התפתחויות ה – FLAME מידע נוסף נחשף - חלק שני

לכל אורך הזמן שעבר הטרידו אותי שתי שאלות לגבי ה - FLAME:

1. איך הוא הדביק מערכות WINDOWS 7 FULLY PATCHED
2. מה בדיוק קרה שם ב - windows update.

ורק לפני כמה דקות קיבלתי תשובות לשתי השאלות וחשבתי שתרצו לדעת גם כן מהם

מתברר שה -  Flame השתמש בטכניקה דומה לטכניקת Man in the middle אך ביצוע הפעולה התבצע לא על ידי בקשות ARP אלא על ידי שינוי הגדרות ה - PROXY בעזרת תהליך הקיים בכל מחשב במידה והגדרות ה - PROXY מוגדרות כאוטומטי (WPAD).
מצב זה אפשר לתפוס כל בקשת HTTP שעוברת מהמחשב המותקף לכיוון רשת האינטרנט כאשר חלק מהבקשות אותם מבצע המחשב בצורה אוטומטית הם בקשות לגטימיות לשרת ה - Windows update.
עם איתור הבקשה הפנה המחשב התוקף את המחשב הנתקף למחשב הנשלט הקיים בתוך הרשת והוריד לו עדכון מזויף אשר מכיל 8 קבצי CAB כאשר אחד מהם מכיל קובץ בשם Wusetup.exe אשר חתום על ידי Microsoft.
מצב זה אפשר הרצה של הקוד ללא כל ידיעה של המשתמש ובקיצור בשפה המקצועית GAME OVER.
להלן תמונות מסך המציגות את הקובץ ואת החתימה שלו שהיום היא Revoked על ידי Microsoft

חייב להגיד כל הכבוד למי שפיתח זאת.

התפתחויות ה – FLAME מידע נוסף נחשף

מיקרוסופט שיחררה אתמול טלאי אבטחה לאחר שגילתה שוירוס ה – FLAME ביצע שימוש לרעה במנגנון חתימת הקבצים שלה .( http://support.microsoft.com/kb/2718704)

החתימה בוצעה על ידי שימוש בחולשה הקיימת ברכיב ה – TERMINAL SERVER. ואפשרה ל – Flame  

לחתום רכיבים שונים שלה ועל ידי כך ליצור מצב בו משתמשים או מנהלי רשת יחשבו כי רכיבי ה – Flame  שייכים למוצרי חברת Microsoft.

להלן ציטוט של Microsoft Security Response Center Senior Director) Mike Reavey):

 "We identified that an older cryptography algorithm could be exploited and then be used to sign code as if it originated from Microsoft. Specifically, our Terminal Server Licensing Service, which allowed customers to authorize Remote Desktop services in their enterprise, used that older algorithm and provided certificates with the ability to sign code, thus permitting code to be signed as if it came from Microsoft."

http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx?Redirected=true

גילוי זה יוצר קשר דומה בין Stuxnet לבין Flame להסתרת הרכיבים.

Stuxnet השתמש בחתימת הרכיבים שלו על ידי חתימה של Realtek Semiconductor Corp

http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

אני מעריך שככל שיעבור הזמן נגלה פרטים נוספים מעניינים 

לינק לכתבה ב - Mako:

http://www.mako.co.il/news-military/security/Article-b1242f81e47b731018.htm&sCh=31750a2610f26110&pId=786102762

וירוס הלהבה

ראיון שלי בערוץ 2 בנושא וירוס הלהבה בתוכנית של שש עם עודד בן עמי

Twitter Here I Come

Twitter Thank You for adding me to the White Hat Security, from the 17 people that found security bugs in 2012 four are from my team.

i feel like a proud father. 

http://twitter.com/about/security

הופעת אורח חדשות ערוץ 2

בעקבות פנייה של ערוץ 2 נתבקשנו לבחון האם האתר משתמש ב - SSL.
להלן הלינק לכתבה:
כתבה בחדשות ערוץ 2 

הערה: חשוב לציין כי גולן טלקום יישמו את המלצות האבטחה באופן מהיר. 

מצגת מעניינת על טרנדים בעולם אבטחת המידע

לאחרונה התקיים כנס של חברת STKI שחר הציג שם נושאים מעניינים מעולם אבטחת המידע.

אז אם לא נחשפתם לזה עד עכשיו אז בבקשה:

Cyber War OR Cyber Talk?

כבר זמן רב אני עם התחושה הזאת שדומה לתחושה של אפיק שכתב בגליון 29 של

Digital whisper

רציתי להתחבר לדברים שרשם ולעזור לו במשימה לעשות קצת סדר בעולם הזה שנקרא תקיפות סייבר אז בואו נתחיל מההתחלה.

בד"כ תקיפת סייבר נועדה לפגוע בתשתיות קריטיות קרי צבא, בנקים,חברות חשמל סלולר,אירגוני רפואה ........ או לחילופין בחברות המספקות או מחזיקות מידע אשר יכול לעזור לתקיפה ממוקדת כלפי הארגון כדוגמת תקיפת

RSA ו - Locked martin

תהליך ההדבקה יכלול טכניקה מיוחדת או לחילופין שימוש ביכולת לא ידועה, תהליך ההפצה יכלול בתוכו אף הוא יכולת לא ידועה ולא מוכרת לעולם אבטחת המידע

Zero Day

מכאן שתקיפות על "מכולת" באינטרט קרי אתר האינטרנט שנפרץ אין לה קשר לעולם הסייבר על אף שבכותרות העיתון או בחדשות צועקים את זה, לתוקפים בד"כ יהיה מידע מקדים על הנתקף ויכולת הזיהוי של התקפה שכזו תימשך תקופה לא קטנה מספר ימים ומעלה אם בכלל תזוהה

לגבי חברות אבטחת מידע או אנשים שקוראים להם מומחי סייבר, על אף שהנושא נשמע מאוד סקסי ובכרטיס הביקור זה נראה יפה לאט לאט, על מנת שבאמת תהיה מומחה בנושא אתה צריך להכיר את העולם מקרוב ולא רק בדיבורים וסיפורים, זה דבר יפה אבל כאשר אין שום דבר שעומד מאחורי זה אז עדיף להישאר צנוע ושקט

כמו כן, לעשות את הכול שחור לא עוזר לאף אחד, מדינת ישראל צריכה לעבוד עוד הרבה בתחום ההגנה ואבטחת המידע אך עם זאת מבוצעים לא מעט פעיליות בנושא במטרה לצמצם את היקף הפגיעה, לעיתונים וערוצי טלווזיה אתם בטוחים שאתם מראיינים את האנשים הנכונים , לא כל מי שיורק דם לארוחת ערב בערוץ 2 ואומר את המילה סייבר הוא האדם הנכון

לגבי ההתקפות ולאן אנחנו הולכים מפה, אין לי ספק שרמת ההתקפות והתחכום בהם ישתפרו לאורך השנה הקרובה ונראה לא מעט התקפות שחלקם הקטן יתגלה וחלקם יתגלו שיהיה כבר מאוחר, אז חשוב להבין כמה דברים, אחד במידה ואכן מדובר בהתקפת סייבר מוטב לשמור את המידע ולהעביר לרשויות המתאימות לנושא על מנת שיוכלו לתחקר את האירוע ולהבין באמת את ההשפעה שלו על התשתיות הרלוונטיות, שיתוף מידע לפעמים ואולי כדי להגיד בד"כ גורם להוצאת מידע החוצה ויכול לפגוע בווקטור ההתקפה ובידיעת המתקיף כי הוא אותר וברגע שדבר כזה קורה חזרנו לנקודת ההתחלה

לכן מה שמדברים בחדרי חדרים צריך להישאר שם מה שקשה לאנשים בארץ ישראל לשמור וחבל

השקעה של חברות בתחום אבטחת המידע - כאשר אתם מבקשים הצעות מחיר, לא בהכרח ההצעה הזולה ביותר היא הנכונה לכם, תבחנו מי הגורמים העומדים מאחורי ההצעה, מה הרקע שלהם ומה ההצלחות שלהם, מחיר נמוך אומר בסופו של דבר כמות עבודה פחותה מה שפוגע בהגנה על הרכיבים הקריטים בארגון שלכם, האם זה באמת שווה את זה, לא כל מה שעולה זול משתלם בטווח הארוך

אני בטוח שלא עברתי על כל הנושאים אבל זו הבטן המלאה שלי בנושא.