Saturday, August 30, 2008

משתמשים מגנים על משתמשים

בסוף השבוע שעבר בוצעה התקפה על משתמשי FACEBOOK באמצעות פרצה שהתגלתה במערכת שליחת ההודעות של FACEBOOK, ההתקפה שלחה לכל משתמש מספר הודעות שהגיעו כביכול מחבריהם אשר הכילה קישור לאתר שברגע שהופנה - הוריד קוד זדוני למחשב הגולש.

החלק היפה בכל הסיפור הזה אינו דווקא מבנה ההתקפה , שכן גם כאן יש על מה לדבר - אלא לתגובת הגולשים אשר זיהו די מהר את ההתקפה, ומיהרו לפרסם לכל הפורומים וקבוצות FACEBOOK על ה"וירוס חדש בFACEBOOK" ולפתוח קבוצות תמיכה , ובכך מיזערו לחלוטין את השפעת ההתקפה.

facebook-comm זה הופך להיות מעניין , כאשר משתמשים מצליחים להגן על משתמשים. ואולי בעצם מישהו צריך להקים Taskforce כזה או אחר שמנטר מקומות כמו Facebook וכמו MySpace על מנת לאתר איומים כאלו ולהתריע עליהם בזמן... מישהו מרים את הכפפה ? סימנטק ? מקפי ? טרנד ? מעניין ...

בכל מקרה , זה בהחלט ג'ונגל שם בחוץ... מעניין מה עוד יקרה השנה בהקשר של רשתות חברתיות והתקפות מזנים חדשים.

Labels: , , , ,

Thursday, August 21, 2008

ImperViews

Confessions Of A Dangerous Mind הוא בלוג שהתחלתי לכתוב בשלהי 2006 , שהתחיל בכלל באנגלית והוסב לעברית כשראיתי שמעטים הבלוגרים שנותנים תשומת לב לתעשייה הישראלית.

לאחרונה הצטרפתי לצוות כתיבת בלוג אבטחת המידע של חברת Imperva בה אני עובד, הבלוג נקרא ImperViews וכותבים בו אנשים שונים מהארגון.

כתוצאה מכך, אתחיל לפצל את הכתיבה בין הבלוגים.

הזמן יגיד לאן ילך רוב הפוקוס.

בארי.

 

Confessions Of A Dangerous Mind is a blog ive been writing since the late 2006. This blog that started out as an English blog an later transferred in whole to a Hebrew one in order to pay attention to the Israeli industry.

Lately, I have joined Imperva's blogging team for the Security Blog - ImperViews, which is being written by different people at Imperva organization.

Following that decision, I will probably split my writing between this blog and the ImperViews Blog... Time will tell where I will put my focus.

- Barry.

Labels: , , , ,

Monday, August 11, 2008

הגנת IPS כנגד SQL Injection , לא ממש...

אני אוהב לדבר על מערכות ניתוח תעבורה , ניתוח השכבות ופירוק האפליקציה והפרוטוקולים לגורמים תמיד ריתקו אותי ונתנו לי נופך לעבודתי במרוצת השנים. ועם הכל די התמחיתי בכלי ניתוח התעבורה השונים אשר התחילו מבדיקות RFC למערכות IPS מתוחכמות מבוססות אנומאליה\חתימות דרך אנטיוירוסים רשתיים וכלה כמובן במערכות ניתוח תעבורה לשכבות האפליקציה .

אחד הדברים שתמיד הפתיעו אותי הוא התפיסה הרווחת ( והמוטעית ) אשר אומרת שניתן לחסום SQL Injection במערכות IPS או מערכות FW מתקדמות עם מנגנוני חתימות. ואני כמובן מוחה.

התפיסה היא שעל ידי חיפוש של מחרוזות גנריות בתוך שאילתות HTTP למיניהן , ניתן לאתר את כל\רוב סוגי התקפות הSQL השונות. אך האם כך הדבר ?

משפט SQL הוא משפט אשר עובר Parsing מסויים ולבסוף מעובד על ידי מנגנוני קלט אשר בודקים את תקינותו מבחינת Syntax וקישורו לאובייקטים קיימים בDB , על אותה רגל - משפט SQL Injection יהיה לעולם משפט אשר מנסה לקיים תנאי TRUE. על ידי כך במידה ויש התאמה לתנאי , השאילתה אשר מפיק משפט הSQL תרוץ על השרת...

ואם מדובר במשפטי TRUE ... אז משפט כמו 1=1 הוא נכון , וגם a=a הוא נכון , וגם 100<999 הוא נכון וכן הלאה ... כלומר במילים אחרות --> לא ניתן לייצר חתימה אשר תתפוס כל SQL Injection אלא את הבסיסיים בלבד.

או אולי , לפי הקונספט של לחפש את תווי הגרש ( ' ) בתוך מחרוזת ... והאם השמות "ג'ק" או "ג'ון" אינם שמות הגיוניים ? מובן שכן, ומתוך תפיסה חתימתית - לא יהיה ניתן להזין שמות כאלו לדף מאחורי IPS חתימתי שכזה ...

Labels: , , , , ,


About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites