לפני הכל! שימו לב! נוסף למעלה עמוד שנקרא "ברשתות חברתיות" ומכיל קישורים שלנו לפייסבוק ולטוויטר – אתם בהחלט מוזמנים להרשם ולעקוב אחרינו. יופיעו שם עדכונים שוטפים על כל מה שחדש בבלוג, ולפעמים (אם יהיה לי אקסטרה-פאוור) הגיגים ומחשבות מעניינות. נוסף על כן, תוכלו להרשם במקומות שונים באתר לרשימת התפוצה שלנו – שתעדכן אתכם בכל פוסט שרשמתי באופן אוטומטי. הבלוג שומר על ממוצע כניסות נאה לאחרונה ואני מאוד מרוצה, תודה רבה לכל המתעדכנים הקבועים.
ולעניינינו: ברוכים הבאים לפוסט נוסף של מבזקי ברק. השבוע לא עדכנתי את הבלוג בכלל (השבוע הראשון שפרט למבזקי ברק לא הופיע אף פוסט). אני מדגיש שאם מתחשק לכם לפרסם פה פוסטים על אבטחת מידע וטכנולוגיה, כל עוד שהפוסט יהיה מובן לכולם (גם למשתמשים לא טכנולוגיים) – אשמח לפרסם אותו כאן. להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשנית שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
ה-VeriSign הולך יחף - אחד מספקי האבטחה הגדולים ביותר בעולם, VeriSign, נתפס השבוע כשהוא חשוף לפירצת האבטחה הידועה לקוראים הקבועים – XSS. אופס? כידוע, פירצת הXSS מאפשרת להרצת קוד (מסוג JavaScript) על המחשב של המשתמש, דבר המאפשר "להגיע רחוק": מגניבת משתמשים ועד השתלת וירוסים קטלניים – הכל אפשרי.
ים אמר – וים צדק - אחד הפוסטים הראשונים שלי בבלוג היה על פיראטיות, ועל כמה המלחמה בה היא טיפשית ולא מועילה. דיברתי על מאפיינים שונים במלחמה חסרת-הסיכוי הזו שהופכים אותה למנוונת ועלובה, ולמרות זאת הכתבה זכתה לציון די נמוך (עקב חוסר הסכמה אידיאולוגית לדעתי, אך יש גם הסיכוי שעקב חוסר הסכמה מעשית). בכל מקרה, הנה ה"אמרתי לכם" שלי, וזה רק מתחיל: עונשו של משתמש בשם ג'ואל טננבאום הלומד באוניברסיטת בוסטון ונשפט בגין פיראטיות הופחת מ675 אלף דולרים ל67.5 אלף (90%). בנוסף לכך, נמתחה ביקורת חמורה על ידי השופט אודות התנהלות ה-RIAA (ההתאחדות האמריקנית של יצרני התקליטים). עוד נודע לנו בזכות הדו"ח הטכנולוגי של יוסי גורוביץ, שבסך הכל, בשנים 2008-2006 הוצאה אותה התאחדות עלובה 64 מיליון דולר וקיבלה בחזרה 1.36 מיליון דולר. באסה.
דפדפנים עם חורים - "חורי אבטחה" התגלו בתוספות לשני הדפדפנים Mozilla Firefox ו-Google Chrome. שימו לב שלא מדובר בחורי אבטחה שבאים Built-in עם הדפדפן, כפי ששאר הכותרות ברוב אתרי החדשות הפופוליסטיים מנסים למכור לכם! מדובר באפשרויות להתקנת תוספים (Add-ons) לדפדפן, כאשר אותו Add-on הוא זדוני ועלול לגרום נזק רב למשתמש. בשני מאגרי התוספות הרשמיים של הדפדפנים (המקומות שבו היצרניות מאגדות ונותנות אפשרות להוריד תוספות), התגלו תוספים מסוימים המכילים פרצות אבטחה, שעלולות לגרום לגניבת שמות משתמש וסיסמאות. מסוכן.
ארצות-הברית והסייבר – ארצות הברית, כידוע לנו כבר מעדכונים של השבועיים הקודמים, נכנסה לפאניקה טוטאלית (ואולי מוצדקת?) החודש עם שגעון ה"בוא-נקטין-את-פגיעות-הסייבר-שלנו-ונגדיל-את-הפרטיות-פה". סייבר (cyber), לכל מי שלא יודע, הוא כל דבר הקשור או נמצא במרחב האינטרנטי – וארצות הברית רוצה "לתקן את כל מה שקשור בזה". במסגרת השגעון כבר נכנס חוק שלנשיא מותר לנתק בהנפת אצבע חלקים נרחבים של ארצות-הברית מן האינטרנט. התוכנית אפילו זכתה לטיוטה מתאימה – וכנראה שמדובר במשהו גדול יותר ממה שאנחנו מסוגלים לדמיין. אין לנו הרבה לעשות חוץ מלחכות ולראות לאיפה זה מתפתח.
זוכרים את פרשת גוגל? - אני שומע במוחי את רוב הקהל צועק מיד (וצודק) "איזו מהן!", אך הפעם אני מדבר על זו שאוזכרה דווקא פעמים רבות בבלוג: פרשת איסוף הפרטים של רשתות הWi-Fi הבלתי מאובטחות. בקצרה, למי שלא מכיר: גוגל החביבים החליטו שיהיה ממש חביב, אם במסגרת פרויקט Street View, בו הם שולחים מכוניות מיוחדות של גוגל לסרוק כל חור בעולם ולהציג אותו במפות תלת מימדיות שלה, יאספו גם אותות הWi-Fi של הרשתות השכנות. הם טענו שזה היה בטעות, אבל אני לא נוהג לרשום בבלוג דברים שאני לא מאמין בהם. בקיצור, לאחר שבריטניה כבר הספיקה להאשים את גוגל, וקללות נשמעו בכל רחבי העולם על המדיניות הקלוקלת (דבר שגרם להפסקת עדכון המפות של Street-View באופן זמני), הצטרפו לעצבים גם האוסטרלים (אם כי באיחור ניכר, ולמרות פרסום התנצלות בבלוג הרשמי האוסטרלי של גוגל). המחדל קרה בסך הכל ב-30 מדינות… מעניין כמה סיפורים על גינויים נצטרך לשמוע.
פרצות אבטחה? אפל ראשונה! - וממקום שלא ציפינו לו – מחקר חדש: סיכום תוצאות מראה שבחצי הראשון של שנת 2010, מספר חורי האבטחה שנמצא במערכות שונות הוא זהה לזה שנמצא בכל שנת 2009! בראש הלהיטים של מספר פרצות האבטחה, מככבים: במקום הראשון והמפוקפק במיוחד – אפל (וואו?!), לאחר מכן חברת מסדי הנתונים אורקל (פה אני חייב להודות שלא הופתעתי, במיוחד אחרי שהשבוע הוציאה 59 עדכוני אבטחה חדשים) ולשלישית שהפתיעה דווקא לטובה: מיקרוסופט! (הופתעתי לטובה. בחיי. או שנמאס לאנשי אבטחת המידע למצוא באגים של מיקרוסופט, או שפשוט החברות האחרות פישלו בענק). מעוניינים במחקר? קבלו אותו במחיאות כפיים סוערות.
המלך העירום גירסת בריטניה: המלוכה בבריטניה מציעה פתרון מקורי לבעיית הפיראטיות: הספקית תשלם על כל תוכן פיראטי שהורד מהאינטרנט על ידי משתמשיה. כמה פשוט וקל! מה? אני שומע מישהו פה צועק איך לאכוף את זה? אה… בקשר לזה… תשמעו… זה לא ש… טוב נו. הבריטים כבר ימצאו דרך… או שלא.
