יומן אבטחה

טעיתי. אני לא בטוח אם כתבתי את זה פה, אך בהחלט אמרתי את זה בצורה ברורה בפורומים מקצועיים - הסבירות למתקפת פישינג על בנק בארץ נמוכה וכנראה שלא תקרה בשנתיים שלוש הקרובות. זה הזמן לאכול את הכובע (אני מתייחס כמובן לפישינג על לאומי), למרות שאני עדיין מאמין שהסבירות למתקפות כאלה נמוכה. בעיקר בגלל שפוטנציאל הגניבה נראה לי נמוך באופן יחסי. צריך לזכור שלמרות שיעורי חדירה גבוהים אולי של האינטרנט ללקוחות בארץ, אנחנו עדיין מדינה שיש בה רק שבעה מיליון תושבים. רוב הבנקים מטילים מגבלות לא קטנות על העברות כספים ורוב הלקוחות לא מנצלים את היכולת להעביר כספים, כך שלחלקם זה חסום לחלוטין (כמו אצלי למשל) ואצל חלקם יש מספר חשבונות מוגדרים מראש להעברה. כך שאם יש תוחלת למתקפת פישינג נראה לי שזה יהיה סביב הרצת מניות, אבל טעיתי פעם אחת אז אולי זו הפעם השניה.

גיא מזרחי פתח פרויקט ראוי בהחלט בו הוא מבקש מגולשים לשלוח לו קישורים למתקפות XSS שמצאו. עד כה אותרו ליקויי XSS בלמהנט, תפוז וואלה, נרג' ונענע (ועוד כל מיני אתרים שאני בכלל לא מכיר). כתבתי בעבר על כך שבעוד שבישראל יש (כנראה) לא מעט האקרים, אנו לא רואים שכוח המוח הזה מופנה לטובת הגנה על הציבור - כלומר לבדיקת רמת הסיכון הנחשפת לגולש הישראלי באתרים הנפוצים.

לכן פרויקט כזה ראוי בהחלט ואני מקווה שגיא יהפוך אותו לפרויקט קבע ואף ידרג את האתרים הישראליים לפי רמת הסיכון שלהם עבור הגולשים (זה מאוד קל להציע רעיונות שאחרים יבצעו. אני חושב שקוראים לזה ניהול).

הנה אירוע מצמרר. בעל חברת מחשבים שסיפקה שירותי תמיכה למחשבי הצי האמריקאים החדיר קוד זדוני לתוך מחשבי הצי באיטליה. אלו לא המחשבים שמשמשים ל-solitaire, אלא המחשבים שמפקחים על תנועת הצוללות של הצי השישי. האמריקאים הצליחו לנטרל את הקוד הזדוני לאחר שהשבית שלושה מתוך חמשת המחשבים המשמשים לבקרה על תנועת הצוללות.

 

ראוי לציין כמובן שלבחור הנחמד (שאגב, קיבל עונש מצחיק משהו של שנה בכלא, שלוש על תנאי וקנס כספי) היה סיווג בטחוני לסודי ביותר. הוא פתח במתקפה לאחר שהחברה שלו הפסידה במכרז להמשך אספקת שירותי תמיכה (וכנראה שטוב שכך).

 

פעמים רבות אני מדבר עם מנהלי אבטחה במערכות בטחוניות וכמעט תמיד נשמע הטיעון כי בגופים אלה רמת הסיכון נמוכה יותר כיוון ששם לכולם יש סיווג בטחוני. זה כמובן טיעון אווילי משני טעמים:

• אין מרגלים ללא סיווג בטחוני (שאחרת אין בהם תועלת רבה כמרגלים). זו גם אחת הסיבות לשיעור הנמוך של מרגלים תוצרת ערביי ישראל לאורך השנים, מה שלא מנע ריגול כמובן.
• הנחת היסוד של גופים בטחוניים צריכה להיות שהיריב מוכן להשקיע יותר בתקיפתם מאשר בתקיפת מחלבה בשרון ולפיכך הסיווג הבטחוני, כמו גם האבטחה הפיסית המוקפדת (לעתים) הנה רק בבחינת יישור קו לפני שנותנים את המענה האמיתי לאיומים ואינה המענה המלא לאיומים.

