יום 0 של כנס TechEd 2013 ה Pre Conference על אבטחה

3 ביוני 2013

נושא האבטחה הופך יותר ויותר חשוב לכולנו מיום ליום, אבל לרובנו אין בכלל מודעות לנושא. אנשים לא שמים לב כמה הנושא הזה קריטי, על אחת כמה וכמה לעשות עם זה משהו. אנחנו נוטים לקבל דברים רבים כמובנים מאליהם. ברור לנו שיש לנו חשמל בבית, אמנם לפעמים יש הפסקות חשמל אבל בדרך כלל זה בסדר. אותו דבר לגבי מים זורמים, ביוב, ושאר התשתיות כמו למשל האינטרנט. רובנו משתמשים בו כל הזמן בלי כמעט להיות מודעים לשימוש היומיומי הזה. הרבה מאתנו מחוברים לרשתות חברתיות, כמעט לכולנו יש כרטיס אשראי אחד לפחות, כשאנחנו רוצים מזומן אנחנו הולכים לכספומט, את מצב החשבון שלנו אנחנו רואים באינטרנט, וכסף לילד שנתקע בלי מזומן אנחנו שולחים לכספומט שקרוב אליו תוך כמה שניות באתר הבנק (אני לא, אני אומר לו שיחזור ברגל הביתה, אבל יש הורים יותר מפנקים ממני). ולמי מאתנו אין מחשב נייד לעבודה או למשחקים, ומה עם טלפון סלולרי ? בטח שיש לכם. מאחורי כל מה שהזכרתי נמצאים מחשבים, ורשת שמקשרת ביניהם שבלעדיהם העולם של כולנו לא מתפקד.

לצערנו, אנחנו לא היחידים שנמצאים בעולם הקיברנטי, גם עולם הפשע נמצא שם, וההגמוניות לפשיעה באינטרנט הרבה יותר קורצות מאשר בעולם האמיתי. אתה יושב בלובי של המלון, ובלחיצת כפתור מעביר חצי מיליון דולר לחשבון במדינה אחרת, ששם שותף שלך (או אתה) מושכים אותו. למה צריך לשדוד בנק עם כלי נשק ובאלימות, אם אפשר להיכנס לאתר שלו ולקחת סכומים גדולים יותר בלחיצת כפתור. ולמה שמישהו לא יכנס לאתר חברת הביטוח הפנסיוני שלך, ויעביר את כספי הביטוח שלך במקרה של "אירוע ביטוחי" לחשבון הבנק שלו במקום לחשבון שלך, לך תחפש אותם אחרי שתצא לפנסיה.

קו ההגנה הראשון מפני חדירה למערך המחשבים של כל חברה הם אנשי ה IT שמתחזקים את תשתיות המחשבים של הארגון. ואם להם אין מודעות לנושא האבטחה, לא משנה כמה קציני אבטחה אתה מחזיק בארגון, אבטחה לא תהיה לך שם, בדיוק כפי שלא משנה כמה קציני בטיחות רכב תחזיק בארגון עם הנהג משאית נוסע עם משאית עמוסה מעל המשקל המותר בירידה מהכרמל לנשר. ובתור מי שמסתובב הרבה במערכות ארגוניות ופוגש הרבה אנשי IT בכל דרגי הניהול, אין להם מודעות, והמערכות שלהם פרוצות, כי אבטחה לא נמצאת בסדר העדיפויות הראשון שלהם, אלא במקום כל כך נמוך, שעד שלא יקרה משהו, הם לא יעשו משהו עם זה. ומה שהכי מפחיד, זה שרוב הסיכויים, שגם אם יקרה להם אירוע אבטחה במערכת, הם אפילו לא ידעו את זה.

