Token "תוצרת בית"

לעיתים ארגון קטן לא יכול להרשת לעצמו להטמיע מערכת הזדהות כדוגמת RSA SecurID או כדוגמת TMS מבית Safenet(את שאר המערכות הקיימות אני נמנע מלהזכיר מאחר שהן לא נחשבות בקטגורית המובילים בעיני).
אפליקציה בשם "Rohos Logon Key" מאפשרת ניהול USB Tokens והפיכת כל התקן Disk on Key או רכיב Flash ל-Token לכל דבר אשר ישמש להזדהות חזקה.

האפליקציה מותאמת לשרתי-Windows 2000/ 2003/ 2008 Active Directory ואפילו לשרתי Novell e-Directory .
מפתחי האפליקציה טוענים כי האפליקציה מותאמת גם להזדהות מול RDP של מיקרוסופט אך לעניות דעתי אין לאפשר בשום אופן גישה לשרותי ה-Terminal Service.
בנוסף ,הנתונים המאוכסנים ב-Token מוצפנים עם מפתח באורך AES 256 Bit דבר המונע שכפול של ה-Token.יתרונות נוספים של התוכנה זה תמיכה בהתקני חומרה רבים(הרשימה מפורטת באתר),קביעת Policy והגבלות, ובעיקר המחיר הזול לדעתי.

יחד עם זאת לא לשכוח כי המערכת היא רק חלק בודד מהטריפל (AAA) ויש לוודא כי כל פעולה או אירוע אכן נכתב לקובץ יומן אשר את מיקומו יש לאבטח ולגבות על בסיס יומי.
בנוסף ניתן להשתמש בתוכנה גם לשימוש מקומי אישי כדוגמת BioLogon מבית Identix.
ברור שלא ניתן להשוות את האפליקציה למערכת כדוגמת ה-RSA (לא לחינם נאלצים האינטגרטורים לעבור 2 הסמכות רציניות על המוצר) אך לעסק קטן עד 10 משתמשים הדבר יכול להוות אלטרנטיבה ראויה וזולה.

ממשק האפליקציה:




קונסול ניהול ה-Token:

"סיכום עולמי"-זה לא רק עם ארד ניר

Websense מסכמת לנו חודש של איומים(אוגוסט):החל מספאם ברשתות חברתיות,חשבונות מזויפים,על -Google Chrome(אני מקדיש את זה לכל החברים שלי),מעל לכ-5 מליון אתרים נגועים ב-Malware,על הסיכון בביצוע Jailbreak ל-iPhone,התמקדות ההאקרים ב-QuickTime ועל החולשה שהתגלתה ב-Windows בחודש שעבר.
ניתן לצפות בכתבה במסך מלא על ידי לחיצה כפולה על הסרטון.

60 שניות על Risk Assemnet -מאיפה מתחילים?

לא מזמן התייעץ עימי אדם שרצה לבצע הערכת סיכונים בארגון שלו אך לא ידע מהיכן להתחיל ,כיצד לסווג את את נכסי הארגון וכיצד ניתן לקבל תמונת מצב כללית אודות אבטחת המידע בארגון.
Microsoft מספקת כלי חינמי (Microsoft Security Assessment Tool (MSAT אשר מיועד לסייע לארגונים להעריך את חולשות האבטחה שלהם בסביבת ה-IT, להציג את רשימת סדר העדיפויות בנושאים מטופלים ולעקוב אחר יכולת התגובה לאירועי אבטחה.

לאחר מילוי הסקר החולף על 4 נושאים מרכזיים המערכת תחולל דו"ח(בין 50-60 עמודים) הכולל הסברים,גרפים המסתמכים על שיטות ניקוד שונות והמלצות לטיפול.

לפרטים נוספים יש ללחוץ כאן , להורדת הכלי יש ללחוץ כאן.

