האקרים השתלטו על מחשבים ביטחוניים"
נחשף מחדל חמור: חברת אבטחת מידע דיווחה כי מייל עם קובץ על אריק שרון, שנשלח לכאורה משב"כ, הכיל קוד "זדוני". התוצאה: 15 מחשבים במערכת הביטחון נשלטו במשך ימים על ידי האקרים. חשד: פלסטינים אחראים

אני לא מבין מדוע בכלל מחשבים של צהל והשבק מחוברים לאינטרנט

המנהל האזרחי הוא לא צה"ל ולא השב"כ...

אני לא מבין למה אנשים מריצים דברים שהם מקבלים במייל, ולמה בכלל אפשר להריץ דברים מהאינטרנט בדבל קליק... הרבה דברים לא מובנים.

הלינק לכתבה שמופיע באשכול שפורסם כמה שעות לפני האשכול שלך: http://www.ynet.co.il/articles/0,7340,L-4481380,00.html

נניח, מחשב של מזכירה כלשהיא שאיפשרו לה גישה לא מפוקחת לאינטרנט כדי שתוכל לגלוש בפייסבוק, או מה שלא יהיה...
אני לא חושב שהמחשבים שהודבקו בוירוס הכילו חומר רגיש, אבל אי אפשר לדעת...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

בעיתון ידיעות אחרונות של היום נכתב כי הסוס הטרויאני הופץ דרך מייל שהתקבל מהכתובת shabakreport@gmail.com או משהו כזה.
לא משנה כמה תוכנות והגנה תהיה לך, שום דבר לא ייחפה על טיפשות. צריך לחדד את ההדרכה והנהלים.
אני אישית הייתי מופתע אם הייתי רואה מייל מהשב"כ אצלי בתיבה בעל הסיומת Gmail.
הכי פשוט לפעמים הוא ההכי מועיל.

ציטוט:

במקור נכתב על ידי Reshef914 בעיתון ידיעות אחרונות של היום נכתב כי הסוס הטרויאני הופץ דרך מייל שהתקבל מהכתובת shabakreport@gmail.com או משהו כזה. לא משנה כמה תוכנות והגנה תהיה לך, שום דבר לא ייחפה על טיפשות. צריך לחדד את ההדרכה והנהלים. אני אישית הייתי מופתע אם הייתי רואה מייל מהשב"כ אצלי בתיבה בעל הסיומת Gmail. הכי פשוט לפעמים הוא ההכי מועיל.

מה שיותר מרתיח מכל הפרשה הזאת, זה שבסופו של דבר כל גוף יטיל את האחריות על השני, לא ימצאו אשמים, ותקרית זהה תתרכש שוב בעתיד (עקב" הפקת הלקחים" המרשימה שלנו).

יש הרבה עבודה למבקר המדינה, חבל רק שאף אחד לא באמת שם על הדו"ח שלו.

סביר להניח שהמייל לא הגיע מג'ימייל, שם כל attachment נסרקת בצורה די יעילה. זה כנראה הגיע ממקור אחר מה שמעלה שתי תהיות: (בהנחה שהפרסום בעיקרו נכון)
1. הטרויאני הזה אמור להיות מוכר הן מבחינת חתימה והן מבחינת התנהגות ליישומי ה- AV בתחנות. מדוע הוא לא זוהה?
2. סביר להניח שכתובת שרת הדואר ממנו הגיע המייל אינו משוייך מבחינת DNS לגוגל, מדוע לא זיהה יישום האנטי ספאם\וירוס את השליחה כבעייתית עוד לפני שהיא הגיע לשרת הדואר הפנימי?

אין לי מושג, לא מבין גדול במחשבים והרבה ממה שאמרת זה ג'יבריש מבחינתי.
מה שנרשם בכתבה זה שהמייל הגיע מכתובת GMAIL והסוס הטרויאני היה מושתל בקובץ PDF (הביאו צילומי מסך של ה PDF כביכול) שצורך למייל.
לא אתפלא אם גוגל לא מגלים הכל.
אם זה באמת כך, זה פשוט מביך ברמה של בת 12 שפרצו לה לפייסבוק.

