Thursday, September 27, 2007

מאמר מצויין בנושא פגיעות אתרי אינטרנט

בעקבות גל הכתבות שאני נתקל בו בארץ לגבי פגיעות אתרי אינטרנט , ובהמשך לתקופה בה גם אני וגם גיא מזרחי נוטים לפרסם מידי פעם פגיעות אחר פגיעות באתרי אינטרנט . חשוב לי להביא קצת מעבר .

לצורך העניין אשתמש במאמר שחובר על ידי ג'רמיה גרוסמן מחברת Whitehatsec אשר פרסם את המאמר הבא ( לחץ על הקישור ) באתר שלהם , המתאר את הטעיות הנפוצות של חברות עסקיות בנוגע לבנית אתרי האינטרנט הארגוניים שלהם והלוגירה השגויה המלווה את התהליך . הערת ביניים - Whitehatsec מתמחים בניהול סיכונם עבור אתרי אינטרנט.

למזלי , המאמר מספר מידע רב , ואין לי כלכך מה להוסיף עליו בשלב זה , המאמר בנוי על 7 הטעויות הנפוצות בגישה לפיתוח ותחזוקת אתרי אינטרנט אשר גורמים להם להיות חשופים להתקפות מצד האקרים. השפה היא שפה יומיומית ונוחה ואני מאמין שיש תועלת רבה שניתן להפיק מקריאה שלו.

המאמר מראה גם את אחת הפריצות היותר יפות שאני זוכר ( אם כי הפשוטות ) בה האקר השתמש בלוח הודעת שהופיע באתר רשת חדשות , והיה מקושר לאותו מסד נתונים אשר משמש את מערכת הטלויזיה. ההודעות עברו אישור מערכת ואז הוכנסו ללוח השידורים - אותו האקר הכניס הודעות לגיטמיות , ולאחר שאושרו , שינה אותן כרצונו. , הן כמובן הוקרנו בטלויזיה ( יש תמונות )

תהנו.

[ פוסט תוקן ב27.9.07 ]

Labels: , , ,

Cisco.com XSS Vulnerability Found

A few days back , I have read about a Cross-Site-Scripting vulnerability in cisco's search engine. this vulnerability enables a hacker to use the cisco.com website for phishing purposes and for "man-in-the-browser" attacks.

With the code ( posted as a link ) following , one could send a user to cisco's website and bounce off to his own bogus machine. i did not check for any further enrichments of this exploit , but it seems strange that this kind of thing could come out on a website that is as secure as cisco.com. I really believe that there are Application Layer Firewalls defending cisco's website, and if there are any - are they misconfigured ?

I have reported this vulnerability to a friend of mine at cisco's security proffesional services team in EMEA , and i hope this will soon be fixed.

Here is the POC code :

http://cisco.com/pcgi-bin/search/search.pl?searchPhrase=%27+onmouseover%3D%22location.href%3D%28%27http%3A%2F%2Fwww.cnn.com%27%29%22+value%3D%27&x=20&y=15&accessLevel=Guest&language=en&country=US&Search+All+Cisco.com=cisco.com

Notice that the code bounces you to www.cnn.com website , but anything can be put here. which makes you wonder ...

Anyway, I cannot give credit to this code to any specific Hacker\Hacking Group because i have seen a similar code at more than one of my resources , each from a different country . strangely enough - they all came out in the same 24 hours. script kiddies ?

As i was promised by my cisco friend - this is not a light weighted issue for a company of that size , and i believe that the fix will come very soon.

 

Labels: , , , ,

Tuesday, September 25, 2007

פרצת אבטחה במנוע החיפוש החדש של תפוז

היום קיבלתי משני האקרים חביבים העונים לכינויים GOURANGA , Shed0\Tomer40 - מייל המתאר פרצת אבטחה שהם מצאו במנוע החיפוש החדש של תפוז. כמובן שהכנתי לכם מייד סרטון שמראה POC לפרצת האבטחה, ובמקביל שלחתי אימייל למערכת תפוז , בנוגע למנוע החיפוש ולבעיה שנמצאה. כך שייתכן שעד לזמן הפרסום , תיחסם הפרצה.

לא בדקתי אם מדובר באפשרות ליצור Persistant XSS , אבל בהחלט ניתן לגנוב עוגיות מהדפדפן של המשתמש המותקף ולשלוח אותן לאן שאנחנו רק רוצים.

הקוד לביצוע הXSS:

http://www.tapuz.co.il/search/search.asp?q=%3C%2Ftitle%3E%3Cbody+onload%3D%22alert%28document.cookie%29%22%3E%3C%2Fbody%3E%3Chead%3E%3Ctitle%3Ewanksta&tapuzGoogleSelection=1

תודה ל Shed0\Tomer40 ול GOURANGA על העבודה הטובה של מציאת הפרצה, וכמובן שיתוף המידע. 

אני מעודד תמיד מציאת בעיות אבטחת מידע באתרים מובילים בארץ ,כל עוד נשמרים כללי האתיקה. כמובן שאחד הדברים היותר חשובים לי, הוא לדווח לאותן רשויות וארגונים על הפרות בכדי שיוכלו לתקן אותן לפני שיגרם כל נזק.

Labels: , , , ,

Sunday, September 23, 2007

איך להקים שרת קבצים פשוט ובטוח על Linux

בעקבות מספר בקשות ושאלות שנשאלתי בדואר אלקטרוני ועל ידי כל מיני חברים ( בעיקר בעקבות הקמת שרת הקבצים הביתי שלי ) החלטתי לבנות מעין מדריך קצר ולעניין, אשר מסביר כיצד מקימים שרת קבצים פשוט מבוסס לינוקס. שימו לב , לא שמתי יותר מידי דגשים על התממשקויות למערכות צד שלישי וכדומה, אלא בעיקר על יצירת מערכת SHARING עובדת עם רמת אבטחה סבירה.

הסיבה לכך שהקמתי את שרת הקבצים הייתה - ריבוי הסרטים , שירים , קליפים , מסמכים ותמונות שיש לי ברשת הביתית שלי , והקושי בנגישות אליהם בכל פעם. החלטתי שאני רוצה לאפשר לכל המחשבים לצפות בסרטים , לנגן שירים ולראות תמונות באותו הזמן , וכמובן בקוד פתוח ובקלות. יחד עם כל שרתי הקבצים הנמכרים כיום לשימוש ביתי במאות דולרים - החלטתי שזה לא בשבילי - אני צריך משהו שאפשר לשדרג כל הזמן , ומשהו שיעלה מעט.

חומרה נדרשת :

המפרט אשר אני ממליץ עליו לצורך הקמת שרת ביתי שכזה :

  • מחשב מדף פשוט עד 1000 ש"ח ( ניתן לקנות בכל חנות אינטרנט ) עם בקר SATA ומפרט בסיסי.
  • להוסיף הרדיסק SATA לפי הצורך - אני ממליץ 500GB של WD ( בערך 500 ש"ח ).
  • להחליף קירור בקירור שקט של 12" למאווררים - ( כ50 ש"ח ).
  • כרטיס רשת 10/100 כלשהו, עדיף Intel בגלל התמיכה ללינוקס ( כ 35 ש"ח )

החומרה שלי ( הייתה קיימת , ולכן השתמשתי ) :

אני השתמשתי ב : מחשב VIA EPIA 1200 פשוט עם 256MB זיכרון ( אולי אגדיל ) דיסק קשיח 40GB למע' הפעלה ( IDE ) בקר PCI עבור כרטיס RAID של Sweex ( בחומרה ) שאליו מחוברים 2 דיסקים של 500GB בRAID1 ( זה כי אני תמיד מגזים ) וכמובן ממשק רשתי פשוט של 10/100 של INTEL.

