Root Cause

לעקוב אחרי משתמשים בעולם היא יכולת שהרבה חברות וארגונים וגם גורמים זדוניים היו שמחים לעשות, החלק המפתיע, הוא מה אם אפשר לעשות את זה בגלל בעיה בצורה שמימשו דברים מסויימים בתוך הקרנל של מערכות ההפעלה הפופולאריות ביותר בעולם כמו ווינדוס, לינוקס ואנדרואיד. בפרק זה דיברנו עם עמית קליין על המחקר המשותף שלו עם פרופ' בני פנקס על איך הם עשו הנדסה לאחור לצורה שבה מערכות ההפעלה מבצעות את תהליך התקשורת, ואיך הם מצאו את החור שאיפשר להם לבצע הוכחת היתכנות של ההתקפה הזאת.[Links]From IP ID to Device ID and KASLR Bypasshttps://www.usenix.org/conference/usenixsecurity19/presentation/kleinCross-layer attacks and how to use them (for DNS cache poisoning, device tracking, and more)https://arxiv.org/pdf/2012.07432.pdfTrailer:https://www.youtube.com/watch?app=desktop&v=7ZXETb8iiEAHTTP Request Smuggling in 2020 – New Variants, New Defenses and New Challengeshttps://www.youtube.com/watch?v=Zm-myHU8-RQDEF CON 25 - Itzik Kotler, Amit Klein - The Adventures of AV and the Leaky Sandboxhttps://www.youtube.com/watch?v=YZKAPKNY09gAppSecIL 2016 - Crippling HTTPS with unholy PAC - Amit Kleinhttps://www.youtube.com/watch?v=NuFGMm6qcR0

04-23

49:29

עולם הסייבר מכיל מגוון רחב של פגיעויות ברמות קריטיות שונות, אבל כשמדובר בחיי אדם שעלולים להיפגע כתוצאה מתקיפת סייבר, כול שאר הבעיות מתגמדות. בפרק זה דיברנו עם עידו גפן מחברת CyberMDX על עולם הבעיה ולמה מוסדות רפואיים כמו מעבדות או בתי חולים הן יעד חם לתוקפים.Barnaby Jack -- Ethical Hackerhttps://en.wikipedia.org/wiki/Barnaby_JackCyberMDX Blog:https://blog.cybermdx.com

04-09

47:26

פיתוח תוכנה כיום נשען הרבה על registries פומביים שזמינים ברשת שמאפשרים להוריד את שלל ספריות התוכנה שהקוד שלנו משתמש במגוון סטאקים טכנולוגיים כגון:Pypi, Npm, Maven, Docker Hub ועוד. השאלה העולה היא: עד כמה אנחנו סומכים על אותם האבים שמחזיקים ספריות תוכנה קריטיות שהקוד שלנו מתחבר איתן? מה קורה אם מה שיש בהאב הוא בעצם קוד זדוני?? תדמיינו שהספרייה שעוזרת לכם להוריד דאטה מהקלאוד הפרטי שלכם, מחליטה לעשות עוד משהו עם הדאטה או עם המפתח לדאטה.. נשמע כמו משהו שלא יכול לקרות נכון... שהרי ה registries הם קומפוננטה קריטית שכול העולם משתמש, ולכן יש אלפי עיניים ומנגנוני בטיחות שימנעו מדבר שכזה לקרות.. אז זהו שלא, וזה בדיוק מה שדיברנו עליו בפרק, דיברנו על מקרה נוסף שקרה בשפת התכנות פייתון, וספציפית ב registry הראשי PyPi שאנשים זדוניים דחפו בעזרת משחק מילים של שמות הספריות, ספרייה זדונית שגונבת מפתחות של SSH ו GPG, וכשתפסו אותה על חם כעבור כמה שבועות שהיא הייתה ב registry, נזכרו להסיר אותה אחרי שכבר היה בה מספר שימושים בעולם.  Two malicious Python libraries caught stealing SSH and GPG keyshttps://www.zdnet.com/article/two-malicious-python-libraries-removed-from-pypi/Reflections on Trusting Trust https://www.cs.cmu.edu/~rdriley/487/papers/Thompson_1984_ReflectionsonTrustingTrust.pdf

03-08

25:55

בפרק זה, אירחנו את יוני גוזמן מחברת Atlassian, חברה שהתפתחה מתחילת שנות ה 2000 לכדי חברה ענקית שנסחרת בנאסדק בהצלחה, חברה שיש לה כמה מרכזי פיתוח בעולם ושהביאה לעולם התוכנה את Confluence ו Jira ועוד מגוון מוצרים לאקו-סיסטם של מפתחים, מוצרים שנמצאים כמעט בכול ארגון טכנולוגי בעולם. יוני נותן לנו הצצה לדבר הגדול הזה ומספר לנו איך מנהלים פרודקשיין בחברה עם מעל 1000 מיקרו-סרביסים עם מאות מהנדסים, איך לומדים מטעויות בצורה קוהרנטית, איך מסגלים תהליכים שונים בחברה בשביל לתת מענה לבעיות סקיוריטי וסקלאביליות מוצרית ואנושית, וכול זה תחת ערך ראשי בתרבות הארגונית של Open Company No Bullshit, סופר מעניין!חידון בסוף הפרק... ( לסקרנים - מה הקשר בין Jira לגודזילה D: )

02-12

43:30

שלום לכולם! בפרק זה גילינו שמישהו מטוויטר וגוגל מאזין לפודקאסט, שכן הם לקחו את ההמלצות בתחום של סיסמאות ואימות דו-שלבי שדיברנו בפרקים הקודמים :))עוד בפרק למדנו משהו חדש, לכולנו ידוע שתמונה אחת שווה אלף מילים, אבל למדנו גם שאות אחת שווה מיליון דולר... דיברנו על מקרה שקרה לאחרונה לחברה ישראלית, שנעקצה במיליון דולר, כסף שהייתה אמורה לקבל ממשקיעים, אבל נעקץ בעזרת התקפה MITM בעזרת טריק של שינוי הדומיין ופיברוק אימיילים. דיברנו על החשיבות בהעלאת המודעות של נושא של התקפות פישינג, ואיך אפשר להיעזר בכלים בשביל לעשות סימולציות של ״התקפות״ יזומות של פישינג בשביל לבדוק את המוכנות ולהעלות את המודעות. הזכרנו על קצה המזלג את הנושא החדש בשנתיים האחרונות של ביטוח סייבר, ובייחוד את האותיות הקטנות והמורכבות שיש שם, אבל כמובן שנרחיב על הנושא בהמשך כי זה נושא ראוי. Links:Google Password Checkup:https://passwords.google.com/checkup/start?ep=1https://security.googleblog.com/2019/02/protect-your-accounts-from-data.htmlTwitter new MFA:https://help.twitter.com/en/managing-your-account/two-factor-authenticationFree! Check if your credit card has been stolen!http://ismycreditcardstolen.com/Hacker Steals $1 Million In Chinese VC Funding Meant For Israeli Startup, Check Point Revealshttps://research.checkpoint.com/2019/incident-response-casefile-a-successful-bec-leveraging-lookalike-domains/Phishing Simulation:Gophish: https://getgophish.com/Top 9 Phishing Simulators [Updated 2019]: https://resources.infosecinstitute.com/top-9-free-phishing-simulators

12-27

31:26

בפרק זה נדבר על השירות החדש של דיסני, דיסני פלוס, ועל איך בימים הראשונים של השירות נגנבו עשרות אלפי חשבונות של משתמשים עם סיסמאות, מה שאיפשר לפורצים לנעול את אותם משתמשים מחוץ לשירות ולמכור את המידע הזה.מחקירה עולה שהפריצה לא בוצעה על ידי חדירה ישירות לשירות החדש, אלא דווקא בגלל פריצה שהייתה בשנת 2016 לפורום של דיסני לגיקים של גיבורי העל, שבה נגנבו מאות אלפי פרטי מידע של משתמשים, ואותם משתמשים שנגנבו מהעבר ויתחברו לשירות החדש של דיסני, נפרצו בשירות החדש בגלל שימוש חוזר באותם פרטי התחברות.נדבר על קווים מנחים לניהול קהילה ובסיס משתמשים, על החשיבות של עדכוני תוכנה ועל נושא של שימוש בסיסמאות חוזרות בין שירותים משיקים.אהה, וכמובן על קפטן מארוול ואיירון-מן.Links:https://www.owasp.org/index.php/Credential_stuffinghttps://haveibeenpwned.com/

12-11

34:43

בפרק זה נדבר על גניבת זהות שקרתה לחברת CapitalOne. לחברת CapitalOne יש פקדונות בסך 254 מיליארד דולר, ונכסים בשווי 373 מיליארד דולר. בגניבת הזהות נגנבו פרטים של 100 מיליון תושבים, שכוללים מידע אישי וכלכלי. הנזק בעקבות המקרה מוערך במאות מיליוני דולרים. הניתוח שהחברה סיפקה היה קצר ותמציתי למרות שהפריצה הייתה מאסיבית. ממחקר מעמיק ברשת ניתן ללמוד שבאקט של S3 שהוגדר לא נכון חשף את המידע האישי. CapitalOne הצביעה אצבע מאשימה כלפי AWS בטענה ש AWS לא עושה מספיק בשביל למנוע טעויות שכאלו. נדבר על הבעיתיות שיש בכול מה שקשור לבאקטים פומביים בספקית הקלאוד, ולמה בסופו של יום רוב הבעיות יכולות להימנע בעזרת העלאת התודעה ולימוד הנושא בקרב כלל הפונקציות השונות שיש בכול חברה.

11-24

28:42

בפרק זה נדבר על גניבת זהות שקרתה לחברת Equifax. חברת Equifax הינה אחת משלושת סוכנויות הדיווח האשראי הצרכניות הגדולות ביותר שמנהלת 800 מיליון לקוחות ו 88 מיליון עסקים. בגניבת הזהות נגנבו פרטים של כ 150 מיליון תושבים, גניבה שהוגדרה על ידי VentureBeat אחת מהפרות הנתונים הגדולות בהיסטוריה, נזק שהוערך במאות מיליוני דולרים. המקרה נגרם על ידי פירצה שהייתה ידועה (CVE) בספריית קוד פתוח לפיתוח ממשקי ניהול ווב, Apache Struts, הפירצה איפשרה להריץ קוד זדוני מרחוק, ובעזרתה שאבו מידע במשך 76 ימים ממגוון רחב של בסיסי נתונים. בנוסף, מוצר לזיהוי התנהגות וניתוח של הרשת שהיה אמור לזהות את גניבת המידע, לא זיהה מכיוון שתעודת ה SSL שלו פגה. נדבר על החשיבות במעקב אחרי תיקוני CVE של ספריות וקומפוננטות, וגם על תעודות SSL. 

11-18

23:00

בפרק זה נדבר על דליפת מידע שקרתה לחברת Segment.io .Segment.io היא חברה שמשרתת כדאטה האב בעולם האנליטיקס, וככזאת מחזיקה מידע של מגוון מאוד רחב של חברות טכנולוגיה. דליפת המידע קרתה על ידי השתלטות על חשבון דמו שהיה מוגן רק עם שם משתמש וסיסמא ללא הגנה דו שלבית. נדבר על למה סיסמא היא לא פרקטיקה מספקת, ועל האספקטים השונים של MFA, ולמה MFA עדיין לא סטנדרט בתעשייה, ואיך הדליפה קשורה לנושא רחב יותר של סביבות עבודה שונות וסגרגציה בעולם הקלאוד המודרני.Links:https://segment.com/security/bulletins/incident090519/ https://haveibeenpwned.com/

11-06

27:46

מה העלות של טעויות?ֿלמה טעויות קורות?איך לומדים מטעויות?ֿכל זאת ועוד... וגםשלום לכולם!! 

11-06

25:02