רשומות

הגנה על Web services 2

בחלק הראשון סיפרתי על הזדהות בהגנה על ה WS. עכשיו אני רוצה לספר קצת על אבטחה בארכיטקטורה של ה WS. אז על מה כדאי לשים לב בארכיטקטורה של WS ? באחד הסקרים שעשיתי מזמן, גיליתי שה-WS עוברים מהאיזור של DMZ אל האיזור של שרתים פנימיים דרך ה FW אך ללא שום הגנה נוספת. כלומר הסיכון כאן שהתוקף במידה ופורץ לאחזור ה-DMZ יוכל בקלות להפעיל WS ב-ESB. אני המלצתי כמקובל לשים XML FW בין הסביבות (ולפעמים מקובל לשים 2), אך בגלל יוקר המוצר (DATAPOWER), לא רצו לשים כלום. ומכוון שאני בעבר בא מתחום הפתוח, איפיינתי אפליקציה שתעשה הגנה בסיסית על ה-WS במעבר בין האיזורים. באפליקציה זו דרשתי את הדברים הבאים:
* בדיקת גודל ה-Request
* בדיקת Schema Validation
* בדיקת RegEx על השדות
* הזדהות עם X.509 בין כל ה-WS
* שבירת פרוטוקול ל-MQ וחזרה
* בדיקת Response על RegEx
* בדיקת גודל ה-Response כמובן היו עוד כמה דרישות על log, מיסוך וכו. והאפליקציה עשתה את שלה - נתנה הגנה מינימלית בין הסביבות. זה כמובן לא DP, אבל גם משהו. מכוון שהמוצר לא כלל חתימות התקפתיות, דרשתי גם להעביר את הפניה דרך WAF הפנימי. בצורה זו הפתרון נראה סב…

הגנה על WEB SERVICES

היום בתעשיה משתמשים הרבה ב-WEB SERVICES עבור אינטגרציה בין מערכות שונות. בשביל תפקוד העסק שימוש ב-WS נהיה סטנדרט כבר מזמן. הבעיה שלא כל הארגונים משקיעים בהגנה על WS האלה. כאן אני רוצה לספר על מה שאני ממליץ באבטחת WS בארגון.

בגדול (אבל לא כולם עושים את זה) באבטחת WS צריך לדאוג ל-3 דברים:

הזדהות (חזקה)תווך העברת נתונים (מוצפן - SSL)חתימה על המסר ואני מוסיף גם את הסגמנטציה - כלומר פתיחת חוקים מתאימים ב-FW שרק הגורמים הרלוונטיים יגיעו לשרת הנכון.
לגבי תווך הצפנה - הכל ברור גם כך, זה חייב להיות מוצפן.
בהזדהות אני ממליץ להשתמש ב-CLIENT CERTIFICATE או במילים אחרות בסרטיפיקט X.509. סרטיפיקט זה צריך להיות מונפק ע"י ה-CA הארגוני ולכלול מידע על הזהות שמזדהה לקבלת שירות. הבעיה בפתרון זה שלא כולם יודעים לעשות את זה כמו שצריך. ומה זה כמו שצריך? - זה כמובן בדיקת סרטיפיקט שהוא חתום ע"י ה-CA המתאים (בד"כ מתבצעת ע"י התשתית), אך בנוסף לזה זה גם בדיקת פרמטרים של הסרטיפיקט כגון CN. למה צריך את זה ? מכוון שבארגון מנפיקים די הרבה סרטיפיקטים, ויש סיכוי (במידה ובדיקת CN לא מתבצעת), שהתוקף …

גישה פיסית - game over

תמונה
בארץ היו כבר כמה אירועים של גניבת מידע ע"י העובדים באמצעות העתקת מידע מדיסק קשיח. הרי מה בעיה להוציא דיסק בסוף היום עם המידע שכבר הכנת מראש, לקחת אותו הביתה ובבוקר להחזיר כאילו לא קרה כלום.
ההמלצה שלי (ושל מומחים אחרים) תמיד היתה - הצפנת דיסק. אבל בתעשייה לא כל כך רצים לעשות זאת, בגלל "קושי תפעולי".

אבל במבדקי סייבר שאני מדי פעם מבצע, אני מראה עד כמה קל בגישה פיסית למחשב להשתלט עליו. מזמן (עוד בימי bt5), לצורך מבדקי סייבר הכנתי לי bootable disk אשר עשה דבר פשוט  בעת שהעלו ממנו את המחשב. הדבר הפשוט הזה היה מכניס למחשב משתמש לוקלי חדש עם הרשאות ניהוליות. כלומר התהליך היה כזה:

מכבים את המחשבמנתקים מהרשת (למקרה שיש NAC)מכניסים דיסק USBמדליקים את המחשב ונכנסים ל-biosבוחרים העלה מדיסק usbמעלים את המחשבבסיום ההעלה, אוטומתית היה מופעל סקריפט שיוצר משתמש אדמיניסטראטיבי ובסיום היה מכבה את המחשב גם אוטומטיתמוציאים את הכונן ה-usbמחברים את הרשתמדליקים את המחשב ומעלים אותו באופן רגילנכנסים למחשב עם משתמש שנוצר עם הרשאות גבוהות.

ומכאן הרבה אופציות פתוחות:

התקנת תוכנות לסריקת רשתהתקנת ת…

מוצרי אנומליה

תמונה
לא מזמן יצא לי לבחון כמה מוצרי אנומליה. אני לא אזכיר כאן את שמם. רק אגיד שהיו לי ציפיות גבוהות מהמוצרים, והם לא התממשו. אני והצוות שלי ניגשנו למשימה זו עם כל הלב. הכנו כ-30 תסריטים לבחינת מוצרי אנומליה ב-POC שביצענו. בדקנו 4 מוצרים שונים מהמובילים בשוק. ומתוכם אף אחד לא קיבל ציון גבוה.

הבדיקות היו מגוונות וכללו את הנושאים הבאים:

הפעלת תהליכים מתוך MS OFFICE וגם מתוך קבצי PDFהפעלת KEY-LOGGERהפעלת נוזקות CRYPTO LOCKER ידועות (בסביבה מבודדת) ו-ZERO DAYבחינת ניטרול AGENT/SERVICEגישה וביצוע DUMP לתהליכים רגישיםהפעלת תהליכים אינטראקטיביים עם הרשאות SYSTEMהוספת משתמשים ניהולייםביצוע DLL INJECTIONביצוע FILELESS THREAD INJECTIONוכו' כמו שאמרתי תוצאות הבחינה היו לא הכי טובות. על הנייר (במצגת) הכל נראה וורוד וטוב. אך בפועל רוב התסריטים לא התגלו. מסקנה שלי - המוצרים עדיין לא בשלים, וככל הנראה הוונדורים  מבינים מה זה אנומליה, כל אחד בצורה שלו.
המלצה: תבחנו טוב את המוצרים ולא רק על הסמך המצגת, וגם בהיבט הסיכונים שהגדרתם.

נ.ב.: בעכבות הבדיקות שעשינו 2 וונדורים כבר ביצעו שינוים במוצרים שלהם.


www.sh…

חקירות ומסקנות

תמונה
לפני כמה שבועות נפלו עלי כמה פורנזיקות בו זמנית.

על אחד מהן אני רוצה לספר.

במקרה זה הייתי צריך לחקור את נסיון ההונאה בארגון, בעזרת מודול תשלומים באתר האינטרנט. התוקף ביצע טרנזקציה כספית של סכום קטן במקום סכום אמיתי וקיבל אישור.  מודול תשלומים כלל אינטגרציה עם חברת סליקה, וחלק מהדברים כמו שאומרים נפלו בין כסאות, כלומר האינטגרציה בין שתי המערכות אתר האינטרנט ואתר הסליקה היו לא שלמות.
לאחר ניתוח לוגים (שלצערי לא היו מלאים) וישיבה עם המתכנתת מצאנו את הבעיה ושיחזרנו את ההתקפה.

הכשל היה בניהול session. הבעיה הייתה באימות של הטרנזקציה. מזהה של הטרנזקציה לא נכנס ל session ולכן במקומו היה אפשר להשתמש באישור טרנזקציה אחרת.

