גישה פיסית - game over

בארץ היו כבר כמה אירועים של גניבת מידע ע"י העובדים באמצעות העתקת מידע מדיסק קשיח. הרי מה בעיה להוציא דיסק בסוף היום עם המידע שכבר הכנת מראש, לקחת אותו הביתה ובבוקר להחזיר כאילו לא קרה כלום.
ההמלצה שלי (ושל מומחים אחרים) תמיד היתה - הצפנת דיסק. אבל בתעשייה לא כל כך רצים לעשות זאת, בגלל "קושי תפעולי".

אבל במבדקי סייבר שאני מדי פעם מבצע, אני מראה עד כמה קל בגישה פיסית למחשב להשתלט עליו. מזמן (עוד בימי bt5), לצורך מבדקי סייבר הכנתי לי bootable disk אשר עשה דבר פשוט  בעת שהעלו ממנו את המחשב. הדבר הפשוט הזה היה מכניס למחשב משתמש לוקלי חדש עם הרשאות ניהוליות. כלומר התהליך היה כזה:

  1. מכבים את המחשב
  2. מנתקים מהרשת (למקרה שיש NAC)
  3. מכניסים דיסק USB
  4. מדליקים את המחשב ונכנסים ל-bios
  5. בוחרים העלה מדיסק usb
  6. מעלים את המחשב
  7. בסיום ההעלה, אוטומתית היה מופעל סקריפט שיוצר משתמש אדמיניסטראטיבי ובסיום היה מכבה את המחשב גם אוטומטית
  8. מוציאים את הכונן ה-usb
  9. מחברים את הרשת
  10. מדליקים את המחשב ומעלים אותו באופן רגיל
  11. נכנסים למחשב עם משתמש שנוצר עם הרשאות גבוהות.


ומכאן הרבה אופציות פתוחות:

  • התקנת תוכנות לסריקת רשת
  • התקנת תוכנות ציטות
  • גניבת סיסמאות על ידי mimikatz
    וכו'


וזו דרך יחסית קלה למימוש. בנוסף גם אפשר לקנפג את האוטומציה שבכונן ה-usb שתכניס נוזקות למחשב גם באופן אוטומתי. כל התהליך נמשך בערך כ-3 דקות. האם אתם בארגון שלכם יכולים לנתר דבר כזה ?

כמובן עם קביעת סיסמא ל-bios זה טיפה יעריך את הזמן, אבל זה עדיין יהיה אפשרי.

לכן לפי דעתי כדאי לשקול שוב את הנושא של הצפנת דיסק...



פוסטים פופולריים מהבלוג הזה

למה מצב באבטחת מידע בארגונים עדיין גרוע ?

תמונה
לפי היסטוריה, התקפות של  ransomware  החלו במאי 2005. מאז אחת  השנים הכי פוריות של מתקפות  ransomware  היתה שנת 2017, בה התבצעו התקפות של  WannaCry, של  Petya , ושל  Bad Rabbit.  מאז כמובן היו התקפות יותר גדולות ומוצלחות, אך השאלה היא - למה מ-2005, או מ-2017 עדיין הרבה חברות נופלות קורבן להתקפות אלו, ולא רק להתקפות  ransomware  , כי נכון להיום, התקפות  ransomware  הן השלב המסכם של גניבת מידע. אז הבעיה לא רק בהצפנת קבצים, היא הרבה יותר עמוקה - במערך אבטחת המידע בחברות, בארגונים ציבוריים, עד לתשתיות ממשלה (במדינות שונות).  כידוע אבטחת מידע זה רצף הגנות - גדרות אשר מקשות על התוקף להיכנס פנימה לתוך הארגון. בניה נכונה של מערך ההגנה זה הדבר הנכון שצריך לעשות, והוא צריך לכלול את הדברים הבאים לפי דעתי: בניה נכונה ומאובטחת של ארכיטקטורת הארגון בנית מפת סיכונים ועדכונה בצורה תקופתית ניהול נכון של סיכוני אבטחת מידע שכוללת גם סיכוני טעיות אנוש בתשתיות ובפיתוח שימוש במוצרי הגנה מטוייבים בנית מערך הבקרות כן בתחום הטכנולוגי וכן בתחום התהליכי בניה נכונה של מערך הניתור העלאת מודעות בתחומי אבטחת מידע אצל
המשך לקרוא

הגנות ‏בגישה ‏מרחוק

תמונה
בתחילת הסגר של הקורונה, בארגון שאני מלווה, הגישה מרחוק הייתה לחלק מאנשי IT ולמנהלים. פתאום עלה צורך לתת גישה מרחוק לשאר העובדים. התשתיות קנו והקשיחו עוד כ-200 מחשבים ניידים לעובדים שהוגדרו חיוניים. הגישה דרכם כן מאבטחת ומנותרת. נטמעו  עוד מוצרים להפרדה בין סביבות וליחצן אפליקציות. הפתרון מאובטח, אך לא מגיע לכל העובדים, כי יש עוד הרבה, שנשארו ללא מחשבים. בגלל שאף אחד לא ידע מתי הסגר יסתיים, הוחלט גם לבדוק אופציה של נתינת גישה מוגבלת לשאר העובדים מהמחשבים הביתיים, כלומר מחשבים "מלוכלכים", אשר אין עלים שליטה ובקרה. לארגון יש VPN של אחד הספקים המובילים, אבל מכוון שהיה מדובר בלתת גישה לארגון ממחשבים "מלוכלכים", ראיתי בזה סיכון, כי לכל אחד יש אנטי-וירוסים שונים, רשתות אל חוטיות לרוב עם סיסמאות קלות, ולא ניתן לדעת עם המחשבים האלו כבר נגועים במשהו. אני התנגדתי לתת גישה ל-VPN בלי כל בקרה, כי מדובר בין השאר על ארגון תחת רגולציה. הסברתי כי בדיקה שה-VPN מבצע: בדיקת אנטי-וירוס, ובדיקת firewall אינה מספקת. בתור איש תקיפה, אני יכול לעקוף את הבדיקות ולהחדיר לא
המשך לקרוא

הגנה על WEB SERVICES

היום בתעשיה משתמשים הרבה ב-WEB SERVICES עבור אינטגרציה בין מערכות שונות. בשביל תפקוד העסק שימוש ב-WS נהיה סטנדרט כבר מזמן. הבעיה שלא כל הארגונים משקיעים בהגנה על WS האלה. כאן אני רוצה לספר על מה שאני ממליץ באבטחת WS בארגון. בגדול (אבל לא כולם עושים את זה) באבטחת WS צריך לדאוג ל-3 דברים: הזדהות (חזקה) תווך העברת נתונים (מוצפן - SSL) חתימה על המסר ואני מוסיף גם את הסגמנטציה - כלומר פתיחת חוקים מתאימים ב-FW שרק הגורמים הרלוונטיים יגיעו לשרת הנכון. לגבי תווך הצפנה - הכל ברור גם כך, זה חייב להיות מוצפן. בהזדהות אני ממליץ להשתמש ב-CLIENT CERTIFICATE או במילים אחרות בסרטיפיקט X.509. סרטיפיקט זה צריך להיות מונפק ע"י ה-CA הארגוני ולכלול מידע על הזהות שמזדהה לקבלת שירות. הבעיה בפתרון זה שלא כולם יודעים לעשות את זה כמו שצריך. ומה זה כמו שצריך? - זה כמובן בדיקת סרטיפיקט שהוא חתום ע"י ה-CA המתאים (בד"כ מתבצעת ע"י התשתית), אך בנוסף לזה זה גם בדיקת פרמטרים של הסרטיפיקט כגון CN. למה צריך את זה ? מכוון שבארגון מנפיקים די הרבה סרטיפיקטים, ויש סיכוי (במידה ובדיקת CN
המשך לקרוא