בטרם כתיבת הפוסט אני רוצה להבהיר כי ברשת החברתית "Facebook" הביטוי "פרטיות" לא נכלל בלקסיקון.
תמיד תיהי האם ניתן להעביר הודעות מוצפנות באמצעות הצ'אט העלוב של האתר.
השבוע נתקלתי בדרך מאוד מענינת לבצע הצפנה,פענוח,חתימה ואימות בדפדפן אשר ימנעו מכל גורם זר(Firesheep וכו') לקרוא את ההודעות שלנו ואפילו מ-Facebook בעצמם!
FireGPG הוא תוסף ל-Firefox אשר מאפשר לבצע את זה די בקלות.
את ההסבר המלא ניתן למצוא כאן .
ללא ספק רעיון נחמד!
פורום ניהול רשתות ואבטחת מידע
יום שישי, 31 בדצמבר 2010
יום שישי, 24 בדצמבר 2010
חשבת שהשימוש ב-SSL בטוח?אז חשבת!
בדיוק כמו בפרסומת של אחת מחברות הביטוח לא תמיד מה שאנו חושבים נכון.
היום נתקלתי בדבר הבא-"Breaking SSL on Embedded Device":
LittleBlackBox is a collection of thousands of private SSL keys extracted from various embedded devices. These private keys are stored in a database where they are correlated with their public SSL certificates as well as the hardware/firmware that are known to use those SSL keys.
A command line utility is included to aid in the identification of devices or network traffic that use these known private keys. Given a public SSL certificate, the utility will search the database to see if it has a corresponding private key; if so, the private key is displayed and can be used for traffic decryption or MITM attacks. Alternatively, it will also display a table of hardware and firmware that is known to use that private key.
:The utility can obtain a public certificate several different ways
1.You may give it the path to a public certificate file
2.You may give it the SHA1 hash of a public certificate
3.Given a host, it will retrieve the host's public SSL certificate
4.Given a pcap file, it will parse the file looking for public certificate exchanges
5.Given a live network interface, it will listen for public certificate exchanges
מה שיותר מפחיד,זה שקיימת קבוצה אשר עומלת רבות להשיג את המפתחות הפרטיים ואף משחררת כלים מסוג
"Firmware Analysis Tool" לצורך חילוץ המפתחות.
יחד עם זאת יש לציין כי במקרים מסויימים ההתקפה כמעט ובלתי אפשרית ,במיוחד אם לא יודעים את גרסת
ה-Firmware.
ציטוט מהמקור:
However, there are some practical limitations to this attack. If Eve doesn’t know what router or firmware version Alice and Bob are using, it will be difficult to impossible for her to identify which firmware image to extract the SSL keys from. A good example of this is DD-WRT. There are several versions of DD-WRT available for each router supported by DD-WRT. And for each of those versions, there are several different “flavors”: micro, standard, VPN, etc. Even if Eve knows that Alice and Bob are running DD-WRT, that’s a lot of firmware images to work through. This becomes even more difficult when dealing with vendors whose firmware is not as standardized between releases.
לצערי התופעה לא פוסחת על שום סקטור החל מהמגזר הפננסי ,הבטחוני ,טלקום והתעשיה.
מעטות החברות אשר שמות דגש על אבטחת המפתחות ב-Network Device ,משום מה ישנה תחושה כי יש לשמור את זוג מפתחות ההצפנה רק של שרתי ה-CA והחתימה הדיגיטלית.
ללא ספק עוד טכניקה טובה לביצוע Pentration Testing :) .
לילה טוב!
LittleBlackBox -אוסף של מפתחות שזה לא רע בכלל:)
היום נתקלתי בדבר הבא-"Breaking SSL on Embedded Device":
LittleBlackBox is a collection of thousands of private SSL keys extracted from various embedded devices. These private keys are stored in a database where they are correlated with their public SSL certificates as well as the hardware/firmware that are known to use those SSL keys.
A command line utility is included to aid in the identification of devices or network traffic that use these known private keys. Given a public SSL certificate, the utility will search the database to see if it has a corresponding private key; if so, the private key is displayed and can be used for traffic decryption or MITM attacks. Alternatively, it will also display a table of hardware and firmware that is known to use that private key.