היום ב Pre Coference, שאותו העבירו ביחד פאולה חסאן ומרכוס, נועד לאנשי IT, והמטרה שלו הייתה לתת להם במשך יום שלם, מידע קריטי בתחום האבטחה, לשימושם היום יומי, ובעיקר להפוך אותם למודעים לנושא. זה לא היה יום של "בואו נעשה עליכם רושם בזה שנפרוץ לכמה שיותר מערכות". כן, היו שם הרבה פריצות, אבל המטרה העיקרית שלהם הייתה הכרות עם כלים, הבנת תהליכים והגברת מודעות. כל תהליך פריצה הוסבר והודגם, יכולות של כלים הוסברו והודגמו, זה לא היה יום להדרכת האקרים (הם כבר יודעים את זה), אלא יום שנועד לתת לאנשי ה IT, ידע ויכולות לבדוק את עמידות המערכות שלהם בראש ובכלים שהאקרים משתמשים. ומאחר ומודעות זה הדבר החשוב ביותר, מי שהיה ביום הזה, כבר ידאג שלמערכות שהוא מטפל בהם, החדירה תהיה קשה יותר. ומה שמרגיז, זה שזה לא מסובך כפי שזה נשמע, העקרונות פשוטים, צריך הבנה של התהליך, מודעות, תשומת לב לפרטים, ולהפעיל נכון את הכלים הקיימים כבר במערכת ההפעלה.

nola 029

בניגוד להרצאות, החומר של ה Pre Conference לא מוקלט, והמצגות לא זמינות להורדה. כך שאני ארחיב בחלק מהנושאים שהועלו ביום הזה, איל"ז, בפוסטים אחרים.

את היום פתח מרכוס בדמו שהראה איך ניתן להעלות לאתר, שמאפשר להעלות אך ורק קבצי PDF, תכנה זדונית ולהפעיל אותה בגלל כמה טעויות אבטחה טיפוסיות כמו הרשאות לא נכונות על פולדרים באתר, שימוש בספריה של צד שלישי שיש בה פרצות ידועות ועוד כמה פרטים קטנים שאף אחד מהם לא היה קורה אם איש ה IT שאחראי לאתר היה עובד לפי הנהלים עם תהליך מסודר של בדיקת האתר אחרי שהוא קיבל אותו מצוות הפיתוח ולפני שהוא העלה אותו לאוויר.

nola 127 (640x481)

לאחר מכן פאולה הראתה איך מנצלים את זה שמרשים למישהו לחבר למחשב זכרון נייד, שטוען למחשב Device Driver שפורץ את המערכת ומתקין עליו רושעה. אחר כך פאולה הראתה, איך משנים אזורים מוגנים ברגיסטרי של המחשב, באמצעות Boot של Windows PE מ CD סטנדרטי של התקנה של Windows ובאותה הזדמנות מכניסים פנימה סוס טרויאני ולבסוף שימוש ב Kernel Debugger במתחבר למחשב עם כבל של  Fire Wire כדי לחדור פנימה. מטרת ההדגמות לא הייתה להראות דרכי פריצה ספציפיות שאותם צריך לחסום, כי יש עוד הרבה דרכים כאלה, המטרה הייתה להדגיש, שאבטחה פיזית ומניעת גישה פיזית למחשב, היא אלמנט חסימה קריטי לפרצות אבטחה. מספיק רגע של חוסר תשומת לב או חוסר מודעות, שנותן לפורץ גישה פיזית למחשב, כדי שהפורץ יוכל לדחוף את הרגל בדלת.

nola 128 (640x480)