מקור: ברוס שנייר

על פי חברת אבטחה מאטלנטה, 70% ממתקפות ה-Web בדצמבר מבוססות על ערכת פריצה יחידה, העונה לשם "Q406 Roll-up". אני מזכיר שלאחרונה התברר כי קיימת ערכה לבנייה של מתקפות פישינג בשיטת Man-In-The-Middle, המאפשרת לעקוף מנגנוני הזדהות מסוג One Time Password. בנוסף, לפני כחצי שנה הודיעו במקאפי כי נראה שהאקרים פונים לשיטות פיתוח של תנועת הקוד הפתוח כבסיס לייצור רושעות (malware). המונח Script Kiddies מתאר האקרים חסרי יכולת מקצועית אמיתית. כאלה שיכולים רק להריץ כלים מוכנים מראש וחסרי יצירתיות. אני תוהה אם אנחנו לא מתחילים להתקל במין יצורי כלאיים חדשים. משתי קבוצות של האקרים, המומחים המעטים והבינוניים הרבים, אנו עוברים לשלוש קבוצות. המומחים המעטים, הכמעט מומחים (העושים שימוש בכלים שפיתחו מומחים ושמאפשרים להגיע לרמת מתקפות גבוהה) והבינוניים.

ככל שכלי פריצה הופכים להיות מתוחכמים וטובים יותר, היכולת של האקרים מהשורה השנייה והשלישית להוציא לפועל מתקפות ממוקדות ומתוחכמות יחסית משתפרת. התוצאה היא כמובן שלארגונים רבים יותר יש פחות סיבה להיות שאננים. זה כמובן עולה בקנה אחד עם המגמה של השנים האחרונות של מתקפות ממוקדות ומתוחכמות על ארגונים. במקרים רבים התחכום אינו טכנולוגי, אלא פשיעתי. כך למשל עם התרמית של שימוש בנתוני זיהוי שהושגו בפישינג (מתקפה פשוטה ולא מתוחכמת) על מנת לקנות מניות זבל לצורך הקפצת מחירים (ובכך למעשה לעקוף את מנגנון האבטחה המרכזי בחשבונות בנקים - מעקב אחר העברות לצד ג').

הסרט הראשון בפורמט HD-DVD נפרץ והועבר לאינטרנט. בהחלט בשורה גדולה לצרכנים שלרגע חששו שיצליחו למנוע מהם גישה לסרטים איכותיים בחינם. בשלב זה עוד לא לחלוטין ברור איך נפרץ המנגנון.

מקור: arstechnica

ה-NSA עזר למיקרוסופט לתכנן את האבטחה של ויסטה. שאלת המפתח היא מי זקוק למי. מיקרוסופט לידע של ה-NSA, או ה-NSA לקבצי המקור של ויסטה.

מקור: Computerworld

שני חבר'ה חביבים פרצו למערך ניהול התנועה של עיר המלאכים והשביתו את הרמזורים במספר צמתים. אצלם זה זוכה לכותרות, אצלנו זה עוד יום שגרתי בכבישים.

מקור: CSOOnline

מסתבר שיש דרך לפתוח את הנעילה המרכזית של מאזדה 3 בלי המפתח. אם נותנים מכה חזקה מספיק בנקודה מסוימת בדלת של הנוסע ליד הנהג.

מקור: Autoblog

שלושה חבר'ה מאוד מאוד מאוד מאוד חכמים גנבו כמה מערכות GPS (הם חשבו שהם גונבים טלפונים סלולריים). לא לקח הרבה זמן עד שהמשטרה הגיעה אליהם הביתה לאסוף את הסחורה ואותם. אם אתם לא יודעים מה אתם גונבים, איך תדעו למכור את זה?

מקור: TGdaily

חברת פנדה מדווחת שעשרים אחוזים מהטרויאנים שפותחו ב-2006 תוכננו לגנוב נתוני זיהוי או כספים מבנקים.

מקור: net-security

בהודו הולכים לפרוס כספומטים מבוססי טביעת אצבע (בלי כרטיס או קוד סודי בכלל) במסגרת פרויקט נסיוני. שטות גמורה לדעתי, אבל הם לא התייעצו איתי.

מקור: wired

עדכונים מעניינים נוספים בסדקים

הידיעה בנרג' בקושי לכדה את תשומת לבי. מצאו פרצה ב-Acrobat. לא באמת חדש וגם לא בטוח כמה זה מעניין. אלא שקריאה אצל RSnake ו-Jeremiah Grossman לימדה אותי אחרת. לכאורה מדובר בפרצה בקבצי PDF שמאפשרת להריץ מתקפות Cross Site Scripting. איך זה עובד (באדיבות הרשימה של Grossman)?

1. מאתרים אתר המכיל קובץ PDF (וכאלה יש בלי סוף).
2. בונים קישור לקובץ ובסופו מוסיפים סקריפט זדוני.
3. שולחים את הקישור למישהו ואם הוא מריץ את הגרסה המתאימה של Acrobat/דפדפן, הוא נפגע.

מה כלכך מיוחד במתקפה הזו? מתקפות XSS מתרחשות כיוון שהשרת פגיע. השרת אינו מסנן תווים מסוימים ולכן בעת הפעלת הקישור הסקריפט רץ בתחנת המשתמש. במתקפה הזו הסקריפט רץ ישירות בצד המשתמש ולא בצד השרת, כך שגם אתר שאינו חשוף ל-XSS עלול לשמש מחסה למתקפה זו ובעצם הדרישה היחידה היא שיהיה בו קובץ PDF.

RSnake מוסיף שמכיוון שיש קבצי ברירת מחדל בתיקיית ברירת המחדל של Adobe, לא צריך כנראה למצוא אתר בשביל זה אלא ניתן לבנות קישור המבוסס על גישה לתיקייה מקומית. מה שיגרום לסקריפט לרוץ תחת הרשאות המשתמש ויאפשר יכולת פגיעה רבה יותר.

סוג חדש של מתקפות מאיר פנים לעשירי ארצות הברית. האקרים מקימים חיבורי רשת אלחוטיים במקומות שמשרתים בעלי ממון (לדוגמא חדר אירוח לבאי מחלקה ראשונה בשדה תעופה). לרשת האלחוטית הם נותנים את אותה השם כמו לרשת ה"מותקפת", על מנת לפתות את המתחברים להתחבר לרשת שלהם. לאחר שהתחברו לרשת שלהם ניתן להאזין לתעבורת הרשת, לנסות לפרוץ למחשב, לבצע מתקפות פישינג מתוחכמות וכדומה. מתקפות אלה קיבלו את השם Evil Twin.

מקור: vnunet

 Ilia Alshanetsky חושף שיטה לבצע סריקה של רשת פנימית ללא שימוש ב-scripting. המשתמש גולש לדף PHP שמפנה את הגולש לכתובת פנימית ומדווח לשרת על תגובות של כתובות פנימיות. מעניין. נקודה מעניינת היא שזה יעבוד בשוא"ש, אופרה ו-safari. אבל לא באקספלורר.

ממשלת ישראל הוציאה מכרז מחשוב שהזוכה בו היא לנובו. אם אני לא טועה האמריקאים הפסיקו לקנות ניידים של IBM לאחר שזו מכרה את חטיבת הניידים שלה ללנובו (הסינית). יש משהו שהאמריקאים יודעים שאנחנו לא? או שאצלנו המחיר שווה הכל? מצד שני, הסינים גונבים את המידע שלהם מהאמריקאים, האמריקאים מרגלים עלינו, כך שמה זה באמת משנה אם זו חברה סינית או אמריקאית...

