כל הכבוד ל-Websense

בהמשך לפוסט בנושא "להסתנן זה לא רק מהגדר" אני חייב לציין לשבח את חברת Websense .
למרות שהם דירגו את פנייתי ברמת דחיפות 4 לפי אמנת השירות שלהם (SLA) המענה היה מיידי תוך פחות מ-24 שעות.

להלן תגובתם:

Thank you for writing to Websense.
The site you submitted has been reviewed by Websense Security Labs. We have made an update to the following URL(s) in our master database to address this issue:
hxxp://www.haystacknetwork.com - Malicious Web Sites
Categorization updates should be reflected in the next scheduled publication of the database, and will be available shortly to Real-Time Security Updates subscribers.
Thank you for your assistance,
The Websense Database Services Staff
J.B.

כל הכבוד על התגובה המהירה,ככל הנראה גם השרתים אליהם תתחבר האפליקציה ייחסמו.

למי שטרם הספיק להכיר-Websense מספקת לארגונים פתרונות תוכנה לניהול וניטור שימוש בלתי מורשה במקורות מידע וגישה לרשת האינטרנט.
התוכנות מאפשרות לחברות וארגונים לנתח,לפקח ולנטר פעילות עובדים בגישה למאגרי מידע, תוכנות שיתוף קבצים,תוכנות העברת מסרים מיידיים,יישומי מחשב ותחנות עבודה ורוחב פס ברשתות
תקשורת.
לקוחות החברה כוללים ממשלות,ארגוני בריאות , מוסדות פיננסים,עורכי דין,מוסדות חינוך וארגונים בטחוניים רבים בארה"ב ובעולם .

מרוב דובים לא רואים את היער

לאחרונה נתקלתי בפוסט בקבוצת הדיון של מיקרוסופט בנושא אבטחת מידע אשר בו מבקש איש IT עזרה בניהול נכון של הרשאות:

"שלום לכולם
יש לי מצב מורכב שרת windows 2003 64 bit כ -300 משתמשים
השרת מוגדר כ domain . כל המשתמשים אמורים לגשת למחיצה אחת שישנה בשרת זה
נקרא לה X . הגישה למחיצה ב -map
תחת מחיצה זו ישנם עשרות מחיצות עם קבצים
אני צריך לחלק הרשאות גישה למשתמשים לפי הרשאות שניתנו מראש
לדוגמא מחיצה ספציפית נקרא לה Y יש גישה ל 5 משתמשים
למשתמש אחד יש הרשאה מלאה במחיצה הנ"ל
למשתמש אחר רק קריאה
למשתמש שלישי כתיבה , קריאה איך אסור לו למחוק
וכך הלאה .......
איך יוצאים מזה ?????????
עם איזה כלי להשתמש ?????
האם יש מאמר איך לתת הרשאות שונות למשתמשים שונים או קבוצות שונות ???
תודה רבה על העזרה!!!!!!!!
אלכס "

ניתן לשים לב כי קיימות מספר בעיות אבטחה חמורות בארגון בו הוא עובד:

1.השרת המוגדר כ-Domain Controller בעל מחיצה משותפת לכלל המשתמשים(יש לשאוף למינימום הרשאות Share ברמת השרת).

2.קיימת חוסר בקרה על הרשאות המשתמשים , כתוצאה מכך משתמשים יכולים לשנות מידע,להשחית מידע וכו'.

3.אין תיעוד ובקרה (Audit) לנעשה בתיקיה , הדבר מקשה מאוד בעת ביצוע Forensics.


להלן המלצותיי בנושא:

1.יש לייצא למסמך (Export) את כלל הספריות בתיקיה.

2.יש להקצות עבור כל מחלקה מחיצת שיתוף ייעודית.

3. יש לאפס את כלל ההרשאות התיקיה באמצעות CACLS/XCACLS
במידה ומדובר בכמות כמות גדולה של הרשאות לשינוי, שימוש בסקריפט מתוחכם המשתמש בכלים אלו יכול לבוא בחשבון.
כלי מתאים נוסף לשינוי הרשאות הוא SetACL אשר ניתן להורידו בחינם מכאן.

4.יש לתכנן על גבי אותו דף מסעיף 1 את ההרשאות על פי קבוצות.

5. לאחר התכנון יש לנקוט בניהול נכון של הרשאות על בסיס תצורת AGDLP:
(Account > Global groups > Domain Local group > Permission).
למאמר בהרחבה יש ללחוץ כאן.

6.יש להחיל גיבוי מסוג Volume Shadow Copy לצורך שחזור מהיר במקרה של מחיקת מידע:

מערכת Server 2003:
http://www.windowsnetworking.com/articles_tutorials/Windows-Server-2003-Volume-Shadow-Copy-Service.html

מערכת Server 2008:
http://www.techotopia.com/index.php/Configuring_Volume_Shadow_Copy_on_Windows_Server_2008_Copy_on_Windows_Server_2008

7.לצורך ניהול נכון של הרשאות ניתן להשתמש אף בכלים מסחריים כדוגמת Security Explorer מבית ScriptLogic.
מעבר לניהול הרשאות הכלי מאפשר הנפקת דוחות,ביצוע Forensics,מגרציה ועוד.

8.לצורך ביצוע ביקורות ובדיקת ההרשאות ניתן להשתמש אף בכלים חינמים כדומת DumpSec:



























כלים חינמים נוספים מבית ניתן למצוא באתר Sysinternals(גם XCALCS יבצע את העבודה).

9.במידה והמידע מוגדר כמסווג מבחינת הארגון מומלץ לבצע Audit ברמת המערכת:
http://www.windowsecurity.com/articles/Deploying-Auditing-Settings-Reporting-What-Configured.html

10.למחמירים שביננו אשר לא מסתפקים ב-Audit \נמצאים תחת רגולציה ניתן להשתמש ב-File Integrity Checker כדוכמת Tripwire הפועלת על בסיס השוואת חתימות.

11.בכל מצב יש לדאוג לאבטחת מיקום קבצי ה-logs ולהעניק את ההרשאות המתאימות.
מומלץ לשמור את קבצי ה-logs בשרת ייעודי כדוגמת SYSLOG או מערכת SEIM.

אני מקווה שעזרנו לבחור ועשינו סדר בדברים!

להסתנן זה לא רק מהגדר...

מסתבר שלא רק בסין יש דיכוי של חופש המידע אלא במדינות חשוכות רבות כדוגמת איראן.
לאחרונה נתקלתי בכתבה הבאה:

"אוסטין היפ רחוק מאוד מלהיות לוחם גרילה, אבל בקיץ האחרון סייע המתכנת מסן-פרנסיסקו להפיכה דיגיטלית באירן, זמן קצר לאחר קיומן של ההפגנות נגד הבחירות לנשיאות. תוכנת ה-Haystack של היפ, שהוברחה לאירן על כונני פלאש ניידים והועברה בסודיות מאזרח לאזרח, אפשרה לאירנים לעקוף את מסנני האינטרנט הידועים לשמצה של הממשלה ובפעם הראשונה, לגלוש ולתקשר בחופשיות ברשת."

להלן מספר עובדות שטוענים מפתחי התוכנה:

1. מדובר ביוזמה של ממשלת ארה"ב לטיפוח גישה בלתי-מצונזרת לרשת מחוץ לגבולתיה.

2. האפליקציה מתיימרת לזייף את חבילות המידע(Packets)והחיבור לשרתי האפליקציה יהיה כך שמבחינת מערכות האבטחה של ספקי האינטרנט (ISP) הבקשות אשר יצאו מהגולשים יראו כלגיטימיות לאתרים לגיטימים-עדיין לא ברור כיצד זה עובד.

3. התוכנה אינה שרת HTTPS Proxy רגיל אלא משתמשת בנוסחה מתמטית מתוחכמת כדי להסתיר את תעבורת האינטרנט(Traffic) האמיתית של המשתמש.

4. האפליקציה תומכת במספר פרוטוקולים כדוכמת IRC,HTTP,FTP ובמספר אפליקציות IM כדוגמת Yahoo IM .

5.האפליקציה אינה מקבילה לרשת TOR בשיטת העבודה שלה אם כי המטרה זהה.

להלן ה-FAQ של מפתחי התוכנה:
http://www.haystacknetwork.com/faq/

כך כיום מתבצעות פעולות לעקיפת מערכות הסינון במדינות כדוגמת איראן:

1.המשתמשים מתקינים אפליקצית לקוח (Client) אשר מתחברת בצורה מוצפנת לשרת HTTPS Proxy לביצוע Tunneling .

2.המידע המוצפן עובר במערכת הסינון ונבדק עד רמה שלישית בשבע השכבות ללא יכולת ניתוח ובדיקת תוכן חבילת המידע(Packet).

3.למעשה המידע נראה כמידע לגיטימי ובכך ניתן בקלות לעקוף מסנני תוכן פשוטים:

















יחד עם זאת , ניתן להתגונן מאיום זה באמצעות מספר צעדים:

ברמת הרשת הארגונית \ רשת ה-ISP (ספק שרותי אינטרנט):

1.שימוש בשרתי SSL Proxy כדוגמת Websense אשר מפרקים למעשה את ה-Packet ,בודקים את תוכן החבילה ורק לאחר מכן מאפשרים \מונעים מעבר שלה.
פניתי לחברת Websence העולמית , להלן תגובתם:

Dear Ronen,

Thank you for contacting Websense Technical Services.

This is Stefano Bucaioni from Websense Technical Support, I will be handling your support Case 00603033: Haystack MALWARE. I will provide necessary help to address your issue, please do not hesitate to contact me for any concern regarding this ticket.

The concern you’ve brought up is handled by our Database Services team. I will send your questions to the Database Team so they will directly look into the issue and can provide you with details on the issue.

