ארכיון עבור מרץ, 2009

29
מרץ
09

utube – עוד דומיין עם שם דומה

בהמשך לפוסט הזה, רציתי לגלוש לאתר youtube.com.
הקלדתי utube.com בלי לחשוב יותר מידי.
הנה התוצאה:

utube1.JPG

שימו לב מה קורה כשלוחצים על הסרטון – דף הקבלה נפתח ממש לידו. שימו לב גם לכתובת של הדף.
(מי שלא מכיר, websense זה מוצר לסינון אתרים שיכול לחסום גלישה לאתרים עפ"י תוכן כגון עירום ופורנו. אנשים עם חוש הומור… )

utube2.JPG

מודעות פרסומת
24
מרץ
09

פעילות בבלוג #3

זמן לעדכון חודשי.

  • מספר ביקורים בבלוג: 584
  • זמן שהייה ממוצע: קצת פחות משתי דקות
  • הגיעו לבלוג דרך חיפוש (לרוב בגוגל): 204
  • הגיעו לבלוג דרך לינק ישיר או RSS או מועדפים: כ – 370

לא ברור עדיין האם זה טרנד קבוע בעליה במספר הביקורים, מקווה שימשיך כך.
העובדה שמגיעים יותר דרך לינק או RSS מעידה כנראה על קוראים קבועים שזה מעודד.

אני אשמח לשמוע מכם איזה נושאים מעניינים אתכם, ובמידה ואני מתעסק איתם אשמח לכתוב עליהם.

22
מרץ
09

הש.ג. בגלגלצ נרדם בשמירה

הבהרה חשובה: מדובר במקרה לגיטימי וחוקי,
ואין בכוונתי לרמוז על פעולה לא חוקית או תקינה.
האמור כאן רק מדגים את הסיכונים.

 בסה"כ רציתי לשמוע גלגלצ. ברגע הראשון חשבתי שמדובר באתר רשמי נוסף של גלגלצ, אך העיצוב נראה לי לא מתאים לתחנת רדיו מכובדת.

glgltz.JPG 

זה מקרה עלול היה להתפרש כניסיון התחזות – Phishing.

בדקתי את רישום האתר בשירות whois (שירות המאפשר בירור פרטים על בעל הדומיין), מסתבר שהדומיין בבעלות פרטית, ושהאתר אינו של גלגלצ.

glgltz-whois.JPG

כנראה שה-ש.ג. בתחנת הרדיו נרדם בשמירה (תרתי משמע… ) ולא טרח לרשום את הדומיין.

תחשבו על סיטואציה שבה בעל האתר מאפשר קבלת עדכוני חדשות מהאתר (והרבה יחשבו שמדובר בחדשות מגלגלצ). בעל האתר יוכל לשלוח בעתיד הודעות זדוניות מוסוות ומספר אנשים ייפלו בפח.

מומלץ לרכוש את כל הדומיינים בעלי שם דומה לשם הארגון.

כבר כתבתי על כך כאן.

17
מרץ
09

סיסמאות של ספקים שלא מחזיקות מים

בעת כתיבת פוסט קודם, הזכרתי את סיסמאות המכירה של הספקים. רק לפני מספר ימים ביקר אצלי עוד ספק והציע למכור את מרכולתו. איש המכירות היומרני, לא המתין אפילו לאמצע המצגת, וממש בהתחלה ציין שאפשר מהר מאוד להתחיל פיילוט ותוך יום לסיים אותו! הוא הדגיש שהכוונה לסיים ולהוכיח שהפתרון עובד ב – No Time.

בהמשך, הוא דיבר על זמן הטמעה (לאחר רכישה) מינימלי – תוך כמה ימים והפרויקט גמור. התקנה תוך יום, הגדרות וכוונון המערכת עוד יומיים, ויום אחרי הזה לוחצים ידיים לשלום.

בקיצור, הצליח להרגיז אותי.

 אז הנה כמה קטעי סיפורים על התקנות שלוקחות 'רק' 3-4 ימים: 

ההטמעה

ההבטחה

בפועל

מערכת לניתוח הרשאות יום התקנה וחיבור למערכות המנותחות.
שלושה ימים ניתוח הרשאות.
יומיים דוח סופי.
שלושה ימי התקנה (שכחו לבקש התקנת SQL Server, הגדרת חוקים ב – Firewall ובאג בתוכנה שהצריך שדרוג ולהתחיל מהתחלה.
חודש ניתוח הרשאות.
שבועיים דוח.
מערכת SIEM חודשיים למסירה. אחרי זמן רב שהמערכת אינה מפיקה התראות כנדרש וללא משתמשים במערכת, ספק אחר נקרא להקים מחדש את ה – SOC ולטייב חוקים.
מערכת IDM לא משנה. הפרויקט נכשל לגמרי.
מערכת בדיקת הגדרות אבטחה על שרתים לא משנה. המערכת נותנת מענה רק באופן חלקי.
לאחר שנה, לא מחדשים רישיון תחזוקה למערכת.

אז ספקים, הזהרו לכם. תלמדו לשווק ולא למרוח אותנו…

וכמובן שזה תופס לא רק לאבטחת מידע.

04
מרץ
09

שאלון עמידה בדרישות PCI-DSS

על מנת לעמוד בדרישות PCI, נדרש, בין השאר, למלא שאלון הערכה עצמי (SAQ). על פניו נראה כי ניתן למלא את השאלון לבד. אפשר להוריד את השאלון מהאתר שלהם ולרשום את התשובות על הקובץ עצמו.

הכלי הבא של חברת McAfee הוא כלי אינטרנטי אינטראקטיבי נחמד שמאפשר להזין את התשובות באתר ובסוף התהליך להדפיס דוח.  עם זאת, מניסיון, רצוי בפעם הראשונה להיעזר ביועצים בעלי ניסיון בתחום, שכן שאלות רבות ניתנות לפרשנות מקילה או מחמירה והניסיון שלהם יעזור לכם במתן התשובה הטובה יותר לארגון.

01
מרץ
09

אבטחת מידע בעזרת השם

נחמד

Ribono




מרץ 2009
א ב ג ד ה ו ש
« פבר   אפר »
1234567
891011121314
15161718192021
22232425262728
293031