ארכיון עבור ספטמבר, 2007

30
ספט
07

סיסמאות לבסיסי נתונים

ארגונים (ואפילו בעלי אתרים קטנים) משקיעים משאבים ומאמצים רבים בהגנה היקפית בצורת Firewall ועוד, אבל שוכחים להשקיע קצת (אבל באמת קצת) מחשבה על הגנה על המידע עצמו. או יותר נכון על מקום האחסון (ה – Repository) של המידע.

האם נראה לכם הגיוני להגדיר סיסמא של DBA (בעל ההרשאות הגבוהות על בסיס נתונים), וסיסמאות למשתמשים חזקים אחרים, בסביבת הייצור שהיא זהה לסיסמא(ות) שלו בסביבת הפיתוח? הרי בסביבת פיתוח, אנשי פיתוח מקבלים הרבה פעמים את הסיסמא לצורך בדיקות.

אז לא להתעצל, ולהגדיר לסביבת הייצור סט סיסמאות שונה.

CISO

מודעות פרסומת
25
ספט
07

האקרים טובים יותר יושבים בבית שלנו

חברות רבות נוהגות להזמין בדיקות של 'האקרים' בכדי לדמות ניסיונות פריצה לרשת או למערכות. זאת בכדי לאתר פרצות במערכת לפני שהן מנוצלות ע"י האקרים אמיתיים. אותם 'האקרים' אינם האנשים שהביטוי מתייחס אליהם, אלא מומחים בתחום שמבצעים את הבדיקות בהזמנת החברה ובמימונה. בדיקות אלה עולות לא מעט כסף ולוקחות זמן.

דרך פשוטה יותר ובחינם להגיע לממצאים מאוד מעניינים הינה הדרך הבאה שאני עושה בה שימוש מפעם לפעם. אני יושב עם מומחי המערכת בארגון, ולפעמים עם סתם משתמשים שאינם טכניים, ושואל אותם היכן לדעתם המערכת פרוצה. לא תאימו איזה ממצאים תגלו. לפעמים אפילו מומחים לא יגלו אותם כיוון שהם מחפשים פרצות ידועות ופחות לומדים להכיר את היכולות השונות של המערכת.

נסו את זה בעצמכם…

CISO

22
ספט
07

חוזק/מורכבות סיסמא

כמה פעמים קורה לכם שאתם צריכים להזין סיסמא למערכת/אתר ואתם מנסים להיזכר מה הסיסמא של אותה מערכת? עובדים בארגון גדול צריכים לזכור סיסמאות למספר לא קטן של מערכות (לפעמים מעל 5). בנוסף, הם צריכים לזכור את הסיסמאות האישיות שלהם בבית. זה בהחלט יוצר בעיה ביכולת לזכור את כל הסיסמאות.

אני מקבל לא מעט פניות ממשתמשים בארגון מדוע צריך סיסמאות מורכבות. אני שומע מאותם עובדים, וגם קראתי לא מזמן באיזשהו מקום, שהחלת סיסמאות מורכבות מידי רק מחליש את אבטחת המידע. ניתנו כמה טיעונים כגון שסיסמאות נרשמות על פתק צהוב המודבק על המסך (או מוחבאות מתחת למקלדת), שמשתמשים בוחרים מילים מוכרות לסיסמא, ואפילו שהסיסמאות המורכבות אינן כה חזקות כיוון שאם מורידים מהחשבון סיסמאות קלות לניחוש (123456) שלא ניתן לבחור בהם יותר, כמות הצירופים האפשרית יורדת מה שמחליש את הסיסמא החזקה.

לדעתי, טענות אלה לא נכונות ואפילו לא רלוונטיות. טענתי נובעת מהסיבה שניהול אבטחת מידע נגזר מתורת ניהול הסיכונים. ראשית צריך להגדיר מהם האיומים מולם צריך להתמודד ואז לגזור את הפתרון.במקרה של הסיסמאות, אני מזהה כמה איומים עיקריים (אם כי לא שווים בעוצמתם):

  1. גניבת סיסמא (בין אם ע"י מציאת פתק עליו רשומות סיסמאות ובין אם ע"י ניחוש או אפילו צפייה במשתמש בעת הקלדת הסיסמא). האיום הזה תופס בעיקר למערכות בארגונים ופחות לאתרי אינטרנט.
  2. שימוש בתוכנית המנסה צירופים רבים של סיסמאות (התקפה הידועה כ – Brut Force).
  3. השגת קובץ הסיסמאות המוצפנות (בד"כ ע"י פונקצית Hash) והרצת מילון סיסמאות דרך פונקצית Hash זהה.

החלת מורכבות סיסמא גבוהה, תימנע את האיום הראשון (כאשר נדרשת גם מדיניות חברה לגבי אי רישום סיסמאות ומידע רגיש אחר בסביבת העבודה).  כאשר מוחל מנגנון נעילת משתמש לאחר 3 או 4 ניסיונות הזדהות כושלים, האיום הראשון הופך להיות משמעותי יותר מהשני. סיסמא חזקה תיתן מענה לשני האיומים הראשונים. לאיום השלישי הפתרון לא יושג ע"י מדיניות סיסמאות אלא באופן אחר שאינו נושא הדיון. בלינק הבא, שגם דן על נושא, תמצאו דיון על אופן בחירת/הגדרת סיסמאות. אני יכול להמליץ על האופן הבא:

  • 3 תווים ראשונים: אותיות ראשונות של צבע/אוכל/חיית מחמד…
  • 2 תווים: מספר סידורי רץ.
  • 3 תווים: אותיות ראשונות של שם המערכת/מוצר…

דוגמא

  •  3 תווים ראשונים: אותיות ראשונות של צבע/אוכל/חיית מחמד…
  • 2 תווים: מספר סידורי רץ.
  • 3 תווים: אותיות ראשונות של שם המערכת/מוצר…

התוצאה:  Las12Sap

(סיסמא למערכת רכב למשל התוצאה תהיה: Las12Car).

