ברוב הארגונים שאני מכיר כמעט בכל קומה מוצבת מדפסת מרכזית משותפת לכלל משתמשי הקומה.
בד"כ זו מדפסת גדולה מסוג מולטי אשר משמשת גם כמכונת צילום ופקס.
אחוז גדול מן ההדפסות שנשלחות למדפסת נשאר במדפסת ולא נאסף ע"י העובד שהפיק את ההדפסה.
חלק מההדפסות מכילות מידע רגיש (כדוגמת מכתבי פיטורין ,הסכמי סודיות,מכרזים , הזמנות רכש,מכתבי תלונה ועוד) אשר הגעתו לאדם שאינו מורשה עלול לגרום לארגון נזק תדמיתי רב.
מאחר ולא תמיד ניתן בכל מחלקה או חדר לשים מדפסת (כמו בארגון שלנו) , החליטו להטמיע את פרויקט ה-Sentinel.
למעשה , מדובר במערכת המורכבת מבקר הדפסה פיזי (RFID) המחובר למדפסת המרכזית ומתוכנה המותקנת על שרת ההדפסות המרכזי (Spooler).
המערכת מאפשרת שליטה על כל תהליך ההדפסה.
לאחר שליחת ההדפסה ע"י העובד שרת ההדפסה "נועל" את המסמך עד לשחרורו ע"י הקשת קוד בבקר או העברת תג העובד שלו (RFID) בבקר.
כך מתבצע זיהוי המשתמשים:
מאחר ובארגון שבו אני עובד עובדים מול Active Directory ביצעתי אינטגרציה של מערכת
ה-Sentinel מול פרוטוקול (LDAP (Lightweight Directory Access בפורט TCP 389.
תחת שדה ה-Pager בטאב Telephon הזנו את מספר כרטיס ה-RFID פר משתמש.
כאשר המשתמש שלח הדפסה בפעם הראשונה-המערכת יצרה אותו בצורה אוטומטית(היו מקרים בהם נאלצתי אף להזין את המשתמשים ידנית ע"פ login name והמספר RFID)
מעבר לנושא המידור-המערכת נועדה לייעול ההדפסות תוך חסכון בעלויות.
באמצעות המערכת ניתן לבקר את ההדפסות , להגביל משתמשים ע"פ פרמטרים שונים,לקבל התראות בזמן אמת אודות חריגות ואף לבצע חיתוכים שונים ולהנפיק דוחות.
הרעיון הוא שאם תוך שעתיים (או כל זמן אחר שנקבע) המשתמש לא בא לשחרר את ההדפסות -הם יימחקו משרת ה-Spooler.
מה המערכת מתיימרת לעשות ולא באמת עושה?
לא ניתן באמת למנוע ממשתמש לשלוח הדפסות אל המדפסת(גם אם אין לו הרשאות NTFS על המדפסת)
שכן הוא תמיד יכול להתקין את המדפסת בצורה מקומית על המחשב ולהתחבר כ-Standart TCP/IP Port.
אנשי השירות טוענים שניתן לנעול את המכונה שתעבוד נטו מול הבקר , אך בדגמים שאני בדקתי כדוגמת Samaung ו-DSM 725 הדבר בלתי אפשרי ועל פניו נראה כי המצב דומה גם במדפסות רשת אחרות .
לסיכום,המערכת בעייתית מאוד,מלאה באגים,החומרה סינית ,זולה ומתכלה ,הרעיון נחמד!
בשעה טובה ומוצלחת , ירדה לי אבן מהלב.
פורום ניהול רשתות ואבטחת מידע
יום שבת, 19 ביוני 2010
Virtual Network Computing Vulnerabilities-VNC
Virtual Network Compting או בקיצור VNC הינו פרוטוקול תקשורת המאפשר שליטה מרחוק על מערכת מחשב. למעשה,VNC הינו פתרון Cross-Platform אשר מותאם לכל מערכת הפעלה, בין אם היא מבוססת ,UNIX, Linux
או Microsoft.
למערכת יתרונות רבים נוספים כדוגמת אופצית התחברות באמצעות הדפדפן(Java Client),תמיכה בריבוי חיבורים בו זמנית,ממשק נוח ומהיר לקינפוג(config) ואף הקוד מקור המקורי של VNC הוא קוד פתורן ברשיון -דבר שהופך את התוכנה לפופולארית ונפוצה מאוד בקרב ארגונים רבים אשר משתמשים באפליקציה לתמיכה מרוחקת (Remote Assistance) ועקב הגרסאות הרבות של הפרוטוקול האפליקציה הינה הבחירה המועדפת על רוב אנשי ה-HelpDesk (צוות התמיכה בארגונים) השונים.
איך זה עובד למעשה?
ל-VNC למעשה יש שני חלקים :Server ו-Client.
השרת למעשה הוא תוכנה המותקנת על המחשב המשתף את המסך שלו ואילו הלקוח הוא התוכנה אשר צופה ומנהלת אינטרקציה עם השרת.
החולשות שבמערכת החינמית(מה שקיים ברוב הארגונים):
1.כברירת מחדל , VNC אינו פרוטוקול מאובטח למרות שהסיסמאות לא נשלחות כ-Clear text עדיין ניתן לבצע Sniffing ברשת(אם כי זהו ענין לגופו) ולהריץ פיצוח של הסיסמה אל מול קבצי HASH .
2.מערכת אותנתיקציה-בגרסאות החינמיות אין אימות מול שרת LDAP,האימות מתבצע מקומית מול המכונה,כל אחד מורשה להכנס בהנחה שיש בידו את הסיסמה.
3.אחסון הסיסמה המקומית-הסיסמה אינה מוצפנת ושמורה במערכת הרישום (Registry).
ניתן לבצע Decryption לסיסמה ע"י Recovery Tools שונים כדוגמת VNCPwDump או איפוס הסיסמה באמצעות IntelliAdmin במידה ויש הרשאות מקומיות על התחנה.
האבסורד הוא שברוב הארגונים הסיסמה היא גלובלית ולא משתנה -כך למעשה כאשר משתמש יחשוף את הסיסמה שלו תהיה לו גישה לכלל תחנות הקצה בארגון.
4.קשה מאוד ליישם Tunnelling של פרוטוקול SSH או IPSec במיוחד בעמדות המריצות Windows.
5.כברירת מחדל , אנשי ה-HelpDesk לא משנים את הפורטים , וניתן בקלות לחשוף מחשבים כאלו
(5800,5900 וכו').
6.הפרוטוקול משולב באופן אנטגרלי עם אפליקציות לניהול מערך helpdesk כדוגמת SysAid.
7.קיימות גרסאות (בעיקר ישנות) אשר בהן יש חולשות אבטחה אשר מאפשרות לחדור למחשב ללא כל אימות וזאת באמצעות ניצול של Exploit אשר ניתן להוריד ללא כל תשלום מידידנו -"Google".
קיימים מספר פתרונות לסוגיה:
א.הקשחת הרשתות ומידור ברמת התשתית(נתבים,מתגים ו-FW) ,כך למעשה אנו נצמצם את הגישה.
ב.הטמעת מערכות VNC מסחריות התומכות באבטחה ,הצפנות, אימות המתבסס על NTLM וחשבונות Active Directory,ניטור חיבורי VNC לתחנות והתממשקות לשרת Syslog או SEIM/SOC.
ג.שימוש באפליקציה המבוססת Agent Less התומכת באימות AD כדוגמת Atelier Web Remote Commander.
השימוש אינו חינמי אך חוסך לנו את כל הכאב ראש של VNC ,שכן לעיתים ארגונים נמצאים תחת רגולציה ולא תמיד יכולים ליישם פתרונות כדוגמת VNC .
או Microsoft.
למערכת יתרונות רבים נוספים כדוגמת אופצית התחברות באמצעות הדפדפן(Java Client),תמיכה בריבוי חיבורים בו זמנית,ממשק נוח ומהיר לקינפוג(config) ואף הקוד מקור המקורי של VNC הוא קוד פתורן ברשיון -דבר שהופך את התוכנה לפופולארית ונפוצה מאוד בקרב ארגונים רבים אשר משתמשים באפליקציה לתמיכה מרוחקת (Remote Assistance) ועקב הגרסאות הרבות של הפרוטוקול האפליקציה הינה הבחירה המועדפת על רוב אנשי ה-HelpDesk (צוות התמיכה בארגונים) השונים.
איך זה עובד למעשה?
ל-VNC למעשה יש שני חלקים :Server ו-Client.
השרת למעשה הוא תוכנה המותקנת על המחשב המשתף את המסך שלו ואילו הלקוח הוא התוכנה אשר צופה ומנהלת אינטרקציה עם השרת.
החולשות שבמערכת החינמית(מה שקיים ברוב הארגונים):
1.כברירת מחדל , VNC אינו פרוטוקול מאובטח למרות שהסיסמאות לא נשלחות כ-Clear text עדיין ניתן לבצע Sniffing ברשת(אם כי זהו ענין לגופו) ולהריץ פיצוח של הסיסמה אל מול קבצי HASH .
2.מערכת אותנתיקציה-בגרסאות החינמיות אין אימות מול שרת LDAP,האימות מתבצע מקומית מול המכונה,כל אחד מורשה להכנס בהנחה שיש בידו את הסיסמה.
3.אחסון הסיסמה המקומית-הסיסמה אינה מוצפנת ושמורה במערכת הרישום (Registry).
ניתן לבצע Decryption לסיסמה ע"י Recovery Tools שונים כדוגמת VNCPwDump או איפוס הסיסמה באמצעות IntelliAdmin במידה ויש הרשאות מקומיות על התחנה.
האבסורד הוא שברוב הארגונים הסיסמה היא גלובלית ולא משתנה -כך למעשה כאשר משתמש יחשוף את הסיסמה שלו תהיה לו גישה לכלל תחנות הקצה בארגון.
4.קשה מאוד ליישם Tunnelling של פרוטוקול SSH או IPSec במיוחד בעמדות המריצות Windows.
5.כברירת מחדל , אנשי ה-HelpDesk לא משנים את הפורטים , וניתן בקלות לחשוף מחשבים כאלו
(5800,5900 וכו').
6.הפרוטוקול משולב באופן אנטגרלי עם אפליקציות לניהול מערך helpdesk כדוגמת SysAid.
7.קיימות גרסאות (בעיקר ישנות) אשר בהן יש חולשות אבטחה אשר מאפשרות לחדור למחשב ללא כל אימות וזאת באמצעות ניצול של Exploit אשר ניתן להוריד ללא כל תשלום מידידנו -"Google".
קיימים מספר פתרונות לסוגיה:
א.הקשחת הרשתות ומידור ברמת התשתית(נתבים,מתגים ו-FW) ,כך למעשה אנו נצמצם את הגישה.
ב.הטמעת מערכות VNC מסחריות התומכות באבטחה ,הצפנות, אימות המתבסס על NTLM וחשבונות Active Directory,ניטור חיבורי VNC לתחנות והתממשקות לשרת Syslog או SEIM/SOC.
ג.שימוש באפליקציה המבוססת Agent Less התומכת באימות AD כדוגמת Atelier Web Remote Commander.
השימוש אינו חינמי אך חוסך לנו את כל הכאב ראש של VNC ,שכן לעיתים ארגונים נמצאים תחת רגולציה ולא תמיד יכולים ליישם פתרונות כדוגמת VNC .
חוסר מודעות או חוסר אחריות?
השבוע הגיע אלינו אדם נחמד אשר הציג עצמו כמנהל פרויקטים של אחת החברות הגדולות במשק אשר מתמחות בניהול מערכות אבטחה למבנים,בקרת פריצה וטמ"ס(מערכת טלוויזיה במעגל סגור).
מטרת הביקור הייתה שדרוג מערכת האבטחה הפיזית של הארגון בו אני עובד.
מפאת חוסר מקום הצעתי לו להתיישב אצלי בעמדה ולעבוד ממנה.
תוך מספר דקות אני מוצא בעמדה של את הלפטופ שלו פתוח , ללא כל סיסמה עם הרשאות מלאות על המחשב.
מייד זיהיתי שהמחשב היה מחובר לרשת הארגונית (סביבת Domain) ועליו היו מותקנות מספר אפליקציות כדוגמת SecureClient (חיבור VPN לרשת הארגונית) ,Antivirus אשר יכולתי לנטרל בקלות ,וחבילת ה-Office כמובן.
אני מתיישב כמעט שעה על העמדה שלי ללא כל הפרעה מצד איש והוא עובד לו להנאתו באגף השני של הארגון.
להלן מספר סנריו (תרחישים) שיכלו להתרחש:
1.גניבת המחשב .
2.אירוע דליפת מידע-גניבת המידע וזליגת המידע מחוץ לארגון(Data Leakage) הכולל מסמכים מסווגים ורגישים.
3.התקנה של Malware על המכונה אשר יאפשרו לי לחדור לארגון ולהשתמש בקורבן כ"תחנת מעבר" לשאר מקומות בארגון ע"י השתלת סוסים טרויאנים(Remote Access Trojans) ,התקנת אפליקציות אשר יאפשרו לי לעקוף את מערך ה-Firewall של הארגון כדוגמת AmmyyAdmin,TeamViewer,WebEX ושירותים כדוגמת LogmeIN וכו'.
4.השתלת Keylogers תוכנה ואפליקציות מעקב כדוגמת SpyBuddy ו-Spytech ,גניבת סיסמת ה-VPN ואינפורמציה נוספת.
5.ריגול תעשייתי ומכירת מידע לחברות מתרות כדוגמת רשימת לקוחות , מסמכי פיתוח וכו'.
6.מניעת שירות עד השבתה של הרשת(Denial of Service Attack).
לאחר שעתיים כאשר סיים את עבודותו חזר אותו מנהל פרויקטים לעמדה שלי על מנת לקחת את הלפטופ .
כאשר שאלתי אותו אם הבחין בי מתעסק לו במחשב טען בשלילה.
כמו כן שאלתי אותו שאלות נוספות כדוגמת מדוע הוא אינו מקפיד על אבטחה פיזית(שכן הוא מומחה בתחום),מדוע אינו נוהג לנעול את מחשבו ,והסברתי לו את הסיכונים הנ"ל.
הוא היה המום , פעור פה והודה שאני צודק.
אני הייתי עוד יותר פעור פה , אחרי שהוא הראה לי תוכניות אבטחת מתקנים של מבנים סודיים בצה"ל שכן דליפתם יכלו לגרום נזק עצום וללא ספק גם לפיטוריו של אותו מומחה.
עצוב שהרבה מן החברות הגדולות בתחום אינן מבצעות הדרכות על בסיס שוטף תוך העלאת המודעות לאבט"מ.
מטרת הביקור הייתה שדרוג מערכת האבטחה הפיזית של הארגון בו אני עובד.
מפאת חוסר מקום הצעתי לו להתיישב אצלי בעמדה ולעבוד ממנה.
תוך מספר דקות אני מוצא בעמדה של את הלפטופ שלו פתוח , ללא כל סיסמה עם הרשאות מלאות על המחשב.
מייד זיהיתי שהמחשב היה מחובר לרשת הארגונית (סביבת Domain) ועליו היו מותקנות מספר אפליקציות כדוגמת SecureClient (חיבור VPN לרשת הארגונית) ,Antivirus אשר יכולתי לנטרל בקלות ,וחבילת ה-Office כמובן.
אני מתיישב כמעט שעה על העמדה שלי ללא כל הפרעה מצד איש והוא עובד לו להנאתו באגף השני של הארגון.
להלן מספר סנריו (תרחישים) שיכלו להתרחש:
1.גניבת המחשב .
2.אירוע דליפת מידע-גניבת המידע וזליגת המידע מחוץ לארגון(Data Leakage) הכולל מסמכים מסווגים ורגישים.
3.התקנה של Malware על המכונה אשר יאפשרו לי לחדור לארגון ולהשתמש בקורבן כ"תחנת מעבר" לשאר מקומות בארגון ע"י השתלת סוסים טרויאנים(Remote Access Trojans) ,התקנת אפליקציות אשר יאפשרו לי לעקוף את מערך ה-Firewall של הארגון כדוגמת AmmyyAdmin,TeamViewer,WebEX ושירותים כדוגמת LogmeIN וכו'.
4.השתלת Keylogers תוכנה ואפליקציות מעקב כדוגמת SpyBuddy ו-Spytech ,גניבת סיסמת ה-VPN ואינפורמציה נוספת.
5.ריגול תעשייתי ומכירת מידע לחברות מתרות כדוגמת רשימת לקוחות , מסמכי פיתוח וכו'.
6.מניעת שירות עד השבתה של הרשת(Denial of Service Attack).
לאחר שעתיים כאשר סיים את עבודותו חזר אותו מנהל פרויקטים לעמדה שלי על מנת לקחת את הלפטופ .
כאשר שאלתי אותו אם הבחין בי מתעסק לו במחשב טען בשלילה.
כמו כן שאלתי אותו שאלות נוספות כדוגמת מדוע הוא אינו מקפיד על אבטחה פיזית(שכן הוא מומחה בתחום),מדוע אינו נוהג לנעול את מחשבו ,והסברתי לו את הסיכונים הנ"ל.
הוא היה המום , פעור פה והודה שאני צודק.
אני הייתי עוד יותר פעור פה , אחרי שהוא הראה לי תוכניות אבטחת מתקנים של מבנים סודיים בצה"ל שכן דליפתם יכלו לגרום נזק עצום וללא ספק גם לפיטוריו של אותו מומחה.
עצוב שהרבה מן החברות הגדולות בתחום אינן מבצעות הדרכות על בסיס שוטף תוך העלאת המודעות לאבט"מ.
יום שישי, 18 ביוני 2010
ברוכים הבאים לבלוג שלי
צהריים טובים וברוכים הבאים לבלוג So-Secure.
הבלוג יעסוק בסיטואציות בנושאי אבטחת מידע בהם אני נתקל מידי יום.
הצעות,הערות,הארות ותגובות יתקבלו בברכה.
קריאה מהנה!
הבלוג יעסוק בסיטואציות בנושאי אבטחת מידע בהם אני נתקל מידי יום.
הצעות,הערות,הארות ותגובות יתקבלו בברכה.
קריאה מהנה!
הירשם ל-
רשומות (Atom)