יום שבת, 25 באוקטובר 2008

איך פורצים לבחירות



כששרה הצטרפה למקיין, ה FBI שלח אנשים שיאבטחו את איזור הבית שלה, יבדקו ציתותים, וישימו מעקבים צמודים, אך מישהו שכח את המחשב שלה .
שרה פתחה חשבון ב – YAHOO וקראה לו gov.sarah@yahoo.com
מאמר שהתפרסם תחת ה Washington post ציין כי היא מבצעת עבודה דרך שימוש במייל זה.


אני מעריך שזה הדליק נורות אדומות רבות אצל הפורצים.
נמשיך בסיפור, על מנת לא לשכוח את סיסמתה לתיבת הדואר התבקשה שרה לתת שאלה אישית ותשובה.
שרה בחרה בשאלה היכן פגשת את בעלך?
במחקר קטן שערך Hacker חביב באינטרנט בעזרת Google גילה כי היא פגשה את בעלה ב Wasilla high.


תשובה לשאלה הנ"ל אפשרה לו כניסה לחשבון וצפייה בכל הודעות הדואר שלה ואף להתחזות מלאה.
גם ללא הפרטים הנ"ל ושימוש בשאלה קלה ניתן להשיג די בקלות פרטים שכאלה.
לדוגמא על ידי שימוש בהנדסה חברתית.
אנשים לא תמיד זוכרים כי בחרו בתשובה מסוימת אשר משמשת כמפתח רזרבי לתיבת הדואר שלהם ועל ידי שיחת חולין ניתן להגיע למפתח הנ"ל די בקלות.
אז בפעם הבאה שמישהו שואל אתכם תזכירו לי איפה למדתם ביסודי , תחשבו פעמיים לפני שאתם עונים.



יום חמישי, 16 באוקטובר 2008

חובה לראות

קצת ארוך אבל מצחיק ושווה כל רגע, יצא לי לדבר איתו לפני כמה שנים אחלה בחור


Disk On Key זהירות

Disk On Key חשבתי בפוסט לדבר קצת על הסכנות הטמונות בהכנסת

בד"כ בהרצאות שלי שאני שואל מה הסכנה של Disk On key אז כולם עונים לי גניבת מידע.

אך האם עצם הכנסת הרכיב אנחנו יכולים להיפגע ?


התשובה היא כן!

כחלק מהמשחקים שלי עם הנושא בניתי Disk On key שברגע שמכניסים אותו מבצע מספר פעולות כגון:

א. גונב את סיסמאות המחשב המקומי.

ב. פותח חוק חדש ב FW - של XP המאפשר ל - VNC לעבוד.

ג. משתיל את תוכנת הVNC.

ד. מעתיק מסמכים בעלי סיומת DOC באופן אוטומטי.

ה. פותח משתמש I_USER במכונה בעל הרשאות Administrator..

ו. ועוד ... ככל העולה על דמיונכם.

חשוב לציין כי כיום קיימים רכיבים היכולים להכיל עד GB 120 (מידע רב).

כל מה שתיארתי עד כה מהווים סכנה בהכנסת DISK ON KEY למחשב שלכם אך מה יכול לקרות כאשר אתם מכניסים DISK ON KEY למחשב שלי ?

זה מחבר אותי לסיפור שקרה לי בלימודים - תקופת הגשת העבודות הגיעה, וחבר שלי ביקש ממני להצטרף אליו לחנות ההדפסות שנמצאת מאוד קרוב ללימודים שלנו.

הצטרפתי כאשר הגענו לחנות הוא העביר את העבודה שלו ל- Disk On key ולאחר מכן חיבר את הדיסק למחשב ההדפסות בחנות.

כמובן שבשלב זה לא קרה כלום והכול נראה שגרתי אבל שהגענו לכיתה הוא חיבר שוב את הדיסק למחשב שלו וה - Antivirus שלו קפץ (למזלו הוא הקשיב לי שאמרתי לו שכדי לו לעבוד עם KASPERSKEY ).

בבדיקה שערכתי ראיתי שעל ה Disk On key שלו נוצר קובץ חדש המכיל סוס טרויאני.בבדיקה מעמיקה יותר גיליתי שלא רק הוא מדביק את המחשב בסוס טרויאני אלא כל DISK ON KEY חדש שנכנס למחשב מודבק גם הוא וכך הלאה J.

בנוסף כאשר בחנתי את הקובץ בעזרת FILEMON ראיתי שהקובץ מנסה לגשת לספריית TMP הנמצאת תחתSYSTEM32 אבל הספרייה הזאת הייתה ריקה.

אמרתי לחבר שלי בוא חייבים לראות מה קורה במחשב ההדפסות.