שימו לב שבחרתי אות ראשונה גדולה. כמובן שכל אחד יכול לבנות צירוף אחר באופן שיהיה לו קל לזכור את הסיסמאות השונות. 

CISO

17
ספט
07

מה זה Phishing?

אחת המתקפות הכי נפוצות כיום באינטרנט מכונה Phishing, וזו לא טעות איות.
ציינתי בפוסט קודם בנושא סיסמאות שהאקר יתקוף בשלב הראשון את מסך ההזדהות למערכת. אבל לפרוץ אתר שנכתב בצורה נכונה עלול להתגלות כמשימה קשה.

דרך אחרת להשיג סיסמא הנה לרמות את המשתמש. אם תצליחו (כהאקרים) לגרום למשתמש להזין שם משתמש וסיסמא למערכת שלכם, תוכלו לעשות בה שימוש בעצמכם. בטח תשאלו, אבל כיצד גורמים לאנשים להזין סיסמא (למשל של חשבון הבנק שלהם) למערכת שלכם (ולא לבנק)? בעזרת מתקפת Phishing זה מאוד פשוט.

בעקרון, Phishing מתייחס לדיג (באנגלית נכונה Fishing) של מידע כגון סיסמאות. מושכים משתמשים רבים לאתר שנראה דומה מאוד לאתר לגיטימי בטוענה, למשל, שתוקף הסיסמא עומד לפוג ובכדי לחדש אותה יש להזין אותה שוב במערכת, אחרת תצטרכו לפנות לבנק ולקבל סיסמא חדשה. (יהיו כאלה שיעדיפו להזין את הסיסמא ורק לא להגיע לבנק ולהיתקל במנהל הסניף המברר מתי כבר תצאו מהמינוס). את האתר המזויף בנו כמובן באופן לא חוקי. דרך מאוד קלה למשוך משתמשים לאתר היא באמצעות משלוח מיילים לרשימת תפוצה ענקית (כמו בספאם, אבל כאן זה Phishing). בהמשך, נציין מספר דרכים לעלות על ניסיון Phishing.

CISO

09
ספט
07

סיכונים הנובעים מגניבת ("חטיפת ") שמות דומיין (Domain)

גניבת דומיינים הינו נושא חם, המעסיק ארגונים רבים, וצריך גם להעסיק אנשים פרטיים בעלי דומיינים/אתרים משלהם. אתר (המשויך לדומיין מסוים) בעל תעבורה (קליקים) גבוהה ימשוך מפרסמים או קונים פוטנציאלים. ניצול לרעה של דומיין כזה יניב כסף לבעל הדומיין (שגנב אותו).

הרשימה הבאה מציגה חלק מהסיכונים הנובעים מגניבת דומיינים:

  • גניבה לצורך מכירה: בחזרה לבעל האתר או לבעלים חדשים.
  • גניבה לצורך סחיטה: שלמו סכום כסף גבוה בעד החזרת הדומיין או שנעלה אתר סקס או אתר המשמיץ אתכם.
  • הכתמת החברה: ממניעים זדוניים.
  • גניבת זהות: התחזות של הגנב לבעל הדומיין המקורי לצורך גניבת סיסמאות של משתמשים (בפוסט אחר אדון על נושא ה – Phihshing).
  • ריגול תעשייתי: ניתוב מיילים של לקוחות לשרת הגנב.
  • פגיעה בשירות (DoS): כל שעה שהאתר אינו זמין, החברה מאבדת לקוחות/קונים.

הסיכונים האלה קריטיים לארגונים המספקים שירותים ללקוחותיהם דרך האינטרנט (כיום כל ארגון בעל אופי שירותי עושה את עסקיו באופן מקוון – בין אם דרך אתר החברה או במיילים).

CISO

04
ספט
07

תהליך ההזדהות לבלוגלי אינו מאובטח

זה קצת מצחיק הססני לכתוב בלוג על אבטחת מידע כאשר האתר המארח את הבלוג אינו מספיק מאובטח. בפרט, כפי שהכותרת של הפוסט מציינת, תהליך ההזדהות לחלוטין אינו תקין.

 אם כבר שמתם לב לבעיות הבאות, זה אומר שאתם מכירים את הנושא היטב:

  • חלון ההזדהות אינו מוצפן (HTTP במקום HTTPS).

  • כאשר טועים בסיסמא (אבל שם משתמש תקין), המערכת מודיעה שהסיסמא שגויה. כלומר, שם המשתמש תקין ואז נותר לנחש את הסיסמא. 

מעניין האם:

  • ניתן להגדיר לניהול הבלוג כל סיסמא (גם למשל: 1111)?

  • המשתמש ננעל/נחסם כאשר טועים מספר פעמים בהקשת סיסמא?

מטעמי עצלנות וחוסר זמן, אשאיר לכם את הניסיונות.

 CISO




ספטמבר 2007
א ב ג ד ה ו ש
« אוג   אוק »
 1
2345678
9101112131415
16171819202122
23242526272829
30  
מודעות פרסומת