Tuesday, January 23, 2007

שיחות פרטיות בIM - הצפנה בSimp

מזה מספר שנים ( מאז תחילת הBuzz עם ICQ ) אנו חווים עליה משמעותית בשימוש בIM כאשר אני חושב שבארץ - הנפוצים מכולם הם MSN Messanger והSkype. כשאני אומר נפוצים מכולם אני מתכוון בשוק העסקי. זאת מכיוון שכלי הIM כבר מזמן הפכו לכלי עבודה לכל דבר . לקוחות ונותני שירותים עובדים אחד מול השני בדרך זו , עבודה מול גורמים בארצות אחרות וכדומה.

אך יש לנו כאן מספר בעיות אבטחתיות . אתחיל בבעיה ופתרונה , ואקנח בבעיה שנובעת מהפיתרון.

ובכן , כאשר אנו משתמשים בכלי מסרים מיידיים כלשהם , המידע עובר בתעבורה לא מוצפנת ובדרך כל עובר לתירגום בינארי אשר די פשוט לבצע לו פתיחה בכלי HEXA למיניהם ( פרט לסקייפ אשר מוצפן SSL ). ולכן כאשר אנו משוחחים עם אדם על נושא מסויים , ומסיבה מסויימת רוצים להעביר לו סיסמה שלנו דרך הIM, יכול גורם עויין ליירט את ההודעה , ומעתה הסיסמה שלנו בידו. זוהי רק דוגמא קטנה כמובן , כי הרי אנחנו עושים הרבה יותר מזה, אנחנו מספרים על הריבים עם המשפחה , מדברים על חיפוש עבודה במקום אחר ואפילו העתק\הדבק למידע סודי מתוך מסמכים סודיים בחברה.

הפיתרון יכול להיות פשוט - חברת Secway הצרפתית מפתחת מוצר בשם Simp אשר מתלבש על תוכנות הIM שלנו , ומצפין את המידע בהן על גבי פרוטוקול הצפנה RSA. ובכך בעצם יוצר כמו VPCN ( המצאתי עכשיו - Virtual Private Chatting Network ) בין שני הצדדים ( או ריבוי הצדדים ) כמובן שמדובר בהצפנה אסטימטרית , אז אין צורך בהחלפת מפתחות ידנית אלא שימוש באלגוריתם Diffie Helman או דומים לו, לצורך החלפת המפתח. כמובן שבכדי להצפין שיחה כזו יש צורך שלשני הצדדים יהיה מותקן הSimp ( אשר קיים גם בגרסאת חינם ).

הבעיה פה היא יותר של מנהלי אבטחת מידע , שכן ברגע שהם בוחרים לאפשר שירות כמו מסנג'ר מתוך הנחה שהם יכולים לנטר את השיחות עצמן על ידי כלים שונים, יכול משתמש להתקין Simp ובעצם להצפין את כל השיחה ובכך למנוע מצוותי אבטחת המידע בארגון לדעת האם נגנב מידע מהארגון. או האם בוצעה הפרה של מדיניות כזו או אחרת בנוגע להעברת מידע על גבי מדית רשת. מה שמתגלה ברוב הפעמים כבעיה העיקרית להטמעת הפיתרון מסוג זה. שימו לב שארגונים רבים מפחדים להטמיע פתרונות כמו SKYPE מהסיבה הזו ממש.

אחד הפתרונות שאני מיישם לכך הוא בניית חתימה בIPS אשר מזהה החלפת מפתחות בין משתמשים שפתוח ביניהם תווך של IM לעולם, ובכך למנוע הפעלת התוכנה למשתמשים לא מורשים לכך.

Labels: ,

ממצאים מעניינים -Proactive AVC Report

לכל מי שלא מכיר את האתר www.av-comparatives.org , מדובר בארגון אשר מבצע בדיקות עצמאיות לא תלויות מותג לאנטיוירוסים שונים בכל פרק זמן של חודשיים , עם הגרסאות האחרונות הקיימות לאותה נקודת זמן. ותמיד על אותו מפרט חומרה ותוכנה מתחת למעטפת פתרון האנטיוירוס הנבדק.

