REDO : מערכת לגיבוי ושחזור נתונים (ועוד הרבה)

רובנו מכירים תוכנות חינמיות לגיבוי, שחזור נתונים (ממחיקות) וחלוקת דיסקים למחיצות. האם לא עדיף להסתובב עם תוכנה אחת שיודעת לעשות הכל ?

זאת המערכת שאני מציג היום : REDO.

על בסיס LIVE ON CD (או דיסק און קי), ניתן לבצע מספר רב של פעולות בצורה מרוכזת.

למה להסתובב עם הרבה תוכנות או דיסקים כשהכל מרוכז ?

מי שקורא את הבלוג שלי באופן קבוע כבר יודע שרוב התוכנות שאני מזכיר חינמיות ו-OPEN SOURCE : תוכנת REDO היא כזאת.

בונוס קטן אך מאוד (מאוד) שימושי : ניתן גם לגלוש דרך המערכת !!! (לאתרים ספציפיים בינתיים אבל נחמד בכל זאת). ניתן גם לסייר בין הקבצים של הדיסק הקשיח (נחמד כשפתאום נזכרים ששכחנו לגבות קובץ מסויים לפני פירמוט).

מומלץ מאוד להוריד ולשמור קרוב לכיס 🙂

תראו מספר צילומי מסך :

קישור להורדה

TrueCrypt חזקה יותר מה-FBI ?

TrueCrypt הינה תוכנה חזקה מאוד להצפנת נתונים (כמובן חינמית ו-OPEN SOURCE) … אפילו ה-FBI לא פורץ אותה !

בנקאי ברזילאי בשם דניאל דנטאס (Daniel Dantas) נתפס ע"י השילטון המקומי ביולי 2008 על יותר עבירות הלבנת הון מאשר פליטיקאי ממוצע בארץ ( 🙂 ).

ה-NATIONAL INSTITUTE OF CRIMINOLOGY (מברזיל) ניסה במהלך חמישה חודשים לפרוץ לנתונים המוצפנים של הדיסק הקשיח של הבנקאי החביב … ללא הצלחה. הם ביקשו עזרה מהארגון היוקרתי האמריקאי, ה-FBI, שהמשיך לנסות במהלך שנה שלמה … עדיין ללא תוצאות חיוביות.

דניאל דנטאס בחר בסיסמא חזקה וארוכה במיוחד ולכן עד היום לא הצליחו לפרוץ את ההצפנה (ניתן ללמוד לקח ברור מהסיפור : תבחרו טוב את הסיסמא שלכם).

בסה"כ כל הכוחות ניסו לפרוץ ע"י שימוש בטכניקות של BRUTE FORCE (ניסיונות "ניחוש הסיסמא" על ידי מערכות חכמות) אך הסיסמא ניצחה 🙂

יש חובבי תאוריות קונספירציות שתמיד יחשבו שה-FBI דיווח בכוונה שלא הצליח לפרוץ למרות שהוא כן מסוגל …

אישית אני חושב שבוצעה עבודת יחסי ציבור נהדרת ל-TrueCrypt ושהתוכנה מתאימה לרוב הצרכים האזרחים (פרטיים ועסקים).

אולי בעתיד אכתוב מדריך על התוכנה … בינתיים אפשר להנות מהידיעה 🙂

קישור למקור הכתבה

תודה ל-izualic על הידיעה

רוצים IDS חינם ? תנסו SNORBY

אחת המערכות המורכבות ליישום בארגון הינה מערכת IPS/IDS. ישנם מוצרים מסחרים רבים ומעט פתרונות OPEN SOURCE חינמיים.

כתבה זו לא נועדה להסביר מהן מערכות IPS/IDS (אני מפנה את הקורא גם לפוסט של הבלוג של גיא מזרחי וגם למאמר של מגזין DIGITAL WHISPER) אלא להציע פתרון לא מוכר בארץ.

הרבה אנשים מכירים את SNORT, מערכת IDS חינמית, OPEN SOURCE ונפוצה בעולם.

רוצה IDS חינם ? תתקין SNORT (דברי הצדיק …)

אישית, אני חושב שמעט ארגונים מעוניינים ביישום פתרון שגם קשה להתקנה (אני מזמין את כולכם להתקין SNORT כדי להתרשם) וגם קשה לתחזוקה. SNORT הינו כלי מתאים לאנשים מקצועים עם ידע טוב בלינוקס. לא מתאים לארגון קטן או בינוני (אין כוח אדם מקצועי מספיק) ועוד פחות מתאים לארגון גדול (שיעדיף להשקיע בכלי אקטיבי עם יכולות IPS).

