ארכיון עבור מרץ, 2008

30
מרץ
08

לאבטח את המאבטח

במספר ארגונים בעבר נתקלתי בתופעה ששוכחים לאבטח את מנגנוני אבטחת המידע עצמם. למשל:

  • קובץ סיסמאות לשרתי אבטחה כגון Firewall, IPS ועוד, שמור בספרייה ברשת עם הגנה מינימלית ברמת NTFS.

  • שרת ניהול של רכיב אבטחת מידע (למשל, שרת ניהול של Firewall) שיושב ב – LAN ולא בסגמנט אבטחת מידע מבודד. אותו שרת גם לא מנע אפשרות להריץ התקפת Brute Force ואפשר למצוא את הסיסמא למערכת ההפעלה תוך ניסיונות בודדים.

  • רכיב בקרה היוצר רשומות, על ניסיונות גישה בלתי מורשים, לצרכי תיעוד (Audit Trail) ושומר את הלוגים שהוא יצר, בספריה לא מוגנת בפני מחיקה בשרת אחסון.    

כששוחחתי עם האנשים האחראיים על רכיבים אלה, היה ברור שהם לא באמת מבינים אבטחת מידע. כלומר, הם היו תותחים בקנפוג FW, AV וכדומה. אבל לא היתה להם ראיה היקפית של אבטחת מידע. הם בכלל לא היו ערים לצורך להגן על הרכיבים שבהם הם השקיעו לילות וימים.

אז מה אפשר לעשות? כמובן שאין המלצה אחת שנכונה לכל רכיב.

  • ההמלצה הבסיסית היא לא לשכוח להגן על רכיב הניהול. לבודד את רכיבי הניהול של שרתי אבטחת מידע בסגמנט אבטחה.

  • לשנות ולשמור את הסיסמא קרוב לחזה (ולא בקובץ ברשת).

  • להגדיר חוק ב – FW המונע גישה לא מורשית אליו.

  • להגדיר חוק ב – DB Firewall המונע שינוי וקריאת בסיס הנתונים שלו עצמו.
מודעות פרסומת
17
מרץ
08

שמירה על מידע רגיש במחשבים ניידים

סיטואציה מעוררת דאגה במאמר הבא… לסוכני מכס בבקרת הגבולות בארצות כגון ארה"ב ואנגליה יש את הזכות לבדוק מחשבים ניידים של אנשים העוברים את הגבול ונכנסים למדינות האלה. במקרים מסוימים, הסוכנים מרשים לעצמם להחרים את המחשב לזמן רב ולקחת אותו לחדר אחורי. הסוכנים משתמשים בתוכנות המאפשרות סריקת המחשב כולל קבצים מוצפנים.

מיותר לציין שבשם בטחון המדינה, ארגונים רבים נחשפים לסיכון של זליגת מידע. למשל, קבצים רגישים של ארגון השמורים (אפילו ברשות) על מחשב נייד של ספק או עובד הארגון, עלולים להגיע לידי סוכני הגבולות. לך תדע מה קורה למידע הרגיש שנחשף.

המאמר מציין שייתכן מצב בו סוכנים מתקינים רוגלות Spyware על המחשב. קשה לי להאמין שהם יעשו זאת לכל אחד, אבל לא ניתן לפסול סיכון כזה.

מה אפשר לעשות?

  • ZULL פרסם פוסט יפה על אופן שמירת (וזליגת) מפתחות הצפנה של דיסק קשיח. מומלץ לכבות את המחשב ולהמתין יותר מחמש דקות כדי שמפתחות הצפנה יימחקו מה – RAM לפני שניגשים לבקרת הגבולות.

  • וודאו שסיסמאות לאתרים רגישים ולרשת הארגון לא שמורים בחלון ההזדהות או בקבצים.

  •  הצפינו את הדיסק הקשיח. מומלץ ע"י PGP.

  • שמרו קבצים רגישים בכרטיס זכרון (Disk on Key) מוצפן/עם גישה ע"י זיהוי טביעת אצבע, במקום על המחשב – והקפידו לא לאבד את הכרטיס.

  • לבקש מבעלי המחשבים לשמור קבצים רגישים ברשת ולא על המחשב הנייד!

13
מרץ
08

כמות ספאם

בהמשך לנתוני הספאם שהוצגו כאן, ערכתי בדיקה לא מדעית של כשבועיים על כמות המיילים המגיעים לכתובת שלי בעבודה.

  • אני מקבל בסביבות 30-60 מיילים לגיטימיים ביום הקשורים בעבודה.

  • אני מקבל בין 60-80 הודעות ספאם לתיבה שלי בשרת האנטי-ספאם של העבודה.

הרבה יותר ספאם ממיילים רצויים. כל זה כאשר אף אחד ממכריי אינו שולח לי מיילים פרטיים לעבודה (רק לבית).

10
מרץ
08

טרנדים באבטחת מידע

בינואר 2008, חברת IBM פרסמה, באמצעות ISS שנרכשה על-ידה, ניתוח מעניין על מגמות אבטחת מידע. קבוצת ה – X-Force ניתחה פרמטרים רבים. את התוצאה ניתן לקרוא בדוח בן מעל 50 עמודים. מצאתי לנכון להאיר מספר נקודות מעניינות מהדוח. את הדוח המלא ניתן לראות כאן.

למונח Vulnerability בעברית בתחום אבטחת מידע יש מספר משמעויות. נהוג לתרגם את המונח ל: פגיעות, חשיפה, פירצה ועוד. בניסיון לתרגם באופן נכון ומעשי, המונח יתורגם לפגיעות, שכן פירצה עשויה להשתמע כפגיעות שכבר מומשה.

לפי X-Force, פגיעות (Vulnerability) עשויה להוביל להחלשה או שבירה מוחלטת של רמת החשאיות, שלמות וזמינות של מערכת מידע.

פגיעות בחומרה גבוהה מתייחסת לפגיעות המאפשרת גישה מיידית מרחוק (או מתוך הרשת) או הרצת קוד או פקודות ללא הרשאת מתאימות באופן מיידי.

כללי:

  1. בשנת 2007, מספר הפגיעויות בחומרה גבוהה גדל ב – 28% ביחס לשנת 2006.

  2. חמש החברות עם הכי הרבה פגיעויות הן: Microsoft, Apple, Oracle, IBM, Cisco.

  3. חמש החברות אחריות למעל 13% מכלל הפגיעויות.

  4. כמעט 90% מהפגיעויות ניתנות לניצול מרחוק.

  5. בשנים האחרונות ישנה ירידה באחוז הפגיעויות מרמת חומרה גבוהה, למעט ב – 2007 בה חלה עלייה קטנה ל – 22% מכלל הפגיעויות. האם זה נובע ממערכות מאובטחות יותר Out-of-the-Box או בזכות Patches? אולי גם בגלל מודעות גבוהה יותר לפיתוח מאובטח של קוד.

  6. מעל 89% מהפגיעויות מאפשרות ניצול מרחוק בעוד שמעל 10% מתוך הרשת/מערכת.

  7. ניתן לחלק את התוצאות של ניצול פרצות למספר קבוצות, כגון השגת הרשאות גישה (לא מאושרות) למערכת, מניעת שירות DoS, מניפולציה לנתונים ולקבצים ועוד. מעל 50% מהפגיעויות מאפשרות השגת גישה לא מאושרת למערכת.

  8. חברת מיקרוסופט (IE) שחררה 28 Patches לפגיעויות קריטיות (מספר דומה לשנת 2006). חברת מוזילה (FireFox) שחררה 36 Patches לפגיעויות קריטיות (ירידה משמעותית מ – 64 בשנת 2006).

קוד זדוני Malware:

  1. X-Force אספו וניתחו כמעט 410,000 קודים זדוניים (Malware), כמעט שליש יותר משנת 2006.

  2. סוסים טרויאניים מייצגים את הקטגוריה העיקרית של קודים זדוניים – כמעט 110,000 וריאציות של סוסים טרויאניים מהווים 26% מכל הקודים הזדוניים.

  3. הסוס הטרויאני הכי נפוץ: Trojan.W32.Agent (מקווה שהבריטים לא רצים להמר עליו…) 

פישינג Phishing:

  1. 19 מתוך 20 הארגונים שהיוו יעד להתקפות פישינג (Phishing) הן מתחום הבנקאות!

  2. המדינה ממנה נשלחו הכי הרבה הודעות מייל המכילות ניסיון פישינג Phishing הנה ספרד (כמעט 15% מההודעות). ישראל, דרך אגב, במקום הרביעי עם 8.4%, וארה"ב במקום השביעי עם 5% מההודעות.

  3. ברשימת המדינות המאחסנות (Hosting) כתובות URL של פישינג, ארה"ב מובילה עם מעל 29%. ישראל לא ברשימת המובילות (לשמחתנו).

  4. שורת הנושא הפופולרית בהודעת פישינג הינה שורה ריקה – מעל 22% מההודעות. 

ועוד קצת טריוויה:

  1. גודל הודעת ספאם ממוצעת נעה בסביבות 6KB.

  2. שורת הנושא הפופולרית בהודעת ספאם הינה:  'Re:          '  (כלומר ללא טקסט כתוב) – כ – 7% מסך ההודעות.

05
מרץ
08

סיסמאות לשרתי FTP למכירה

הידיעה הבאה מציגה חשיפה של חברת פינג'ן על איתור אתר המציע למכירה נתוני הזדהות גנובים לשרתי FTP של ארגונים שונים. בבסיס נתונים של האתר ישנם מעל 8700 רשומות המכילות שמות משתמשים, סיסמאות וכתובות השרתים. נתונים אלה נאספו בעיקר ע"י סוסים טרויאניים.

מה עושים? תלוי בשימוש של השרת.

  • במידת האפשר מספקים אמצעי זיהוי חזק למשתמשים כדי להתחבר לשרת FTP.

  • כופים שינוי סיסמאות מידי פעם.

  • מבצעים בדיקת תוכן לכל קובץ המועלה לשרת.

  • מגדירים ACL אם ניתן.

03
מרץ
08

בלוגים אבטחת מידע

"לפני שנתיים פתחתי את הבלוג הזה לאחר ניסיונות נואשים לשכנע את הנהלת החברה הקודמת שלי להשקיע בהקמת אתר תוכן טוב בנושא אבטחת מידע…"

בחיי, מישהו קרא את המחשבות שלי ואפילו ציטט אותן 'ללא אישור שלי'. תמים  טוב, לא בדיוק. ניסיתי לשכנע את הנהלת החברה הקודמת שלי לפני יותר משנתיים. משהו כמו שלוש שנים. והציטוט למעלה נכתב בכלל בבלוג אחר ע"י מישהו אחר (עומר טרן שאיני מכיר אותו). אבל הוא הפך את הצורך הזה למוצר מוגמר לפני שנתיים. הרבה תוכן הצטבר שם, ולפחות לפי הפוסטים שהספקתי לקרוא, שווה לדלג גם לשם.

למה אני בכלל מעלה את 'גניבת המחשבות' הזאת? כי אני חושב שאנחנו, בעלי הבלוגים, מפספסים קהילת קוראים עשירה. אם עומר, גיא (מיומנו של האקר, שגם אותו איני מכיר) ואחרים החליטו שצריך להשקיע זמן פרטי על כתיבת בלוג, ועוד בעברית, כנראה שיש קהל יעד. אבל לדעתי, אנחנו לא עושים מספיק להגיע לקוראים, למרות שאנחנו לא כותבים מקצועיים ולא מתפרנסים מהבלוג. כדי להגביר את המודעות לאבטחת מידע בארץ, צריך לגרום לעובדים מארגונים שונים להגיע לבלוגים שלנו, ולא רק לקהילת מומחי אבטחת מידע קטנה.

אני יכול לציין שהבלוג שלי התחיל בלי כוונה להתפרסם אלא כמעין יומן אישי שהתכוונתי להשאיר בו מחשבות והגיגים בשביל שאוכל לחזור אליהם בעתיד ולהזכר בדרך החתחתים שמנהל אבטחת מידע עובר. אבל לאחר שלא מעט פעמים חיפשתי חומר מקצועי או מידע על ניהול אבטחת מידע בארגון בגוגל ולא מצאתי, הבנתי שצריך להפוך את הבלוג לפלטפורמה של שיתוף. כעת נותר רק למצוא כיצד לשתף. אני חושב שככל שיגיעו לבלוגים האלה אנשים שאינם בהכרח מנהלי או מומחי אבטחת מידע, כך תגבר המודעות לאבטחת מידע ויגבר הצורך באנשי אבטחת מידע.

עכשיו נותר רק למצוא את הדרך להגיע לאותם אנשים שאינם חלק מהקהילה הקטנה… צוחק




מרץ 2008
א ב ג ד ה ו ש
« פבר   אפר »
 1
2345678
9101112131415
16171819202122
23242526272829
3031