סיסמאות? למי אכפת - מחקר מעניין החליט לבדוק את הרגלי הסיסמאות הגרועים של משתמשי האינטרנט. אם להגיד את אמת, לא מדובר בגילוי חדש והממצאים אפילו מפתיעים לטובה – לפי הממצאים שפורסמו בF-Secure, כ51% מהאוכלוסייה משתמשים בלוגיקה מסוימת על מנת ליצור את הסיסמה – דבר העוזר להם להזכר בה. 19.4 אחוזים משתמשים באותה סיסמה לכל השירותים שלהם, 20.7 אחוזים רושמים אותה על דף נייר ו8.8 אחוזים פשוט לא נוהגים לזכור את הסיסמה שלהם – הם משחזרים אותה בדואר האלקטרוני. הממצאים שהובאו פה הם ממוצעים, ואתם מוזמנים להסתכל בתמונה הכוללת כאן. הבלוג ממליץ: וודאו שאין לכם תוכנות זדוניות על המחשב, השתמשו בסיסמה עם 8 תווים ומעלה, הכניסו בסיסמה אותיות גדולות, קטנות ומספרים, ואם אתם ממש אשפי זכרון – הכניסו גם תווים מיוחדים כמו ~ או $. לא מומלץ להשתמש בכמה אתרים באותה סיסמה – הגדירו לפחות סיסמה נפרדת לחשבונות מאוד רגישים. מעקב אחרי ההוראות הללו יחסוך ממכם עוגמת נפש רבה, שכן לסיסמאות יש חשיבות רבה בעולם היום-יום. כפי שאמר הבחור הגדול קליפורד סטול (Clifford Stoll):
Treat your password like your toothbrush. Don't let anybody else use it, and get a new one every six months.
נינטש בשדה הקרב? - אז זהו, אחרי מיליון דיווחים שקראתי ולא הבאתי לבלוג על מנת לחסוך ממכם פאניקה ובלבולי שכל, נגמרה תקופת התמיכה בWindows XP SP2. מה זה אומר? כל מחשב עליו מותקנת מערכת ההפעלה הזו, פשוט לא יקבל יותר עדכונים חדשים – אפילו אם ימצאו חורי אבטחה (וכפי שכבר ראינו, ההיסטוריה של מיקרוסופט לא מזהירה במיוחד בתחום הזה). מה עושים? משדרגים לSP3 דרך מרכז העדכונים, או מחליפים מערכת הפעלה לאחת אחרת. (לבחירתם, לאו-דווקא ווינדוס 7. לינוקס ומק הן גם אופציה). על מנת לבדוק איזו גירסה יש לכם, לחצו על לחצן החלונות במקלדת (Win) יחד עם הלחצן Pause Break. אין כוח לחפש איפה הם? לחצו קליק ימני על המחשב שלי, ומאפיינים (Properties). חטטו שם קצת, ועד מהרה תגלו – מקסימום, תמיד יש גוגל.
Micrussia?: מיקרוסופט ורוסיה החליטו להתיידד באמצעות מהלך מוזר, לפיו מיקרוסופט תפתח בפני צוות המודיעין רוסיה את קוד המקור של מערכת ההפעלה החדישה ווינדוס 7. קוד המקור הוא הקוד שממנו נוצרה התוכנה (במקרה הספציפי שלנו: מערכת ההפעלה ווינדוס 7). מיקרוסופט פרסמה שמטרתה היא להגביר את מכירותיה ברוסיה. רק אני מריח פה משהו מסריח?
שועל האש שורף בשבילכם כסף: רוצים 3,000$? אין שום בעיה! צוות שועל האש החזיר לפעולה תוכנית למציאת חורי-אבטחה, זו הוצגה לראשונה לפני שלוש שנים. מטרת המשתתפים בתוכנית היא מציאת חורי אבטחה בדפדפן עם סיכון גבוה, וכמובן שלא יוצאים בידיים ריקות: מצאת משהו רציני? קיבלת 3,000$. אני מכיר הרבה שיתווכחו על המחיר, אבל אם למישהו יש אקסטרה-זמן, רצון מטורף לתרום לקהילה והרבה כוח לויכוחים עם מוזילה – הנה ההזדמנות. לפרטים נוספים.
ואיך אפשר לסיים בלי להזכיר את פינתינו החביבה, שמופיעה לגיקים המסורים כל שבוע מחדש:
תוכנות השבוע: התוכנה הראשונה היא Fork של Paros Proxy, והיא מהווה כלי נחמד ביותר לבדיקות חדירות – קבלו את Andiparos 1.0. השנייה היא פשוט חבילת אקספלויטים חביבה שפורסמה על ידי Malc0de. כמובן שכל שימוש לרעה בחומר זה הוא לחלוטין אסור על פי חוק והעובר עליו עתיד להשפט על הפרת חוקי מדינת ישראל בבית המשפט.
עד כאן להשבוע, נתראה בשבוע הבא (:
- ים מסיקה
זהו השבוע החמישי של "מבזקי ברק" – מבזקים מעולם הטכנולוגיה ואבטחת המידע. אני מודה לכם על כל התגובות למבזקי הברק הקודמים ועל הפידבקים החיוביים באמצעי הקשר השונים, זה מה שגורם לי להמשיך (; להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשנית שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
טלפון חכם? כנראה שלא כל-כך - 50 אנשים נעצרו ברומניה על שימוש אסור בטלפונים חכמים לצורך ריגול. אותם אנשים התקינו על הSmart-Phones של אנשים שונים תוכנות ריגול, שעזרו להם לרגל אחרי בנות-זוגם, מתחרים ואנשים אחרים שנפלו קורבן לאותו ריגול ממניעים אלו ואחרים. אמנם התוכנות לא ממש יכולות להיות מותקנות מרחוק, אבל בהחלט היינו מציעים לכם להתקין איזו תוכנת הגנה נורמלית לטלפונים הניידים שלכם (תחום שמתפתח בטירוף לאחרונה – שווה לעקוב).
AMTSO WHAT? – קווים מנחים לבדיקת וירוסים התקבלו לאחרונה על ידי לא אחרת מאשר… AMTSO. מה? מי זאת? גם אני לא שמעתי על החבר'ה, ובעקבות זה יצאתי למסע להבין במי לעזאזל מדובר. מסקנות: ראשית, מדובר בAnti-Malware Testing Standards Organization (ארגון הסטנדרטים לבדיקות נגד רושעה). שנית, מסתבר שהרבה מחברות האנטי-וירוסים הגדולות ביותר חברות בה, ואני מדבר על AVG, Avira, Avast, ESet, Symantec , McAfee, AV-TEST ועוד המוני שמות שמוכרים לנו מחברות האנטי-וירוס הגדולות. שלישית, אם תרצו להתקבל – אין שום בעיה. 2,000 יורו בשנה ואתם בפנים. לקווים המנחים שפורסמו (שני הקישורים התחתונים).
הכוכבים של Ynet – האתר של ידיעות אחרונות, ynet, פועל כרגיל. כשאני אומר "כרגיל", אני מתכוון כמובן למגמתיות הנתעבת שבאה לידי ביטוי כמעט בכל מילה שקיימת באתר. אז נכון, אולי הם מעתיקים את הכותרות מאתרי חוץ גדולים יותר, אבל הם רחוקים מלהיות תלית שכולה תכלת. אני מתכוון, כמובן, לפרשת "סרטוני הפורנו". כפי שדיווחנו לכם כבר במהלך השבוע, אתר הסרטונים הענק YouTube סבל מפרצת אבטחה חמורה הקרויה "XSS קבוע" באתר. הקורבנות לפי ynet הם כמובן לא המשתמשים, אלא… ג'סטין ביבר! שמספר נמוך עד בלתי-מורגש של סרטונים שלו הושחתו. כך גם נבחרה כותרת הענק על סרטוני פורנו, למרות שבפועל אולי 0.01% מהסרטונים באתר הובילו לאתרי פורנו.