יש אלטרנטיבה ?

ניתן ליישם את SNORBY בצורה פשוטה ומהירה. SNORBY מגיע מוכן ומוגדר בצורה בסיסית עם SNORT ועם ממשק נוח למשתמש. ניתן לקבל תמונה מהירה ויפה של מה שקורה ברשת שלנו עם מינימום השקעה של זמן ושל כוח אדם מקצועי (ובלי השקעה כספית).

תראו את הסרטון הבא כדי להבין עד כמה ממקש הניהול מגניב וידידותי :

Snorby – All about simplicity. from Dustin Webber on Vimeo.

כמה זמן זה לוקח ?

לא תאמינו … אבל כ-10/15 דקות בלבד !!! (כולל 5 דקות הורדה של המכונה עצמה)

מדריך להתקנה

1) יש להוריד את הקובץ ZIP על התחנה שלנו (קישור להורדה)

2) יש לפתוח את הקובץ ZIP עם כל תוכנה מתאימה (מומלץ 7ZIP החינמי)

3) יש לבצע קליק כפול על הקובץ VMX (שם הקובץ יכול להשתנות בהתאם לגרסה)

4) יש להפעיל את המכונה הוירטואלית

5) לאחר עליית המכונה, יש לבדוק את הכתובת שהתקבלה מה-DHCP

6) יש לבצע LOGIN ב-SSH (או במכונה עצמה) עם משתמש ROOT וסיסמא t00r (מומלץ לשנות את הסיסמא מייד)

7) יש לעדכן את ה-RULES ע"י הפקודה הבאה :

updatesnortrules

8) יש לפתוח דפדפן https://ipoftheserver:8080

וזהו ! המכונה פעילה וכבר אוספת נתונים. תראו את המסך שקיבלתי לאחר שתקפתי קצת את השרתים שלי במעבדה

אני רוצה להפעיל משרת פיזי

אין בעיה, קיימת גם אפשרות להוריד קובץ ISO ולהפעיל כ-LIVE ON CD.

לסיכום

כל ארגון היום יכול להפעיל את המערכת בצורה פשוטה. ניתן להוציא דו"חות PDF יפים (מומלץ לצרף למסמכים עבור המנהלים).

אם בעבר לקח לי שעתיים להתקין בצורה מאוד בסיסית מערכת SNORT … היום סגרתי את המעבדה שלי תוך 10 דקות.

תורידו ותתקינו ! 🙂

קישורים :

אתר של SNORBY

מקור הכתבה

תרבות השירות בארץ

לא מזמן, קראתי את פוסט בבלוג של CISO שמזכיר את החוצפה ואת ה(חוסר)תרבות בארץ.

פתאום נזכרתי בקטע של סדרת רמזור : התמיכה הטלפונית.

אני מפרסם את הקטע כי נחמד לפעמים לחייך על עצמנו 🙂

ה-WEBMAIL שלי לא מוצפן … וגם שלכם (חוץ מ-GMAIL)

יש לי חשבון HOTMAIL ישן (מאוד) שמאפשר לי לבצע הרשמות לאתרים ובדיקות בלי להשתמש במייל האמיתי שלי.

לפעמים, אני מבצע LOGIN לחשבון שלי כדי "לנקות" קצת את ההצעות לויאגרה ושאר הודעות הספאם החביבות שמגיעות לתיבה.

היום הוא אחד הימים האלה ואני מחליט (עם הרבה אומץ) להיכנס לחשבון הג'אנק. אבל היום שמתי לב למשהו קטן … משהו שלא ידעתי ואני בספק האם כל האנשים שמתשמשים ב-HOTMAIL כמייל הראשי והאישי יודעים עליו :

עבודה באתר HOTMAIL … לא מוצפנת !!!

בעולם בו אפילו גוגל מצפינה את תקשורת המייל שלה (GMAIL), מייקרוסופט לא מצפינה את התקשורת ל-HOTMAIL.

אוקיי … אבל למה לגלות את התופעה רק היום ? אני משתמש ב-HOTMAIL כבר הרבה (מאוד) זמן, אני בדר"כ בודק בכל אתר : האם האתר מאובטח עם כתובת HTTPS (תקשורת מוצפנת). האם נרדמתי (יכול להיות, אני מאוד אוהב לישון) ?

