יומן אבטחה

ללא ספק זה אחד המאמרים המרתקים והמקוריים שקראתי בעת האחרונה. מדובר בשני חוקרים שפיתחו אבטיפוס של Firewall ל-RFID. רכיב קטן שניתן לשאת על הגוף ושולט בכל הגישות המבוצעות לרכיבי ה-RFID שברשותכם. הרכיב מכיל את כל היכולות שאנו מכירים ב-Firewall רגיל, כולל זיהוי המשדר המתקשר עם התג, יכולת מניעת גישה לתג, יכולת ביצוע רישום של פעולות שבוצעו מול התג, הגדרת מספר סכמות אבטחה שונות למספר תגים שונים שברשותכם וכדומה.

הנושא של RFID מציג בעיות קשות מאוד של פגיעה בפרטיות, שחלקן נסקרו פה בעבר (בעיקר בדרכונים המכילים שבבי RFID) וללא ספק ה-RFIDGuardian מהווה פריצת דרך עקרונית העשויה לאפשר לטכנולוגיה לפרוץ קדימה בלי לפגוע בפרטיות. בנוסף, נראה לי שיישום ארגוני של פלטפורמה כזו עשויה להיות מועילה גם כן.

בלי קשר ועם קשר, בניגוד לנהוג לחשוב, RFID מהווה בעיית אבטחה פוטנציאלית, למרות שמדובר רק בשבב קטן. השבב נקרא על ידי מערכת מידע שעשויה להיות חשופה לאותן מתקפות שאנו מכירים מכל סביבה אחרת. לדוגמא, מחליפים תג RFID האמור לשדר מספר זיהוי נתון בתג אחר שישדר רצף תווים ארוך מהמצופה ויגרום ל-Buffer Over Flow. או אם מדובר בתג קצת יותר מתוחכם, מכניסים קוד עוין שירוץ במערכת.

לקריאה נוספת: האתר של RFIDVirus, האתר של RFIDGuardian, כיצד ניתן לעקוב אחריכם עם RFID (באדיבות סדקים)

בבלוג של סימנטק מופיע ניתוח נחמד שהם עשו לויסטה. הם הריצו כאלפיים סוגים שונים של רושעות (הם לא מפרטים את הסוגים) על ויסטה ולהלן התוצאות:

• כשבעים אחוזים רצו (לא טוב!)
• מתוכם רק כשישה אחוזים הותקנו (טוב?)
• מתוכם רק כארבעה אחוזים (מתוך השבעים) שרדו אתחול של המערכת (טוב?).

לכאורה זה טוב, אך בפועל זה די רע מבחינת מיקרוסופט. המשמעות היא שויסטה ערוכה היטב להתמודדות עם האיומים שהיו נפוצים אתמול (בדומה לאנטיוירוס על המחשב שלכם). העובדה שאחוז מסוים ולא משנה מהו של רושעות מצליח להתקין את עצמו לתוך מערכת ההפעלה מגלה לנו שישנם חורים באבטחה של ויסטה וכנראה שזה עניין של זמן (ואולי גם לא הרבה) עד שהם ינוצלו.

אחת הטענות בבלוג של סימנטק היא שהרושעות הקיימות מניחות אוטומטית שלמשתמש הרשאות מנהל ובויסטה זה לא המצב. איך שלא יהיה, יהיה מעניין.

הפיקוח האמריקאי על הבנקים מחייב את הבנקים בארצות הברית לספק ללקוחות אמצעי פיסי להזדהות על מנת להתמודד עם מתקפות הפישינג הרבות. זו החלטה די מטופשת כיוון שכל מנגנוני ההזדהות ניתנים לעקיפה, כיוון שכולם מתבססים על משהו בצד המשתמש ועל תחנת קצה שלרוב אינה מוגנת. מתקפות פישינג מתוחכמות מהעת האחרונה הוכיחו שתקיפה של מנגנוני הזדהות חזקה אינה תרחיש קיצון אלא מצב בפועל.

בכתבה הזו מתוארים מנגנונים אחרים שבנקים מתחילים ליישם במקום אמצעי הזדהות (בין היתר כי העלויות של פרויקטים כאלה עצומים, היתרונות לא ברורים והלקוחות לא אוהבים אותם). הפתרונות המובילים לדעתי מבחינה אבטחתית הנם פתרונות שניתן לקרוא להם הזדהות סטטיסטית, או בלשונה של RSA, הזדהות אדפטיבית (אגב, זה פתרון של Cyota הישראלית שנקנתה על ידם). המשמעות היא שמנתחים סדרה של פרמטרים המאפיינים את המשתמש ולא מתייחסים רק לשם המשתמש והסיסמה. נתונים אלה יכולים להיות נתונים אודות תחנת הקצה, נתונים על המיקום הפיסי של כתובת ה-IP ממנה מגיעים, הצלבה עם נתונים כאלה בין לקוחות וכדומה.

מבחינת יחס עלות תועלת פתרונות כאלה מציגים יחס עלות-תועלת הרבה יותר גבוה מפתרונות של הזדהות חזקה ובשלב זה נראים גם יותר מאובטחים מהם. אני מניח שאם רוצים לתקוף מנגנון שכזה צריך (בעת ביצוע מתקפת פישינג) לדגום את הנתונים הרלוונטים בתחנת הקצה ולזהות את כתובת ה-IP ממנה ניגשת התחנה. את המתקפה מבצעים דרך שרתי proxy במרחב הכתובות המתאים, תוך הצגת נתוני הזיהוי הרלוונטים של התחנה (cookie, או כל אובייקט אחר שהאתר רוצה). על מנת לטשטש את יכולת הצלבת הנתונים של המערכות תידרש החלה תדירה של כתובות IP. כמובן שמתקפות שמבוצעות דרך טרויאניים ישירות מהמחשב הנתקף יעברו את מנגנוני האבטחה האלה.

צריך לשים לב אבל שיש הבדל בין הגנה על פרטיות הלקוחות להגנה על כספם. מימוש מנגנונים כאלה עבור הגנה על הכסף מספקת רמת הגנה גבוהה, כיוון שפעילות של תוקף בתוך החשבון במאפיינים שחורגים ממאפייני הפעילות של הלקוח תיחסם באופן אוטומטי (וזה לכשעצמו יצריך מהתוקפים למקד את ההתקפות ללקוחות שיש יותר סיכוי שמאפייני הפעילות שלהם חשופים לגניבת כספים). לעומת הגנה על הכסף, הגנה על הפרטיות קשה יותר כיוון שבעוד שבפעילות בחשבון ניתן לבנות פרופיל מורכב, בגישה לחשבון עצמו קשה יותר לבנות פרופיל כזה ולכן קשה יותר לזהות חריגות.

הבעיה המרכזית איתה מתמודדים בנקים היא שבקשר הזה עם הלקוחות, הבנקים נדרשים להתבסס על רמת אבטחה שתלויה בלקוח. בניגוד לעקרון האבטחה המחייב להחזיק את מנגנון האבטחה צמוד לחזה.

רתם מעדכן לגבי טרויאני חדש (spamthru) שמתקין על המחשב גרסה כמו אמיתית של קספרסקי שסורקת וירוסים ומגלה אותה, למעט את הטרויאני שהתקין אותה. זה באמת תחכום. secureworks הוציאו ניתוח של הטרויאנ והנתונים ממש מעניינים (אנא מכם, גשו לקרוא באנגלית). להלן התקציר:

• חלק גדול מהאנטיוירוסים אינו מזהה את הטרויאני.
• הטרויאני במחשב הבודד פועל במסגרת רשת מסועפת של תחנות נשלטות המתקשרות עם שרתי שליטה המספקים דואר ספאם להפצה דרך התחנות הנגועת.
• התקשורת מבוססת על פרוטוקול עמית לעמית (P2P) ייחודית לטרויאני.
• הטרויאני מפעיל מערך הצפנה להעברת נתונים בין peers, מבוסס AES.
• הפצת הספאם מבוססת על תבניות בסיס עם התאמות שמבוצעות ברמת הטרויאני הבודד על מנת לעקוף מנגנוני חתימה.

אני יודע שכתבתי די הרבה על הנושא בזמן האחרון, אבל בכל זאת עוד משהו.

ישנה הסכמה בין חברות ה-antivirus על כך שמתקפות ממוקדות הן הדור הבא של וירוסים וטרויאנים. מדובר על קבצים שנכתבים במיוחד כדי לתקוף חברה מסוימת, או מספר חברות. ברוב המקרים מדובר על דואל יחיד לחברה אחת ולא יותר ממספר משלוחים לעד שלושה ארגונים. חברת messagelabs מעדכנת כי מדי יום הכלים שלה מנטרלים כשלוש מיליון תוכנות זדוניות. מתוכן  רק כשבע (7) מוגדרות כמתקפות ממוקדות. (מקור: news.com)

כנראה שאת רוב המתקפות הממוקדות הם לא מאתרים. מתקפות ממוקדות הן כמו הגל הראשון ואנו יודעים מניסיון שבגל הראשון תמיד יש נפגעים וחברות ה-antivirus מתמודדות ביניהן בעיקר על יכולת הגילוי והוצאת עדכונים מהירה ופחות על מניעה ממש (אני לא מדבר על סתם סקריפטים, אלא על וירוסים וטרויאנים שנכתבים על ידי מביני עניין).

עוד מגמה בהקשר זה שחשוב לזכור הוא המעבר למתקפות על בסיס פורמטים מקובלים (כדוגמת office ו-pdf). ההגנה המקובלת של חסימת קבצי הרצה כבר אינה אפקטיבית כיום כמו שהייתה בעבר.

זה שהעתיד נמצא במתקפות ממוקדות די ברור אני חושב. גם זה שהישועה לא תצמח מפתרונות האנטי וירוס הקיימים. איך אפשר יהיה להתמודד עם מתקפות כאלה בכל זאת? שאלה טובה. הנה שני כיוונים שנראים לי אפשריים (אשמח לשמוע על עוד רעיונות):

1. צריך להפריד בין מתקפות שמטרתן הוצאת מידע מהארגון למתקפות שמטרתן השבתת מערכות. הראשונות יכולות להיות מנוטרלות באמצעות כלים כגון Portauthority ו-Onigma שמונעים דליפת מידע (ולא משנה הסיבה לדליפה). האחרונות מסובכות יותר למימוש וניתן למנוע אותן בכלים הרגילים של תכנון ארכיטקטורה מאובטחת. צריך רק לקחת בחשבון שאחד ממקורות המתקפה יכול להיות פנימי (כמובן שזה יותר קשה ליישום מאיך שזה נשמע).
2. אפשר לחשוב אולי על כלים שיבנו honeypot ברמה ארגונית, מה שיאפשר אולי לזהות מתקפות ייחודיות לארגון בצורה מהירה יותר.
3. שיפור של מערך ניהול העדכונים בארגון (patch management). היום מעטים הם הארגונים שממש מעדכנים בצורה שיטתית ואפקטיבית את כל עדכוני האבטחה הנחוצים.

אסף מרגלית זוכה לתואר יקיר המדור על הפגנת מומחיות והבנה מעמיקה באבטחת מידע. כמו כן הוא גם זוכה בתואר יקיר המדור על גילוי אחריות עיתונאית וציבורית.

תמר מגיבה לשטויות של אסף מרגלית.

מרק מעניין.

ב-Blog של Symantec מדווחים על סוס טרויאני לא ממש מפחיד ולא ממש חשוב. הנקודה המעניינת היא שהסוס מנצל פרצת Buffer Over Flow ב-WinRAR, תוכנה מאוד נפוצה לכיווץ ופתיחת קבצים מכווצים.

התרגלנו לראות בעיקר טרויאנים שמנצלים חבילות תוכנה ממש גדולות, כגון Office, Acrobat וכדומה. אבל אם נצטרך לחשוש ממפגעים ביישומים קטנים (וכנראה שאנחנו צריכים לחשוש), מצבנו לא משהו. אני מניח שכמעט כל יישום שיש לנו על המחשב מכיל פרצה אחת וכנראה הרבה יותר.

נראה שההסטוריה של השנה האחרונה מנבאת עתיד של מתקפות יותר ממוקדות, כך שהתחזית פסימית.

כמובן שלמי שמתכוון לייצר פתרון אבטחה כדי להתמודד עם עגמומיות העתיד, העתיד דווקא ורוד.

חבר שלי נפגע מוירוס בטלפון הנייד שמחק לו נתונים (כך לפחות טען מוקדן השירות) ובכלל זה את גלריית הצלצולים. האם חברת הסלולר אמורה להחזיר לו את כל הצילצולים שקנה או שהוא אמור לקנות אותם שוב? (תוכנת Nokia PC Suite שמאפשרת לגבות את הטלפון הנייד אינה מגבה תוכן שמוגן על ידי זכויות יוצרים).

איכשהו נראה לי שחברות הטלפון הסלולרי לא ימהרו להשיב ללקוח את הרינגטונים ושאר הצעצועים שקונים מהן. לפחות לא עד שהלקוחות יכעסו מספיק.

אני לא רוצה להיכנס לדיון על קוד פתוח לעומת קוד סגור. אבל. דו"ח של סימנטק קובע כי בחצי שנה האחרונה נתגלו יותר פרצות לשועל אש מאשר לאקספלורר. הדו"ח סופר רק פרצות שאושרו על ידי היצרנים, אך גם אם משקללים את כל הנתונים רואים שהמצב אינו מזהיר לטובת שועל אש, אלא מאוזן.

לעומת המפגעים, יש הרבה פחות נסיונות לנצל מפגעים בשועל אש מאשר באקספלורר, כך שבפועל שועל אש הוא עדיין דפדפן בטוח יותר מבחינת חווית המשתמש. אך זה יכול בהחלט להיות פועל יוצא של נפיצותו.

ונסיים בשנה טובה.

מקור: cnn.com

זה לא איזה וירוס רציני במיוחד, אבל מה שמיוחד בו זה שהוא רץ תחת מערכת הפעלה Symbian ומייצר שם קובץ Exe שאם מורץ בטלפון שמחובר ל-PC יכול להדביק את ה-PC. לא ברור מה עושה הוירוס, כנראה שלא משהו חשוב. גם אין לו מנגנון הדבקה יעיל וכדומה. אבל זו בהחלט מגמה מטרידה.

מקור: CSOOnline