Tuesday, October 30, 2007

Stateful Inspection Is Dead

ואחרי כותרת מפוצצת שכזו וכמובן אחרי שתפסתי את תשומת הלב שחיפשתי - אפשר להתחיל לדבר.

בתקופה האחרונה יצא לי לחקור רבות אודות טכנולוגיות FW שונות ומוטציות שהן עברו מאז שהומצא מנגנון הStateful Inspection ( נסמן כ "SI" כשנדרש ) וכמובן הטכנולוגיות הללו התפתחו ולקחו את עולם הNetwork Firewall לעולמות רחוקים ומתקדמים יותר , שהופכים את הטכנולוגיות

ראשית, מהו Stateful Inspection :

באופן מאוד מאוד כללי , מדובר בטכנולוגיה אשר מתבססת על טבלאות הנקראות State Tables אשר מכילות את פרטים אודות כל TCP Stream שעובר דרך המערכת. למעשה , עבור כל SESSION נשמרים פרטים מזהים אודות חלון הTCP והפרטים השונים לגבי המשך הSESSION , ולכן כל פאקט חדש שיגיע יבדק אל מול הטבלה למציאת שייכות , אם שייך - יועבר למנוע הROUTING , אם לא - יבדק אל מול הRULEBASE של אותה מערכת FW. המאפיין הכללי כמובן הוא מקור , יעד , ופורט. הומצאה במקור על ידי CheckPoint

ובכן לפני מספר שנים בודדות , עם עליית טכנולוגיות הUTM , התווספו מספר מנגנונים לעולם הSI שעיקרם הוא הDPI או בפירוט - Deep Packet Inspection. הרעיון מאחורי הקונספט הוא - להשתמש במנגנוני Content Inspection כאלו או אחרים , על מנת לוודא שהPACKET אכן תקין ונקי ממזיקים , ולשמש כשכבה נוספת במנגנון ההחלטה לגבי הכנסה לState Table. במקרה של DPI אגב , הסריקה ממשיכה להתבצע לכל אורך התהליך בכדי לשמור על תעבורה נקיה ככל האפשר. מה שכבר הופך את טכנולוגיית הSI כריקה ולא משמעותית , כי ההסתכלות צריכה להיות מעבר לLayer 4 ויותר לכיוון Layer 7. ולשם צריך לכוון.

עד היום למעשה כל FW עדיין מבסס חוקים על פי Source/Dest/Service מבלי באמת להסתכל לתוך אותו הService. וכאן בעצם הבעיה , למרות שהקונספט עובד ועובד טוב, הוא כבר לא מספיק מעמיק בשביל להתמודד עם התקפות מתפתחות שעוברות מוטציות בין שכבות שונות במודל OSI.

לצערנו ( והאמת היא שזה היה צפוי לקרות בשלב זה או אחר ) אפילו הפתרונות הרובסטיים ביותר אינם מספקים להתקפות של מחר.

לדוגמא : כל אפליקציה מתוחכמת יודעת היום לעבוד במספר דרכים , לעבור דרך SSL או בכל מודל אחר כמו למשל מעבר לפורטים לא סטנדרטיים, וכל זאת על מנת להסתיר את זהות האפליקציה. ואז בעצם אנחנו רואים EMULE עובר דרך פורט 80 . וזה כמובן נכון להמון המון המון אפליקציות , כאשר רובן אפילו לא זדוניות.

מה באמת רץ לנו ברשת ?

הBUZZWORD שמתפתח מעולם זה הוא בעצם יצירת דור חדש ( דור 6 ? ) של מערכות FW אשר מוסיף תווך נוסף למערכת ובעצם מהווה האבולוציה האמיתית של עולם ה FW וגורם לSI לקבל את התגית Obsolete. ולמה בעצם - דור חדש של מערכות FW עולה וצף , Application Aware Firewall או בשם אחר Application Categorized Rule Based Security . והכוונה מאוד מעניינת ( ובעלת המון טכנולוגיה מאחוריה ) הקונספט הוא כזה שבו כל STREAM של אפליקציה ניתן לזהות לפי מבנה הPACKETS או מבנה של מספר PACKETS ולהשוות למול DB כזה או אחר , ובכך בעצם לתת משמעות לעמודת הService בחוקי הFW. כלומר - מידע יעבור מעתה לפי 4 שדות שונים - source/destination/port/APPLICATION .