LINUX :

כדאי לדעת צעדי לינוקס בסיסיים בכי להשתמש במדריך הזה , בכדי להקל על עריכת קבצים וההתקנה אותה אין בכוונתי להסביר כאן. לצורך ההקמה נשתמש בCENTOS LINUX 5 אשר ניתן להוריד בחינם מהקישור הבא mirror.isoc.org.il . שימו לב , יש להוריד או DVD או 6 דיסקים , למרות שלא נצטרך את כולם. אגב, כל גרסת לינוקס תתאים. -- יש להתקין את הלינוקס נקי לחלוטין , ולדעתי אין צורך בFIREWALL עליו.

SAMBA :

בלינוקס , הגורם המקשר את סביבת פרוטוקול SMB של חלונות , לבין לינוקס - הוא פרוייקט סמבה , אשר משמש כממשק בין מערכות ההפעלה השונות. בעצם המטרה שלנו היא לקבל SHARE של מחשב הלינוקס - במחשבי החלונות שלנו.

יש להתקין את samba על המחשב , ולהקפיד על גרסה אחרונה כמובן ( בסביבת REDHAT\CENTOS\FEDORA הפקודה היא yum -y install samba )

כעת יש להוסיף משתמשים למערכת , לצורך העניין נקרא למשתמש linuxshare במדריך זה ( למי שלא זוכר , מוסיפים משתמש זה על ידי useradd -m -G users -s /bin/bash linuxshare ) אסמן את שם המשתמש עם קו תחתי מעכשיו , שיהיה קל לשים לב ולשנות בהתאם.

יש לקבוע למשתמש החדש סיסמה על ידי passwd linuxshare

כעת יש לערוך את הקובץ - etc/samba/smb.conf/ אשר מכיל את הקונפיגורציה המתאימה לאפליקציה ויש להכניס את השורות הבאות.

# general definitions
[global]

workgroup = MSHOME
server string = My File Share
log file = /var/log/samba/log.%m
max log size = 50 

# security config
security = user
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny= 0.0.0.0/0

# server password file
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd

# shares
[FileServer]
comment = File Server Share
path = /home/linuxshare
valid users = linuxshare
public = no
writable = yes
printable = no
create mask = 0765

הערה : שימו לב לשורת הhosts allow , אשר משמשת כמעין IP FILTER שמאפשר התחברות רק מכתובות הרשת הרלוונטית , יש לשנות בהתאמה , כמובן את 127. רצוי להשאיר כי מדובר בloopback

כעת עלינו להעתיק את קובץ הסיסמאות של מע' ההפעלה בכדי לשייך את המשתמשים הקיימים במערכת למערכת הSAMBA שלנו על ידי -

cat /etc/passwd | mksmbpasswd.sh > /etc/samba/smbpasswd
chmod 600 /etc/samba/smbpasswd

כעת עלינו לקבוע סיסמת משתמש השיתוף על ידי הפקודה

smbpasswd linuxshare

עתה נפעיל את הישום בפעם הראשונה ואף נוסיף אותו לסקריפט העליה של המחשב ( בכדי שיעלה בכל פעם מחדש כמובן )

service smb start
/sbin/chkconfig --level 345 smb on

זהו , כעת לכו ל"שכנים ברשת" והתחברו לשרת שלכם באמצעות השם והסיסמה שבחרתם. במידה ועקבתם אחר כל ההוראות , זה אמור לעבוד.

אולי הייתי מוסיף גם CLAMAV בתור אנטיוירוס שיסרוק כל העתקת קבצים לשרת ( אצלי יש AV רשתי )

אני מאמין גדול בשרתי קבצים ביתיים , אני מאמין שהם מקלים את העבודה,  לטווח ארוך חוסכים באמצעי אכסון ומשאבים - שכן אין צוך שלכל מחשב בבית ( ולי יש 8 פעילים ) יהיה  דיסק קשיח מפוצץ , אלא מספיק שיהיה משהו כמו 80GB למשתמש ממוצע ( אני לא ממוצע כנראה ) ושיהיה שרת קבצים עם רוב האכסון עליו , כך ניתן להגדיר לכל משתמש נפח משלו , או נפח אכסון כללי לכולם , אצלי למשל הMy Documents בסביבת הWindows הוא בעצם Mount לכונן רשתי מתאים.

אגב , ניתן לשלב במערכת גם CLAMAV אשר בודק את הקבצים הנכתבים לדיסק המשותף , אצלי זה מוטמע , אבל פוגע בביצועים ,כשאני אמצא איך לשפר - אני אכתוב מדריך גם לזה פה. בנתיים המחבר בין האלמנטים הוא בunstable ולכן לא רלוונטי.

בהצלחה.

Labels: , , , , , , , ,

Friday, September 21, 2007

PayPal פותחת את שעריה לישראל

למי שלא יודע , עד היום יכולנו לרכוש באמצעות PayPal קרדיט באמצעות כרטיס אשראי , ואז לרכוש פרטים ושירותים באינטרנט באמצעות הקרדיט ( השווה ערך לדולרים ) וזו למשל השיטה המועדפת עבודה מול אתרי מכירות עולמיים כגון eBay.

מה שלא היה ניתן , הוא למשוך בחזרה את הקרדיטים לארץ לחשבון שלנו. כלומר אם אני מוכר משהו בeBay, הייתי צריך לפתוח חשבון בבנק אמריקאי שמשם ימשכו את הכסף ויעברו בהעברה בנקאית לארץ, אותה בעיה גם לגבי החזרי תשלומים או ביטולי עסקאות וכדומה. נוכל למשוך לכרטיס האשראי זיכוי.

החידוש שיכנס לתוקף בעוד מספר שבועות ( וכבר קיים בEULA של הPayPal ) הוא שאפשר יהיה מעתה למשוך קרדיטים גם מישראל . הדבר פותח את השוק הישראלי למכירות בעולם , מקל על המשתמש הממוצע לרכוש ולמכור באינטרנט דרך מנוי המכירה והקניה הגדולים והחזקים בעולם.

ניתן לקרוא את הEULA החדש בקישור הבא ( שימו לב לסעיף V.1 )

אגב , מעניין לראות איך יתמודדו בארץ עם ההונאות השונות הנובעות משימוש בeBay. האם בכלל יהיה צורך, שכן שירות PayPal מבוטח. ומה לגבי שרשרת השלמת פעולות מול בנקים בארץ , האם תהיה בקרה לגבי שלמות העברת נתונים כפי שיש בארה"ב ? אני מאמין שכן , ואני מאמין שלא היו פותחים את השירות לארץ אם לא , אבל כבר טעיתי לגבי נכונותם של רשויות בעבר.

Labels: , ,

Wednesday, September 19, 2007

XSS באתר hadassah.ac.il

האמת היא שפשוט תוך כדי שיטוט שלי באתרי אקדמיות שונות בארץ , מצאתי להפתעתי ( או לא להפתעתי )  שישנן גם פגיעויות XSS בהם. זה לא מפתיע במיוחד , אבל ככה זה . בכל מקרה למרות שאני לא נוהג לזרוק לבלוג כל פגיעות או פירצה שאני מוצא , אבל מידי פעם זה פשוט נדרש ( מה גם שגיא דוחף אותי לפרסם דברים כאלה פה ושם , כדי "להחזיר משהו לקהילה" ).

 
בכל אופן , זה כאן . אני בכל מקרה Whitehat ולכן , אין לי כל סיבה או רצון להמשיך לחפור ולבדוק לאן עוד ניתן להגיע , אבל ברור שאפשר. לצערי , למרות שאני נוהג בד"כ להודיע לגוף שבו מצאתי בעיית אבטחה , למכללת הדסה אין נקודת פניה גלויה לציבור הגולשים. שלחתי הודעה לכתובת הכללית ליצירת קשר.
 
POC :
1. יש להיכנס לאתר www.hadassah.ac.il
2. יש להקיש בחלון החיפוש בצד ימין - <script>alert("xss");</script>
3. הXSS להוכחת פגיעות יפעיל חלון שבו יהיה כתוב XSS כמובן.
 
אגב , נושא הXSS פוקד אותי לאחרונה למחקרים עמוקים אודות כדאיות ושימושיות מערכות Application-Layer-Firewall אשר מגינות בדיוק כנגד בעיות כאלו , וכמובן יכולת ועומק הטיפול בבעיות משתנה ככל שהמוצרים מתפתחים.
 

Labels: , , , , ,

XSS באתר information.com

למי שלא מכיר , אתר information.com הוא אתר אשר חלק ניכר מהפעילות שלו הוא לזרוק פרסומות מוכוונות עבור דומיינים לא קיימים , זא בשל הסכם תמלוגים עם NETSOL ועוד מספר חברות. מה שקורה הוא שברגע שאתה מכניס דומיין שלא קיים , נגיד לצורך העניין "jihad.com" לכתובת הדפדפן , NETSOL מפנים אליך את מילת המיון הזו ( שאין לה עדיין דומיין ולכן NETSOL בונים ZONE זמני בDNS, או שINFORMATION.COM קנו את הדומיין בעלויות של 2$ לדומיין ).

השתמש נכנס והוא מפונה למידע לינקים הקשורים למילת החיפוש שלו , ולכן הפרסום ממוקד לא רע , והחברה מרוויחה לא רע. כמובן שיש שדה חיפוש באתר שלהם. עבור חיפוש משני ממוקד גם הוא. ושם צץ לי רעיון לבדוק פגיעות XSS או בתרגום - Cross Site Scripting.

למעשה , ביצעתי XSS פשוט לשדה החיפוש אשר מאפשר להריץ סריפטים ( ראו סרטון הPOC ).
זה אומר שהאקר פוטניאלי יכול לשתוך קוד זדוני באתר ולגרם להרצת סקריפט מרוחק ועל ידי כך לגנוב זהות , להפיל את מערכת information.com , כולל לקבל OWN על המערכת המרוחקת. כמובן , מדובר בבעיה חמורה.


בשנים האחרונות , השוק מוכיח שרובו ( לדעתי מעל 80% מהאתרים ) חשוף לבעיות XSS שונות באתרים שלהם והמודעות משום מה לא עולה בקצב מתאים. מה שיוצר מצב עדין בין החברת אשר כבר מודעות ומגינות בדרים שונות כנגד SQL Injection אבל שוכחות התקפות יעילות ופשוטות ליישום כמו הXSS.

Labels: , , , ,

Monday, September 17, 2007

שאלת שימוש הוגן בתוכנות Freeware ( עם פרסומות )

בתור משתמש המוגדר "כבד" בכלים שונים במחשב , ואחד שמנסה תוכנות ושירותים חדשים הניתנים באמצעות תשתיות האינטרנט , אני נתקל כמוכם באלפי תוכנות אשר ניתנות לשימוש בחינם למשתמש הקצה , אך מפתחיהן מרוויחים את לחמם באמצעות שתילת פרסומות מותאמות לקוח בממשקים הגרפיים של אותן אפליקציות.

ובכן , כפי שוודאי ידוע לכם ( ראו פוסטים קודמים שפרסמתי כאן וגם כאן ) שירותים אלו מושתתים על היכולת של תוכנת הקצה לתקשר עם שרת פרסומות של החברות הספקיות , ומשיכת באנרים ופרסומות בכדי להציגן בממשקי המשתמש.

איך זה עובד ?

כאשר אני מתקין תוכנה כלשהי אשר מופעלת במודל הפרסום , לאחר ההפעלה שלה , יוצרת התוכנה קשר עם שרת nameserver שיושב במיקום ידוע מראש , ומספק בחזרה כתובות למשוך מהן פרסומות , התוכנה אז מושכת פרסומות ומציגה אותן לפי רוטציה מסויימת למשתמש , כמובן מידי פעם מתרחש עדכון לפרסומות.

ניתן לחסום את הפרסומות ?

כן, ניתן. זאת משום שעל מנת ליצור תקשורת עם אותם מאגרי פרסומות , על האפליקציה לצאת בבקשת תקשורת החוצה , כמובן שבמערכות האבטחה או הנתבים , PORT 80 פתוח מבפנים החוצה לטובת גלישה , ולכן התוכנות יוצרות קשר דרך HTTP בדרך כלל בכדי למשוך את המידע. מהסיבה הזו בדיוק , ניתן לבצע חסימה לכתובות הIP , לURL או למהדרין למבנה הבקשה בשכבת הTRANSPORT במערכות הIPS.

שאלת השימוש ההוגן ( רמז : זה כנראה מותר )

למעשה , כאשר אני מתקין אפליקציה מסויימת כFREEWARE או מודל דומה , אני מודע לכך שהשימוש מחייב אותי לצפיה בפרסומות . אך אין כל דרישה ממני לספק לאותן תוכנות גישה מלאה למשאבי רשת לפי רצונם. הרי שזכותו של ארגון להחליט שהוא חוסם גישה לאתרים מסויימים וכתובות IP מסויימות , ואין בעצם כל התערבות בקוד התוכנה , בצורת הפעולה שלה מבחינתנו ( התוכנות יודעות להציג באנר ריק כשאין תקשורת בדרך כלל ) ובעצם אנחנו מנהלים את משאבי הרשת שלנו כראות עינינו.

כמובן שמעבר לשאלת הפרת EULA כזה או אחר ( שלפי דעתי אינו מופר כאן ) נשאלת שאלה אתית , האם בעצם מותר לי להשתמש בתוכנה אשר המודל העסקי שלה הוא - שימוש תמורת צפיה בפרסומות , להשתמש בה כאשר הצד המרוויח הוא רק אני .

בהחלט נושא למחשבה...

Labels: , , , ,

MSN Messenger - Ad Block - Revisited


Following some email requests ( too many for that specific question ) that ive got to help various FORTIGATE ( by fortinet ) owners - to set their firewall security policy to block MSN Advertisment within the client ( as a Proof Of Concept ONLY ) ... and following an old post ( that i have posted here on march 13th 2007 - Link ) i am posting the requested configuration for the machines.

I have devided to re-post this , with better technical explenation - and in english this time , as a gesture to the "Security Bloggers Network" ( which i only post english feeds to , and this is one worth mentioning ).

the main concept is to block 3 reg-ex uri links that the messenger client gets its advertisment ads from. ( as you may or may not know , this IM uses HTTP to get things done , well - lets break its path...

[ note : configuration is made for the FortiOS mr5 patch 2 and tested on FGT60 ]

As i previsously posted , this is a good way of handeling messenger usage within organizations that do not approve end-user advertisment on its computer environment.

There are two ways of doing it ... one through the url filter engine , and the other one is through the IPS ( which i find much more exotic way of getting things done through deep packet inspection ).

Method 1 - URL Filter :

1. goto the CLI on the machine and paste the following configuration -

  • config webfilter urlfilter
        edit 1
                config entries
                    edit "ad.msn.co.il/js.ng"
                        set action block
                    next
                    edit "rad.msn.com/ADSAdClient31.dll"
                        set action block
                        set type regex
                    next
                    edit "config.messenger.msn.com/Config/MsgrConfig.asmx"
                        set action block
                        set type regex
                    next
                end
            set name "block-msn-ad-engine"
        next
    end

2. choose the "block-msn-ad-engine" within your protection-profile of choice.

Method 2 - IPS :

1. go to the Intrusion Protection >> Signature >> Custom menu and add the following signatures -

  • F-SBID( --name "bs_MSN-AD-Stop.A"; --protocol tcp; --flow established ; --regex "ADSAdClient31.dll"; --no_case)
  • F-SBID( --name "bs_MSN-AD-Stop.B"; --protocol tcp; --flow established ; --content "ad.msn.co.il"; --no_case)
  • F-SBID( --name "bs_MSN-AD-Stop.C"; --protocol tcp; --flow established ; --regex "MsgrConfig.asmx"; --no_case)

2. choose appropriate severity and include the severity in the desired protection-profile.

 

Disclaimer : this is a POC only , this kind of usage may conflict with the MSN Messenger usage aggreement , and i am not to take any responsibility for and unethical or illegal usage of this article and the information it provides. and although i tink using this information to violate any EULA or other agreement is wrong - if you use it - you are taking for responsability for it.


i am not sure that there is any violation , since all this solution does is changing the availability of web data to an application - so basically treating the application as a user in the network and denying it from getting to some internet content . legitimate isnt it ?

Labels: , , , ,

Saturday, September 15, 2007

IPhone Unlock - בקוד פתוח

שימו לב חברים , למרות שיצאה לא מזמן תוכנה מבית iphonesimfree.com אשר פותחת תמורת סכומים הנעים בין 65$ ל100$ את מכשיר הIPHONE לשימוש בכל רשת EDGE ( כלומר מתאים ופול בארצנו הקטנטונת עם סלקום ועם אורנג' , ובקרוב לדעתי גם בפלאפון - כשיעברו לUSim סוף סוף ).

היו אלו IphoneDevTeam אשר החליט ללכת ולבנת אפליקציה אשר פותחת את הIPHONE ולשחררה כאפליקציית קוד פתוח. למעשה למי שלא מכיר - הבעיה בכל הפרצות עד כה היה שלא הי ברור שניתן לכתוב לשבב הBASEBAND , ולכן רוב הפריצות עסקו בקיצור השביב בחומרה ואז השלמת שאר הפעולות בתוכנה.

עם הHACK הרשמי של iphonesimfree הובן בעצם כי אכן ניתן לכתוב לשבב זה , והשאר היסטוריה. שימו לב חברים - ניתן להוריד את האפליקציה באתר בקישור הזה ובחינם.

באחריותכם כמובן.

אני מצידי , ניסיתי ( לא מכשיר שלי , ויתרתי לטובת N95 ) וזה עובד מצויין.

מה שעוד מעניין הוא השמועות שבקרוב יצא FIRMWARE חדש 1.1.1 למכשיר , וכמובן כולם מחכים לראות האם APPLE יחסמו בדרך כלשהי את הפרצה , או האם יש להם "ביצים" מעבר לאינטרס , להשאיר את המכשיר פתוח לשימוש , למרות ההסכם שלהם עם AT&T. אכן מעניין לראות מה יקרה ( אגב , זו אחת הסיבות שאני בחרתי לוותר על המכשיר , למכשיר שאמור לשמש אותי בעבודה - אין לי כח להשקיע אנרגיה בלפרוץ אותו שוב ושוב , לכן - בשל חוסר הוודאות ... נוותר ... בנתיים ... )

בהצלחה.

Labels: ,

Friday, September 14, 2007

Security Bloggers Network

לבקשת מר אלן שימל - VP פיתוח אסטרטגי בחברה האמריקאית - StillSecure , ומחבר אחד הבלוגים האמינים והאיכותיים יותר בתעשיה ( קישור כאן ) , הצטרפתי לרשת הבלוגרים העולמית לאבטחת מידע בשם SBN . רשת זו נחשבת אמינה באופן יחסי מבחינת סוג האנשים אשר מקושרים אליה , ולכן שמחתי לקבל הצעה זו ממר אלן ולהצטרף.

קישור לרשת הSecurity Bloggers Network נמצא כאן

כמחווה , אני רואה לנכון להוסיף לתפריט הבלוג ( צד ימין למטה ) את הבאנר הרלוונטי לרשת זו. ואני מקווה שקו הבלוגר שלי יפעל להרחיב אופקים גם כלפי חו"ל. אגב - זה אומר שיהיו כאן מידי פעם פוסטים באנגלית. לפחות יותר מהרגיל.


Following Alan Shimel's proposal to join the SBN ( "Security Bloggers Network" ) a few months back , after getting some feedback from Richard Stiennon to my article about UTM , and the followup by Alan Shimel , And because of some path changes that i have decided to take recently . i am proud to say that i am a shiny new member of the SBN , and i hope to bring the voice of israeli information security expertise to the more borad public of security/networking and system professionals .

I have Added the SBN widget to my sidebar in order to let israeli crowd. this means that although i usually write in Hebrew, i will most definetly write in english more often . thank you alan.

Labels: , , ,

CISCO 0-Day ללא טלאי עדיין - מסכן את הגישה שלנו לרשת

בתאריך 17 לאוגוסט 2007 , התגלה Vulnerability במערכות הIOS של סיסקו , אשר מאפשר לנצל פגיעות של Priveledge Escelation Deniel Of Service - למעשה , משתמש בעל הרשאו נמוכות יכול להריץ פקודת show ip bgp regexp מסויימת על נתבי סיסקו , ולגרום לנתב לקרוס ולבצע RESTART ובכך בעצם לגרום לאובדן שירות.

ובכן , נכון לעכשיו על פי מקורות שונים ( בעיקר באתר של סיסקו בקישור הבא ) עדיין ללא תיקון , סיסקו מבטיחים לעדכן בעמוד הזה ברגע שיהיה פתרון.

למעשה , למי שלא מודע , כ85% מנתבי הBACKBONE והACCESS ברשתות הישראליות בפרט , ואני מניח שיש מספרים דומים ( למרות שהם יורדים ככל שמתקרבים לארצות הברית ) בעולם , ולכן הפגיעות משמעותית.

יש לכך משמעות רבה עוד יותר כאשר חושבים על העובדה שבISP השונים , יש לאושיות רבות גישה לנתבים אלו לצורך בדיקה , כמה קשה לגרום לתומך טכני לפעול כנגד מעסיקו ולהפיל ISP ? אני מניח שזו שאלה תיאורטית שאיש מאיתנו אינו מעוניין לענות עליה , אבל זה בהחלט נותן חומר למחשבה.

Labels: ,

שופץ ושוחזר - עיצוב הבלוג

טוב , עבר עליי יום לא קל ... היה שינוי מטריד בשרתים אשר מחזיקים CSS בבלוגר . לצערי הדבר גרם למחיקת כל העיצוב של הבלוג שלי , ולקח שעות לאתר גיבויים ( בנתיים אני גם מתחיל לעבור על מעבר עתידי לפלטפורמה אחרת - כנראה WordPress , אך כרגע מורכב להעתיק את הפוסטים בין הפלטפורמות )

בכל מקרה , מעכשיו הכל רץ עם גיבוי משרת של TYPEPAD.

תודה לגיא שניסה לגרום לי לבכות במהלך היום :-) למי שלא מכיר את דעותיו של גיא - המשפטים העיקריים ששמעתי היום היו "בטח , בוא נסמוך על גוגל , למה לא" ומשפטים כמו "כל הביצים בסל וחסל" וכדומה ... בכל מקרה - למזלי , הצלחתי להתמודד עם הבעיה.

בכל מקרה - Im Back !