נגסו בתפוח – השבוע הגיעו דיווחים רבים על פריצה לחנות האפליקציות לאייפון, הApp-Store שמנוהלת על ידי חברת הענק אפל. בסופו של דבר, הסתבר שפרצו לעשרות משתמשים וקנו דרך חשבונם האישי אפליקציות שונות במחירים מוגזמים (בכל חשבון בוזבזו, בדרך-כלל, בין 100$ ל1,400$). האפליקציות שנקנו, כמובן, היו שייכות לפורצים – ששלשלו סכומים נכבדים מאוד לכיסם הפרטי. מה שהדליק את התקשורת במיוחד בהתנהלות הפרשיה, הייתה התגובה של אפל – שמיהרה להכחיש, וגם כשהודתה אמרה שמדובר רק ב400 חשבונות. אם להיות אמיתי, מדובר באשמת בעלי החשבונות שבוודאי בחרו סיסמה פשוט והתקשורת ניפחה לגמרי. אבל נו טוב, מי אני שאתווכח עם תקשורת שתמיד כל-כך דואגת לדווח בכנות ולא לנפח כותרות…
Patch Tuesday - בזמן האחרון, לא עובר שבוע שאני לא רואה עשרות דיווחים על עדכוני האבטחה של מיקרוסופט. למי שלא קרא פוסטים קודמים, Patch Tuesday הוא כינוי ליום שלישי, בו מיקרוסופט מוציאה תיקונים לפרצות אבטחה במערכת שלה. בשבוע האחרון תוקנו ארבע פירצות – שלוש פירצות קריטיות המאפשרות השתלטות ממחשב מרוחק – 2 במערכת ההפעלה ווינדוס ואחת בחבילת Office, ועוד עדכון "חשוב" (מדורג מתחת ל"קריטי") לפירצה נוספת בOffice המאפשרת השתלטות ממחשב מרוחק. הפרצות לאופיס הודלפו על ידי ארגון בשם Vopen Security. כמובן שישנם עוד פרצות שהתגלו ולא הוצא עבורם עדיין טלאי (פרצות כאלו נקראות בעגה המקצועית Zero-Day), כמו זו שנמצאה עד לא מזמן ב-IIS 5.1… למיקרוסופט יש הרבה על מה לעבוד.
Oopsbuntu – השבוע לא נאשים רק את מיקרוסופט (למרות שזה כיף לא נורמלי), אלא גם נדווח לכם על פירצת אבטחה רצינית שנמצאה במערכת ההפעלה הלינוקסאית Ubuntu! הפירצה מאפשרת למשתמשים מקומיים להשיג גישת מנהל, ונמצאת במודל MOTD, שמאפשר להציג למשתמשים הודעת כניסה בעת התחברות מוצלחת. לפרטים נוספים.
התקפה חדשה בתאוצה - "חטיפת-טאבים" (התרגום הוא שלי, חופשי, מהמילה האנגלית Tabnapping) היא מתקפת פישינג (דיוג) חדשה ברשת. הבעיה: היא משגשגת. מאוד. בהמשך השבוע אולי יבוא סיקור מלא על המתקפה, אך לבנתיים אציע לכם להזהר – המתקפה מבוססת על כך שמתי שאתם עוברים לטאב אחר (טאב = "לשונית", אתר אחר שפתוח באותו חלון בדפדפן), היא מחליפה את הסמל של הדף שממנו עזבתם (favicon) וטוענת אתר הדומה לאתר מפורסם ומוכר. בקיצור: לפני שאתם מתחברים לשירות כלשהו, תמיד בדקו את שורת הכתובות שלכם וראו שהכתובת נכונה ומדויקת.
תחרות עם נשק יום הדין - DefCon הוא מפגש האקרים שנתי עולמי, המתקיים כל שנה וזוכה לחשיפה ענקית בכלי התקשורת. השנה מארגני דפקון מארגנים תחרות אדירה, הממומנת על ידי הבעלים של האתר http://www.social-engineer.org/ – הרעיון הכללי הוא להעלות את המודעות לנושא ההנדסה החברתית. לפי התכנון, כל משתתף יקבל תיק מסמכים מפורט על כתובת אותה הוא צריך לתקוף. המטרה: לאסוף כמה שיותר מידע. לפני הכנס יהיה מותר לאסוף כמה מידע שירצו על החברה, אך אסור יהיה להם עד הכנס ליצור איתה קשר באיזשהו אופן. בסופו של דבר, יהיו לכל קבוצה 5 דקות להסביר מה הלך שם. זה הולך להיות מסקרן.
שוב אדובי?! – כן כן. לאחר שכבר דיווחנו לכם בשבוע שעבר על הבעיות באבטחה של מוצרי אפל, הנה זה מגיע שוב. החברה לא הצליח לתקן את פירצות האבטחה בקורא קובצי הPDF שלה בצורה טובה מספיק, ולנו רק נשאר להכיר לאדובי את הביטוי Facepalm. לפוסט בדיגיטל וויספר על עקיפת ההגנה.
האם לפרוץ CAPTCHA זהו פשע? – CAPTCHA, או בשם המוכר יותר למשתמשים הביתיים "הקוד-המעצבן-הזה-שצריך-להעתיק-מהתמונה-בזמן-ההרשמה", הוא מנגנון הנועד לעצור רובוטים מלהרשם מאות פעמים ולהציף את האתר. הוא לא ממש אהוד על משתמשים, ובטח שלא על האקרים שמנסים להפיל אתרים. לאחרונה עלה דיון על האם לפרוץ את המנגנון המיוחד נחשב פשע, לאחר שחברה B קנתה מחברה A מספר עצום של כרטיסים, תוך כדי עקיפת מנגנוני הCAPTCHA שלה, עקב רצון למכור את הכרטיסים ולעשות רווח גבוה.
הפיראטים קיבלו בארררררררראש – אתר The Pirate Bay הענק והגדול שמשמש לשיתוף והורדה באינטרנט, נפרץ באמצעות שימוש בחור אבטחה בשם SQL Injection שהיה שם. איך נפלו גיבורים.. לאתר אמנם לא נגרם נזק, אך הושגו פרטים רגישים של משתמשים, כמו כתובת IP של המשתמשים בטראקר, סטטיסטיקות מדויקות של קבצים, שמות משתמשים וסיסמאות (אל דאגה – הסיסמה שלכם מוצפנת בMD5, אלגוריתם שדורש עבודה רבה מאוד אם רוצים לפענח אותה).
החוק להשבתת האינטרנט – סרט ההמשך - NSA (סוכנות הבטחון הלאומית של ארצות-הברית, National Security Agency) החליטה להערך לקראת מלחמת רשת (cyberwar). במסגרת ההחלטה, בשבוע שעבר הועבר החוק שנתן לנשיא ארה"ב (נכון לכתיבת שורות אלו אובאמה) את האפשרות לנתק חלקים נרחבים מרשת האינטרנט בעת מלחמה אינטרנטית. הNSA הוציאה תוכנית יקרה שנקראת "אזרח מושלם" (Perfect Citizen) שמטרתה להודיע על אפשרות להתקפה סייברית על לחברות הפרטיות והממשלתיות שאחראיות לייצור דברים החיוניים לארצות הברית, כמו חברות חשמל או תחנות אנרגיה גרעינית. ההגנה תתבצע באמצעות חיישנים מיוחדים הפרוסים ברשתות מחשוב קריטיות. יעניין לשמוע, שהמלחמה האינטרנטית כעת בראש כותרות מדורי הטכנולוגיה של ארצות-הברית.
פינת התוכנות השבועית לגיקים! – למרות שאתם ממשיכים לא להיות מועילים ולא לעדכן אותי, אני כל שבוע ממשיך ומביא תוכנות לגיקים שיצאו ממש השבוע.
- הראשונה היא inundator v0.5, שמטרתה היא להתחמק מIDS/IPS וWAFים, על ידי הצפתם בfalse positives. שקלתי הרבה אם להביא אותו, ובסוף החלטתי שכן – על מנת שתהיה לכם הגנה ראויה לפני שהכלי ישומש עליכם, מה שמביא אותנו לכלי השני.
- Safe3 SQL Injector הוא אחד הכלים החזקים ביותר שאני מכיר להזרקות SQL, ותומך בעוגיות, POST, GET, ב8 סוגי שרתי בסיס-נתונים, עקיפת WAF ועוד ועוד.
- הכלי השלישי והאחרון שיקפיץ כל לינוקסאי-רוורסר הוא REMnux, שהיא הפצת לינוקס מקונפגת במיוחד עבור רוורסינג של Maleware. מבוססת אובונטו.
