עבור אל תוכן

אבטחת מידע - המדריך המקוצר


  • אנא התחבר בכדי להגיב
4 תגובות לנושא זה

#1
 vista

vista
  •  VIP
  • 2575 הודעות
    • מונה תודות: 10 תודות
28
רגיל
מבוא - The World Wide Web ‏(WWW‎)

מאז שנולדה רשת האינטרנט, בתחילת שנות ה- 80 היא הפכה לרשת הגדולה בעולם, ואפשר לומר, גם היחידה שאינה מצנזרת את חופש הדיבור, הכתיבה, היצירה והביקורת. לטוב וכמובן שגם לרע. רשת האינטרנט המכונה גם כאוטוסטרדת המידע מפרסמת לרשות הרבים כמויות אינפורמציה אדירות שלא פעם עוברות בצורה גסה על חוקים ומשפט במדינות רבות כגון: חוק הגנת יוצרים, חוק הגנת הפרטיות ועוד. ברשת האינטרנט ניתן למצוא מידע אינפורמטיבי, גרפי, תצלומי, מקטעי וידאו ואודיו. ניתן ללמוד אסטרונומיה, פילוסופיה, אומנויות לחימה ואף כיצד לבנות פצצות אטום וכל זאת כמעט בטרם הספקתם ללחוץ על העכבר או המקלדת.

עם ההתחברות לאינטרנט כל אחד יכול להיות כל אדם הגולש באינטרנט, משוחח ב- AOL, Messenger או IRC (Internet Relay Chat). כל אחד יכול לבחור את זהותו ולהתחזות למי שרק ירצה ולרשויות החוק המקומיות די קשה לגלות את זהותם האמיתית של מפרי חוק רק על פי כתובתם באינטרנט (כתובת IP). התפתחות מדית האינטרנט הפכה לכלי יעיל ואף נוח גם לארגוני טרור שמעבירים מסרים באופן חסוי למשטרה או לעיתונות וגם לנערים ונדליסטים שמעוניינים להזיק לאתרי אינטרנט של חברות לא אהודות.

פורצי המחשבים או מי שמכונים על פי רוב האקרים (שעל סוגיהם נדון בהמשך) עתירים בידע כגון: תקשורת נתונים, שפות פיתוח, מאגרי מידע, חולשות של מערכות שונות וכדומה, ואינם בוחלים באמצעים כדי לתפוס שליטה מרחוק על המערכות שאותם הם תוקפים.

על מנת להסתיר את זהותם, האקרים רבים יטשטשו את עקבותיהם לאחר שהשיגו שליטה על המערכת ע"י מחיקת קבצי התראות (Log Files), שתילת דלתות אחוריות (Backdoors) ושינוי הגדרות של השרתים המותקפים כגון שרתי Proxy.
בכל יום מותקפת המטרה העיקרית ע"י מחשב ביניים בכדי לטשטש את עקבות הפורץ.



תמונה שפורסמה
איור 1: בכל יום מותקפת המטרה העיקרית ע"י מחשב ביניים בכדי לטשטש את עקבות הפורץ.



עולם המחשבים השתנה באופן דרמטי בשלושים השנים האחרונות, בשלהי שנות ה- 70 רוב המחשבים היו מרוכזים ומנוהלים במקום אחד תוך הקפדה על נעילת חדרי המחשוב. הקישוריות לאתרים אחרים מעבר לאותו מרכז מחשוב הייתה יוצאת דופן והסכנות שהיו מצויות באותה תקופה על מערכות המחשב היו ידועות וקלות יחסית להתמודדות.

עולם המחשבים של היום, מאז שנות ה- 90, מתנהל אחרת ומתמודד עם איומים רבים וקשים יותר מבעבר. הפתרונות מורכבים ודורשים ידע רב ביישום והבנה של טכנולוגיות מורכבות. מערכות רבות מקושרות לאינטרנט ולרשתות נוספות כגון: חברות בת, ספקים וסניפים הפרושים ביבשות מרוחקות ולמעשה כל העולם מקושר מארה"ב, אירופה אסיה ואוסטרליה.

המלצות בעבר היו להקפיד לא לרשום את סיסמאת הכניסה למערכת על נייר ולהניח אותו על השולחן או המחשב בכדי למנוע מקרים של גניבת סיסמא ע"י עובד הנקיון או עובד אחר בארגון, אולם היום פורץ מחשבים יכול לתקוף את המערכת מקצהו השני של הגלובוס. האינטרנט איפשר אתגר אלקטרוני לגנבים שתרים אחר דלתות וירטואליות פתוחות. מנהלי מערכות מידע נדרשים להבין את האיומים העומדים בפניהם, מה הסיכון והמחיר של האיומים הללו ובאילו פעולות עליהם לנקוט על מנת להקטין ככל הניתן את רמת הסיכון לדליפה, זמינות או שינוי מידע השמור על המדיות המגנטיות של ארגונם.

אבטחת מידע הנו נושא מורכב ובעייתי. אחת הבעיות המרכזיות בתחום זה היא שככל שאנו נגביר את רמת האבטחה של הארגון כך גם נקשה על המשתמש הפשוט (העובד) לבצע את מטלותיו הכרוכות בעבודה מול מחשב(ראה ציור 1.1) עם זאת, תוך הבנה ברורה שאין דרך לספק את כל מאה האחוזים של ביטחון מפני פריצה ועל כן, יש לשקול את צעדינו ולתכנן היטב את מבנה המערכת וההגנה עליה.

