רשומות

מציג פוסטים מתאריך יולי, 2019

הגנה על WEB SERVICES

היום בתעשיה משתמשים הרבה ב-WEB SERVICES עבור אינטגרציה בין מערכות שונות. בשביל תפקוד העסק שימוש ב-WS נהיה סטנדרט כבר מזמן. הבעיה שלא כל הארגונים משקיעים בהגנה על WS האלה. כאן אני רוצה לספר על מה שאני ממליץ באבטחת WS בארגון.

בגדול (אבל לא כולם עושים את זה) באבטחת WS צריך לדאוג ל-3 דברים:

הזדהות (חזקה)תווך העברת נתונים (מוצפן - SSL)חתימה על המסר ואני מוסיף גם את הסגמנטציה - כלומר פתיחת חוקים מתאימים ב-FW שרק הגורמים הרלוונטיים יגיעו לשרת הנכון.
לגבי תווך הצפנה - הכל ברור גם כך, זה חייב להיות מוצפן.
בהזדהות אני ממליץ להשתמש ב-CLIENT CERTIFICATE או במילים אחרות בסרטיפיקט X.509. סרטיפיקט זה צריך להיות מונפק ע"י ה-CA הארגוני ולכלול מידע על הזהות שמזדהה לקבלת שירות. הבעיה בפתרון זה שלא כולם יודעים לעשות את זה כמו שצריך. ומה זה כמו שצריך? - זה כמובן בדיקת סרטיפיקט שהוא חתום ע"י ה-CA המתאים (בד"כ מתבצעת ע"י התשתית), אך בנוסף לזה זה גם בדיקת פרמטרים של הסרטיפיקט כגון CN. למה צריך את זה ? מכוון שבארגון מנפיקים די הרבה סרטיפיקטים, ויש סיכוי (במידה ובדיקת CN לא מתבצעת), שהתוקף …

גישה פיסית - game over

תמונה
בארץ היו כבר כמה אירועים של גניבת מידע ע"י העובדים באמצעות העתקת מידע מדיסק קשיח. הרי מה בעיה להוציא דיסק בסוף היום עם המידע שכבר הכנת מראש, לקחת אותו הביתה ובבוקר להחזיר כאילו לא קרה כלום.
ההמלצה שלי (ושל מומחים אחרים) תמיד היתה - הצפנת דיסק. אבל בתעשייה לא כל כך רצים לעשות זאת, בגלל "קושי תפעולי".

אבל במבדקי סייבר שאני מדי פעם מבצע, אני מראה עד כמה קל בגישה פיסית למחשב להשתלט עליו. מזמן (עוד בימי bt5), לצורך מבדקי סייבר הכנתי לי bootable disk אשר עשה דבר פשוט  בעת שהעלו ממנו את המחשב. הדבר הפשוט הזה היה מכניס למחשב משתמש לוקלי חדש עם הרשאות ניהוליות. כלומר התהליך היה כזה:

מכבים את המחשבמנתקים מהרשת (למקרה שיש NAC)מכניסים דיסק USBמדליקים את המחשב ונכנסים ל-biosבוחרים העלה מדיסק usbמעלים את המחשבבסיום ההעלה, אוטומתית היה מופעל סקריפט שיוצר משתמש אדמיניסטראטיבי ובסיום היה מכבה את המחשב גם אוטומטיתמוציאים את הכונן ה-usbמחברים את הרשתמדליקים את המחשב ומעלים אותו באופן רגילנכנסים למחשב עם משתמש שנוצר עם הרשאות גבוהות.

ומכאן הרבה אופציות פתוחות:

התקנת תוכנות לסריקת רשתהתקנת ת…