אחר כך הגיע תורו של חסאן, שדיבר על רשתות Wi-Fi. עם מיכשור פשוט שהתחבר למחשב שלו, הוא הראה מה עובר כרגע ברשת ה Wi-Fi בסביבה, וכמה מידע לא מוצפן מסתובב חופשי בשטח. הוא הראה שפרוטוקול WAP הישן פריץ ולהוציא ממנו סיסמאות התחברות זה לחם. השלב הבא היה להראות שאנשים מתחברים לכל תחנת Wi-Fi שהם מוצאים כדי לגלוש חינם, ובכך מאפשרים לפורץ להיות Man in the middle ולאסוף מידע מלא כי אין הצפנה. השלב הבא היה להתחזות לנקודת הגישה הרשמית, ולפתות משתמשים להתחבר לפורץ במקום לנקודת הגישה הנכונה. כל ההדגמות האלה נועדו על מנת להסביר למה חשוב חיבור Wi-Fi מאובטח, עם הצפנה טובה, בשיתוף פעולה של Group Policy, כדי למנוע מהמשתמש המצוי ליפול בפח. הראה כמה מודעות ובדרכה בסיסית לעובדים היא דבר חשוב.  הדגיש את הנקודה, שהרבה מהפריצות ניתנות למניעה על ידי הגדרות נכונות ב Group Policy ועבודה מסודרת לפי ההנחיות. מאחר והכלים והתוכנות הללו זמינים בשוק החופשי, אין שום סיבה שמנהל ה IT לא ירכוש את הכלים האלה ויבדוק אם הרשת האלחוטית שלו לא חשופה מדי.

nola 024

בשלב הבא עבר חסאן לרשתות קוויות והסביר כיצד כלים לפיצוח רשתות אוספים מידע על הרשת הפנימית שלך ומתוך הרשת הפנימית שלך. הפגיעות של פרוטוקולי SMB ו LM הודגמה והוסברה ובעיקר הוסבר הפגיעות שהם גורמים בכך שפיצוח הסיסמא דרך ה Hash שלהם, זה תהליך של שניות שכיום אף אחד לא עושה אותו ממילא, כי אם יש לך את התוצאה של ה Hash אתה יכול להשתמש בה ישירות.

פאולה הראתה איך ניתן לשלוח את המידע שהפורץ אוסף מתוך הארגון החוצה מתחת למסך הרדאר של חומת האש כשהיא מוסווית כתשדורת לגיטימית לחלוטין. אחת מהדרכים שהיא הראתה הייתה שימוש ב Ping מפרוטוקול ICMP להעברת המידע החוצה. כשכאן המטרה להסביר שחומת אש וכל מיני תוכנות שחוסמות תעבורה, חסרות ערך במובן הזה והן לא הפתרון הנכון לבעיה של חוסר מודעות.

nola 203 (480x640)

חסאן הרחיב על IP6 ובעיקר על מה שאתה שקורה אם האדמיניסטרטור מתוך חוסר ידע או חוסר רצון לא מקנפג את כתובת ה IP6 של המחשב. מבלי להיות מנהל מערכת חסאן הגדיר תוך דקות רשת IP6 לכל המחשבים בסגמנט, מתחת לאף של הרשת הרגילה, ובאמצעות חיבר את מחשבי המערכת לשרת של הפורץ, ,שנמצא בכלל מחוץ לארגון, מבלי שמישהו בכלל יודע שזה קרה. הפתרון לכל הבעיות האלה היה שימוש נכון ב IPSec, קינפוג של Transparent IPSec שעשה חסאן בפחות משתי דקות חסם כמעט את כל וקטורי התקיפה בתחום הרשתות שהוא הראה לנו. הפתרונות קיימים רק צריך לקנפג ולהפעיל אותם. אחר כך הראתה פאולה, שימוש בכלים של ETW, כדי למצוא מי שולח תשדורות על הרשת.

nola 114 (640x480)

מרכוס ופאולה שיתפו את הקהל באירועים של Social Engineering ועד כמה קל להשתמש בתמימות של אנשים כדי לבצע חדירות. איך משיגים בקלות גישה פיזית למחשב, איך ניתן להציג אתר כאילו הוא אתר החר, דוא"ל-ים שמתחזים ומפתים אותך לעשות דברים שאסור לעשות כמו ללחוץ על קישור או להפעיל רושעה. כלים חומרתיים כמו עכבר או לוח מקשים שמתחברים ועושים דברים לא בדיוק לפי מה שחשבת וכו'.

כיסיתי בקושי חצי יום, וגם ככה כתבתי יותר מדי. אז אני עוצר כאן ואמשיך בנושא הזה איל"ז.

לכל החוויות שלי מהכנס גשו לקישור הבא.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *