סוד הסיסמאות : איך לפרוץ אותם (חומר קריאה)

כאן תמצאו מדריך מקיף במיוחד בכל הקשור לפריצת סיסמאות.

נדרשת הבנה טכנית ותאורטית מינימלית לקריאת המדריך.

מזכיר שאסור לפרוץ סיסמא ללא רשות 🙂 (אם למישהו לא היה ברור).

החומר מעניין מאוד כך שכדאי לשמור את הקובץ קרוב קרוב …

תהנו

Cracking Passwords Guide

תוצאות תחרות הנדסה חברתית ב-DEFCON

בכנס DEFCON השנתי מתקיימות תחרויות שונות ומשונות בכל הקשור לעולם ההאקינג ואבטחת המידע.

השנה (2010) הוחלט לפתוח במירוץ מעניין על רקע הנדסה חברתית (Social Engineering).

הרעיון פשוט : כמה מידע פנימי ניתן לסחוט מעובדים של אחת החברות הגדולות בשיחת טלפון קצרה ?

התוצאות מפחידות …

יעד התקיפה :

מטרות התוקפים היו עובדים של אחת מ-500 החברות הגדולות בארה"ב ("Fortune 500").

מארגני התחרות איפשרו למתחרים לשבת מול הקהל, מאוחרי זכוכית ולבצע את השיחות בצורה חופשית.

מגבלות :

הנחיות התחרות היו די ברורות : אסור לבקש מידע עסקי או לא חוקי (סיסמאות, מספרי אשראי, בעצם שום מידע שיכול לשמש כראיה משפטית).

אסור להפעיל יכולות מבוססות על תוכנות צד שלישית (וירוסים, סוסים טרויאנים …).

מותר לקבל כל מידע אחר בעזרת יכולות הנדסה חברתית (מידע על מערכות הפעלה, אנטי וירוס …).

מותר לבקש מהמותקף לגלוש לאתר ברשת.

במידה והתוקף עובר על ההנחיה, הוא פשוט נפסל.

הערה קטנה : גם מידע פורנוגרפי נחשב כלא תקין 🙂

פרסים :

הפרס הראשון היה מוצר IPAD ובמה ב-PODCAST של אתר social-engineer.org.

תוצאות ומספרים :

הותקפו 135 אנשים מתוך 17 מהחברות הגדולות בארה"ב (כולל CISCO, MICROSOFT, COCA COLA, PEPSI, FORD …)

96% מהמותקפים "נפלו" ומסרו מידע פנימי

כמחצית מהחברות עדיין עובדות עם INTERNET EXPLORER 6 הלא מאובטח

100% מהמותקפים שהתבקשו לגלוש לאתר חיצוני … הסכימו וגלשו

רק 5 מותפקים סרבו למסור פרטים והם כולם … מותקפות (נשים)

סיכום ומסקנות :

1 ) הצלחה כמעט מוחלטת של התוקפים : שוב הוכחה שיש בעיה רצינית בהגנה מפני הנדסה חברתית. מודעות העובדים הינה הנקודה המרכזית בנוסחה.

חברות חייבות להשקיע משאבים בהדרכה. כמו כן, מדובר בתהליך ולא רק בהדרכה חד פעמית בכניסה לחברה : חייבת להיות תוכנית מודעות לכל אורך תקופת ההעסקה של העובד.

2 ) איך יתכן שרוב החברות עדיין עובדות עם IE6 ? ככל הנראה בשל העלויות הגדולות והמשמעויות של שדרוג הדפדפן. זהו הסבר אך לא תירוץ לעובדה שאותן חברות מטרות פוטציאליות להרבה פגיועיות על בסיס דפדפן.

3 ) 100% מהאנשים שסירבו למסור פרטים הינן נשים : האם יש קשר עם מודעות ? התוצאות מכוונות לתשובה חיובית למרות ש-135 ניסיונות לא מוגדרים כמייצגים. בכל זאת, יש כאן מקום לביצוע בדיקה רצינית של התופעה כדי לנסות להוציא תובנה מהתוצאה הלא צפויה של התחרות.

קישורים :

הנחיות התחרות

מקור הכתבה

O&O UnErase : כלי שחזור מידע (רישוי חינם)

שחזור המידע הינו אחד הנושאים הקריטיים ביותר באבטחת המידע : פגיעה בזמינות ושלמות המידע יכולה לגרום לאסון גם בעבודה (פגיעה בעסקים, איבוד נתונים …) וגם בבית (תדמיינו שכל התמונות המשפחתיות נמחקו פתאום).

חייבת להיות בכל ארגון התייחסות ברורה ומסודרת לכל הקשור ל-BC (המשכיות עסקית) ול-DRP (תוכנית התאוששות מאסון).

בעבר הזכרתי את REDO כפתרון שחזור נקודתי והיום אני מציג את UnErase, פתרון שחזור של חברת O&O הידועים בעיקר בעקבות כלי ה-DEFRAGMENTATION שלה (או בעברית "איחוי" 🙂 ).

תכירו את O&O UnErase : הכלי מאפשר שחזור נתונים ברמת תחנת עבודה בצורה טובה ומהירה.

מספר מאפיינים של התוכנה :

  • תמיכה בכל מערכות WINDOWS (מגרסת XP ועד 2008R2) – אין תמיכה בלינוקס
  • תמיכה גם ב-32 וגם ב-64 ביט
  • אפשרות שחזור קבצים וספריות בכל מערכת קבצים (פרט ל-exFAT)
  • תמיכה בסביבת רשת

הכלי הינו מסחרי (כ-30$) אבל החברה מספקת לאחרונה רישוי בחינם לאחר רישום קצר.

להלן קישור דף קבלת הרישוי חינם (קוד הפעלה מתקבל לאחר מספר דקות במייל).

SpecOps Gpupdates : ניהול תחנות מרחוק (בחינם)

אחת התכונות הנדרשת למנהלי רשתות היא יצירתיות : איך ניתן לנהל רשתות מחשבים מרחוק ובצורה מרוכזת ? זאת שאלת המיליון (דולאר כמובן 🙂 ) …

כמעט כל יום מתעסקים מנהלי רשתות בשינוי מדיניות ברשת (בעיקר GPO) ובהפצת עדכונים חדשים. אם קל לנהל ACTIVE DIRECTORY מתחנות ניהול, הרבה יותר מסובך לנהל תחנות מרוחקות שמקבלות את השינויים. לפעמים חשוב לבצע שינוי במהירות על תחנה/ות ספציפית/ות.

איך מפיצים GPO לתחנה לפי תזמון ?

בגדול אין כלי מובנה ל-ACTIVE DIRECTORY, ניתן למצוא שיטות דרך סקריפטים אבל לא קל לתחזק ולהפעיל.

תכירו את SpecOps Gpupdates : כלי ניהול פשוט וחינמי.

לאחר התקנה בסיסית על תחנת ניהול (NEXT, NEXT, NEXT), ניתן לבחור מחשבים מסויימים ב-ACTIVE DIRECTORY FOR USERS AND COMPUTERS ולהפיץ שינויים כגון : GPO, הגדרות WINDOWS UPDATE (כולל תמיכה ב-WSUS). ניתן גם לאתחל מחשבים מרחוק או סתם לכבות אותם.

קליק ימני על המחשב וניתן לבחור את הפקודה הרלוונטית

קישורים :

הכלי ניתן להורדה בחינם מאתר היצרן.

ניתן לרכוש את הגרסה המלאה בתשלום (99$ בזמן כתיבת כתבה זו) עם אפשרות לתזמונים אוטומטיים, להגדרות מתקדמות ולתמיכה בסקריפטים (כאן טבלת השוואה בין הגרסאות).

תורידו ותתקינו, הכלי מאוד שימושי בעיקר עבור ארגונים קטנים או בינוניים.

אבטחת המידע היא לא רק טכנולוגיה

מי זוכר את מ"ק 22 ? סדרה סאטירית על צה"ל בסגנון "South Park".

פתאום נזכרתי בפרק בו נפרץ חדר הטילים הגרעינים ע"י מחבל : האזעקה מופעלת ותראו מה קורה :

מה ניתן ללמוד מהמקרה :

  • הסיסמא רשומה על הקיר
  • הסיסמא לא מורכבת 🙂 (1234)
  • המוקד לא מתרגש מהאזעקה ולא מתעניין בנסיבות האירוע (העיקר שהסיסמא נכונה)
  • המוקד לא מתרגש מה"מבטא" ומהביטויים של המחבל

הקטע מצחיק אבל הזכיר לי מספר מקרים אמיתיים בהם אבטחת המידע נכשלה בגלל הסתמכות על הטכנולוגיה בלבד.

תזכרו : אבטחת מידע הוא לא רק עניין טכנולוגי

איך לזהות מישהו על בסיס כתובת מייל (ובעזרת Facebook) ?

לרוב האנשים ברור ש-FACEBOOK הינה דרך נהדרת לאסוף מידע אישי על כולם.

אבל האם ידעתם שבעזרת FACEBOOK ניתן לקשר בין כתובת מייל לבין אנשים ?

עצוב לראות עד כמה זה פשוט …

1) כנסו לדף ה-LOGIN של FACEBOOK

הקלידו את כתובת המייל הרצוייה וסתם סיסמא

2) גלו מי עומד מאחורי הכתובת (שם מלא ותמונה)

מסקנה :

שוב הוכחה ש-FACEBOOK הינה מערכת חודרנית ומסוכנת לפרטיות

עדכון מה-12/08/10 (ערב) :

"הטיפ" כבר לא עובד – הנושא טופל ע"י FACEBOOK

איך מייצרים קובץ לוג ב-WINDOWS ? (מהר וחינם)

מנהל אבטחת המידע חייב לוודא שקיימים לוגים לרוב הפעולות של המערכות.

לצערינו הרב, לא תמיד נושא הלוגים מובן למפתחים/אנשי סיסטם/אנשי תקשורת … ואנו נאלצים לחפש פתרון לסוגיה לאחר פיתוח או שינוי במערכות.

מערכות ההפעלה של WINDOWS מאפשרות לייצר קבצי לוג פשוטים (וחינמים 🙂 ) על בסיס קבצי טקסט (txt).

איך עושים ?

1) ייצרו קובץ על שולחן העבודה שלכם עם סיומת txt

2) פתחו את הקובץ (בעזרת NOTEPAD או כל כלי עורך אחר) והקלידו LOG. (אותיות גדולות)

3) שמרו וסגרו את הקובץ. פתחו אותו מחדש תוך כדי צעקה "הוקוס פוקוס" (לא עובד בלי הצעקה 🙂 )

4) הקובץ רשם את התאריך ואת שעת הפתיחה בצורה אוטומטית

5) שמרו את הקובץ ופתחו שוב (עם הצעקה כמובן) … ושוב התאריך ושעת הפתיחה התווספו

מה עושים עם קובץ ?

השמיים הם הגבול 🙂

ניתן לשלב את המנגנון באפליקציות כדי לרשום זמני שינוי, ניתן להפעיל כסקריפט בסוף פעולה, ניתן לחשוב על עוד מיליון דרכים יצרתיות 🙂

"הטיפ" רלוונטי לכל מערכת הפעלה מבוססת מייקרוסופט.

מהו האינטרנט (מספרים) ?

לפני מספר ימים, הייתי בהרצאה של איציק כוכב (מנהל אבטחת המידע של שירותי בריאות כללית). הוא הזכיר את הממדים הענקיים של מה שאנו קוראים "אינטרנט". חשוב בעולם אבטחת המידע לזכור את עצמת הנתונים.

למי שלא יודע :

  • יש כיום יותר מ-1.8 מיליארד אנשים מחוברים בעולם
  • 18 מדיניות לא מחוברות כלל (מעניין מהן מהדינות 🙂 )

מקור הכתבה