למי שטרם יודע - חלם הינה עיר שמתוארת בפולקלור כמאכלסת טיפשים שאין כדוגמתם.
תושביהם של ערי הטיפשים נהגו על-פי הפולקלור לעשות מעשים נפסדים אשר בהם אין כל תכלית והיו מתגאים בדבר כ"כ כילו היו תרומה של ממש.
הבוקר אני מקבל למייל קישור לכתבה הבאה:
"בפתח תקוה נפרצה דירה בזמן שבעליה שהה בחו"ל. מהדירה נגנב מחשב נייד ובו הותקנה תוכנה מיוחדת לשליטה מרחוק המאפשרת לנטר פעילות המחשב ואף לבצע בו פעולות מרחוק. בנו של בעל הדירה גילה שמספר שעות ההתפרצות בוצע שימוש במחשב, לרבות גלישה באינטרנט. הבן ניגש לתחנת פ"ת על מנת להגיש תלונה בנושא ואף ציין את מיקום השימוש במחשב בו בוצעה הגלישה באינטרנט (ע"פ אותה תוכנה) . חוקרי מחלק תישאול פ"ת הוציאו צו חיפוש לכתובת ואכן אותר המחשב כשהוא מוחבא באחד החדרים"
להלן מקור הכתבה:
http://www.911il.com/2010/07/09/24123
לא מזמן סיפרתי כאן על עוד חכם מאותה עיר.
ניתן לקרוא עליו כאן.
מטרות הגניבה אינן ברורות אך ניתן להעלות את ההשערות הבאות:
1.גניבת רכוש(אם גנבו לי את הבושם מהאוטו ,לא פלא שבארץ יגנבו גם לפטופים).
2.ריגול תעשייתי הכולל איסוף מידע עסקי יקר ערך הכולל נתונים אודות מוצרים , פטנטים ,תהליכי עבודה של חברות מתחרות,רשימת לקוחות , מאגרי מידע ומסמכים מסווגים נוספים.
השיטה הפוצה ביותר בתחום הינה החדרת סוס טרויאני (Remote Access Trojan) למחשב היריב כאשר יהיה ניתן כמעט מכל מקום להתחבר לאותה מכונה על גבי רשת האינטרנט ולעקוף בדרך מגוון מערכות אבטחה ארגוניות קרי Firewalls,AntiVirus ועוד.
עוד בשנת 2005 נוכחנו לפרשת הסוס הטרויאני היות עדים לאחת מפרשות הריגול העסקי החמורות במדינה כאשר היו מעורובות בה מגוון החברות הגדולות במשק , המובילות והמרכזיות.
ב-Ynet ניתן למצוא סיקור מורחב של הפרשה למי שרוצה להזכר.
טרם ברור אם מדובר במחשב ארגוני אשר מחזיק עליו מידע ארגוני-עסקי או במחשב פרטי.
לבעלי ניידים אני בכל אופן ממליץ:
1.יש לדאוג לאבטחה פיזית ככל האפשר ,במיוחד כאשר משאירים את המחשב ללא השגחה ובפרט כאשר טסים לחו"ל.
2.יש לדאוג להצפנה של המידע , המענה הטכנולוגי קיים.
3.יש לדאוג להזדהות חזקה , לפחות באמצעות 2 פרמטרים (Two-factor authentication).
קיימים בשוק טכנולוגיות למחיקה מרחוק של נתונים במחשבים ניידים,בבלוג זה ישנה התייחסות לנושא.
לעניות דעתי אין להסתמך על טכנולוגיות אלו שכן הנ"ל מחייב חיבור לאינטרנט ותמיד ניתן לשחזר את המידע.
לכן מאוד חשוב להשתמש בהצפנה חזקה ככל האפשר ,כך גם אם המחשב נגנב-המידע מוצפן וחסר ערך.
נקודה נוספת אשר ברצוני להתייחס אליה היא איתור המחשב באמצעות אפליקציה כפי שנכתב:
1.ניתן להשתמש מלכתחילה בשרותי אבטחה מבוסס מיקום העושים שימוש בטכנולוגיות איכון מכשירים בדומה למשטרת ישראל.
2.שימוש באפליקציות המדווחות פרטים מזהים כדוגמת כתובת IP ו-MAC אשר ממנה התבצעה התחברות(פתרון בעייתי לדעתי במיוחד כאשר מתחברים ממקומות ציבוריים).
נראה לי שהרבה יותר פשוט להצפין את המידע ולישון בשקט בלילה.
מהכתבה ניתן להסיק כי חכם החלם שלנו התחבר מהבית.
כל הכבוד לו! מי גאון של אמא?
פורום ניהול רשתות ואבטחת מידע
יום שישי, 9 ביולי 2010
יום רביעי, 7 ביולי 2010
Human Resource? מישהו כאן פיקשש בגדול...
כיום מחלקת משאבי אנוש היה המחלקה החשובה ביותר בכל ארגון בין אם הוא קטן , בינוני או גדול.
המחלקה אחראית על גיוס העובדים , מיון , השמה,חוזי עבודה,משכורות , שיחות משוב, ודאגה לכל צרכי העובד האישיים.
ניתן לומר כי משאבי הינה הגורם המכריע ביותר בעיצוב פניו של הארגון.
הרומן עם המחלקה מתחיל עוד בשלב הראיון של המועמד למשרה ומסתיים רק לאחר סיום יחסי עובד- מעביד.
עקב רגישות המידע העובר במחלקה והדרישה על שמירת האתיקה המקצועית , חוק הגנת הפרטיות נחשב לערך עליון במחלקה.
לאחרונה ביצעתי ביקורת אבטחת מידע למחלקת משאבי אנוש באחד מהארגונים בהם אני עובד.