כאשר נכנסתי לספריית ה - TMP במחשב ההדפסות חייכתי חיוך גדולJ ספרייה זו הכילה מספר עצום של קבצים (בניהם קבצים,תמונות אישיות)הסוס ביצע פעולה פשוטה של העתקה של תוכן ה - Disk On key שהוכנס ומשם הפורץ העתיק בעזרת הסוס הטרויאני את המסמך המעניין אותו.

היה דיי פשוט להסיר את הסוס מכיוון שהוא השתמש ב Service שהיה צריך לכבות אותו ולמחוק את הקובץ המקושר אליו.

ומה מוסר ההשכל מהסיפור, תחשבו פעמיים לפני שאתם מחברים את ה Disk On key האישי או של העבודה למחשב שלא שייך לכם ובנוסף על תיתנו לכל אחד לחבר Disk On key למחשב שלכם.

הערה:יש כאלה שלא היו נותנים לי בחיים לחבר Disk On key למחשב שלהם אך עם קצת דמיון וקצת הנדסה חברתית ניתן לשכנע אותם לחבר טלפון "לא מזיק" ועם זה אין להם בעיה (כמובן שהטלפון יכול לשמש Disk On key מלא שמבצע את כלל הפעולות שתוארו).

חייכו צולמתם עם פלאש

נושא מאוד מעניין תחשבו שאתם יושבים ומשחקים משחק FLASH ברשת סתם כדי להעביר את הזמן.

ובעת שאתם משחקים מישהו יושב בצד השני ומשתמש במצלמת האינטרנט שלכם ומצלם אתכם ללא ידעתיכם.

נשמע מפחיד לא.... אותי זה קצת שיעשע J

הבאג אותר במקור על ידי Rsnake ו- jeremiah grossman שבנוסף איתרו מספר רב של בעיות הקשורות לנושא זה

(ClickJacking) הקוד לעומת זאת נכתב על ידי בחור ישראלי בשם גיא

מצורף לינק לאתר שלו

http://blog.guya.net/

אין צורך לדאוג Adobe הוציאה תיקון לבעיה אבל השאלה הנשאלת כמה מכם התקינו את ה PATCH

וכמה לא יתקינו את זה אף פעם J

תכני אבטחת מידע בעברית

איתן כספי בחור נחמד ומאוד ומצחיק שעבד איתי התחיל בפרויקט קטן של תיעוד תכנים לאבטחת מידע בעברית.

אני חושב שפרויקט זה מבורך ונותן קצת פרספקטיבה על כמות המידע שקיימת באינטרנט.

לכו ותיהנו



http://security.caspi.org.il/?page_id=20



יום רביעי, 15 באוקטובר 2008

?מנהל אבטחת מידע, איפה מתחילים

טוב אז עכשיו קיבלת תפקיד חדש מנהל אבטחת מידע של הארגון אז מה עושים ?

המקרה הזה יכול להתחלק לשניים.

אדם שהגיע מתחום האבטחה ומומחה בנושא, לעומת אדם שקודם לתפקיד הנ"ל ולא כל כך מוצא את הרגליים והידיים.

עם זאת הכללים של מה לעשות מאוד מרוכבים ולכן החלטתי לנסות ולהוריד אותם לכתב כמובן שחלק מהכללים תלויים בחברה.

א. אם אני לא מבין כלום באבטחת מידע אולי עלי ללמוד את הנושא, נכון שאני לא יהפוך להיות המומחה הכי גדול אבל עדיין זה ייתן לי מושג על מה מדברים איתי (קיימים מספר רב של קורסים אשר יכולים להביא את האדם לנקודה זו. עליהם אולי הרחיב מאוחר יותר בפוסט אחר)

ב. אני כבר מומחה אבל בכל זאת הארגון גדול אז איפה מתחילים?

השלב הראשון הוא להבין את הארגון שלב זה הוא השלב העיקרי בבניית עץ ההגנה הבנתו תתרום המון להצלחתך בתפקיד.

אז איך מתחילים ?

אנסה לפרט כלל הניתן את מכלול הפרטים הדרושים להכרת הארגון:

הבנת הרשת - מניסיון בשטח לא תמיד קיימים סרטוטים עדכניים של הרשת ולא תמיד יש את מי לשאול אז כדאיי בשלב זה לנסות להשיג את מרבית המידע שניתן. תהליך זה יכול להתבצע על ידי פגישות עם אנשי מפתח כגון מנהל הרשת,מנהלי הו , DB עובדים ותיקים, איתור קבצים רלוונטיים ברשת, קבלת סרטוטים קיימים ,על ידי שילוב כליי מיפוי אוטומטים הכוללים שימוש בסריקת מכונות, פורטים, שימוש ב - SNMP ועוד.

לא תשמעו אותי פה ממליץ על כלים שמבצעים הדמיה של פורץ מכיוון שאני לא מאמין בהם (ממממ רעיון לפוסט אנחנו עוד נדבר על זה).

שלב זה חייב לכלול גם את הרשת הפנימית, החיצונית והסניפים במידה וקיימים.