אוסיף ואציין כי אין האפליקציה מתיימרת להחליף סוקר חיצוני ,מבדקי חדירה חיצוניים ,ייעוץ חיצוני של חברה,או כל כלי אחר לניהול סיכונים אך בהחלט זו נקודה טובה מאוד לקבלת תמונת מצב ראשונית אודות האבטחה בארגון.

כך נראת האפליקציה:

איראן אישרה כי התולעת Stuxnetחדרה למחשבי סוכנות הגרעין שלה

היום פורסמה הכתבה במגזין "אנשים ומחשבים" הכתבה הבאה:

מומחי אבטחה קבעו, כי סטוקסנט היא מהנוזקות המתוחכמות שעולם אבטחת המידע ידע אי פעם, חריגה וייחודית: בניגוד לרוב הנוזקות, שמטרתן רווח כספי, היא תוכננה לחבל במערכות שליטה ובקרה במפעלים שונים, דוגמת הכור האטומי בבושהר.
בסימנטק, שם עוקבים אחר התפשטות סטוקסנט ברחבי העולם, העריכו, כי על הנוזקה עבדו חמישה עד עשרה האקרים שהתכוננו למבצע ההחדרה במשך כחצי שנה.

הידיעה מחזירה אותי חודשיים אחורה כאשר התייחסתי לסוגית מערכות SCADA .

מקור החדרת הוירוס אינו ידוע או בכל אופן לא פורסם אך ניתן לעלות את הנסריו הבאים:

1.עובד הארגון אשר הפר אמונים והחדיר את הוירוס עקב קבלת שוחד,תסכול ממקום העבודה או פיטורים.
2.עובד חוץ ("קבלן") בעל גישה למערכת כמו גן בעל אינטרס.
3.החדרת הוירוס על ידי עובדי הארגון תוך שימוש ב-Social Engineering בדומה לפרשת "הסוס הטרויאני" בשנת 2005.
4.שימוש במדיה מגנטית.
5.העברת הוירוס באמצעות רשת האינטרנט (HTTP,FTP,MAIL,VPN וכו').
6.שימוש ב-Smart Phone או מכשיר PDA.

מתקרית האבטחה הנ"ל ניתן להסיק מסקנות נוספות:

1. מחלקת ה-IT בבושהר לא הייתה ערוכה להגנה מפני Zero-day Attack : שימוש במערכות אבטחה כדוגמת IPS,IDS,AV,FW,NAC ייתכן והיה מונע התפשטות ה-Worm תוך בידוד מיידי של העמדה החשודה.

2.לא נעשה שימוש בפלטפורמות מוקשחות (UNIX/SUN/Linux)לתשתיות כה קריטיות.
מבדיקה שערכתי באתר Siemens ניתן להתקין את המערכות על אחת מפלטפורמות אלו.

3.לא היה קיים מערך SEIM/SOC לתגובה לתקריות אבטחה בזמן אמת וטיפול באירועים
(Incident Response&Incident Handling).
למעשה מרכז ה-SEIM/SOC הינו החמ"ל המרכזי החשוב ביותר במקום!כנראה שהמושג "אבטחת מידע" לא נכללת במושג "ניטור" אצל האירנים!

4.נעשה שימוש בגישה Security through Obscurity-מתוך היכרות מעמיקה עם מערכות Siemens (מערכת ה-SCADA בשימוש הכור האירני) ותכנון תוכנית Disaster Recovery לאחד הארגונים בארץ אני יכול להעיד שלא קל לאבטח מערכת שכזו מבלי שסביבת ה-Production תיפגע ולהשאר בחיים בעת ובעונה אחת.
מדובר במערכות רגישות מאוד למוצרי אבטחה קרי Firewall ,Anti Virus אשר בד"כ המערכות מחייבות אותך לרוץ על הרשאות אדמיניסטרטיביות.