לא פעם נתקלתי בחברות שהעמיסו על שרתי האינטרנט שלהם כמות אדירה של חומות הגנה המבוססים על טכנולוגיות שונות שהאטו באופן משמעותי את הביצועים של אותן מערכות ואף גרמו לקריסת מערכות מיחשוב ע"י הגזמה בסגירת שירותים במערכות ההפעלה וזאת ללא תועלת ברורה. אחראים על תחום אבטחת המידע מצויים בפאניקה תמידית ולא פעם נוקטים בצעדים מיותרים כגון רכישת כמות מוגזמת של מערכות אבטחה כדי להגן על עמדתם בארגון וכך מבזבזים את כספי החברה. באחד מהפרוייקטים הגדולים בתחום המסחר האלקטרוני בהם השתתפתי נלקחה חברת יעוץ חיצונית שתסייע בהקמת תשתית מאובטחת לזירת המסחר הוירטואלית. חברת הייעוץ הקימה תשתית מאובטחת ו"דחפה" עשרות מוצרי אבטחה לפרויקט. מנהלי מערכות המידע של זירת המסחר "קנו" כמובן את כל המלצות היועצים וכשאלו נשאלו מדוע בחרו להטמיע מוצר אבטחה דווקא היכן שבחרו, השיבו היועצים "אז איפה לשים?", והמוצר המיותר שב למדף משווקיו מאחר שהיה מיותר לארגון ולפרוייקט המדובר. דוגמאות כאילו ואחרות מאוד פופולאריות כשמדובר בתחום אפור שבו אין גבולות ברורים ואין וודאות מוחלטת. על כן, אבטחת מידע בארגון חייבת להיות מתוכננת היטב ומכוונת לצרכי הארגון.
היחס בין רמת הנוחות לרמת האבטחה.



תמונה שפורסמה
איור 2: היחס בין רמת הנוחות לרמת האבטחה.



נקודות למחשבה שיש לקחת בחשבון לפני הקמתה של תשתית אבטחת המידע בארגון:
• מהן נקודות התורפה של הארגון?
• איזה מידע מוגדר כרגיש?
• איזה מידע אנו מעוניינים לחשוף ואיזה לא?
• האם שינוי של המידע עשוי לפגוע בעסקי החברה או במוניטין?
• איזה מידע יהיה לנו קשה לשחזר?
• איזה מידע חשוב שיהיה זמין לציבור או לעובדי הארגון ומתי?
• איזה מידע לקוחותינו לא היו מעוניינים שיפורסם לשאר הציבור? ועוד.

רק לאחר שקילה ממושכת ומדוייקת שבה נבין שזמינות ושלמות הנתונים/המידע המקורי הם אכן מה שאנו צריכים ולגבי איזה חלקי מידע, נוכל לתפור פתרון אבטחה הולם.

מסמך זה הנו קצה הקרחון לעולם אבטחת המידע. אין בכוונתי להעמיק ולהתמודד עם כל מגוון תחומי האבטחה ואף לא לסקור את כולם. אולם לתת דגש על נקודות קריטיות לארגונים ולהבין את מהות החשיבות באבטחה יעילה, ובכדי לעשות זאת אדון בנושאים בסיסיים וחשובים כגון: מי הם התוקפים ומהם השיטות הנפוצות לתקיפה, מה הם הסיכונים שעומדים בפנינו כאשר אנו מעוניינים להגן על מערכות המחשוב בארגונינו, ואילו טכנולוגיות עשויות להקשות על ההאקרים כאשר הם מעוניינים לחדור למידע רגיש לנו.

מסמך זה לא ידון במוצרים ספציפים ולא יערוך סקירה השוואתית בין מוצרים מאחר שמוצרים וטכנולוגיות משתנים כל הזמן. במסמך יינתנו דוגמאות טכניות מעטות תוך התייחסות לפלטפורמות מיקרוסופטיות המסייעות בהגנה על הבעיות שעולות מתוך המסמך.

הסכנות

בעבר הלא רחוק מירב הסכנות הסתכמו בוירוסי מחשב, גניבת סיסמאות ואולי החשש ממשתמשים בעלי רקע מועט במחשבים שעשויים להזיק לשרת המרכזי וגם להם בארגונים גדולים בדרך כלל הגישה לחדר מחשב הייתה מוגבלת. אני זוכרת שבמקום העבודה הראשון שלי השרת המרכזי הייה מלא אבק והונח ליד חלון המשקיף לים, כשממש לצידו השיר עלעליו עציץ ירקרק לתפארת. מאיזו סיבה שעד היום לא ממש ברורה לי היה לי דחף לא מוסבר להזיז את הגרוטאה שמכערת את הפינה הירוקה במשרד ועל כן פשוט נתקתי את המחשב מהחשמל והנחתי אותו במחסן. במשך יום שלם ניסינו להבין מדוע אף אחד בארגון לא יכול לבצע את עבודתו מול המחשב. כמובן שכשהשרת המאובק נמצא במחסן התעלומה נפתרה (כולנו מתחילים באיזו נקודה...). בארגונים ממוחשבים רבים בעיקר בסדרי גודל קטן עד בינוני לא היו חדרי מחשב והשרתים המרכזים שלהם היו מונחים במקומות פינתיים ונגישים לכל עובד.

בעידן האינטרנט והמסחר האלקטרוני הסיכונים העומדים בפני מנהלי מערכות המידע ובפני הארגון כולו יותר מגוונים ומסוכנים. ההדבקות בוירוסי מחשב גדולה בהרבה מבעבר. בשנות ה- 80 החשש העיקרי מוירוסי מחשב התבטא בעיקר בהעתקת קבצים באמצעות דיסקט או דרך רשת .LAN בתחילת שנות ה- 90 חלקנו כבר נחשפנו ל- BBS ולרשתות WAN. כשבסוף שנות ה- 90 ועד היום אחוז המנויים לספקי ISPs (אחוז מתחברים לאינטרנט) גדלה בצורה ניכרת הן כמות הצרכנים הפרטיים והן ארגונים שהחתברו לאינטרנט או לרשתות נוספות.

כעת הסבירות להדבק בוירוס מחשב גדלה במאות אחוזים, אולם גם הערנות והמודעות של הפרט גדלה.

כמובן שכיום בשנות ה- 2000 וירוסי המחשב מהווים רק אחוז מכלל הסכנות העורבות למאגר הנתונים שלנו.

