אח, זה פשוט לא נגמר. נראה שכל חודש-חודשיים חברת אנטי-וירוס אחרת מפרסמת אודות “הוירוס החזק ביותר שהתגלה עד כה”, לפני מספר חודשים שמענו מפי חברת Symantec אודות Regin - “כלי הריגל המורכב ביותר שזוהה אי-פעם” והחודש נראה כי תורה של חברה Kaspersky לצאת עם פרסומים בסיגנון דומה, הפעם אודות ה-“Equation Group”. מעבר להמלצה לקרוא את הדו”חות הטכניים והמעניינים (מאוד) שפורסמו ב-SecureList אני באמת לא מבין את הרעש מסביב העניין. אם הרעש היה בעקבות הטכנולוגיה - הייתי מצטרף לדיונים, אבל ברב המקרים הרעש הוא מסביב ל”איום” שאותו וירוס יוצר.
תמיד בשבוע-שבועיים לאחר פרסומים כאלה, כל אתרי החדשות קוראים לעדכן את כל המערכות, השרתים, האנטי-וירוסים וכו’, אבל איכשהו ההיגיון שלי אומר לי שזאת בדיחה, שאם במערכת של שרת שאני מנהל התגלתה איזו חולשה שמאפשרת לגורם זר להריץ עליה קוד, כל רשתות הבוטנטים יגיעו אלי הרבה יותר מהר מאשר Regin או כל וירוס אחרי בסיגנון. לפי איך שאני רואה את זה, בתור אזרח מהשורה, כל עוד אני לא מתכוון לייצר פצצת אטום בשנה-שנתיים הקרובות, נראה שלא הם האיום היומיומי שלי, אלא וירוסים כמו Zeus, Carberp או שפעת.
דוגמא טובה לחוסר ההבנה של האיום האמיתי היא הרעש והפרסום שנעשה בעקבות כל הפרסומים האלה. כמעט באותו הזמן ש-Kaspersky הוציאו את White Papers שלהם אודות ה-“Equation Group”, הם פרסמו White Paper אודות קמפיין APT בשם “Carbanak”: קמפיין שבגינו נשדדו מספר לא קטן של בנקים, נגנבו מעל לחצי מיליארד דולר ונרשמו הפסדים של יותר ממליארד דולר. יש לא מעט פרסומים אודות הקמפיין הנ”ל בתקשורת הישראלית (הרי אין שום סיכוי שאתרי החדשות בארץ יפספו כזה סיפור חם אודות אירוע סייבר), אך ההתייחסות לכך היא יותר כאל “עוד סיפור מעניין” ואין הבנה כי זה האיום היומיומי שלנו וניתנים פחות צעדים קונקרטיים כיצד ניתן להמנע מכך. זה נכון שכשמדובר במתווה העבודה של Carbanak למשתמש הקצה אין יותר מדי מה לעשות, אך הרעיון הוא אותו רעיון.
לפי איך שאני מבין את המפה (ותרגישו חופשי לא להסכים איתי), בתור אזרח פשוט האיום היומיומי שלי הוא לא שה-NSA יעקבו אחרי אלא וירוסים “פשוטים” יותר, עם מניעים “אזרחיים” יותר, כגון וירוסים מסוג ה-Ransomwhare שינסו לנעול לי את המחשב עד שלא אשלם להם, או כל ה-Bot-Net-ים שהמטרה שלהם היא לגנוב כרטיסי אשראי או כאלה שמבצעים מתקפות MITB ומנסים לרוקן לנו את חשבונות הבנק מבלי שנרגיש.
וירוסים בסיגנון של Regin או Stuxnet מאוד מעניינים ברמת הטכנולוגיה, אך ממש לא ברמת האיום על הרשת הפרטית שלי בבית או על הרשת הארגונית שלי (שוב, כל עוד אני לא מעשיר אורניום בחצר האחורית). נראה שלא הרבה אנשים מבינים את זה, ואולי זאת הסיבה שעדיין ניתן לראות היום מחשבים נגועים ב-Conficker.
ולפני שנגיע לחלק הבאמת מעניין של הגיליון, נרצה להגיד תודה רבה לחבר’ה שבזכותם הגיליון ה-59 פורסם החודש! חבר’ה שהשקיעו מזמנם הפרטי לטובת הקהילה. תודה רבה ליובל סיני, תודה רבה לגל תא שמע ותודה רבה ל-d4d! וכמובן, תודה רבה לעורכת שלנו: שילה ספרה מלר, שאין לי מושג איך היא עדיין מצליחה להחזיק מעמד איתנו :)
החודש, הגליון כולל את המאמרים הבאים:
מבוא לשימוש ביכולות Machine Learning בפתרונות אבטחת מידע וסייבר (מאת יובל סיני)
מזה תקופה ארוכה ארגונים נאלצים להתמודד עם כמויות גדלות והולכות של מידע, דבר הכולל מידע המאוחסן בפורמטים שונים ומגוונים, אשר מקורו בערוצים רבים. לצד סוגיות עסקיות ואתגרים עסקיים טהורים, איתור מידע רלוונטי מהווה נתבך חשוב בנושא התמודדות עם סוגיות אבטחת מידע וסייבר כדוגמת איתור חריגות בהתנהגות משתמשים ואו מחשבים. במאמר זה, מציג יובל שימושים שונים ליכולות Machine Lerning לטובת התמודדות עם בעיה זו.
The Husky Code (מאת גל תא שמע)
במאמר זה מציג גל את הפרויקט “The Huskey Code”. מטרת הפרוייקט הינה ליצור קוד javascript המורכב מקבוצה מוגבלת של אותיות. כך שעל הקוד להיות בנוי באופן שיוכל להתכב בצורות, ולא יחייב מבנה פיזי ספציפי. במהלך המאמר מציג גל את השלבים ליצירת הקוד, את המחשבה מאחוריו ואת תהליך הבניה עצמו.
חלק ג’ - Hacking Games For Fun And (mostly) Profit (מאת d4d)
מאמר זה הינו החלק השלישי של סדרת המאמרים “Hacking Games For Fun and Profit”, שבה מציג d4d תהליך מורכב שמטרתו יצירת שרת פרטי למשחק Worms World Party. התהליך כולל Reversing ומחקר פרוטוקולים וכן לא מעט פיתוח. בחלק זה, מציג d4d את שלבי יצירת ה-Back-End של הפרויקט.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.