להלן הממצאים:
1.אין מידור רשתי של מחשבי המחלקה-המחשבים מחוברים לרשת הארגונית וניתן להגיע אליהם מכל מקום בארגון.
2.לא חלה על תחנות העבודה מדניות ניהול עדכונים (Hotfixes&Service Packs) ,התוצאה- חשיפה של המחשבים לפגיעויות(Vulnerabilities) ולניצול פרצות במערכת (Exploits) בצורה מקומית או מרוחקת.
3.לא חלה הקשחת התקנים נשלפים (Removable Stroage) על התחנות ,התוצאה היא זליגת מידע מסווג.
4.בעת חוסר פעילות במחשב לא קיימת הגנת סיסמה לכניסה למערכת או ניתוק של האפליקציות הרלוונטיות לאחר חוסר פעילות (session idle timeout).
5.משתמשי התחנות בעלי הרשאות אדמניסטרטיביות מלאות(Local Administrator Privileges) על תחנות העבודה שלהם, קל מאוד לבצע שינויים במערכת ,להתקין סוסים טריאנים ושאר מזיקים(Malware).
6. לא קיימת מדניות תיעוד (AuditPolicy) אודות חשבונות משתמשי המחלקה אשר ננעלו,פעולות אשר בוצעו במחשבי המחלקה וכן תיעוד בנוגע לגישות לא מורשות למחשבים ולמערכות המידע בארגון (הדבר מחייב למקרים בהם רוצים לבצע Forensics).
7.קבצים רגישים ומסווגים מאוד נמצאו מאוכסנים מקומית במחשבי החברה , ברובם המכריע ללא כל הצפנה.
קבצים המוגדרים כ"רגישים" מוצפנים לכל היותר ע"י סיסמה ברמת Microsoft Office אשר חשופים להתקפות פיצוח שונות.
8.לא קיימת הזדהות חזקה בפני המערכות הנחשבות למסווגות , אין יישום של (Two-factor authentication)
9.לא קיימת בדיקה קפדנית לסיסמה מורכבת (Complex Password) אשר מורכבת ממינימום 6 תווים , אותיות גדולות,קטנות,מספרים ותווים אלפא-נומרים(!,@,#,$,%,^).
ניתן למצוא כאן מאמר מצויין בנושא מורכבות הסיסמה והקריטריונים העונים על הדרישה.
10.מספר משתמשי מחלקה עובדים על אותו שם משתמש וסיסמה עבור גישה למערכות המידע(משכורות,דוחות וכו').
11.הסיסמאות לאפליקציות המחלקה קלות מאוד לניחוש.
12.לא קיימת בקרה ומניעה של אמצעי אכיפה כנגדת Keyloggers חומרה ותוכנה כאחד.
13.כאשר אנשי המחלקה יוצאים להפסקות הם אינם נועלים את משרדם מאחר ומוצאים מחליף אשר יתן מענה טלפוני למתקשרים .
יחד עם זאת הם אינם מקפידים לנעול את המחשב שלהם ואף חלק מהעבודים אפשרו למשתמשים לא מורשים לגלוש באינטרנט מחשבון המשתמש שלהם.
14. אין בקרה על גיבויי הרשת מחוסר מיומנות מקצועית של אנשי ה-System בארגון.
לא מתבצעת בקרה אמיתית אודות גיבויים שנכשלו.
15.אין תוכנית התאוששות מאסון(DRP) למערכות המידע בארגון,יחד עם זאת נמצא כי מסדי הנתונים מגובים מידי יום והמידע נשמר במקום מרוחק מידי שבוע.
16.לא קיימים מערכות אל פסק (UPS) למשתמשי המחלקה.
17.לא קיימת מודעות לכל נושא ה-Social Engineering בארגון ובמחלקה בפרט , קל מאוד להונות את אנשי המחלקה ואף לגנוב מהם סיסמאות ללא כל צורך בידע טכני.
18.לא מויישם בארגון פתרון למניעת זליגת מידע רגיש (Data Leakage Prevention) כדוגמת Varonis .
מידע רב מאוכסן בכונני רשת וההרשאות היחידות(ללא תיעוד יש לציין) הן ברמת NTFS.
19.סיסמאות רבות מאוחסנות מקומית על תחנות העבודה בקבצי טקסט פשוטים,אין יישום פתרונות איכותיים כדוגמת Cyber-Ark.
20.דרך העברת המידע בין הסניפים אינה מוצפנת.
לסיכום, העיקר ש:
1.משאבי אנוש מחתימים בכל חוזה את משתמשי הארגון על נהלי אבטחת מידע.
2.לא קיימת שום אכיפה או כל מנגנון ביקורת על מחשבי המחלקה.
3.לממונה על אבטחת המידע בארגון יש קו"ח המתפרסות על 4 עמודים בו מפורט בעיקר הרזומה העשיר בתחום האבטחה.
ככה זה כשנשיא החברה לא יודע מה מתרחש לו מתחת לאף...
המחלקה אחראית על גיוס העובדים , מיון , השמה,חוזי עבודה,משכורות , שיחות משוב, ודאגה לכל צרכי העובד האישיים.
ניתן לומר כי משאבי הינה הגורם המכריע ביותר בעיצוב פניו של הארגון.
הרומן עם המחלקה מתחיל עוד בשלב הראיון של המועמד למשרה ומסתיים רק לאחר סיום יחסי עובד- מעביד.
עקב רגישות המידע העובר במחלקה והדרישה על שמירת האתיקה המקצועית , חוק הגנת הפרטיות נחשב לערך עליון במחלקה.
לאחרונה ביצעתי ביקורת אבטחת מידע למחלקת משאבי אנוש באחד מהארגונים בהם אני עובד.
להלן הממצאים:
1.אין מידור רשתי של מחשבי המחלקה-המחשבים מחוברים לרשת הארגונית וניתן להגיע אליהם מכל מקום בארגון.