אני לא אשכח את היום בו תמכתי באחד ממהנדסי Siemens המוכשרים בארץ,כאשר ביצענו התקנה של אחד משרתי מערכת ה-SCADA.
כחלק משלב ה-Preparing המערכת ביטלה את ה-FW,שינתה הגדרות קונפיגורציה לרמות האבטחה הנמוכות ביותר,הגדירה כברירת מחדל מחיצות משותפות עם הרשאות מיותרות ועוד.
בעוד אני צופה בקונפיגורציה ולא יודע איך לעכל את את זה ,את המהנדס לא ענין הרבה מלבד שהכל יעבוד כשורה ושהוא יגיע לבית בזמן כי יש חיים מחוץ לעבודה.
עקב כך הנטיה בתאגידים רבים להתמקד באבטחה החיצונית ולאו דווקא בחיפוש פתרונות מתאמים לרשת הפנים ארגונית.

אשמח לשמוע דעתכם בנושא.

חג שמח!

SmartPhone-ידיד או אויב?(חלק ב')

הערכת סיכונים(Risk Assessment)היא מתודולוגיה המעריכה הסתברות של אפקט שלילי של סיכון בתהליך תעשייתי, טכנולוגי או בתהליך טבעי.
ההחלטה מהו אותו אפקט שלילי (זיהוי מקור הסכנה) היא ערך שיפוטי שיכולה להילקח על ידי מומחים לאותו תחום ספציפי.
התהליך עצמו של הערכת הסיכונים הוא מורכב מאוד וכולל מספר שלבים החל ממיפוי הנכסים , סיווג , דירוג הסיכון ועד למתן פתרון כולל.

לאחרונה במסגרת עבודתי ריכזתי סיכונים למכשירים חכמים (Smart Phone).
את התייחסתי ניתן למצוא בקובץ המצורף ,קישור נוסף ניתן למצוא כאן.
חלק ג' יסקור כיצד יש להתמודד עם מגוון האיומים.

סופשבוע נעים!

SmartPhone-ידיד או אויב?(חלק א')

הסטוריה:
אני לא אשכח את היום בו אבא שלי רכש את זוג הפלאפונים הראשונים שלו.
היו אלו המוטורולות הראשונים בייצור סדרתי שהגיעו לארץ מדגם Analog Motorola DynaTAC 8000X .
חוץ ממכשיר שזכה לכינוי "בננה" הפלאפון יכל לשמש ככלי להגנה עצמית ומכשיר להפצת קרינה.

המכשירים הראשונים ששיווקה החברה היו בעיקר מכשירי רכב ומכשירים ניידים גדולים אשר נישאו במזוודה מיוחדת.
באותה תקופה היחידים שהעזו להסתובב עם מכשיר במזוודה או מכשיר בננה היו אנשי עסקים חשובים.
כיום כמעט כל ילד מצטייד במכשיר נייד.

בזכות הראשוניות של פלאפון, הפך המכשיר הסלולרי לחלק בלתי נפרד משגרת יומנו ובתוך 20 שנה הפכה ישראל למעצמה סלולרית עם יותר מכשירים סלולריים מאזרחים.

פלאפון תקשורת הוקמה לפי תנאי זיכיון שקיבלה מהמדינה להפעלת שירותי רט"ן (רדיו טלפון נייד) בישראל. בשנת 1984 נחתם הסכם בין בזק למוטורולה להקמת חברה משותפת להפעלת שירותי הטלפון הסלולרי.
החברה, שנוהלה בתחילת דרכה על ידי בני אפשטיין, מנתה עשרות עובדים בלבד.

התחזיות הוורודות ביותר צפו לחברה גיוס של 7,000 מנויים בתוך שבע שנים.
בפועל, התוצאות עלו על הציפיות ולחברה הצטרפו 100 אלף לקוחות בתקופת זמן זו.

השם "פלאפון" נבחר מתוך מחשבה שזהו מכשיר פלא נייד, ועד מהרה הפך לשם גנרי למכשיר סלולרי.
עם ההתפחות הטכנולוגית המסחררת החלו להצטרף מידי שנה עשרות מכשירים מכל מיני דורות עד שהדבר יצא מכלל שליטה.

