כאן תמצאו מדריך מקיף במיוחד בכל הקשור לפריצת סיסמאות.
נדרשת הבנה טכנית ותאורטית מינימלית לקריאת המדריך.
מזכיר שאסור לפרוץ סיסמא ללא רשות 🙂 (אם למישהו לא היה ברור).
החומר מעניין מאוד כך שכדאי לשמור את הקובץ קרוב קרוב …
תהנו
כאן תמצאו מדריך מקיף במיוחד בכל הקשור לפריצת סיסמאות.
נדרשת הבנה טכנית ותאורטית מינימלית לקריאת המדריך.
מזכיר שאסור לפרוץ סיסמא ללא רשות 🙂 (אם למישהו לא היה ברור).
החומר מעניין מאוד כך שכדאי לשמור את הקובץ קרוב קרוב …
תהנו
בכנס DEFCON השנתי מתקיימות תחרויות שונות ומשונות בכל הקשור לעולם ההאקינג ואבטחת המידע.
השנה (2010) הוחלט לפתוח במירוץ מעניין על רקע הנדסה חברתית (Social Engineering).
הרעיון פשוט : כמה מידע פנימי ניתן לסחוט מעובדים של אחת החברות הגדולות בשיחת טלפון קצרה ?
התוצאות מפחידות …
מטרות התוקפים היו עובדים של אחת מ-500 החברות הגדולות בארה"ב ("Fortune 500").
מארגני התחרות איפשרו למתחרים לשבת מול הקהל, מאוחרי זכוכית ולבצע את השיחות בצורה חופשית.
הנחיות התחרות היו די ברורות : אסור לבקש מידע עסקי או לא חוקי (סיסמאות, מספרי אשראי, בעצם שום מידע שיכול לשמש כראיה משפטית).
אסור להפעיל יכולות מבוססות על תוכנות צד שלישית (וירוסים, סוסים טרויאנים …).
מותר לקבל כל מידע אחר בעזרת יכולות הנדסה חברתית (מידע על מערכות הפעלה, אנטי וירוס …).
מותר לבקש מהמותקף לגלוש לאתר ברשת.
במידה והתוקף עובר על ההנחיה, הוא פשוט נפסל.
הערה קטנה : גם מידע פורנוגרפי נחשב כלא תקין 🙂
הפרס הראשון היה מוצר IPAD ובמה ב-PODCAST של אתר social-engineer.org.
הותקפו 135 אנשים מתוך 17 מהחברות הגדולות בארה"ב (כולל CISCO, MICROSOFT, COCA COLA, PEPSI, FORD …)
96% מהמותקפים "נפלו" ומסרו מידע פנימי
כמחצית מהחברות עדיין עובדות עם INTERNET EXPLORER 6 הלא מאובטח
100% מהמותקפים שהתבקשו לגלוש לאתר חיצוני … הסכימו וגלשו
רק 5 מותפקים סרבו למסור פרטים והם כולם … מותקפות (נשים)
1 ) הצלחה כמעט מוחלטת של התוקפים : שוב הוכחה שיש בעיה רצינית בהגנה מפני הנדסה חברתית. מודעות העובדים הינה הנקודה המרכזית בנוסחה.
חברות חייבות להשקיע משאבים בהדרכה. כמו כן, מדובר בתהליך ולא רק בהדרכה חד פעמית בכניסה לחברה : חייבת להיות תוכנית מודעות לכל אורך תקופת ההעסקה של העובד.
2 ) איך יתכן שרוב החברות עדיין עובדות עם IE6 ? ככל הנראה בשל העלויות הגדולות והמשמעויות של שדרוג הדפדפן. זהו הסבר אך לא תירוץ לעובדה שאותן חברות מטרות פוטציאליות להרבה פגיועיות על בסיס דפדפן.
3 ) 100% מהאנשים שסירבו למסור פרטים הינן נשים : האם יש קשר עם מודעות ? התוצאות מכוונות לתשובה חיובית למרות ש-135 ניסיונות לא מוגדרים כמייצגים. בכל זאת, יש כאן מקום לביצוע בדיקה רצינית של התופעה כדי לנסות להוציא תובנה מהתוצאה הלא צפויה של התחרות.
שחזור המידע הינו אחד הנושאים הקריטיים ביותר באבטחת המידע : פגיעה בזמינות ושלמות המידע יכולה לגרום לאסון גם בעבודה (פגיעה בעסקים, איבוד נתונים …) וגם בבית (תדמיינו שכל התמונות המשפחתיות נמחקו פתאום).
חייבת להיות בכל ארגון התייחסות ברורה ומסודרת לכל הקשור ל-BC (המשכיות עסקית) ול-DRP (תוכנית התאוששות מאסון).
בעבר הזכרתי את REDO כפתרון שחזור נקודתי והיום אני מציג את UnErase, פתרון שחזור של חברת O&O הידועים בעיקר בעקבות כלי ה-DEFRAGMENTATION שלה (או בעברית "איחוי" 🙂 ).
תכירו את O&O UnErase : הכלי מאפשר שחזור נתונים ברמת תחנת עבודה בצורה טובה ומהירה.
מספר מאפיינים של התוכנה :
הכלי הינו מסחרי (כ-30$) אבל החברה מספקת לאחרונה רישוי בחינם לאחר רישום קצר.
להלן קישור דף קבלת הרישוי חינם (קוד הפעלה מתקבל לאחר מספר דקות במייל).
אחת התכונות הנדרשת למנהלי רשתות היא יצירתיות : איך ניתן לנהל רשתות מחשבים מרחוק ובצורה מרוכזת ? זאת שאלת המיליון (דולאר כמובן 🙂 ) …
כמעט כל יום מתעסקים מנהלי רשתות בשינוי מדיניות ברשת (בעיקר GPO) ובהפצת עדכונים חדשים. אם קל לנהל ACTIVE DIRECTORY מתחנות ניהול, הרבה יותר מסובך לנהל תחנות מרוחקות שמקבלות את השינויים. לפעמים חשוב לבצע שינוי במהירות על תחנה/ות ספציפית/ות.
בגדול אין כלי מובנה ל-ACTIVE DIRECTORY, ניתן למצוא שיטות דרך סקריפטים אבל לא קל לתחזק ולהפעיל.
תכירו את SpecOps Gpupdates : כלי ניהול פשוט וחינמי.
לאחר התקנה בסיסית על תחנת ניהול (NEXT, NEXT, NEXT), ניתן לבחור מחשבים מסויימים ב-ACTIVE DIRECTORY FOR USERS AND COMPUTERS ולהפיץ שינויים כגון : GPO, הגדרות WINDOWS UPDATE (כולל תמיכה ב-WSUS). ניתן גם לאתחל מחשבים מרחוק או סתם לכבות אותם.
קליק ימני על המחשב וניתן לבחור את הפקודה הרלוונטית
הכלי ניתן להורדה בחינם מאתר היצרן.
ניתן לרכוש את הגרסה המלאה בתשלום (99$ בזמן כתיבת כתבה זו) עם אפשרות לתזמונים אוטומטיים, להגדרות מתקדמות ולתמיכה בסקריפטים (כאן טבלת השוואה בין הגרסאות).
תורידו ותתקינו, הכלי מאוד שימושי בעיקר עבור ארגונים קטנים או בינוניים.
מי זוכר את מ"ק 22 ? סדרה סאטירית על צה"ל בסגנון "South Park".
פתאום נזכרתי בפרק בו נפרץ חדר הטילים הגרעינים ע"י מחבל : האזעקה מופעלת ותראו מה קורה :
מה ניתן ללמוד מהמקרה :
הקטע מצחיק אבל הזכיר לי מספר מקרים אמיתיים בהם אבטחת המידע נכשלה בגלל הסתמכות על הטכנולוגיה בלבד.
תזכרו : אבטחת מידע הוא לא רק עניין טכנולוגי
לרוב האנשים ברור ש-FACEBOOK הינה דרך נהדרת לאסוף מידע אישי על כולם.
אבל האם ידעתם שבעזרת FACEBOOK ניתן לקשר בין כתובת מייל לבין אנשים ?
עצוב לראות עד כמה זה פשוט …
1) כנסו לדף ה-LOGIN של FACEBOOK
הקלידו את כתובת המייל הרצוייה וסתם סיסמא
2) גלו מי עומד מאחורי הכתובת (שם מלא ותמונה)
שוב הוכחה ש-FACEBOOK הינה מערכת חודרנית ומסוכנת לפרטיות
"הטיפ" כבר לא עובד – הנושא טופל ע"י FACEBOOK
מנהל אבטחת המידע חייב לוודא שקיימים לוגים לרוב הפעולות של המערכות.
לצערינו הרב, לא תמיד נושא הלוגים מובן למפתחים/אנשי סיסטם/אנשי תקשורת … ואנו נאלצים לחפש פתרון לסוגיה לאחר פיתוח או שינוי במערכות.
מערכות ההפעלה של WINDOWS מאפשרות לייצר קבצי לוג פשוטים (וחינמים 🙂 ) על בסיס קבצי טקסט (txt).
1) ייצרו קובץ על שולחן העבודה שלכם עם סיומת txt
2) פתחו את הקובץ (בעזרת NOTEPAD או כל כלי עורך אחר) והקלידו LOG. (אותיות גדולות)
3) שמרו וסגרו את הקובץ. פתחו אותו מחדש תוך כדי צעקה "הוקוס פוקוס" (לא עובד בלי הצעקה 🙂 )
4) הקובץ רשם את התאריך ואת שעת הפתיחה בצורה אוטומטית
5) שמרו את הקובץ ופתחו שוב (עם הצעקה כמובן) … ושוב התאריך ושעת הפתיחה התווספו
השמיים הם הגבול 🙂
ניתן לשלב את המנגנון באפליקציות כדי לרשום זמני שינוי, ניתן להפעיל כסקריפט בסוף פעולה, ניתן לחשוב על עוד מיליון דרכים יצרתיות 🙂
"הטיפ" רלוונטי לכל מערכת הפעלה מבוססת מייקרוסופט.
לפני מספר ימים, הייתי בהרצאה של איציק כוכב (מנהל אבטחת המידע של שירותי בריאות כללית). הוא הזכיר את הממדים הענקיים של מה שאנו קוראים "אינטרנט". חשוב בעולם אבטחת המידע לזכור את עצמת הנתונים.
למי שלא יודע :