Confessions Of A Dangerous Mind

Install MySQL 5.1 on Debian 5.0.3 HOW-TO

2009-10-30T14:49:00.001+02:00

So i have seen some posts going on the Internet regarding problems People are having, trying to install MySQL on Debian, so i decided to give it a go – and install the latest GA MySQL on the latest Debian.

I am assuming that this is a dedicated Database server machine , so i installed it from scratch , using only the first CD image of the Debian 5.0.3 installation.

Just follow the Steps:

1. install debian 5.0.3 from cd-1 , when choice of what to install ,
   leave only "system" so its nice and small
2. edit /etc/apt/sources.list and add to it ->
       deb http://packages.dotdeb.org lenny all
       deb http://http.us.debian.org/debian stable main contrib non-free
3. apt-get update
4. apt-get install openssh-server
5. apt-get install mysql-server-5.1

Thats about it.

הזמנה – הרצאה על אבטחת מסדי נתונים, במיקרוסופט ישראל

2009-08-28T15:14:00.001+03:00

לפני כחודשיים פנה אליי ירון חקון, מנהל הפורום לאבטחת אפליקציות במיקרוסופט ישראל וביקש ממני לבוא ולהרצות על אבטחת מסדי נתונים , איומים ודרכי התמודדות… לירון אי אפשר לסרב …, אז כמובן שנעניתי בחיוב :)

ביום חמישי הקרוב – 3 לספטמבר 2009 , במשרדי מיקרוסופט ישראל שברעננה , אעביר הרצאה בנושא TOP 10 DB Threats.

הרשמה לאירוע :

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032422463&culture=he-IL

הערה : מי שרוצה לבוא לשמוע גם קצת על איך Imperva ניגשת לאבטחת מסדי נתונים, זה המקום.

איך להתקין Windows 7 מ USB DiskOnKey

2009-08-15T19:53:00.001+03:00

אחד הדברים שאני הכי אוהב לעשות זה למצוא דרכים מעניינות ובעיקר מהירות לבצע פעולות אפילו טריוויאליות כמו התקנת מערכת ההפעלה. מאחר ואני משתמש במחשב נייד של Lenovo מדגם X200, אשר מגיע ללא כונן DVD/CD – החלטתי לבדוק כיצד ניתן לבצע התקנה של Windows 7 מכונן USB.

הפלא ופלא , כל ההתקנה לקחה 8 דקות בזכות הפעולה המהירה של קריאה מכונן Flash.

בכל מקרה, החלטתי לשתף מדריך קצר שמסביר איך להכין USB DiskOnKey להתקנת Windows 7

נצא לדרך :

עלינו להכין מראש את הדברים הבאים :

1. דיסק און קי בגודל 4 ג’יגה אשר נמחק את כל תוכנו בתהליך

2. דיסק התקנה ( DVD ) של Windows 7 ( אגב , גם Vista אני מתקין ככה , אם בכלל )

3. כ20 דקות מזמנכם הפנוי.

נעבוד שלב שלב :

1. יש להכניס את הDOK – קיצור ל Disk On Key לחיבור הUSB

2. יש לפתוח CMD במחשב עם הרשאות Administrator

3. יש להקיש DISKPART ואנטר ולהמתין לשורת הפקודה המתאימה

4. כעת יש להריץ LIST DISK ולרשום בצד את מספר הדיסק שהוא הUSB

אצלי זה היה DISK 5 , אם אצלכם שונה ,אז נא להתייחס בהתאם עם הפקודות הבאות.

5. כעת יש להריץ את הפקודות הבאות ברצף :

SELECT DISK 5

CLEAN

CREATE PARTITION PRIMARY

SELECT PARTITION 1

ACTIVE

FORMAT FS=NTFS

( שימו לב שתהליך הפורמט יכול לקחת עד 5 דקות כי זה Low Level Format )

ASSIGN

EXIT

7. כעת נכניס את הDVD של Windows 7 לכונן שהאות שלו היא במקרה שלי T , כמו כן האות אשר קיבל הDOK שלי היא Y

8. באמצעות שורת הפקודה נבצע את הפקודות הבאות ( בהתאמה לאותיות )

T:

CD BOOT

BOOTSECT /NT60 Y:

9. כעת יש להעתיק את כל הקבצים מהDVD לכונן הUSB בהעתקה פשוטה.

10. סיימנו.

הערה : כדי להתקין מכונן הUSB , יש לשנות את סדר העליה כך השהמחשב יעלה מכונן הUSB.

בהצלחה !

iSCSI Storage Initiator / Target in a Linux Environment

2009-06-19T14:41:00.001+03:00

I have decided to share a short technical experience that i had recently. so in my pursue of a way to build a Home Linux Storage System , and also have a Software iSCSI interface to connect to it , since my home setup of hardware wont suffer an HBA addition . i did some research around sofware iSCSI. and although it is CPU Intensive, this might assist those of you that have a need for external disks.

the concept was to have a central home storage , have only small disks on my lab computers that will just run the thin OS , and then mount the drives from a central server – to which i connected a 1000/100/10 Switch just for data.

so the lab was divided into two.

1. A Linux Server that owns Physical Drives and serves as an iSCSI Target.

2. A Linux Workstation that needs to mount an external iSCSI disk Initiator.

1. How To Build The Linux Storage Server :

Install CENTOS 5.1
- yum update ( to update the OS to the latest )
- yum install kernel-devel ( optional )
- open firewall ports
- rpm -ivh iscsitarget-0.4.15-4.el5.i386.rpm
- rpm -ivh iscsitarget-kmdl-2.6.18-128.1.10.el5-0.4.15-4.el5.i686.rpm
- mkdir /home/iSCSI
- dd if=/dev/zero of=/home/iSCSI/LUN0 bs=1M count=512    ( 512 is size of disk in MB)
- vi /etc/ietd.conf and add the following lines
      Target iqn.2009-06.com.example:mydisk
      IncomingUser username password
      OutgoingUser username password
      Lun 0 Path=/home/iSCSI/LUN0,Type=fileio
      Alias mydisk
      InitialR2T Yes
      ImmediateData Yes
      MaxOutstandingR2T 8
- vi /etc/initiators.allow
      add -> ALL ALL ( note : This is an access list )
- reboot ( to make new kernel appear and load the module )
- /etc/init.d/iscsi-target restart
- validate in tail -f /var/log/messages

2. How To Have The Initiator Mount The Drive On The Workstation :

( my workstation is also a centos in this case )

- rpm -i iscsi-initiator-utils-6.2.0.868-0.18.el5.i386.rpm ( this is the util )

- vi /etc/iscsi/iscsid.conf
    #enable the following :
        node.session.auth.username = username
        node.session.auth.password = password
        discovery.sendtargets.auth.username = username
        discovery.sendtargets.auth.password = password
- /etc/init.d/iscsi start
- iscsiadm -m discovery -t sendtargets -p <ip of server>
- /etc/init.d/iscsi restart
- tail -f /var/log/messages --> to find the device representation
- fdisk /dev/sdd --> if the disk is sdd ...
        n primary partition
        w write table
- mkfs.ext3 /dev/sdd1
- mkdir /mnt/iscsi
- mount /dev/sdd1 /mnt/iscsi
- chkconfig iscsi on --> to mount at boot time auto
- vi /etc/fstab
         add line -> /dev/sdd1 /mnt/iscsi ext3 _netdev 0 0

by the way , mounting an iSCSI using Windows Vista is also an easy task .. play with it :)

Anyway, Thats it.

אינטגרציה בעולם הEnterprise Datacenter

2009-04-18T19:24:00.001+03:00

אחד התחומים המעניינים והמרתקים בעיני , הוא עולם ניהול סביבות Datacenter ( במקרה שלי - מזווית הSecurity בדרך כלל ) והצורך לבנות מערכות ותשתיות שרידות ומהירות מאוד , וגם לשמור על כללים חשובים של שימוש במינימום משאבים ( Green IT ) תוך מתן אותה רמת שירות, וגם לבצע ניטורים מלאים כדי לאתר כשלים מערכתיים לפני שהם קורים , וכמובן לתת מענה לאירועי אבטחת מידע בזמן אמת.

אחד הדברים שתמיד הפתיעו אותי הוא החוסר המשווע במרכזי בקרה שאכן לקחו את הצעד הנוסף לקשר אירועי אבטחה או לבצע אינטגרציה עם מערכות בצורה באמת מלאה אשר מאפשרת לקבל תמונה מלאה על הDATACENTER.

הדרך הכמעט נפוצה מכולם תמיד הייתה לשלוח Email על אירוע אבטחה כאשר הוא קורה - וזאת על מנת לתת לו מענה, אך בעולם של 1000 אימיילים ביום , הכיוון הוזנח ונעזב לטובת SNMP ולטובת SYSLOG אשר מייצרים אירועים רבים בשניה מהמרכות ואותו איש NOC\SOC לא תמיד יכול לבקר כמו שצריך ולוודא אם אכן מדובר באירוע אמיתי ואיך להגיב לו.

לפי דעתי, מוצר אשר מיועד להתחבר לסביבת Enterprise חייב לתת את האפשרויות השונות להתממשקות לכלי SIEM שונים וכלי בקרה שונים בצורת הNATIVE שלהם תוך כדי שנעשית הבנה לפני שליחת האירוע של מהו האירוע, מהי מהותו ומה נדרש לבצע.

כלומר , כאשר מוצר מותקן בסביבת Enterprise עליו לקחת בחשבון הימצאות כלי CMDB למיניהם , כלי SIEM למיניהם ומערכות Availability שונות. אם אינו מתחבר אליהן - מקבלים רק חלק מהתמונה שכנראה ברוב המקרים תיבלע בתוך המכלול.

IP-Expect The IP-Unexpected

2009-02-16T10:12:00.001+02:00

אחד הדברים אשר אנו מחפשים תמיד בפתרון רשתי כלשהו , הוא האימות של כתובת הIP האמיתית שמגיעה ממקור המשתמש הסופי ( לגיטימי או האקר ). עם זאת , ישנה בעיה ידועה כאשר כל מערכת אבטחת מידע יושבת מאחורי Proxy כזה או אחר.

הסיבה לבעיה נעוצה בעובדה ש Proxy ( או Load Balancer ), שובר את הTCP Stream ומייצג כתובות IP אחרות בחלק הפנימי שלו . לפי כך מערכות קלאסיות כמו IPS או דומות , אינן רואות את כתובות הIP האמיתיות אשר הגיעו מהעולם. לא ניתן לזהות את מקור ההתקפה בצורה קורלטיבית ומכך נגזר - שאי אפשר להגן בצורה יעילה כנגד התקפה על פי זיהוי מקור.

כאן בדיוק נכנס עולם ניתוח האפליקציה.

כאשר Proxy או כל TCP Terminator כלשהו ( כגון Load Balancer ) קיים , אחת התכונות שלו היא הוספה או עריכה של Headers - דוגמא טובה תהיה בHTTP Header. התוספת הרלוונטית במקרה של Proxy תהיה בצורת פרמטר X-Forwarded-For , אשר הינו פרמטר המכיל את הIP המקורי אשר קולף על ידי הProxy והוחלף בכתובת שלו עצמו.

על ידי קילוף הפרמטר והחלפת כתובת ה Source IP בכתובת שהוצגה בפרמטר , ניתן למעשה לבנות חוקים לגישה או להבין אירועים על פי כתובת המקור. מה שמשנה לחלוטין את זווית הראיה של מערכות אשר יושבות מאחורי Proxy.

כמובן רצוי לוודא שקיים Trust מסויים בין הProxy לבין אותה מערכת , כדי שהמערכת תדע שהHeader אכן שונה על ידי הProxy ולא על ידי אלמנט צד שלישי ,כגון האקר שרוצה לעקוף IP Filtering בצורה זו.

A New MSN Phishing ( Identity Theft ) Worm - ENG

2009-01-21T09:26:00.001+02:00

[ A Rewrite of this post in english , due to the importance ]

A few days back , I received a nice gift via my Msn IM account, i got the following link :

http://myparties.piclooks.com/?<user> ( where <user> is the infected sender ). in that case i got it through MSN , so i dont tknow if any other IM is compromised.

when clicking on that link you would get the following web window -

That screen immediately raised my suspicion that there is something wrong here. an unknown site is asking for my MSN / Hotmail credentials in order to provide me a service which natively could be provided via a normal API... so i started checking.

Viewing the client side source code was very nice , cause it shows a very simple - almost child-like html code that is generated via simple tools.

An IP address ( 64.34.154.82 ) was embedded in, which is not something that you would expect from a service, very unusual.

When disecting the URL to its basics and just going to piclooks.com , you would get the following output ( meaning , there is no actual homepage behind this application )

The summary is very simple , this is most probably a phising site , and not a very sophisticated one , which its whole purpose is to steal the online identities of those who are naive enough to play along.

be careful of this hoax.

A New MSN Phishing ( Identity Theft ) Attack

2009-01-19T21:37:00.001+02:00

קיבלתי היום מתנה חדשה דרך הIM שלי , את הקישור הבא :

http://myparties.piclooks.com/?<user> link , כאשר <user> מייצג את שם המשתמש של מי ששלח לי את ההודעה במקור דרך תוכנת הIM , במקרה הזה MSN.

המסך שהתקבל היה :

מה שבעצם העלה חשד הוא שיש אתר לא מוכר , אשר מבקש לקבל את הפרטים של משתמש\סיסמה של ה IM שלי , או של כתובת הדואר שלי ב Hotmail. וזה כמובן נראה חשוד... צפיה בקוד המקור החשידה אף היא מאחר ונראה היה שמדובר בקוד פשוט מאוד של Form אשר סה"כ מנסה לאסוף את המידע.

יתרה מכך , ישנה כתובת IP שהיא - 64.34.154.82 - מוטמעת בקוד המקור , דבר מאוד חריג.

פירוק הURL כדי לגשת ישירות לpiclooks.com הניב את התוצאה הבאה ( כלומר, אין כל Homepage מאחורי האפליקציה )

המסקנה , כנראה שמדובר באתר Phising אשר כל מטרתו היא לאסוף אינפורמציה כדי לגנוב זהויות של משתמשים. היזהרו.

My Blog Is 2yrs Old

2009-01-17T18:21:00.001+02:00

בתאריך ה4 לדצמבר 2006 , העליתי פוסט ראשון לבלוג - הפוסט היה UTM Antithesis .

מאז עברו שנתיים , והיו תקופות בהן כתבתי יותר או כתבתי פחות ... אבל היי .. לא שופטים ביומולדת.

Google Analytics Cookie Jar

2008-12-26T15:15:00.001+02:00

לאלו מכם שעוסקים בתחום אבטחת אפליקציות , או אלו מכם שעוסקים בפיתוח אפליקציות WEB שונות וודאי נתקלתם לא פעם בשאלות לגבי COOKIES שונים אשר קיימים באתרים השונים אליהם אתם ניגשים או מפתחים.

אני מקבל לא מעט שאלות לגבי עוגיות מאוד ספציפיות -עוגיות ה utm שמופיעות תמיד כ :

__utma , __utmb , __utmc , __utmv , __utmz

מדובר למעשה בעוגיות של מנגנון ה Google Analytics של גוגל. למי שאינו מכיר - מנגנון זה הינו מנגנון סטטיסטיקות ומעקב אחרי התנהגות גולשים באתרי אינטרנט אשר ניתן על ידי גוגל.

בכדי להבין את משמעות העוגיות הללו , אפרט את תפקידיהן :

utma

עוגיה זו הינה עוגיה מזן Persistant עם תאריך תפוגה של 2038 . מטרתה היא בעצם לספור את מספר החזרות של משתמש מסויים לאתר, ולכן בפעם הראשונה שניכנס לאתר נקבל SET לעוגיה , ומשם ואילך תמיד יגדל הערך בכל חזרה לאתר.

utmb + utmc

עוגיות אלו עובדות במשותף בכדי לדגום זמן שהיה באתר - כאשר utmb לוקחת SIMESTAMP של זמן הכניסה , וutmc מקבלת TIMESTAMP של זמן סיום הSESSION , או EXPIRATION. ולמעשה משמשות לשם אותן פונקציות ניתוח.

utmv

משמש עבור מערכת הדוחות של Google Analytics , למעשה אם הוגדרו סגמנטציות מסויימות או כל מבנה של חלוקת הדוח על פי התפלחות מסויימת של המשתמשים , המידע הסטטיסטי נאסף באמצעות עוגיה זו.

utmz

עוגיה זו שומרת על REFERRER ועל SOURCE URL שהפנה לאתר , עוגיה זו חיה במשך עד 6 חודשים. מטרתה בעצם לעזור לגוגל לדעת מי המקורות המפנים לאתר, ומקושרת למנגנון הניתוח שלהם לתעבורה ולהבנה ליעילות של KEYWORDS או כל קטגוריה אחרת.

נעבור לסיכונים

מה שחשוב להבין בסופו של יום , הוא שמבחינת פונקציונליות של האתר , אין כל קשר בין העוגיות הללו לבין המנגנון מאחורי האתר , כי הן משמשות מנגנון אשר אינו קשור לאופן הפעולה של האתר... לצורך העניין אם ב Web Application Firewall עסקינן , ניתן בהחלט להכניס את העוגיות הללו ל Ignore משכבת ההגנה , מבלי לחשוש לפגיעה באתר עצמו, ושימו לב - אני מתכוון רק לאתר עצמו..

יש להבין שהמידע בעוגיות אלו יכול להשפיע אם מישהו יבצע TAMPERING או INJECTION על מנגנון הURCHIN של גוגל , ובעצם הנזק הפוטנציאלי הקיים למנגנון ניתוח האתר יכול לעלות לנו בכסף. כי אם למשל אני מזריק לUTMC ערך הגדול ב10 ימים מUTMB , וכמו כן מכניס לUTMZ קישורים לגוגל עם מילות חיפוש לא נכונת .. ואני מבצע זאת על ידי מניפולציה על גבי מספר רב של מחשבים - אפשר פוטנציאלית לפגוע באמינות המידע שאנו מקבלים מהמערכת ולגרום לבעל האתר להשקיע משאבים וכסף במקום לא רלוונטי.

אם למשל הזרקתי לאלפי עוגיות ( גם בשימוש מקומי SPOOFED ) מילת חיפוש , נניח XYZ ... בעל האתר יבחין שהמילה XYZ כביכול מביאה אליו יותר נפח תעבורה - ואולי יבחר לשלם עבור השימוש בה לגוגל כדי להופיע בראש רשימות החיפוש וכדומה ... כמו גם למפרסמים באותו אתר. כנגזרת מכך אפשר להבין שהמניפולציה הפוטנציאלית לעוגיות אלו עלולה לפגוע בבעל האתר בצורה עקיפה.

דרך אחת למנוע התקפות כאלה היא על ידי הגנה כנגד COOKIE INJECTION. הגנה מסוג זה בנויה בעצם על מעקב אחרי פקודות SET של COOKIE בדרך כלל. הכוונה היא שמערכת שאמורה לשבת בין המשתמש לבין האתר מצפה לראות קודם SET לCOOKIE על ידי השרת, אם לא היה כזה SET - העוגיה הוכנסה באופן מלאכותי.

דרך שניה, על ידי COOKIE SIGNING ניתן לוודא שאכן העוגיה מכילה מה שהSETTER התכוון כאשר בנה אותה , ולא שובשו ערכים ( יעיל יותר מANTI-TAMPERING למיניהם , לפי דעתי ).

עוד מידע לגבי מנגנון הGoogle Analytics ניתן לקרוא בספרות הבאה :

Advanced Web Metrics With Google Analytics - Bryan Clifton

Google Analytics 2.0 - Jerri L. Ledford and Mary E. Tyler

Google Analytics Shortcuts - Justin Cutroni

Google's Latest "Get Faster Gmail" Notes

2008-12-22T11:05:00.001+02:00

לאלו מכם שנכנסו ביממה האחרונה לחשבון הGMAIL שלכם , ייתכן ששמתם לב להפתעה קטנה בחלקו העליון של החלון , "Get Faster Gmail". כחובב של כמעט כל דבר שגוגל מוציאה מתחת לידיים שלה - אני כנראה תמיד בין הראשונים לבדוק במה מדובר ... והפעם מעט הופתעתי.

גוגל כותבת בצורה משעשעת אבל חד ערכית , שכלי השימוש בגוגל בתוך דפדפן האינטרנט מנצלים את מלוא יכולות הדפדפן, וככזה ישנם ביצועים גבוהים לדפדפנים "מסויימים" שגוגל מגדירה פי שתיים מאשר בדפדפנים אחרים הקיימים בשוק ( Opera אפילו לא מוזכר ).

בצורה מפתיעה , או לא - גוגל מפנה את המשתמש להוריד Chrome או Firefox בכדי לשפר את חווית הגלישה , עם הערה קטנה למטה -> שבעתיד תהיה גרסה מותאמת לIE8... אם ככה ... אז למה לא לחכות עם הודעה כזו ?

ברוח הדברים - התמונה נלקחה באמצעות IE7.

Your Partner Or Your Problem

2008-12-18T11:36:00.001+02:00

במרוצת השנים האחרונות יצא לי לעבוד עם לא מעט לקוחות ואינטגרטורים שונים אשר בעבר נמנתי על חלקם. עם הזמן שמתי לב למספר דפוסים אשר חוזרים בין פרטנרים שונים, אשר במבט מעמיק יותר - יוצרים בעיות אבטחה לא פשוטות לארגונים בהם ישנן חברות השמה , או כל אינטגטרטור אשר מבצע עבודות אפליקציה ותשתית עבורם.

למעשה, כאשר אינטגרטור עובד עבור מוסד או חברה כלשהי , בחלק גדול מהמקרים - ברשותו שם משתמש וסיסמה לשרתים ולציודים שונים על מנת לתת להם תמיכה. באותה רמה אנשים קבועים אשר נותנים שירות לאורך תקופה אצל לקוחות, מחזיקים ברשותם סיסמאות ושרטוטי ארכיטקטורה רשתית ואפליקטיבית מפורטים - וכל זאת מהסיבה הלגיטימית של מתן שירות והבנה לאורך זמן של תהליכים על מנת לטפל בתקלות שעלולות לקרות.

איפה למעשה נוצרת בעיה... כאשר אותו אדם אשר מועסק על ידי אינטגרטור מסויים , מטפל בפועל במספר רב של לקוחות. ברוב מכריע של המקרים ישתמש באותו שם משתמש וסיסמה למערכות וציודים רבים בצורה חופפת בין לקוחות מסיבות של זיכרון אנושי. מה שקורה הוא שבדרך כלל הסיסמה אינה מורכבת , ולעתים אנשי הארגון אשר מקבל שירות אף יודעים אותה. מה שהופך ארגון לפגיע.

יתרה מכך , חברה משקיעה משאבים רבים בהגנה על שרטוטי ארכיטקטורה , ססמאות , מבני גישה ומודלים של נתוני Database למיניהם, אך אין ביכולתה לאכוף מדיניות על המחשב הנישא ( שאינו חייב להיות מחובר כדי שיהיו עליו נתונים ) של אותו טכנאי , אשר הרבה יותר פגיע לגניבה , ברוב המקרים לא יוצפן , ברוב המקרים ולא מתוך רוע לב - יזלזל במדיניות האבטחה של הארגון מאחר והוא אינו נאכף על ידה.

בצורה אבסורדית , אותו גורם אשר מטפל בנו מבפנים , יש לו גישה הכי גבוהה למערכות מאחר ובד"כ הוא הגורם המוסמך ביותר לטפל בהן - הוא גורם הסיכון הלא מבוקר והפגיע ביותר.

תשאלו את עצמכם פעם , לכמה מהלקוחות של האינטגרטור שלכם יש את אותו משתמש\סיסמה שהוגדר אצלכם ...

האם פתרון OTP מיושם אצלכם ? וגם אם כן , האם גם שם המשתמש ( Something You Know ) הוא אקראי ? כנראה שלא.

Security Assets Interoperability

2008-12-16T23:38:00.001+02:00

שלום לכולם,

אתם מוזמנים לקרוא את הפוסט האחרון שלי בבלוג ImperViews בקישור הבא :

http://blog.imperva.com/2008/12/the-interoperability-of-your-s.html

אלגברה להמונים - בחסות "לרדת בגדול".

2008-09-28T15:19:00.001+03:00

כל מילה מיותרת ,תקראו את הפוסט הזה...

http://cafe.themarker.com/view.php?t=645779

כשתוכנית טלויזיה מחליטה שאתה מפסיד , אתה מפסיד. וזה כנראה לא משנה אם המספרים רלוונטיים או לא רלוונטיים או אם ישנם מספר צופים שסיימו תיכון ויודעים לבצע חשבון פשוט

Google Chrome - My New Browser

2008-09-03T15:50:00.001+03:00

היום התקנתי את ה Web Browser החדש של גוגל - Google Chrome והוא מדהים.

לראשונה מזה לא מעט שנים , אני באמת מתלהב מדפדפן חדש, ומהרבה סיבות... קודם כל הוא קליל בטירוף עם כלי ניהול משימות זיכרון אשר ממש מאפשרות שינוי משמעותי מבחינת התצורה של הדפדפן על המחשב.

יכולות ניהול זיכרון מתקדמות מאוד חשובות לי בסביבה שלי שכן דברים רבים ומערכות רבות שאני עובד איתן הן מבוססות Web2.0 או Ajax ולכן חשוב לי מאוד לדעת שאני יכול לסגור Intance של הדפדפן מבלי לפגוע בשאר החלונות

בנוסף , אם אהבתם את מנהל ההורדות של Firefox , אז פה מדובר במהפכה אשר לוקחת את הטוב והופכת אותו לטוב יותר, שכן גם מערכת ההורדות וגם מערכת המעקב אחרי היסטורית הגלישה מבוססות על יכולות גוגליות מוכרות - אשר מאפשרות לחפש ממש כמו בGoole Desktop את החומר הנדרש לנו.

אחד הדברים שאני מוצא למעניינים הוא ההתבססות על המנוע של Mozilla ועם זאת , השימוש במנוע הParsing והבניה של Apple, וכך למעשה אנחנו מקבלים הכלאה בין האיכויות של SAFARI עם האיכויות של FIREFOX והמצויינות ההנדסית שמאפיינת את Google בכל צעד שלהם.

אגב, לדוברי השפה העברית, הממשק כולו ניתן להסבה לעברית במידת הצורך.

ובנוסף , גוגל כמו גוגל - Less Is More... הכל כלכך פשוט להפעלה , מראה נקי. קניתי.

משתמשים מגנים על משתמשים

2008-08-30T11:26:00.001+03:00

בסוף השבוע שעבר בוצעה התקפה על משתמשי FACEBOOK באמצעות פרצה שהתגלתה במערכת שליחת ההודעות של FACEBOOK, ההתקפה שלחה לכל משתמש מספר הודעות שהגיעו כביכול מחבריהם אשר הכילה קישור לאתר שברגע שהופנה - הוריד קוד זדוני למחשב הגולש.

החלק היפה בכל הסיפור הזה אינו דווקא מבנה ההתקפה , שכן גם כאן יש על מה לדבר - אלא לתגובת הגולשים אשר זיהו די מהר את ההתקפה, ומיהרו לפרסם לכל הפורומים וקבוצות FACEBOOK על ה"וירוס חדש בFACEBOOK" ולפתוח קבוצות תמיכה , ובכך מיזערו לחלוטין את השפעת ההתקפה.

זה הופך להיות מעניין , כאשר משתמשים מצליחים להגן על משתמשים. ואולי בעצם מישהו צריך להקים Taskforce כזה או אחר שמנטר מקומות כמו Facebook וכמו MySpace על מנת לאתר איומים כאלו ולהתריע עליהם בזמן... מישהו מרים את הכפפה ? סימנטק ? מקפי ? טרנד ? מעניין ...

בכל מקרה , זה בהחלט ג'ונגל שם בחוץ... מעניין מה עוד יקרה השנה בהקשר של רשתות חברתיות והתקפות מזנים חדשים.

ImperViews

2008-08-22T00:55:00.001+03:00

Confessions Of A Dangerous Mind הוא בלוג שהתחלתי לכתוב בשלהי 2006 , שהתחיל בכלל באנגלית והוסב לעברית כשראיתי שמעטים הבלוגרים שנותנים תשומת לב לתעשייה הישראלית.

לאחרונה הצטרפתי לצוות כתיבת בלוג אבטחת המידע של חברת Imperva בה אני עובד, הבלוג נקרא ImperViews וכותבים בו אנשים שונים מהארגון.

כתוצאה מכך, אתחיל לפצל את הכתיבה בין הבלוגים.

הזמן יגיד לאן ילך רוב הפוקוס.

בארי.