אף אחד לא יודע לאיזה מחשבים הוחדר הוירוס, ומה היה תפקידם של המחשבים האלה. לצורך העיניין, נניח שיש מחשב בלובי של משרדי אחת מאותן חברות בטחוניות, שנועד לגלישה של המבקרים דרכו והוא כמעט לחלוטין לא ממוגן.
אם אותו מחשב נדבק בוירוס, מה פה בדיוק מביך ואיזה נזק בדיוק נגרם?

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

אפשרי שאתה צודק, המחשבים שנפגעו במנהל האזרחי יכולים גם להיות לפטופים של העובדי ניקיון שהם צופים בהם בסרטים להעביר את הזמן או שומעים מוזיקה.
אבל מאחר וזה הגיע לעיתון וכתבו "מחשבים בטחוניים" אני יוצא מנק' הנחה שזה מה שקרה (והלוואי ואתה צודק ואלה "סתם" מחשבים).
גם במידה וזה מחשב למבקרים שבו נפתח המייל, המחשב הזה צריך להיות מבודד מהרשת הפנימית.

אם הוא המחשב שנדבק, אין בזה דבר מביך ופרט לשעת עבודה שהטכנאי יצטרך בשביל לפרמט את המחשב לא קרה כלום.
אם נצא מהנחה שמחשבים בטחוניים אכן נפגעו, אז זה מביך שתדרוך ונהלים פשוטים יכלו למנוע כזו חדירה פשוטה למחשב.

ציטוט:

במקור נכתב על ידי lior432 סביר להניח שהמייל לא הגיע מג'ימייל, שם כל attachment נסרקת בצורה די יעילה. זה כנראה הגיע ממקור אחר מה שמעלה שתי תהיות: (בהנחה שהפרסום בעיקרו נכון) 1. הטרויאני הזה אמור להיות מוכר הן מבחינת חתימה והן מבחינת התנהגות ליישומי ה- AV בתחנות. מדוע הוא לא זוהה? 2. סביר להניח שכתובת שרת הדואר ממנו הגיע המייל אינו משוייך מבחינת DNS לגוגל, מדוע לא זיהה יישום האנטי ספאם\וירוס את השליחה כבעייתית עוד לפני שהיא הגיע לשרת הדואר הפנימי?

לא סביר ולא כלום. כידוע ג'ימייל לא יכולה לדעת מה יש בתוך ארכיב מוצפן. לכן שולחים malware samples בארכיבים מוצפנים (זה גם
עוזר למנוע פתיחה שלהם בטעות ועוד) עם סיומת שונה מ-zip (שגוגל מסתכלת פנימה וחוסמת). הרגע שלחתי לעצמי את הבינאריים של
Xtreme RAT הנ"ל בקובץ עם סיומת foo במקום עם סיומת ה-zip שהיית לו כשהורדתי אותו. גוגל לא צייץ. צא מהסרט. וזה אפילו לא היה
ארכיב מוצפן.

זה ממש לא סיפור לעשות לבינארי של הוירוס packing. למען האמת, וירוסים רבים אכן נוהגים לעשות זאת. הפתעה!
לגוגל - ולאף אחד אחר - אין דרך לדעת איזה בינארי יפרוש הבינארי שנפרש מהבינארי הראשון שהרצת. לבד מלהריץ את הקוד ממש בתוך
sandbox אין דרך לדעת מה נמצא שם בפנים, וגם אז נכנסים לאותו מירוץ שיש ב-anti-debugging.

הנה דוגמה, ולא סתם דוגמה, אלא דוגמה עם Xtreme RAT ממש: http://code.google.com/p/malware-lu/wiki/en_xtreme_RAT
יש לנו קובץ zip שכמעט אף-אחד לא זיהה בזמנו, שבתוכו יש בינארי, שבתוכו בינארי שמכיל בינארי שלישי ארוז בצורה ייעודית, שבתורו הוא
אריזת UPX של הבינארי של ה-Xtreme RAT הזה. כן. גוגל ממש אמורים לעלות על זה.


