Archive for the 'Vulnerabilities' Category

24
פבר
15

Windows כבר לא מערכת ההפעלה הפרוצה מכולן

By CISO1 תגובות
Categories: Vulnerabilities

המאמר הבא שובר כמה מיתוסים לגבי פגיעות מערכות הפעלה בשנת 2014. עפ"י המחקר שהם מצטטים, שבוצע ע"י GFI, מסתבר ששלוש מערכות ההפעלה הפגיעות בשנה שעברה היו:

  1. Mac OS X: נמצאו 149 פגיעויות, 64 מתוכן בסיכון גבוה
  2. Apple’s iOS : נמצאו 127 פגיעויות, 32 מתוכן בסיכון גבוה
  3. Linux (ברמת Kernel): נמצאו 119 פגיעויות, 24 מתוכן בסיכון גבוה

 

שתי הפגיעויות (Vulnerabilities) שעשו הכי הרבה כותרות (לא בטוח שהן היו הכי חמורות) הן Heartbleed, ShellShock. אני אוסיף לרשימה את POODLE שחיסל את פרוטוקול SSL, למרות שזה לא שייך למערכת ההפעלה.
הדפדפן Internet Explorer ממשיך 'לככב' ברשימת האפליקציה הכי פגיעה (224 פגיעויות). שימו לב גם ל – Chrome וגם ל – Oracle Java.
לאור הפריצות הרבות שהיו ב – 2014, כדאי שתמשיכו לפצ'פץ'/להטליא את מערכות ההפעלה שלכם.

21
אוק
14

המלך SSL מת, יחי המלך החדש TLS

By CISO1 תגובה
Categories: Vulnerabilities וכן אבטחה אפליקטיבית
Tags: , ,

כבר זמן רב שאני פועל להפסקת השימוש בפרוטוקול SSL ומעבר ל – TLS, בהצלחה חלקית בלבד. כמו במקרים אחרים, קשה לשכנע מפתחים ואנשי תשתיות בצורך הזה. האיום נראה להם רחוק מידי. הצלחה בודדה שנחלתי לאחרונה הייתה בפיתוח מערכת חדשה שם הצלחתי להגיע להסכמה לאחר ויכוחים מעטים.

בשבוע האחרון נפל דבר בעולם אבטחת המידע. הדבר הזה הוא כמו כוכב שביט שנופל על כדור הארץ, משהו שמשנה סדרי עולם. פירצה שהובילה לכך שפרוטוקול ה – SSL מת, והפודל מקשקש בזנב. מדובר בפירצה שהתגלתה ע"י חוקרי Google בפרוטוקול עצמו ולא בספרייה שמממשת קריפטוגרפיה. הפירצה כונתה POODLE וקיבלה את המזהה CVE-2014-3566. לא ניכנס לפרטים הטכניים, מי שמעוניין שיחפש באינטרנט.

עכשיו, המפתחים רצים לבטל את ה – SSL. מזל שהפירצה התגלתה ופורסמה לפני שאירעו מתקפות שהיו מובילות לנזקים.

בד"כ כשמתגלית פירצה, ניתן להתקין עדכון אבטחה שפותר את הבעיה. במקרה הזה, הבעיה נמצאה בפרוטוקול עצמו ולכן ההמלצה היחידה היא להפסיק להשתמש ב – SSL ולעבוד TLS. כיוון שאני מכיר את המוח הישראלי, אני רוצה להדגיש שיש צורך בביטול האפשרות לעשות שימוש ב – SSL; לא מספיק להגדיר/להפעיל TLS. אני אסביר בצורה מאוד כללית מדוע.

בתהליך ה – Negotiation, צד ה – Client וצד ה – Server מציגים לצד השני באיזה פרוטוקולים הם תומכים. הפרוטוקול המשותף הכי חזק בשני הצדדים נבחר – נאמר TLS v1.0. לכאורה הכל בסדר. הפירצה שהתגלתה אפשרה לתוקף באמצע (Man-in-the-Middle) להתחזות ולדווח שהוא תומך רק ב – SSL v3. זה מחייב את הצד השני להפסיק להשתמש ב – TLS. עכשיו, התוקף יכול לנצל את הפירצה שהתגלתה ב – SSL. לכן, הפתרון חייב להיות ביטול בקובץ ב – conf או ב – Registry של האפשרות לעשות שימוש ב – SSL.

 

מאי 2024
א ב ג ד ה ו ש
 1234
567891011
12131415161718
19202122232425
262728293031