Websense Database team handles all database categorization issues related to the following products and components and will do an indepth analysis for the URL in question and provide you the results:

Web Catcher
App Catcher
Protocol Catcher
URL Master Database
CPM Master Database
Site Watcher
Brand Watcher
Threat Watcher
Threat Seeker

Please note that the Database Services team is generally able to respond within 72 hours or less.

If this is a severity one issue, and you would like to call us directly please visit our web page for telephone number and opening hours: http://www.websense.com/SupportPortal/Contact.aspx.

Regards,

STEFANO BUCAIONI
Technical Support Analyst

WEBSENSE, INC.

נמתין לתגובה רשמית מצוות ה-DB שלהם.

2.ביצוע מניפולציה על התוכן ברמת ה-Firewall מה שמכונה בצ'קפוינט "Resource."
פניתי לצ'קפוינט בענין יכולת ה-IPS ב-R.70 והפעלת יכולת ה-SmartDefence לקבל תשובה רשמית מהם.

3.שימוש במערכת Intrusion detection כדוגמת Snort המפורסמת.

4.שימוש במערכת Intrusion Prevention המתבססת על מנגנון לזיהוי התנהגות אנומלית המסוגלת לזהות התקפות מסוג Zero-day attack כדומת IntruShield מבית Mcafee.

ברמה הפנים ארגונית(LAN):

1.חובה לבצע Inventory לתחנות באמצעות כלים מתקדמים כדוגמת Promisec ו-Palo Alto Networks

2.חסימת האפליקציה באמצעות מנגנוני ה-FW וה-Content filtering בארגון.

3.התקנת מערכת IPS ברמת התחנות אשר ימנעו שימוש באפליקציה וידווחו ישירות למנהל האבטחה(CISO).

4.הקמת מערך SEIM\SOC אשר יבצע קורלציה לאירועי האבטחה בזמן אמת ויזהה נסיונות עקיפה.

5.הוספת חתימת האפליקציה למערכת ה-AntiVirus הארגונית ושליחת התראה מיידית למנהל האבטחה בעת זיהוי.

6.חסימת ה-HASH ברמת מערכת ההפעלה אשר ימנע הרצת התוכנה באמצעות

Software Restriction Policy אשר מאפשרת לעבוד ב-2 מצבים:

א.הכל מאופשר למעט מה שנחסום.

ב.הכל חסום למעט מה שנאפשר ב-GPO.

ניתן גם להשתמש בכלים אחרים כדומת Faronics Anti-Executable אך יש לשקול היבטים של רשיונות, עלויות,ביצועים ובדיקת המערכת בסביבת מעבדה.

7.שימוש ב-HoneyPots וטיפול משמעתי במחלקת משאבי אנוש.

הבעיה היא לא עם אפליקציות כאלו שיוצאות כל שני וחמישי , אלא עם משתמשים בעייתיים שיש לנהוג איתם בצורה קשה.

על אמון,הדדיות והדובדבן שבקצפת...

אתמול סיימתי את תפקידי בחברה בה אני מועסק לטובת הגשמה עצמית.
אני רוצה להודות לאותם אנשים שסמכו עליי ואפשרו לי לעבוד גם לאחר הודעתי הפורמלית על התפטרותי.
לא בכל מקום ,ולא בכל יום ,יוצא לאיש IT לבצע חסימה של חשבון המשתמש שלו ולהוציא עצמו מקבוצות הניהול האדמיניסטרטיביות של החברה שכן רבים מהמועסקים מגלים כי פוטרו על פי המשפט המפורסם:
"Your account has been disabled,Please see your system administrator"
ואף מפסיקים את עבודתם מיידית.
באותה הזדמנות אציין כי הפוסט הנ"ל הינו רמז לנושא הפוסט הבא!

חוסר שיתוף פעולה או חוסר הבנה?

אתמול התקבלה קריאה לצוות ה-Helpdesk שלנו בנושא תקלות במערכת ההדפסה המבוקרת במחסן הלוגיסטי.
המחסן מונה מספר מדפסות Office וכן מספר מדפסות תעשייתיות מסוג Datamax אשר משמשות להדפסת מדבקות ברקוד.

משתמשי הארגון העלו את התלונות הבאות:

א.חוסר יכולת הדפסת מסמכי אופיס וצילום במכונה המשולבת(Sentinel).
ב.חוסר יכולת הדפסת מדבקות מכל תחנת קצה.

כאשר ניגשתי לאחת מתחנות העבודה וניסתי להציג את מאפיני המדפסת נתקלתי בשגיאה בנוסח:
"Windows cannot connect to the printer. Operation could not be completed"

הנושאים אשר נבדקו:

1.בדיקת תקשורת בין תחנת העבודה לשרת ה-Spooler .
2.בדיקת ססטוס ה-Print Spooler Service .
3.נסיון למחיקת המדפסות וה-Drivers באמצעות Cleanspl.exe מתוך Windows Server 2003 Resource Kit ונסיון להתחברות לשרת ה-Spooler מחדש באמצעות server hostname\\ בשורת ה-RUN .

ממצאי הדיאגנוסטיקה:

כאשר ניסתי להתחבר בצורה הנ"ל קיבלתי את השגיאה הבאה: "The User Has Not Been Granted the Requested Logon Type at This Computer"

מסקנה:
קיימות הקשחות על שרת ה-Spooler אשר אינן מאפשרות חיבור של Authenticated Users לשרת.
כאשר ניגשתי ל-Local Security Policy בשרת לא הופתעתי לגלות כי קצין אבטחת המידע בארגון מנע את הגישה באמצעות הסרת הקבוצה מאופצית מהאופציה:

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

• מאחר והשרת משמש גם כשרת למערכת בקרת מצלמות וגילוי אש ,הקב"ט החליט למנוע אל השרת כל גישה ללא התייעצות עם צוות ה-IT ובפרט כי לא לקח בחשבון שקיים על השרת Role נוסף של שרת הדפסות.
  
• יש להציב שרתים רגישים בסגמנט מבודד מרשת ה-Production,כולל הפרדה מאחורי שרת Firewall .
  
• אין להתקין על שרתים קריטים תפקידים נוספים אשר לא הכרחיים מפאת חוסר תקציבים.
  
• על צוות ה-IT והקב"ט לעבוד בשיתוף פעולה וליידע אחד את השני בכל קונפיגורציה אשר מתבצעת ברמת השרתים.
  
• איני חושב כי אותו אדם אשר החיל את ה-Policy הבין את מהות ההגדרה.

מה דעתכם?

10Tips for Acing the CCSA Exam

היום עברתי בהצלחה את בחינה מספר 156-215.65 מבית צ'קפוינט.










להלן מספר טיפים שיוכלו לעזור:
http://certification.about.com/od/checkpoint/a/ccsa_tips.htm

נושאים ללמידה:
http://www.checkpoint.com/services/education/certification/exams/156-215_65.html
http://www.checkpoint.com/services/education/certification/ccsa_ngx/index.html

בהצלחה לניגשים!
יש יתרון לקבל תשובה במקום!

הכתובת הייתה על הקיר...

שוב נתקלתי במחדל אבטחת מידע באחת מהחברות הגדולות במשק אשר עבורה המושג "ביקורת" אינו קיים בלקסיקון ובמדניות האבטחה בפרט.
היום ,כאשר ניגשתי לתמוך בבעית תשתית תקשורת נוכחתי לגלות מדבקות רבות אשר מודבקות באזור העמדה
ועליהן כתוב בבירור את שמות המשתמשים והסיסמאות לכניסה לרשת הארגונית ולהפעלת חלק ממערכות המידע בארגון.
האבסורד בכל הענין הוא שהסיסמא הינה מסוג Complex Password בעלת 6 תווים המורכבים מאותיות גדולות,קטנות, מספרים ותווים אלפא-נומרים.
לאחר בדיקה מעמיקה בארגון הסתבר כי ה-User הינו בעל גישה מורשית לרשת ה-SSL VPN הארגונית ומאפשר חיבור לארגון מכל מקום בעולם.

מניתוח של כשל האבטחה אני מסיק כי:
1.לא קיים מערך הסברה לעלאת מודעות המשתמשים לאבטחת מידע וריגול תעשייתי בפרט.
2.לא מתבצעת הדרכה לבחירת סיסמה נכונה ולכן המשתמשים מתקשים לזכור את הסיסמה ומדביקים אותה על מדבקות .
3.עקב ריבוי הסיסמאות לא קיים מערך לניהול זהויות (IDM).

להלן מאמרים המסביר כיצד ניתן לבחור סיסמה קשה לפיצוח אשר גם ניתן לזכור אותה בקלות:

http://www.microsoft.com/protect/fraud/passwords/create.aspx

http://www.microsoft.com/nz/digitallife/security/create-strong-passwords.mspx

http://ace.alabama.gov/faq_docs/ComplexPassword.pdf


5 הדיברות לשמירת הסיסמה:
http://www.microsoft.com/protect/fraud/passwords/secret.aspx


מנגנון לבדיקת מורכבות הסיסמה:
https://www.microsoft.com/protect/fraud/passwords/checker.aspx?WT.mc_id=Site_Link


כמענה לסוגיה,אחלק את הפתרונות ל-2:

1.שיתוף פעולה מלא מול מחלקת Human Resource הכולל:

א.הקמת מערך הסברה בארגון וביצוע הדרכות על בסיס שוטף.

ב.נוהל אבטחת מידע-יש להוסיף לטופס ה-Clearance נוהל אשר קובע כי כל אדם אשר מתקבל לעבודה יגיע למנהל אבטחת המידע הארגוני(CISO) לפגישה בו יוסברו לו נהלי אבטחת המידע בארגון ובפרט 5 הדיברות לשמירת הסיסמה.

ג.החתמת המשתמש על טפסים אשר בהם הוא מתחייב לשמור על נהלי אבטחת מידע בקפדנות.

2.יישום אבטחת מידע בהיבט הטכני:

1.ניהול זהויות (IDM)-ניהול אוכלוסיית המשתמשים ומחזור החיים שלהם בארגון. עד היום, קליטת עובד חדש בארגון היתה מלווה בשרשרת פעולות אדמניסטרטיביות, החל מהגדרתו בספריית המשתמשים (Active Directory, Novell NDS, Sun One וכיו"ב) וכלה בפתיחת חשבונות עבורו בכל יישום הנדרש לעובד לצורך ביצוע תפקידו.

לעיתים קרובות נדרש אישור של מנהלים מסויימים לפתיחת חשבון ביישום מסויים, ותהליך האישור בוצע ידנית, במסמכים שנעו הלוך ושוב בארגון. בעת שהעובד עבר תפקיד היה צורך לבצע סגירה ידנית של חשבונותיו שאינם רלוונטיים עוד ופתיחת חשבונות חדשים ביישומים אחרים לפי הצורך. במקרה של עזיבה נדרשה פעילות הסרה ידנית מכל יישום ויישום.

למעשה מערכת ה-IDM מאפשרת הגדרת פרופילי הרשאות המשותפים למספר משתמשים בארגון והקפדה על כך שכל אחד מן העובדים בארגון יהיה משויך לפרופיל אחד או יותר. פרופילים אלה הנגזרים, בדרך כלל, מן התפקידים בארגון (ולכן מכונים Roles) הינם אבני בניין יסודיות להענקת הרשאות: משתמש משויך לפרופיל, פרופיל מקבל סט של הרשאות והגבלות קרי מיקום התחברות,זמן התחברות וכו'.
תפיסה זו נחשבת היום כתפיסה המובילה בעולם ניהול הגישה והיא אף מוגדרת בתקן בינלאומי הדן בהרשאות גישה (Role Based Access Control, ANSI 359-2004).

עם זאת, הטמעת IDM בארגון, עם כל התועלת שהיא מניבה, היא תהליך פרוייקטלי ארוך ולא פשוט כלל וכלל. יש לתכנן היטב פרוייקט IDM, לאפיין את הצרכים והנהלים בצורה זהירה ורק לאחר מכן לעבור לשלב היישום. הטמעת מערכת IDM אורכת בממוצע בין 12 ל-36 חודשים ומערבת מספר גדול של אנשי צוות בפרוייקט.

2.יישום מערך Single Sign On)SSO) אשר:

א.מקל את הקושי לזכור מספר סיסמאות למערכות שונות.
ב.מונע בזבוז זמן בהקלדה חוזרת של סיסמאות.
ג.מצמצם עלויות של צוותי המחשוב עקב ירידה בכמות הפניות בנושא סיסמה.
ד.מחייב בהגדרת Accont Policy ו-Audit Policy ה.מאפשר אכיפת מדניות סיסמאות מרכזית.

3.הטמעת מערכת SEIM/SOC אשר מאפשרת בזמן אמת ולעיתים מבעוד מועד, הקמה של לוגיקה קורלטיבית בין האירועים השונים, באופן המאפשר זיהוי מהיר של פוטנציאל חדירתי מזיק. בנוסף ליכולות אלה, המערכת נותנת מענה רגולטיבי, בכך שהיא מבצעת רישום מדויק של אירוע אבטחת מידע בנקודה אחת.
דוגמה למערכות מעולות אך יקרות הן ArcSight ו -enVision

מערכת IDM לדוגמה,מסוגלת ליצור קשר ישיר בין שמות המשתמש ביישומים השונים (שמות לוגיים) לבין זהותו האמיתית (הפיזית) וע"י כך מאפשרת פיקוח וביקורת יעילים יותר (Audit). לדוגמא, אם ישנו חשד שעובד ששמו EliC ביישום CRM אשר ניגש למערכת בשעות חריגות, היום ישנה בעיה לדעת מיהו אותו EliC. מערכת IDM תאפשר לי מיד לדעת כי EliC במערכת ה-CRM הוא אלי כהן ממחלקת כספים היושב בקומה חמישית ומדווח לשמואל דוד ותספק לי עוד שלל פרטים אודותיו.
השילוב בין מערכת ה-IDM למערכת ה-SEIM/SOC תאפשר תגובה לאירוע האבטחה(Security Incident) בזמן אמת ותחקיר מלא של האירוע .

אם שואלים אותי,בסופו של דבר-הכל מתחיל ומסתיים בחינוך המשתמשים!

"חכמי חלם"-כבר אמרנו?

למי שטרם יודע - חלם הינה עיר שמתוארת בפולקלור כמאכלסת טיפשים שאין כדוגמתם.
תושביהם של ערי הטיפשים נהגו על-פי הפולקלור לעשות מעשים נפסדים אשר בהם אין כל תכלית והיו מתגאים בדבר כ"כ כילו היו תרומה של ממש.