ובכן , האתר בונה שתי תצורות פרופיליות , האחת היא בדיקה On-Demand של וירוסים אשר עוברים על הI/O של המערכת. והשניה היא בדיקה Proactive , כלומר בדיקה כיצד מנגנון זיהוי הHuristics של האנטיוירוס מסוגל לתפוס וירוסים המוגדרים Wild-Viruses אשר אין להם חתימה, למשל וירוסים פולימורפיים.

ובכן, מאחר ובדיקה אמיתית ליכולת של AV היא בדיקת הHurisitics Engine שלו ( זוהי דעתי והיא נובעת מכך שבסופו של דבר החתימות אצל כל היצרנים זהות לאחר זמן התאמה של עד שבוע מיציאת הגילוי הראשון לוירוס ), החלטתי להתייחס רק לדוח הפרואקטיבי מחודש נובמבר 2006.

http://www.av-comparatives.org/seiten/ergebnisse_2006_11.php

ניתן לראות בדוח בבירור את פילוח ההתנהגות של אנטיוירוסים שונים תחת עומס של וירוסים מסוגים שונים ) שימו לב שלא מדובר על בדיקות בדרכים מתוחכמות במיוחד , אלא רק העברת הוירוס לתוך הINET או לתוך הI/O של המחשב בכדי לעבור דרך המנוע של האנטיוירוס. לא הופתעתי לגלות ששוב NOD32 עשה את שלו בענק.

ההפתעה באה בעיקר מ4 מנועים, מבחינתי לפחות :
1. מנוע F-Secure אשר מוטמע במוצרי NBAV שהם Network Based AntiVirus תופס פחות בצורה משמעותית מאשר אנטיוירוסים בעלי תקציב פיתוח גדול בהרבה משלהם , ואשר משמש כמנוע עיקרי במספר רב של פתרונות , מה גם שהוכח איטי בבדיקה זו. נדמה לי שזה המנוע שCHECKPOINT הטמיעו בגרסאות הVPN-1 UTM שלהם.
2. KASPERSKY נמצא יעיל בערך כמו הF-Secure , להזכירכם שהמנוע יושב במוצרי ליבה כגון ESAFE וכגון JUNIPER-SSG . נקוה שבדוח הבא - גרסאות מעודכנות יותר - יהיה יותר טוב.
3. AntiVir , מעולה ! הופתעתי לטובה , שכן האנטיוירוס המצויין הזה ( בדקתי לחוד .. ) הצליח להבריג עצמו בין הטובים ביותר.
4. כוכב עולה נוסף - אבל זה כי לא הכרתי אותו הוא TrustPort - שלמרות איטיותו ( במעבדה שלי לא הרגשתי כי הכל רץ על חומרות חזקות ) נכנס לספקטרום של הגדולים.

McAfee ו Symantec פשוט לא הפתיעו. איפשהו בשנים האחרונות , שתי החברות מנסות למצב עצמן כנותנות שירותי All&All ופחות כAntivirus Vendor , והירידה בהשקעה ניכרת.

אגב , BitDefender המהולל ( והאנטיוירוס שאני הכי אוהב ) סיפק סחורה לא רעה, אפילו בגרסה 9.5 שבה נבדק. שימו לב , ניתן כיום לקנות אותו דרך Wallashops , סוג של קמפיין אני מניח.

Labels: ,

Wednesday, January 17, 2007

Defacement - Nortel.co.il - האקרים ערבים


היום בבוקר, חיפשתי לעצמי קצת חומר על מתג של חברת NORTEL , וייתכן שטעיתי בURL כי התמונה המצורפת לכתבה ( תלחצו להגדלה ) מראה בדיוק מה שאני ראיתי תחת www.nortel.co.il.
כרגיל , Defacement. אני מניח שלא מדובר באתר האמיתי של נורטל ( בבדיקת WHOIS רואים שהדומיין בבעלות אדם בשם michael ben ami ללא כל הקשר לחברת נורטל )..

עם זאת , מדהים עד כמה התפתחו החבר'ה.
אני שב כל פעם אל המציאות המעניינת , בה האקרים ערבים הפכו להיות פשוט דור מעולה של אנשי סייבר-טרור. ויש לזה מספר אלמנטים שלא רואים בשום מקום אחר . למעשה אין הרבה האקרים ערבים ברמה טכנית גבוהה במיוחד , אבל מה שמייחד את קהילת ההאקרים הערבית ( בדומה לקהילת ההאקרים ביפן ) היא הרצון לחלוק מידע.

האקרים ישראלים נוהגים לעבוד בשיטת "אני יודע את זה , ורק אני , וככה הכי טוב" לעומת האקרים ערבים אשר מטרתם שונה - להפיל אתרים ישראלים ולחדור למערכות בישראל ולכן אם יש נניח 50 האקרים טובים , שמצליחים כל אחד להגיע ל1000 אנשים לא מאוד טכניים ( ובואו נהיה כנים - באינטרנט לא קשה להגיע לקהל יעד כזה ) , ולתת להם כלים בסיסיים - אז יש לנו כח מתקיף עצום .

למעשה אותם האקרים בונים מדריכים של DO-IT-YOURSELF לתצורות DEFACEMENT למשל של אתרים ( ממש מדריכים לפי שלבים של 1 עד 10 וכדומה ) אשר מסבירים אפילו עם תמונות כיצד לבצע כל שלב, ומפיצים אותם.

לפני מספר חודשים נתקלתי במסמך כזה והוא תורגם לי על ידי חבר ( כן כן ) שהראה בצורה הכי אווילית ופשוטה איך לשבור סיסמה של FTP באתרי אכסון שונים ולהחליף את עמוד הבית. אני חושב שבמקרה של האתר nortel.co.il , בזה אכן מדובר.

כל עוד האופי הישראלי יהיה בתפיסה "מבוצרת" לא נגיע לאותה רמה ( מבחינת נפח פעילות ) אשר מגיעים אליה האקרים מקהילות אחרות , וזה חבל. יש לנו יכולת להתקדם ולהשפיע , ומי שנמצא בתחום יודע שהיי-טק בניגוד לתיירות , הוא תחום שבו הגורם הישראלי הוא רצוי ומשפיע.

Dont Learn To Hack , Hack To Learn.

בארי.

Labels: , ,

Tuesday, January 16, 2007

ביקורת - Practical Cryptography



אני יודע שלא כתבתי יחסית זמן רב , אבל יש כל מיני נושאים שאני עובד עליהם לאחרונה אשר מוציאים ממני את מלוא תשומת הלב והזמן שנותר לי במהלך היממה , אחד הנושאים הללו בא לסיומו אתמול בלילה , סיימתי לקרוא את הספר היחיד של ברוס שנייר שלא קראתי עד כה. ובצעד נחמד שכזה החלטתי לקחת קצת זמן ולכתוב ביקורת על הספר - Practical Cryptography.

למי שלא יודע , ברוס שנייר הוא מתמטיקאי ואסטרו-פיזיקאי אשר עשה הסבה לפני שנים רבות לעולם אבטחת המידע ,בדרך כתב מספר אלגוריתמי הצפנה כגון BLOWFISH וכמובן TWOFISH ועזר רבות לחקר בתחום ( היום יו"ר חברת Counterpane שנרכשה לא מזמן על ידי BT ), אחר מספריו המוקדמים של שנייר הוא הספר "Applied Cryptography" אשר יש שמכנים אותו כספר הטוב ביותר והתנך של ההצפנה כיום, ואין מומחה הצפנה בעולם שלא קרא אותו או שהספר מונח לו על המסף כרפרנס. הספר עסק בפירוק של כל אלגוריתמי הצפנה , עולם החתימה הדיגיטלית והPKI וכמובן פירוק לגורמים של אלגוריתמי הצפנה רבים.

ובכל זאת מה החידוש בספר החדש ? ובכן , החדירה לפרטים ודקויות. אם בספר הקודם הייתה ירידה ממש לרמת הקוד , הספר הזה מדבר יותר למומחי מחשוב ולמתמטיקאים ולאו דווקא למומחי הצפנה . נכון יש לנו פה המון המון פרטים על איך כל דבר עובד - אבל יותר בHIGH LEVEL כך שגם מי שעולם ההצפנה אינו טבע שני לו - יוכל לקרוא ולהבין חלקים נרחבים מהספר.

אולי החלק הרלוונטי לרוב אנשי אבטחת המידע הוא אותם פרקים בהם מסביר שנייר מדוע כדאי להשתמש במה ואיפה לפי SCENARIO שונים ומשונים. אישית, אני חולק על חלקים רבים בפרקים הללו אך לא ניתן לפסול ולא ללמוד מאדם שבנה קריירה על הצפנה.

אני ממליץ בחום , תקראו ולא תתאכזבו , אולי אני חנון , אבל הספר הלך לישון איתי כל לילה במהלך השבוע האחרון ( משום מה הוא התעורר גם לפני )

ISBN-10 : 0471223573 את שלי קניתי כמובן באמאזון.

Labels: ,

Sunday, January 07, 2007

סיכום ל2006 , ברוכה הבאה 2007

טוב, כמו כל בלוגר שאני מכיר ... שסיכם את השנה בצורה זו או אחרת, אני מניח שגם
תורי קרב ובא . ועם בוא השנה החדשה , יש לי גם כמה מילים להגיד.

בפן האישי , הייתה זו שנה נהדרת , ומי שאמורה לדעת למה - יודעת. לקחתי כל מיני צעדים חשובים ובעלי משמעות רבה כדי להתקדם לכיוונים חדשים ולאופקים חדשים.

בפן המקצועי , היה מעניין , ראיתי מהכל , מהטוב ומהרע . קידומים, טכנולוגיות במגע יד, וכמובן הבלוג שלי שנפתח לפני חודש וחצי לראשונה ( תודה רבה לגיא מזרחי על השכנועים ). אין לי תלונות וזה נדיר , כי אני אדם מאוד מאוד ביקורתי , בטח ובטח לגבי התחום שבו אני עוסק. השנה הזו הייתה מלאה בחידושים והמצאות .

מה היה לנו בSECURITY ששווה התייחסות ( מצידי , כי כמובן היו דברים רבים שפספסתי ) :
1. ISO 27001 קרם עור וגידים , ובקרוב יחליף את הISO 17799 ויתן לנו קצת יותר אור בעולם קשה של בניית הגנה לפי רגולציה ( או לפי BEST PRACTICE ).
2. צ'קפוינט התעוררה ! , החברה שהכרזתי עליה בתחילת השנה כחברה ב"תרדמת" התחילה להבין מה קורה בשוק ושהSTATEFUL FIREWALL שלה כבר לא משחק בתחרות פרט לשם החברה. בעיקר בשל תחרות יפה מצד חברה מצויינת בשם "פורטינט" שמנוהלת כיום על ידי אחד מגאוני אבטחת המידע - מר דיויד ממן.
3. CYOTA נרכשה על ידי RSA ( שלאחר מכן נרכשה על ידי EMC ) מה שעניין מאוד מאחר וCYOTA פתחו בקרת זהויות מבוססת פרופילים אינטלגנטיים מרשימים מאין כמוהם.
4. השוק התעורר , השנה הייתה ללא ספק שנה שבה אנשי אבטחת מידע קיבלו משרות טובות יותר, ומעמדם בחברות השתפר ( קמו חברות אינטגרציה לאבטחת מידע רבות ).
5. יצאה מערכת הפעלה של MICROSOFT - הVISTA . ולא נפרצה לאחר חודש ( נכון לרגע הכתיבה אנחנו עדיין לא יודעים על פריצת אקטיבציה שעובדת לגמרי ).

מובן שהיו עוד אירועים , דברים חשובים יותר ודברים חשובים פחות , אני פשוט שולף מהכובע מה שעולה במוחי הקודח ( והטרוד לקראת השנה החדשה ). טכנולוגיות רבות הציפו אותנו , ברוס שנייר כתב עוד ספר , היה טוב , באמת היה.

אני מצפה לשנת 2007 בכליון עיניים , רוצה לראות מה תביא , מה נראה חדש , אילו פרצות חדשות , התקפות חדשות , דרכים חדשות להתקפה ( שלא נראו כבר זמן רב ) יצוצו ויגרמו לאנשים כמוני להתפתח ולפתח.

שנה טובה לכולם,
בארי שטיימן.

Labels: ,


About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites