הסיכונים הנובעים מ – Web Services

אחד הנושאים שטרם קיבלו התיחסות מתאימה (לפחות אני לא נתקלתי הרבה) זה הסיכונים הנגזרים משימוש ב – WS. למרות שהשימוש ב – WS מאוד נפוץ בשנים האחרונות, המודעות לצורך לאבטח שירותים אלה עדיין אינה גבוהה.

שירותים אלה מסופקים לרוב ע"י שרתים פנימיים (בחוות השרתים הפנימית) לטובת אפליקציות Web הזקוקות לשלוף נתונים מבסיסי נתונים ובמקרים מסוימים אף לבצע פעולות עדכון. כך שאם ניתן לנצל דרך שרת IIS חולשות בשירות הנחשף ע"י שרת פנימי, מידע רגיש עלול לזלוג בקלות לאינטרנט.

למשל, אם WS אינו בודק תקינות קלטים המגיעים משרת ה – Web, וגולש מבצע SQL Injection, הרי שהשירות עלול לאפשר לפורץ לשלוף את כל הרשומות בטבלה רגישה במקום רק את הרשומה הקשורה לאותו משתמש. בנוסף, הפורץ עשוי להגיע דרך שירות אחר בשרת שאינו מאובטח ושהפורץ אינו אמור להיות מסוגל לפנות אליו, לטבלת כרטיסי אשראי ולגנוב את המספרים.

ברשימה הבאה מפורטים מספר אופנים לנצל פרצות ב – Web Services:

1. פניה לא מורשית לשירות: לא הוגדרו הרשאות למי מותר לצרוך את השירות

2. גניבת נתונים רגישים ע"י האזנה: שדות רגישים אינם מוצפנים

3. פריצה לבסיס נתונים וגניבת נתונים: ניצול התקפת SQL Injection עקב חוסר בדיקת קלטים

4. מניעת שירות DoS: התקפת Buffer Overflow

5. התכחשות לביצוע פעולה: היעדר זיהוי צורך השירות ומימוש חתימה דיגיטלית

 

ישנם סיכונים נוספים, אך אלה החשובים ביותר. אשתדל לפרט יותר בנושא בהמשך. 

סיכוני תמיכה מרחוק

הרבה ארגונים מאפשרים לחברות להתחבר מרחוק לחוות השרתים שלהם לצורך מתן תמיכה ותחזוקה. למשל, אם ישנן מספר מכונות UNIX ולארגון אין מספק ידע או משאבים, בעת הצורך יתחבר המתחזק מהמשרד שלו לשרת. ההתחברות תהיה לפעמים בהרשאות חזקות ולפעמים בהרשאה רק לאפליקציה. חשוב להבין שלצד התועלת הרבה שהארגון מפיק מצורת תמיכה זו, ישנם לא מעט סיכונים שלא תמיד מודעים להם. למשל:

1. שרת זה יכול להוות שער גישה לשרתים אחרים (אולי רגישים יותר). למשל, ע"י פתיחת Telnet.

2. השרת עשוי לספק גישה לבסיס נתונים רגיש. למשל, ע"י שימוש ב – DB Link.

3. אם שמור מידע רגיש על השרת, התומך עשוי לגנוב מידע כזה.

קשה מאוד להתמודד עם סיכונים אלה בצורת עבודה כזו. כמובן שיש צורך לספק אמצעי זיהוי חזק לתומכים, להחתים אותם על סודיות ולרענן נהלי אבטחת מידע. כבר נתקלתי במקרה שתומך כזה התקין Messenger על שרת וצ'יטט דרכו עם אחרים. מבחינה טכנית, במקרים שניתן, אפשר לצמצם את הסיכון ע"י:

1. מתן הרשאת גישה לאפליקציה בלבד (חסימת הרשאה ליציאה ל – Shell או מערכת ההפעלה)

2. חשיפת האפליקציה דרך שרת Terminal Server

3. בידוד השרת ברגל נפרדת ב – Firewall ופתיחת פורטים נדרשים בלבד

4. התקנת תוכנת ניטור וצילום הפעולות (יש כמה כאלה בעיקר לסביבת Windows)

5. הפעלת לוגים ושליחתם למערכת Syslog ו/או SIEM

איזה שיטת הזדהות חזקה יותר?

כותרת משנה: חוזק מנגנון אבטחת מידע לא תמיד נובע מהחוזק הטכנולוגי

אחת התפיסות הנפוצות בנוגע לחוזק אבטחת מידע נסמכת על התפיסה שהכל נובע מאופן היישום הטכני. לכולם ברור שהצפנה ע"י אלגוריתם AES בטוחה יותר משימוש באלגוריתם 3DES. כך גם כל ספק רכיב זיהוי חזק טוען. רק שזה לא תמיד נכון, ולא מסיבות טכנולוגיות.

זיהוי חזק (או הזדהות חזקה) מבוסס על שילוב של מספר מאפייני אימות:

• משהו שאתה יודע: סיסמא

• משהו שיש לך: רכיב פיזי כגון טוקן או מחולל סיסמאות חד-פעמי

• מאפיין פיזי (משהו שאתה): טביעת אצבע, טביעת קשתית עין, צורת כף יד

בד"כ, משלבים שני מאפיינים: סיסמא ומשהו שיש לך. באופן כללי נהוג לחשוב שהרכיב הפיזי החזק ביותר הוא טוקן או כרטיס חכם (רכיבי PKI), שכן הם שומרים תעודה דיגיטלית שאינה ניתנת לזיוף או העתקה. בנוסף, נדרשת סיסמא כדי לעשות שימוש בטוקן. מחולל סיסמאות
(One Time Password – OTP) נחשב למאובטח גם הוא, אך נתפס כפחות חזק מרכיב PKI. דור חדש של רכיבים פיזיים עושה שימוש בהודעת טקסט (SMS) לטלפונים סלולריים שלכולם יש היום. ישנם ספקים שמתקינים גם תוכנת Java על הטלפון לחילול סיסמאות (סוג של OTP). האם באמת טוקן מאובטח יותר ממחולל סיסמאות או טלפון סלולרי? טכנית, התשובה היא כן. אך בגלל הטבע האנושי, התשובה היא: לא בטוח.
ספק חיצוני שמתחבר לרשת הארגונית עם טוקן עשוי להשאיר את הטוקן קבוע במחשב שלו כאשר הסיסמא רשומה על המסך. אם מישהו יחדור למשרד שלו, הרשת שלי תהיה פתוחה בפניו. באופן דומה, אם המשתמש לוקח איתו את הטוקן או מחולל הסיסמאות, הם עלולים ללכת לאיבוד או להגנב כאשר פרטי ההזדהות צמודים אליהם. עלולים לעבור מספר ימים (למשל בסוף שבוע) עד שהמשתמש ישים לב לאובדן.מצד שני, תראו לי משתמש אחד שלא שם לב שהטלפון הסלולרי שלו אינו צמוד אליו כל הזמן. אם הטלפון יאבד, לאחר שעתיים חברת הסלולאר כבר הגדירה את המספר שלו למכשיר חדש. 

אינני מנסה לקבוע איזה שיטה חזקה יותר. מה שאני מנסה להדגים, זה העובדה שגם אם על הנייר פתרון מסוים מאובטח יותר, הטבע האנושי לפעמים חזק יותר מכל שיטת הזדהות חזקה. הטבע האנושי הוא החוליה החלשה במנגנון ההזדהות החזק. לכן, לא מספיק לבחון נתונים מספריים על הנייר, אלא צריך להסתכל על התמונה הרחבה.