Labels:

בעיות עם בלוגר

חברים שימו לב,
יש כרגע בעיות עם בלוגר
שמתי תבנית זמנית חלופית כדי שהבלוג יהיה קריא

מצטער מראש על העיצוב , יתוקן במהלך 24 שעות הקרובות
או שאעבור לדומיין משלי ... נראה ...

Labels: ,

Thursday, September 13, 2007

Blog Day 2007 , קצת באיחור

 
Blog Day 2007 לא התכוונתי להתעורר מאוחר לנושא , אבל אכן הגיע תורי לענות לפוסט בBlog Day ולהתייחס ברצינות למענה המתבקש לגבי 5 בלוגים שאני קורא ומעוניין לשתף את הקוראים בהם.

מיותר אולי לציין, אך בכל זאת - שאת חלקם אני לא יכול לפרסם בבלוג זה , מטעמי פרטיות של בלוגים סגורים. כמובן , אלו מכם שמכירים אותי , יודעים במה מדובר ובמי מדובר.

 ובכן , הנה הם בסדר אקראי ולא בר חשיבות כלשהי :

1. ZULL , יומנו של האקר - בלוג אבטחת מידע של חברי הטוב , גיא מזרחי . ואחד הבלוגים היותר מושקעים ברשת הטכנולוגים הישראלית אם תשאלו אותי. למי שלא מכיר - זה הזמן להכיר. אגב , מברוק לגיא על הדומיין החדש אשר אליו העביר את הבלוג לאחרונה.

2. יומן אבטחה - עומר טרן - בלוג מקצועי מאוד שמביא את נושאי התאוריה והמתודולוגיה בעולם אבטחת המידע , מתוך ראיה של הפן העסקי , עם התקדות על ניהול אבטחת מידע מעל טכנולוגית אבטחת מידע.

3. ריצ'ארד סטיינון - Threat Chaos - אחד הבלוגים המוערכים ביותר בעיני , מאחר ומדובר באחד הגורואים בעולם אבטחת המידע בעולם ואחד מהאנשים אשר העולם צועד לפי הקצב שלהם כשמדובר בראיה מרחבית לגבי אבטחת מידע , ובמיוחד שלאור תפקידו האחרון - הוא מביא חדשות אבטחת מידע מסביב לעולם.

4. ha.ckers.org - בלוג איכותי המציג שיטות פריצה חדשות, ומעודכן על ידי חלק מהבלוגרים האפרוריים יותר ברשת , בהחלט מקור מידע מהימן לגבי התפתחויות חדשות בעולם ההאקינג.

5. Schneier On Security - איך אפשר בלי , יומן אבטחת המידע של גורו ההצפנה ( אם כי פחות גורו כשז קשור לטכנולוגית אבטחת מידע בעיני ) - מר ברוס שנייר , אחד הדמויות המשפיעות ביותר בתחום, ודוגמא לכך שאפשר להפוך מאסטרו-פיסיקאי לסלבריטי בין הבודדים בתחום אבטחת המידע.

Labels: ,

Wednesday, September 12, 2007

TOR לגלישה אנונימית - מה זה , ודרכי התמודדות בסיסיות

עולם הP2P מאפשר לנו היום להנות מעולמות אדירים של חלוקת רוחבי פס ומשאבים בין משתמשי קהילה , הגענו כבר כלכך רחוק עם הטכנולוגיה , שניתן לבצע היום שיחות VOICE על גבי תשתיות אינטרנט על ידי דילוג בין תחנות קצה של משתמשים ברשת . יש גם כמובן כאלה שבחרו לקחת את זה צעד אחד קדימה ולבנות אפליקציות נוספות רשתיות בעלות אופי שנוי במחלוקת - TOR למשל.

לאלו מכם שטרם נתקלו באפליקצית TOR , מדובר בעצם באפליקציה אשר מהווה תוסף איכותי לFIREFOX עם תשתית של Proxifity מתחת. בעצם מה שהאפליקציה עושה ברגע שהמשתמש בוחר להפעיל TOR , היא להגדיר PROXY מקומי ולהכריח את הדפדפן לעבוד מולו , אותו PROXY מתחבר לרשת הPROXY עולמית בHTTPS ( כלומר לא ניתן לגילוי על ידי בדיקות SNIFFER בתוך הPACKET ) וכמובן לאפשר גלישה אנונימית . אך למעשה - הדבר פותח באופן תיאורטי גישה לכל דבר שהFW הארגוני חוסם על פי מדיניות אבטחת המידע הארגונית, ויתרה מכך - להוריד קבצים ללא בדיקות אנטיוירוס, להתחבר לתוכנות מסרים מיידיים ולגלוש לאתרים אשר אמורים להיות חסומים על ידי מנגנון סינון האתרים הארגוני.

המטרה המקורית היא כמובן לשמור על אנונימיות בגלישה . מה שקורה בפועל הוא שמשתמש TOR יכול לגלוש דרך מחשב של משתמש במדינה אחרת שמפנה למשתמש במדינה אחרת וכן הלאה ( TOR מבצע בעצם ENCRYPTED CIRCUIT בין מספר מחשבים אשר אינו ניתן לזיהוי פרט לכתובת הHOST הקודם וכתובת הHOST הבא בשל יכולות הקריאה של הIP HEADER ) , ואז הוא לא ניתן לגילוי - אבל כך גם לגבי זליגת מידע או שימוש זדוני במשאב הWAN הארגוני. מדובר לכן במשאב מדהים עבור האקרים אשר מעוניינים לבצע פעולות אנונימיות ובמהירות וזמינות, מבלי לאפשר גילוי עקבות.

הרשת עובדת בצורה כזו שהמשתמשים עצמם תורמים את רוחב הפס שלהם ומקימים שרתים מקומיים ועל ידי כך מאפשרים שימוש ( לא חייבים להפעיל ) ברגע שמשתמש מתחבר לTOR , מספיקה לו גישה לאחד השרתים ( שנמצאים על המחשבים האישיים של המשתשים אשר הסכימו להיות שרתים ) והוא כבר מתעדכן ברשימת כתובות הIP של השרתים הפעילים באותו רגע , נכון לזמן כתיבת המאמר - ישנם כ1500 שרתים כאלו פעילים בכל רגע נתון אשר זמינים לכל משתמש . ישנה אקספוננטה מסויימת , כי לא כל משתמש רואה את כל השרתים - וזאת על מנת למנוע מיפוי של הרשת הזו , לכן לדעתי מדובר על רשת גדולה בעשרות או מאות ומגיעה לדעתי לכ100,000 שרתים בקלות בכל זמן נתון ( כלומר , בהצלחה בחסימה בFW ).

טכנולוגית , המושג המאפיין רשת כזו נקרא Onion Routing כלומר ניתוב בשכבות , לצורך ביצוע פעולה שכזו דרושים לפחות 3 HOSTS בדרך, כאשר הNODE שממנו יוצאת הבקשה לתעבורה מצפין , המידע עובר מוצפן בכל המסלול , ומפוענח רק על ידי הEXIT NODE. כאשר כל HOST אשר משמש למשלוח יודע רק את המקור והיעד אבל לא יודע מה המידע אשר מועבר דרכו. יש לציין גם שטכנולוגיה זו הומצאה על ידי הצי האמריקאי - המטרה המקורית הייתה כמובן למנוע לחלוטין את התקפות ניתוח המידע והSNIFFING ברשת הצבאית, אבל כמו כל דבר טוב - תמיד קמים שימושים רעים לכל דבר.