חשוב לציין כי נושא הסניפים הוא סוגיה בפני עצמה מכיוון והסניפים הם מעין איים הפזורים ברחבי המדינה או העולם ולכן קיים קושי כל שהוא לשלוט עליהם.

אך הדרך להתמודד עם נושא היא לשלב זהות קבועה בניהם במידה ואפשר. זהות שכזו תאפשר חיבור נכון שלהם לרשת המרכזית של החברה ויצירת מעטה הגנה נכון בסניף עצמו.

לאחר שלב הבנת הרשת יש צורך להבין אילו הגנות מיושמות?

יכול להיות שקודמנו לתפקיד השקיע במספר רב של הגנות או לחילופין לא קיימת כל תפיסה אבטחתית ולכן יש צורך לשאול שאלות כגון

איך הרשת מוגנת יש FW ?

מי מנהל את החוקים ?

כיצד מאושר חוק ב - FW האם יש תהליך מסודר או לא?

מה התהליך לפתיחת קו אינטרנט חדש? האם כל מחלקה היא עצמאית ובעלת תקציב משלה ?

האם יש מוצרי IPS,IDS בארגון?

האם מישהו חשב לשים NAC ?

האם קיים WSUS בארגון ? האם טלאי האבטחה מותקנים על השרתים ועל התחנות ?

אנטי וירוס איזה, איפה לא מותקן ?

כיצד ה - SWITCH וה - ROUTERS מנוהלים ?

האם יש הצפנה על הניידים?

האם ניתן להכניס אמצעים נתיקים מה המדיניות ?

מה מוגדר למשתמשים ב - GPO ?

האם כל משתמש ברשת הוא Administrator על התחנה?

מעבר לשאלות הטכניות יש לשאול שאלות כגון

מהי מדיניות האבטחה הקיימת, האם קיימים נהלים ברורים ופשוטים אשר העובד יבין אותם?

האם הארגון נמצא תחת איזו רגולציה ומהן הגדרותיה ?

מהי התרבות הארגונית הקיימת ( את זה צריך לחוש או להבין דרך עובדים ותיקים)

הבנת התהליכים העסקים של הארגון היא פן לא פשוט אך הבנתו תעזור למקד היכן יש להשקיע מאמץ בהגנה.

בנוסף הבנת נכסי החברה: היכן ממוקם המידע העסקי של לקוחות, היכן ממוקם ה - Source Code, מהם המערכות הרגישות שדורשות מעטפת הגנה נוספת לזו שקיימת

הבנת משתמשי הקצה

אם תבין מי המשתמשים שלך ולמה הם מסוגלים טכנית תבין מה אתה יכול לכפות עליהם ומה לא וכיצד תהיה שקוף להם ככל שניתן אך תיתן את ההגנה הרצויה.

איך לא להתנגש עם ה - Business שאלה חשובה קיימים מספר מנהלי אבטחה אשר לא מבינים כי בסוף היום הארגון צריך לעבוד ולכן זה שיש לכם "מפלצת" ששומרת על הארגון אך הארגון לא עובד לא תועיל לאף אחד ולכן יש לנסות במהלכים קריטיים ואגרסיבים לשתף את העובדים ולבחון כיצד הם מגיבים.

תהליך שכזה יכול להתבצע על ידי שימוש בקבוצת ניסוי או לחילופין על פי הגרלה של משתמשים מסוגים שונים.

לקוחות החברה

לקוחות החברה הם המשאב העיקרי של החברה בלעדיו החברה לא קיימת ולכן יש להבין את הצרכים הקיימים ללקוחות ולבנות מענה אשר לא יגביל אותם תפעולית אך יעזור לך להגן עליהם בצורה טובה בנושא זה צריך להיזהר ולא להתפשר

אני בטוח שלא חשבתי על כל הנושאים אך זו התחלה טובה

חשוב לזכור כי עולם אבטחת המידע הוא עולם דינאמי המכיל מספר רב של מערכות,משתמשים, תהליכים עסקים ועוד וניתוח נכון של הסיכונים הבנתם ואיתורם בזמן הוא ההבדל בין מנהל אבטחת מידע למנהל אבטחת מידע מצוין J.

מילות פתיחה

שלום לכם וברוכים הבאים לבלוג שלי, פתחתי את הבלוג לאבטחת מידע בעקבות שיחות ארוכות שערכתי עם חברים, לקוחות, ועובדים שעובדים איתי.

אני מתאר לעצמי שמרבית האנשים שקוראים את הבלוג מכירים אותי, ולאלה שלא נעים מאוד.

מקווה שבלוג זה יעניין אתכם הקוראים שלי J

לכל טענה, רעיון או שאלה אשמח לענות תרגישו חופשי לכוון להעיר וסתם לפרגן בתקווה לכתיבה פורייה

שלכם רוני בכר