Confessions Of A Dangerous Mind is a blog ive been writing since the late 2006. This blog that started out as an English blog an later transferred in whole to a Hebrew one in order to pay attention to the Israeli industry.

Lately, I have joined Imperva's blogging team for the Security Blog - ImperViews, which is being written by different people at Imperva organization.

Following that decision, I will probably split my writing between this blog and the ImperViews Blog... Time will tell where I will put my focus.

- Barry.

הגנת IPS כנגד SQL Injection , לא ממש...

2008-08-12T01:24:00.001+03:00

אני אוהב לדבר על מערכות ניתוח תעבורה , ניתוח השכבות ופירוק האפליקציה והפרוטוקולים לגורמים תמיד ריתקו אותי ונתנו לי נופך לעבודתי במרוצת השנים. ועם הכל די התמחיתי בכלי ניתוח התעבורה השונים אשר התחילו מבדיקות RFC למערכות IPS מתוחכמות מבוססות אנומאליה\חתימות דרך אנטיוירוסים רשתיים וכלה כמובן במערכות ניתוח תעבורה לשכבות האפליקציה .

אחד הדברים שתמיד הפתיעו אותי הוא התפיסה הרווחת ( והמוטעית ) אשר אומרת שניתן לחסום SQL Injection במערכות IPS או מערכות FW מתקדמות עם מנגנוני חתימות. ואני כמובן מוחה.

התפיסה היא שעל ידי חיפוש של מחרוזות גנריות בתוך שאילתות HTTP למיניהן , ניתן לאתר את כל\רוב סוגי התקפות הSQL השונות. אך האם כך הדבר ?

משפט SQL הוא משפט אשר עובר Parsing מסויים ולבסוף מעובד על ידי מנגנוני קלט אשר בודקים את תקינותו מבחינת Syntax וקישורו לאובייקטים קיימים בDB , על אותה רגל - משפט SQL Injection יהיה לעולם משפט אשר מנסה לקיים תנאי TRUE. על ידי כך במידה ויש התאמה לתנאי , השאילתה אשר מפיק משפט הSQL תרוץ על השרת...

ואם מדובר במשפטי TRUE ... אז משפט כמו 1=1 הוא נכון , וגם a=a הוא נכון , וגם 100<999 הוא נכון וכן הלאה ... כלומר במילים אחרות --> לא ניתן לייצר חתימה אשר תתפוס כל SQL Injection אלא את הבסיסיים בלבד.

או אולי , לפי הקונספט של לחפש את תווי הגרש ( ' ) בתוך מחרוזת ... והאם השמות "ג'ק" או "ג'ון" אינם שמות הגיוניים ? מובן שכן, ומתוך תפיסה חתימתית - לא יהיה ניתן להזין שמות כאלו לדף מאחורי IPS חתימתי שכזה ...

אנטי - Agent

2008-06-27T16:58:00.001+03:00

ועם כותרת משונה שכזו , נסביר...

במשך השנים, פיתחתי דעה די מוצקת לגבי כיצד אני רואה ורוצה לראות יישום של מערכות אבטחת מידע אשר מטפלות בהגנה על המידע עצמו - צריכות להיבנות מבחינת ארכיטקטורה.

כמו שרבים וטובים יודעים, פתרונות אבטחת המידע השונים המושתתים על טכנולוגיה - מתחלקים כמעט תמיד לשתי תצורות שונות - Host Based מבוסס AGENT , וNetwork Based מבוסס Appliance.

העיקרון תמיד היה פשוט . מצד אחד יש את פתרונות הAGENT אשר תפקידם הוא אכן לבצע פעולות מתקדמות להגנה על תחנת הקצה\שרת , ומצד שני יש את פתרונות הAPPLIANCE אשר נועדו לבצע את כל הבדיקות האפשריות לפני שההתקפה מגיעה בכלל למערכת הקצה.

ובכן , כפי שכותרת המאמר מציינת , אכן אני נגד פתרונות הAgent ברוב המקרים. אני אפילו מאמין שאם ניתן היה לבצע הכל בשכבת הACCESS ולא היו בעיות של גישה פיזית למערכות - לא הייתה הצדקה כלל לפתרונות AGENT.

ומה מניע את עמדתי ?

כאשר אנו מתקינים Agent על השרת, יש לקחת בחשבון שתהיה תמיד פגיעה בביצועים , אבל במקום סתם לזרוק מושגים , אסביר : כאשר Packet מגיע מהרשת לכיוון השרת עליו לעבור דרך מנגנוני ההגנה שהושמו על ידי הAgent שהותקן. כלומר - עלינו לנסות ולהבין מה הפעולה הקשה ביותר שיבצע אותו Agent ? והתשובה היא לא תמיד פשוטה ...

כאשר Packet לגיטימי (!) עובר דרך המערכת ,סימן שהיה עליו לעבור דרך כל מנגנוני הבדיקה , הסטטיסטיקה , הקורולציה וההגנה ולהיות מסומן כתקין כדי לעבור. נניח שאנחנו מדברים על מערכת סטנדרטית ש95% מהתעבורה אליה היא תעבורה תקינה ולא זדונית , כלומר עבור 95% מהתעבורה המערכת הולכת לעבור דרך כל פילטר אפשרי , ורק 5% הזדוני - באופן פארדוסקלי - יעצר אך יעמיס הכי מעט על המערכת.

מובן שאין מנוס ,וישנם דברים שצריכים להיבדק ברמת מקטע מקומי , אך אלו דברים בודדים כגון גישה פיזית, וביצוע פעולות Localhost אשר הינן כ0.5% מסך הפעולות שמבוצעות על השרת ... ואם כך , לפתרון מאסת התעבורה - אין סקאלאביליות בכלל. ופתרון Agent-ONLY אינו יכול להיכנס לנישת פתרון כאשר מדובר בכמויות מידע ובמערכות גדלות.

לעומת זאת , פתרונות הAppliance השונים , נבנים תוך ראיה מסוג שונה --> Throughput.

כלומר , כאשר אנו מטמיעים פתרון בתצורת Appliance אנו לוקחים בחשבון מראש את נפחי התעבורה שעלינו לטפל בהם , ולפי כך בוחרים את הAppliance המתאים לנו , תוך הבנה שאין צורך להשקיע בחומרה מחוזקת לשרתים המאחסנים מידע או אפליקציה.

קחו לדוגמא מערכות AntiVirus רשתיות , ומערכות AntiSpam רשתיות , ומערכות Application Firewall רשתיות ... ממש ניתן לראות את הטיפול המשופר בעומסים על המערכות ועל תעבורת הרשת. וזאת מאחר והטיפול בכל התעבורה המלוכלת ( או נקי ה! ) קורה בשלב לפני הגישה לשרת עצמו.

Firefox 3.0 - רשמים ראשונים

2008-06-18T00:09:00.001+03:00

בשעה טובה ומוצלחת , שוחרר היום לאוויר Mozilla Firefox 3.0 .

במשך החודשים האחרונים אני עוקב בסדרתיות אחר הגרסאות השונות אשר יוצאות , RC אחרי RC ופשוט נדהם לראות איך נראית ומתנהגת אפליקציה אשר בנויה על ידי הקהילה ולא על ידי חברה בעלת משאבים בלתי נלאים כמו מיקרוסופט ( שלא יובן לא נכון , אני ממש לא נגד ).

בכל מקרה, חווית השימוש שלי עד כה היא שיפור משמעותי בהצגת אתרים לעומת הגרסה הקודמת , עם פיצ'רים מצויינים כמו הרישום לRSS או לBOOKMARK ישר משורת הכתובת. ה Gestures עובדים מעולה ( פעולות שנשלטות על ידי תנועת העכבר ) ובאופן כללי המערכת יציבה יותר ( לא קרס לי פעם אחת עד עכשיו , מה שאי אפשר להגיד על המתחרה ... )

מה שכמובן מעניין הוא הפרסום הרב של קרן Mozilla לגבי רמת האבטחה אשר מספק הדפדפן החדש, ולצערי או לשמחתי - רק ימים יגידו האם היה שינוי מהותי עד כדי כך, והאם באמת הדפדפן נבנה לפי מתודולוגיות קוד נכונות אשר ימנעו את כל הבעיות שלמדנו להכיר בשנים האחרונות ( מי יכול לשכוח את הStack Overflow הכיפי שהתגלה לפני 8 חודשים בFF הקודם ).

בכל מקרה, נתחיל לחפור את הFF החדש ממש כמו כולם, אם יש חורים ( ותמיד יש ) אני מניח שנגלה בקרוב.

באותה נימה , ממתין לIE8.

Imperva

2008-05-17T15:08:00.001+03:00

אז מה ?

השמועות בשוק הישראלי מסתובבות כבר זמן מה , רובן היו נכונות מסתבר ... ובכן כעת לאחר שביום חמישי האחרון החזרתי את הנשק והמדים לחברת טלדור תקשורת , אני מצטרף מחר בבוקר לשורותיה של חברת Imperva הישרא-אמריקאית.

ולמה ?

מזה זמן מה שחשתי לא שלם עם עצמי , ועם מיצוי היכולות שלי . ולמרות היותה טלדור תקשורת - חברה מעניינת ביכולות שלה, לא הייתי שלם עם חוסר האתגר שפקד אותי. בכל זאת, ביצעתי את אותו תפקיד ובאותו הscope בשתי חברות שונות.

כשהגיעה הפניה מחברת אימפרבה , היה זה שלב נכון מבחינתי לעשות שינוי מתבקש.

ומי ?

חברת אימפרבה , היא חברת אבטחת מידע אשר מפתחת ומייצרת את מוצרי ההגנה על שכבות הWEB ושכבות הDATABASE ( והקורלציה ביניהן ) המובילה בעולם, ולכבוד הוא לי להצטרף לצוות הSE של איזור EMEA.

ונוסיף.

בנימה אישית יותר - הדבר שהכי שיעשע אותי בחודש האחרון היה הספקולציות בין החברות השונות, בעוד FORTINET היו בטוחים שאני הולך לJUNIPER , ובצ'קפוינט היו בטוחים שאני הולך לFORTINET ובJUNIPER היו בטוחים שאני הולך לצ'קפוינט , ובבזק בינלאומי היו בטוחים שאני הולך לRSA עם אנשים בודדים שחשבו שאני מצטרף לVANADIUM או אולי לISS וחלקם אפילו לCROSBEAM , וCOMSEC הפצה עשו מה שהם עושים הכי טוב - הפצה ... היה מאוד משעשע ... במיוחד לגלות שאחרי שבועיים , כולם - אבל כולם , ידעו , ולא ממני... רק בישראל.

סוס טרויאני באתר Zap.co.il

2008-04-05T16:01:00.001+03:00

במהלך היממה האחרונה קיבלתי התראות שונות כאשר השתמשתי באתר zap.co.il לחיפושים שונים. בכל פעם שאני מחפש משו באתר , אני מקבל התראה ממערכות הESET שלי ומערכת הFORTIGATE שלי על ניסיון חדירה של TROJAN בווקטור התקפה - IFrame.

אגב , אחת התוצאות היא שכאשר אתם מנסים ללחוץ על תוצאות חיפוש מסויימות - יש גרבלינג ללינק , והוא מפנה אתכם למקור חיצוני !

שלחתי מייל למפעילי ZAP בנושא.

בדיקה :

נבדק באמצעות 4 מנועי הגנה שונים , על 4 מחשבים שונים ( בסביבות VMWARE סטריליות )

עדכון [ שעה 17:13 ] :

נשלח מייל למייל האדום של YNET לפני כשעתיים. מאז פוסם כבר בYNET מאמר לגבי ההתקפה על זאפ. אשר מקשרת ישירות לבלוג של Trent Micro לגבי ההתקפה. ( קישור )

נפרץ www.mcds.co.il פעם שניה היום

2008-03-31T17:15:00.001+03:00

טוב , זה כבר מצחיק... אותו אתר נפרץ פעמיים באותו היום ועובר Defacement.

האם יכול להיות שאותו האקר חוזר לאתר בשביל לקשט את העבודה שלו ? או האם יש כאן תחרות בין האקרים ? ... בכל מקרה ... נחמד לגלות שהאתר mcds (ואולי בגלל שהשם נשמע כמו קיצור למקדונלדס) נראה כמטרה טובה להתקפות .

נפרץ האתר www.mcds.co.il

2008-03-31T15:03:00.001+03:00

מזמן לא יצא לי למצוא השחתת אתר, אך הנה ...

האתר mcds נפרץ והושחת על ידי האקר טורקי שמציג עצמו כ El_Muhhamed.

הוכחה :

אגב, מישהו חשב על הקונספירציה האפשרית שהאתרים הללו נפרצים על ידי ישראלים אשר מציגים את עצמם כהאקרים מוסלמים ? האם ייתכן שהדרך הכי טובה היא להאשים בחוץ ולא לבדוק בפנים ? אני בהחלט חושב שמדובר בסוגיה מעניינת שצריך לתת עליה את הדעת.

לקום וליפול על שירות.

2008-03-22T23:34:00.001+02:00

למי שמכיר את עמדותיי בנוגע לשוק אבטחת המידע העולמי, ולמדינות שאינן מוגדרות Emerging Markets בפרט, יודע ומכיר את דעתי לגבי שוק העסקים הסובב סביב עולם אבטחת המידע.

בניגוד לשווקי התקשורת, שווקי הSYSTEM ושווקי הASP ( אירוח אפליקציה והוסטינג ) - שוק אבטחת המידע הוא שוק מאוד מאוד מיוחד ובעל אופי מאוד שונה. הסיבה לכך היא הצורך הבסיסי באמון בגוף שמולך כאשר אתה מבצע פרוייקט , או רכישת מערכות עבור הארגון שלך.

אחד הקשיים הגדולים בתחום אבטחת המידע, הוא שיש המון שחקנים. מעט מהשחקנים הם באמת אנשי אבטחת המידע טובים טכנולוגיים ומשופשפים, בעוד רוב השחקנים ירוקים או מהווה אחוז גבוה של אנשים אשר ביצעו הסבת מקצוע בגלל ההילה והכסף שהתחום נוטה לצבוע עצמו בהם. וזה מה שגם מקשה על השוק לפעול בצורה מאוד משמעותית, שכן בעוד בעבר יכול היה איש טכני ומיומן לרכוש את אמונו של הלקוח בגלל קבלות, היום הסמכות עושות אותו דבר ( ובלי נסיון ! ) מה שגם גורם ללקוחות להאמין בגופים ואנשים שהם , ונהיה כנים ... פחות טובים.

אם פעם יכולתי להופיע לפגישה אצל לקוח חדש או קיים, ומאחר והוא מכיר ביכולות הטכניים שאני מביא איתי - היה לי קל יחסית להעביר את המסר שלי . אך היום - נגמר העולם הזה. את אף אחד לא מעניין אם מגיע אליו מהנדס אבטחת מידע עם 10 שנים נסיון , או זאטוט בוגר מוקד תמיכה עם פה גדול. כי בMoney Time הבדיקה לאיכות האינטגרטור והפתרון השתנו.

שירות.

כאדם שגדל בתחום השירות ושם גם התמקצע על הפנים הטכניים, אני יודע לומר היום מנסיוני שאין זה משנה כמה צבעים יש בלוגו החברה , וכמה יפה האוטו של מנהל הלקוח שמגיע ללקוח או כמה כפתורים יש בחולצות של המהנדסים. אלא בצורה חד משמעית - ארגון קם ונופל על רמת השירות שהוא מציע . על אחת כמה וכמה בתחום אבטחת המידע , שבו שירות לא אמין או לא מקצועי יכול לגרום לנזק של מעבר להשבתה , אלא יכול לגרום לאובדן של נכס שמור וסודי לידי ידיים לא נכונות.

השוק של המחר ( ובחלקו גם של אתמול ) אמור להתבסס על גורם מאוד מכריע בהחלטתו - שירות טכני ורמת Delivery שהאינטגרטור מסוגל לבצע עבור הלקוח הסופי שלו. ובמבחן התוצאה אין זה משנה למי יש עוד הסמכה ושל מי יותר גדול , אלא מיהו זה שהלקוחות שלו מסמנים אותו כמוביל בתהליך של אחרי המכירה ואחרי ההפעלה. מבחינתי אינטגרטור או כל גורם אשר מסוגל לתת מענה מקצועי ביום שאחרי הוא זה שראוי להוביל את המשך הדרך.

כמי שאמון על לא מעט פרוייקטים , אני יודע שכאשר אני מגיע ללקוח והוא מרוצה מהשירות שהוא מקבל ממחלקות התפעול וההקמה , הוא לקוח שימשיך לעבוד איתי על פרוייקטים נוספים. אני גם יודע שכאשר לא כך המצב , המצב יכול להתהפך, ניתן לראות פתאום לקוח בן שנים מתייחס להזדמנות כהזדמנות ראשונה מאחר ונכווה בעבר.

אגב , כדי להישאר נייטרלי - אציין שאחת החברות שמצטיינות בתחום של הבנה של היום שאחרי בעולם הינה BT Counterpane , ( לא , לא BT Infonet . ) שהיא חברת אבטחת המידע שייסד ברוס שנייר , היא בדיוק כזו שהצליחה לקום ולהיות חזקה כפי שהיא כיום בדיוק בגלל שני דברים - השם של ברוס, והשירות חסר התחרות שנותנת קבוצת BT ללקוחותיה.

ותחשבו על זה ...