2.לא חלה על תחנות העבודה מדניות ניהול עדכונים (Hotfixes&Service Packs) ,התוצאה- חשיפה של המחשבים לפגיעויות(Vulnerabilities) ולניצול פרצות במערכת (Exploits) בצורה מקומית או מרוחקת.
3.לא חלה הקשחת התקנים נשלפים (Removable Stroage) על התחנות ,התוצאה היא זליגת מידע מסווג.
4.בעת חוסר פעילות במחשב לא קיימת הגנת סיסמה לכניסה למערכת או ניתוק של האפליקציות הרלוונטיות לאחר חוסר פעילות (session idle timeout).
5.משתמשי התחנות בעלי הרשאות אדמניסטרטיביות מלאות(Local Administrator Privileges) על תחנות העבודה שלהם, קל מאוד לבצע שינויים במערכת ,להתקין סוסים טריאנים ושאר מזיקים(Malware).
6. לא קיימת מדניות תיעוד (AuditPolicy) אודות חשבונות משתמשי המחלקה אשר ננעלו,פעולות אשר בוצעו במחשבי המחלקה וכן תיעוד בנוגע לגישות לא מורשות למחשבים ולמערכות המידע בארגון (הדבר מחייב למקרים בהם רוצים לבצע Forensics).
7.קבצים רגישים ומסווגים מאוד נמצאו מאוכסנים מקומית במחשבי החברה , ברובם המכריע ללא כל הצפנה.
קבצים המוגדרים כ"רגישים" מוצפנים לכל היותר ע"י סיסמה ברמת Microsoft Office אשר חשופים להתקפות פיצוח שונות.
8.לא קיימת הזדהות חזקה בפני המערכות הנחשבות למסווגות , אין יישום של (Two-factor authentication)
9.לא קיימת בדיקה קפדנית לסיסמה מורכבת (Complex Password) אשר מורכבת ממינימום 6 תווים , אותיות גדולות,קטנות,מספרים ותווים אלפא-נומרים(!,@,#,$,%,^).
ניתן למצוא כאן מאמר מצויין בנושא מורכבות הסיסמה והקריטריונים העונים על הדרישה.
10.מספר משתמשי מחלקה עובדים על אותו שם משתמש וסיסמה עבור גישה למערכות המידע(משכורות,דוחות וכו').
11.הסיסמאות לאפליקציות המחלקה קלות מאוד לניחוש.
12.לא קיימת בקרה ומניעה של אמצעי אכיפה כנגדת Keyloggers חומרה ותוכנה כאחד.
13.כאשר אנשי המחלקה יוצאים להפסקות הם אינם נועלים את משרדם מאחר ומוצאים מחליף אשר יתן מענה טלפוני למתקשרים .
יחד עם זאת הם אינם מקפידים לנעול את המחשב שלהם ואף חלק מהעבודים אפשרו למשתמשים לא מורשים לגלוש באינטרנט מחשבון המשתמש שלהם.
14. אין בקרה על גיבויי הרשת מחוסר מיומנות מקצועית של אנשי ה-System בארגון.
לא מתבצעת בקרה אמיתית אודות גיבויים שנכשלו.
15.אין תוכנית התאוששות מאסון(DRP) למערכות המידע בארגון,יחד עם זאת נמצא כי מסדי הנתונים מגובים מידי יום והמידע נשמר במקום מרוחק מידי שבוע.
16.לא קיימים מערכות אל פסק (UPS) למשתמשי המחלקה.
17.לא קיימת מודעות לכל נושא ה-Social Engineering בארגון ובמחלקה בפרט , קל מאוד להונות את אנשי המחלקה ואף לגנוב מהם סיסמאות ללא כל צורך בידע טכני.
18.לא מויישם בארגון פתרון למניעת זליגת מידע רגיש (Data Leakage Prevention) כדוגמת Varonis .
מידע רב מאוכסן בכונני רשת וההרשאות היחידות(ללא תיעוד יש לציין) הן ברמת NTFS.
19.סיסמאות רבות מאוחסנות מקומית על תחנות העבודה בקבצי טקסט פשוטים,אין יישום פתרונות איכותיים כדוגמת Cyber-Ark.
20.דרך העברת המידע בין הסניפים אינה מוצפנת.
לסיכום, העיקר ש:
1.משאבי אנוש מחתימים בכל חוזה את משתמשי הארגון על נהלי אבטחת מידע.
2.לא קיימת שום אכיפה או כל מנגנון ביקורת על מחשבי המחלקה.
3.לממונה על אבטחת המידע בארגון יש קו"ח המתפרסות על 4 עמודים בו מפורט בעיקר הרזומה העשיר בתחום האבטחה.
ככה זה כשנשיא החברה לא יודע מה מתרחש לו מתחת לאף...
הקשר בין אבטחת מידע לתשתיות לאומיות
לפחות פעם בשבוע , כאשר אני מגיע לאחד הלקוחות שלי אני נתקל בנוף הבא:
•החיבור בין ה- RTU - Remote Sensor ובין מרכז השליטה ובקרה מאפשר ציתות למידע העובר ברשת ושליחת פקודות אל המכונות השונות.
• החיבור בין מרכז השליטה, הבקרה ורשת הארגון / החיבור לאינטרנט מאפשר להתקפות IP להגיע אל מערכות הניהול ולטפל בהן כמו בכל שרת אחר.
• זיהוי הרכיבים השונים ברשת והגבלת התקשורת בין הרכיבים תאפשר חסימה של שליחת פקודות לרכיבים השונים שלא ממערכת הניהול.
• הקשחת הגישה אל הרכיבים השונים ברשת בכלל ולמערכת הניהול בפרט לא תאפשר למשתמשים שאינם מורשים לטפל במערכת.