עד כאן דיווחי השבוע, להתראות בשבוע הבא
ים מסיקה
הגעתם לפוסט מבזקי הברק הרביעי, שמצליח כל שבוע לרשום מספר תגובות נאה במיוחד (וזו הסיבה שאני מתחיל לכתוב פוסט ב3:50 לפנות בוקר ומסיים ב6:05, מהיר יחסית), ולכן אני ממשיך לעדכן אתכם באותם "מבזקי ברק". להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשה שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
ארצות הברית מכבה את האינטרנט בקליק - בארצות רבית הועבר חוק על ידי הסנאט (הרשות המחוקקת), לפיו לנשיא יש סמכויות לנתק על דעת עצמו חלקים נרחבים מהאינטרנט בזמן מתקפה טכנולוגית על ארצות הברית. באופן די משעשע, גם בישראל עשו מהעניין רעש גדול. החוק מעורר בעיקר דאגות רציניות במקרה שיופעל לצורך סתימת פיות וכנגד אתרים כמו Wikileaks, ואכן מהווה נקודה בעייתית במקום כלשהו לדמוקרטיה בעודו מעלה סימני שאלה רבים על הסיבות שנחקק (למה זה דרוש עכשיו? ארה"ב מתכוננת לאיזשהי מלחמה בה היא תקח חלק אקטיבי?). ניחשתם נכון, האזרחים לא אהבו את זה…
צרפת מפעילה פיקוח אדוק יותר על משתפי הקבצים – צרפת כבר פתחה בהגבלות וענישה חמורות במסגרת חוק "שלוש הפסילות" שנחקק בשנה השעברה, והעבירה בשבוע האחרון חוק חדש העוסק ברמת המעקב אחר משתמשים. לחוק שלוש הפסילות היסטוריה ארוכה – הוא החל בהענשה וניתוק מהאינטרנט באופן מיידי של כל אדם שנתפס כמוריד פעמיים, התגלגל להיות כזה רק בהיתר בית משפט, ולאחר מכן הוכרז ככשלון מוחץ שהתברר שאינו הוריד בכלל את אחוזי הפיראטיות – ולמעשה הייתה עליה בהם. הקוראים הותיקים כבר יודעים מה דעתי…
אם בארזים נפלה שלהבת… – מי שבעסקי האחסון, ודאי יודע על אחת החברות הגדולות בתחום בעולם לענייני אחסון – BlueHost. הפריצה לחשבון הבלוג של מנכ"ל החברה בשבוע האחרון אמנם לא תמוטט את העסק, אבל החודש הוא יוכל לקנות רק 5 וילות במקום 7 ומכונית. בנוסף, נמצאה פרצת אבטחה קריטית מסוג XSS באתר של חברת האנטי-וירוס Norton שמהווה את אחד המפורסמות בעולם – Symantec. בואו נודה באמת, גם להם זה לא ממש יוסיף לקוחות… לגרגרנים שבינכם שלא יסתפקו ב2 דיווחי ענק, נודיע שפרטים טיפוליים של 130,000 לקוחות של בית חולים בארצות הברית שהיו מגובים על דיסקים, פשוט נעלמו.
מה יגידו אזובי הקיר - נפרצו מערכות של עיבוד-כרטיסי מלונות במקומות שונים בארה"ב. כמובן שההשפעה הישירה נראתה על מערכת התשלום של אותם מלונות, חלקם בהוואי, קולוראדו וקליפורניה. כל אורח ששהה ב21 מתוך 30 המלונות שמערכותיהם נפרצו, עלול להיות קורבנות לגניבה. החברה האחראית מסרבת לשחרר פרטים נוספים, תוך כדי שהיא חוזרת ואומרת שהעניינים נמצאים תחת חקירה של ארצות-הברית.
וברווזי השיר (מתחרז יופי עם למעלה) - לא, סתם. אליהם כבר התרגלנו. התקפות חוזרות ונשנות על מרכז התמיכה של מיקרוסופט, ולנו לא נותר אלא להתגלגל מצחוק ולהודות שזה היה חייב לקרות מתישהוא. אוך, נוסטלגיה. מזכיר לי את ימי הקונפיקר העליזים, שהפילו את שרתי Windows Update. כמה נחמד.
סקאם! – ועדת הסחר הפדרלית של ארה"ב (FTC), דיווחו על פעילות סקאם (זיוף, התחזות ורמאות באינטרנט) ספציפית שנמשכת כבר ארבע שנים. במסגרת הפעילות, הצליחו לגלגל מפעיליה מיליוני דולרים, על ידי שימוש בחברות וירטואליות. הסקאמרים היו מתוחכמים במיוחד, והצליחו להשאר בפרופיל נמוך מכיוון שגנבו מכל כרטיס רק בין 0.25$ ל9$, ויצירת יותר מ100 חשבונות בנק מזויפים שיעבירו את הכספים. בעזרת לכידת 1.35 מיליון כרטיסי אשראי, הצליחו החבר'ה להגיע לסכום הבריא של 9.5 מיליון דולר. מכובד.
אדובי הדובי בשנת חורף - Adobe, כאן כדור הארץ. למקרה שלא שמת לב, שניים מהמוצרים שלך נחשפו בחודש שעבר לפרצת אבטחה חמורה. הרעיון: את אמורה לנסות לשפר את התדמית שלך. מה שקורה בפועל: אחד מפרצות האבטחה תוקנו רק לפני יממה, האקספלוייט (הדרך לניצול) כבר הופץ, ואנחנו כוססים ציפורניים כל פעם לפני שאנחנו פותחים PDF בתקווה שהוא לא יקריס לי את הדפדפן או יריץ לי איזה טרויאן מציק על המחשב. אז נכון שיצא בשקט בשקט איזה עדכון, אבל היי, אפשר בבקשה שהשרת שלכם לא יקרוס כשאני מנסה להוריד אותו? טוב נו. אני פשוט אזהר.
גוגל לא רק חוגגת עם DevFest - לצד חגיגות הDevFest (הנפלאות, רוצה לציין) שהיו ביום שלישי, גוגל יכולה להרכין חצי ראש על הבוץ העמוק שהיא דחפה את עצמה אליו עם פרשת הWi-Fi. להזכירכם, גוגל החליטה לנצל את הרשאות הStreet View שנתנו לה לסייר באיזורים מסוימים ברחבי העולם, ואספה אותות של רשתות אל-חוטיות ממשתמשים. החברה כמובן התנצלה ואמרה שזה בטעות, אבל לא נראה שזה שיכנע מישהו. במיוחד לא את הUK Metropolitan Police, שהחליטה לחקור את הנושא וגילתה, למרבה הפלא(?), שגוגל עשתה את זה כבר 3 שנים! אה, ואם כבר גוגל, ענקית החברה החליטה להעביר את חיפושה המוצפן לכתובת https://encrypted.google.com/ , בשל בקשה של בתי-ספר ואוניברסיטאות ברחבי העולם לחסום גישה לדפי חיפוש מוצפנים (נקודה למחשבה). חדשה מרעישה מספר 3 היא שגוגל גם גונבת לפיירפוקס את דף האבטחה של בדיקת הפלאגאינים.
עוד חבר למעגל הרשלנות - זהו האזכור הראשון (ובתקווה שגם האחרון) של חברת FourSquare החביבה, שנפלה הפעם, במזל, לידיים טובות. מטרת החברה היא לאנדקס את המיקום של החברים בה, לתת להם אצ'יבמנטים על ביקורים במקומות חדשים וביקורים חוזרים ונישנים באותו המקום. מזלם של החבר'ה שהפעם תפסו אותם האקרים כובע לבן עם המכנסיים למטה (ולא היו אלו משתמשים זדוניים), והצליחו לדלות Check-Ins של 875 אלף משתמשים. החברה דווקא נהגה באופן אחראי ופרסמה את המקרה בבלוג שלה באופן הוגן, ותיקנה את בעית הפרטיות החמורה. נקווה שלא יחזור על עצמו.
ונחזור לגוגל! – עם הדיווח הרביעי השבוע על חברת הענק, שבהחלט הייתה פעילה במיוחד השבוע מסיבה בלתי-ברורה בגזרת אבטחת המידע, אנחנו מצהירים על מערכת אבטחה חדשה (שהחדשות עליה מתפשטות בעולם ממש ברגעים אלו). ההגנות החדשות אמורות להתריע, ממש כמו מערכות בנק, על כל התחברות נוספת ממקום גיאוגרפי מרוחק. תוכלו לראות ולהתעדכן על התראות כאלו בגוגל דאשבורד.