:The utility can obtain a public certificate several different ways
1.You may give it the path to a public certificate file
2.You may give it the SHA1 hash of a public certificate
3.Given a host, it will retrieve the host's public SSL certificate
4.Given a pcap file, it will parse the file looking for public certificate exchanges
5.Given a live network interface, it will listen for public certificate exchanges
מה שיותר מפחיד,זה שקיימת קבוצה אשר עומלת רבות להשיג את המפתחות הפרטיים ואף משחררת כלים מסוג
"Firmware Analysis Tool" לצורך חילוץ המפתחות.
יחד עם זאת יש לציין כי במקרים מסויימים ההתקפה כמעט ובלתי אפשרית ,במיוחד אם לא יודעים את גרסת
ה-Firmware.
ציטוט מהמקור:
However, there are some practical limitations to this attack. If Eve doesn’t know what router or firmware version Alice and Bob are using, it will be difficult to impossible for her to identify which firmware image to extract the SSL keys from. A good example of this is DD-WRT. There are several versions of DD-WRT available for each router supported by DD-WRT. And for each of those versions, there are several different “flavors”: micro, standard, VPN, etc. Even if Eve knows that Alice and Bob are running DD-WRT, that’s a lot of firmware images to work through. This becomes even more difficult when dealing with vendors whose firmware is not as standardized between releases.
לצערי התופעה לא פוסחת על שום סקטור החל מהמגזר הפננסי ,הבטחוני ,טלקום והתעשיה.
מעטות החברות אשר שמות דגש על אבטחת המפתחות ב-Network Device ,משום מה ישנה תחושה כי יש לשמור את זוג מפתחות ההצפנה רק של שרתי ה-CA והחתימה הדיגיטלית.
ללא ספק עוד טכניקה טובה לביצוע Pentration Testing :) .
לילה טוב!
LittleBlackBox -אוסף של מפתחות שזה לא רע בכלל:)
SonicWALL NSA 3500-לאן נעלמה פונקצית SSL VPN ?
השבוע ביצעתי הטמעה של UTM מבית SonicWall לאחת מחברות התקשורת הגדולות בארץ.
למרות שהחבר'ה רכשו רשיון ל-SSL VPN (הכולל אופצית פורטל או שימוש ב-Network Extender) עדיין לא הצלחתי להבין מדוע הפיצ'ר אינו זמין.
הפתרון הוא לעדכן את גרסת ה-Firmware לרכיב ה-Appliance לגרסה העדכנית ביותר.
נכון לכתיבת פוסט זה הגרסה האחרונה הינה SonicOS 5.6.3.0 אשר כוללת מקצה שיפורים רציני ומוסיפה מעל
לכ-20 פיצ'רים למערכת בתחומים מגוונים תוך עיצוב מחדש לממשק ה-WEB(עדיין ניתן לנהל את המערכת באמצעות SSH כמובן).
על היכולות החדשות למוצר ניתן לקרוא ב-Release Notes ואיך אפשר שלא להתמקצע באמצעות
ה-Administration Guide המפורט.
ללא ספק ,מדובר באחד מרכיבי ה-UTM המובילים בתחום לעניות דעתי.
למרות שהחבר'ה רכשו רשיון ל-SSL VPN (הכולל אופצית פורטל או שימוש ב-Network Extender) עדיין לא הצלחתי להבין מדוע הפיצ'ר אינו זמין.
הפתרון הוא לעדכן את גרסת ה-Firmware לרכיב ה-Appliance לגרסה העדכנית ביותר.
נכון לכתיבת פוסט זה הגרסה האחרונה הינה SonicOS 5.6.3.0 אשר כוללת מקצה שיפורים רציני ומוסיפה מעל
לכ-20 פיצ'רים למערכת בתחומים מגוונים תוך עיצוב מחדש לממשק ה-WEB(עדיין ניתן לנהל את המערכת באמצעות SSH כמובן).
על היכולות החדשות למוצר ניתן לקרוא ב-Release Notes ואיך אפשר שלא להתמקצע באמצעות
ה-Administration Guide המפורט.
ללא ספק ,מדובר באחד מרכיבי ה-UTM המובילים בתחום לעניות דעתי.
יום חמישי, 23 בדצמבר 2010
RSA SecurID Implementation-Check Point Firewall/VPN R70 Software Blades
לאחרונה כחלק מהכנה לעמידה בתקן ה-PCI 2.0 ביצעתי הטמעה למערכת ה-RSA Authentication Manager עבור משתמשי ה-VPN בארגון פרטי.
