יום ראשון, 21 באוקטובר 2012

נוסחאות וחישובים אל מול סיכונים אמיתיים


היום נתקלתי במשהו מצחיק ומשעשע שחשבתי לשתף אותכם, אחד העובדים שלי פנה אלי ואמר לי כי הלקוח מבקש להוריד את אחד הממצאים מגבוהה לנמוך ללא כל הסברים.
בשלב הראשון חשבתי שהלקוח(האיש הטכני שאמון על הנושא מצד הלקוח) מיבות פוליטיות רוצה להסתיר את הממצא או לחילופין לא רוצה להטריד את מנהל הפרויקט הרלוונטי בתיקונים מיותרים בסביבת Production אבל לא הייתי סגור על הנושא.
בחברה שלי כולם הלכו לכיוון של הלקוח תמיד צודק.
בשלב הראשוני של הוויכוח טענו המנהלים כי הלקוח מכיר הכי טוב את המערכת וכי הוא רואה את כלל הסיכונים שאנחנו לא רואים וטענות שונות ומגוונות שנראות הגיוניות לחלוטין.
עכשיו אם הייתי בגילו ובניסיון של העובד שלי כנראה הייתי מוותר בויכוח הנ"ל וממשיך עם הנושא ומספק ללקוח את מבוקשו. אך למזלי יש לי לא מעט ניסיון ויכולת להבין את הסיכון לעומקו.
בנוסף טענו המנהלים כי פגיעה  במערכת הנ"ל לא תאפשר פגיעה ישירה  בכסף או ב – Production ולכן כלל הגורמים חוץ ממני ומהעובד שלי חשבו שחומרת הממצא צריכה לרדת לנמוך.
כמו כן בחלק מהדיונים עלה נושא חשוב : חישוב הסיכון שווה למכפלה של ההסתברות לכשל בנזק הצפוי . כאשר במקרה שלנו אכן חישוב זה מביא את הממצא לרמה בינונית עד נמוכה אך האם זה נכון שאלתי את עצמי.
התעקשתי על כך שהחישוב הנ"ל לא מספק תשובה אמיתית לסיכון הממשי מכיוון שנניח לרגע שבראות הלקוח במערכת הנ"ל הנזק הוא נמוך אז השאלה שנשאלה מדוע הוא בודק אותה? כי קיימות לא מעט מערכות שבהם הנזק גבוה שעדיף להשקיע בהם את המאמץ, האם הוא באמת מודע לכלל הסיכונים הטכנולוגים שניתן לממש בעזרת הממצא המדובר(כפי הנראה לא).
נושא שני במידה והמערכת מחוברת לרשת של הלקוח והשגנו בה שליטה מלאה קיים סיכוי גבוה כי מכאן יהיה ניתן להגיע לשליטה על כלל ה – Domain (אני לא יכנס לפרטים הטכנים אך זה ניתן לביצוע).
נושא שלישי פגיעה במערכת הנ"ל יכולה להיות פגיעה בתדמית החברה דבר אשר יכול לגרום לאובדן של לקוחות ופגיעה באמון שלהם.

בקיצור בסוף הדיון הצלחתי להעביר מספר דוגמאות ממשיות כיצד ניתן לנצל מצב זה על מנת להגדיל את הסיכון הממשי ללקוח אך מה שחשוב לי להעביר זה שלא תמיד צריך להיצמד לנוסחאות על אף שהם חכמות וכפי הנראה בחלק מהמקרים מתאימות, הרבה פעמים צריך באמת לצאת מהקופסה ולחשוב יצירתית על סיכונים אמיתים ולא דמיונים  ולקבל גם ביקורת גם על החשיבה והראייה שלך כלקוח.

כמו כן אין לי ספק שהעובד שלי קיבל את הכלים בפעם הבאה להתמודד עם נושאים דומים לבד ובהצלחה.

שוב סתם רציתי לשתף לילה טוב J

יום שני, 20 באוגוסט 2012

Droidsheep



What is this about?
If you know Firesheep or Faceniff, you probably know what this is about – OpenSource one-click session hijacking using your android smartphone or tablet computer.

If you do not know one of these tools, I’ll try to explain what DroidSheep is.
Maybe you know Bob. Bob is a wellknown person and Bob loves coffee. Every morning, he takes his laptop and visits one the famous green coffee bars, has a “grande vanilla latte” and writes messages to his facebook friends. For doing that, Bob uses the coffee bars WiFi – because it´s free and fast.
One Morning, Bob is just writing a message to his girlfriend, Eve enters the coffee bar. Eve has an Android phone and Eve uses DroidSheep. After ordering a “venti caramel macchiato”, Eve sits down, takes her phone and starts browsing facebook. Using Bobs identity. She can watch at his friends. Read his messages. Write messages. Write wall posts. Remove friends. Delete Bobs account. Without getting ever in touch with Bob.
What happened?
When Bob is using the WiFi, his laptop sends all the data intended to be received by facebook, over the air to the coffee bars wireless router. As “over the air” means “captureable by everybody”, Eve (or her phone) can read all the data sent by Bob. As some data is encrypted before being sent, she cannot read Bobs facebook password, but in order not to make Bob enter his password after each click, facebook sends Bob a so called “session id” after logging in, which Bob sends with each interaction, making it possible for facebook to identify Bob. Usually only Bob knows this id, as he receives it encrypted. But when Bob uses the coffee bars WiFi, he spreads his session id over the air to everybody. So Eve takes this session id and uses it as hers – and facebook cannot determine, if Bob or Eve uses this id.




יום שישי, 6 ביולי 2012

חדשות ערוץ 10

במוצאי שבת הקרובה 7 ליולי הציג בחדשות ערוץ 10 בשעה 20:00 הדגמות של פריצות אשר ניתנות לביצוע על ידי כל תוקף לכל יעד שהגדיר מראש כמטרה.

תהנו :)

יום שלישי, 26 ביוני 2012

כלי נחמד לגניבת סיסמאות

Quarks PwDump is a native Win32 tool to extract credentials from Windows operating systems.
It currently extracts :
  • Local accounts NT/LM hashes + history
  • Domain accounts NT/LM hashes + history
  • Cached domain password
  • Bitlocker recovery information (recovery passwords & key packages)
Supported OS : XP/2003/Vista/7/2008/8

Bitlocker and domain accounts information are extracted offline from NTDS.dit. It's not currently full offline mode cause the tool is dynamically linked with ESENT.dll which differs between Windows version (see README.txt for details).
Local account and cached information are extracted live from SAM and SECURITY hive in a proper way and without code injection or service installation.
In all cases, the tool must be executed on the targeted machine with administrator privileges.
The project is still in beta test and we would really appreciate to have feedbacks or suggestions/comments about potential bugs

יום שלישי, 5 ביוני 2012

תפתחויות ה – FLAME מידע נוסף נחשף - חלק שלישי

יש דברים שחבל להרוס בתרגום מרתתתתתתתתתתק

ww.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers

יום שני, 4 ביוני 2012

התפתחויות ה – FLAME מידע נוסף נחשף - חלק שני

לכל אורך הזמן שעבר הטרידו אותי שתי שאלות לגבי ה - FLAME:

1. איך הוא הדביק מערכות WINDOWS 7 FULLY PATCHED
2. מה בדיוק קרה שם ב - windows update.

ורק לפני כמה דקות קיבלתי תשובות לשתי השאלות וחשבתי שתרצו לדעת גם כן מהם

מתברר שה -  Flame השתמש בטכניקה דומה לטכניקת Man in the middle אך ביצוע הפעולה התבצע לא על ידי בקשות ARP אלא על ידי שינוי הגדרות ה - PROXY בעזרת תהליך הקיים בכל מחשב במידה והגדרות ה - PROXY מוגדרות כאוטומטי (WPAD).
מצב זה אפשר לתפוס כל בקשת HTTP שעוברת מהמחשב המותקף לכיוון רשת האינטרנט כאשר חלק מהבקשות אותם מבצע המחשב בצורה אוטומטית הם בקשות לגטימיות לשרת ה - Windows update.
עם איתור הבקשה הפנה המחשב התוקף את המחשב הנתקף למחשב הנשלט הקיים בתוך הרשת והוריד לו עדכון מזויף אשר מכיל 8 קבצי CAB כאשר אחד מהם מכיל קובץ בשם Wusetup.exe אשר חתום על ידי Microsoft.
מצב זה אפשר הרצה של הקוד ללא כל ידיעה של המשתמש ובקיצור בשפה המקצועית GAME OVER.
להלן תמונות מסך המציגות את הקובץ ואת החתימה שלו שהיום היא Revoked על ידי Microsoft



חייב להגיד כל הכבוד למי שפיתח זאת.

