קצת על אבטחת מידע וסייבר

עסק קטן לא יכול להרשות לעצמו קניית ציוד יקר של אבטחת מידע. יחד עם זה קיימים הרבה פתרונות במחירים סבירים להגנה על העסק בתחום הסייבר. עקרון ההגנה הוא בנית שכבות. כמה שיותר שכבות - יותר טוב מבחינת אבטחת מידע. אני רוצה כאן להציג כמה נושאים ופתרונות שיכולים לעזור לעסקים קטנים בתחום אבטחת מידע וסייבר. גיבויים : לא כל העסקים, וגם לא כל הטכנאים שמשרתים אותם, נותנים דגש לגיבוי  נתונים. כמה חברות נפלו קורבן של נוזקות הכופר Ransomware? כולם כבר שמעו על זה ולא כולם טרחו לעשות משהו בעניין. אז גיבוי זה אחת הדרכים להשתקם אחרי התקפה זו. בגדול לא צריך הרבה רסורסים בשביל לבנות מערך  הגיבויים בחברות קטנות. אפשר לקנות מחשב נוסף ולתזמן אותו להיכנס לספריות הנחוצות לצורך העתקה  וקיבוץ מידע באופן יומי. אפשר להתקין Areca-Backup למשל, לביצוע גיבויים מתוזמנים מהתחנה אל השרת. ויש עוד הרבה פתרונות אחרים. (FreeNAS, Bacula, Amanda , Duplicati ועוד)   אנטיווירוס : חברות קטנות יכולות להשתמש בפתרונות יחסית זולים של הגנה מפני הווירוסים. אני רוצה להזכיר למי שלא יודע, שאנטיווירוס מגן מפני ווירוסים שהוא מכיר. אבל

מזמן, בשנים 2008-2009, כשעשיתי בדיקת חדירה באחת החברות, נודע לנו שהחברה הזו נותנת לעובדיה גישה דרך Citrix מהאינטרנט לאפליקציות פנימיות, ובינהן גם ל Microsoft Office. קיבלתי גישה בתור משתמש פשוט מהחברה והתחלתי בדיקות. נכנסתי ל MS Word והדבר הראשון, שבדקתי האם יש אפשרות לגשת לכתיבת  VBS(ב-Developer Tab). אכן האפשרות היתה (לא ביצעו הקשחה ברמת האפליקציה), וע"י 2 שורות קוד הפעלתי cmd.exe (לא ביצעו הקשחה ברמת מערכת ההפעלה). לאחר זאת בדקתי האם קיימת אפשרות לצאת לאינטרנט, ping החוצה, ואכן מהשרת היתה תקשורת החוצה - עוד ממצא. לאחר מזה הפעלתי ftp והורדתי מהשרת שלי כמה כלים: nmap, plink וכו'. באותה תקופה היה exploit נחמד (MS08-067) שפתח הרבה דלתות (כי בחברות באותה תקופה לא טרחו לעשות עדכוני אבטחת מידע). אז אחרי שהורדתי כלים יצרתי ssh tunnel לשרת שלי עם  port forwarding עבור פורט 445, ומהשרת הפעלתי את ה-exploit והגעתי להרשאות גבוהות. כמובן יצרתי משתמש שלי עם הרשאות ניהוליות, ואחרי זה סרקתי רשת ומצאתי את ה-dc. גם על ה-dc הפעלתי את ה-exploit דרך ה tunnel וגם שם יצרתי משתמש. בשב

בכתבה הקודמת הבטחתי לספר מה עושה הנוזקה שב"הקלדה" הצלחתי להעביר למחשב הפנימי. אז כך. במהלך מבדק חדירה זה ,פיתחתי את הנוזקה על מנת להוציא החוצה קובץ יחסית קטן עד 50k  (בשביל POC ) ובכך להציג יכולת חדירה והוצאת מידע אל התוקף בערוץ היחידי הפתוח – ערוץ ה- VPN  ו-RDP. אני מזכיר את התנאים. הנוזקה צריכה להוציא מידע מהמחשב הפנימי, ממנו אין יציאה לאינטרנט וגם לא ניתן לשלוח מייל החוצה. הערוץ היחיד זה סישן  RDP , ללא copy/paste כלומר נשארת רק דרך הערוץ הוויזואלי. אתם יכולים לקחת כמה דקות לחשוב איך הייתם עושים את זה במקומי. כמו שאמרתי הנוזקה הייתה צריכה למצוא קובץ קטן (בשביל poc ) ולהציג אותו בצורה גרפית, כלומר לבנות ממנו תמונה או רצף תמונות(תלוי בגודל) הכוללות את תוכן הקובץ. לאחר מכן הנוזקה מציגה את התמונות אחת אחרי השניה (על המסך זה נראה כהפרעה באות הווידאו) ובזמן זה הטרויין שמותקן על המחשב הנייד ממנו מתבצעת התחברות ל-VPN, תופס את התמונות ושולח אותן אל התוקף. כשהתוקף מקבל את התמונות הוא ממיר אותן חזרה לקובץ ומציג אותו על מנת להראות שה  POC- הצליח. בהתקפה זו לא הי

כל הקר או pentrationtester או בקיצור pt  טוב, יגיד לכם שזה לא משנה כמה אתם מגנים על העסק, תמיד ניתן לפרוץ אותו. וזה רק עניין של מיומנות וזמן. והמיומנות היא לא רק טכנולוגית, אלא גם social : זיוף תעודות, בילוש וכו'. מישהו  יגיד שזה מדע בדיוני, ויהיה צודק, כי מיומנויות כאלה לא יפעילו נגד סתם חברה ללא ערך (למתחרים או למדינה עויינת או לארגוני הפשע). לכן כדאי להעריך עד כמה המידע והעיסוק של חברתכם חשוב ולמי (במובן השלילי). רוב ה- pt הם טכנולוגיים, שמטרתם לגלות פגיעויות במערכות הפעלה, תוכנות ומערכות אחרות. ואם מוצאים אז מה עושים? מנסים לסגור את החורים הגדולים ואת הבינוניים והקטנים דוחים לאחר כך… ואם אין חורים? או אין אפשרות לבדוק את קיומם, בגלל נסיבות מסוימות ? אז מה קורה אם אין חורים או אין אפשרות לבדוק אותם ? - פורצים בכל זאת. באחת הפריצות שביצעתי ב מבדק חדירה , הייתי צריך לבדוק האם ניתן לעשות משהו דרך חיבור ה- VPN לאותו ארגון. במקרה זה לאחר חיבור VPN היה צריך לעבור 2 טרמינלים ללא COPY/PASTE . אני אוהב אדגר וכאן פיתחתי טרויין עם C & C שהחדרתי אותו ל- LAPTOP של הנ