בפרק זה היה לנו את הזכות לדבר עם יוסי סאסי, שהוא קודם כול מוזיקאי בנשמה ומהיוצרים של ההרכב מטאל הנפלא אורפנד לנד שבילה על במות העולם לצד מטליקה, וגם White Hacker (ולא סייבר-קרימינאל) בנשמה כבר מעל 30 שנה, ראה הרבה, עשה הרבה, ומלא בתובנות. היום יוסי עסוק בין היתר בלהדריך Red Teams ב 4 יבשות ב 3 שפות, וחלק מצוות חירום לטיפול באירועי מחשב (DFIR) לצבאות וממשלות, בקיצור - מרתק!

חידה לסקרנים -- מי יכול לנחש מה זה בוזוקיטרה, ואיך יוסי קשור לזה...

חג שמח ושנה טובה ובטוחה לכולם!

רק בשבועות האחרונים אנחנו עדים למורכבות של הגנה על תשתיות קריטיות, תחנות דלק מושבתות בארה״ב שגורמות לעליית מחירים, חברות נפט שנפגעו מהתקפות כופרה שגרמו לנזק של מיליוני דולרים, מפעלי בשר בארה״ב שהפסיקו לתפקד, מתקני המים בישראל שעברו תקיפה ובתי חולים מושבתים חדשות לבקרים.

בפרק זה דיברנו עם גלעד זינגר על עולם הבעיה של הגנה על תשתיות קריטיות (SCADA) ועל האתגרים הטמונים בו. גלעד שיתף מהניסיון הרב שלו בתחום על המהלכים שצריכים לקרות בשביל לשפר את עולם הבעיה.

[Links]

Hospitals Upping Their Games – Gilad Zinger | The Industrial Security Podcast #41

https://www.youtube.com/watch?v=97G7wS-qtnw

Water Industry Webinar June 2020 (Hebrew)

https://www.youtube.com/watch?v=8Y00iSFGmz4

תוכנה זדונית היא קודם כול תוכנה, כלומר מחולקת למודולים, לישויות לוגיות וכמובן לפונקציות, אבל בשביל לזהות את החלק הזדוני בתוכנה שכזאת, צריך להפעיל חשיבה אחרת, וכמובן יפה שעה אחת קודם לפני שהיא תוקפת. יש מגוון דרכי פעולה לזהות ולהתגונן, אבל מה שבטוח - זה מרדף אינסופי של מוחות חכמים משני צידי המתרס.בפרק החדש דיברנו עם ארי איתן, VP Research מחברת Intezer על עולם המחקר מסביב ל Malwares ו Runtime Protection, דיברנו על מה הן דרכי הפעולה של התוכנות הזדוניות, באיזה שפות תכנות הן כתובות ומי הם האינדיבידואלים והקבוצות שמאחוריהן וכמובן על השיטות השונות להתגונן.

[Links]

Containers Defending:

https://www.intezer.com/wp-content/uploads/2021/03/Intezer-Defending-Containers.pdf

Intezer Blog:

https://www.intezer.com/blog/

הנושא של Application Security הוא אחד הנושאים החשובים במידול של משטחי תקיפה אפשריים לחברות, 

בשנים האחרונות נוכחנו להתקפות שונות ומגוונות שנגרמו כתוצאה מפגיעויות בשכבה הזאת כגון: ספריות תוכנה לא מעודכנות, חולשות בפרוייקטי קוד פתוח, בעיות קונפיגורציה של תשתיות או שימוש במקורות מידע ואחסון פגיעים.

בפרק זה דיברנו עם עומר לוי חברוני מחברת סניק על עולם הבעיה, דיברנו על איך למדל את הבעיות השונות, ומה הפרקטיקות שצריך לעשות בשביל להתמודד עם האתגרים.

[Links]

https://www.omerlh.info

https://snyk.io

https://www.youtube.com/watch?v=3Fl_7FrM_gI

https://www.threatmodelingmanifesto.org

https://threatmodelingbook.com/

אבטחת תחנות קצה השתנתה בשנים האחרונות, יש יותר תוכנות זדוניות מתוחכמות ותהליך התגובה המיידי הינו קריטי לארגונים בשביל להמשיך לתפקד. בפרק זה דיברנו עם אודי יבו, CTO בחברת Fortinet על Endpoint Security, ואיך מתמודדים עם האתגרים החדשים בעולם זה, בין היתר, איך התוקפים כבר לא פועלים רק על תחנות קצה אישיות שמריצות ווינדוס, אלא גם על לינוקס בקלאוד.

לעקוב אחרי משתמשים בעולם היא יכולת שהרבה חברות וארגונים וגם גורמים זדוניים היו שמחים לעשות, החלק המפתיע, הוא מה אם אפשר לעשות את זה בגלל בעיה בצורה שמימשו דברים מסויימים בתוך הקרנל של מערכות ההפעלה הפופולאריות ביותר בעולם כמו ווינדוס, לינוקס ואנדרואיד. בפרק זה דיברנו עם עמית קליין על המחקר המשותף שלו עם פרופ' בני פנקס על איך הם עשו הנדסה לאחור לצורה שבה מערכות ההפעלה מבצעות את תהליך התקשורת, ואיך הם מצאו את החור שאיפשר להם לבצע הוכחת היתכנות של ההתקפה הזאת.

[Links]

From IP ID to Device ID and KASLR Bypass

https://www.usenix.org/conference/usenixsecurity19/presentation/klein

Cross layer attacks and how to use them (for DNS cache poisoning, device tracking and more)

https://arxiv.org/pdf/2012.07432.pdf

Trailer:

https://www.youtube.com/watch?app=desktop&v=7ZXETb8iiEA

HTTP Request Smuggling in 2020 – New Variants, New Defenses and New Challenges

https://www.youtube.com/watch?v=Zm-myHU8-RQ

DEF CON 25 - Itzik Kotler, Amit Klein - The Adventures of AV and the Leaky Sandbox

https://www.youtube.com/watch?v=YZKAPKNY09g

AppSecIL 2016 - Crippling HTTPS with unholy PAC - Amit Klein

https://www.youtube.com/watch?v=NuFGMm6qcR0

עולם הסייבר מכיל מגוון רחב של פגיעויות ברמות קריטיות שונות, אבל כשמדובר בחיי אדם שעלולים להיפגע כתוצאה מתקיפת סייבר, כול שאר הבעיות מתגמדות. בפרק זה דיברנו עם עידו גפן מחברת CyberMDX על עולם הבעיה ולמה מוסדות רפואיים כמו מעבדות או בתי חולים הן יעד חם לתוקפים.

Barnaby Jack -- Ethical Hacker

https://en.wikipedia.org/wiki/Barnaby_Jack

CyberMDX Blog:

https://blog.cybermdx.com

פיתוח תוכנה כיום נשען הרבה על registries פומביים שזמינים ברשת שמאפשרים להוריד את שלל ספריות התוכנה שהקוד שלנו משתמש במגוון סטאקים טכנולוגיים כגון:

Pypi, Npm, Maven, Docker Hub ועוד. השאלה העולה היא: עד כמה אנחנו סומכים על אותם האבים שמחזיקים ספריות תוכנה קריטיות שהקוד שלנו מתחבר איתן? מה קורה אם מה שיש בהאב הוא בעצם קוד זדוני?? תדמיינו שהספרייה שעוזרת לכם להוריד דאטה מהקלאוד הפרטי שלכם, מחליטה לעשות עוד משהו עם הדאטה או עם המפתח לדאטה.. נשמע כמו משהו שלא יכול לקרות נכון... שהרי ה registries הם קומפוננטה קריטית שכול העולם משתמש, ולכן יש אלפי עיניים ומנגנוני בטיחות שימנעו מדבר שכזה לקרות.. אז זהו שלא, וזה בדיוק מה שדיברנו עליו בפרק, דיברנו על מקרה נוסף שקרה בשפת התכנות פייתון, וספציפית ב registry הראשי PyPi שאנשים זדוניים דחפו בעזרת משחק מילים של שמות הספריות, ספרייה זדונית שגונבת מפתחות של SSH ו GPG, וכשתפסו אותה על חם כעבור כמה שבועות שהיא הייתה ב registry, נזכרו להסיר אותה אחרי שכבר היה בה מספר שימושים בעולם.

Two malicious Python libraries caught stealing SSH and GPG keys

https://www.zdnet.com/article/two-malicious-python-libraries-removed-from-pypi/

Reflections on Trusting Trust

https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrustingTrust.pdf

בפרק זה, אירחנו את יוני גוזמן מחברת Atlassian, חברה שהתפתחה מתחילת שנות ה 2000 לכדי חברה ענקית שנסחרת בנאסדק בהצלחה, חברה שיש לה כמה מרכזי פיתוח בעולם ושהביאה לעולם התוכנה את Confluence ו Jira ועוד מגוון מוצרים לאקו-סיסטם של מפתחים, מוצרים שנמצאים כמעט בכול ארגון טכנולוגי בעולם. יוני נותן לנו הצצה לדבר הגדול הזה ומספר לנו איך מנהלים פרודקשיין בחברה עם מעל 1000 מיקרו-סרביסים עם מאות מהנדסים, איך לומדים מטעויות בצורה קוהרנטית, איך מסגלים תהליכים שונים בחברה בשביל לתת מענה לבעיות סקיוריטי וסקלאביליות מוצרית ואנושית, וכול זה תחת ערך ראשי בתרבות הארגונית של Open Company No Bullshit, סופר מעניין!

חידון בסוף הפרק... ( לסקרנים - מה הקשר בין Jira לגודזילה D: )

שלום לכולם! בפרק זה גילינו שמישהו מטוויטר וגוגל מאזין לפודקאסט, שכן הם לקחו את ההמלצות בתחום של סיסמאות ואימות דו-שלבי שדיברנו בפרקים הקודמים :))

עוד בפרק למדנו משהו חדש, לכולנו ידוע שתמונה אחת שווה אלף מילים, אבל למדנו גם שאות אחת שווה מיליון דולר... דיברנו על מקרה שקרה לאחרונה לחברה ישראלית, שנעקצה במיליון דולר, כסף שהייתה אמורה לקבל ממשקיעים, אבל נעקץ בעזרת התקפה MITM בעזרת טריק של שינוי הדומיין ופיברוק אימיילים. דיברנו על החשיבות בהעלאת המודעות של נושא של התקפות פישינג, ואיך אפשר להיעזר בכלים בשביל לעשות סימולציות של ״התקפות״ יזומות של פישינג בשביל לבדוק את המוכנות ולהעלות את המודעות. הזכרנו על קצה המזלג את הנושא החדש בשנתיים האחרונות של ביטוח סייבר, ובייחוד את האותיות הקטנות והמורכבות שיש שם, אבל כמובן שנרחיב על הנושא בהמשך כי זה נושא ראוי.

Links:

Google Password Checkup:

https://passwords.google.com/checkup/start?ep=1

https://security.googleblog.com/2019/02/protect-your-accounts-from-data.html

Twitter new MFA:

https://help.twitter.com/en/managing-your-account/two-factor-authentication

Free! Check if your credit card has been stolen!

http://ismycreditcardstolen.com/

Hacker Steals $1 Million In Chinese VC Funding Meant For Israeli Startup, Check Point Reveals

https://research.checkpoint.com/2019/incident-response-casefile-a-successful-bec-leveraging-lookalike-domains/

Phishing Simulation:

Gophish: 

https://getgophish.com/

Top 9 Phishing Simulators [Updated 2019]: 

https://resources.infosecinstitute.com/top-9-free-phishing-simulators