לוח אירועים

אפריל 2024
הוספת אירוע
א	ב	ג	ד	ה	ו	ש
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

נט2יו - רססי מידע

בקשה להוספת רסס

תרבות ואמנות (11) תיירות וטיולים (19) בלוגים (29) לגעת ברוח (4) בית ומשפחה (11) בריאות ורפואה (18) מחשבים וטכנולוגי‬ה (17) חדשות ואקטואליה (21) כלכלה ועסקים (9) סגנון חיים (31) ספורט (13) קניות ומבצעים (2) חוק וממשל (14) חינוך ומדע (2) יחסים / זוגיות (5) אוכל (21)

דלת אחורית בתוכנת קוד פתוח כמעט הוחמצה וגרמה לאסון דיגיטלי חמור

7/4 6:41

תגלית אחרונה בתחום הסייבר עוררה באחרונה גלי הדף בתעשיית הטכנולוגיה ובסוכנויות ממשלתיות כאחד. מדובר בדלת אחורית שהוסתרה בחוכמה והוטמעה בתוך תוכנית הקוד הפתוח XZ Utils. הפרצה הזו, אלמלא נחשפה, הייתה עלולה לגרום לאסון דיגיטלי משמעותי, ולהעניק לתוקפים שליטה על מיליוני שרתי לינוקס.

הגיבור של הסיפור הזה הוא אנדרס פרוינד, מפתח של מיקרוסופט (לא מומחה אבטחה כלל) בעל עין חדה במיוחד. בזמן הפעלת מבחני ביצועים ב-XZ Utils – כלי דחיסת קבצים תמים לכאורה – הבחין פרוינד שמשהו אינו כשורה – התוכנית צרכה כמות בלתי צפויה של כוח עיבוד. בחפירה עמוקה יותר הוא חשף ממצא מאוד מאוד מטריד – דלת אחורית, שתוכננה בקפידה כדי "לחצוב" מעבר סודי לאינספור מערכות. לפי מומחי אבטחה, שער נסתר זה, אם לא היה מזוהה, יכול היה לפתוח את הדלת למעין "מגיפה דיגיטלית" של ממש.

מיקרוסופט הגיבה רשמית, בפוסט שעליו חתום בראג'ן בריקן, מנהל תוכנית בצוות הנדסת זהויות במיקרוסופט, שעדכן כי: "ב-28 במרץ 2024 זוהתה דלת אחורית ב-XZ Utils. פגיעות זו – CVE-2024-3094 עם ציון CVSS של 10 – היא תוצאה של הפרה של שרשרת אספקת התוכנה המשפיעה על גרסאות 5.6.0 ו-5.6.1 של XZ Utils. הסוכנות האמריקנית לאבטחת סייבר ותשתיות (CISA) המליצה לארגונים לשדרג לאחור לגרסה קודמת ללא הפרות של XZ Utils". בריקן סיפק בהמשך הפרסום פרטים וכן את תגובת הענקית מרדמונד לפגיעות החמורה המסוימת.

הדלת האחורית ב-XZ Utils שכמעט והוחמצה

בפוסט שפרסם באתר מדיום, ציין ג'ייש גאבה, מומחה אבטחה צעיר, כי "XZ Utils הוא כלי עזר לדחיסת נתונים בקוד פתוח, הקיים בהפצות עיקריות של לינוקס וידוע ביחס הדחיסה המצוין שלו. הוא מספק יכולת דחיסה ופירוק נתונים ללא הפסדים במהלך כל מיני פעולות. XZ Utils תומך גם בפורמט .lzma מדור קודם, מה שהופך את הרכיב הזה לחיוני עוד יותר. חלקים רבים אחרים של תוכנה תלויים בתוכנה זו כדי ליישם דחיסה כמו sshd. לפיכך, אם המתקפה הייתה מתפשטת בצורה רחבה יותר, מספר לא ידוע של מערכות יכול היה להישאר בסיכון במשך שנים".

חקירה לגילוי מקור הדלת האחורית חשפה תוכנית מחושבת ומניפולטיבית. XZ Utils, במשך שנים, היה תחת השגחתו של מפתח יחיד, לאסה קולין שמו. קולין סיפר כי אחרי שחווה לחצים גוברים ו"מאבקים בתחום בריאות הנפש", הוא הכניס לתמונה את ג'יה טאן – משתף פעולה חדש. טאן, שהיה לכאורה מתנדב מועיל, רכש במהירות את אמונו של קולין ובסופו של דבר, קיבל מעמד של שותף לתחזוקה. סמכות חדשה זו העניקה לו, כך דווח במדיה העולמית, את היכולת להחדיר את הקוד הזדוני ל-XZ Utils – והוא בהחלט ניצל את הכוח הזה באופן שעלול היה להפוך לאסון אמיתי.