• מאחר ומערכות ההפעלה הינן גרסאות מוקשחות של Windows ו- Unix/Linux אין אפשרות להתקין עליהם ’Patch שלא מאושרים על ידי יצרן מערכת ה-SCADA.
על מנת להגן על הרשת בצורה טובה יש לבצע את הפעולות הבאות:
• סגמנטציה נכונה של חלקי הרשת השונים והכנסת מוצר שמגביל את הגישה בין חלקי הרשת השונים מתוך הבנה של הפרוטוקולים שעוברים בתווך,בחברת חשמל וקצא"א הטמיעו את פתרון ה-Waterfall הנהדר המתבסס טכנולוגיית חד-כיווניות למניעת דלף המידע והגנה על תשתיות רשת קריטיות.
•מעבר מידע בין הסגמנטים באמצעות Proxy למניעת קשר ישיר בין הרשתות השונות.
•הגבלת הגישה לרשת לאנשים מורשים בלבד (וגם להם לאיזורים ספציפיים ולא לכלל הרשת).
• בניית רשימות Assets והגבלת היכולת להכנסת ציוד נוסף.
במדינת ישראל , מי שאחראי לאבטחת התשתיות הלאומיות ועמידה ברגולציות הם אנשי הרשות ,ואילו בארה"ב הם ה-NSA.
ההבדל ביננו לבינם הוא בעיקר בכל נושא הסנריו -מה שאנו מעלים על מצגת , הם כבר מנסים בפועל.
לאחרונה צפיתי בכתבה מדהימה מהתוכנית 60Minutes של רשת CBS News
שימו לב מה קורה כאשר תוקף חודר לתשתית לאומית ומשנה פרמטרים באחת המערכות:
http://www.youtube.com/watch?v=fJyWngDco3g&feature=related
לכתבה המלאה ב-2 חלקים וקטעים נבחרים בנושא:
http://www.youtube.com/watch?v=vbOLlNtRcQA
כמו כן גם הרגולוציות המחמירות על רשתות אלו דורשות מוצרים שהוסמכו לטיפול ברשתות אלו על ידי ארגונים מוכרים.
אי אפשר שלא לקשר את הנוף ישירות ל-SCADA.
מערכות Supervisory Control And Data Acquisition הן מערכות שו”ב וניהול ייעודיות המאפיינות גופי תשתיות לאומיות קריטיות כגון: חשמל, מים, גז, דלק, תקשורת,תחבורה וכו'. המידע במערכות הללו נשלח מהבקרים הפזורים בשטח אל מרכז השליטה וממנו עד למערכות הביצוע בזמן אמת.
מגוון האיומים המטריד את מנהלי אבטחת המידע בארגונים “רגילים” מתגמד לעומת האיומים העומדים למול עיניהם של האחראים על אבטחת המידע(CISO) ורצף העבודה השוטף בגופי תשתיות קריטיות, אשר משפיעים על חיי כולנו ביום יום.
ללא ספק, פגיעה במערכות קריטיות אלו עלולות ליצור 2 תרחישים קריטים ביותר:
1.פיגוע רב נפגעים-פיצוץ של תחנת כח,פגיעה בקווי נפט וגז אשר יעלה בחיי אדם.
2.השבתה של אזורים רבים עד מדינה כולה ומשבר הומניטרי חמור.
רשתות SCADA פרוסות בשטח גיאוגראפי נרחב אשר אינו מאפשר הגנה בנקודה אחת על כלל הרשת, לכן זוהו מספר סיכונים אליהן נדרש להתייחס:•החיבור בין ה- RTU - Remote Sensor ובין מרכז השליטה ובקרה מאפשר ציתות למידע העובר ברשת ושליחת פקודות אל המכונות השונות.
• החיבור בין מרכז השליטה, הבקרה ורשת הארגון / החיבור לאינטרנט מאפשר להתקפות IP להגיע אל מערכות הניהול ולטפל בהן כמו בכל שרת אחר.
• זיהוי הרכיבים השונים ברשת והגבלת התקשורת בין הרכיבים תאפשר חסימה של שליחת פקודות לרכיבים השונים שלא ממערכת הניהול.
• הקשחת הגישה אל הרכיבים השונים ברשת בכלל ולמערכת הניהול בפרט לא תאפשר למשתמשים שאינם מורשים לטפל במערכת.
• מאחר ומערכות ההפעלה הינן גרסאות מוקשחות של Windows ו- Unix/Linux אין אפשרות להתקין עליהם ’Patch שלא מאושרים על ידי יצרן מערכת ה-SCADA.
על מנת להגן על הרשת בצורה טובה יש לבצע את הפעולות הבאות:
• סגמנטציה נכונה של חלקי הרשת השונים והכנסת מוצר שמגביל את הגישה בין חלקי הרשת השונים מתוך הבנה של הפרוטוקולים שעוברים בתווך,בחברת חשמל וקצא"א הטמיעו את פתרון ה-Waterfall הנהדר המתבסס טכנולוגיית חד-כיווניות למניעת דלף המידע והגנה על תשתיות רשת קריטיות.
•מעבר מידע בין הסגמנטים באמצעות Proxy למניעת קשר ישיר בין הרשתות השונות.
•הגבלת הגישה לרשת לאנשים מורשים בלבד (וגם להם לאיזורים ספציפיים ולא לכלל הרשת).
• בניית רשימות Assets והגבלת היכולת להכנסת ציוד נוסף.
במדינת ישראל , מי שאחראי לאבטחת התשתיות הלאומיות ועמידה ברגולציות הם אנשי הרשות ,ואילו בארה"ב הם ה-NSA.
ההבדל ביננו לבינם הוא בעיקר בכל נושא הסנריו -מה שאנו מעלים על מצגת , הם כבר מנסים בפועל.