אגב , ברור שפתרונות מסוג זה לא ניתן לבצע בתוכנה בלבד, יש צורך במעבדים מיוחדים ובחומרה שנבנתה במיוחד למטרה זו . קחו למשל אינטגרציה בין סביבת PGP לסביבה שכזו - המערכת צריכה להיות מקושרת עם הKeyring הארגוני , בשביל לפתוח את ההצפנות השונות שעוברות ברשת ולבצע ניתוח למידע המוצפן.    - הOverhead ברשת הוא מטורף, הLatency בלתי נסבל - ולכן הפלטפורמה תמיד מבוססת ASIC ואפיקי BUS אדירים.

גישה מעניינת היא האם יש צורך בהפעלת PROXY LAYER במערכות אלו , או לעבוד בSTREAM מבחינת עומסים , ובעצם עד כמה עמוק אנחנו צריכים לסרוק את התעבורה , אם אנחנו כבר יודעים שזו אכן האפליקציה שלנו , ויתרה מכך - שהיא מתנהגת כפי שרצינו. השקיפות פה נפלאה - כי אני יכול לדעת בעצם כל אפליקציה שעובדת ברמה רשתית אצלי בארגון , ולקבוע מדיניות בLEVEL אחר לגמרי.

Labels: , , , , , ,

Wednesday, October 24, 2007

Cryptoanalysis באמצעות GRID

משהו מעניין מתרחש בעולם אבטחת המידע לאחרונה ... רבים מנבים ויש מספק יישומים שאפילו מנצלים נכון את יכולות הGRID , שהן בעיקר חלוקת כח עיבוד על פני מחשבים רבים על גבי רשת כלשהי - לצורך ביצוע משימה כזו או אחרת. הניהול למשימות מתבצע כPIVOT על ידי מערכת מרכזית שמחלקת TASKS וכל החברים ברשת הGRID אחראים לבצע חלק קטן מאותה מטלה ולהחזיר תשובה.

ובכן , לאחרונה החלו להשתמש מדענים - גם ביכולות העיבוד של מעבדי הGPU ( מעבדי הגרפיקה ) של מחשבים שונים - על מנת להפיק מקסימום כח מעבד זמין ומבלי להפריע לעבודה הסבירה של משתמש . המשמעות היא שניתן לבצע משימות רבות אשר דורשות כח מעבד , ועדיין לתת בעת צרה לרשת הGRID להשתמש בכח העיבוד המתמטי של מעבד הגרפיקה.

למה אני טורח לכתוב ? בגלל הסיבה הזו ( לינק כאן ) . חברת elcomsoft בנתה מוצר די מעניין בתצורה שלו. המוצר משמש לפריצת ססמאות WINDOWS מורכבות ככל שיהיו , על ידי שימוש בחלק ניכר של מחשבי הארגון לצורך שבירת הסיסמאות אל מול הhash או בכל צורה אחרת המקובלת ( בעיקר Brute Force ) ואם אני לא טועה , הם הראשונים לאפשר רכישה של כלי קנייני אשר מבצע את הפעולה הזו על ידי הקמת GRID ייעודי לפעולה זו.

למעשה העיקרון פשוט , אם יש לי רשת IP - ועל כל מחשב ( לא משנה כוחו ) יש AGENT שמקושר לשרת אשר יודע לחלק לAGENTS המקושרים אליו משימות , ניתן להגיע לעוצמות של מחשבי על בכדי לפצח סיסמאות.

אגב , אני מכיר ניסוי אוניברסיטאי ( ברוסיה ) לניסיון שבירת AES256 באמצעות GRID , אך לא מכיר את תוצאותיו. יש כאן מגמה מעניינת ואיפשהו מובנת מאליו לגבי הכיוון של תחום הCryptoanalysis.

מאמר מעניין בנושא ניתן לקרוא בקישור הבא.

נכון להיום , הטכנולוגיה לפריצת סיסמאות באמצעות רשת GRID הוגשה לאישור כפטנט על ידי חברת elcomsoft אשר ממוקמת במוסקבה.