שחקן חדש נכנס לזירה:

כיום נכנס שחקן חדש לזירה בשם "SmartPhone"-מכשיר סלולרי נייד המשלב יכולות של טלפון סלולרי עם יכולות מתקדמות של מחשב כף יד.
בטלפון החכם ניתן להתקין יישומים מתקדמים("אפליקציות") בדומה לאלה המותקנים במחשב שולחני.
לעתים אף הטלפון החכם בדומה למחשבי כף יד נכלל תחת קטגוריית ה-Pocket PC.

בדומה למחשבי Pocket PC ישנן מספר מערכות הפעלה לטלפונים חכמים החל מ-Symbian,Android ,Windows Mobile,iPhone OS/iOS,PalmOS כאשר כל יצרן משתמש במערכת הייעודית לו למעט Android של Google.
לרוב מערכת ההפעלה משווקת עם עם המכשיר כאשר היא נעולה מפני שינויים או שדרוגים עבור הצרכן.
יחד עם זאת אני לא צריך לספר לכם עד כמה קל לבצע עדכוני Firmeware למכשירים ולעקוף את רוב ההגבלות הקיימות.

לכאורה הכל נראה פסטורלי, ממש "המצאת המאה" ,אך לצד יתרונות השימוש ב-SmartPhone ושיפור התקשורת הבינאישית בארגון אנו כאנשי אבטחת מידע נאצלים מידי יום להתמודד עם סיכונים רבים אשר מדירים שינה מעיינינו ולעיתים אף מוטרדים מהנושא מאוד.

החטא הקדמון

אם יש משהו שהייתי רוצה זה להגיש תוכנית רדיו כמו זהבי ולקרוא לה "רונן עצבני" בין 14:00 ל-16:00 ולצרוח על אנשים.
עכשיו תשאלו למה?
כי יש דברים שאני לא יכול לראות ולהשאר אליהם אדיש -והרי לכם דוגמה שנתקלתי בה היום בפורום IT בתפוז:

"עזרה בקביעת חוקים ב Checkpoint R71 - ‏מאת moran515‏
צהריים טובים,

לאחר שאני משנה RULES בצ'קפוינט (ב GUI) ועושה SAVE, זה עדיין לא תופס.
האם אני צריך לעשות Install Policy לאחר שינוי בכללים?

אני לא זוכר, ואני מפחד שזה עלול להפיל לי את הרשת.

תודה רבה על העזרה!
וחג שמח לכולם
מורן"

כאדם החי את העולם הזה אני שואל מספר שאלות:
-איך נותנים לבנאדם שלא מכיר את המוצר להתעסק איתו?
-איך נותנים לבנאם בלי כל ידע בסיסי אחריות על התשתית הקריטית ביותר בארגון(FW)?
-עכשיו אתם מבינים ממה נובע אחוז גדול מפרצות האבטחה ותקלות התקשורת בארגונים?
-מדוע לא ניתן להעמיד לדין את מנהל ה-IT שלו?

גרוע מכך , שאחד הליצנים ענה לו תשובה "לענין" - Install Policy .
מענין אותי מה יקרה אם הוא ילחץ ומי יקח אחריות שכל סביבת ה-Production מושבתת.
כבר ראיתי כמה ליצנים בחיי שבגלל חוסר מקצועיות נאלצתי להשאר לילות בגללם אצל לקוחות.

אם לא ללמוד ללהסמכת CCSA/E המינימום שהייתי מצפה מהבנאדם זה לקרוא את ה-Administration Guide.
אתם מוזמנים להוריד חבילת דוקומנטציה מכאן או ניתן לבחירה להוריד אך ורק את ה-Administration Guide מכאן.

KeePass Password Safe

אחד הדברים היותר מרגיזים שיוצא לי להתקל בארגונים זה שמירה של סיסמאות על גבי קבצי טקסט בשרתים או בתחנות עבודה מצד משתמשים.
ה"חכמולוגים" מבינהם (אנשי ה-System) דואגים לשמור את הסיסמאות בקובץ Excel ולהגן עליו עם סיסמה והרשאת גישה(NTFS) במקרה הטוב.

הרשו לי להמליץ לכם על KeePass אשר מאפשרת ניהול ואחסון מוצפן של הסיסמאות:

http://keepass.info/
לארגונים שבאמת חשובה להם האבטחה , את הקובץ המוצפן שיצרנו ב-KeePass חובה להצפין במערכת
Cyber-Ark אשר מספקת פתרונות למגזר העסקי,בטחוני ,פננסי וממשלתי.
שילוב של ה-2 יצמצם את רמת הסיכון משמעותית.
דבר נוסף חשוב-מאחר ומדובר בכלי שהוא Open Source ניתן להוריד Plugins רבים לאפליקציה.
עקב כך,יש לשים לב כי הפלאגינים נכתבו על ידי מפתחים עצמאיים ולכן לא מומלץ להתקין אותם.

מרוץ נגד הזמן

אחד מתפקדיו של קצין האבטחה (CISO) בארגון או מנהל הרשת(SysAdmin) הוא לדאוג למערכות מעודכנות במטרה לצמצום הפגיעויות בארגון(Vulnerabilities).

ברצוני להמליץ לכם על רשימת תפוצה המתייחסת לכלל מוצרי Microsoft( ניתן להתאים אישית פר מוצר) אשר תדאג לעדכן אתכם בכל Hotfix או Service Pack חדש למוצר:

http://kbalertz.com/default.aspx

כבר נתקלתי בארגונים שנדבקו ב-Worms ואחרים שהשרתים שלהם נפרצו רק כי לא ייחסו חשיבות לעדכונים.

Secure Printing on Xerox Printers

לא לכל ארגון קיים תקציב להטמעת פתרון DLP להדפסות כדוגמת Sentinel .

ל-Xerox יש מענה הולם ברמת ה-Driver בשרת ה-Spooler המאפשר שחרור הדפסה באמצעות הזנת קוד אישי בלבד:

הפתרון קל ומהיר להטמעה ועובד בצורה מצוינת עם יכולת מעקב אחר ההדפסות(Auditing):

http://oit.nd.edu/print_scan_copy/xerox

בנוסף למדפסות Xerox פיצ'רים רבים בתחום ה-Security אשר מאפשרים עמידה בתקן Common Criteria:

http://www.xerox.com/information-security/product-security/enus.html

חינם כבר אמרתי?

מחיקת OU מוגן בשרת Active Directory 2008

אחד הפיצ'רים הנחמדים בשרת Windows Server 2008 הוא הגנה מפני מחיקת OU's הניתנים לניהול בקונסול הניהול (Active Directory Users and Computers(ADUC.

הפיצר' נקרא "Protect Container from accidential deletion":

מטרת הפיצ'ר חוסך למנהל הרשת כאב ראש לא קטן(במיוחד לאנשי SysAdmin) שלא שמעו על פעולות כמו Delegate או פריסה של שרת (Read-Only Domain Controllers (RODC .
יחד עם זאת לעיתים ה-SysAdmin כאן צריך למחוק OU's המכונים "Test" וכו'.

היום כאשר ניגשתי למחוק OU שאני יצרתי ניתקלתי בשגיאה הדומה לשגיאה בנוסח הבא:
" You do not have sufficient privileges to delete “OU Name” , or this object is protected from accidential deletion".

להלן הפתרון מפי מיקרוסופט:

http://technet.microsoft.com/en-us/library/cc736842(WS.10).aspx

פשוט ולענין אך ללא ספק ה-Check Box הקטן הזה יכול לשגע פילים במיוחד כאשר הינך בעל פרבילגות על.

SonicWALL NSA 2400-גלישה איטית בממשק ה-WEB

SonicWALL NSA 2400 הוא אחד מסדרת ה-UTM הטובים בעייני למגזר ה-SMB וה-Enterprise.

לאחרונה הטמענו כזה בארגון בינוני אך נתקלנו בבעיות של איטיות גלישה בממשק ה-WEB .