לאחרונה צפיתי בכתבה מדהימה מהתוכנית 60Minutes של רשת CBS News
שימו לב מה קורה כאשר תוקף חודר לתשתית לאומית ומשנה פרמטרים באחת המערכות:
http://www.youtube.com/watch?v=fJyWngDco3g&feature=related
לכתבה המלאה ב-2 חלקים וקטעים נבחרים בנושא:
http://www.youtube.com/watch?v=vbOLlNtRcQA
לסיכום, הגנה על רשתות SCADA מתבצעת על פי העקרונות המוכרים לנו מרשתות מסחריות רגילות )סגמנטציה, הגנה על פי התנהגות הרשת, הגנה על אפליקציות וכו') אך המוצרים נדרשים להכרות מקיפה עם הפרוטוקולים הייחודים וההתקפות הייעודיות שפעילים בסביבה זו.
כמו כן גם הרגולוציות המחמירות על רשתות אלו דורשות מוצרים שהוסמכו לטיפול ברשתות אלו על ידי ארגונים מוכרים.
יום שבת, 19 ביוני 2010
פרויקט מידור הדפסות-תם ונשלם
ברוב הארגונים שאני מכיר כמעט בכל קומה מוצבת מדפסת מרכזית משותפת לכלל משתמשי הקומה.
בד"כ זו מדפסת גדולה מסוג מולטי אשר משמשת גם כמכונת צילום ופקס.
אחוז גדול מן ההדפסות שנשלחות למדפסת נשאר במדפסת ולא נאסף ע"י העובד שהפיק את ההדפסה.
חלק מההדפסות מכילות מידע רגיש (כדוגמת מכתבי פיטורין ,הסכמי סודיות,מכרזים , הזמנות רכש,מכתבי תלונה ועוד) אשר הגעתו לאדם שאינו מורשה עלול לגרום לארגון נזק תדמיתי רב.
מאחר ולא תמיד ניתן בכל מחלקה או חדר לשים מדפסת (כמו בארגון שלנו) , החליטו להטמיע את פרויקט ה-Sentinel.
למעשה , מדובר במערכת המורכבת מבקר הדפסה פיזי (RFID) המחובר למדפסת המרכזית ומתוכנה המותקנת על שרת ההדפסות המרכזי (Spooler).
המערכת מאפשרת שליטה על כל תהליך ההדפסה.
לאחר שליחת ההדפסה ע"י העובד שרת ההדפסה "נועל" את המסמך עד לשחרורו ע"י הקשת קוד בבקר או העברת תג העובד שלו (RFID) בבקר.
כך מתבצע זיהוי המשתמשים:
מאחר ובארגון שבו אני עובד עובדים מול Active Directory ביצעתי אינטגרציה של מערכת
ה-Sentinel מול פרוטוקול (LDAP (Lightweight Directory Access בפורט TCP 389.
תחת שדה ה-Pager בטאב Telephon הזנו את מספר כרטיס ה-RFID פר משתמש.
כאשר המשתמש שלח הדפסה בפעם הראשונה-המערכת יצרה אותו בצורה אוטומטית(היו מקרים בהם נאלצתי אף להזין את המשתמשים ידנית ע"פ login name והמספר RFID)
מעבר לנושא המידור-המערכת נועדה לייעול ההדפסות תוך חסכון בעלויות.
באמצעות המערכת ניתן לבקר את ההדפסות , להגביל משתמשים ע"פ פרמטרים שונים,לקבל התראות בזמן אמת אודות חריגות ואף לבצע חיתוכים שונים ולהנפיק דוחות.
הרעיון הוא שאם תוך שעתיים (או כל זמן אחר שנקבע) המשתמש לא בא לשחרר את ההדפסות -הם יימחקו משרת ה-Spooler.
מה המערכת מתיימרת לעשות ולא באמת עושה?
לא ניתן באמת למנוע ממשתמש לשלוח הדפסות אל המדפסת(גם אם אין לו הרשאות NTFS על המדפסת)
שכן הוא תמיד יכול להתקין את המדפסת בצורה מקומית על המחשב ולהתחבר כ-Standart TCP/IP Port.
אנשי השירות טוענים שניתן לנעול את המכונה שתעבוד נטו מול הבקר , אך בדגמים שאני בדקתי כדוגמת Samaung ו-DSM 725 הדבר בלתי אפשרי ועל פניו נראה כי המצב דומה גם במדפסות רשת אחרות .
לסיכום,המערכת בעייתית מאוד,מלאה באגים,החומרה סינית ,זולה ומתכלה ,הרעיון נחמד!
בשעה טובה ומוצלחת , ירדה לי אבן מהלב.
בד"כ זו מדפסת גדולה מסוג מולטי אשר משמשת גם כמכונת צילום ופקס.
אחוז גדול מן ההדפסות שנשלחות למדפסת נשאר במדפסת ולא נאסף ע"י העובד שהפיק את ההדפסה.
חלק מההדפסות מכילות מידע רגיש (כדוגמת מכתבי פיטורין ,הסכמי סודיות,מכרזים , הזמנות רכש,מכתבי תלונה ועוד) אשר הגעתו לאדם שאינו מורשה עלול לגרום לארגון נזק תדמיתי רב.
מאחר ולא תמיד ניתן בכל מחלקה או חדר לשים מדפסת (כמו בארגון שלנו) , החליטו להטמיע את פרויקט ה-Sentinel.
למעשה , מדובר במערכת המורכבת מבקר הדפסה פיזי (RFID) המחובר למדפסת המרכזית ומתוכנה המותקנת על שרת ההדפסות המרכזי (Spooler).
המערכת מאפשרת שליטה על כל תהליך ההדפסה.
לאחר שליחת ההדפסה ע"י העובד שרת ההדפסה "נועל" את המסמך עד לשחרורו ע"י הקשת קוד בבקר או העברת תג העובד שלו (RFID) בבקר.
כך מתבצע זיהוי המשתמשים:
מאחר ובארגון שבו אני עובד עובדים מול Active Directory ביצעתי אינטגרציה של מערכת
ה-Sentinel מול פרוטוקול (LDAP (Lightweight Directory Access בפורט TCP 389.
תחת שדה ה-Pager בטאב Telephon הזנו את מספר כרטיס ה-RFID פר משתמש.
כאשר המשתמש שלח הדפסה בפעם הראשונה-המערכת יצרה אותו בצורה אוטומטית(היו מקרים בהם נאלצתי אף להזין את המשתמשים ידנית ע"פ login name והמספר RFID)
מעבר לנושא המידור-המערכת נועדה לייעול ההדפסות תוך חסכון בעלויות.
באמצעות המערכת ניתן לבקר את ההדפסות , להגביל משתמשים ע"פ פרמטרים שונים,לקבל התראות בזמן אמת אודות חריגות ואף לבצע חיתוכים שונים ולהנפיק דוחות.
הרעיון הוא שאם תוך שעתיים (או כל זמן אחר שנקבע) המשתמש לא בא לשחרר את ההדפסות -הם יימחקו משרת ה-Spooler.
מה המערכת מתיימרת לעשות ולא באמת עושה?
לא ניתן באמת למנוע ממשתמש לשלוח הדפסות אל המדפסת(גם אם אין לו הרשאות NTFS על המדפסת)
שכן הוא תמיד יכול להתקין את המדפסת בצורה מקומית על המחשב ולהתחבר כ-Standart TCP/IP Port.
אנשי השירות טוענים שניתן לנעול את המכונה שתעבוד נטו מול הבקר , אך בדגמים שאני בדקתי כדוגמת Samaung ו-DSM 725 הדבר בלתי אפשרי ועל פניו נראה כי המצב דומה גם במדפסות רשת אחרות .
לסיכום,המערכת בעייתית מאוד,מלאה באגים,החומרה סינית ,זולה ומתכלה ,הרעיון נחמד!
בשעה טובה ומוצלחת , ירדה לי אבן מהלב.
Virtual Network Computing Vulnerabilities-VNC
Virtual Network Compting או בקיצור VNC הינו פרוטוקול תקשורת המאפשר שליטה מרחוק על מערכת מחשב. למעשה,VNC הינו פתרון Cross-Platform אשר מותאם לכל מערכת הפעלה, בין אם היא מבוססת ,UNIX, Linux
או Microsoft.
למערכת יתרונות רבים נוספים כדוגמת אופצית התחברות באמצעות הדפדפן(Java Client),תמיכה בריבוי חיבורים בו זמנית,ממשק נוח ומהיר לקינפוג(config) ואף הקוד מקור המקורי של VNC הוא קוד פתורן ברשיון -דבר שהופך את התוכנה לפופולארית ונפוצה מאוד בקרב ארגונים רבים אשר משתמשים באפליקציה לתמיכה מרוחקת (Remote Assistance) ועקב הגרסאות הרבות של הפרוטוקול האפליקציה הינה הבחירה המועדפת על רוב אנשי ה-HelpDesk (צוות התמיכה בארגונים) השונים.
איך זה עובד למעשה?
ל-VNC למעשה יש שני חלקים :Server ו-Client.
השרת למעשה הוא תוכנה המותקנת על המחשב המשתף את המסך שלו ואילו הלקוח הוא התוכנה אשר צופה ומנהלת אינטרקציה עם השרת.
החולשות שבמערכת החינמית(מה שקיים ברוב הארגונים):
1.כברירת מחדל , VNC אינו פרוטוקול מאובטח למרות שהסיסמאות לא נשלחות כ-Clear text עדיין ניתן לבצע Sniffing ברשת(אם כי זהו ענין לגופו) ולהריץ פיצוח של הסיסמה אל מול קבצי HASH .
2.מערכת אותנתיקציה-בגרסאות החינמיות אין אימות מול שרת LDAP,האימות מתבצע מקומית מול המכונה,כל אחד מורשה להכנס בהנחה שיש בידו את הסיסמה.
3.אחסון הסיסמה המקומית-הסיסמה אינה מוצפנת ושמורה במערכת הרישום (Registry).
ניתן לבצע Decryption לסיסמה ע"י Recovery Tools שונים כדוגמת VNCPwDump או איפוס הסיסמה באמצעות IntelliAdmin במידה ויש הרשאות מקומיות על התחנה.
האבסורד הוא שברוב הארגונים הסיסמה היא גלובלית ולא משתנה -כך למעשה כאשר משתמש יחשוף את הסיסמה שלו תהיה לו גישה לכלל תחנות הקצה בארגון.
4.קשה מאוד ליישם Tunnelling של פרוטוקול SSH או IPSec במיוחד בעמדות המריצות Windows.
5.כברירת מחדל , אנשי ה-HelpDesk לא משנים את הפורטים , וניתן בקלות לחשוף מחשבים כאלו
(5800,5900 וכו').
6.הפרוטוקול משולב באופן אנטגרלי עם אפליקציות לניהול מערך helpdesk כדוגמת SysAid.
7.קיימות גרסאות (בעיקר ישנות) אשר בהן יש חולשות אבטחה אשר מאפשרות לחדור למחשב ללא כל אימות וזאת באמצעות ניצול של Exploit אשר ניתן להוריד ללא כל תשלום מידידנו -"Google".
קיימים מספר פתרונות לסוגיה:
א.הקשחת הרשתות ומידור ברמת התשתית(נתבים,מתגים ו-FW) ,כך למעשה אנו נצמצם את הגישה.
ב.הטמעת מערכות VNC מסחריות התומכות באבטחה ,הצפנות, אימות המתבסס על NTLM וחשבונות Active Directory,ניטור חיבורי VNC לתחנות והתממשקות לשרת Syslog או SEIM/SOC.
ג.שימוש באפליקציה המבוססת Agent Less התומכת באימות AD כדוגמת Atelier Web Remote Commander.
השימוש אינו חינמי אך חוסך לנו את כל הכאב ראש של VNC ,שכן לעיתים ארגונים נמצאים תחת רגולציה ולא תמיד יכולים ליישם פתרונות כדוגמת VNC .
או Microsoft.
למערכת יתרונות רבים נוספים כדוגמת אופצית התחברות באמצעות הדפדפן(Java Client),תמיכה בריבוי חיבורים בו זמנית,ממשק נוח ומהיר לקינפוג(config) ואף הקוד מקור המקורי של VNC הוא קוד פתורן ברשיון -דבר שהופך את התוכנה לפופולארית ונפוצה מאוד בקרב ארגונים רבים אשר משתמשים באפליקציה לתמיכה מרוחקת (Remote Assistance) ועקב הגרסאות הרבות של הפרוטוקול האפליקציה הינה הבחירה המועדפת על רוב אנשי ה-HelpDesk (צוות התמיכה בארגונים) השונים.
איך זה עובד למעשה?
ל-VNC למעשה יש שני חלקים :Server ו-Client.
השרת למעשה הוא תוכנה המותקנת על המחשב המשתף את המסך שלו ואילו הלקוח הוא התוכנה אשר צופה ומנהלת אינטרקציה עם השרת.
החולשות שבמערכת החינמית(מה שקיים ברוב הארגונים):
1.כברירת מחדל , VNC אינו פרוטוקול מאובטח למרות שהסיסמאות לא נשלחות כ-Clear text עדיין ניתן לבצע Sniffing ברשת(אם כי זהו ענין לגופו) ולהריץ פיצוח של הסיסמה אל מול קבצי HASH .
2.מערכת אותנתיקציה-בגרסאות החינמיות אין אימות מול שרת LDAP,האימות מתבצע מקומית מול המכונה,כל אחד מורשה להכנס בהנחה שיש בידו את הסיסמה.
3.אחסון הסיסמה המקומית-הסיסמה אינה מוצפנת ושמורה במערכת הרישום (Registry).
ניתן לבצע Decryption לסיסמה ע"י Recovery Tools שונים כדוגמת VNCPwDump או איפוס הסיסמה באמצעות IntelliAdmin במידה ויש הרשאות מקומיות על התחנה.
האבסורד הוא שברוב הארגונים הסיסמה היא גלובלית ולא משתנה -כך למעשה כאשר משתמש יחשוף את הסיסמה שלו תהיה לו גישה לכלל תחנות הקצה בארגון.
4.קשה מאוד ליישם Tunnelling של פרוטוקול SSH או IPSec במיוחד בעמדות המריצות Windows.
5.כברירת מחדל , אנשי ה-HelpDesk לא משנים את הפורטים , וניתן בקלות לחשוף מחשבים כאלו
(5800,5900 וכו').
6.הפרוטוקול משולב באופן אנטגרלי עם אפליקציות לניהול מערך helpdesk כדוגמת SysAid.
7.קיימות גרסאות (בעיקר ישנות) אשר בהן יש חולשות אבטחה אשר מאפשרות לחדור למחשב ללא כל אימות וזאת באמצעות ניצול של Exploit אשר ניתן להוריד ללא כל תשלום מידידנו -"Google".
קיימים מספר פתרונות לסוגיה:
א.הקשחת הרשתות ומידור ברמת התשתית(נתבים,מתגים ו-FW) ,כך למעשה אנו נצמצם את הגישה.
ב.הטמעת מערכות VNC מסחריות התומכות באבטחה ,הצפנות, אימות המתבסס על NTLM וחשבונות Active Directory,ניטור חיבורי VNC לתחנות והתממשקות לשרת Syslog או SEIM/SOC.
ג.שימוש באפליקציה המבוססת Agent Less התומכת באימות AD כדוגמת Atelier Web Remote Commander.
השימוש אינו חינמי אך חוסך לנו את כל הכאב ראש של VNC ,שכן לעיתים ארגונים נמצאים תחת רגולציה ולא תמיד יכולים ליישם פתרונות כדוגמת VNC .
חוסר מודעות או חוסר אחריות?
השבוע הגיע אלינו אדם נחמד אשר הציג עצמו כמנהל פרויקטים של אחת החברות הגדולות במשק אשר מתמחות בניהול מערכות אבטחה למבנים,בקרת פריצה וטמ"ס(מערכת טלוויזיה במעגל סגור).
מטרת הביקור הייתה שדרוג מערכת האבטחה הפיזית של הארגון בו אני עובד.
מפאת חוסר מקום הצעתי לו להתיישב אצלי בעמדה ולעבוד ממנה.
תוך מספר דקות אני מוצא בעמדה של את הלפטופ שלו פתוח , ללא כל סיסמה עם הרשאות מלאות על המחשב.
מייד זיהיתי שהמחשב היה מחובר לרשת הארגונית (סביבת Domain) ועליו היו מותקנות מספר אפליקציות כדוגמת SecureClient (חיבור VPN לרשת הארגונית) ,Antivirus אשר יכולתי לנטרל בקלות ,וחבילת ה-Office כמובן.
אני מתיישב כמעט שעה על העמדה שלי ללא כל הפרעה מצד איש והוא עובד לו להנאתו באגף השני של הארגון.
להלן מספר סנריו (תרחישים) שיכלו להתרחש:
1.גניבת המחשב .
2.אירוע דליפת מידע-גניבת המידע וזליגת המידע מחוץ לארגון(Data Leakage) הכולל מסמכים מסווגים ורגישים.
3.התקנה של Malware על המכונה אשר יאפשרו לי לחדור לארגון ולהשתמש בקורבן כ"תחנת מעבר" לשאר מקומות בארגון ע"י השתלת סוסים טרויאנים(Remote Access Trojans) ,התקנת אפליקציות אשר יאפשרו לי לעקוף את מערך ה-Firewall של הארגון כדוגמת AmmyyAdmin,TeamViewer,WebEX ושירותים כדוגמת LogmeIN וכו'.
4.השתלת Keylogers תוכנה ואפליקציות מעקב כדוגמת SpyBuddy ו-Spytech ,גניבת סיסמת ה-VPN ואינפורמציה נוספת.
5.ריגול תעשייתי ומכירת מידע לחברות מתרות כדוגמת רשימת לקוחות , מסמכי פיתוח וכו'.
6.מניעת שירות עד השבתה של הרשת(Denial of Service Attack).
לאחר שעתיים כאשר סיים את עבודותו חזר אותו מנהל פרויקטים לעמדה שלי על מנת לקחת את הלפטופ .
כאשר שאלתי אותו אם הבחין בי מתעסק לו במחשב טען בשלילה.
כמו כן שאלתי אותו שאלות נוספות כדוגמת מדוע הוא אינו מקפיד על אבטחה פיזית(שכן הוא מומחה בתחום),מדוע אינו נוהג לנעול את מחשבו ,והסברתי לו את הסיכונים הנ"ל.
הוא היה המום , פעור פה והודה שאני צודק.
אני הייתי עוד יותר פעור פה , אחרי שהוא הראה לי תוכניות אבטחת מתקנים של מבנים סודיים בצה"ל שכן דליפתם יכלו לגרום נזק עצום וללא ספק גם לפיטוריו של אותו מומחה.
עצוב שהרבה מן החברות הגדולות בתחום אינן מבצעות הדרכות על בסיס שוטף תוך העלאת המודעות לאבט"מ.
מטרת הביקור הייתה שדרוג מערכת האבטחה הפיזית של הארגון בו אני עובד.
מפאת חוסר מקום הצעתי לו להתיישב אצלי בעמדה ולעבוד ממנה.
תוך מספר דקות אני מוצא בעמדה של את הלפטופ שלו פתוח , ללא כל סיסמה עם הרשאות מלאות על המחשב.
מייד זיהיתי שהמחשב היה מחובר לרשת הארגונית (סביבת Domain) ועליו היו מותקנות מספר אפליקציות כדוגמת SecureClient (חיבור VPN לרשת הארגונית) ,Antivirus אשר יכולתי לנטרל בקלות ,וחבילת ה-Office כמובן.
אני מתיישב כמעט שעה על העמדה שלי ללא כל הפרעה מצד איש והוא עובד לו להנאתו באגף השני של הארגון.
להלן מספר סנריו (תרחישים) שיכלו להתרחש:
1.גניבת המחשב .
2.אירוע דליפת מידע-גניבת המידע וזליגת המידע מחוץ לארגון(Data Leakage) הכולל מסמכים מסווגים ורגישים.
3.התקנה של Malware על המכונה אשר יאפשרו לי לחדור לארגון ולהשתמש בקורבן כ"תחנת מעבר" לשאר מקומות בארגון ע"י השתלת סוסים טרויאנים(Remote Access Trojans) ,התקנת אפליקציות אשר יאפשרו לי לעקוף את מערך ה-Firewall של הארגון כדוגמת AmmyyAdmin,TeamViewer,WebEX ושירותים כדוגמת LogmeIN וכו'.
4.השתלת Keylogers תוכנה ואפליקציות מעקב כדוגמת SpyBuddy ו-Spytech ,גניבת סיסמת ה-VPN ואינפורמציה נוספת.
5.ריגול תעשייתי ומכירת מידע לחברות מתרות כדוגמת רשימת לקוחות , מסמכי פיתוח וכו'.
6.מניעת שירות עד השבתה של הרשת(Denial of Service Attack).
לאחר שעתיים כאשר סיים את עבודותו חזר אותו מנהל פרויקטים לעמדה שלי על מנת לקחת את הלפטופ .
כאשר שאלתי אותו אם הבחין בי מתעסק לו במחשב טען בשלילה.
כמו כן שאלתי אותו שאלות נוספות כדוגמת מדוע הוא אינו מקפיד על אבטחה פיזית(שכן הוא מומחה בתחום),מדוע אינו נוהג לנעול את מחשבו ,והסברתי לו את הסיכונים הנ"ל.
הוא היה המום , פעור פה והודה שאני צודק.
אני הייתי עוד יותר פעור פה , אחרי שהוא הראה לי תוכניות אבטחת מתקנים של מבנים סודיים בצה"ל שכן דליפתם יכלו לגרום נזק עצום וללא ספק גם לפיטוריו של אותו מומחה.
עצוב שהרבה מן החברות הגדולות בתחום אינן מבצעות הדרכות על בסיס שוטף תוך העלאת המודעות לאבט"מ.
יום שישי, 18 ביוני 2010
ברוכים הבאים לבלוג שלי
צהריים טובים וברוכים הבאים לבלוג So-Secure.
הבלוג יעסוק בסיטואציות בנושאי אבטחת מידע בהם אני נתקל מידי יום.
הצעות,הערות,הארות ותגובות יתקבלו בברכה.
קריאה מהנה!
הבלוג יעסוק בסיטואציות בנושאי אבטחת מידע בהם אני נתקל מידי יום.
הצעות,הערות,הארות ותגובות יתקבלו בברכה.
קריאה מהנה!
הירשם ל-
רשומות (Atom)