התפתחויות ה – FLAME מידע נוסף נחשף



מיקרוסופט שיחררה אתמול טלאי אבטחה לאחר שגילתה שוירוס ה – FLAME ביצע שימוש לרעה במנגנון חתימת הקבצים שלה .( http://support.microsoft.com/kb/2718704)

החתימה בוצעה על ידי שימוש בחולשה הקיימת ברכיב ה – TERMINAL SERVER. ואפשרה ל – Flame  
לחתום רכיבים שונים שלה ועל ידי כך ליצור מצב בו משתמשים או מנהלי רשת יחשבו כי רכיבי ה – Flame  שייכים למוצרי חברת Microsoft.

להלן ציטוט של Microsoft Security Response Center Senior Director) Mike Reavey):


 "We identified that an older cryptography algorithm could be exploited and then be used to sign code as if it originated from Microsoft. Specifically, our Terminal Server Licensing Service, which allowed customers to authorize Remote Desktop services in their enterprise, used that older algorithm and provided certificates with the ability to sign code, thus permitting code to be signed as if it came from Microsoft."


גילוי זה יוצר קשר דומה בין Stuxnet לבין Flame להסתרת הרכיבים.
Stuxnet השתמש בחתימת הרכיבים שלו על ידי חתימה של Realtek Semiconductor Corp


אני מעריך שככל שיעבור הזמן נגלה פרטים נוספים מעניינים 

לינק לכתבה ב - Mako:

יום שישי, 1 ביוני 2012

וירוס הלהבה

ראיון שלי בערוץ 2 בנושא וירוס הלהבה בתוכנית של שש עם עודד בן עמי

video

יום רביעי, 23 במאי 2012

Twitter Here I Come

Twitter Thank You for adding me to the White Hat Security, from the 17 people that found security bugs in 2012 four are from my team.
i feel like a proud father. 




יום שישי, 18 במאי 2012

הופעת אורח חדשות ערוץ 2


בעקבות פנייה של ערוץ 2 נתבקשנו לבחון האם האתר משתמש ב - SSL.
להלן הלינק לכתבה:
כתבה בחדשות ערוץ 2 

הערה: חשוב לציין כי גולן טלקום יישמו את המלצות האבטחה באופן מהיר. 

יום חמישי, 29 במרץ 2012

מצגת מעניינת על טרנדים בעולם אבטחת המידע

לאחרונה התקיים כנס של חברת STKI שחר הציג שם נושאים מעניינים מעולם אבטחת המידע.

אז אם לא נחשפתם לזה עד עכשיו אז בבקשה:


יום שישי, 17 בפברואר 2012

Cyber War OR Cyber Talk?

כבר זמן רב אני עם התחושה הזאת שדומה לתחושה של אפיק שכתב בגליון 29 של

Digital whisper

רציתי להתחבר לדברים שרשם ולעזור לו במשימה לעשות קצת סדר בעולם הזה שנקרא תקיפות סייבר אז בואו נתחיל מההתחלה.

בד"כ תקיפת סייבר נועדה לפגוע בתשתיות קריטיות קרי צבא, בנקים,חברות חשמל סלולר,אירגוני רפואה ........ או לחילופין בחברות המספקות או מחזיקות מידע אשר יכול לעזור לתקיפה ממוקדת כלפי הארגון כדוגמת תקיפת

RSA ו - Locked martin

תהליך ההדבקה יכלול טכניקה מיוחדת או לחילופין שימוש ביכולת לא ידועה, תהליך ההפצה יכלול בתוכו אף הוא יכולת לא ידועה ולא מוכרת לעולם אבטחת המידע

Zero Day

מכאן שתקיפות על "מכולת" באינטרט קרי אתר האינטרנט שנפרץ אין לה קשר לעולם הסייבר על אף שבכותרות העיתון או בחדשות צועקים את זה, לתוקפים בד"כ יהיה מידע מקדים על הנתקף ויכולת הזיהוי של התקפה שכזו תימשך תקופה לא קטנה מספר ימים ומעלה אם בכלל תזוהה


