-“Code Red”, או ה-Code Red שזכתה לכינוי “SQL Slammer” על שם התולעת האגדית.
חולשות כמו ה-HeartBleed או ה-ShellShock, הן חולשות ש(לפחות לדעתי), זכו לשמן בכבוד, וכנ”ל חולשות נוספות אחרות (על חולשה מעניינת במיוחד, שזכתה לשמה בכבוד, בשל התפוצה הרחבה שלה וגודל הנזק שהיא מסוגלת להסב, אנו כותבים בגיליון הזה, חולשת ה-“Misfortune Cookie”), אך מעבר לכך העניין כבר מתחיל להריח מאוד שיווקי, פרסומים אודות “חולשות מעבדה” שכאלה, שכל מני אקדמאים מצליחים להוכיח שבתנאי מעבדה, הפרוטוקול X פריץ לחלוטי, או כל מני חולשות שבפוטנציאל מסויים, בהינתן תנאים מאוד מאוד לא סביריים “In the Wild”, עלולות לגרום להקרסה של שירות שבהינתן תנאים עוד יותר מוזרים תוכל לגרום להרצת קוד על המערכת, ורק כשיש ירח מלא, רק גורמות לפאניקה מיותרת ולבלבול בקרב הגורמים הלא-טכנולוגיים שקוראים עליהן בכתבות שנכתבו על ידי גורמים עוד יותר לא-טכנולוגיים.
אני לא אומר שאין צורך להתייחס או לתקן חולשות מעניינות שקשה עד בלתי אפשרי לנצל אותן, אני רק טוען שצריך להעמיד את הדברים במקומם. כמובן שהסבירות לניצול החולשה לא באמת מעניינת את העורך של אתר חדשות כזה או אחר, ולא באמת אכפת לו שמה שהוא כותב זה שטויות במיץ, ושהדבר היחיד שמעניין אותו זה כמות הגולשים שממהרים להכנס ולקרוא את הכתבה אודות החולשה המסוכנת שהתגלתה לא מכבר, אך בכל מה שנוגע לניהול סיכונים, וחישובי עלות מול תועלת העניין חשוב מאוד.
אני לא חושב שיש חולשה שאין צורך לתקן אותה, גם בשביל שלמות הקוד או המוצר, גם בשביל האחריות של התוכניתן או החברה וגם בגלל שלא תמיד אנו מודעים ליכולות של צבא ההאקרים של סין, ה-NSA או המאפיה הרוסית. כל חולשה צריך לתקן, אך חשוב מאוד לשמור על פרופורציות. אני לא CISO, וכנראה גם לא אהיה, אך גם אני יודע שכאשר מחשבים סיכון מסוים - חשוב מאוד לקחת בחשבון את הסיכוי שהוא יתרחש. אם פוגע מטאור בכדור-הארץ אנחנו כנראה אבודים, אך זאת לא סיבה להתחיל לפתח מגן אסטרו-גלקטי שיעטוף את הפלאנטה שלנו.
אחד התפקידים החשובים שלנו בתור אנשי אבטחת-מידע הוא להגביר את העירנות והמודעות של החברה שלנו לנושא, אך תפקיד חשוב לא פחות הוא גם להרגיע בעת שיגעון שמתרחש בעקבות שטויות של כתבים רעבי-טרפיק.
וכמובן, ברצוננו להגיד תודה רבה לכל מי שבזכותם הגיליון ה-58 פורסם! תודה רבה לליאור אופנהיים, תודה רבה לשחר טל, תודה רבה לשחק שלו, תודה רבה ל-5Fingers, ותודה רבה ליובל (tsif) נתיב. תודה לכם על כל השעות שהקדשתם לטובת כתיבת המאמרים והעזרה בהכל.
החודש, הגליון כולל את המאמרים הבאים:
עוגיות ביש המזל (איך למדתי להפסיק לחשוש ולהתחיל לאהוב מחקר קושחות) (מאת ליאור אופנהיים)
מאמר זה מתאר ליאור מחקר שנערך בקבוצת ה-Malware & Vulnerability Research בצ’ק פוינט. מחקר זה הוביל, בין היתר, לחשיפת החולשה “Misfortune Cookie” שפורסמה בחודש שעבר. ניצול של חולשה זו מאפשר השתלטות מרחוק על מליוני ראוטרים בכל רחבי העולם. החולשה התגלתה כחלק מפרוייקט רחב יותר על בעיות אבטחה ב-TR-069. במאמר זה מתאר ליאור את התהליך שהתבצע עד למציאת החולשה ומימושה.
System Call Hooking (מאת שחק שלו)
המאמר הבא עוסק בשיטת יישום חדשה יחסית של Hooking שמתחילה לצבור תאוצה לאחר שנצפתה בסוסים הטרויאניים Neurevt (הידוע גם כ-Betabot) ו-Carberp. במאמר מסביר שחק את מנגנון ה-System Call של Windows וכיצד לממש את ה-Hook. המאמר מלווה בקטעי קוד רבים ושחק מסביר צעד אחר צעד כיצד לבצע Hook בטכניקה זו.
סוגיות אבטחה ב-MongoDB (מאת 5Fingers)
במאמר זה מציג 5Fingers את נושא אבטחת המידע ב-MongoDB, אילו מתקפות קיימות כיום על מערכות אשר עושות שימוש במסד זה, באילו מקרים וכיצד ניתן לתקוף את המסד ישירות ועוד, במסגרת המאמר מובאת סקירה על עולם מסדי הנתונים ובה הסבר על עולם ה-NoSQL.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.