כמו שמקובל כתבתי דו"ח תחקיר עם ההמלצות ונתתי ללקוח.

המסקנות מהאירוע הן:
1. צריך לעשות הדרכות של פיתוח מאובטח למפתחים.
2. צריך לבצע סקר / בדיקת חדירה / בדיקת קוד לפני שמעלים ליצור מנגנונים קריטיים כגון מודול תשלומים.
3. צריך לקבוע פורמט ללוג אפליקטיבי עבור אבטחת מידע, לצורך ביצוע חקירות.



www.shteinsolutions.com

תרגיל סייבר

תמונה
לפני כמה שבועות העברתי תרגיל סייבר באחד הארגונים. בין הווקטורים שבחרתי היה ווקטור שהיום מאוד פופולרי - תוכנות כופר (Ransomware). תכנתתי עבור זה נוזקה קטנה אשר מצפינה קבצים ב-My Documents, ומעלימה  את הקבצים מקוריים. על מנת לא לגרום נזק לאירגון, את הקבצים המקוריים פשוט שיניתי ל-hidden.

מטרת התרגיל היתה לתרגל את צוות ה-soc בזמן האירוע. כמובן היו גם דברים אחרים בתרגיל, אך הדגש יותר היה על פעולות תגובה, וביצוע forensics.

מבחינת פעולות תגובה, ציפיתי לדברים הבאים:
1. בעת זיהוי אירוע - פתיחת יומן אירועים ותעוד כל השלבים וצעדים
2. במידה  ונוזקה התגלתה דרך פניה בטלפון מהמשתמש - הנחיה מדוייקת למשתמש מה לעשות.
3. ניתוק תחנות הנגועות מהרשת, והעברה לרשת חקירות
4. דגימת זכרון של התחנות הנגועות
5. בחינת הנוזקה במנועי malware analysis
6. הפעלה וליווי צוות Incident Response
7. בניית חמ"ל משותף בין גורמי אבטחת מידע ותשתיות
9. מיגור הנוזקות ע"י זיהוי חתימות והפצה לכלל הארגון
10. חקירת מקור ההדבקה, ואופן ההפעלה
11. בחינת עמידה של צוות SOC בהתקפה מכוונת על הצוות עצמו
12. בחינת זיהוי התנהגות אנו…

כמה טיפים לעסקים קטנים

תמונה
עסק קטן לא יכול להרשות לעצמו קניית ציוד יקר של אבטחת מידע. יחד עם זה קיימים הרבה פתרונות במחירים סבירים להגנה על העסק בתחום הסייבר. עקרון ההגנה הוא בנית שכבות. כמה שיותר שכבות - יותר טוב מבחינת אבטחת מידע.
אני רוצה כאן להציג כמה נושאים ופתרונות שיכולים לעזור לעסקים קטנים בתחום אבטחת מידע וסייבר.


גיבויים: לא כל העסקים, וגם לא כל הטכנאים שמשרתים אותם, נותנים דגש לגיבוי  נתונים. כמה חברות נפלו קורבן של נוזקות הכופר Ransomware? כולם כבר שמעו על זה ולא כולם טרחו לעשות משהו בעניין. אז גיבוי זה אחת הדרכים להשתקם אחרי התקפה זו. בגדול לא צריך הרבה רסורסים בשביל לבנות מערך  הגיבויים בחברות קטנות. אפשר לקנות מחשב נוסף ולתזמן אותו להיכנס לספריות הנחוצות לצורך העתקה  וקיבוץ מידע באופן יומי. אפשר להתקין Areca-Backup למשל, לביצוע גיבויים מתוזמנים מהתחנה אל השרת. ויש עוד הרבה פתרונות אחרים. (FreeNAS, Bacula, Amanda , Duplicati ועוד)
אנטיווירוס: חברות קטנות יכולות להשתמש בפתרונות יחסית זולים של הגנה מפני הווירוסים. אני רוצה להזכיר למי שלא יודע, שאנטיווירוס מגן מפני ווירוסים שהוא מכיר. אבל זו עדיין שכבת…