להלן מספר המלצות כאשר מטמעים מערכת כזאת:
1.העדיפו להשתמש תמיד בניהול מרוכז (Directory Service) ולא בשימוש במסד הנתונים הפנימי(Internal DB).
2.הגבירו את האבטחה באמצעות שימוש ב-LDAP over SSL/TLS .
3.העדיפו להשתמש ב-SecurID Authentication ולא בתצורת Radius במידה וה-Agent Host נתמך.
4.במידה והנכם עושים שימוש בתצורת Radius דאגו להצפין את הבקשות הנשלחות מה-Agent Host לשרת ה-SecurID באמצעות Shared Secret Key.
5.דאגו להתקנת ה-Service Pack העדכני ביותר.
על מנת לבצע הטמעה נכונה של מערכת כזאת חובה לעבור על ה-Planning Guide שכן ע"פ מסמך זה ניתן לאפיין גם את מדניות האבטחה וגם את הארכיטקטורה הכוללת DRP .
את ה-Implementation Guide עבור Checkpoint Firewall/VPN R70 Software Blades ניתן למצוא כאן.
בהצלחה!
להלן מספר המלצות כאשר מטמעים מערכת כזאת:
1.העדיפו להשתמש תמיד בניהול מרוכז (Directory Service) ולא בשימוש במסד הנתונים הפנימי(Internal DB).
2.הגבירו את האבטחה באמצעות שימוש ב-LDAP over SSL/TLS .
3.העדיפו להשתמש ב-SecurID Authentication ולא בתצורת Radius במידה וה-Agent Host נתמך.
4.במידה והנכם עושים שימוש בתצורת Radius דאגו להצפין את הבקשות הנשלחות מה-Agent Host לשרת ה-SecurID באמצעות Shared Secret Key.
5.דאגו להתקנת ה-Service Pack העדכני ביותר.
על מנת לבצע הטמעה נכונה של מערכת כזאת חובה לעבור על ה-Planning Guide שכן ע"פ מסמך זה ניתן לאפיין גם את מדניות האבטחה וגם את הארכיטקטורה הכוללת DRP .
את ה-Implementation Guide עבור Checkpoint Firewall/VPN R70 Software Blades ניתן למצוא כאן.
בהצלחה!
יום שבת, 11 בדצמבר 2010
WebKnight-אבטחה ברמת האפליקציה
אפליקציות Web הולכות ונעשות נפוצות יותר ויותר ומהוות כלי עבודה חשוב ביותר.
מעבר לאפליקציות הבסיסיות של אתרי Web (אתרים תדמיתיים, אתרי מכירות וכו') אפליקציות אילו משמשות ליישומים קריטיים של הארגון כגון מערכות CRM, ERP ועוד.
השימוש באפליקציות Web מקל את השימוש מצד משתמשי הקצה ומאפשר גישה קלה מכל מקום לאפליקציות אילו.
הבעיה הנובעת היא המפגעים בסוג אפליקציות כזה.
למעשה כל ארגון מודע לכך שעליו להגן על אפליקציית ה- Web שלו באמצעות Firewall, אולם, מחקרים מראים כי 75% מהפריצות כיום מתרחשות ברמת האפליקציה, בד"כ Firewall רגיל אכן מגן על האתר, אולם, על מנת לאפשר הגעה לאתר, ה-FW מאפשר גישה ב- HTTP וכאן מתרחשות רוב הפריצות(Prot 80/443 מאופשר).
עקב כך, Firewallרגיל אינו יכול להגן מפני פריצות ברמת האפליקציה בתוך פרוטוקול ה- HTTP.
דוגמאות לפריצות כאילו הן נפוצות ביותר ועלולות לגרום נזקים משמעותיים ביותר.
לאחרונה בוצע Deface לאתר ממשלתי אשר אינו יושב בחוות השרתים המאובטחת תהיל"ה.
רבות מן הפעמים לא מוטמע פתרון (Web Application Firewall(WAF מטעמי תקציב כאשר במקרה הטוב נגרם נזק תדמיתי לארגון ואילו במקרים פחות טובים הדבר עלול להביא למתקפות Phishing(לדוגמה-אתר של מוסד פיננסי) ועד להדרה של סוסים טרויאנים ו-Malware בקרב משתמשים(לדוגמה-החלפה של עמוד ראשי באתר הורדות פופולארי).