לגבי חברות אבטחת מידע או אנשים שקוראים להם מומחי סייבר, על אף שהנושא נשמע מאוד סקסי ובכרטיס הביקור זה נראה יפה לאט לאט, על מנת שבאמת תהיה מומחה בנושא אתה צריך להכיר את העולם מקרוב ולא רק בדיבורים וסיפורים, זה דבר יפה אבל כאשר אין שום דבר שעומד מאחורי זה אז עדיף להישאר צנוע ושקט

כמו כן, לעשות את הכול שחור לא עוזר לאף אחד, מדינת ישראל צריכה לעבוד עוד הרבה בתחום ההגנה ואבטחת המידע אך עם זאת מבוצעים לא מעט פעיליות בנושא במטרה לצמצם את היקף הפגיעה, לעיתונים וערוצי טלווזיה אתם בטוחים שאתם מראיינים את האנשים הנכונים , לא כל מי שיורק דם לארוחת ערב בערוץ 2 ואומר את המילה סייבר הוא האדם הנכון

לגבי ההתקפות ולאן אנחנו הולכים מפה, אין לי ספק שרמת ההתקפות והתחכום בהם ישתפרו לאורך השנה הקרובה ונראה לא מעט התקפות שחלקם הקטן יתגלה וחלקם יתגלו שיהיה כבר מאוחר, אז חשוב להבין כמה דברים, אחד במידה ואכן מדובר בהתקפת סייבר מוטב לשמור את המידע ולהעביר לרשויות המתאימות לנושא על מנת שיוכלו לתחקר את האירוע ולהבין באמת את ההשפעה שלו על התשתיות הרלוונטיות, שיתוף מידע לפעמים ואולי כדי להגיד בד"כ גורם להוצאת מידע החוצה ויכול לפגוע בווקטור ההתקפה ובידיעת המתקיף כי הוא אותר וברגע שדבר כזה קורה חזרנו לנקודת ההתחלה

לכן מה שמדברים בחדרי חדרים צריך להישאר שם מה שקשה לאנשים בארץ ישראל לשמור וחבל

השקעה של חברות בתחום אבטחת המידע - כאשר אתם מבקשים הצעות מחיר, לא בהכרח ההצעה הזולה ביותר היא הנכונה לכם, תבחנו מי הגורמים העומדים מאחורי ההצעה, מה הרקע שלהם ומה ההצלחות שלהם, מחיר נמוך אומר בסופו של דבר כמות עבודה פחותה מה שפוגע בהגנה על הרכיבים הקריטים בארגון שלכם, האם זה באמת שווה את זה, לא כל מה שעולה זול משתלם בטווח הארוך

אני בטוח שלא עברתי על כל הנושאים אבל זו הבטן המלאה שלי בנושא.


יום שבת, 7 בינואר 2012

עיתונים רבותיי בנושא cyber security

The Hacker News Magazine | All Issues Download Free
THN Magazine is a free monthly magazine designed to spread awareness and knowledge about cyber security. Our goal is to provide the most up-to-date information on a wide variety of topics that relate to hackers and security experts worldwide.

We welcome contributions from readers and hackers like YOU! Simply submit your idea or article tothehackernews@gmail.com and your submission could be featured in our next edition.

Some topics of interest include, but are not limited to:
  • New attack and defense techniques
  • Vulnerability discovery
  • Small tactics and techniques; Big attacks and impact
  • Mobile hacking
  • Professional exploit development
  • Security and hacking events around the world
  • Technical book reviews
  • Security and hacking threats
  • Security tools
  • Expert interviews
THN Magazine Download
Issue 08 | January 2012 | Enter at your own Risk ? - Download - RAR Format | PDF Format
Issue 07 | December 2011 | Who we are ? - Download - RAR Format | PDF Format
Issue 06 | November 2011 | Anniversary Edition - Download - RAR Format | PDF Format

Issue 05 | October 2011 | Linux - Means Freedom - Download - RAR Format | PDF Format
Issue 04 | September 2011 | No One is Secure Edition Download - RAR Format | PDF Format



Issue 03 | June 2011 | Total Exposure Edition Download - RAR Format | PDF Format


Issue 02 | May 2011 | Social Engineering Edition Download - RAR Format | PDF Format

Issue 01 | April 2011 | Anonymous Hackers Edition Download - RAR Format | PDF Format