בכל יום יותר ויותר אנשים נעשים תלויים במידת מה במחשב האישי שלהם ומנהלים את סדר יומם דרכו אם באמצעות דואר אלקטרוני, יומן אלקטרוני, מסמכים הנשמרים על המחשב ועוד. וניתן להדבק בוירוסים על ידי גלישה באינטרנט, העתקת קבצים מכל מדיה, קבלת קובץ המצורף לדואר אלקטרוני, הורדת קבצים מהאינטרנט ולא פעם גם משחקים.

ניתן לחלק את הסיכונים שאורבים לנו באינטרנט למספר קטגוריות מרכזיות (כמובן שרשימה זו הנה חלקית ביותר), בהם נדון בהמשך המאמר:

1. וירוסים לסוגיהם
2. חדירות Intrusion וגנבי מידע
3. Denial of service ‏(DOS Attack)

-----------------

מתקפות וירוסים

תוכנות עויינות היו כבר בתחילת העשור האלקטרוני. היינו מקבלים דיסקט ומתקינים ממנו משחק הרפתקאות מדהים ומיד לאחר ההתקנה, התוכנה הייתה מציגה הודעה כגון: "המתן עד סיום טעינת הנשק האולטימטיבי" ובזמן שהיינו ממתינים עם החייל הווירטואלי שלנו ליציאה למשימה שתציל את העולם, המחשב היה קורס ולא עולה יותר. ואז, אומנם באיחור מה היינו מגלים שהזמן שהמתנו עבור טעינת הנשק היה למעשה הזמן שבו התוכנה מחקה לנו את הכונן הקשיח ואת כל האינפורמציה החשובה שהייתה שמורה בו. תוכנות כאילו נקראות סוסים טרויאנים על שם הלוחמה המפורסמת מהמיתולוגיה היוונית שבה חיילי ספרטה חטפו את הלנה מטרויה ובזמן חגיגת הנצחון קבלו מנחה מחיילי טרויה, סוס עץ ענק. עם תום החגיגות יצאו מבטנו של הסוס מיטב חיילי טרויה והצילו את הלנה. תוכנות עוינות אילו נקראות סוסים טרויאנים מאחר שהם הדמיה של משהו כגון משחק לחימה, כאשר בזמן הרצת המשחק למעשה רץ על המחשב שלנו קוד עויין שמטרתו להרוס לנו את הנתונים שעל המחשב. לעיתים תוכנות טרויאניות כאילו מחילות וירוסי מחשב, תולעי מחשב, בקטריות ועוד.

סוס טרויאני (Trojan Horse) היא תוכנה או מקטע קוד שמסתיר תוכנית אחרת. סוס טרויאני ישלח בדר"כ באמצעות הדואר האלקטרוני או יהיה זמין להורדה דרך האינטרנט ויוצג כתוכנית יעילה מאוד או כמשחק מחשב. סוס טרויאני יכול להיות קצה חוט עבור האקר שרוצה לשלוט על המערכת מרחוק ולהוות עבורו תוכנת Backdoor (דלת אחורית) שדרכה יוכל לפלוש למערכת ולהשיג את מבוקשו.

וירוס מחשב הוא מקטע קוד קצר בעל יכולת לשכפל עצמו ולהוסיף עצמו לתוכניות הרצה אחרות ואף לשנות את דרך הרצתן. וירוס מחשב הוא לא תוכנה בלתי תלויה והוא חייב ל"הדבק" לתוכנית הרצה אחרת. ברגע שנדבקת בוירוס תוכנות רבות עשויות להיות נגועות בו ולהדביק מחשבים נוספים ברשת על ידי כך שהוירוס מפיץ עצמו גם למקטעי קוד אחרים. ישנם סוגים שונים של וירוסים, כגון וירוסים שמתפוצצים (Bomb Virus) עם ביצוע פעולה מסויימת או בתאריך מסויים ולכן יתכן מצב שבו נדבקתם בוירוס, אולם המחשב מתפקד כרגיל במשך חודשים עד שתבצעו סידרת פעולות שתגרום להפעלת הוירוס או לחלופין "הוירוס ישן" בזכרון המחשב עד תאריך מסויים ואז הוא תוקף את הזכרון, מוחק קבצים מסוג מסויים, מפיץ עצמו באמצעות הדואר האלקטרוני לרשימת התפוצה שלכם ועוד.

וירוס מאקרו (Macro virus) זהו וירוס שנכתב בשפת מאקרו של מעבדי התמלילים, גליונות אלקטרונים ואפליקציות נוספות הניתנות להרחבה או לאוטומציה ע"י פיתוח של מאקרואים. בצורה זו הוירוס הוא Cross-Platform, לא תלוי בסביבת עבודה כזו או אחרת. וירוס מאקרו פופולארי במעבדי תמלילים והוא תוקף ברגע שמריצים אותו בתוך האפליקציה.(כמובן שניתן להגן בפניו ע"י חסימה או התראה מפני הפעלת קובץ מאקרו בתוך מעבד התמלילים המיקרוסופטי).

וירוס הארנבת/בקטריות (Rabbits/Bacteria) זוהי תוכנה שאינה פוגעת במערכת באופן ישיר, אלא מתרבה עד שהיא תופסת את כל משאבי המחשב, יש שמקטלגיים תוכנה זו כסוג של מתקפת DOS ולא כוירוס בגלל שיטת הפעולה של תוכנית זו. וירוס הארנבת נטען לזכרון ומשכפל עצמו עד שהוא ממלא את הדיסק הקשיח או לחלופין מעמיס על ה- RAM וגורם למחשב להגיב באיטיות לפקודות המשתמש ואף עשוי להפילו. בשונה מוירוס רגיל וירוס הארנבת אינו "נדבק" לקובץ או תוכנית חיצוניים, אלא רץ בצורה עצמאית.

וירוס התולעת (Worms) בדומה לוירוס הארנבת גם וירוס זה משכפל עצמו בתאי זכרון ואף הוא אינו תלוי בתוכנית חיצונית בכדי לרוץ, אולם התולעים מסוגלות גם להדביק מחשבים אחרים דרך הרשת.

סלאמי (Salamis) היא תוכנית שחותכת מקטעים נתונים ומסוכנת בעיקר כשהיא רצה לאורך זמן ממושך במחשב "ומכרסמת" מסמכים ותוכניות עד תום.

-----------------

חדירות – Intrusion

חדירה למחשב היא משאלה מבוקשת מאוד בקרב האקרים וישנן מתודיקות שונות לתקיפה לשם חדירה למערכת, כאשר המטרה לשמה מבוצעת החדירה משתנה ותלויה באופי הפורץ (ראה בהמשך)‏.

יש חדירות המבוצעות מתוך סקרנות ויש לצרכי ריגול תעשייתי, כאשר שיטת הפעולה משתנה.

להלן מספר שיטות תקיפה:
• גניבה ופיצוח סיסמאות
• חשיפת מידע סוציאלית
• ניצול שגיאות תוכנה ושימוש בדלתות אחוריות (exploiting vulnerabilities and Backdoors)


גנבת סיסמאות

הדרך המקובלת לכניסה למערכת היא ע"י ביצוע Logon ולצורך כך זקוק המשתמש לחשבון כניסה (Account) המורכב משם משתמש (user name) וסיסמא (password) הרשומים במערכת ומזהים אותו בפניה. כיום ניתן בקלות יחסית, להשיג את שם המשתמש המהווה 50% מהאינפורמציה הנדרשת לשם כניסה חוקית למערכת (ראה מתקפות מסוג DOS בהמשך) וברגע שיש בידינו 50% מהמידע הרצוי, כל שנותר הוא למצוא את החצי החסר, הסיסמא. ישנן שיטות שונות לפיצוח או גנבת סיסמאות, אך תחילה יש להדגיש את נושא מדיניות הסיסמאות. מדיניות סיסמאות עבור ארגונים הוא אחד הדברים החשובים שיש להקפיד עליהם מרמת המנכ"ל/ית ועד העובד האחרון בארגון. לפני מספר שנים בצעתי מחקר קצר שתכליתו הייתה לבדוק את איכות מדיניות אבטחת המידע בארגון, התוצאות היו מחרידות, סיסמאות כגון 12345, 55555 היו כמעט נוהל סטנדרטי. כדי למנוע תופעות חמורות כיאלו יש להקפיד להמציא מדיניות סיסמאות החלטית, ברורה ולא מסובכת מידי עבור המשתמשים. מדיניות סבירה תחייב את כל משתמשי הארגון להמציא פעם במספר חודשים (ההמלצה היא בדר"כ כל חודשיים) סיסמא חדשה שעונה על הכללים הבאים:

1. הסיסמא תהיה בעלת לפחות 7 תווים

2. הסיסמא תכיל מספרים או תווים (*,$, @... 1,2,3,)

3. הסיסמא תכיל אותיות (a,b,c...)

4. הסיסמא תכיל גם אותיות גדולות (A,B,C...)

5. הסיסמא לא תהיה זהה לשם המשתמש

6. משתמש יוכל לחזור על אותה סיסמא רק לאחר שהחליף לפחות 5 סיסמאות שונות מאז השימוש הראשון באותה סיסמא.

סיסמאות חזקות



תמונה שפורסמה
איור 3: סיסמאות חזקות



למשתמשים יש נטייה להמציא סיסמאות כשמות בני המשפחה, חיות מחמד, מספר בית, תאריכי לידה של קרובים ועוד, גם נתונים אילו עשויים להחשף ע"י האקר הפועל בשיטות סוציאליות כדי לחשוף פירטי חשבון ועל כן, יש לנסות ולהמנע משימוש בפרטים אילו בעת בחירת הסיסמא.

כדי ליישם מדיניות כזו ניתן להשתמש בתוכנות חיצוניות או בכלים של מערכת ההפעלה כגון: עבור פלטפורמת Ms WinNT 4.0 יש להשתמש ב- Passfilt.dll (למידע נוסף, עיין במאמר התמיכה Q161990).

עבור פלטפורמה המבוססת על Win2000 יש להיעזר ב- Group Policy Editor (למידע נוסף, עיין במאמר התמיכה Q225230).

מדיניות כזו כמו כל מדיניות חברה חייבת להיות מוטעמת בארגון בצורה הדרגתית תוך הסברת המניעים שהביאו להחלטת הארגון לנקוט דווקא במדיניות זו וכמובן תוך הבהרת תוכנה. משתמשים עשויים להירתע ממורכבותה של מדיניות המחייבת סיסמאות קשות לזכירה ובמקרים מסויימים העובדים עשויים להמציא סיסמאות כה מורכבות שיחייבו אותם לרשום את הסיסמא על מנת לא לשכוח. לפני כחמש שנים עבדתי באחת מחברות יצרני החומרה ומשיטוט תמים במסדרונות ובין עמדות העובדים ניתן היה להבחין במדבקות שאיתרו את מסכי המחשב ועליהן היו רשימות של סיסמאות למערכת ולתוכנות שונות ויותר מכך, לא פעם ראיתי בחדרי שרתים מדבקות עם סיסמאות למערכת NT, ול- FireWall ליד כל שרת ושרת. בכדי למנוע תופעה שכיחה זו יש להדגיש לעובדים שניתן לענות על הקריטריונים המחייבים של המדיניות תוך שימוש בסיסמאות יצירתיות הניתנות לזכירה כגון:
YK’ntToriRead?
1N1&1=3?
U2_TheOne1

במערכות מבוססות Windows חשבונות משתמשים שמוגדרים בצורה לוקאלית נשמרים בקובץ SAM. ולכן רצוי ומומלץ ע"י מיקרוסופט להשתמש ב- Syskey כמערכת הגנה לקובץ SAM והצפנת הקובץ. ויותר מכך, מומלץ להשתמש ביכולות הפרטניות של Syskey כדוגמת חיוב בדיסקט boot בזמן העלאת המערכת.

תוכנות פריצת סיסמאות מסוג זה עובדות לפי מספר שיטות כגון: פיצוח אלגוריתם ההצפנה, שיטת אלמינציה (ניחוש התווים והאותיות עד פיצוח הסיסמא) או פריצה ע"י ניסיון כל צרוף אפשרי לפי מילון מילים בעלות משמעות או לפי מאגר נתונים שבונה הפורץ בעצמו.



תמונה שפורסמה
איור 4



מנהלי אתרי אינטרנט משאירים לעצמם אפשרות לניהול מרחוק של האתר בכדי שיוכלו לשנות דפי HTML או ASP במידת הצורך, גם לאחר שעות העבודה. האקר יכול להפעיל תוכנות פיצוח סיסמאות, להכנס למערכת ולשנות את דפי האתר לכתובות נאצה או מחאה שעשויים לפגוע במוניטין החברה. לכן חשוב מאוד להקפיד להמציא סיסמאות מורכבות בעיקר כאשר מדובר בחשבון שיכול להתחבר מרחוק ולא מחוייבת להמצא במשרדי החברה. כדי להקשות על ההאקר במקרים אילו ודומיהם ניתן להגביל את ההתחברות מרחוק לכתובת IP מסויימת, להשתמש בכרטיס חכם (Smartcard) לשם ביצוע כניסה למערכת או להשתמש לשם כך בכל אמצעי זיהוי ביומטרי.

להלן דוגמה לתהליך שינוי סיסמאת Administrator של מנהל אתר אינטרנט. התהליך מתחיל בנסיון לשנות את סיסמאת ה- Administrator של האתר וזאת ע"י ניחוש או הרצת תוכנה צד שלישי המנסה לפצח את הסיסמא. ברגע שנפרצת הסיסמא ניתן לבצע תהליך Logon מרוחק המאפשר שינוי הגדרות בשרת Web.

כדי למנוע ניסיונות לניחוש סיסמאות יש להגביל במערכת ההפעלה את מספר הנסיונות הכושלים לכניסה למערכת. בדר"כ נהוג להגדיר שמשתמש יכול להכשל בהקלדת הסיסמא הנכונה עד 5 פעמים, כאשר בפעם השישית שאותו משתמש יכניס סיסמא שגויה, המערכת תקפיא את חשבונו עד שחרור החשבון ע"י מנהל הרשת או לחלופין שיחרור החשבון יתבצע באופן אוטומטי לאחר מספר דקות שייקבע מראש. מגבלה כזו מומלצת מאוד ובמידה ומנהל הרשת יגדיר רישום (Log) עבור כשלונות כניסה למערכת, תתאפשר בקרה לנסיונות פריצה מסוג זה.

ישנן פריצות למערכות Web שתכליתן לשנות את התכנים המוצגים באתרי אינטרנט נראו בעיקר באתרים המציגים דעות פוליטיות, אתרים של אישיים מפורסמים ואפילו נראו שינוים של כתבות בעיתונים יומיים ברשת. דוגמאות ידועות לפריצות מסוג זה נתגלו בזמן הבחירות לרשות הממשלה בשנת 2001, כאשר האתר של אחד המועמדים לרשות הממשלה נפרץ ונוספו לו משפטי "נאצה".

מידע סוציאלי

בסרטים כדוגמאת סניקרס במאי הסרט מציג בפנינו נערים בגיל העשרה יושבים מרותקים מול מסך מחשב קטנטן, כשהם מביטים מבעד לזגוגיות משקפיהם ברצף מספרים כמעט אינפוסי וכבר בתחילת הסרט הם יבצעו במיוחד עבורינו הצופים חדירה למערכת המאובטחת ביותר בעולם כגון הסי.אי.אי או יעבירו מיליוני דולרים מחשבון בנק אחד לאחר וכו'. המציאות לא ממש רחוקה מכך, אך לא בהכרח כזו. יש סוגים שונים של פורצים בעלי מניעים שונים. ישנם פורצים הנוקטים תחילה בדרכים סוציאליות בכדי להגיע למידע רגיש בארגון ורק לאחר שאספו מספיק מידע כדי לחדור למערכת הם יעברו לתקתיקה השניה שהיא פריצה באמצעות הרשת, פורצי מחשב אילו נקראים האקרים סוציאלים.

באחת מהחברות בארץ, מקפידים בצורה יוצאת דופן על נושא אבטחת המידע. עובדי החברה מודעים ללא יוצאים מהכלל, לכל הנהלים הקשורים באבטחה מנשיאת תג עובד ועד גריסת כל המסמכים עם סיום יום העבודה. אחד הסיפורים היותר מרשימים ששמעתי שם היה שבתום יום עבודה מצא קצין האבטחה של הארגון מסמכים סודיים שנזרקו לפח האשפה הרגיל ולא לפח המיועד לגריסת ניירת. לצורך בדיקה בלבד, נסע קצין האבטחה למתקן האשפה האזורי ושם להפתעתו, גילה שיש כמות נכבדה של ישראלים שיודעים לעשות כסף והרבה כסף מאשפה של אחרים או נאומר זאת אחרת, מטעויותיהם של אחרים. מולו נראו מספר גברברים מלאי התלהבות, העסוקים במיון סוגים שונים של אשפה כגון זכוכית, פחיות, פלסטיק וכיוצא בזה וכמובן, גם מסמכים של חברות היטק. לדאבונו ולדאבונינו, לאחר בירור קצר התברר שאותם מסמכים מוצעים למכירה לכל מעין דבעי שרק ינקוב במחיר הגבוהה מבין כל המבקשים. קצין האבטחה נאלץ לרכוש את כל ערמת המסמכים הסודיים של הארגון בטרם ירכשו ע"י חברה מתחרה. אין לי שום ספק שהאקר שפועל בדרכים סוציאליות לשם איסוף מידע ישמח למלא את משרדו בערמת אשפה של ארגון זה או אחר וזאת כמובן אם התשלום עבור הפריצה יהיה בהתאם. יש יותר ממסקנה אחת מסיפור זה ודומיו, ידע זה כוח, וכוח שווה כסף, וכן, יש בוודאי לגנוז מסמכים וגם אילו הנראים כחסרי חשיבות יהפכו לקצה חוט עבור האקר מקצועי. והכי חשוב האקרים מקצוענים יפעלו בכל דרך על מנת להשיג פיסות אינפורמציה שבסוף ירכיבו עבורם תמונה של ממש.