Labels: , , , , ,

Friday, October 19, 2007

סקריפט קידי משחק = 20K לרשויות , 18 שנה בפנים.

אתם מוזמנים לקרוא את המאמר הבא שפורסם בThemarker.com ונמצא בקישור הבא, המספר אודות האקר צעיר בן 19 , אשר באמצעות כלים די פשוטים גרם לימ"מ של מחוז Orange County בארה"ב לפרוש פשיטה על בית של זוג , על ידי שיחה עם CALLER ID מזוייף בה הוא "הודה" ברצח .

הבחור עומד על האשמות וצפוי למאסר של עד 18 שנים בעקבות כך.

הסיבה שהתעניינתי בכתבה היא מאחר ואני מאמין שתופעת הPhreaking חוזרת ובגדול , בזכות עולם הVOIP בעיקר. אבל ללא כל קשר , נחמד לגלות שלמרות כל התחכום והטכנולוגיה , עדיין למערכת הטלפוניה המאובטחת של המשטרה - אין עדיין מערכת טריאנגולציה לזיהוי מקור וודאי לשיחה.

כמובן שמצאו בסופו של דבר את מקור השיחה, אבל זה דרש לא מעט פורנזיקה במערכות הטלפוניה ולאו דווקא של המשטרה. בכל אופן - אני שמח לדעת שיש מישהו עם היד על הדופק שבודק.

החלק היותר מעניין , הוא ההחמרה של הממשל האמריקני ( ובשאיפה יגרור מדינות נוספות בעולם ) מושפע רבות מטכנולוגיה , מערכת החקיקה אינה מקלה כבארצות אחרות - על עונשי פשעים קיברנטיים , מה שגורם לירידה מסויימת בכמות הפשיעה ולמודעות גבוהה של משמעות אבטחת מידע ( בעיקר דגש על המשמעות של שימור לוגים - ראו פוסט קודם - והיכולת לאתר תוקף בדיעבד באמצעותם ) . כמובן שזה גם מביא להתפתחות עולם הפשע הממוחשב ושיטות והטכנולוגיות לפריצה.

Labels: , , , ,

Tuesday, October 16, 2007

מערכות אבטחת מידע בלי לוגים

אני בוחר לכתוב הפעם על נושא שמתעלמים ממנו לא מעט, בעיקר ככל שהארגון קטן יותר ופחות מודע לאבטחת המידע בארגון שלו, וגם אצל ארגונים אשר מנוהלים על ידי אנשי סיסטם בלבד , ללא כל התערבות של אנשי תקשורת ואבטחת מידע בתהליכים.

למי שלא יודע , פרט לחברת צ'קפוינט אשר השכילה לכלול בכל פתרון שלה - מערכת לוגים אשר מנוהלת בנפרד או על ידי ניהול מרכזי ( SmartCenter\Eventia ) שאר היצרנים אינם כוללים פתרונות שכאלו במוצר הFW עצמו , ודורשים אלמנט נפרד נוסף על מנת לנהל לוגים , לאגור לוגים ולנתח לוגים. לדוגמא : סיסקו , פורטינט , ג'וניפר , והרשימה ארוכה מאוד ...

למעשה , ארגונים אינם מודעים לחשיבות הלוגים בניתוח תקריות אבטחת מידע, מה המשמעות של הצלבה של נתונים בין תקריות IPS לתקריות AV לתקריות תקשורת וכן הלאה . וכאשר חברות אלו רוכשות את מוצרי האבטחה שלהן , הן אינן לוקחות בחשבון את המטרה העיקרית שלשמה רכשו את המערכות - למנוע חדירה , ויתרה מכך - ללמוד לאחר מעשה מחדירה שהתבצעה.

מה שקורה בעצם , הוא שחברות כמו סיסקו בחרו לבסס את הפתרון שלהן על חומרה. ככזה - ניתן להגיע לביצועים גבוהים פי כמה , ובעלות נמוכה יותר , והTRADEOFF הוא תמיד לוותר על דיסק קשיח לטובת FLASH מאחר וזמני התגובה אחרים בתכלית. אך מוצרים אלו שומרים בד"כ עד 100 רשומות LOG ( זיכרון נדיף ) ומנקות אותו במקרה של RESTART וכדומה , כך כמובן לא ניתן לעקוב אחר אירוע שקרה לפני X זמן.