הבוקר אני מקבל למייל קישור לכתבה הבאה:

"בפתח תקוה נפרצה דירה בזמן שבעליה שהה בחו"ל. מהדירה נגנב מחשב נייד ובו הותקנה תוכנה מיוחדת לשליטה מרחוק המאפשרת לנטר פעילות המחשב ואף לבצע בו פעולות מרחוק. בנו של בעל הדירה גילה שמספר שעות ההתפרצות בוצע שימוש במחשב, לרבות גלישה באינטרנט. הבן ניגש לתחנת פ"ת על מנת להגיש תלונה בנושא ואף ציין את מיקום השימוש במחשב בו בוצעה הגלישה באינטרנט (ע"פ אותה תוכנה) . חוקרי מחלק תישאול פ"ת הוציאו צו חיפוש לכתובת ואכן אותר המחשב כשהוא מוחבא באחד החדרים"

להלן מקור הכתבה:
http://www.911il.com/2010/07/09/24123

לא מזמן סיפרתי כאן על עוד חכם מאותה עיר.
ניתן לקרוא עליו כאן.

מטרות הגניבה אינן ברורות אך ניתן להעלות את ההשערות הבאות:

1.גניבת רכוש(אם גנבו לי את הבושם מהאוטו ,לא פלא שבארץ יגנבו גם לפטופים).

2.ריגול תעשייתי הכולל איסוף מידע עסקי יקר ערך הכולל נתונים אודות מוצרים , פטנטים ,תהליכי עבודה של חברות מתחרות,רשימת לקוחות , מאגרי מידע ומסמכים מסווגים נוספים.

השיטה הפוצה ביותר בתחום הינה החדרת סוס טרויאני (Remote Access Trojan) למחשב היריב כאשר יהיה ניתן כמעט מכל מקום להתחבר לאותה מכונה על גבי רשת האינטרנט ולעקוף בדרך מגוון מערכות אבטחה ארגוניות קרי Firewalls,AntiVirus ועוד.

עוד בשנת 2005 נוכחנו לפרשת הסוס הטרויאני היות עדים לאחת מפרשות הריגול העסקי החמורות במדינה כאשר היו מעורובות בה מגוון החברות הגדולות במשק , המובילות והמרכזיות.
ב-Ynet ניתן למצוא סיקור מורחב של הפרשה למי שרוצה להזכר.

טרם ברור אם מדובר במחשב ארגוני אשר מחזיק עליו מידע ארגוני-עסקי או במחשב פרטי.
לבעלי ניידים אני בכל אופן ממליץ:

1.יש לדאוג לאבטחה פיזית ככל האפשר ,במיוחד כאשר משאירים את המחשב ללא השגחה ובפרט כאשר טסים לחו"ל.

2.יש לדאוג להצפנה של המידע , המענה הטכנולוגי קיים.

3.יש לדאוג להזדהות חזקה , לפחות באמצעות 2 פרמטרים (Two-factor authentication).

קיימים בשוק טכנולוגיות למחיקה מרחוק של נתונים במחשבים ניידים,בבלוג זה ישנה התייחסות לנושא.
לעניות דעתי אין להסתמך על טכנולוגיות אלו שכן הנ"ל מחייב חיבור לאינטרנט ותמיד ניתן לשחזר את המידע.
לכן מאוד חשוב להשתמש בהצפנה חזקה ככל האפשר ,כך גם אם המחשב נגנב-המידע מוצפן וחסר ערך.

נקודה נוספת אשר ברצוני להתייחס אליה היא איתור המחשב באמצעות אפליקציה כפי שנכתב:

1.ניתן להשתמש מלכתחילה בשרותי אבטחה מבוסס מיקום העושים שימוש בטכנולוגיות איכון מכשירים בדומה למשטרת ישראל.

2.שימוש באפליקציות המדווחות פרטים מזהים כדוגמת כתובת IP ו-MAC אשר ממנה התבצעה התחברות(פתרון בעייתי לדעתי במיוחד כאשר מתחברים ממקומות ציבוריים).

נראה לי שהרבה יותר פשוט להצפין את המידע ולישון בשקט בלילה.
מהכתבה ניתן להסיק כי חכם החלם שלנו התחבר מהבית.
כל הכבוד לו! מי גאון של אמא?

Human Resource? מישהו כאן פיקשש בגדול...

כיום מחלקת משאבי אנוש היה המחלקה החשובה ביותר בכל ארגון בין אם הוא קטן , בינוני או גדול.
המחלקה אחראית על גיוס העובדים , מיון , השמה,חוזי עבודה,משכורות , שיחות משוב, ודאגה לכל צרכי העובד האישיים.
ניתן לומר כי משאבי הינה הגורם המכריע ביותר בעיצוב פניו של הארגון.
הרומן עם המחלקה מתחיל עוד בשלב הראיון של המועמד למשרה ומסתיים רק לאחר סיום יחסי עובד- מעביד.
עקב רגישות המידע העובר במחלקה והדרישה על שמירת האתיקה המקצועית , חוק הגנת הפרטיות נחשב לערך עליון במחלקה.

לאחרונה ביצעתי ביקורת אבטחת מידע למחלקת משאבי אנוש באחד מהארגונים בהם אני עובד.
להלן הממצאים:

1.אין מידור רשתי של מחשבי המחלקה-המחשבים מחוברים לרשת הארגונית וניתן להגיע אליהם מכל מקום בארגון.

2.לא חלה על תחנות העבודה מדניות ניהול עדכונים (Hotfixes&Service Packs) ,התוצאה- חשיפה של המחשבים לפגיעויות(Vulnerabilities) ולניצול פרצות במערכת (Exploits) בצורה מקומית או מרוחקת.

3.לא חלה הקשחת התקנים נשלפים (Removable Stroage) על התחנות ,התוצאה היא זליגת מידע מסווג.

4.בעת חוסר פעילות במחשב לא קיימת הגנת סיסמה לכניסה למערכת או ניתוק של האפליקציות הרלוונטיות לאחר חוסר פעילות (session idle timeout).

5.משתמשי התחנות בעלי הרשאות אדמניסטרטיביות מלאות(Local Administrator Privileges) על תחנות העבודה שלהם, קל מאוד לבצע שינויים במערכת ,להתקין סוסים טריאנים ושאר מזיקים(Malware).

6. לא קיימת מדניות תיעוד (AuditPolicy) אודות חשבונות משתמשי המחלקה אשר ננעלו,פעולות אשר בוצעו במחשבי המחלקה וכן תיעוד בנוגע לגישות לא מורשות למחשבים ולמערכות המידע בארגון (הדבר מחייב למקרים בהם רוצים לבצע Forensics).

7.קבצים רגישים ומסווגים מאוד נמצאו מאוכסנים מקומית במחשבי החברה , ברובם המכריע ללא כל הצפנה.
קבצים המוגדרים כ"רגישים" מוצפנים לכל היותר ע"י סיסמה ברמת Microsoft Office אשר חשופים להתקפות פיצוח שונות.

8.לא קיימת הזדהות חזקה בפני המערכות הנחשבות למסווגות , אין יישום של (Two-factor authentication)

9.לא קיימת בדיקה קפדנית לסיסמה מורכבת (Complex Password) אשר מורכבת ממינימום 6 תווים , אותיות גדולות,קטנות,מספרים ותווים אלפא-נומרים(!,@,#,$,%,^).
ניתן למצוא כאן מאמר מצויין בנושא מורכבות הסיסמה והקריטריונים העונים על הדרישה.

10.מספר משתמשי מחלקה עובדים על אותו שם משתמש וסיסמה עבור גישה למערכות המידע(משכורות,דוחות וכו').

11.הסיסמאות לאפליקציות המחלקה קלות מאוד לניחוש.

12.לא קיימת בקרה ומניעה של אמצעי אכיפה כנגדת Keyloggers חומרה ותוכנה כאחד.

13.כאשר אנשי המחלקה יוצאים להפסקות הם אינם נועלים את משרדם מאחר ומוצאים מחליף אשר יתן מענה טלפוני למתקשרים .
יחד עם זאת הם אינם מקפידים לנעול את המחשב שלהם ואף חלק מהעבודים אפשרו למשתמשים לא מורשים לגלוש באינטרנט מחשבון המשתמש שלהם.

14. אין בקרה על גיבויי הרשת מחוסר מיומנות מקצועית של אנשי ה-System בארגון.
לא מתבצעת בקרה אמיתית אודות גיבויים שנכשלו.

15.אין תוכנית התאוששות מאסון(DRP) למערכות המידע בארגון,יחד עם זאת נמצא כי מסדי הנתונים מגובים מידי יום והמידע נשמר במקום מרוחק מידי שבוע.

16.לא קיימים מערכות אל פסק (UPS) למשתמשי המחלקה.

17.לא קיימת מודעות לכל נושא ה-Social Engineering בארגון ובמחלקה בפרט , קל מאוד להונות את אנשי המחלקה ואף לגנוב מהם סיסמאות ללא כל צורך בידע טכני.

18.לא מויישם בארגון פתרון למניעת זליגת מידע רגיש (Data Leakage Prevention) כדוגמת Varonis .
מידע רב מאוכסן בכונני רשת וההרשאות היחידות(ללא תיעוד יש לציין) הן ברמת NTFS.

19.סיסמאות רבות מאוחסנות מקומית על תחנות העבודה בקבצי טקסט פשוטים,אין יישום פתרונות איכותיים כדוגמת Cyber-Ark.

20.דרך העברת המידע בין הסניפים אינה מוצפנת.

לסיכום, העיקר ש:

1.משאבי אנוש מחתימים בכל חוזה את משתמשי הארגון על נהלי אבטחת מידע.
2.לא קיימת שום אכיפה או כל מנגנון ביקורת על מחשבי המחלקה.
3.לממונה על אבטחת המידע בארגון יש קו"ח המתפרסות על 4 עמודים בו מפורט בעיקר הרזומה העשיר בתחום האבטחה.

ככה זה כשנשיא החברה לא יודע מה מתרחש לו מתחת לאף...

הקשר בין אבטחת מידע לתשתיות לאומיות

לפחות פעם בשבוע , כאשר אני מגיע לאחד הלקוחות שלי אני נתקל בנוף הבא:

אי אפשר שלא לקשר את הנוף ישירות ל-SCADA.
מערכות Supervisory Control And Data Acquisition הן מערכות שו”ב וניהול ייעודיות המאפיינות גופי תשתיות לאומיות קריטיות כגון: חשמל, מים, גז, דלק, תקשורת,תחבורה וכו'. המידע במערכות הללו נשלח מהבקרים הפזורים בשטח אל מרכז השליטה וממנו עד למערכות הביצוע בזמן אמת.

מגוון האיומים המטריד את מנהלי אבטחת המידע בארגונים “רגילים” מתגמד לעומת האיומים העומדים למול עיניהם של האחראים על אבטחת המידע(CISO) ורצף העבודה השוטף בגופי תשתיות קריטיות, אשר משפיעים על חיי כולנו ביום יום.

ללא ספק, פגיעה במערכות קריטיות אלו עלולות ליצור 2 תרחישים קריטים ביותר:

1.פיגוע רב נפגעים-פיצוץ של תחנת כח,פגיעה בקווי נפט וגז אשר יעלה בחיי אדם.

2.השבתה של אזורים רבים עד מדינה כולה ומשבר הומניטרי חמור.

רשתות SCADA פרוסות בשטח גיאוגראפי נרחב אשר אינו מאפשר הגנה בנקודה אחת על כלל הרשת, לכן זוהו מספר סיכונים אליהן נדרש להתייחס:

•החיבור בין ה- RTU - Remote Sensor ובין מרכז השליטה ובקרה מאפשר ציתות למידע העובר ברשת ושליחת פקודות אל המכונות השונות.

• החיבור בין מרכז השליטה, הבקרה ורשת הארגון / החיבור לאינטרנט מאפשר להתקפות IP להגיע אל מערכות הניהול ולטפל בהן כמו בכל שרת אחר.

• זיהוי הרכיבים השונים ברשת והגבלת התקשורת בין הרכיבים תאפשר חסימה של שליחת פקודות לרכיבים השונים שלא ממערכת הניהול.

• הקשחת הגישה אל הרכיבים השונים ברשת בכלל ולמערכת הניהול בפרט לא תאפשר למשתמשים שאינם מורשים לטפל במערכת.

• מאחר ומערכות ההפעלה הינן גרסאות מוקשחות של Windows ו- Unix/Linux אין אפשרות להתקין עליהם ’Patch שלא מאושרים על ידי יצרן מערכת ה-SCADA.

על מנת להגן על הרשת בצורה טובה יש לבצע את הפעולות הבאות:

• סגמנטציה נכונה של חלקי הרשת השונים והכנסת מוצר שמגביל את הגישה בין חלקי הרשת השונים מתוך הבנה של הפרוטוקולים שעוברים בתווך,בחברת חשמל וקצא"א הטמיעו את פתרון ה-Waterfall הנהדר המתבסס טכנולוגיית חד-כיווניות למניעת דלף המידע והגנה על תשתיות רשת קריטיות.

•מעבר מידע בין הסגמנטים באמצעות Proxy למניעת קשר ישיר בין הרשתות השונות.

•הגבלת הגישה לרשת לאנשים מורשים בלבד (וגם להם לאיזורים ספציפיים ולא לכלל הרשת).

• בניית רשימות Assets והגבלת היכולת להכנסת ציוד נוסף.

במדינת ישראל , מי שאחראי לאבטחת התשתיות הלאומיות ועמידה ברגולציות הם אנשי הרשות ,ואילו בארה"ב הם ה-NSA.

ההבדל ביננו לבינם הוא בעיקר בכל נושא הסנריו -מה שאנו מעלים על מצגת , הם כבר מנסים בפועל.
לאחרונה צפיתי בכתבה מדהימה מהתוכנית 60Minutes של רשת CBS News
שימו לב מה קורה כאשר תוקף חודר לתשתית לאומית ומשנה פרמטרים באחת המערכות:
http://www.youtube.com/watch?v=fJyWngDco3g&feature=related

לכתבה המלאה ב-2 חלקים וקטעים נבחרים בנושא:
http://www.youtube.com/watch?v=vbOLlNtRcQA

לסיכום, הגנה על רשתות SCADA מתבצעת על פי העקרונות המוכרים לנו מרשתות מסחריות רגילות )סגמנטציה, הגנה על פי התנהגות הרשת, הגנה על אפליקציות וכו') אך המוצרים נדרשים להכרות מקיפה עם הפרוטוקולים הייחודים וההתקפות הייעודיות שפעילים בסביבה זו.
כמו כן גם הרגולוציות המחמירות על רשתות אלו דורשות מוצרים שהוסמכו לטיפול ברשתות אלו על ידי ארגונים מוכרים.