ועכשיו לגבי התחנות. ב-350 יורו אפשר לקנות את הסורסים של ה-Xtreme RAT הזה. או עם קצת חיפוש בגוגל. (אפילו שאת הגרסה שלא
קונים זה קצת סיפור לקמפל.)
בהינתן הסורס, לייצר build שלא יקפיץ אף אחת מהחתימות המוכרות זה די קל. מבחינת התנהגות, RAT לא עושה שום דבר שאפשר "רע"
שאפשר לזהות, ובטח שלא אמורים לזהות.


באמת, "זה לא מדע טילים" פה. אלה דברים די בסיסיים.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

ציטוט:

במקור נכתב על ידי פסטן באמת, "זה לא מדע טילים" פה. אלה דברים די בסיסיים.

חתיכת מדע טילים. חצי מההודעה שלך הייתה בג'יבריש בשבילי

ציטוט:

במקור נכתב על ידי Reshef914 חתיכת מדע טילים. חצי מההודעה שלך הייתה בג'יבריש בשבילי

זה יחסי, כמובן. בשביל מי שלא קשור לתחום בשום צורה זה אולי נשמע מסובך להחריד, אבל בשביל מי שמתיימר להבין משהו, מדובר בדברים בסיסיים.

אנלוגיה להמחשה. ראיתי אצלך בחתימה עסק של צילום. בשבילי זה הכל סינית.
אבל ממי שיתחיל לדבר על צילום ולהעלות תהיות "למה הצילום של המִנהל האזרחי לא יצא טוב? הרי הוא יכל לעשות א,ב,ג" אתה מצפה לדעת מה זה F numbers ומה זה ISO numbers ואפילו קצת יותר, נכון?

בחזרה לפרשתנו, אם יש משהו ספציפי שלא הבנת מהתגובה שלי למעלה ואתה רוצה שאסביר אתה מוזמן להגיד מה.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

כן, באמת יש משהו בדברייך, האמת שחלק מההודעה באמת הבנתי ותודה על הנכונות להסביר.

ארכיב אני יודע מה זה ו XTREME RAT וכו' אבל מה זה כל החלק של הבינארי, בינארי זו "השפה" שהמחשב משתמש בה. אתה יכול לשנות את השפה שבה וירוס כתוב? מה זה ייתן? בעצם, מה ז"א ליצור בינארי?

בבינארי בהקשר הזה מכוונים לקובץ ההרצה ולא לשפה.
https://en.wikipedia.org/wiki/Binary_file

ציטוט:

במקור נכתב על ידי פסטן הנה דוגמה, ולא סתם דוגמה, אלא דוגמה עם Xtreme RAT ממש: http://code.google.com/p/malware-lu/wiki/en_xtreme_RAT יש לנו קובץ zip שכמעט אף-אחד לא זיהה בזמנו, שבתוכו יש בינארי, שבתוכו בינארי שמכיל בינארי שלישי ארוז בצורה ייעודית, שבתורו הוא אריזת UPX של הבינארי של ה-Xtreme RAT הזה. כן. גוגל ממש אמורים לעלות על זה.

אבל זה לא כ"כ משולל המציאות שגוגל יחפרו פנימה כדי לגלות את המהות האמיתית של הקובץ. אני בטוח שה-NSA (ולא רק הם) עושים את זה, אולי לגוגל יש תהליכים פנימיים שמתייגים קבצים כאלה ומפנים אליהם את תשומת ליבם של מומחי אבטחה של גוגל, בעדיפות זו או אחרת (כנראה בתקצוב נמוך יותר של שעות-אדם), התהליך אפילו לא חייב להיות בעדיפות גבוהה. גוגל הם חטטנים לא קטנים, ובהתחשב בנפח התעבורה שזורמת בשרתים שלהם אני מניח שהם ירצו לדעת על כל פיפס קטן שעובר שם.
אתה בטח לא חושב שאם תשלח קובץ ZIP מוגן בסיסמה דרך GMAIL, גוגל לא יציצו בתוכן שלו...? אז בטח כשאותו קובץ חשוד נשלח להרבה אנשים, איפה-שהוא באחד השרתים של גוגל תקפוץ איזו JOB ותרים איזה דגל... ככה לפחות נראה לי (אני כמובן לא מכיר את התהליכים הפנימיים שם).

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

ציטוט:

במקור נכתב על ידי efekt אבל זה לא כ"כ משולל המציאות שגוגל יחפרו פנימה כדי לגלות את המהות האמיתית של הקובץ. אני בטוח שה-NSA (ולא רק הם) עושים את זה, אולי לגוגל יש תהליכים פנימיים שמתייגים קבצים כאלה ומפנים אליהם את תשומת ליבם של מומחי אבטחה של גוגל, בעדיפות זו או אחרת (כנראה בתקצוב נמוך יותר של שעות-אדם), התהליך אפילו לא חייב להיות בעדיפות גבוהה. גוגל הם חטטנים לא קטנים, ובהתחשב בנפח התעבורה שזורמת בשרתים שלהם אני מניח שהם ירצו לדעת על כל פיפס קטן שעובר שם. אתה בטח לא חושב שאם תשלח קובץ ZIP מוגן בסיסמה דרך GMAIL, גוגל לא יציצו בתוכן שלו...? אז בטח כשאותו קובץ חשוד נשלח להרבה אנשים, איפה-שהוא באחד השרתים של גוגל תקפוץ איזו JOB ותרים איזה דגל... ככה לפחות נראה לי (אני כמובן לא מכיר את התהליכים הפנימיים שם).

גוגל מחטטים המון, ודאי. איך הם יודעים להעביר דואר זבל ישר לתיקיית Spam? איך הם יודעים לתת התראה מעל מייל שכנראה
מדובר בפישינג? אבל במקרה הזה לא מדובר על זה שהם לא רוצים או לא מנסים "לחטט", אלא שבאופן מעשי הם לא יכולים.

אולי הם רוצים להציץ בסיסמה, ויש מקרים בהם הם אפילו יכולים, אבל זה לא משנה. אני יכול לשלוח לעצמי את הזיפ המוצפן של
Xtreme RAT (שאפשר להוריד מכאן: https://sites.google.com/site/xxtremerat/) שהסיסמה שלו היא "123". לא משהו שגוגל
לא מסוגלים להתמודד איתו. אתה מוזמן להוריד ולשלוח לעצמך כדי לבדוק.
ברגע שאני פורש את הזיפ, Windows Defender מתריע ומוחק קבצים, אבל אף אחד לא מפריע לי לשלוח את הזיפ המוצפן. (שוב,
בשינוי הסיומת, כי גוגל חוסמים קבצי zip שבתוכם יש exe-ים.)

האם הם עוקבים אחרי "שליחות חשודות" או לא? אולי כן. אולי לא. זה לא מעניין ולא קשור.
העובדה הפשוטה היא שהם לא מונעים שליחות מהסוג המדובר. שליחה לרשימת התפוצה זה לגיטימי. שליחה של תמונה או PDF
זה לגיטימי. אם הקובץ ששולחים לא בעייתי, הוא עובר.

את הבינארי הראשי שבתוך הזיפ ג'ימייל לא נותנים לשלוח, אבל אם אני מכניס אותו לתוך זיפ מוצפן (שוב, עם הסיסמה "123") עם
סיומת שונה מ-exe ג'ימייל שולח אותו כמו גדול. (אפילו ש-43/50 אנטיוירוסים של VirusTotal מתריעים עליו. שים לב לשם הקובץ
ולתאריך הבדיקה.)

זה המצב. במציאות. ג'ימייל לא חוסמים את השליחה. מה הם חוקרים בצד לא מעניין אותי.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

ציטוט:

במקור נכתב על ידי פסטן לא סביר ולא כלום.

לא ענית לשאלות של lior432 על זיהוי בתחנת הקצה- של הבינארי והמקור החשוד למייל.

ציטוט:

במקור נכתב על ידי Rשף לא ענית לשאלות של lior432 על זיהוי בתחנת הקצה- של הבינארי והמקור החשוד למייל.

כנראה אני מדמיין:

ציטוט:

במקור נכתב על ידי פסטן ועכשיו לגבי התחנות. ב-350 יורו אפשר לקנות את הסורסים של ה-Xtreme RAT הזה. או עם קצת חיפוש בגוגל. (אפילו שאת הגרסה שלא קונים זה קצת סיפור לקמפל.) בהינתן הסורס, לייצר build שלא יקפיץ אף אחת מהחתימות המוכרות זה די קל. מבחינת התנהגות, RAT לא עושה שום דבר שאפשר "רע" שאפשר לזהות, ובטח שלא אמורים לזהות.

הסיפור לגבי הכתובת החשודה נובע מההנחה ההזויה שהמייל לא באמת הגיע מג'ימייל:

ציטוט:

במקור נכתב על ידי lior432 סביר להניח שהמייל לא הגיע מג'ימייל, שם כל attachment נסרקת בצורה די יעילה. זה כנראה הגיע ממקור אחר מה שמעלה שתי תהיות: (בהנחה שהפרסום בעיקרו נכון) 1. הטרויאני הזה אמור להיות מוכר הן מבחינת חתימה והן מבחינת התנהגות ליישומי ה- AV בתחנות. מדוע הוא לא זוהה? 2. סביר להניח שכתובת שרת הדואר ממנו הגיע המייל אינו משוייך מבחינת DNS לגוגל, מדוע לא זיהה יישום האנטי ספאם\וירוס את השליחה כבעייתית עוד לפני שהיא הגיע לשרת הדואר הפנימי?

אבל מאחר שהוסבר כבר שאין שום בעיה שהמייל יגיע מכתובת ג'ימייל, כל הנקודה השניה נעלמת.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

הכל נכון. השאלה אם זה מתאים לסנריו המדובר.

העברת בינאריים כבינארים כמובן מעשית, השאלה מה אפשר לעשות עם הבינארי כבינארי. אני לא מתכוון למה אתה יכול לעשות, זה ברור לי, אני מתכוון למה הפקידה שפותחת את הקובץ יכולה לעשות עם הבינאריים שזה עתה הורדו.

דבר שני- הבהרה קטנה- כשכתבתי אנטי וירוס\אנטי ספאם לא התכוונתי למקומי על התחנה, אלא הארגוניים, פיינאפ, פקאפי, סייפנט ודומיהם (אם בכלל היו כאלו)

הוא התכוון שבד"כ לא סורקים PDFים, וגם אם כן לא בהכרח היו מזהים את הוירוס...

יש פה הרבה יותר אינפורמציה שאנחנו לא יודעים מאשר יודעים...

איזה עמדות אלה, מה רץ עליהן, מה הגן עליהן, האם הוירוס התפשט, איך, איך האבטחה שם מבחינת נהלים...

לצורך העיניין זה יכול להיות עמדות אינטרנט שרץ אליהן microsoft security essentials וזהו...
לא נעים, לא נעים...
"יום הדין של כל מתקפות הסייבר סקיינט עולה" - זה כנראה לא...

זה כמובן נכון. רב הנסתר על נגלה. אנחנו כמובן מעלים אפשרויות, לא ממש מתחקרים, אין לנו ידע מספיק ואני מקווה שמי שיש לו, הוא שומר את זה לעצמו

הצילו!
מתקפת סייבר! יום הדין מגיע!
בירחו להרים!
יש וירוסים באיזה עמדת אינטרנט של המנהל האזרחי!

אני לא מבין למה זה חדשות בכלל...