גוגל תומכת באבטחה ופרטיות? לייק! – פייסבוק, בצעד די נדיר ואולי לאור הלחצים הנדירים שהופעלו עליהם לאחרונה, החליטו לשפר את התמיכה בפרטיות. לפי צעד זה, המשתמש יצטרך לאשר לכל אפליקציה צד-שלישי (תוספת לפייסבוק, אתר או שירות שאינם שייכת לפייסבוק ישירות) לפני שזו תוכל לראות את פרטי המשתמש שלא נחשפו לציבור. צעד זה, על פי פייסבוק, עוזר ומגדיל את אפשרויות הפרטיות של המשתמשים בשירות. נזכיר רק שבשבועות האחרונים פייסבוק באמת התאמצה לשמור על פרטיות המשתמשים, אפשר אפילו לומר שהיא ממש הזיעה על מנת להפוך את הגדרות הפרטיות של פייסבוק לקצת יותר אטרקטיביים.
תוכנות השבוע - לגיקים שבינינו. שוחרר w3af 1.0 rc3 (פרטים נוספים בלינק. משמשת בעיקר להתקפות ווב, וזמינה לווינדוס וללינוקס). אני אשמח אם מישהו יעזור לי בעדכון הפינה הקטנה הזו, שכן אני לא משתמש הרבה מדי בכלים ולא מכיר הרבה מהם.
לא לשכוח! השבוע יצא גם גיליון Digital Whisper חדש, והעשירי במספר. זוהי כברת דרך רצינית, ואני רוצה לאחל לאפיק ולכל הכותבים הרבה מזל טוב ועד 120 גליונות. הדבר הראשון שאני עושה כל חודש, תודה רבה! להורדת הגיליון (מומלץ בחום, בעברית למי שעדיין לא בעניינים), תוכלו להכנס לעמוד הגליונות באתר. לכבוד חגיגת המספר העגול, אוסיף שגם מדי פעם שווה להציץ בבלוג עצמו, שמודיע לא רק על יציאת פוסטים חדשים – אלא על עדכונים שוטפים בתחום אבטחת המידע.
אני חוזר ואומר שעבור פרסום פוסטים מעניינים כאן (שיסוננו בחלקם, דרושה רמה גבוהה של מאמר אך שמתאימה לכל סוגי האוכלוסיה) תוכלו לפנות אלי בכתובת הדואר האלקטרוני שבעמוד אודות, בתגובות או בIRC.
שיהיה לכולם סוף שבוע דבש (:
ים מסיקה
שבוע שני שהרעיון המגניב ממשיך לעשות גלים (לפחות לפי התגובות הנהדרות שלכם, תודה!), ואני ממשיך לעדכן אתכם ב"מבזקי ברק". להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשה שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
HTTPS בכל מקום!: תוסף חדש לדפדפן Firefox ("פיירפוקס") מאפשר לנו לנהל גלישה דרך כתובת בטוחה באתרים גדולים, תמיד. התוסף נוצר באמצעות שיתוף בין EFF ו-TOR. הראשון, EFF ("קרן החזית האלקטרונית"), דוגל בחירות ברשת האינטרנט ובעידן המחשבים בכלל. הוא מוכר מאוד בארצות הברית, הוא ארגון ללא מטרות רווח ותוכלו למצוא עליו אפילו בויקיפדיה העברית. הוא שותף למאבק בעד התוכנות החופשיות, ונגד ניהול זכויות דיגיטלי, עליו כתבתי בפוסט שלי "על תוכן פיראטי, מוזיקה, משחקים ודולרים". השני, TOR, הוא אחד הפרויקטים המוכרים ביותר בתחום אבטחת המידע בישראל (וראיתי לא מעט אנשים פרטיים ששמעו עליו, למרבה ההפתעה). החברים מהגיליון הידוע Digital Whisper אף כתבו עליו באחד הגיליונות, ובקצרה נגיד לכם שהוא מיועד להסוואה של אנשים ברשת האינטרנט (ויש שילקו בי על חוסר הדיוק, אז אנא, קראו את הכתוב בגיליון). התוסף בהחלט מומלץ, ובין האתרים שעליו הוא משפיע תוכלו למצוא את גוגל, וויקיפדיה, טוויטר, פייסבוק ופייפל. להורדה.
שועל האש לא יקרוס יותר בגלל חתיכות קרח בזנב?: ואם כבר אהובינו הפיירפוקס, נודיע לכם בקול צהלה שיצאה גירסה חדשה לדפדפן "פיירפוקס", 3.6.4, שמונעת את קריסת הדפדפן במקרה של קריסת אחת מהתוספות שלו. יותר מזה, השועל ידאג להדליק את התוסף החביב מחדש ללא גרימת שום נזק. חוסר המזל הוא שמשתמשים רבים, רוב מכריע שהצלחתי לראות הוא המשחקים במשחקים של החברה Zynga בפייסבוק (בין המפורסמים FarmVille וTexas Hold'em Poker), מדווחים על קריסות חוזרות ונשנות של נגן הפלאש בגירסה החדשה.
אינטרנט אקספלורר מובילה ב… רגע, מה?!: אינטרנט אקספלורר תפסה השבוע תאוצה מרשימה ביותר, כאשר הציגה תצוגה מקדימה של הדפדפן החדש שלה: אינטרנט אקספלורר 9. מסתבר שהדפדפן החדש מרשים ביותר יחסית לציפיות העלובות ממיקרוסופט (לאחר הגירסאות העלובות 7 ו8 שלא עמדו בקצב), והוא הצליח לעקוף במבחנים מסוימים אף את הדפדפנים "כרום" ו"פיירפוקס", תודות להאצת חומרה (בין היתר). אמנם כך מדווחות הכותרות, אך אוכל להגיד לכם שמדובר בהשוואה בין תנין לברווז, שכן רוב הדפדפנים אינם תומכים עדיין בהאצת חומרה. למרות זאת, מעניין לראות את התפתחות העניינים בזירה הזו.
כמה?!?!?!: לא, לא קיבלתי הודעה על העלות של מערכת ההפעלה של מיקרוסופט, אלא שלפי מחקרים שהתפרסמו השבוע מדובר ב3.7 ביליון מיילים של פישינג שנשלחו בשנה האחרונה. יותר ממחציתם(!) נועדו לרמות לקוחות בנק על מנת לתת את פרטי כרטיס האשראי שלהם, כאשר במקום השני מתמודד נכבד לא פחות, העוקץ הניגרי המפורסם שמודיע על זכייה בתחרויות והגרלות שונות, ומבקש מקדמה על מנת לפרוע את הזכייה. כמובן ששום כסף לא מגיע בחזרה. רבע מהבריטים מודים שהם נפלו קורבן לדיוג, בסכום ממוצע של 285 לירה שטרלינג (סכום השווה ליותר מ1,600 ש"ח!). הנתון הסטטיסטי המדהים, הוא שהתגלתה עלייה של 132% בהונאות הבנק.
ואם כבר ספאם, ככה לא בונים חומה!: סינון ספאם הפך לצרה רצינית בזמן האחרון, כשהמונדיאל מוביל בכמות הספאם האדירה שהוא משגר לאנשים – כך מדווחת חברת הענק Symantec (שאחראית בין היתר על המוצר Norton Anti-virus). חוקרים כבר הזהירו במשך שבועות שהנושא יהיה הוט-טופיק לספאם, דיוג וכן נוזקה, בשל העניין הרב שהנושא מושך לעברו. המעבדות לחקר המייל של החברה מודיעות שהנושא הוא אכן החם ביותר בזמן האחרון, והוא בהחלט לא משתמש רק לשליחת ספאם הקשור באירועי המונדיאל – אלא גם הודעות שאינן קשורות ומנסות לעבור את הסינונים הרגילים. בנוסף, החברה מתלוננת על כך שספאם זה מעודד משתמשים אחרים להתחיל בפעילויות ספאם.
3 שנים נפלאות של זכויות יוצרים הגיעו לסיומן?: במאבק משפטי חריף על סך ביליון דולר שנמשך שלוש שנים מרות בין Viacom, מפיצה סרטי קולנוע ועובדת בתחום הטלוויזיה, הלווין והכבלים בארצות הברית, לבין Google שבבעלותה אתר הסרטונים Youtube, ניצחה לבסוף גוגל. משתמשי הביטורנט טוענים לנצחון עצום עבורם, שכן מדובר בנצחון ענק בתחום שיתוף הקבצים שתוכנם מוגן בזכויות יוצרים.
הקעקרים הטורקיים מצייצים: יותר מאלף חשבונות טוויטר ישראליים לערך נפרצו על ידי "האקרים" טורקיים תוך 12 שעות, כך מדווח אתר אבטחת המידע F-Secure. למשתמשים בטוויטר נמליץ לא להכניס את הפרטים של חשבונכם לאף דף, להמנע מאישור של אתרים שאתם לא בוטחים בהם ולבחור סיסמה המורכבת מיותר משמונה תווים ומכילה תווים קטנים, גדולים וסימנים – זאת למרות שגל הפריצות פסק נכון לזמן זה. דרך החשבונות שנפרצו, פורסם הציוץ Hacked By Turkish Hackers.
יש וירוס – אין אינטרנט!: האוסטרליים חטפו ג'ננה רצינית השבוע, והחליטו שבמסגרת מאבק פשיעה ברשת, כל אזרח שיודבק באיזה וירוס – ינותק מהאינטרנט. אל תשאלו אותי איך הבחור אמור להסיר את הוירוס בלי אינטרנט, להשיג אנטי-וירוס במהירות ובנוחות בלי אינטרנט, או אפילו לנהל חיי עבודה נורמליים כשכל רגע אתה יכול להזדהות כבעל וירוס ופשוט לקבל ניתוק אינטרנט בפרצוף. יותר מזה, הייתי מציע רעיון: כל מי שיחלה במציאות, פשוט נירה בו!… לא? תהרגו אותי, אבל לי זה נשמע כמו איזשהו קומבינה רצינית עם ספקי האנטי-וירוס, ועם כל הרצון הטוב – לא רק שזו תוכנית מפגרת, אלא גם שמדובר בתוכנית שכמעט בלתי אפשרית למימוש.
המטרה: קבצי אקסל – אדובי לא לבד: אחרי שהאקרים הצליחו למצוא חור אבטחה חמור בקבצי ה-PDF שמאפשר להריץ קוד זדוני בעת פתיחתו, מסתבר שהאפיזודה לא נגמרה: בעזרת חור אבטחה שמזהה ה-CVE שלו הוא 2009-3129, ולפי מספר עדכונים שפרסמו מיקרוסופט בנושא, גם קובצי הExcel בצרות. למעודכנים אין מה לדאוג – אם ברשותכם העדכונים האחרונים של האנטי-וירוס ושל חלונות – אתם בסדר גמור. לבעלי הזכרון הארוך שבנינו אני מרשה לצחוק, כי אדובי ומיקרוסופט הסתבכו גם ב-2009 ביחד, בתחום אבטחת המידע, עם אותם מוצרים. Hilarious it is.
DNSSEC יוצא לפעולה!: דומיינים עם סיומת org. יוכלו להיות מוגנים בעזרת המנגנון החדש והמגניב של DNSSEC, בהמשך למה שדובר עליו כאן בפינת מבזקי הברק בסוף השבוע שעבר. "במילים פשוטות", אומר רוד בקסטרום, מנכ"ל הICANN שאחראיים על רישום ועל פעולות הדומיינים בעולם, "DNSSEC יבטיח למשתמשים שהם הגיעו לאתר או למיקום שהם רצו להגיע אליו". ההשפעה על דומיינים בעלי סיומת net. וcom., למרבה הצער, לא צפויה להתרחש עד הרבעון הראשון של שנת 2011. לפירוט נוסף.
ולתוכנות השבוע שלנו (אנשים, זרקו לי פה עצם): nwmap v0.1, פרויקט מגניב שמטרתו לנתח רשתות תקשורת על ידי קובץ pcap! חמוד ביותר. עוד פרוייקט נחמד, מבוסס ענן (נכון שאני מתחיל להיות מעניין?), הוא ניתוח קבצי networking ללא צורך בתוכנה! גדול לגמרי לדעתי – שימושי? קצת פחות. לפרויקט קוראים CloudShark, והוא נפתח ממש בשבוע האחרון. גיגול של ext:pcap נתן לי קובץ להכניס, והרי לכם התוצאות.
עד השבוע הבא
שלכם,
ים מסיקה.
לפני הכל! כמה מילים לטכנולוגים: למי שלא שם לב, אנחנו גם נמצאים בIRC, בשרת irc.nix.co.il (יש חיבור SSL למעוניין בפורט +9999), בצ'אנל security#. אני שם בשם YaM, ויש שם עוד כמה אנשים שלא מביישים את סצנת אבטחת המידע (אחל'ה חברה, מילה שלי). אתם מוזמנים להכנס.
לאחר שהרעיון המגניב הזה קיבל את תגובותיכם האוהדות בשבוע שעבר (ולאחר שבוע מצער של חוסר פוסטים מעניינים), החלטתי שאמשיך בפרוייקט החביב של "מבזקי הברק". להזכירכם (או לטובת הקוראים החדשים שהמעבר על שאר הפוסטים מומלץ עבורם), מבזקי הברק הן פינה מגניבה וחדשה שמלקטת עבורכם את עדכוני השבוע שאני מצאתי כמעניינים מעולם אבטחת המידע. חושבים ששכחתי משהו? תוכלו ליצור איתי קשר באופן פרטי במייל בדף האודות או לפרסם אותו בתגובות – ואם אמצא אותו כאייטם מעניין אדאג להכניס אותו לפוסט. אז מה היה לנו השבוע?
נדחפת וננזפת: ענקית התוכנה מיקרוסופט שוב מצליחה לעצבן חצי עולם בעזרת השתלת תוסף בפיירפוקס ללא רשות משתמשיה, אחרי שמהלך דומה כבר נעשה בעבר. החברה השתילה את התוסף בעזרת Windows Update, שירות ממנו משתמשים מורידים עדכונים למערכת ההפעלה "חלונות" שברשותם. לא די בכך שמיקרוסופט החדירה את התוסף ללא רשות המשתמשים, אלא גם שהעדכון סומן כ"חשוב" ולא כ"אופציונלי", דבר שהוביל לביקורות שליליות לכשעצמו. העניין זכה אפילו לפוסט בבלוג, שכן מיקרוסופט הצליחו להרגיז אפילו אדם שליו כמוני.. (כן בטח).
מיקרוסופט פוצחת בפרוייקט חדש (Hell no…) - עוד סיפור עיתונאי על ענקית התוכנה מספק לנו מידע על פרוייקט חדש בשם Internet Fraud Alert (או IFA), שמטרתו דיווח על חשבונות גנובים. השירות, שכבר נתמך על ידי תריסר חברות וקבוצות למניעת הונאה ברשת, יעסיק חוקרים שיחפשו באתרים עבור סיסמאות משתמשים חשופות ויוכלו לדווח עליהם בקלות לאתרים שהפרטים שנמצאו קשורים אליהם. בין התומכים בפרוייקט נמצאות חברות הענק PayPal, eBay, איגוד הבנקאים האמריקאי ועוד, וממיקרוסופט נמסר שהשירות כבר פעיל, ותוכלו למצוא מידע נוסף (כולל הסברים על איך להשתתף) באתר של הפרוייקט.
Wikileaks והגבולות להדלפות – Wikileaks, אתר הנועד להוות מקום להדלפות חופשיות ואנונימיות, אולי הרחיק לכת קצת יותר מדי השבוע כשהתעסק עם הCIA – סוכנות הביון המרכזית של ארצות הברית. מסמכים מסווגים מאוד של הסוכנות העונים לכותרת "Project Slammer" התפרסמו כנראה באופן בלתי צפוי באתר, וגרמו למהומה רבה בקרב אנשים גבוהי-דרג. אותו פרוייקט, שכרגע מסווג רק בחלקו עקב המקרה, הוא אולי הצרה הקטנה ביותר של האתר כרגע: לפני שבועות אחדים ירד מייסדו למחתרת (ג'וליאן אסנג'), לאחר שהודלפו לאתר סרטונים המתעדים הריגת אזרחים בעיראק, והוא עצמו הוגדר כ"סכנה לבטחון הלאומי של ארצות הברית". כמובן שהדליפה החדשה לא בדיוק ממתיקה את מצבו, במיוחד כשנושא הפרוייקט שהודלף הוא "מחקר אודות שימוש בטכנולוגיות עכשוויות להרתעת מרגלים"…
בטחון (?) ארצות הברית - אם כבר דליפות בארצות הברית, נספר לכם שמחלקת DHS בארצות הברית ("המחלקה לבטחון המולדת", או United States Department of Homeland Security) שלחה דו"ח נוזף במיוחד השבוע לUS-CERT ("צוות החירום האינטרנטי של ארצות הברית", או Computer Emergency Response Team) על הביצועים הרופפים במיוחד שלה. את הדו"ח בן עשרת העמודים תוכלו לראות כאן, ואת הכתבה המעניינת תוכלו למצוא כאן (אנגלית).
האייפונקליפסה מגיעה! - ללא ספק אחד הסיפורים הגדולים של השבוע. קניות האייפון החדש והנוצץ (iPhone 4) שהולך לצאת בקרוב היו בעיצומן, אלא שתקלות בלתי צפויות הקשורות לפרטיות הפריעו את מנוחתם של עובדי אפל. בסוף השבוע האחרון למי שזוכר, אפל פישלה כשדלפו לה פרטי לקוחות הiPad (אגב, למי שלא התעדכן, חלק מהמדליפים נעצרו). זה אמנם היה די מבאס, אבל לא נראה שאפל ממהרת ללמוד מטעויות: מתחקיר קצר שערכו בלוג הטכנולוגיה הענק Gizmodo, כשמשתמשים שונים ניסו להתחבר לאתר על מנת לרכוש את המכשיר החדש, הופיעו להם פרטי לקוחות אחרים – וחיובים נשלחו ללקוחות הלא נכונים. לא זמן רב לאחר מכן, אגב, המערכת הושבתה עקב עומס רב מדי.
FaceBook, FB או… FBI? – לא פעם נתקלתי בשאלה האם רשויות השלטון עוקבות אחרי הפייסבוק שלנו. שאלה זו קיבלה ביסוס ממשי בשבוע האחרון, כאשר כוח משטרתי חמוש נכנס ביום שלישי האחרון לבית-ספר באנגליה, לאחר שהFBI נתן להם התראה חמה על אפשרות לרצח. אל הידע על האפשרות לרצח, כמובן, הגיעו החוקרים דרך הודעות שנכתבו ברשת החברתית Facebook. מעל 1,000 סטודנטים שהיו בבית הספר בזמן המאורע לא יכלו להכנס או לצאת, שכן הכניסות והיציאות נסגרו. נער בן 19 נעצר, ולבסוף שוחרר בערבות.
רדו לי כבר מהגב! גם כן פרטיות! – ואם כבר דיברנו על פייסבוק: למרות שלאחרונה הענקית החברתית עשתה שינויים די משמעותיים במדיניות הפרטיות שלה, מסתבר שישנם חבר'ה שלא קל לרצות. קבוצות מאורגנות רבות קראו להוספת אמצעי פרטיות ברשת החברתית, החל מלהוסיף חיבור מאובטח יותר לאתר ועד להוספת דרכים לשליטה נוחה יותר מצד המשתמשים לגבי ההרשאות שיתנו לאלפיקציה לצפייה בפרטיהם האישיים. לא יודע מה איתכם, אבל אם אני הייתי פייסבוק, הייתי מתייאש…
לא קלים חיי שר.. בבריטניה – בממלכה המאוחדת פועלת קבוצה בשם CESG, או Communications-Electronics Security Group, והיא זו שאחראית על אבטחת המידע במדינה. אותה קבוצה החליטה לא להתיר לשרים להשתמש בiPhone, כנראה מסיבות אבטחה. באופן מעניין ביותר, החליטו הCESG שדווקא כן לאשר את הטלפון החכם המתחרה – BlackBerry….
טלפון חכם… לא מספיק חכם - בונוס לכל בעלי הסמארטפונים, או סתם לאלו שמתעניינים – שווה צפייה. אגב, בסרטון מוצגת עובדה מעניינת של עליית Malewars ב50% לטלפונים החכמים בחצי שנה האחרונה (!).
לטכנולוגיים בלבד: (או: לא היה לי כוח להסביר את כל המונחים האלו)
שרתי IRC והטרויאן הארסי - בDaemon ה-IRC המפורסם הנקרא UnrealIRCd, נמצא סוס טרויאני, המאפשר להריץ על השרת פקודות. כיצד הגיע לשם סוס טרויאני, אתם שואלים? מסתבר שהאקרים הצליחו לפרוץ לפני שבעה חודשים(!) לשרתי הFTP של הUnrealIRCd, ולשתול שם סוס טרויאני, שלא התגלה עד עכשיו (רק אותי זה הדהים?). לפוסט המלא בDigital Whisper (המקום העברי היחיד שזה מסוכם בו כמו שצריך).
אבן דרך לאבטחת הDNS – די מדהים שלא מצאתי שום חדשות בנושא בארץ, אבל פרוייקט הDNSSEC עובר שלב נוסף וענק לקראת מימושו. מרגש ומדהים כאחד, תוכלו למצוא פרטים נוספים בSecurity Watch (מזמין אנשים להרים את הכפפה ולרשום על הנושא הזה מאמר רציני. להתחלת כתיבה ולפרסום בבלוג, צרו איתי קשר).
תוכנות השבוע - השבוע יצא Onapsis Bizploit, הפריימוורק הראשון (לפי טענת יוצריו לפחות) לבדיקת חדירות עבור מערכות לתכנון משאבי אנוש (Win, Linux). לא מצאתי תוכנות מעניינות נוספות, ואתם מוזמנים לנדב בתגובות.
שיהיה שבוע נהדר,
ים
עדכונים: נכנסנו לTechReader (מומלץ לשים בRSS, עדכונים טכנולוגיים שוטפים). מקווה להופיע שבוע הבא בנבחרי השבוע של ניוזגיק.
לאחר שהרבה זמן חשבתי על לממש רעיון שכזה, הגיע הזמן שארים את הכפפה. הרעיון הוא בעצם להקים פוסט על חידושי הטכנולוגיה והדברים המעניינים שיצא לי להתקל בהם בשבוע האחרון, בעיקר בתחום אבטחת המידע (וגם עוד קצת בתחומים אחרים). פוסט שכזה יגיע בכל יום שישי (אני מקווה :), ומטרתו היא לרכז את כל העניינים הטכנולוגיים שתפסו את העין שלי בשבוע בכמה שורות. הפוסטים הללו יהיה מיועדים יותר לגיקים מאחר שאין דרך להמנע מלהשתמש במונחים (סורי חבר'ה), אבל תרגישו חופשי לשאול על מה מדובר בתגובות (או לחפש בגוגל מקורות נוספים לידיעות). Here we go…
פשוט לא השבוע של מחלקת אבטחת המידע של מיקרוסופט: ראשית, נרשמה להם שערורייה כאשר ביום שלישי האחרון (היום בשבוע בו מיקרוסופט מוציאה את עדכוני האבטחה שלה, שקיבל את השם Patch Tuesday) יצאו עשרה עדכוני אבטחה, שלושה מוגדרים כ"קריטיים" ושבעת האחרים "חשובים". עשרת עדכוני האבטחה טיפלו בלא פחות מ34 פרצות למערכות מבית מייקרוסופט, שחלקן מאפשרות להאקר להשתלט על מחשב מרוחק. בעקבות המהומה, הם אפילו אירחו תוכנית באינטרנט שעונה על שאלות הלקוחות ביום שלאחר הוצאת העדכונים. חשבתם שכאן נגמרו הצרות עבור מיקרוסופט? מסתבר שלא. ארבעת אתרי הדגל העבריים של מיקרוסופט בישראל, hotmail.co.il, bing.co.il, msn.co.il וmicrosoft.co.il נפרצו על ידי האקרים טורקיים, שהשתילו מסרים פרו-פלשתיניים. לטכנולוגיים הסקרנים נדווח, שלא נעשתה פריצה לשרתי מיקרוסופט, אלא פשוט חטיפת DNS (כך לפחות מדווחת מיקרוסופט). אם כל זה לא הספיק לכם, בימים האחרונים נפרצו והושחטו מעל 100,000 דפי אינטרנט. מה המשותף? רובם משתמשים במודול מסוים שפועל מעל IIS ו-ASP.NET, טכנולוגיות מבית… נחשו מי? פאדיחות…
צרת רבים – חצי נחמה? אז מסתבר שמיקרוסופט לא לבד. אמנם בסדר גודל טיפה יותר נמוך, אבל זה בהחלט לא היה השבוע של אפל. המכה הראשונה שאפל חטפה השבוע היא פרצת אבטחה רצינית למערכת שלה, Mac OS X. הפירצה מאפשרת ניצול של גלישת חוצץ ממחשב מרוחק (Remote Buffer Overflow), ונמצאה על ידי Offensive Secure (אבל היי, לפחות זה לא 34 כאלו. נכון?). כמובן שזה לא מספיק על הראש, והשערורייה הגדולה יותר היא חשיפת 114,000 כתובות דואר אלקטרוניות(!!!) של בעלי iPad מהאתר של אפל. באופן קליל אך מתוחכם, מצאו אנשי אבטחת המידע הללו עמוד בו מכניסים מזהה מסוים (שנקרא ICC-ID, סוג SIM) והוא מחזיר את כתובת האימייל של המשתמש שאותו SIM שייך לו. על ידי ניחוש של מזהים שכאלו (טכניקה הנקראת "כוח-גס"), הצליחו אנשי אבטחת המידע להוציא 114,000 כתובות דואר אלקטרוני. הסכנה: מסירת הכתובות לגורמי ספאם. מדליפי האימיילים לא דיווחו וזה דיי חבל, במיוחד בהתחשב בנסיבות… הם קצת עיצבנו את הFBI.
האקרים שתלו רושעה בJerusalem Post: בניגוד לשאר הפריצות הטורקיות שפשוט משחיתות את פני האתר, הפעם נעשה מהלך מעניין. האקרים טורקיים החליטו לשתול רושעה (קטע קוד זדוני) באתר של העיתון הפופולארי Jerusalem Post. הראשון שמצא זאת הוא Sophos, שמדווח על נוזקה הכתובה בשפה JavaScript, שמטרתה היא לנסות לטעון כל מני וירוסים. לפרטים נוספים, אמליץ לכם לעיין בידיעה שהוא כתב.
Adobe מעכבת עדכוני אבטחה, ומשאירה מאות אלפי מחשבים פגיעים: כידוע לרובינו, ישנה פרצת אבטחה חמורה במוצרי Adobe. רבים מהאתרים כבר דיווחו על העניין, וזו אחת פרצות האבטחה המדוברות ביותר בשבוע האחרון. אנשי אבטחת המידע מבנינו יוכלו לראות דוגמה לניצול כאן, והשאר יוכלו להינות מכתבות שונות כמו זו בבלוג של גיא מזרחי (עדיין ברמה טכנית גבוהה למדי), בNewsgeek ובשאר אתרי החדשות המובילים. אדובי הוציאה תיקון חלקי לפרצת האבטחה כבר אתמול (חמישי) שמטפל בקבצי הפלאש, אך דיווחה שהיא תדחה את תיקון הבעיה בקבצי בPDF לסוף החודש. האקספלויט (הקוד שמאפשר את ניצול הפרצה) כבר זמין באינטרנט לניצול. למשתמשים, עדיף לעדכן גרסאות ולהזהר מפתיחת קבצי PDF חשודים (במיוחד דרך מייל ודברים שלא סגורים לגביהם).
גוגל משיקה את קפאין: הפרויקט שהוכרז עוד באוגוסט 2009 יצא לדרך ב-8 לחודש, והוא מביא אלינו שיפורים מגניבים במנוע חיפוש של גוגל: החיפוש מהיר יותר כמעט פי 2 (שזה נחמד, במיוחד בהתחשב בעובדה שהוא ממילא היה זריז ביותר), ולפי מחקרים שנעשו בנושא גוגל תציג במיקומים גבוהים יותר אתרים שהותק של שם המתחם שלהם (דומיין) גדול יותר, ותשים דגש רב יותר על מילות המפתח של האתרים. עוד על קפאין של גוגל תוכלו למצוא כאן. אגב, אם כבר גוגל, היא גם שיחררה השבוע עדכון אבטחה לדפדפן שלה, Chrome.
תקדים משפטי לטובת משתפי הקבצים? אחרי פשיטה בשנת 2005, עצרו השוטרים הספרדים ארבעה אנשים עקב שיתוף קבצים, וסגרה אתר פופולארי לשיתוף קבצים. המקרה חווה סחבת רצינית, אך בסוף נסגר. השופטים הפתיעו במיוחד, והקבילו את שיתוף הקבצים להשאלת ספרים. כפי שכתבו השופטים בפסק הדין, "כבר בזמנים קדומים הייתה קיימת התופעה של השאלת ספרים, סרטים, מוזיקה ועוד. ההבדל העיקרי הוא כעת במדיום בו משתמשים – פעם היה מדובר בנייר או במדיה אנלוגית ועכשיו הכל הוא בפורמט דיגיטלי שמאפשר החלפה מהירה באיכות גבוהה ומתיר שיתוף גלובאלי דרך רשת האינטרנט". מעניין.
הגיעו לינקים עד נפש. צוויץ. ברשת החברתית "טוויטר" שמתירה לשתף מסרים באורך של עד 140 תווים, תוכלו למצוא הרבה פעמים לינקים שנראים כך: http://bit.ly/bm0oTN. הלינקים הללו בעצם אחראיים לקיצור הכתובות הארוכות שתוכלו לראות ברשת האינטרנט, על מנת שהמסר יכנס בתחום הקצר של 140 התווים (במילים אחרות: את הכתובת http://www.mesicka.com/weekend-newsflash-10-06-2010 אוכל להפוך ל-http://bit.ly/bgoXei). האקר שמכבד את עצמו ישר יבין עד כמה העניין קל לניצול. לא ניתן לראות לאיפה הכתובות הללו מפנות, ולכן אפשר לגרום לאנשים להכנס לקישורים שיגרמו נזק למחשב שלהם, בלי שיחשדו שמדובר בכתובת מוזרה (המוח מזהה באופן אוטומטי את bit.ly, מה שמעלה את הסיכויים שילחצו על הלינק, לעומת קישור מפוקפק מהצורה: any.thing.com/else5j45Aaa235H2). לטוויטר כבר נמאס מהעניין כל-כך, שהיא הצהירה שהיא תקח צעדים אקטיביים כנגד המתקפות הללו. הענקית שיפרה את ההגנות שבשירות, ומעתה כל לינק "יעטף" בכתובת t.co לצורך הגנת המשתמשים. עדיין מרגישים שלא בנוח? זכרו תמיד שיש את LongURL.
ולתוכנות השבוע: יצאו Samurai Framework גירסה 0.8 – הפצת לינוקס המקונפגת לבדיקות Web, ומאפשרת טעינה דרך Live-CD. כלי נוסף ששוחרר מוקדם יותר השבוע היה Knock גירסה 1.3 (בטא), כלי שבודק סאב-דומיינים לפי Wordlist נתון. מבוסס פיית'ון, למי שתהה. ועדכון בשעה 12:00 בשישי מציג כלי נוסף, סורק הדומיינים Fierce גירסה 2 (בטא), שנכתב מחדש לגמרי.
עדכון בשישי שעה 12:00 לקוראים האדוקים! גיליון Hakin9 חדש יצא לאור, מעניין כמו תמיד!
עד כאן מבזקי הברק של השבוע. נתראה בעוד שבוע, עם מבזקי ברק חדשים (:
אשמח לטיקבוקים על הפינה החדשה, הארות, הערות וכד'.
ים.
|
|
Recent Comments