לאחר יום וחצי של בדיקות , הדבר היחידי שפתר את הבעיה הוא שדרוג ה-Frimware של המוצר.

חבל שמוצר כה איכותי מגיע עם Frimeware לא עדכני.

מה שיפה ב-Appliance זה שהוא מאפשר גיבוי וניהול מסודר של כל גרסאות ה-Frimware.

מוצר מומלץ בחום ללא ספק עם יכולות חזקות ופיצ'רים שלא בכל FW רואים.

להשוואת מוצרים:

http://www.sonicwall.com/us/products/NSA_Series.html

Outlook Forensic

השבוע ניגשה אליי אחת העובדות וטענה כי כאשר שכחה לנעול את תחנת העבודה שלה(דבר שלא קורה לה לטענתה) הגיע אדם למשרדה ומחק מייל מה-Outlook שלה.

בנוסף טענה כי תיקית Deleted Items ב-Outlook הייתה פתוחה.

מאחר והמייל נמחק באמצעות Shift+Delete לא הייתה דרך לשחזר אותו באמצעות Tools-Recover Deleted Items .

מנסיוני בחקירות מחשב זכרתי שב-Exchange קיים פיצ'ר הנקרא Exchange Dumpster:

http://www.ferris.com/2009/10/30/new-dumpster-features-for-exchange-2010/

להלן הפעולות שביצעתי בתחנת העבודה של המשתמשת:

1.יצאיה מ-Outlook.

2.פתחית את עורך הרישום של Windows(הפעלת REGEDIT במצב Administrator)

3.איתור המפתח הבא:
My Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\Client\Options

4.בתפריט עריכה יש לבחור ב-NEW ולאחר מכן ללחוץ על ערך DWORD.

5. יש לתת לערך את השם DumpsterAlwaysOn(כמובן לא רווחים).

6.יש להגדיר את הערך DWORD כ-1.

7.יש להפעל מחדש את Outlook.

8. יש להכנס לתפריט כלים ולבחור ב"שחזור פריטים שנמחקו" עבור כל תיקיה של Outlook.

זה סוד הקסם!

מיותר לציין את תוכן ההודעה שהיה מעליב ופוגע. במקום לבצע Recall להודעה המשתמש החוצפן החליט לגשת ולמחוק אותה. הוא חשב כמשתמש פשוט ולא כ-SysAdmin.

מכאן אנו למדים:

• יש לנעול את המחשב תמיד.
• יש לוודא כי המחשב ננעל בצורה אוטומטית לאחר זמן קצר.
• יש לטפל באירוע נקודתית ע"י קצין האבטחה של הארגון למען יראו ויראו.
• יש להזהר ולהיות עדין במיילים וכן להשתמש בשפה יפה ונקייה ב-Outlook.

גמר חתימה טובה ושבוע טוב!

Microsoft Windows Server Update Services 3.0 SP2 Deployment Guide

למה אני אוהב את Microsoft?
ב-2 מילים?

!Best Practice

http://www.microsoft.com/downloads/details.aspx?familyid=113D4D0C-5649-4343-8244-E09E102F9706&displaylang=en

בית ספר מושלם ל-MCITP המתמחה ב-Security!

Patch Management Policy

Microsoft Windows Server Update Services (WSUS)‎ מאפשר למנהלי טכנולוגיות מידע (IT) לפרוס את העדכונים החדשים ביותר של מוצרי מיקרוסופט במערכות ההפעלה ובתחנות הקצה תוך מתן אפשרות ניהול מלא של אופן הפצת העדכונים למחשבים ברשת.
המערכת מתאימה לניהול בתצורת Domain באמצעות Group Policy אך לעיתים ניתן למצוא מחשבים רבים בסביבת Workgroup אשר לא נמצאים ב-Domain מסיבות רבות.

הנה הפתרון של Microsoft בנושא:
http://www.windowsnetworking.com/kbase/WindowsTips/Windows2003/AdminTips/Admin/DeployWSUSUpdatestoaWorkgroup.html

לילה טוב!