סיפור נוסף שעשוי להתקשר להאקר סוציאלי ולסיסמאות הוא תרגיל ניסיוני שערכתי עבור אחת מחברות ההיי-טק. המטרה הייתה יצירת חשבון משתמש חדש בעל זכויות של Administrator ובדיקת ערנות טכנאי חדר המחשב, האמצעים היו חיוך רחב והסרת תג האורח והממצאים לא היו ממש מפתיעים, אולי רק לאחדים מאיתנו בחדר מחשב. בוקר יום שני, נעמדתי בכניסת חדר המחשב של הארגון שנעול ע"י קוד זיהוי שנדרשים להקליד כדי להכנס לרחבת השרתים. לא עברו שתי דקות והגיע טכנאי מחשב למפתן החדר, הקיש את הקוד ונכנס. ברכתי אתו בבוקר טוב ונכנסתי אחריו. ידעתי שאני צריכה להיות זריזה, יעילה ולפעול מהר ככל הניתן. הבטתי סביבי ותהיתי לאיזה שרת לגשת. כל הארונות סביבי גדושים בקופסאות מתחת שמחוברות לחשמל, שרתי מחשב גבוהי קומה. טקטיקת החשיבה חלפה די מהר ועברתי למצב פעולה. נגשתי לאחד הארונות וראיתי שומר מסך שחור, הזזתי את העכבר ונתקלתי במסך Logon של השרת. התחלה טובה, אך לא מספקת מאחר שאין בידי אף סיסמא או שם משתמש שיעזרו לי להכנס למערכת. (ישנן שיטות פחות זהירות העשויות לגרום נזק לשרת ברגע שיש גישה פיזית אליו, אך לא רציתי להשבית ולו למספר דקות, אף שרת). עברתי למחשב נוסף הזזתי את העכבר ושוב נתקלתי במסך Logon של השרת. בשלב הזה כבר הבחנתי בהתלחששות סביבי, עד שניגש אלי אחד הטכנאים ובקש שאזדהה. הצגתי את עצמי כטכנאית של חברת חומרה חיצונית חבשתי מבט אולי קצת כועס מעצם השאלה ועברתי לשרת הבא בטור. הטכנאי שב לעיסוקיו. למרבה הפתעתי הפעם כשהזזתי את העכבר לא נתבקשתי להקיש שם משתמש וסיסמא וכבר הייתי בתוך המערכת. מיהרתי ויצרתי משתמש חדש, הוספתי אותו לקבוצת מנהלי הרשת שהיא קבוצה הקיימת כברירת מחדל ברוב ממערכות השרת ומעניקה לחבריה באופן אוטומטי הרשאות של מנהל רשת. התרגיל עבר בהצלחה, היו הרבה טכנאים כעוסים אך לפחות מלומדי ניסיון. המסקנה המתבקשת הפעם היא שטוב שיש קוד כניסה למערכת אך טוב יותר אם נגלה ערנות שמא נתפס, שלא לאומר, אם המכנסיים למטה.

כל השיטות המתוארות לעיל הינן שיטות פעולה לגיטימיות לאיסוף מידע או חדירה למערכות מחשב לאו דווקא בדרך שהיינו מדמיינים לעצמנו.

ניצול שגיאות תוכנה ושימוש בדלתות אחוריות (Exploit, Vulnerability and Back Doors)

חדירה למערכת יכולה להתבצע בשכבות שונות של הרשת, משכבת ה- Network כגון הפלת המערכת ע"י ביצוע מתקפת Syn, Ping of death ועד שכבת ה- Application. השכבה הקשה ביותר להגנה היא השכבה השביעית במודל 7 השכבות ה- Application layer. הסיבה לכך נעוצה במספר עובדות האחת, בשכבה זו האחריות למניעת פריצות מצויה בידי האפליקציה ומפתחיה, כל באג (טעות כתיבה בקוד התוכנה) עשוי להוות פתח לפריצת המערכת או הפלתה ע"י Buffer Over Flow שמשמעותו היא שימוש לא נכון בזיכרון המחשב או שליחת כמות מוגזמת של נתונים, כאשר התוכנה המיועדת מצפה לכמות קטנה יותר ולכן אינה יודעת כיצד להתנהג עם שאר הנתונים שהתקבלו. והסיבה השניה היא מורכבות הטיפול בנתונים שמתקבלים. לדוגמא: כדי להתמודד עם בעיה ברמת ה- Network יש לבדוק כל חבילת מידע (Packet) המגיעה למערכת לעומת זאת בדיקה של הודעת דואר אלקטרוני מורכבת יותר מאחר שתחילה יש לאסוף את כל חבילות המידע, להרכיב מהם את ההודעה ולבסוף לבצע את הבדיקה הרצויה.

חדירות למחשבים ע"י ניצול לרעה של חולשות המערכת (Vulnerability) מאוד נפוצות בקרב האקרים וכדי להגן מבפניהם יש צורך בפעולת הקשחת שרתים (הסרת השירותים הלא רלוונטים והעלאת אמת האבטחה של השרת), ובבניית שכבות הגנה נוספות כגון התקנת אנטי וירוס, עדכון Hotfixes ומערכות IDS וכו'.

בדר"כ ארגונים מסתפקים בהתקנת שרת Firewall כגון שרת ISA מבית מיקרוסופט המספק הגנה הכרחית. שרת Firewall נועד בתכליתו לסגירה ופתיחה של Ports (כל Port מיצג שרות במערכת) בהתאמה לסט חוקים (Rules/Policies) שנקבע מראש. כדוגמא מנהל אבטחת מידע יכול להגדיר ע"פ מדיניות הארגון האם לאפשר או לא לאפשר כניסה ויציאה דרך פורט 25 המיצג את פרוטוקול SMTP (שירות דואר) או לאפשר כניסה ויציאה של תעבורת הרשת בפורט 80 המייצג את פרוטוקול HTTP. כיום שרתי Firewall הרבה יותר מתוחכמים ולכן מסוגלים לתת שרותי אבטחה מתקדמים.

כמעט כל ארגון מאפשר לעובדיו לגלוש באינטרנט באופן שוטף ועל כן, במידה וקיים שרת FireWall יוגדר חוק המאפשר כניסה ויציאה של תעבורת רשת בפורט 80 (HTTP). חוק זה מאפשר שימוש בדפדפן אינטרנט לשם שיטוט באינטרנט כגון: http://www.RemoteWeb...co.il/index.asp אולם, במידה ונוסיף לשורה זו פרמטרים נוספים נוכל במקרים מסויימים לקבל הרבה יותר מסתם דף HTML במידה והשרת לא הוקשח כנדרש.

-----------------

מתקפה מסוג DOS ‏(Denial of Service)

המטרה העיקרית של מתקפה זו היא להשבית את המערכת ע"י העמסת משאביה כגון: המעבד, הזכרון, רוחב הפס (התקשורת) וכו'. אחת התוצאות האפשריות של מתקפה כזו עשוייה להיות הפרעה למשתמשים לעבוד עם המערכת, או במקרים אחרים שליטה של התוקף על המערכת. מנהל מערכת שהותקפה ע"י DOS עשוי להציג מסך המלווה בהודעת שגיאה או במקרים חמורים יותר תהיה נפילה מצומצת יותר אך לעיתים קשה יותר לאבחנה כגון השבתה של שירות (Service) מסויים במערכת כגון השרות שמנהל את אתר האינטרנט.


מתקפת DOS מאוד פופולארית מאחר שהיא יחסית קלה לביצוע ומשיגה את המטרה העקרית שהאקר ונדליסט מעוניין בה והיא הפלת המערכת. חלק נכבד מפורצי המחשב עונים לקטגוריה של האקר ונדליסט שמשאת נפשו היא אך ורק לגרום נזק. לא פעם מתקפת DOS מהווה רק דלת כניסה ראשונית למערכת שדרכה ההאקר שותל קבצי הרצה, וירוסים או כתוצאה מנפילת המערכת הוא משיג הרשאות גבוהות יותר מאילו שהיו לו בהתחלה. ניקח כדוגמה את כתובת הדואר האלקטרוני שלי שמופץ באמצעות הכרטיס ביקור שלי וחושף את כתובת הדואר האלקטרוני במקום העבודה - soltz@microsoft.com. ברוב הארגונים ה- alias name שהוא החלק הראשון של כתובת הדואר האלקטרוני הוא גם שם החשבון שאיתו אנו מבצעים Logon למערכת. במקרה הזה שם החשבון יהיה soltz. את המידע הזה כל האקר יכול להשיג משיחת חולין עם עובד בארגון מסויים או לחלופין באמצעות שימוש בפקודה VRFY * (במידה ולא חסמת אפשרות זו כדי לבצע זאת בהקדם). כאשר מתחברים ב- Telnet לפורט 25 (SMTP). בצורה כזו ההאקר כבר השיג 50% מחשבון המשתמש ומה שנותר לו להשיג כעת הוא סיסמאת המשתמש, שלא פעם היא 12345 או 11111 וכו.

תת-קטגוריה של מתקפת DOS נקראת Syn Attack שמטרתה לשבש תהליך הנקרא three-way handshake ובכך למנוע את היכולת לעבוד מול המערכת המותקפת. שיטת הפעולה היא לא לסיים במזיד תקשורת שהחלה. כדי להבין כיצד מתבצעת מתקפת Syn יש להבין תחילה כמה מוסגי מפתח בפרוטוקול התקשורת TCP/IP. כדי לבצע תקשורת בין שני מחשבים באמצעות פרוטוקול TCP/IP מתקיים תהליך שנקרא במונחים מקצועיים three-way handshake. תהליך זה מתאר את הדרך שבה שני מחשבים מסכימים על פתיחה בשיחה (Session). לצורך כך, נניח שאליס ובוב מעוניינים לשוחח. אליס פונה לבוב בבקשה לשיחה (Syn) ובוב מאשר את בקשתה של אליס ע"י שליחת Syn/Ack ‏(Acknowledgment), אך עדיין ממתין לאישרור מאליס על מנת לוודא שהיא אכן מודעת לכך שבוב מעוניין לשוחח איתה. ברגע שאליס תשלח לבוב אישרור (Ack), בוב יפתח בשיחה.
תהליך יצירת תקשורת בין שני מחשבים



תמונה שפורסמה
איור 5: תהליך יצירת תקשורת בין שני מחשבים



ציור 5 מתאר תהליך תקין של יצירת connection בין מחשב A למחשב B. בהנחה שהמשתמש במחשב A מעוניין להשבית את מחשב B התהליך המתואר יתחיל אולם לעולם לא יסתיים. שלב 3 ו- 4 לעולם לא יושלמו כפי שמתואר בציור 6.
תהליך יצירת תקשורת בין שני מחשבים



תמונה שפורסמה
איור 6: תהליך יצירת תקשורת בין שני מחשבים



בכדי ליישם מתקפה מסוג Syn כל שצריך לעשות הוא לדאוג לשלוח בקשה לתקשורת ולעולם לא לסיים את הבקשה וכך השרת המותקף שומר בזכרון (Cache memory) בקשות להתקשרות, ושולח Syn/Ack חמש פעמים נוספות ובכל פעם מגדיל את זמן ההמתנה לאשרור מהמחשב ששלח את הבקשה. ההמתנה הראשונה לאישרור נמשכת כ- 3 שניות, במידה והמחשב לא מקבל אישרור הוא שולח שוב Syn/Ack והפעם ממתין 6 שיניות במידה ושוב הוא לא קיבל אישרור הוא ישלח פעם נוספת Syn/Ack והפעם ימתין 12 שניות וכן הלאה עד הפעם החמישית והאחרונה. סה"כ זמן ההמתנה לאישרור יכול להגיע לכ- 189 שניות. במידה וכמות הבקשות גדולה מאוד ואף בקשה כזו לא מסתיימת המחשב המותקף עשוי לקרוס.

לדוגמה: מחשב A שולח למחשב B כמות בלתי מוגבלת של בקשת Syn כאשר כתובת ה- IP של ה- Source אינה נכונה או לחלופין כתובת ה- IP של ה- Source וה- Destination הן אותה כתובת (מתקפה זו הנה תת קטגוריה של DOS attack והיא מכונה Land attack). כאשר מחשב B ינסה להשיב Syn/Ack למחשב A, הוא לעולם לא יקבל אשרור חזרה ממחשב A מאחר שהכתובת שניתנה לא לא הייתה נכונה.
מתקפת Syn



תמונה שפורסמה
איור 7: מתקפת Syn



במידה וקיים חשש שמחשב מסויים עומד תחת מתקפת Syn ניתן להריץ את הפקודה הבא כדי לאשר או לבטל את החשש:

C:\> netstat -n -p tcpActive ConnectionsProto  Local Address		 Foreign Address	   StateTCP	127.0.0.1:1030		127.0.0.1:1032		ESTABLISHEDTCP	127.0.0.1:1032		127.0.0.1:1030		ESTABLISHEDTCP	10.57.8.190:21		10.57.14.154:1256	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1257	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1258	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1259	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1260	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1261	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1262	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1263	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1264	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1265	 SYN_RECEIVEDTCP	10.57.8.190:21		10.57.14.154:1266	 SYN_RECEIVEDTCP	10.57.8.190:4801	  10.57.14.221:139	  TIME_WAIT

מתקפות מסוג Syn מתבצעות בשכבות נמוכות מאוד בדר"כ בשכבת ה- Network ולכן בדרך כלל ההגנה מפניהם היא ע"י מערכת ההפעלה או ע"י אפליקציה השולטת ב- TCP stuck . מערכת ההפעלה Windows 2000 מאפשרת הגנה מפני מתקפות כאלו ע"י עריכה ישירה של ה- Registry. וכמובן שמעבר לכך רצוי להתקין שרת Firewall שיספק רמת אבטחה נוספת כגון שרת ISA.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ SynAttackProtectValue Type: REG_DWORDValid Range: 0, 1, 20 (no synattack protection)1 (reduced retransmission retries and delayed RCE (route cache entry) creation ifthe TcpMaxHalfOpen and TcpMaxHalfOpenRetried settings are satisfied.)2 (in addition to 1 a delayed indication to Winsock is made.)

דוגמאות נוספות למתקפות DOS הן ICMP Bombing ו- Ping of Death. מתקפות אילו פועלות על פי אותו עקרון ומטרתם להפיל את המחשב הנתקף. הפקודה Ping.exe נועדה לאפשר בדיקת תקשורת בין מחשבים המחוברים ברשת וזאת על ידי שליחת ארבעה Packet של 32 bytes. פקודה זו מבוססת על פרוטוקול ICMP בסביבות מיקרוסופטיות (בסביבת Unix היא מבוססת על ICMP או על UDP). בכדי להפיל מחשב בצורה כזו ניתן להגדיל את כמות ה- Packets שנשלחים, למשל במקום ארבעה נשלח מספר בלתי מוגבל או אינסופי של Packets, ובמקום שכל אחד מהם יהיה 32 bytes נגדיל ל- 1000 bytes וכך נעמיס על המחשב המותקף.

C:\ > ping 169.254.1.1 -l 1000 -tPinging 169.254.1.1 with 1000 bytes of data:Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255

מתקפה זו הייתה בעבר מאוד פופולארית, אולם כיום כשהמחשבים בעלי רכיבי חומרה מתקדמית, קשה יותר להפיל את המערכת ובמקרה החמור ביותר אנו רק מעמיסים על רוחב הפס שלנו ושל המחשב המותקף ובכך מאיטים את התקשורת של כל המשתמשים עם המערכת.

אם נפתח את הרעיון הזה ניתן לשלוח Ping of death יותר קטלני במידה ונערוך את ה- Packets שאנחנו שולחים ונשנה בכתובת IP את כתובת ה- Source ובמקום הכתובת של המחשב שלנו נשלח את הכתובת של המחשב המיועד או לחלופין את כתובת ה- Broadcast של הרשת אליה משתייך המחשב המותקף. הפעם נשיג אפקט פחות מאכזב, המחשב המותקף יקבל אינסוף Packets כאשר כתובת השולח של אותם Packets היא הרשת עצמה. המחשב המותקף יענה בפרוטוקול ICMP לכל המחשבים ברשת ואילו יענו לו חזרה וכן הלאה.
מתקפת Ping of death



תמונה שפורסמה
איור 8



1. Ping Email.microsoft.com
2.י Reply received 208.217.177.120: bytes = 32 time = 20ms TTL=116

ראוי לציין שכיום השיטות למתקפת Ping of death לא בהכרח מבוססות על פרוטוקול ICMP.

--------------------------------------------------------------------------------------

קרדיט למיקרוסופט :)

#2
 HNC_S

HNC_S
  •  צוות לשעבר
  • 1194 הודעות
    • מונה תודות: 37 תודות
35
בינוני
תודה רבה מוכר  ראיתי פעם מדריך דומה  או שזה אותו דבר ...
ישבתי עליו חמש שעות בזמנו כדי להבין כל דבר חחח :)

#3
 NickF

NickF

    Master

  •  Owner
  • 3548 הודעות
    • מונה תודות: 73 תודות
140
מעולה
תודה רבה לך, המון מידע חיוני :)

#4
 sadowm

sadowm

    ZSC FOR EVER

  •  Owner
  • 8137 הודעות
    • מונה תודות: 693 תודות
364
מעולה
:thankyou2:

#5
 Gandolph13

Gandolph13
  •  VIP
  • 7295 הודעות
    • מונה תודות: 228 תודות
146
מעולה
תודה על המידע ויסטה תמונה שפורסמה




0 משתמשים קוראים נושא זה

0 משתמשים, 0 אורחים, 0 משתמשים אנונימיים