SPAM NEXT-GENERATION - תזה קצרה :

לדעתי מדובר בתקופה קצרה ביותר , עד שתוקם רשת מקבילה , או שירכיבו על גבי רשת הTOR יכולות מובנות של SMTP , וכן - מאותו רגע כל עולם הRBL יהפוך להיות שולי , חסימות ברמת זיהוי כתובת שרת שולח יהפכו לנושא לא רלוונטי - ולפי כך - כל חברות הANTISPAM ייאלצו לעבור לתצורת HEURISTICS - מה שיהפוך את הפתרונות הקיימים לנחותים מבחינה חומרתית ( מנועים כאלו זוללים משאבי מערכת בשל תצורת הבדיקה המעמיקה ). הרי שמאוו רגע כל משתמש ברשת הבצל - יכול להיות מקור לספאם , והאם נכון לחסום את כל כתובות הIP הפרטיות ? האם הדבר יהפוך את פתרון הSenderBase המעולה של IRONPORT ללא יעיל ? שוב , ייתכן ואני טועה לגבי הניתוח שלי לטכנולוגיה זו - אבל ימים יגידו.

להלן מספר דרכים להתמודד עם התופעה ברמה ארגונית :

1. הקמתו של PROXY עבור כל תעבורה שהיא HTTPS בארגון , ניתן לבצע עם פתרונות קנייניים או עם פתרונות כגון SQUID על שכבת לינוקס. במקביל , יש לחסום את כל תעבורת הHTTPS אשר לא יוצאת מתוך הPROXY כלפי האינטרנט. אגב - זהו פתרון מקובל לכל בעייה שקשורה לאפליקציות מסוג זה , מכיוון שמספיק שאני מעביר את התעבורה המוצפנת לגורם שמבצע PROTOCOL MIDDELING וחותך את התעבורה באמצע - אני יכול לחסום כל דבר ( דוגמת LOGMEIN ) ברמה רשתית.

אגב , המלצה כללית שלי , היא לא לאפשר שום תעבורה מוצפנת מתחנות שאינן מורשות לכך באופן ספציפי , ואם ניתן - להעביר תמיד תעבורה מסוג זה דרך PROXY כלשהו.

2. במידה וקיים בארגון פתרון כגון HOST IPS ניתן לחסום את האפליקציה עצמה של TOR ושל Vidalia אשר הינה חבילה אשר מכילה את כל הפרטים וההגדרות פעולה וזאת על ידי חסימה ברמת האפליקציה. אפשר לאכוף בקלות באמצעות ISS של IBM או INTEGRITY של צ'קפוינט. אם יש SOFTWARE MANAGMENT בארגון , כגון BIGFIX או PATCHLINK , ניתן להגדיר JOB להסרה קבועה ברגע הגילוי - אבל שוב - אלו מצריכים CLIENT ולכן בעייתי .

3. לארגונים אשר בחרו ליישם NAC ( ברמה רשתית ) ניתן לבדוק הימצאות התוכנה ולנעול את השכבה השניה במידה והתגלה , ולדרוש הסרה. ניתן לשלב עם פתרון הCLIENT מסעיף 2.

קישורים :

- הקישור לTOR ולמידע טכני אודות האפליקציה - בקישור הבא

- מאמר שמתאר זליגת מידע בעקבות שימוש ברשת TOR - בקישור הבא

Labels: , ,

שנה טובה

שלום לכולם , חג שמח ושנה טובה.

בארי.

Labels:

Monday, September 10, 2007

פרטי התקשרות

בעקבות אחת התגובות האחרונות לגבי שאלת מקצה השיפורים ל2008 , ובעקבות החלטה שלי לנסות ולעזור לשפר את הקשר עם קהל הקוראים , החלטתי להוסיף כתובת דואר אלקטרוני לבלוג בה יהיה ניתן לפנות אלי באופן ישיר. אני אשתדל לשמור על זמינות של לפחות פעם ביום לצורך מתן מענה על מכתבים.

הכתובת היא ( שימו לב , יש להחליף את הסימן (at) בסימן @ ) - barry (at) sectorix.com

אין אתר מאחורי הכתובת הזו , שכן איני רואה את הצורך לעבור למודל שאינו מאורח תחת בלוגר , אשר נותן לי שירות מצויין כרגע. ( אגב , אני משתדל לבסס את כל הבלוג על שירותי גוגל למיניהם , שכן האינטגרציה נוחה מאוד , והשירות שריד וחינמי ).

כתובת הדואל צורפה גם לפרופיל שלי בצד ימין של הבלוג.

שימו לב , בנוסף תחת מנגנון התגובות , הוספתי את האפשרות להכניס למועדפי DIGG וגם TECHNORATI

Labels: ,

Sunday, September 09, 2007

בדקתי - Trend Micro לסלולר

בהמשך לסדרת הבדיקות שאני מבצע לאפליקציות האבטחה לSYMBIAN ,יצא לי לבדוק מספר יצרנים , אך יש יצרן אחד שממש עניין אותי - TREND MICRO . הסיבה לעניין הרב הוא התהפוכות שעוברת החברה בשנים האחרונות ומוצגת יותר ויותר באור של דינוזאור נכחד שחוץ מAV כבר אין לו מה להציע.

ויש דברים בגו. המוצר ( TMMS - Trend Micro Mobile Security ) הינו מוצר איכותי ומתקדם , אך לא ברורה כוונת היצרן לגבי העתיד אליו הפתרון הולך .אכן ההתקנה הייתה סופר זריזה , והשקיפות מדהימה בהשוואה לנבדק הקודם שהצגתי. אך מורגש חוסר האיזון בין היכולות לממשק המשתמש . למשל בכדי להגיע לפתרון הANSISPAM - צריך לחפור בתוך התפריטים.

עכשיו דגש קטן בין F-SECURE לבין TREND MICRO - בראשון אומנם לא הייתה אופציה לANTISPAM וגם הFIREWALL היה בסיסי ביותר , אך לעומתו בTREND הANTISPAM קיים , אך פועל בשיטת BLACKLIST מקומי בלבד , אין שום DB שנטען לפי איזור גיאוגרפי - דבר שהייתי מצפה לו בפתרון שכזה. לעומת זאת הFW מאפשר קונפיגורציה מרשימה של חוקים ותת חוקים .

אני אמביוולנטי , וממשיך לבדוק יצרנים נוספים , לצערי בדיקות מקיפות לוקחות יותר משעה שעתיים ודורשות משחקים לא מעט עם התקפות שונות בכדי לבדוק כיצד מתמודדות האפליקציות הנ"ל.

בכל מקרה - הפתרון של TREND MICRO ראוי בהחלט, אך דורש קצת יות ידע ומיומנות בתפעול . מה שאני יכול להוסיף על כך - הוא התיעוד המדהים והמפורט שיש באתר של TREND MICRO ( שלצערי בארץ מפנה אותנו למפיץ - אז חפשו דרך גוגל ).

חוסר אחד מבחינתי , היצרן היה צריך להתייחס ליתרונות שנותנת לו מערכת SYMBIAN , כמו למשל בקרת הTASK או למשל הTAB שיכלו להשתמש בכדי להקל מעבר בין מסכים.

Labels:

N95 - הריסטרט ה30 בתוך 4 ימים

לפני מספר ימים רכשתי בשביעות רצון מרשימה , את מכשיר הN95 של נוקיה . הכל טוב ויפה חוץ מפרט אחד קטן , חברים - עוד לא ראיתי מכשי שעושה ריסטרט כל כך הרבה פעמים . כמובן שאני לא משתמש רגיל מזדמן , ואני עושה איתו כל מה שמערכת ההפעלה טוענת שהיא מסוגלת לבצע - אבל עדיין . מטריד קצת.

הכי מטריד אגב, כשזה קרה לי פעם אחת בזמן שיחה.

