• בלוג
  • תזכורת: 5 תקלות אבטחה יותר גרועות מ log4j

תזכורת: 5 תקלות אבטחה יותר גרועות מ log4j

בימים האחרונים כולם מדברים על הפירצה הנוראית ב log4j, ולפעמים אני מרגיש שקל לשכוח שההיסטריה הזאת היתה פה בעבר ותהיה שוב בעתיד. אז הנה תזכורת ל-5 בעיות אבטחה מהעבר שלידן log4j נדמית כמו טיול בפארק.

1. ספקטר

ספקטר הוא שם כולל לסידרה של בעיות אבטחה במעבדים שמשתמשים במנגנון שנקרא branch prediction, שזה בעצם רוב המעבדים בעולם. הבגדול של ספקטר הוא שתוכנית אחת יכולה לקבל מהמעבד מידע שהיא לא צריכה לראות לגבי התנהגות של תוכניות אחרות על המכונה, וההשפעה הפרקטית הראשונה היתה האפשרות של אתרים שנפתחים בטאב אחד בדפדפן כרום לדעת מה קורה בכל הטאבים האחרים שלכם.

מאז שהתגלה ב 2018, כל החברות הגדולות הוציאו טלאי אבטחה שנועדו להתמודד עם ספקטר: כל הדפדפנים כוללים היום מנגנוני הגנה ספציפיים לבאג זה, מערכות הפעלה כוללות הגנה ספציפית נגד תוכניות שמנסות לנצל את ספקטר, ואפילו המעבדים עצמם מגיעים עם מנגנוני הגנה שמזהים או מנסים לזהות ניצול לרעה של התנהגות החיזוי שלהם.

למרות כל ההשקעה ההגנות שיש לנו היום מספקטר מתבססות כולן על "לתחמן" את התוקף ולא לאפשר לו לנצל את החולשה מתוך הבנה שהחולשה עצמה היא משהו שמאוד קשה לתקן.

לקריאה נוספת על ספקטר שווה לבקר בדף הפירצה: https://spectreattack.com

2. הארטבליד

חלק גדול מתשתית התקשורת המאובטחת באינטרנט משתמש בספרית קוד פתוח בשם OpenSSH. בשנת 2012 שינוי בקוד שהוכנס לספריה זו גרם לכך שכל שרת שהשתמש בספריה היה פגיע ותוקפים היו יכולים לקרוא את כל הזיכרון של השרת, כולל את כל מפתחות ההצפנה הפרטיים.

התיקון בספריית OpenSSH יחד עם גילוי הפירצה התרחשו רק ב 2014, כלומר שנתיים מאוחר יותר, וחשפו את העולם לסכנות בשימוש בספריות קוד פתוח. אף אחד לא יודע איזה ארגונים וגורמים הכירו את הפירצה בשנתיים בין 2012 ל 2014 והשתמשו בה כדי לרגל אחרי משתמשים ולפרוץ תקשורת שנחשבה מאובטחת. בזמן גילוי הפירצה מעריכים כי באזור ה 17% מסך השרתים באינטרנט הריצו גירסה פגיעה של OpenSSH.

מה שמפחיד באמת ב Heartbleed זה שלמרות שהבאג תוקן, אין לנו דרך לדעת כמה בעיות אבטחה נוספות קיימות במוצרי קוד פתוח המהווים את התשתית של הרשת - וכן גם הבאג ב log4j הוא עוד דוגמה לתקלות מסוג זה.

לקריאה נוספת על hearbleed אפשר לבקר בדף הפירצה: https://heartbleed.com

3. טרידנט

אחמד מנסור היה פעיל פוליטי שניהל בלוג הקורא לרפורמות בזכויות אדם באיחוד האמירויות. באוגוסט 2016 הוא קיבל הודעת סמס שמבטיחה גילויים חדשים על עינויים בבתי הכלא של איחוד האמירויות בלינק המצורף. במקום ללחוץ על הלינק מנסור שלח את ההודעה לבדיקה במעבדת אבטחת מידע, שם הצליחו לגלות שהלינק שייך לחברת NSO, ואם מנסור היה לוחץ אז האייפון 6 שלו היה נפרץ ותוכנת הריגול פרסוס היתה מותקנת עליו באופן אוטומטי ובלי ידיעתו של הפעיל.

שלושת בעיות האבטחה הקריטיות שאיפשרו התקנת תוכנת ריגול דרך לחיצה על לינק זכו לשם Trident, וחשפו את העולם לעולם האפל של ריגול דרך טלפונים.

מאז NSO ותוכנת פגסוס הפכו מפורסמות ואין לדעת כמה בעיות אבטחה קריטיות במערכות הפעלה של טלפונים עוד נמצאות אצלם במחסנים ומשמשות להתקנת תוכנות ריגול בלי ידיעת בעלי הטלפונים.

בכתבה הבאה תוכלו למצוא את כל הפרטים העסיסיים על הסיפור: https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/

4. פרינט נייטמייר

בתחילת יולי השנה מייקרוסופט דחפה עדכון אבטחה דחוף למערכת הפעלה Windows כדי לתקן באג בסרביס שנקרא Print Spooler. הבאג אפשר לתוקפים להריץ קוד מרחוק על כל מכונת Windows והשפיע על כל הגירסאות של Windows.

הבאג הזה זכה לתהודה בגלל שהניסיון הראשון של Microsoft לתקן אותו לא הצליח, וחוקרי אבטחה המשיכו לנצל אותו ולהעלות Exploits נוספים גם אחרי התיקון, וזה לקח כמה סבבים עד ש Microsoft סגרה סופית את הפירצה.

פרינט נייטמייר הזכיר לנו שגם מערכות ההפעלה של המחשבים שלנו פגיעות ושבדיוק כמו בטלפונים, החולשות במערכת ההפעלה הן הבוננזה של הסייבר ההתקפי.

(זיכרו שפירצה זו היתה קיימת בחלונות בכל הגירסאות, ורק דמיינו כמה שנים היא מאפשרת גישה פתוחה לכל מערכת חלונות בעולם לפני שהפירצה תוקנה, וכמה פירצות כאלה עוד יש שאנחנו לא יודעים עליהן).

אפשר למצוא עוד מידע על Print Nightmare בתזכיר שמייקרוסופט הוציאה כאן: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

5. באג Goto Fail במנגנון SSL של אפל

ואם חשבתם שאפל תצא נקיה מהרשימה הזאת אז כנראה שכחתם את אחד הבאגים המביכים של העשור - ה Goto Fail. ב 2014 התגלה באג קריטי באופן שבו מכשירי אפל מפענחים תעודות SSL, באג שאיפשר לכל אחד לזייף מנעול SSL וספארי יציג את המנעול כמו תקשורת מאובטחת רגילה לגמרי.

הבאג הזה זכה לתהודה קודם כל כי היה מאוד קל לראות אותו: פשוט תגלוש לאתר הדוגמה ואם אתה רואה את המנעול שמסמן תקשורת מאובטחת אתה יודע שעבדו עליך; אבל יותר מזה הוא זכה לתהודה כי הקוד שגרם לו היה זמין בקוד פתוח והופץ יחד עם כל הדיווח על הבאג. היכולת שלנו לראות בעיניים את הקוד שגרם לחולשה הפכה את הסיפור לפיקנטי וכל אחד ניסה לחשוב אם הוא היה מצליח לזהות את הבעיה בקוד.

לקריאת הקוד עם התקלה ופרטים נוספים על הסיפור שווה לקפוץ ל: https://nakedsecurity.sophos.com/2014/02/24/anatomy-of-a-goto-fail-apples-ssl-bug-explained-plus-an-unofficial-patch/