אני ארחיב ואוסיף שאני מאמין גדול גם בניתור של סביבות הנתבים והמתגים , וזאת על מנת לקבל ערך מוסף של ניתוח אירועים ובעיות ברשת ( בד"כ מוצרי הלוגים תומכים בסטנדרטים כמו SNMP TRAPS וכמו SYSLOG ) . יש לציין שיש לא מעט פתרונות כאלו אשר אינם עולים כסף נוסף - כגון הגרסאות הפשוטות של KIWI SYSLOG וההשקעה החומרתית היא פחות או יותר מחשב מיושן ורשיון לWINDOWS.

בנוסף , על פי כלל הרגולציות ותקני אבטחת המידע, מערכות הלוגים צריכות להישמר כחומר סודי ביותר, על אמצעי מוגן אשר לעתים אפילו מוגדר Secure Site ולכן יש להתחשב בעניין ברצינות.

יש משפט מפורסם שאומר "עוד לא פיטרו אף איש תקשורת על כך שבחר לרכוש סיסקו" , אבל לפי דעתי , אם בכל זאת בחר לרכוש מוצר אבטחה של סיסקו ( כגון ASA או NAC Appliance וכדומה ) , בגלל סיבות כאלו או אחרות פרצו לרשת , ואותו איש תקשורת לא ידע להסביר למה - תהיה זו סיבה טובה עבורו לעדכן קורות חיים. מאחר ומערכת אבטחת מידע לפי כל תקן אפשרי , אמורה לאפשר אכסון לוגים וניתוחם לאחר תקרית.

אני לא מדבר על הטמעה של מערכות SIM\SOC למיניהן , אבל מערכות לוגים בסיסיות - כמו SYSLOG או כמו פתרונות חליפיים , eIQ , FortiAnalyzer , Juniper NSM נדרשים כMandatory כאשר מתכננים כל מערכת אבטחת מידע כלשהי אשר אינה מכילה אלמנט אגירת נתונים פנימי.

Labels: , , ,

Sunday, October 14, 2007

Secunia PSI Beta - ניתן להורדה

למי שאינו מכיר , SECUNIA הינה ארגון אשר מחזיק באחד מאתרי מעקב אחר בעיות אבטחת המידע , מהגדולים , אם לא הגדול והמקיף ביותר בתחומו, עם מאות ואלפי ארגונים וחברות אבטחת מידע אשר תורמים לתוכן שלו.

SECUNIA מפתח אפליקציה ארגונית אשר נקראת SNSI שהינו Secunia Network Security Inspector אשר מטרתו לבדוק את האפלקציות המתוקנות בארגון,  ולספק מידע אודות גרסאות פגיעות , עדכוני אבטחת וכדומה , אשר רלווניים לארגון.

לאחרונה פיתחה כלי חדש בשם PSI , שהינו כלי דומה - אך מיועד למשתמש הפרטי הביתי - ובחינם !

מטרת הכלי הוא שוב  -לסרוק את המחשב האישי שלכם , לחפש מפגעים ופגיעויות ( מעין VA מתחכם ) ולהצליב מול המאגר האדיר של SECUNIA - ואז לדווח לכם על פגיעוית אפלקטיביות , ולכמובן להציע עדכוני אבטחה בהתאם. האפליקציה משתמשת בשיטת הניקוד של Secunia בשביל לבצע חישובים לגבי רמת העדכון , והאבטחה של המערכת.

אחת התכונות החשובות של האפליקציה היא להסביר עבור גרסה מסויימת - מדוע יש להסיר אותה, מה הפגיעות שהתגלתה , המלצות יצרן והוראות מפורטות ביותר לגבי המשך הפעילות. אחד היתרונות שמצאתי בכלי זה , הוא שגם אם התקנו עדכון , אבל גרסה ישנה עדיין נשמרה במערכת - נקבל חיווי על כך עם הסברים כיצד להסדיר את הבעיה.

