יומן אבטחה

סוג חדש של מתקפות מאיר פנים לעשירי ארצות הברית. האקרים מקימים חיבורי רשת אלחוטיים במקומות שמשרתים בעלי ממון (לדוגמא חדר אירוח לבאי מחלקה ראשונה בשדה תעופה). לרשת האלחוטית הם נותנים את אותה השם כמו לרשת ה"מותקפת", על מנת לפתות את המתחברים להתחבר לרשת שלהם. לאחר שהתחברו לרשת שלהם ניתן להאזין לתעבורת הרשת, לנסות לפרוץ למחשב, לבצע מתקפות פישינג מתוחכמות וכדומה. מתקפות אלה קיבלו את השם Evil Twin.

מקור: vnunet

רפאל פוגל מדווח ב-Themarker על כך שצ'קפוינט רכשה את חברת Pointsec השבדית ובכך נכנסת לשוק מניעת דלף המידע הארגוני, תחום ה-DLP*. פוגל מחבר בין שני תחומים קרובים אך לא זהים - בקרת גישה ומניעת דלף מידע על ידי מורשים (לראשון נכנסות חברות כמו Safend, קונטרול גארד, רפלקס מגנטיקס ששייכת עכשיו לצ'קפוינט ולשני נכנסות חברות כמו אוניגמה שנרכשה על ידי מקאפי ו-Port Authority שנרכשה על ידי גאידמק**).

פוגל כותב בצדק כי מבחינת צ'קפוינט יש פה שינוי מהותי בליבת העסקים. באוגוסט כתבתי על כך שצ'קפוינט צריכה למצוא לעצמה עתיד חדש, כיוון שהשוק בו היא נמצאת הולך להשתנות ולהתכווץ לאט לאט. אני חשבתי (ואני עדיין חושב) שצ'קפוינט צריכה להישאר המגינה של ההיקף הארגוני על ידי כניסה לשוק הפירוולים האפליקטיביים ומתן פתרונות אבטחה לתשתיות אפליקטיביות. תחת הקטגוריה הזו נכנס גם כל התחום של טיפול בהרשאות גישה ארגוניות שלא ממש מטופל היום בארגונים ואין גם פתרונות טובים בתחום (למיטב ידיעתי).

צ'קפוינט בחרה ללכת לתחום אחר, יותר רחוק מפעילות הליבה שלה, אך כזה שמכניס אותה לתוך הארגון פנימה ומשתלב עם פתרונות אחרים של החברה שקשורים ל-End Point Security.

עם זאת צריך לשים לב שהרכישה של צ'קפוינט אינה של חברה מהסוג של אוניגמה וצ'קפוינט לא נכנסת לתחום של מניעת דלף מידע על ידי בקרה על תכנים אלא נכנסת לתחום של מניעת דלף מידע על ידי הגנה על התקני קצה (צורה מול תוכן). כמו שכתבתי, אלה תחומים קרובים אך לא זהים.

הפתרונות של Pointsec מקיפים יותר מאלו של החברות הישראליות שפוגל כותב עליהן וצ'קפוינט עשתה נכון כשבחרה בה ולא בהן (אם כי יכול להיות שיש בעולם חברות יותר טובות גם מזו). כפי שכתבתי בעבר אין עתיד למניעה של שימוש בהתקני קצה והפתרונות יילכו לכיוון של אפשור ולא של מניעה. זה הכיוון של pointsec שמספקת חבילת הגנה לכל דבר שמתחבר לרשת הארגונית, החל ב-flash drives, דרך טלפונים ומכשירי PDA וכלה במחשבים נישאים ומחשבים שולחניים ולא עסוקה רק בלמנוע או לאפשר גישה.

* מה יש בקיצורים של שלוש אותיות שכל כך קורץ לכולם? ומה יעשו אחר שיגמרו כל הצירופים האפשריים (אין כל כך הרבה).

** עדכון - Port Authority לא נרכשה. מסתבר שגאידמק ויתר על רכישת חברות ישראליות והחליט במקום לקנות את המדינה.

סיפור מאתמול.

ישבתי בבית קפה באזור קרליבך וחיפשתי רשת אלחוטית להעביר חצי שעה עד לפגישה. מצאתי רשת אחת, מוצפנת (לא זוכר איזו הצפנה). שם הרשת (לדוגמא) omertaran. ניסיתי להתחבר, תוך שאני מזין את הסיסמא הטריוויאלית ביותר - omertaran. אלא שאז קיבלתי הודעה שהמפתח הצפנה אינו נכון והמפתח צריך להיות 5 תווים או 13 תווים. המשכתי עם קו ההיגיון שלי והנחתי שהסיסמא היא לא omer_taran, כי זה עדיין לא מביא אותי ל-13 תווים ולכן הקשתי omert, שזה כמובן 5 תווים. נחשו מה? התחברתי לרשת.

