אפשר לחדור גם אחרת

כל הקר או pentrationtester או בקיצור pt  טוב, יגיד לכם שזה לא משנה כמה אתם מגנים על העסק, תמיד ניתן לפרוץ אותו. וזה רק עניין של מיומנות וזמן. והמיומנות היא לא רק טכנולוגית, אלא גם social: זיוף תעודות, בילוש וכו'. מישהו  יגיד שזה מדע בדיוני, ויהיה צודק, כי מיומנויות כאלה לא יפעילו נגד סתם חברה ללא ערך (למתחרים או למדינה עויינת או לארגוני הפשע). לכן כדאי להעריך עד כמה המידע והעיסוק של חברתכם חשוב ולמי (במובן השלילי).

רוב ה-pt הם טכנולוגיים, שמטרתם לגלות פגיעויות במערכות הפעלה, תוכנות ומערכות אחרות. ואם מוצאים אז מה עושים? מנסים לסגור את החורים הגדולים ואת הבינוניים והקטנים דוחים לאחר כך… ואם אין חורים? או אין אפשרות לבדוק את קיומם, בגלל נסיבות מסוימות ?
אז מה קורה אם אין חורים או אין אפשרות לבדוק אותם ? - פורצים בכל זאת.

באחת הפריצות שביצעתי במבדק חדירה, הייתי צריך לבדוק האם ניתן לעשות משהו דרך חיבור ה-VPN לאותו ארגון. במקרה זה לאחר חיבור VPN היה צריך לעבור 2 טרמינלים ללא COPY/PASTE. אני אוהב אדגר וכאן פיתחתי טרויין עם C&C שהחדרתי אותו ל-LAPTOP של הנתקף. הטרויין שידר לי בין היתר צילומי מסך בזמן אמת, וכך הייתי יכול לראות  אם הנתקף התחבר ב-VPN.

לאחר שהתחבר עברנו לשלב ב' - ללהסיט את דעתו מהמחשב לזמן מה. (בגלל שזה היה POC פשוט הנחנו שזה קרה). ובזמן הזה נתתי פקודה לטרויין להחדיר נוזקה למחשב הפנימי. מה שקרה הטרויין פשוט התחיל להקליד דברים. במקרה זה היה קוד עיון שקודד ל-BASE64. ב-WINDOWS יש כלי מאוד נחמד בשם certutil שבין היתר יכול לתרגם BASE64 חזרה לקובץ הרצה. לאחר זמן מה של הקלדות והפעלת המרה ל-EXE הנוזקה הוחדרה פנימה והופעלה.

מה היא עשתה, אני אספר פעם הבאה… אבל מה שרציתי להגיד כאן שלפעמים ניתן לפרוץ ללא פגיעויות, בדרך לגיטימית  ובלי בעיה.

מוגש כחומר למחשבה...

פוסטים פופולריים מהבלוג הזה

הגנה על WEB SERVICES

היום בתעשיה משתמשים הרבה ב-WEB SERVICES עבור אינטגרציה בין מערכות שונות. בשביל תפקוד העסק שימוש ב-WS נהיה סטנדרט כבר מזמן. הבעיה שלא כל הארגונים משקיעים בהגנה על WS האלה. כאן אני רוצה לספר על מה שאני ממליץ באבטחת WS בארגון. בגדול (אבל לא כולם עושים את זה) באבטחת WS צריך לדאוג ל-3 דברים: הזדהות (חזקה) תווך העברת נתונים (מוצפן - SSL) חתימה על המסר ואני מוסיף גם את הסגמנטציה - כלומר פתיחת חוקים מתאימים ב-FW שרק הגורמים הרלוונטיים יגיעו לשרת הנכון. לגבי תווך הצפנה - הכל ברור גם כך, זה חייב להיות מוצפן. בהזדהות אני ממליץ להשתמש ב-CLIENT CERTIFICATE או במילים אחרות בסרטיפיקט X.509. סרטיפיקט זה צריך להיות מונפק ע"י ה-CA הארגוני ולכלול מידע על הזהות שמזדהה לקבלת שירות. הבעיה בפתרון זה שלא כולם יודעים לעשות את זה כמו שצריך. ומה זה כמו שצריך? - זה כמובן בדיקת סרטיפיקט שהוא חתום ע"י ה-CA המתאים (בד"כ מתבצעת ע"י התשתית), אך בנוסף לזה זה גם בדיקת פרמטרים של הסרטיפיקט כגון CN. למה צריך את זה ? מכוון שבארגון מנפיקים די הרבה סרטיפיקטים, ויש סיכוי (במידה ובדיקת CN...
המשך לקרוא

הגנה על Web services 2

בחלק הראשון סיפרתי על הזדהות בהגנה על ה WS. עכשיו אני רוצה לספר קצת על אבטחה בארכיטקטורה של ה WS. אז על מה כדאי לשים לב בארכיטקטורה של WS ? באחד הסקרים שעשיתי מזמן, גיליתי שה-WS עוברים מהאיזור של DMZ אל האיזור של שרתים פנימיים דרך ה FW אך ללא שום הגנה נוספת. כלומר הסיכון כאן שהתוקף במידה ופורץ לאחזור ה-DMZ יוכל בקלות להפעיל WS ב-ESB. אני המלצתי כמקובל לשים XML FW בין הסביבות (ולפעמים מקובל לשים 2), אך בגלל יוקר המוצר (DATAPOWER), לא רצו לשים כלום. ומכוון שאני בעבר בא מתחום הפתוח, איפיינתי אפליקציה שתעשה הגנה בסיסית על ה-WS במעבר בין האיזורים. באפליקציה זו דרשתי את הדברים הבאים: * בדיקת גודל ה-Request * בדיקת Schema Validation * בדיקת RegEx על השדות * הזדהות עם X.509 בין כל ה-WS * שבירת פרוטוקול ל-MQ וחזרה * בדיקת Response על RegEx * בדיקת גודל ה-Response כמובן היו עוד כמה דרישות על log, מיסוך וכו. והאפליקציה עשתה את שלה - נתנה הגנה מינימלית בין הסביבות. זה כמובן לא DP, אבל גם משהו. מכוון שהמוצר לא כלל חתימות התקפתיות, דרשתי גם להעביר את הפניה דרך WAF הפנימי. בצור...
המשך לקרוא

מה נכנס לארגון שלכם ?

תמונה
בהרבה ארגונים קיימת גישה לאינטרנט מהמחשבים קצה ולפעמים גם מהשרתים. ולא כולם לצערי שמים את כל השכבות ההגנה הנדרשות בשביל להגן אל הנכסים הדיגיטליים של הארגון. גישה לאינטרנט לא מבוקרת עלולה לתת לתוקפים אפשרות להוריד קבצים מזיקים לתחנה. זה יכול להתבצע גם בפישינג בדוא"ל, וגם דרך אתרים מתחזים. כדי להתגונן מחדירה למחשבים, חשוב מאוד להשקיע במניעת שלבים ראשונים של שרשרת תקיפה, במקרה זה מדובר ב-Delivery. לכן חשוב לשים את השכבות ההגנה הרלוונטיים. על אילו שכבות אני מדבר ? כמובן זה תלוי בסוג הארגון. למשאל בבנקים הגלישה באינטרנט מתבצעת דרך חוצץ כמו Citrix דרכו (במידה ומטוייב כמו שצריך) ניתן לראות את התוכן של הגלישה אך לא ניתן להעתיקו ולא ניתן להוריד קבצים לתחנה. הגנה זו עם קיום WebProxy הכולל מנועי אנטיווירוס והלבנה בהחלט מבדילים גישה בין רשתות פנימיות ורשת האינטרנט. בארגונים אחרים שלא נדרשים לגישה לאינטרנט מבודדת על ידי הרגולציה, המצבים יכולים להיות שונים. בחלק מהמקומות אני אפילו לא רואה שיש WebProxy, אשר צריך לפחות לחסום את קבצי הרצה להורדה, ולבצע בדיקות אנטיווירוס לקבצים שיורדים לתחנות. כחלק...
המשך לקרוא