The xz utils backdoor story is nuts both from the perspective of how it was introduced and the one in a million way it was discovered. pic.twitter.com/4z0YEb6KwL

— Dare Obasanjo

מחבר: גלי פיאלקוב

‫אנשים ומחשבים - פורטל חדשות היי-טק, מיחשוב, טלקום, טכנולוגיות‬

חשיפות: 1

דירוג: ( 5 4 3 2 1 )

אינדקס | בלוגים | בלוג עדכונים

RSS | RDF | ATOM

האחריות על התגובות למאמרים השונים חלה על שולחיהן. הנהלת האתר אינה אחראית על תוכנן.

שליחת תגובה

חוקי שליחת תגובות*	תגובות חברי האתר מאושרות אוטומטית
כותרת*
_CM_USER*
_CM_EMAIL*
_CM_URL*
הודעה*
קוד אבטחה*

הערה: התכנים המוצגים בעמוד זה ...

התכנים המופיעים במדור זה מועברים אוטומטית מבלוגים ואתרי מידע ברשת, כל הזכויות על התכנים: כולל טקסטים, תמונות, סרטים וכל מדיה נוספת, הנם של יוצרי החומר המקורי בלבד. אתר נט2יו אינו טוען לבעלות או לזכויות יוצרים על התכנים, אלא רק מצביע עליהם בצורה נוחה ומרוכזת, וכן מקשר אל האתר המקורי, עם המאמרים המלאים. אם למרות האמור לעיל, נתקלת בחשש להפרת זכויות יוצרים, או שתוכן מסויים באתר אינו לרוחך, אנא דווח לנו באמצעות טופס יצירת הקשר ונורידו בהקדם האפשרי מהאתר.

הנגשת אתר ע"י דוטקום

הצהרת נגישות

אתר זה מונגש לאנשים עם מוגבלויות על פי Web Content Accessibility Guidelines 2 ברמה AA.
האתר נמצא תמידית בתהליכי הנגשה: אנו עושים כל שביכולתנו שהאתר יהיה נגיש לאנשים עם מוגבלות.
אם בכל זאת נתקלתם בבעיית נגישות אנא שלחו לנו הערתכם במייל (אל תשכחו בבקשה לציין את כתובת האתר).

אודות ההנגשה באתר:

אמצעי הניווט וההתמצאות באתר פשוטים ונוחים לשימוש.
תכני האתר כתובים בשפה פשוטה וברורה ומאורגנים היטב באמצעות כותרות ורשימות.
מבנה קבוע ואחיד לנושאים, תתי הנושאים והדפים באתר.
האתר מותאם לצפייה בסוגי הדפדפנים השונים (כמו כרום, פיירפוקס ואופרה)
האתר מותאם לסביבות עבודה ברזולוציות שונות.
לאובייקטים הגרפיים באתר יש חלופה טקסטואלית (alt).
האתר מאפשר שינוי גודל הגופן על ידי שימוש במקש CTRL וגלגלת העכבר וכן בלחיצה על הכפתור המתאים בערכת ההנגשה הנגללת בצד האתר ונפתחת בלחיצה על הסמלון של כסא הגלגלים.
הקישורים באתר ברורים ומכילים הסבר להיכן הם מקשרים.
לחיצה על הכפתור המתאים בערכת ההנגשה שבצד האתר, מסמנת את כל קישורי האתר בקו תחתון.
אנימציות ותכנים מהבהבים: הכפתור המתאים לכך בערכת ההנגשה שבצד האתר , מאפשר להסתיר בלחיצה אחת את כל התכנים באתר הכוללים היבהובים או תכנים המכילים תנועה מהירה (אנימציות, טקסט נע).
למתקשי ראיה: מתקשי הראיה שבנינו יכולים להעזר בשני כפתורים הנמצאים בערכת ההנגשה בצדו הימני של האתר, האחד מסב את האתר כולו לגוונים של שחור ולבן, השני מעביר את האתר כולו למצב של ניגודיות גבוהה.

	צפו ש-2022 תהיה השנה של אבטחת סייבר משה .מ.
	תפקידם של מזון ותזונה בהתמודדות עם מגפת הקורונה צביקה
	תפקידה של פעילות גופנית בהתמודדות עם מגפת הקורונה צביקה
	עישון ואלכוהול בימי קורונה צביקה
	הערכות וטרנדים בעולם הנסיעות לשנת 2022 צביקה