למה בכלל להקים רשת מוצפנת?

מבחינת אבטחה, אני לא יודע מה יש בנתבים אחרים, אבל זה מה שאני עשיתי:

הגדרתי פרוטוקול גלישה מאובטח (WPA, דור ראשון לדעתי - ללא AES).

הגדרתי מפתח ארוך מספיק, אך כזה שיהיה לי קל לזכור.

הגדרתי SSID (שם לרשת) והגדרתי כי ה-SSID יהיה מוסתר (כך שהרשת למעשה לא מופיעה על הרדאר וצריך לדעת את שם הרשת ומפתח ההצפנה כדי להתחבר).

הגדרתי סיסמת ניהול חזקה.

הורדתי שירותי ניהול - SNMP, FTP, Telnet והשארתי רק Http (וגם זה רק לאחר התחברות לנתב, ללא גישה ניהולית מהאינטרנט).

הפעלתי את ה-Firewall.

עוד לא הגדרתי מגבלת גישה לפי כתובות MAC.

פספסתי משהו?

דיווחים נשמעו על כך שניתן לפרוץ מק בתוך פחות מששים שניות בגלל פרצה במנהל התקנים של רכיב התקשורת האלחוטי (הדגמה הייתה ב-BlackHat). אלא שמסתבר שהפריצה הייתה מזויפת באופן חלקי. אכן פרצו למקינטוש, אלא שלא דרך מנהל התקנים מקורי אלא באמצעות ניצול פרצה ברכיב אחר, שאינו מסופק עם המחשב כחלק מהחבילה. החברה שמאחורי הפרצה, אגב, אינה מוכנה לחשוף כיצד פרצה וגם לא דרך רכיב של איזו חברה (שזה לכשעצמו קצת מוזר).

זה שניתן לפרוץ דרך מנהלי התקנים באופן כללי לא חדש ולא ברור מה הטעם בלטעון שניתן לפרוץ בצורה אחת כשבעצם הפריצה היא דרך נקודה אחרת. זה מביא לטענה של הבחור הזה על כך שמנפחים איומים יתר על המידה כדי לייצר עבודה לחברות אבטחה. הוא צודק לדעתי וזה סתם לכרות את הענף עליו אנחנו יושבים. יש מספיק פרצות לכולם, לא צריך לזייף שום דבר כדי שתהיה עבודה. כל עוד הטכנולוגיה מתקדמת יהיו מתקפות ויצטרכו אנשי אבטחה (ואם לא, הסבה מקצועית זו אופציה סבירה בהחלט).

שוב תודה ל-Xslf על המידע הראשוני.

תודה לניב על ההפניה ל-Darlreading.

הבלאקברי הוא משהו בין סמל סטטוס לקולר של עובדי צווארון לבן. אבל לא על זה הרשימה. הבלאקברי נחשב בקרב חוגי אבטחה למכשיר מאובטח יחסית. הוא מגיע עם מספר מאפייני אבטחה במכשיר עצמו, התקשורת שלו עם השרת מוצפנת ובסך הכל הוא מכשיר די סבבה. כלומר היה. עד שהגיע איזה בחור נחמד בשם Jesse D'Aguanno וכתב קוד נחמד, מעין סוס טרויאני, שרץ על המכשיר עצמו ופותח ערוץ החוצה לשליטת השולח. מאחר והתקשורת של המכשיר עם השרת מוצפנת, לא ניתן לסנן את התעבורה ויהיה קשה לזהות מתקפות דרך הערוץ הזה.

ההתמודדות עם הבעיה כפולה - סינון דואר אלקטרוני בטרם הוא מגיע לשרת הארגוני של בלאקברי (על מנת למנוע מסוס טרויאני להיות מורץ על הבלאקברי) ותכנון ארכיטקטורה מאובטחת לפריסה של המערכת בארגון (כלומר כזו שמאפשרת פרוטוקולים מאוד מסוימים בין שרת הבלאקברי לשרת הדואר האלקטרוני ולאינטרנט ותו לא).

מאחר והקוד אמור להיות מפורסם השבוע, ייתכן ונראה כמה מתקפות. מצד שני, ייתכן ולא.

עדכון: החברה טוענת כי הפרצה לא כזו דרמטית:

1. על מנת שניתן יהיה להריץ קוד על המכשיר יש לאפשר זאת בהגדרות.
2. על מנת שהמכשיר יוכל לצאת לאינטרנט או לתקשר עם הרשת הפנימית הדבר צריך להיות מאופשר.

לכאורה אין בעיה והכל בשליטת הארגון. מצד שני, זה מה שתמיד יוצר את בעיות האבטחה. שליטת הארגון.

מקור: wired

לקריאה נוספת: Net-Security

מקור לעדכון: Vnunet