Labels: ,

Friday, September 07, 2007

מקצה שיפורים לבלוג , לקראת 2008

לקראת שנת 2008 המגיעה אלינו בעוד רבעון , החלטתי לפנות אליכם הקוראים ולשאול אתכם - מה הייתם רוצים לראות בבלוג ? מה חסר ? האם יש דברים שצריך לשפר ? או אולי לכתוב על משהו ספציפי.

מידי פעם עולים לא כל מיני רעיונות לגבי תוספות , אך הן יהפכו את האתר שלי למסחרי , וזה דבר שאני מעדיף שלא לעשות , כדי להישאר non-bias בכל הנוגע לדעותיי והמבט שלי לגבי טכנולוגיה והדרכים להטמיע אותה. לכן הצעות כמו -"שלב מונה וירוסים של טרנד-מקרו באתר" או "תכניס פרסומות של גוגל" לא יעבור קריאה טרומית של הדירקטוריון , המורכב ממני , מבארי , ומעבדיכם הנאמן.

אשמח לקבל את דעותיכם והצעותיכם .

בארי.

Labels:

Thursday, September 06, 2007

בדקתי - F-Secure לסלולר

בעקבות המעבר שלי לעבודה נטו עם מכשיר סלולרי אשר עובד עם סביבת WLAN ועובד עם דור 3.5 וכמובן רץ על SYMBIAN , ברור היה לי שעליי להטמיע פתרון אנטיוירוס ושאר ירקות בכדי להגן על מידע קריטי.

קצת רקע על הנושא :
היום כבר ברור לכולנו שהמכשיר הסלולרי שלנו הוא מרכז המידע האישי שלנו ומרכז עבורנו ניהול משימות , יומן , אנשי קשר , גלישה לעתים , ניווט בדרכים וגם טלפון . המידע הופך רגיש ככל שמעבירים יותר מידע מהמחשב לסלולרי ולכן יש צורך להתגונן כראוי.

התוכנה הראשונה שניסיתי עד כה הייתה F-SECURE MOBILE מאחר והוא הגיע מותקן על ידי סלקום על הסלולרי שלי , ורק הייתי צריך לבצע רישום . התהליך היה קצר ויעיל וכעת יש לי אותו לנסיון ל30 ימים , אך איני סבור שאבחר בו כפתרון לבסוף לאחר הבדיקות.

האנטיוירוס מניח תוצאות יפות , כל מה שזרקתי לו דרך MMS וגם דרך WLAN או דרך GPRS נחסם יפה, וגם סריקת הקבצים מהירה ומגלה את המזיקים ( כן , התעללתי במכשיר ) אך לעומת זאת שאר האפשרויות אינן איכותיות כמו מנגנון האנטיוירוס , .

ישנו FIREWALL פנימי סביר אשר מוגדר על ידי 4 מאפיינים של רמת אבטחה , אך לא ניתן לקבוע חוקים מותאמים , ואולי בעצם לא חייבים בסלולרי , אבל עדיין הייתי רוצה את האופציה..

בנוסף בולט עבורי חיסרון של האנטיספאם להודעות SMS\MMS אשר קיים אצל המתחרים באותו מחיר וללא שימוש בתוכנות נוספות ולכן המוצר אינו ושלם בגרסתו הנוכחית לפי דעתי.

אגב , מבחינת משקל ועומס , האנטיוירוס אינו מורגש , גם לא בהעברת נתונים וגם לא בזמן עבודה עם המכשיר . סה"כ לא רע, אבל נראה מה יעלו שאר הבדיקות שאבצע בזמן הקרוב.

Labels:

Tuesday, September 04, 2007

N95 - מדהים אותי

נכון , אני יודע שאני מדבר הרבה על IPHONE , ואכן עד לפני שעה היה לי מכשיר במשלוח על ידי חבר , אבל ויתרתי ... לקחתי מבט אחורה מעיני הילד הרעב , וראיתי פונקציונליות - והחלטתי שהIPHONE , למרות שבעל מערכת ההפעלה הכי מגניבה עד עכשיו , עם עתיד מזהיר - עדין לא בשלה עבורי

אז קניתי N95 . מושלם מבחינתי , יהיה יותר מושלם כשיהיה אפשר לקנות לו DESTINATOR ( בקרוב ) ומאחר שאני גם מאוד אוהב לכתוב קוד לסימביאן - זה מושלם עבורי

Labels:

Sunday, September 02, 2007

מלכודת דבש ייעודית - Logmein Honeypot

כחלק ממחקר שביצעתי בשבועות האחרונים בנוגע לזליגת מידע דרך מערכות כגון LOGMEIN , התברר לי שאפילו פתרונות איכותיים כמו ONIGMA וכמו PORTAUTHORITY אינם מספקים מניעת זליגה מלאה , שכן בסופו של דבר המשתמש מצליח להקים קישור לLOGMEIN וכל הפתרונות שניתנים כיום הינם פתרונות ברמת הCLIENT ( אפילו אני הצעתי פתרון שכזה בעבר בפוסט הזה ) אך הפתרונות אינם שלמים והמשתמשים משתפרים מפעם לפעם , והגיוני שכך , לכן החלטתי לתפור פתרון קצת יותר מחוכם - כמובן שאני לא אצליח למנוע מהמשתמשים להתחבר - אבל מנהל אבטחת המידע יקבל ALERT מתאים לאירוע על ניסיון לגישה לLOGMEIN ואפילו יקבל שם משתמש + IP + שאר פרטים מזהים , או בקיצור - Honeypot ייעודי.

ובכן החלטתי לבחון פתרון שאינו מונע ( אגב , בגלל ארכיטקטורת הפתרון הוא כן מונע ... ) ואף ביצעתי במהלך היום האחרון POC בנושא , אשר הניב תוצאות מרשימות . המטרה העקרונית היא למנוע התחברות של מחשב מהרשת שלי למחשב מרוחב באמצעות LOGMEIN , בדרך ההפוכה , מה שמאפשר להוציא מידע החוצה מבפנים ולא בהכרח למשוך מידע מבחוץ ( כמובן שנדרשת יעילות דו כיוונית ).

הרעיון היה בעצם להשתש בFEATURE איכותי שקיים כיום במערכות FW של סיסקו ושל פורטינט ( אני חושב שלעוד יצרנים יש פתרון ) שנקרא DNS ReWrite . ולהקים שרת PHISHING פנימי שישמש כמלקט מידע.

המערכת עצמה - מה יש לעשות :
1. הקמתי שרת על גבי מחשב לינוקס מיושן ( שבכל חברה זרוקים כאלה במחסנים ) ועליו הרמתי MYSQL ושירות APACHE.
2. ביצעתי CAPTURE של המסך הראשי של אתר www.logmein.com והנחתי אותו על גבי שרת הAPACHE שלי.
3. בניתי DB על הMYSQL אשר מכיל את השדות -- IP/USER/TIME/COMPNAME/COUNTER.
4. בניתי סקריפט PHP אשר מקשר משדות הUSER\PASS באתר הLOGMEIN המזוייף שלי אשר ברגע שלוחצים LOGIN - מופנים לעמוד אשר מציין שהשירות אינו זמין ויתאושש בעוד מס דקות , ובמקביל נרשמים כל פרטי המחשב - כלל משתמש הLOGMEIN שהוכנס לתוך מסד הנתונים ( בכל פעם שלוחצים , עולה הCOUNTER כמובן )
5. לחיצה על כפתור ה"FREE DOWNLOAD" לCLIENT יפנה לדף המקביל שהתאמתי מראש ושם לאחר שמשתמש מכניס פרטים , במקום להוריד - אותו מסך בדיוק.
6. המערכת מדווחת בדואר אלקטרוני\SNMP למערכת הSIM הארגונית על אירוע ILP כמובן.