קישור לתוכנה : כאן כמובן

Labels: , , , , ,

Saturday, October 13, 2007

XML Security - קצת מחשבות בנושא

פרילוג

לאחרונה יצא לי לערוך מצגת בכנס טכנולוגי שעסק בבעיות אבטחת מידע בתחומים שונים , כאשר התרומה שלי לכנס זה הייתה - מצגת בנושא עולם אבטחת המידע סביב XML. הסיבה שאני בוחר לכתוב על זה , היא שנדהמתי לגלות עד כמה שהתחום הזה מנוכר ואינו מוכר בשוק הישראלי ( ואיני בטוח עד כמה מוכר ומטופל בעולם כול , למרות שכבר יש פתרונות מדף שונות בתחום ) . נכון , ידעתי שהתחום מתעורר רק בשנה וחצי האחרונות מבחינת מודעות , ושפתרונות רבים בתחום עדיין אין - אבל כשאנו רואים יצרנים מובילים כמו CISCO פונים לתחום זה, סימן שההתעוררות בדרך , הפטריות צמחו אחרי הגשם ושהגיע הזמן להביא למודעות את מערכי אבטחת המידע השונים להתמודדות עם הצרות החדשות שבכותרות .

מה זה XML

קצת אינפורמציה על קצה המזלג . - למי שלא מכיר , XML הינו שפת תכנות מבנה נתונים אשר מציגה ובונה מידע בצורה היררכית על מנת לאפשר למידע להיות מוצג בין פלטפורמות שונות , ולהיות מובן על ידי בני אדם וגם על ידי מכונות במקביל. XML מבוסס על תקן SGML משנת 1986 , אשר מדבר על מבנה היררכי של מידע שגם אדם וגם מכונה יכולים לקרוא ולהבין.

אני ממליץ לקרוא את המדריך הבא למי שהעולם הזה חדש עבורו.

SOAP

לשפה זו מצטרף פרוטוקול הSOAP אשר נבנה לצורך יצירת תווך של העברת ידע ופקודות בין מערכות שונות ( בד"כ תוך שימוש בפרוטוקול HTTP כשכבת תקשורת ) . למי שלא מכיר - SOAP עובד בשיטה של מעטפות מידע ופקודות אשר עוברות בין שני אלמנטים שונים ( אפליקציות \ שרתים \ טלפונים IP וכדומה ). לאותן מעטפות ישנה הגדרת מידע ומבנה אשר נקרא פשוט - סיכמת הSOAP , והוא ממוקם בקובץ WSDL אשר פירושו - Web Services Descripton Language. ומכיל את המידע הרלוונטי בכדי לאפשר לשני הצדדים להבין אחד את השני. חשוב להבין שSOAP יכול ואמור לכיל פרצדורות ופונקציות כמו בכל שפת תכנות אשר עוזרות לצד השני להבין את המידע המועבר ( ומאפשרות גם עיבוד נתונים בSERVER-SIDE ).

מדריך מצויין למתחילים עם SOAP ניתן לקרוא כאן.

שימושים נפוצים

השימושים הנפוצים ביותר לXML היום הם : העברת מידע בין מסדי נתונים ובין שירותי אתרי אינטרנט , העברת מידע בין מודלים של מידע ובין פלטפורמות שונות , RSS , הגדרות לציוד ( כמו למשל קונפיגורציה של נתבי Juniper ודומיהם ) ולאט לאט כמעט כל תקשורת המכילה נתונים מידיים ומובנים עוברת למודל זה. אפילו עולם הMobile עובד בתצורה זו. נכון להיום , ישנם מוצרים רבים אשר בעבר הוגדרו על ידי SNMP או קבצי קונפיגורציה שהורדו ועבר קומפילציה על המכונה , והיום עוברים בXML. למשל טלפוניית הIP של סיסקו.

תקשורת הSOAP

הרעיון הכללי לתקשורת בXML באמצעות SOAP הוא : לכל צד אפליקטיבי אשר מבקש להעביר או לקבל נתונים יש PARSER מובנה אשר חותך את מבנה הXML ומייצג אותו בפני האפליקציה , וכמו כן יודע לקחת את נתוני האפליקציה ( וזה כבר מותאם אישית לכל אפליקציה ) ומפיק ממנה XML וגם DTD ( סכימת המבנה בXML ) את הXML עצמו מעביר פרוטקול SOAP למעטפות ושולח על גבי IP לצד השני . בצד השני מקיים התהליך ההפוך של פתיחת הפמעטפת , REPARSING והמרת המידע למבנה המבוקש.

סכימת המבנה של שימוש בSOAP בHIGH-LEVEL ( תהליך ממוספר ) :

soap_h4

התקפות

בחרתי לציין מספר קטן של התקפות מוכרות מעולם הXML בכדי להמחיש את הסיכונים :

  • SQL Injection , כן - אותה התקפה המוכרת לנו כלכך מעולם הSQL ועולם האפליקציה , מקבלת פנים חדשות לחלוטין. תחשבו על זה לרגע , למרות שתווך העברת הנתונים אינו SQL אלא XML , ישנו PARSER אשר הופך את המידע משאילתת SQL לXML ובחזרה . זה אומר בעצם שאם הייתי גורם לנתונים בתוך הXML להכיל את אותו "גרש" וסקריפ אחריו בתוך שדה נתונים - הPARSER בצד השני ימיר את ההתקפה בחזרה לSQL וההתקפה תעבוד. למרות כל ההגנה שהשקענו עד היום.
  • Recursive Payloads – התקפה המתבצעת על הPARSER אשר אמור לטפל בבקשות מסויימות , מתבצעת רקורסיה ארוכה , אשר גורמת לDOS. התקפה קלה מאוד לביצוע שכן הPARSER תמיד מנסה להבין את מבנה הנתונים ולענות לבקשות פעולה בקוד המעטפה.
  • WSDL Scanning – זליגת מידע על ידי סריקת מבנה התשתית של מעטפות הSOAP על ידי למידת מבנה מסד הנתונים המוצג בתבנית הWSDL. ברוב המקרים - במידה וכבר בחרו להצפין את תווך הSOAP או אפילו לבצע IP FILTERING כדי שהתווך יהיה רק בין שני גורמים , המעטפת תמיד נמשכת ממקור צד שלישי, שאולי אינו מוגן. כאשר אני קורא את הסכימה , אני יכול להסיק על כל מבנה הנתונים המוצג בשאילתות , ללמוד את מבנה מסד הנתונים, ולחסוך זמן בעבודת הפריצה וגניבת המידע.
  • Schema Poisoning - שינוי מעטפת הXML על מנת לשנות את מבנה הנתונים והמידע המופק ממנו , בעצם אני משנה את הצורה שבה אמור להיקרא המידע על ידי הצד השני על ידי שיבוש הסכימה, והמידע מגיע משובש לצד השני. ( MITM עובד כאן יופי יופי ).
  • SOAP Routing Detours - על ידי שתילת תגיות נוספות למעטפה , ניתן לגרום למעטפה לעבור דרך גורם שלישי בדרך , לבצע MITM ולשבש ואף לגנוב מידע מבלי שיורגש.

וירולוגיה

אין לשכוח עולם שלם של וירולוגיה ממוחשבת אשר עוברת דרך SOAP וXML. תחשבו על זה רגע ... נכון להיום כל מערכות האנטיוירוס סורקות רק נתונים מסויימים , ורק סוגי תעבורה ופרוטוקולים מסויימים. אם אני מפרק וירוס לתוך מעטפות SOAP , הוא יופעל על ידי האפליקציה שביצעה PARSING והרכיבה את הוירוס מחדש , ואותה אפליקציה , באופן לא מפתיע - מורשית לרוץ על המערכת , ולכן מערכות HOST-IPS ורוב הAV פשוט לא יתייחסו ( ברור לחלוטין גם מול הUAC של ויסטה ).

סיכום

החלק האבסורדי כלכך בעולם זה , שרוב האנשים שמתמחים בתחום אבטח המידע האפליקטיבית, רוב המפתחים וחלק גדול ממהנדסי אבטחת המידע בעולם - פשוט מתעלמים מהנושא , או אינם בקיאים בו מספיק בכדי לזהות את הסיכון המאוד מאוד משמעותי. אני חושב שאני מדבר בשם רבים בתחום כאשר אני אומר ששנת 2008 תהיה שנה מותקפת מאוד בתחום הXML וגם בתחום הAJAX , אבל זה כבר לפוסט אחר.

אני ממליץ למי שמעוניין להעמיק בנושא , ללמוד עוד מאתר SECUNIA , אשר מפרסם כל הזמן התקפות חדשות - אפליקטיביות\מבניות\תקשורתיות בנושא XML. המודעות היא השלב הראשון והעיקרי לפתרון בעיות אבטחת המידע הנובעות מכל דבר.

Labels: , , , , , ,

Sunday, October 07, 2007

ההכרזה - טלדור

במהלך השבועות האחרונים מאז הודעתי על פרישתי מחברת בזק בינלאומי ( הנפלאה ) נשאלתי רבות אודות המשך הדרך ובחירת הנתיבים שלי. היו ספקות מסויימים , והיו גם אנשים שניסו לדחוף אותי להקים חברה עצמאית , וחלק שניסו להיפטר ממני למעבר לים - וניסו לדחוף אותי לבצע Relocation , אך ללא הצלחה לעת עתה. ולבסוף החלטתי שאני רוצה להמשיך בדרך שלי , בעשיה בתחום אבטחת המידע בעולם האינטגרציה והארכיטקטורה של פתרונות, וכשהצעות מסוג זה היתדפקו על דלתי - החלטתי ללכת על המעניינת מכולן.


אני הולך לטלדור.

בתפקידי החדש המוגדר Security Systems Engineer בטלדור , אבצע בעצם פעילות דומה לזו שביצעתי בעבודתי הקודמת , עם דגש עיקרי על ארכיטקטורת מערכות אבטחת מידע לארגונים גדולים. חברה ממוצבת ואיכותית כמו טלדור תאפשר לי לתרום רבות לעשייה בתחום בארץ , תחום שלא פעם התלוננתי שאינו בוגר ובשל מספיק במדינתנו , ואיני מתכוון בארגונים ביטחוניסטים , אלא בארגוני הEnterprise אשר הם החוליה הבאה בשרשרת שאמורה להגיב לאיומים.

עם אנשים מצויינים שמאיישים תפקידי מפתח , ועם גישה למשאבים הנכונים - אני מקווה להביא לצמיחה בתחום אבטחת המידע , מודעות וטכנולוגיה.

נראה אתכם בכנסים ...

Labels: , , ,

Monday, October 01, 2007

XSS Translator - התרומה שלי לחודש XSS

בעקבות המהלך החשוב של גיא מזרחי ( מחבר הבלוג "יומנו של האקר" ) לקיים חודש מודעות לפגיעויות אבטחת מידע באתרי אינטרנט , אשר מקורן בXSS ( או Cross-Site-Scripting ) ועל ידי כך להגביר את המדעות והצורך באבטחת מידע אפליקטיבית למערכות המגישות שירותי Web.

אני שהחלטתי שלא להתחיל לחפור בכל אתר שאני נתקל בו ( הזמן קצר והמלאכה מרובה ) החלטתי לתת את תרומתי ל"חודש XSS" שפתח גיא , בדרך קצת שונה.

כתבתי כמה שורות קוד וקימפלתי ... XSS Translator. למעשה מה שהאפליקציה הקטנה עושה - מתרגמת מטקסט סקריפט רגיל לXSS וחזרה , ובכך מקלה על העוסקים במלאכה ( מגדל דור שלם של Script-Kiddies ואפילו גאה בזה )

את האפליקציה ניתן להוריד מהאתר של גיא מזרחי בקישור הבא :

http://hacking.org.il/code/xss_translator.exe

דרישות מערכת : מחשב.




אשמח לשפר אם יש צורך , אך מדובר סה"כ בתרומה פרו-בונו למטרה מוצדקת של חבר. לכן נא לא לבקש ממני לבנות פנימה XSS-VA כי זה יצריך להקים סטארטאפ , לקבל תקציבים ... מצד שני - אם אתם מוצאים באגים , או דברים נוספים שחסרים לכם ברמת תרגום - אשמח לשפר.

תודה לגיא על אירוח הקובץ.

[ הערה : מטעמי נוחות - נכתב בVS.NET ולכן צריך את הFramework מותקן. ]


About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites