ארכיון עבור אפריל, 2008

22
אפר
08

הרשאות גבוהות בבסיסי נתונים

התבקשתי לפני זמן לא רב לוודא לאיזה משתמשים יש הרשאות של DBA על בסיס נתונים מסוים. לכאורה, משימה פשוטה. בואו נבדוק למי נתנו את ההרשאה הגבוהה. למעשה, זה לא מספק. למשל, ב – Oracle לא צריך להיות DBA בכדי שיהיו לך הרשאות גבוהות. חמור מכך, אתה יכול להעניק הרשאות גבוהות גם לאחרים גם אם אתה לא DBA. ההרשאה Grant מאפשרת לבעליה להעניק הרשאות לאחרים.

GRANT GRANT ANY OBJECT PRIVILEGE TO user

  • ה – Grant הראשון זו הפקודה להעניק הרשאה כלשהי.

  • ה – Grant השני זו ההרשאה (במקרה זה להעניק הרשאות לאחרים).

חזרה לבדיקה שלי. הסתבר שאיש פיתוח קיבל הרשאה להעניק (Grant) הרשאות Grant למשתמשים אחרים, בדומה לפקודה למעלה. למרות שהסתבר שזה רק בסביבת פיתוח ולא בייצור, זה פתח את עיניי לאפשרות הזאת.

המסקנה: אין להסתפק בחיפוש משתמשים בעלי הרשאה מובנית גבוהה (למשל SA בבסיס נתונים של מיקרוסופט).

מודעות פרסומת
16
אפר
08

יום בחיי מנהל אבטחת מידע

לפעמים מרוב שמתעסקים עם עץ, לא רואים את היער. זה מאתגר להתעסק עם SQL Injection או XSS, זה מעניין לקרוא על כלים לביצוע Brute Force. בפוסט הזה אני מספק דוגמית על איך זה נראה מהצד השני – זה של מנהל אבטחת מידע. ההתמודדות מול גופי פיתוח/סיסטם אינה פשוטה ומה שנראה לנו – אנשי אבטחת מידע – ברור, להם זה לא מובן. לא כל המלצה ניתנת ליישום מסיבות ארגוניות. זה מאבק עיקש ומתמשך. אז הנה יום טיפוסי (עם מעט שינוי פרטים) של מנהל אבטחת מידע.

בוקר:

לאחר שהעברתי לפני מספר שבועות דרישה למימוש מנגנון Captcha באתר, מנהל הפיתוח מסביר לי למה זה מנגנון מיותר לחלוטין. אנחנו שורפים שעה שלמה סביב הנושא הזה. אני מסביר לו שעלות הטיפול של מוקד הלקוחות בכמה אלפי משתמשים נעולים (עקב התקפה) מצדיק מימוש Captcha. ההסבר הזה מגיע כמובן לאחר שאני מבין שהוא לא מתעניין בכלל בסיכון של פריצה לחשבון של לקוח. 1-0 לרעים. אין Captcha.

בוקר מאוחר:

מנגנון הזדהות לאפליקציה ארגונית התגלה שאינו הכי מאובטח. בדיון המשך לישיבה שכבר התקיימה מתחילים למפות את הבעיה ומהן הדרכים לפתרון הבעיה. תהליך שיקח כמה חודשים. משחק ללא שערים 0-0. לפחות יש נכונות מצד האנשים.

צהריים:

עובד חולה מסר סיסמא שלו לעובד אחר. טיפול משמעתי. המשחק הופסק לאחר שהקהל פרץ למגרש לפני שריקת הסיום. השופט בן…

אחה"צ:

בבדיקה שנערכה לפני זמן קצר על מערכת Web, נמצאו XSS, ממשק ניהול לקוי שחשוף למשתמשים ועוד ממצאים. ממשק הניהול נוטרל מיד. XSS טופל. עוד כמה ממצאים בשלבי תיקון. קצת נחת לאבטחת מידע. 2 שערים בזמן פציעות.

אחה"צ:

יחידה עסקית דואגת לגבי גישה ישירה לבסיס נתונים רגיש. עלי למצוא דרך להבטיח שרק משתמשים מורשים יגשו למידע. פרויקט קטן לזמן הקרוב. אין לי זמן לטפל בזה אבל אין ברירה…

לקראת ערב:

סיסטם מבקשים לפתוח חוק ANY ב – Firewall לצורך בדיקת שרת. אני עומד על הרגליים האחוריות. בניגוד לעבר, הפעם החוק לא נפתח באותו היום ולמחרת הם הגישו בקשה מסודרת עם כתובת ספציפית ופורט אחד. חוסלה ההפקרות בנושא.

לאורך כל היום:

הרבה שוטף, בעיות ואדמיניסטרציה לא מעניינת שלא משאירים זמן לעבודה האמיתית כולל זו שהוזכרה למעלה.

15
אפר
08

כנס האקרים

גיא מזרחי שוקל להרים כנס האקרים. אני לא בטוח שהשם מתאים, אולי כנס האקינג יותר מתאים כיוון שהכנס אמור להיות פתוח לא רק להאקרים. כנראה שעוד לא גובש הקונספט של הכנס.

14
אפר
08

סנדלי דנבר ואבטחה

כמה מכם גרו בתל אביב לפני כ – 15 שנה וזוכרים את סנדלי הדנבר? היום התפרסמה ידיעה בעיתון ידיעות אחרונות שהמשטרה נוהגת לסנדל ניידות משטרה באותם סנדלים. כאחד שחווה על בשרו (מכוניתו) סנדל דנבר בעבר, ברגע הראשון חשבתי שמדובר בבדיחה עיתונאית. מסתבר שהמשטרה עושה זאת כדי למנוע גניבת ניידות. המשטרה לא מסוגלת לתת מענה למטרה שלשמה היא קמה (מניעת פשע) והיא מחפשת פתרונות אבטחה לעצמה. מצד שני, באופן קצת עקום ואסוציאטיבי, זה מזכיר לי את הצורך לאבטח את המאבטח.

07
אפר
08

מגמות אבטחת מידע במגזר הפיננסי

חברת דלויט טוש פרסמה סקר אבטחת מידע 2007 שערכה במגזר הפיננסי בעולם, כמידי שנה. כמה נקודות שדליתי מהממצאים:

הסקר מגלה שלארגונים מהאזור שלנו (EMEA) יש את הקישורים והיכולות לתת מענה לדרישות אבטחת מידע יותר מאזורים אחרים בעולם. (האם זה בגלל שישראל נכללת באזור זה?)  צוחק

שלושת התחומים המובילים שארגונים התעסקו בהם:

  1. ניהול זהויות (Access and Identity Management)

  2. עמידה בדרישות רגולציה

  3. הדרכת עובדים והגברת מודעות לאבטחת מידע.

בממוצע, עובד צובר 17 חשבונות משתמש (יוזרים) במהלך עבודתו בארגון. רק 10 מהם מוסרים כשאותו עובד עוזב.

מבין אלה שפעלו בתחום ניהול זהויות ובקרת גישה, הרוב (44%) הטמיעו שימוש בטוקנים.  הממצאים המובילים בביקורות אבטחת מידע/ענ"א (בד"כ בדיקות של פירמות רואי חשבון ולא של חברות אבטחת מידע):

  1. הרשאות עודפות למערכות

  2. הפרדת סמכויות/תפקידים

  3. היעדר נתיב בקרה/רישום לוגים

האיומים המובילים הצפויים בשנה הקרובה:

  1. הנדסה אזרחית (Social Engineering)

  2. פישינג Phishing/Pharming

  3. זליגת מידע על לקוחות

03
אפר
08

הורשעו הנאשמים בפרשת הסוס הטרויאני

אני שב וטוען שמנגנוני אבטחת מידע כאלה ואחרים טובים עד גבול מסוים. לצערי, לא עושים שימוש באמצעי הכי מרתיע – ענישה – שהנו שכבת הגנה נוספת וחשובה. כבר ציינתי שבתי המשפט שלנו בארץ הם רחמניים מידי ושמרנים מידי.

עכשיו התפרסמה ידיעה על הרשאת שלושה נאשמים נוספים בפרשת הסוס הטרויאני. אומנם טרם ניתן גזר הדין, ואומנם העונשים שביקשו קלים מידי ואינם מרתיעים, אך אני מקווה שיותר ויותר פושעים כאלה יובאו לדין.




אפריל 2008
א ב ג ד ה ו ש
« מרץ   מאי »
 12345
6789101112
13141516171819
20212223242526
27282930  
מודעות פרסומת