שינויים בתשתית - מה יש לעשות :
1. ( במידה ויש DNS ארגוני , כדאי לבצע גם שם ) הגדרתי DNS TRANSLATION REWRITE אשר מבצע המרה של כל תשובת DNS QUERY על כתובת IP של חברת LOGMEIN - לכתובת של הHONEYPOT שיצרתי.
2. ביצעתי חוק של NAT REDIRECTION אשר מחזיר תעבורה שבכל זאת מכוונת לכתובת הIP האמיתית - בחזרה פנימה לשרת הHONEYPOT.

שימו לב לשרטוט לגבי התהליך עצמו ( ללחוץ להגדלה ) :


מה שקורה בעצם הוא שבכל פעם שהמשתמש פונה לLOGMEIN , או האפליקציה פונה לשם , המערכת מופנית לשרת הHONEYPOT והאירוע נרשם ( הקונספט העיקרי מאחורי HONEYPOT הוא שאין סיבה להתחבר אליו למשתמש לגיטימי עבור אירוע לגיטימי ) וההפניה היא שקופה ככל האפשר כי בעצם מערכת התשתית ( הFW שאמור לבצע רק סינון תעבורה ) היא זו שמייצרת את הסטת התנועה והניתוב הייחודי. ( אגב , מומלץ למקם מערכת זו בDMZ מיוחד ).

דבר נוסף שניתן היה לעשות , הוא להגדיר VLAN עבור השרת , ולהגדיר עליו את כתובת הIP האמיתית של שירות הLOGMEIN , ולבצע ניתוב מתאים כך שהציוד יבין שהכתובת היא ברשת ולא באינטרנט - ולכן התעבורה תוסט , מבלי שיהיה ניתן לזהות את השינוי בסניפר.

העיקרון הוא כזה שמשתמשים סטנדרטיים לא יהיו מודעים בהכרח למשחק שלי ברשת , ולכן לפחות לניסיונות ההתחברות הראשונים - יתפסו , ולכן ניתן יהיה לטפל בהם ברמה מנהלתית ולשלול מהם גישה למשאבים רלוונטיים.

כעת כל שנותר לצוות ההתערבות הוא לבוד את האיוע והמשתמש שסומן ולטפל בו בהתאם למדיניות אבטחת המידע הארגונית.

הסיבה שפניתי לפתרון מסוג זה , הוא האמונה הבסיסית שלי שפתרון רשתי תמיד עדיף על פתרון ברמת התחנה ( זכרו מקרי זיוף נתונים עם CSA או עם CONNECTRA ). לפי דעתי האמיתית אין זה פתרון מושלם או הרמטי , אך הוא זול ומהיר ליישום ובכל סדר גודל של ארגון , ולכן שווה ליישום לכל ארגון.

Labels: ,

Saturday, September 01, 2007

עדכון רשימת התפוצה

שלום חברים , בשל הגידול בכמות החברים המקבלים עדכונים במייל לגבי הבלוג, החלטתי לעבור לשירות FEEDBURNER החל עכשיו. לצערי המשתמשים הקיימים לא מועברים אוטומטית , לכן אנא הירשמו מחדש .

ניתן להירשם דרך הלינק הבא :
Subscribe to Confessions Of A Dangerous Mind by Email

או כמובן - בתפריט בצד ימים , מתחת לארכיון ומעל הRSS .

Labels: , ,

הגנה על סיסמאות - Salt כנגד Rainbow Tables

לבקשת מספר אנשים , הנה דרך מקובלת על מנת להקשיח מנגנוני ססמאות כנגד פעולות סריקת ססמאות בתצורת Rainbow Table ובתצורת Dictionary Attack.

מדהים לגלות לפעמים עד כמה נאיבים יכולים להיות אנשים אשר מגינים על מסדי הנתונים , וקבצי הססמאות או האפליקציות שלהם באמצעות מנגנוני סיסמאות . אז נכון - אני מסכים שצריך לקבוע כל מיני כללים כגון שימוש בתווים מיוחדים , אותיות קטנות וגדולות , וכמובן מספרים - אבל יש סטטיסטיקות מסויימות לגבי חזרה על תווים - פרסמתי בעבר פוסט בנושא ( קישור לפוסט המדובר )

בגדול , לא ניתן להגן בצורה טובה , לפחות לא באמצעים שיש לנו היום - כנגד BRUTEFORCE , אך עם זאת , ניתן להגביל נסיונות הקשה מקבילים וכדומה - בואו נהיה כנים - BF בסופו של דבר מוצא את הסיסמה כ יש ריצה על כל תו בכל תצורה אפשרת , אך עם זאת התהליך יכול לקחת ימים , שבועות , חודשים ולפעמים שנים. ולכן בדיוק קיימות שיטות שונות כגון חישוב לפי טבלאות שייכות ( Rainbow Tables ) ועבודה לפי מילונים , אשר בצורה סטטיסטית מוצאים את רוב התוצאות הרלוונטיות בשלב מוקדם או מאוחר - ויש לכך הגיון צרוף - הרי לכל סיסמה כמעט יש משהו שיוצר טריגר אצל משתמש להשתמש בה - ולכן על ידי בנית מילון עם מילים כאלה חוזרת , או צירופים - ניתן לפצח 85-90 אחוז מהססמאות באופן זה - ולכן שיטות אלו הן היעילות ביותר ביחס של עלות מול תועלת וזמן פעולה , אך מקשות ביותר להגנה כנגדן.

ויש פתרון - SALT.

הקונספט מאחורי עיקרון הSALT הוא פשוט ביותר - בניית תוספים אקראיים למחרוזות הסיסמה בעלי אורך מחושב לפי הסיסמה עצמה - וביצוע HASH רק לאחר התוספת . מה שקורה בעצם הוא הדבר הבא :
מתבצע קלט של סיסמה - נניח - ABcd12!@ שהוא סיסמה מוכרת במילונים רבים ...
על סמך חישוב ערך ASCII של כל תו וביצוע פעולה מתמטית עליהם - מתקבלים ערכים מסויימים שהם ערך מספרי , וערכים תוויים לכל מספר כזה- נניח שיצא - 3 , ולידו zxc למשל.
המספרים מתווספים בנקודת צירוף לסיסמה המקורית - ABcd12!@zxc ורק אז עושים HASH.
החשוב כאן כמובן שהאורך יהיה מחושב לפי התווים בסיסמה , ואז כל כמות התווים שיש לייצר תתבצע לפי אלגוריתם פרטי שנובע מחישוב על הסיסמה ( כדי שיהיה ניתן לבצע השוואת HASH למתן סיסמה )

מה שקורה הוא שבעצם הקשחנו את הסיסמה , כי כעת במקום 8 בתים , היא עכשיו בת 11 בתים , ובשל המילון לא יוכל לזהות את המילים בגלל כל מיני סיבות - למשל - לא יהיו מילים באורך כזה במילון , ובעצם יצרנו סוג של PRIVATE HASH UNDER PUBLICH HASH - לא מושג רשמי , אלא ככה אני נוהג לתאר זאת. בעצם הוספנו מלח לתבשיל שלנו ...

מאותו רגע , מאחר ואין מילים קבועות , ואין תבנית שפת אדם - הHASH יהיה תמיד שונה מאשר התוצאה שיניב המילון ולא ניתן יהיה להשתמש במילונים בצורה יעילה , אני מניח שמדובר בהורדה של כמעט כל הסיכוי למצוא סיסמה בדרך זו . אגב - במערכות רבות מקובל להשתמש בשיטה זו - למשל SecureSolaris ועוד מערכות בעלות סיווג בטחוני - יש דרישת סף לתצורה זו.

Labels: , ,


About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites