Monday, March 31, 2008

נפרץ www.mcds.co.il פעם שניה היום

טוב , זה כבר מצחיק... אותו אתר נפרץ פעמיים באותו היום ועובר Defacement.

האם יכול להיות שאותו האקר חוזר לאתר בשביל לקשט את העבודה שלו ? או האם יש כאן תחרות בין האקרים ? ... בכל מקרה ... נחמד לגלות שהאתר mcds (ואולי בגלל שהשם נשמע כמו קיצור למקדונלדס) נראה כמטרה טובה להתקפות .

mcds_co_il_2

Labels: , , ,

נפרץ האתר www.mcds.co.il

מזמן לא יצא לי למצוא השחתת אתר, אך הנה ...

האתר mcds נפרץ והושחת על ידי האקר טורקי שמציג עצמו כ El_Muhhamed.

הוכחה :

mcds_co_il

אגב, מישהו חשב על הקונספירציה האפשרית שהאתרים הללו נפרצים על ידי ישראלים אשר מציגים את עצמם כהאקרים מוסלמים ? האם ייתכן שהדרך הכי טובה היא להאשים בחוץ ולא לבדוק בפנים ? אני בהחלט חושב שמדובר בסוגיה מעניינת שצריך לתת עליה את הדעת.

Labels: , , , ,

Saturday, March 22, 2008

לקום וליפול על שירות.

למי שמכיר את עמדותיי בנוגע לשוק אבטחת המידע העולמי, ולמדינות שאינן מוגדרות Emerging Markets בפרט, יודע ומכיר את דעתי לגבי שוק העסקים הסובב סביב עולם אבטחת המידע.

בניגוד לשווקי התקשורת, שווקי הSYSTEM ושווקי הASP ( אירוח אפליקציה והוסטינג ) - שוק אבטחת המידע הוא שוק מאוד מאוד מיוחד ובעל אופי מאוד שונה. הסיבה לכך היא הצורך הבסיסי באמון בגוף שמולך כאשר אתה מבצע פרוייקט , או רכישת מערכות עבור הארגון שלך.

אחד הקשיים הגדולים בתחום אבטחת המידע, הוא שיש המון שחקנים. מעט מהשחקנים הם באמת אנשי אבטחת המידע טובים טכנולוגיים ומשופשפים, בעוד רוב השחקנים ירוקים או מהווה אחוז גבוה של אנשים אשר ביצעו הסבת מקצוע בגלל ההילה והכסף שהתחום נוטה לצבוע עצמו בהם. וזה מה שגם מקשה על השוק לפעול בצורה מאוד משמעותית, שכן בעוד בעבר יכול היה איש טכני ומיומן לרכוש את אמונו של הלקוח בגלל קבלות, היום הסמכות עושות אותו דבר ( ובלי נסיון ! ) מה שגם גורם ללקוחות להאמין בגופים ואנשים שהם , ונהיה כנים ... פחות טובים.

אם פעם יכולתי להופיע לפגישה אצל לקוח חדש או קיים, ומאחר והוא מכיר ביכולות הטכניים שאני מביא איתי - היה לי קל יחסית להעביר את המסר שלי . אך היום - נגמר העולם הזה. את אף אחד לא מעניין אם מגיע אליו מהנדס אבטחת מידע עם 10 שנים נסיון , או זאטוט בוגר מוקד תמיכה עם פה גדול. כי בMoney Time הבדיקה לאיכות האינטגרטור והפתרון השתנו.

שירות.

כאדם שגדל בתחום השירות ושם גם התמקצע על הפנים הטכניים, אני יודע לומר היום מנסיוני שאין זה משנה כמה צבעים יש בלוגו החברה , וכמה יפה האוטו של מנהל הלקוח שמגיע ללקוח או כמה כפתורים יש בחולצות של המהנדסים. אלא בצורה חד משמעית - ארגון קם ונופל על רמת השירות שהוא מציע . על אחת כמה וכמה בתחום אבטחת המידע , שבו שירות לא אמין או לא מקצועי יכול לגרום לנזק של מעבר להשבתה , אלא יכול לגרום לאובדן של נכס שמור וסודי לידי ידיים לא נכונות.

השוק של המחר ( ובחלקו גם של אתמול ) אמור להתבסס על גורם מאוד מכריע בהחלטתו - שירות טכני ורמת Delivery שהאינטגרטור מסוגל לבצע עבור הלקוח הסופי שלו. ובמבחן התוצאה אין זה משנה למי יש עוד הסמכה ושל מי יותר גדול , אלא מיהו זה שהלקוחות שלו מסמנים אותו כמוביל בתהליך של אחרי המכירה ואחרי ההפעלה. מבחינתי אינטגרטור או כל גורם אשר מסוגל לתת מענה מקצועי ביום שאחרי הוא זה שראוי להוביל את המשך הדרך.

כמי שאמון על לא מעט פרוייקטים , אני יודע שכאשר אני מגיע ללקוח והוא מרוצה מהשירות שהוא מקבל ממחלקות התפעול וההקמה , הוא לקוח שימשיך לעבוד איתי על פרוייקטים נוספים. אני גם יודע שכאשר לא כך המצב , המצב יכול להתהפך, ניתן לראות פתאום לקוח בן שנים מתייחס להזדמנות כהזדמנות ראשונה מאחר ונכווה בעבר.

אגב , כדי להישאר נייטרלי - אציין שאחת החברות שמצטיינות בתחום של הבנה של היום שאחרי בעולם הינה BT Counterpane , ( לא , לא BT Infonet . ) שהיא חברת אבטחת המידע שייסד ברוס שנייר , היא בדיוק כזו שהצליחה לקום ולהיות חזקה כפי שהיא כיום בדיוק בגלל שני דברים - השם של ברוס, והשירות חסר התחרות שנותנת קבוצת BT ללקוחותיה.

ותחשבו על זה ...  

Labels: , , ,

Friday, March 21, 2008

חג פורים ו Social Engineering , סיכון ?

קודם כל חג שמח לכולם, באמת עברה שנה מעניינת מאז פורים האחרון.

רציתי בהזדמנות זו לחלוק אתכם מחשבה שלי.

בחג פורים , רבות מחברות ההייטק שוכרות שירותיהם של חברות הפקה אשר מביאים דמויות שונות של שחקנים המחופשים ללייצנים וכדומה , ומסתובבים בתוך החברה ועושים לאנשים שמח. אני יכול למנות עשרות רבות של ארגונים שאני מכיר שאותם "ליצנים" מסתובבים להם בכיף ועושים שמח לאנשי תמיכה , למזכירות טלפוניות , למחלקת רכש , למחלקת שכר , למחלקת פרוייקטים , למנכ"ל ולמי לא ...

רגע ! האם מישהו בודק ומלווה את האנשים הללו בארגון ? האם מותר להם להסתובב במקומות אשר כאשר נראה את כף רגלו של מתחרה נזמין את האבטחה ? האם זכותו של ליצן לראות את המכרזים בהם החברה שלי עוסקת ואת תלושי המשכורת או הזמנות הרכש ?

זה נראה טריוויאלי , אבל דווקא בגלל הסיטואציה , רובנו מורידים את העירנות כאשר אנו רואים שהארגון והרווחה בארגון באים לעזור לנו להרגיש טוב לגבי עבודתנו. ומשקיעים מיטב המאמצים בכדי לגרום לעובד להרגיש שייך למקום העבודה ... אבל האם זה לא פותח דלת לצרות ?

כמובן , יש כאן דילמה ... לא נעביר ליצן חביב בדיקות פוליגרף בטרם נכנס אלינו למשרד. אבל האם לא הגיוני לקבל רשימה עם תמונות מהספק , ועם משך עבודתו של כל אדם בארגון ? והאם לא הגיוני להצמיד מאבטח \ איש מחלקת משאבי אנוש לאותם אנשים שילוו אותם במשך כל שיהותם במתקן ?

שווה מחשבה...

Labels: , , ,

Thursday, March 13, 2008

פרסום BGP ( או כתובות אחוריות ) לא גורם סיכון לנתב !

אני רוצה לקחת אתכם לתוך פגישה שהשתתפתי בה לא מזמן , אשר בה נכחו יועצים ,מהנדסי מערכת מבית יצרני אבטחת מידע , מהנדסי תקשורת ,אני וכמובן הלקוח. בפגישה דובר על פתרון אבטחת מידע די מורכב ברמת התקשורת אשר כלל שרידות בין אתרים , קונסולידציה של מערכות ועוד כל מיני פיקנטיים.

הייתה זו גם פגישה בה לקחתי לעצמי ניסוי , התלבשתי מרושל... ג'ינס וטישירט... וזה יצר משהו כמו שחשבתי, לא שמו לב אליי .. מי שלא הכיר אותי לא פנה אליי , והפכתי לרקע ( בכוונה אגב , בחרתי לא להיות זה שמציג את מבנה המערכת ) מה שגרם לי להקשיב טוב יותר ולהיות ער לדברים שהתרחשו בפגישה, שלצערי - אני מביא לפניכם את סיפורה ( כמובן , כהרגלי, אנונימי לחלוטין ).

אבל, BGP ... אוי BGP ... ולאו דווקא בגלל שהוא BGP ...

באותה פגישה דובר על לאחד תשתיות של DATACENTER עם תשתיות גלישה של משתמשים, עד כאן הכל טוב ויפה , הרצון לאחד שני שירותים לנתב ACCESS אחד , ולפרסם כתובות של הDATACENTER ושל כתובות המערכת שמבצעת NAT למשתמשים על אותה קופסא.

קם היועץ, וקם מהנדס א.המידע וטוענים שבשל הקונסולידציה הזו , התווך פגיע להתקפות ולזבל שמגיע מכיוון האינטרנט. קם גם מהנדס התקשורת ואומר ( ובצדק ) לא שכנעתם אותי שיש פה בעית אבטחה. והוסיף ואמר , שהבעיה היחידה היא ניצולת לצרכים לא נכונים של הקו.

המשיכו השלושה להתווכח לשווא אודות מבנה התקשורת והאפשרות לחדור ולהתקיף את הרשת דרך הציוד. אני אישית , המום מהגישה הזו לניתוח תקשורת... בגלל שתחומי כתובות שונים מנותבים דרך אותו נתב זה הופך אותו לנקודת סיבולת וכשל לפגיעויות ... בולשיט !

אני רוצה להציג בפניכם שרטוטון :

BGPATTACK

עכשיו :

ניתוב של הכתובות בBGP מחולק תמיד לCLASS C ולכן הדגמה כזו , שכתובות רוכבות דרך נתב ודרך LOOPBACK מתאים , כל סגמנט לציוד היעד שלו כפי שתיארתי . כמובן ( !!! ) שלנתב אין כתובת חוקית לגישה אליו.

נשאלת השאלה ... למה חשבו היועץ ומהנדס אבטחת המידע שאפשר לתקוף את הנתב ? איזו התקפה תרכב לכיוון שלו ? כל התקפה שתתבצע תתבצע מול ציודי הקצה שאליהם מנותבות הכתובות , ואשר יענו לתקשורת. הנתב לעולם , אבל לעולם לא יענה לתקשורת.

ובואו נשלול בבקשה התקפות DOS , אין להן קשר לפרסום הכתובות או לקיומן דרך נתב מסויים ( אגב , אצל ספקיות אינטרנט מסויימות - ואחת הטובות עבור כך היא בזק בינלאומי - ניתן למנוע DDOS ברמת הISP כשירות על גבי מערכות ייעודיות ).

עם הזמן אתה לומד שגם אנשים עם המון המון ניסיון טועים או חושבים עקום לעתים ואינם לוקחים זמן מחשבה , מתוך הצורך להציג ולהראות. ולפעמים מדברים בשביל לדבר, אך לעתים השקט מספיק רועם בשביל להעמיד על טעות - ואיזו טעות.

בכל אופן , הכתוב פה הוא דעתי.

Labels: , ,

Saturday, March 08, 2008

כיצד מתמודדים עם וירוסים וDLP בFaceBook ?

לפני מספר ימים קיבלתי אימייל ממר יעקב רוזן , מנהל פיתוח עסקי בחברת HRD העוסקת בשיטות לשיפור מחלקות כח אדם ארגוניים , וייעוץ לחברות בתחומים אלו. ברשותו , הרשו לי לצטט את המייל ( רובו ) :

בוקר טוב בארי,

קראתי את הפוסט שלך לגבי הוירוס שהתגלה בפייסבוק ויש לי שאלה בנושא.

אנחנו מדריכים ארגונים שונים על השימושים ברשתות חברתיות לגיוס עובדים ולמיצובם כמקום שטוב לעבוד בו.

אחד הארגונים רוצה לעודד את עובדיו להצטרף ל- FB‏ ונשאלנו לאחרונה על ידי אנשי ה- IT‏ של הארגון האם הם צריכים להגדיר הגנות מיוחדות בכדי למנוע זליגת מידע ממערכות המידע של הארגון אל גורם שלישי בעקבות התקנת אפליקציות שונות על ידי העובדים או בעקבות חדירת וירוסים דרך אפליקציות זדוניות.

האם תוכל להפנות אותי למידע רלוונטי בנושא?

תודה מראש על העזרה ועל הזמן שלך,

יעקב

לשאלת אותם מנהלי IT , אכן יש צורך להגדיר "הגנות מיוחדות" שכאלו. את רובן ניתן ליישם באמצעות מערכות IPS ומערכות Network AV אשר יחסמו את ההתקפה לפני שהיא מגיעה לתחנה , וזו גם הדרך הנכונה ביותר לתקוף את הבעיה הזו כרגע ( למרות שלדעתי , יש צורך לחסום את השירות באופן מלא בארגון כי אין שום סיבה להשתמש בFB מתוך רשת ארגונית - פרט לבזבוז משאבים וזמן ).

לעומת זאת , ישנו נושא שני של זליגת מידע. ובכן , אין כאן שום שוני מכל תצורת זליגת מידע אחרת לכיוון אפליקציות והן מתחלקות ל2 סוגים :

1. משתמשים שמוציאים מידע החוצה.

2. אפליקציות זדוניות שמושכות מידע.

ובכן , לגבי 2, הפתרונות הרשתיים מספקים פתרון כי הם מאתרים ( ב99 אחוז מהמקרים ) את מקור ההתקפה וחוסמים אותה, וכמובן מסוגלים לדווח ולהתריע.

לגבי 1, לא תהיה ברירה - יש צורך להטמיע מערכת DLP , שכמובן הדרך המומלצת היא ההטמעה הרשתית של פתרון ( כגון PortAuthority ) ולארגונים עם פחות משאבים - Onigma שכעת הינו חלק מMcAfee. למיטב הבנתי יש אפילו פתרון לSymantec אבל אני לא מכיר אותו , ולכן לא יכול להעיד לגבי טיבו.

חשוב לי לציין , שאת הוירוס הראשון בFacebook תפס מרכז הFortiGuard של חברת Fortinet.

Labels: , , ,

Friday, March 07, 2008

Wireless Under Linux : Monitor Mode

As some of you may already know , one of my biggest and oldest hobbies is linux.

As such , the first thing i will try with almost any computer \ laptop \ device i get - is to try a linux distro on it , and test it for playfulness . but most of the times , these computers are not mine , so its kind of helping guys out on the way.

This past week , ive been asked with a question by a collegue of mine , and that is actually a question that i get alot regarding wireless hacking with a linux box. the question is "how do i set my wifi card to Promiscuous Mode ?" which is something many new guys on a linux platform find hard to achive. and it is a very important knowledge for anyone in the Pentesting field , or if its a "hobbie".

The reason for that is preety simple... when you want to use your card for packet injection , and sniffing - you need to put it on a passive mode. this moe is called "Monitor-Mode" when refering to linux. after you do that - you can usually fire up any wireless hacking \ sniffing program that you want.

The problem is that on some cases , trying to set up the card to Monitor Mode by issuing the command : iwconfig ath0 mode Monitor , will result in an "Invalid Input" or a "Set Mode (8B06)" message on your screen. and any attempt to change that will not be succesful, even if you use patched drivers ( like MadWifi ) and such.

The solution to that is quite simple actually. use the wlanconfig tool.

In order to change the card's mode to the desired one , first of all - put it to sleep by issuing the command ifconfig ath0 down ( ath0 stands for the interface's name ). then use the wlanconfig tool by issuing the following commands :

wlanconfig ath0 destroy
wlanconfig ath0 create wlandev wifi0 wlanmode monitor
ifconfig ath0 up

Thats it. your card is now in Monitor Mode.

In order to put the card to the original state , repeat this sequence of commands, but instead of choosing the wlanmode monitor , choose wlanmode managed.

Hope this short guide was helpful.

Labels: , , ,


About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites