11.11.21 אבטחת מידע

מדריך להתמודדות עם Trojan Source. כלומר איך להציג תווי bidi בקוד.

עוד שתי חבילות Node.js נפרצו: coa ו- rc. הן מצטרפות ל- ua-parser-js משבוע שעבר. אלו מתקפות על שרשרת האספקה.

11.11.21 קוד פתוח

רשימה של פלטפורמות לפיתוח ללא קוד (No Code) או מעט קוד (Low Code).

רשימה של תוכנות לדחיסת קבצים בלינוקס.

6 Net. יצאה. בקוד פתוח. אבל MS הצליחו להרוס את ההכרזה ואת ה- Open Wash שלהם עם הניסיון לפני כמה שבועות להוציא יכולות ממאגר הקוד ולהעביר אותן לגרסה הסגורה של Visual Studio.

OWASP Top 10 2021

לפני כמה שבועות בוצע עדכון לעשרת החולשות הנפוצות במערכות מבוססות Web של OWASP.

בעצם חולשות היא לא המילה הנכונה. יהיה נכון יותר לומר קטגוריות של חולשות. החלוקה לקטגוריות מבוססת על CWE. בכל עדכון של OWASP, הארגון לוקח מספר CWE ומאחד אותן לקטגוריות. אלו הקטגוריות המדורגות בעשרת החולשות הנפוצות. הרכב הקטגוריות משתנה מגרסה לגרסה.

OWASP הוא ארגון ללא מטרות רווח שמקדם אבטחת מידע. הארגון נותן חסות לפרויקטים בתחום ומפרסם משאבים. אחד מפרויקטי הדגל של הארגון הן רשימות עשרת הראשונים. כל רשימה מתייחסת לנושא מסוים. הרשימה שנסקרת בכתבה זו היא רשימת עשרת קטגוריות החולשות למערכות Web. כלומר מערכות שהמשתמש מתחבר אליהן דרך האינטרנט או דרך תוכנה לקוח (אפליקצייה למשל).

רשימת עשרת החולשות נחשבת לתקן מינימלי שתוכנה מאובטחת חייבת לעמוד בה. לכן הרשימה היא מקום טוב להתחיל את המסע שלכם באבטחת מידע.

עשרת הקטגוריות החדשות

הערה: תרגמתי בעצמי (אלא אם היה משהו שהסכמתי איתו בוויקיפדיה העברית או בתרגום העברי לרשימה של 2017).

  1. בקרה גישה שבורה: עלתה ממקום 5. מתייחסת למקרים שבהם התוכנה לא בודקת האם למשתמש יש מספיק הרשאות כדי לגשת לרכיב מסויים או שהגישה אינה מאובטחת דיה (כמו במקרה שבו רמת ההרשאה מועברת ב-POST ללא קידוד).
  2. כשלי הצפנה: עלתה ממקום 3. מתייחסת למידע רגיש לא מוצפן. למשל פרטים מזהים שלפי תקנות הגנת הפרטיות צריכים להיות מוצפנים, נשמרים כטקסט.
  3. הזרקות: איחוד של מקום 1 ו-7. מתייחסת להזרקות קוד למיניהן. בין אם סוגי ה- XSS ובין אם SQL.
    כדי לטפל בהזרקות נוודא שכל מידע שמגיע מהמשתמש עובר סינון כך שלא יכלול תווים שלא אמורים להימצא שם (למשל פקודות בשדה שאמור להכיל טקסט).
  4. עיצוב לא מאובטח: קטגוריה חדשה. מתייחסת לעיצוב תוכנה לא מאובטחת. אם בעת אפיון המערכת לא מתייחסים לאבטחת מידע, יהיו בעיות בתוצר הסופי.
    מומלץ לממש Shift left בתהליך הפיתוח. כלומר נבצע בדיקות אבטחת סטטיות ודינמיות תוך כדי הפיתוח ולא נמתין למבדק החדירה שנעשה לפני העלייה לסביבת ייצור. המונח Shift left מתייחס להעברה של תהליך האבטחה שמאלה בתרשים פיתוח התוכנה (התרשים מתחיל מצד שמאל בלעז).
    מונחים מקצועיים: בדיקות סטטיות – SAST, בדיקות דינאמיות – DAST. לעיתים הכלים תלויים בשפת התכנות בה משתמשים.
    פרויקט SAMM של OWASP מתייחס לאבטחת תהליכי פיתוח.
  1. טעויות הגדרה: עלתה ממקום 6. חולשות XXE אוחדו לתוך קטגוריה זו. מתייחסת לכל אותם מקרים שבהם המערכת לא הוקשחה כהלכה, בין אם כתוצאה מטעות או מחוסר מודעות לקיומה של אפשרות כזו. יש כלים אוטומטיים שבודקים הגדרות ולכל הפחות מבדק חדירה אמור להתייחס לנושא הזה (כתלות בתכולה המבדק).
  2. רכיבים לא מעודכנים: עלתה ממקום 9. מתייחסת לשימוש ברכיבי תוכנה או חומרה לא מעודכנים או כאלו שידוע שיש בהן חולשות שלא טופלו. למשל: גרסת PHP לא מעודכנת או כזו שכבר לא מקבלת תיקונים. כדי להתמודד עם קטגורייה זו, אני מציע לכם לתעד את כל רכיבי התוכנה והחומרה בהם אתם משתמשים (שרתים, מערכות הפעלה, מסדי נתונים, תשתיות אפליקטיביות, שרתי Web, ספריות וכו') ולנסות להבין אם הם עדיין מקבלים עדכונים. אם לא, אנחנו בדיוק בתחילת נובמבר וזה אחלה זמן להתחיל להיערך לכתיבת תוכנית עבודה ל-2022.
    המצב מסתבך עוד יותר כשמשתמשים בספריות תוכנה שלהן רכיבים משלהן. המונח המקצועי הוא SCA – Software Composition Analysis ויש מערכות שמבצעות את הסריקה הזו אוטומטית. מתישהו ב-2022 אני מתכנן לעשות את זה בעבודה ואז אני אכתוב גם פוסט בנושא.
  3. הזדהות שבורה: ירדה ממקום 2. מתייחסת לכל אותם מצבים שבהם ההתחברות למערכת אינה מאובטחת דייה. למשל: סיסמאות שקל לנחש, אין הגבלה על מספר החיבורים השגויים לפני נעילה (זמנית או קבועה), סיסמאות שנשמרות כטקסט, אין הזדהות רב שלבית וכו'.
  1. כשלים בבדיקת אמינות המידע: מאחדת מספר 8 עם קטגוריה חדשה. מתייחסת למשבר שחווינו בשנה האחרונה בתחום ה- CI/CD. למשל הפריצה הידועה לשרתי Solar Winds שבה הוזרק קוד לתוכנה לפני האריזה לייצור בשרשרת ה- CI/CD בעוד בדיקות האבטחה נעשו על הקוד לפני תהליך האריזה.
    קטגוריה 8 לשעבר עסקה בנושא של סִדרות – serialization ו- deserialization. כלומר במקרים שבהם התוכנה לא בדקה האם הנתונים הגיעו ממקור אמין או אם הם מכילים מידע שלא אמור להימצא שם.
  2. ניטור חסר: עלתה ממספר 10 והתווספו אליה תכנים מהסקר האחרון. מתייחסת לחסרונו של ניטור. הדרך היחידה לבדוק אם הניטור תקין היא לבצע בדיקת חדירות או בדיקות דינאמיות (DAST) ולראות האם קופצות התראות במערכות הניטור. בנוסף כדאי לוודא שצוות הניטור מוכשר להבדיל בין אירועים לגיטימיים לתקיפות. כלומר שניתן לבצע אבחנה מבדלת.
    נשים לב שמהירות התגובה לאירועים חשובה גם היא. אין משמעות להתראה שמגיעה לצוות הרלוונטי יומיים אחרי האירוע. אם קרה משהו בזמן הזה, סביר להניח שהארגון כבר קיבל את בקשת הכופר מהתוקף.
    הניטור חשוב גם לתחקור אירועים ולכן יש לוודא ששומרים יומני תיעוד של כל מה שצריך לתחקור.
    יש לשים לב למצב שבו צוות הניטור מקבל יותר מדי התראות ומפתח אדישות להתראות.
    ישנן מערכות שמשתמשות בבינה מלאכותית כדי לסנן התראות או לקשר בין אירועים או לנסות להבין מהי פעולה תקינה של המערכות ומה לא. תחום הניטור הוא תחום מקצועי בפני עצמו.
  3. זיוף בקשות צד שרת (SSRF): קטגוריה חדשה שהגיעה מהסקר האחרון. מתייחסת למצב שבו תוקף יכול לאלץ את המערכת לשלוף מידע או להריץ קוד שנמצא בשרת פנימי של החברה (וכביכול מוגן כי הוא לא נגיש מבחוץ) או משרת חיצוני. בצורה כזו התוקף יכול להריץ קוד זדוני על המערכת או לשלוף נתונים שאמורים להיות מוגנים.
    ניתן למנוע על ידי בדיקה של קלט מהמשתמש או קלט שמגיע משיטות כמו POST.

7.11.21 כללי

אינטל הוציאה את דור 12 של המעבדים שלה. לראשונה, אינטל תשלב ליבות חלשות במעבדים שלה. לפי הנתונים שפורסמו, 2 ליבות חלשות שוות בביצועים ל-4 ליבות דור 6.

סקירה של המעבד הסובייטי 1801VM2 (תואם PDP11, יוצר ב- 1982).

הממשק הגרפי ל- OpenVMS עדיין בפיתוח, מסתבר.

7.11.21 קוד פתוח

רשימת חלופות ל- MS Visio. הראשונה, Dia מצויינת אם אתם לא צריכים תמיכה בעברית או כיווניות מימין לשמאל. השנייה, Diagrams.net טובה אם אתם כן צריכים. יש לה גם מלא מאגרי צורות.

מדריך לכתבים טכניים מתחילים.

מדריך קוד פתוח לבניית פאנל סולרי. אלא אם אתם רוצים לתרום להם קצת?

7.11.21 לינוקס

סביבת שולחן העבודה LXQt הגיע לגרסה 1.0.0. שיהיה במזל טוב!
LXQt הוא סביבת שולחן עבודה קלת משאבים. המומלצת שלי למחשבים חלשים או מחשבים ישנים.

יכולת חדשה ב- bcache: ‏snapshots.

סיפור משתמש על מעבר ללינוקס וחיסכון של זמן וכסף בניהול העסק.

7.11.2021 אבטחת מידע

חולשת Trojan Source: מאפשרת להסתיר קוד זדוני מתוכנות לסריקה סטטית של הקוד על ידי שימוש בתווי bidi. אלו תווים שמיועדים לשילוב של טקסט בכיווניות שונה מסמך. כלומר תווים של כיווניות מימין לשמאל ושמאל לימין. עד כה החולשה אומתה בשפות הבאות: #C, ‏++C, ‏C, Go, Java, JavaScript, Python ו- Rust אבל כנראה קיימת בשפות נוספות. קישור למאגר קוד הוכחת היתכנות (POC). בעורכי הקוד הבאים לא ניתן להבדיל בין טקסט עם תווי bidi לטקסט בלעדיה: VS Code, Atom, SublimeText, Notepad, vim, emacs, GitHub ו- BitBucket.

ספק של משרד ההגנה האמריקאי נפרץ. עד כה לא ברור מה היקף המידע שנגנב.

ארצות הברית מציעה פרס של 10 מיליון דולר למי שימסור מידע על כנופיית הכופר DarkSide.

ארצות הברית מטילה סנקציות כלכליות על חברת NSO.

CISA פרסמה רשימה של כ- 300 חולשות שנמצאות בשימוש על ידי תוקפים. לכל אחת מהחולשות ברשימה יש כבר עדכון שסוגר. CISA הוציאה הוראה שמחייבת רשויות בארה"ב לעדכן את המערכות שלהן (לכל חולשה ברשימה יש תאריך משלה).

גוגל מציעה פרס של עד 50 אלף דולר על חולשות בליבה של לינוקס.

לפי ה- FBI, כנופיות כופרה מנצלות אירועים פיננסיים כדי לאיים על חברות לשלם כופר.

סין עקפה את רוסיה בהפצת נוזקות ווירוסים. מזל טוב!

1.11.21 כללי

תיכוניסטים כבר לא יודעים מה ההבדל בין תיקייה לקובץ ואיך להשתמש בתיקיות לסידור קבצים. נובע מההסתרה של ניהול הקבצים על ידי מערכות הפעלה לניידים וכן יכולות חיפוש במערכות הפעלה שולחניות.

הסקריפט לסרט Dune נכתב בתוכנה ל- DOS.

1.11.21 אבטחת מידע

מישהו פרץ למערכת אספקת הדלק של איראן. מה שאומר שאין דלק בתחנות הדלק.

גיליון חדש ל- DigitalWhisper.

רשימת החולשות הנפוצות ביותר בחומרה לשנת 2021.

שימוש גובר בהרעלת קידום אתרים (SEO Poisoning) להפצת וירוסים. כלומר פורצים לאתר כלשהו, מכניסים וירוס ומקדמים אותו בגוגל עם מילות חיפוש נפוצות. המטרה היא להגיע לעובדים שעובדים מהבית.

ארה"ב תמנע מ- China Telecom לפעול בשטחה מסיבות של אבטחת מידע.

למעלה
דילוג לתוכן