התשובה : לא. אני לא פספתי את הבדיקה. בדף ה-LOGIN של HOTMAIL, הדף מוצפן (ניתן לזהות HTTPS בתחילת הכתובת והפס הירוק המבטיח שהאתר הינו באמת של מייקרוסופט).

—- > המשמעות היא שהעברת פרטי החיבור (שם משתמש וסיסמא) מתבצעת בצורה מוצפנת וזה בסדר כמובן

הבעיה היא שלאחר אימות הזיהוי, אנו מגיעים לאתר HOTMAIL עצמו שעובד ללא הצפנה (כתובת HTTP).

—- > המשמעות היא שכל מה שנכתב, נקרא או נעשה ב-HOTMAIL שקוף לעין החיצונית. כל אחד יכול פשוט לראות את התעבורה ב-CLEAR TEXT בעזרת SNIFFER (אוקיי, לא כל אחד יודע להשתמש ב-SNIFFER אבל האנשים הרעים תמיד יודעים להשתמש בכלים מסורבלים 🙂 ). אם אני יושב בבית קפה עם הלאפטופ שלי וכותב/קורא מיילים … יכולים לצותת לי !

אפשר להוכיח ?

קל להגיד שכל אחד יכול להאזין, אז בואו נראה עד כמה זה פשוט למי שיודע להפעיל SNIFFER.

בזמן גלישה ב-HOTMAIL, הפעלתי SNIFFER (כמוכן השתמשתי ב-WIRESHARK החינמי).

1) כתיבת מייל חדש

שימו לב, כאן אני פתחתי מייל חדש. רשמתי כתובת יעד (הכתובת שלי), נושא ("test http") ותוכן ("bla bla bla")

2) הפעלת ה-SNIFFER

לפני שליחת המייל, אני מפעיל את ה-SNIFFER שלי

3) שליחת המייל

פשוט לוחץ על SEND

4) בדיקת המידע מה-SNIFFER

אני עוצר את ה-SNIFFER ומחפש את השדות הרלוונטיים … וכמובן אני מוצא

למי שלחתי את המייל ?

מה הייתה הכותרת ?

ובסוף, מה היה תוכן המייל ?

הסיכון העיקרי : הדימיון

תדמיינו שאתם יושבים בבית קפה ומתכתבים עם קרובים, תדמיינו שמישהו לידכם מפעיל SNIFFER, תדמיינו שהוא החוקר הפרטי שעובד עבור האישה/הבעל/המעסיק שלכם … תדמיינו ותתחילו להבין מה השמשעות של הצפנה.

למה הבנק שלכם מאפשר לגלוש בצורה מאובטחת וספקי דוא"ל לא ?

סליחה ביל …

אני חייב התנצלות לחברת מייקרוסופט : לא בגלל שמה שכתבתי לא נכון … אלא כי יש עוד הרבה חברות "מכובדות" שמצפצפות על הפרטיות שלנו דרך מערכות מיילים שלהן. מערכות הדוא"ל של YAHOO או WALLA גם לא מוצפנות (ויש עוד הרבה).

אז מה אחותי צריכה לעשות ?

במקרה באותו יום, התקשרה אליי אחותי ושאלה אותי מהו ספק שירות דוא"ל המאובטח. היא טסה לחופשה ורוצה לשמור מידע אישי בחשבון מייל כעותק גיבוי למקרה חירום. אז איפה לשים צילומי דרכון, כרטיסי טיסה או ואוצ'רים למלון ?

האמת היא שלא ידעתי מה להציע לאחותי : האם כדאי לעבוד עם מערכת דוא"ל של האח הגדול (גוגל למי שלא הבין) כי החברה מצפינה את התקשורת (רק גוגל יכולה לגשת לתוכן המיילים בעצם) ? אני באמת לא יודע … כל אחד יעשה את החשבון שלו.

אולי יש כאן מקום ליצירת תקן בינ"ל בנושא ? (קיימים תקנים כמו PCI DSS המחייב את חברות האשראי לעמוד בסטנדרטים סבירים).

אולי כדאי לשקול לעבור לשירות של דוא"ל מאובטח IPOST של דואר ישראל : טרם בדקתי את השירות אבל נשמע מעניין (פרט לכך שהמידע נגיש לדואר ישראל, למי שמפעיל את השירות ולגופים המקבלים גישה בצורה חוקית).

התגובה של מייקרוסופט (או איך לסיים כתבה עם חיוך) :

יצרתי קשר טלפוני עם מוקד שירות הלקוחות של מייקרוסופט ישראל ושאלתי למה השירות לא מאובטח והאם יש צפי לשינוי המדיניות.

המוקדנית הפנתה אותי לגורם מקצועי דרך הצ'אט של מוקד השירות. בצ'אט המליצו לי ליצור קשר טלפוני … עם מוקד השירות 🙂

לאחר שהסברתי שהגעתי לצ'אט דרך המוקד ולאחר בדיקה מהצד שלהם, הציעו לי לשלוח מייל לצוות של HOTMAIL.

אני חייב לתאר את התהליך כי יש כאן תרגום מייקרוסופטי של CATCH22 :

1) אני מקבל מייל עם הסבר (לאן לפנות כדי לשלוח מייל פרטי לגורם HOTMAIL)

2) בלחיצה על הלינק, אני מתבקש להקליד שם המשתמש והסיסמא שלי ב-HOTMAIL או לפתוח חשבון חדש (אבסורד ?)

3) לאחר זיהוי תקין, אני מקבל את המסך הבא :

"אין באפשרותך להשיב לאדם זה עקב הגדרות הפרטיות שלו"

(: NO COMMENTS

Cloudshark : שיתוף קבצי CAP

לאחרונה פרסמתי כתבה על מערכת XPLICO שגם יודעת לבצע SNIFFING וגם יודעת להציג את הנתונים בצורה גראפית ונוחה.

היום אני שואל : מה קורה כשביצענו SNIFFING וקיבלנו קובץ CAP אך לא הצלחנו "לקרוא" את הנתונים ?

התשובה : בדרך כלל, נפנה לחבר/גורם מקצועי ונתייעץ. בעזרת אתר Cloudshark, ניתן לשתף את הקובץ בצורה מגניבה.

באתר נקבל תצוגה בסגנון WIRESHARK (קצת יותר מוגבל אך די דומה) ונוכל לשתף את החוויה עם הגורמים הרלוונטיים דרך אינטרנט.

ניתן לעלות את המידע לאתר דרך הדפדפן, דרך שליחת מייל ואפילו דרך כתובת URL.

לא הייתי מעלה קבצי CAP של הארגון שלי (נושא אבטחת המידע לא ברור באתר …) אבל יש פוטציאל יפה ורעיון מגניב.

נחמד לשתף את המידע בקלות : ניסיתם פעם לשלוח קובץ CAP במייל ? בדר"כ הקבצים גדולים מאוד (ונחסמים) ולא תמיד יש לצד השני SNIFFER זמין כדי לקרוא את המידע.

תשמרו את הכתובת במועדפים 🙂

קישורים

אתר CLOUDSHARK

מקור הכתבה

Xplico : ניטור תקשורת והצגה גראפית

כל איש אבטחת מידע/תקשורת/סיסטם צריך להתמודד בשלב כזה או אחר עם ניטור תקשורת (תקלות, בעיות ביצועים, ניתוח אירועי אבטחת מידע, סתם רוצים לדעת מה קורה ברשת …), במקרים רבים נפעיל תוכנות SNIFFING (לרוב, משתמשים ב-WIRESHARK החינמי).

קשה מאוד לקרוא ולהבין את הנתונים אפילו לאנשים המתורגלים ביותר.

(מישהו מסוגל להבין מי נגד מי ? 🙂 )

ישנה תוכנה חמודה (חינמית וקוד פתוח כמובן) שיודעת לבצע הצגה גראפית של פלט הנתונים ולהציג אותם בצורה גראפית ונוחה לקריאה.

תכירו את Xplico

יכולות המערכת :

מדובר בתוכנה מבוססת לינוקס שמסוגלת גם לבצע SNIFFING בעצמה וגם לנתח קבצי פלט של רוב תוכנות SNIFFING.

ניתן לקבל תצוגה יפה וקלה לקריאה של תקשורת מייל (SMTP, POP3, IMAP וגם WEBMAILS), תקשורת HTTP (זיהוי שמות אתרים, תמונות, וידאו, טקסט …), תקשורת IP קול (SIP, RTP) וכמובן FTP, TFTP, TCP/UDP, MMS, TELNET, IRC.

יכולת מעניינת מאוד היא היכולת לנתח תקשורת HTTP של אתר FACEBOOK.

ממשק הניהול :

מאוד פשוט ויפה לעין



נתוני DNS


נתוני מייל


נתוני גלישה


נתונים GEOLOCATION



נתונים נוספים :

התוכנה פועלת עם בסיס נתונים SQL (תמיכה במספר מוצרים חינמים) וממשק הניהול הינו וובי (WEBY).

התוכנה תומכת ב-IPV4 ו-IPV6.

ניתן להתקין על הפצות LINUX (מומלץ UBUNTU לפי המדריך הרשמי) אך קיימת גם מכונה וירטואלית (ל-VIRTUAL BOX) זמינה להורדה באתר הפרוייקט.

לסיכום :

מערכת פשוטה ונהדרת.

קלה מאוד להתקנה ולהגדרה.

תורידו ותתקינו. בזמן קצר תוכלו להדהים את הבוס שלכם עם גראפים מגניבים 🙂

קישורים :

אתר XPLICO

הורדות

מדריכים (כולל התקנה)

קישור מקורי

מתנה מוסתרת של מייקרוסופט : יכולת WIPE מובנת ב-WINDOWS

בעבר, כתבתי על תוכנת BleachBit שיודעת לזהות את המידע האישי ולמחוק אותו מהמחשב.

נושא מחיקת המידע, במיוחד במערכות NTFS (מערכות מבוססות WINDOWS) כאוב מאוד.

המידע שנמחק ברמת מערכת ההפעלה לא באמת נמחק מהמחשב : כשאנחנו לוחצים על כפתור DELETE (גם כשמרוקנים את סל המחזור), המידע נעלם מהמסך אך נשאר רשום בדיסק הקשיח של המחשב. סה"כ פקודת DELETE פונה לרכיב הניהול של הדיסק הקשיח ומבקשת לשחרר את נפח הדיסק של אותם קבצים ו/או ספריות לצרכים חדשים. בפועל, המידע לא נמחק (עד שננצל את אותם איזורים בדיסק ע"י כתיבה של מידע חדש) וניתן לשחזר אותו יחסית בקלות (תלוי מה עשינו עם המחשב בין רגע המחיקה לבין רגע השחזור) עם כלים רבים שניתן להוריד מאינטרנט (לדוגמא : תוכנת RECUVA ניתנת להורדה בחינם).

חשוב לציין שגם לאחר כתיבה של מידע חדש על אותם איזורים, ישנם כלים מקצועיים שיודעים לשחזר את המידע (לפחות חלקית). חברות רבות מתמחות בשחזורים מסוג זה ואפילו שחזורים מדיסקים שנפגעו פיזית (נשרפו, נשברו …).

מייקרוסופט מכילה במערכות ההפעלה שלה סדרת כלים להצפנה לצרכים שונים (הצפנת ספריות, הצפנת רכיבי זיכרון ניידים …).

אחד הכלים הנ"ל הינו CIPHER. הפקודה שודרגה כדי לאפשר למשתמש למחוק את המידע מהדיסק הקשיח בצורה טובה יותר (שכתוב מספר פעמים על האיזורים עליהם היה רשום המידע).

ניתן להפעיל את CIPHER משורת הפקודות (CMD -< RUN -< START)

להלן הסבר על שימוש ב-CIPHER לצורך מחיקת מידע :

cipher /w:<Directory>
 : יש להריץ את הפקודה הבאה ,C:\TESTFOLDER לדוגמא, אם רוצים למחוק את הספריה

cipher /W:c:\testfolder

לגבי מחיקת כונן שלם, יש להריץ את הפקודה הבאה (כאן בדומא אנו מוחקים את כונן D) :

cipher /w D:\

בבדיקה שלי, מחיקת ספריה ריקה לקחה כ-4 דק'. הסיבה לכך שהמחיקה ארוכה מאוד היא השכתוב של איזורי המידע על הדיסק הקשיח.

אז אם לזכור שני דברים מהכתבה הזו :

  1. כשרוצים להיפתר ממחשב ישן (או דיסק קשיח לא תקין), מומלץ לא לזרוק לפח כי כמעט תמיד יהיה ניתן לשחזר מידע (לפחות חלק). על המחשבים האישיים שלנו, אנו גולשים לבנק, אנו שומרים הרבה מידע אישי ולכן כדאי להיזהר מזריקת ציוד לפח.
  2. כשרוצים באמת למחוק מידע מהמחשב, מומלץ להפעיל תוכנת WIPE שיודעת לשכתב מספר פעמים על הדיסק הקשיח (שוב, מומלץ לעבוד עם תוכנות פשוטות כמו BleachBit)

ניתן להפעיל את CIPHER בסקריפט וזה נחמד 🙂

קישורים :

הסברים של מייקרוסופט על CIPHER

מקור הכתבה