WebKnight הינו מוצר חינמי( Open Source) רב עוצמה אשר מספק הגנה ברמת האפליקציה עבור פלטפורמות,ISA&IIS ו-Apache אשר מספק הגנה מפני מרבית ההתקפות ברמת האפליקציה.
המוצר הינו ISAPI Filter אשר חוצץ בין שרת ה-WEB לבין ממשק המשתמש ומונע ניצול חולשות במנגנון ה-WEB וה-SQL.
למוצר פיצ'רים רבים החל מתמיכה ב-SSL ,תמיכה ב-Frontpage Extensions, WebDAV, Flash, Cold Fusion, Outlook Web Access, Outlook Mobile Access, SharePoint.,ביצוע Loging,תמיכה בעדכונים,הגנה מפני Zero Day Attcks ועוד.
חינם כבר אמרתי?ניתן להוריד את האפליקציה כאן.
3 שכבות הגנה במכה:(לחץ על התמונה להגדלה)
מעבר לאפליקציות הבסיסיות של אתרי Web (אתרים תדמיתיים, אתרי מכירות וכו') אפליקציות אילו משמשות ליישומים קריטיים של הארגון כגון מערכות CRM, ERP ועוד.
השימוש באפליקציות Web מקל את השימוש מצד משתמשי הקצה ומאפשר גישה קלה מכל מקום לאפליקציות אילו.
הבעיה הנובעת היא המפגעים בסוג אפליקציות כזה.
למעשה כל ארגון מודע לכך שעליו להגן על אפליקציית ה- Web שלו באמצעות Firewall, אולם, מחקרים מראים כי 75% מהפריצות כיום מתרחשות ברמת האפליקציה, בד"כ Firewall רגיל אכן מגן על האתר, אולם, על מנת לאפשר הגעה לאתר, ה-FW מאפשר גישה ב- HTTP וכאן מתרחשות רוב הפריצות(Prot 80/443 מאופשר).
עקב כך, Firewallרגיל אינו יכול להגן מפני פריצות ברמת האפליקציה בתוך פרוטוקול ה- HTTP.
דוגמאות לפריצות כאילו הן נפוצות ביותר ועלולות לגרום נזקים משמעותיים ביותר.
לאחרונה בוצע Deface לאתר ממשלתי אשר אינו יושב בחוות השרתים המאובטחת תהיל"ה.
רבות מן הפעמים לא מוטמע פתרון (Web Application Firewall(WAF מטעמי תקציב כאשר במקרה הטוב נגרם נזק תדמיתי לארגון ואילו במקרים פחות טובים הדבר עלול להביא למתקפות Phishing(לדוגמה-אתר של מוסד פיננסי) ועד להדרה של סוסים טרויאנים ו-Malware בקרב משתמשים(לדוגמה-החלפה של עמוד ראשי באתר הורדות פופולארי).
WebKnight הינו מוצר חינמי( Open Source) רב עוצמה אשר מספק הגנה ברמת האפליקציה עבור פלטפורמות,ISA&IIS ו-Apache אשר מספק הגנה מפני מרבית ההתקפות ברמת האפליקציה.
המוצר הינו ISAPI Filter אשר חוצץ בין שרת ה-WEB לבין ממשק המשתמש ומונע ניצול חולשות במנגנון ה-WEB וה-SQL.
למוצר פיצ'רים רבים החל מתמיכה ב-SSL ,תמיכה ב-Frontpage Extensions, WebDAV, Flash, Cold Fusion, Outlook Web Access, Outlook Mobile Access, SharePoint.,ביצוע Loging,תמיכה בעדכונים,הגנה מפני Zero Day Attcks ועוד.
חינם כבר אמרתי?ניתן להוריד את האפליקציה כאן.
3 שכבות הגנה במכה:(לחץ על התמונה להגדלה)
יום שבת, 4 בדצמבר 2010
Detecting and Preventing Rogue Devices on the Network
השבוע הוזמנתי לארגון מאוד גדול כאשר התעורר חשד כי מתבצעת ברשת Rogue Attack וזאת לאחר התנהגות אנומלית מצד רכיבי ה-Network Infrastructure וניטור של עומסים ברשת.
למעשה Rogue Attack הינה טכניקה אשר בה התוקף מגדיר רכיב לא מורשה ברשת (Rogue Server)ומנצל אותו על מנת להתערב בתעבורת הרשת.
הדוגמה השכחיה ביותר היא הצבת שרת DHCP אשר יחלק את הכתובות מתוך Pool שהגדיר התוקף יחד עם הגדרות נוספות(DNS,Default Gateway)כאשר ישנו סיכוי גדול כי ה-Rogue Server יענה ל-DHCP requests במידה ונדרשים פחות דילוגים(hops) על מנת להגיע אילו מה-DHCP המקורי.
דוגמה נוספת היא הצבת (Wireless Access Point (WAP במבנה החברה ואף מחוצה לו תוך מתן SSID ע"ש הארגון.
הרעיון הוא שברגע שהתוקף יצליח לנתב אילו משתמשים הוא יוכל להמשיך לבצע התקפות נוספות כדוגמת Sniifing ,DNS Pharming והתקפות Man in the Middle רבות כאות נפשו.
מתודת העבודה שלי התבססה על פי הסעיפים הבאים:
1.שרטוט תרשים טופולוגית הרשת.
2.איתור Rouge Server.
3.בחינת התשתית הקיימת אשר התבססה על בדיקת וניתוח קונפיגורציה לצד מבדקי חדירה.
4.הצגת מסמך מפורט הכולל את תאריך הבדיקה , ממצאים , רמת הסיכון והמלצות פרטניות ליישום לגבי כל חולשה( Vulnerability).
5.המלצות לפתרונות כוללים לסוגיה.
להלן מספר כלים לאיתור Rouge Server :
DHCP RogueChecker.1 - כלי GUI מעולה ונוח המיועד להרצה על פלטפורמות Windows הכולל את הפיצ'רים הבאים:
- The tool can be run one time or can be scheduled to run at specified interval
- Can be run on a specified interface by selecting one of the discovered interfaces
- Retrieves all the authorized DHCP servers in the forest and displays them.
- Ability to validate (not Authorize in AD) a DHCP server which is not rogue and persist this information
- Minimize the tool, which makes it invisible. A tray icon will be present which would display the status
2.Dhcploc-מדובר ב-Utility מבוסס CLI מבית מיקרוסופט הכלול בדיסק ה-Support Tools של Windows Server 2003/2008 .
את ה-Syntax לפקודה ניתן למצוא כאן.
3.Dhcp_Probe -פרי פיתוח מבית אוניברסיטת "Princeton" המיועד לפלטפורמות UNIX/Linux לאיתור שרתי DHCP ו-BootP.
4.OpUtils-כלי Monitoring מסחרי מעולה מבית ManageEngine .להלן פתרונות למניעת התקפות Rogue:
1.הטמעת פתרון SEIM/SOC-החל מפתרונות מבוססי Open Source,יובל מלאכי-אחד ממומחי אבטחת המידע הגדולים בארץ מציג מענה הולם לסוגיה ,כמובן שניתן להשתמש גם בפתרונות מסחריים.
2.הטמעת מערכת (Intrusion Prevention Systems (IPS -הכוללת הגנה על כלל רכיבי הרשת כולל Wi-FI .
החל מ-Juniper,Checkpoint,Cisco,Mcafee,Enterasys ועד ל-Forescout .
פתרון מענין ל-Wireless שמצאתי הוא מבית HP .
פתרון נוסף שהייתי ממליץ לבחון הוא מבית Airtight.
3.הטמעת פתרון (Network Access Control (NAC בתצורת Inline או (Out-Of-Band (OOB,כמובן שילוב של ה-2 אפשרי אך מסורבל.
לאנשים האוהבים פתרונות חינמים-מצאתי פתרון מעולה שעושה את העבודה הנקרא FreeNAC ודורש ציוד מבית Cisco , הממשק מאוד נוח לתפעול (תצורת WEB).
4.הקשחת רכיבי רשת הרשת(סווצ'ים,נתבים,נקודות גישה וכו') ברמה הפיזית והלוגית כאחת.
אז שלא יעבדו עליכם!
הירשם ל-
רשומות (Atom)