הממשל האמריקאי הוציא התרעה לבורסות ואתרים פיננסיים כנגד כוונה של גופים איסלאמיים קיצוניים לבצע מתקפה על אתרי מסחר. המקור למודיעין הממוקד הוא ידיעה באיזה פורום קיצוני הקורא לתקוף אתרי מסחר באמצעות וירוסים שישביתו מידע. קצת מזכיר לי את ההתרעות שגופי בטחון אוהבים לפזר בארץ מעת לעת. מה בדיוק אמורים גופים פיננסיים לעשות עם המידע לא ברור.

אפרופו ריגול, לפני כמה זמן נתגלו חומרים מאוד מסווגים מהמעבדות הגרעיניות בלוס אלאמוס בביתה של אחת העובדות. שאגב חבר שלה היה בעל עבר פלילי. בדו"ח הבדיקה עולה כי ישנם חורי אבטחה משמעותיים במערך האבטחה בלוס אלאמוס. די מפליא לאור העובדה שמדי שנה שנתיים גונבים משם משהו. הייתי בטוח שרק אצלנו הברדק חוגג.

אני מודה שההונאה הבאה הפתיעה אותי, למרות שהיא די פשוטה. אחת ההנחות שלי בדבר החשיפה של בנקים בישראל לפישינג היא שמכיוון שרוב ההעברות לצד ג' שלא הוגדר מראש מוגבלות, אין תועלת רבה בגניבת פרטי הזדהות (יש עוד סיבות שבגללן אני לא בטוח שנראה פישינג בארץ). בכל מקרה, שתי חברות למסחר בניירות ערך איבדו לאחרונה מיליונים, כאשר פושעים חדרו לחשבונות משתמשים וקנו מניות של חברות לא ממש נסחרות, מה שגרם להעלאה חדה בערך המניות שהם רכשו בכספם קודם לכן. כמובן שמי שבסופו של דבר ספג את הנזק זה חברות המסחר בניירות ערך.

מה שאני לא מבין זה, אם פושעים כל כך יצירתיים, איך זה שהם כל הזמן נתפסים?

מקור: finextra

או שאולי בעצם מתקפות מוכוונות ארגון ספציפי? (אני מתחיל להשמע טרחן עם העניין הזה של מתקפות ממוקדות. מבטיח לנסות להיגמל. ובכל זאת, נראה שיש פה תעשייה מתפתחת).

בבנק בארצות הברית קיבלו עובדים מיילים מעיתונאי לכאורה הכותב להם על כתבת המשך שהוא כותב בעקבות כתבה שנעשתה על הבנק. המייל פונה באופן אישי לכל עובד ועובד אליו נשלח המייל (זו לא שליחת ספאם). במייל מופיע קישור לאתר של ה"עיתון", כאשר בקישור מופיע גם שם הבנק (לחזק את העניין של כתבה על הבנק). בפועל הקישור הפנה לאתר בסין שהוריד לתחנות המשתמש keylogger.

הטקסט במתקפה היה אישי, כאמור, אך  גם מנוסח בקפידה וללא שגיאות (בניגוד לרוב המתקפות). הפניה מעיתונאי בהחלט עשויה להיות סבירה, מה גם שנרמז שם שזה נוגע לדלף מידע על לקוחות והמקבל יכול היה להסיק ששמו שורבב לכתבה הראשונה (מה שכמובן מגרה אותו ללחוץ על הקישור).

עד היום מתקפות פישינג פנו בעיקר ללקוחות של גופים פיננסיים. זו בהחלט דוגמא מעניינת על ניסיון להוציא מידע מתוך ארגון על ידי שימוש בהנדסה חברתית. אגב, למיטב ידיעתי כלי מניעת דלף המידע השונים לא ימנעו דליפת סיסמאות בצורה כזו (אך אולי אני טועה). לפני כשנתיים, במסגרת תרגיל הנדסה חברתית שביצעתי שקלתי להשתמש בטכניקה כזו כדי להוציא סיסמאות ממשתמשים באמצעות פנייה ישירה במייל (בסוף בחרתי פשוט להתקשר ולבקש את הסיסמאות. זה הוכיח את עצמו כיותר מהיר ואפקטיבי). מעניין אם זה היה עובד. 

מקור: csoonline