לומדים ברשת   אינטרנט! מערכות מידע!מנועי חיפוש! EXCEL!

דף הבית אינטרנט - גלישה ומושגים מנועי חיפוש אבטחת מידע מימון אקסל גלריה הרשמה

אבטחת מידע

אבטחת מידע - המדריך המקוצר
מתקפות וירוסים


חדירה למחשב היא משאלה מבוקשת מאוד בקרב האקרים וישנן מתודיקות שונות לתקיפה לשם חדירה למערכת, כאשר המטרה לשמה מבוצעת החדירה משתנה ותלויה באופי הפורץ (ראה בהמשך)‏.

יש חדירות המבוצעות מתוך סקרנות ויש לצרכי ריגול תעשייתי, כאשר שיטת הפעולה משתנה.

להלן מספר שיטות תקיפה:

• גנבה ופיצוח סיסמאות

• חשיפת מידע סוציאלית

• ניצול שגיאות תוכנה ושימוש בדלתות אחוריות (exploiting vulnerabilities and Backdoors)




 גנבת סיסמאות


הדרך המקובלת לכניסה למערכת היא ע"י ביצוע Logon ולצורך כך זקוק המשתמש לחשבון כניסה (Account) המורכב משם משתמש (user name) וסיסמא (password) הרשומים במערכת ומזהים אותו בפניה. כיום ניתן בקלות יחסית, להשיג את שם המשתמש המהווה 50% מהאינפורמציה הנדרשת לשם כניסה חוקית למערכת (ראה מתקפות מסוג DOS בהמשך) וברגע שיש בידינו 50% מהמידע הרצוי, כל שנותר הוא למצוא את החצי החסר, הסיסמא. ישנן שיטות שונות לפיצוח או גנבת סיסמאות, אך תחילה יש להדגיש את נושא מדיניות הסיסמאות. מדיניות סיסמאות עבור ארגונים הוא אחד הדברים החשובים שיש להקפיד עליהם מרמת המנכ"ל/ית ועד העובד האחרון בארגון. לפני מספר שנים בצעתי מחקר קצר שתכליתו הייתה לבדוק את איכות מדיניות אבטחת המידע בארגון, התוצאות היו מחרידות, סיסמאות כגון 12345, 55555 היו כמעט נוהל סטנדרטי. כדי למנוע תופעות חמורות כיאלו יש להקפיד להמציא מדיניות סיסמאות החלטית, ברורה ולא מסובכת מידי עבור המשתמשים. מדיניות סבירה תחייב את כל משתמשי הארגון להמציא פעם במספר חודשים (ההמלצה היא בדר"כ כל חודשיים) סיסמא חדשה שעונה על הכללים הבאים:

1.הסיסמא תהיה בעלת לפחות 7 תווים

2.הסיסמא תכיל מספרים או תווים (*,$, @... 1,2,3,)

3.הסיסמא תכיל אותיות (a,b,c...)

4.הסיסמא תכיל גם אותיות גדולות (A,B,C...)

5.הסיסמא לא תהיה זהה לשם המשתמש

6.משתמש יוכל לחזור על אותה סיסמא רק לאחר שהחליף לפחות 5 סיסמאות שונות מאז השימוש הראשון באותה סיסמא.



למשתמשים יש נטייה להמציא סיסמאות כשמות בני המשפחה, חיות מחמד, מספר בית, תאריכי לידה של קרובים ועוד, גם נתונים אילו עשויים להחשף ע"י האקר הפועל בשיטות סוציאליות כדי לחשוף פירטי חשבון ועל כן, יש לנסות ולהמנע משימוש בפרטים אילו בעת בחירת הסיסמא.

כדי ליישם מדיניות כזו ניתן להשתמש בתוכנות חיצוניות או בכלים של מערכת ההפעלה כגון: עבור פלטפורמת Ms WinNT 4.0 יש להשתמש ב- Passfilt.dll (למידע נוסף, עיין במאמר התמיכה Q161990).

עבור פלטפורמה המבוססת על Win2000 יש להיעזר ב- Group Policy Editor (למידע נוסף, עיין במאמר התמיכה Q225230).

מדיניות כזו כמו כל מדיניות חברה חייבת להיות מוטעמת בארגון בצורה הדרגתית תוך הסברת המניעים שהביאו להחלטת הארגון לנקוט דווקא במדיניות זו וכמובן תוך הבהרת תוכנה. משתמשים עשויים להירתע ממורכבותה של מדיניות המחייבת סיסמאות קשות לזכירה ובמקרים מסויימים העובדים עשויים להמציא סיסמאות כה מורכבות שיחייבו אותם לרשום את הסיסמא על מנת לא לשכוח. לפני כחמש שנים עבדתי באחת מחברות יצרני החומרה ומשיטוט תמים במסדרונות ובין עמדות העובדים ניתן היה להבחין במדבקות שאיתרו את מסכי המחשב ועליהן היו רשימות של סיסמאות למערכת ולתוכנות שונות ויותר מכך, לא פעם ראיתי בחדרי שרתים מדבקות עם סיסמאות למערכת NT, ול- FireWall ליד כל שרת ושרת. בכדי למנוע תופעה שכיחה זו יש להדגיש לעובדים שניתן לענות על הקריטריונים המחייבים של המדיניות תוך שימוש בסיסמאות יצירתיות הניתנות לזכירה כגון:

• YK’ntToriRead?

• 1N1&1=3?

• U2_TheOne1



במערכות מבוססות Windows חשבונות משתמשים שמוגדרים בצורה לוקאלית נשמרים בקובץ SAM. ולכן רצוי ומומלץ ע"י מיקרוסופט להשתמש ב- Syskey כמערכת הגנה לקובץ SAM והצפנת הקובץ. ויותר מכך, מומלץ להשתמש ביכולות הפרטניות של Syskey כדוגמת חיוב בדיסקט boot בזמן העלאת המערכת.

תוכנות פריצת סיסמאות מסוג זה עובדות לפי מספר שיטות כגון: פיצוח אלגוריתם ההצפנה, שיטת אלמינציה (ניחוש התווים והאותיות עד פיצוח הסיסמא) או פריצה ע"י ניסיון כל צרוף אפשרי לפי מילון מילים בעלות משמעות או לפי מאגר נתונים שבונה הפורץ בעצמו.




מנהלי אתרי אינטרנט משאירים לעצמם אפשרות לניהול מרחוק של האתר בכדי שיוכלו לשנות דפי HTML או ASP במידת הצורך, גם לאחר שעות העבודה. האקר יכול להפעיל תוכנות פיצוח סיסמאות, להכנס למערכת ולשנות את דפי האתר לכתובות נאצה או מחאה שעשויים לפגוע במוניטין החברה. לכן חשוב מאוד להקפיד להמציא סיסמאות מורכבות בעיקר כאשר מדובר בחשבון שיכול להתחבר מרחוק ולא מחוייבת להמצא במשרדי החברה. כדי להקשות על ההאקר במקרים אילו ודומיהם ניתן להגביל את ההתחברות מרחוק לכתובת IP מסויימת, להשתמש בכרטיס חכם (Smartcard) לשם ביצוע כניסה למערכת או להשתמש לשם כך בכל אמצעי זיהוי ביומטרי.

להלן דוגמה לתהליך שינוי סיסמאת Administrator של מנהל אתר אינטרנט. התהליך מתחיל בנסיון לשנות את סיסמאת ה- Administrator של האתר וזאת ע"י ניחוש או הרצת תוכנה צד שלישי המנסה לפצח את הסיסמא. ברגע שנפרצת הסיסמא ניתן לבצע תהליך Logon מרוחק המאפשר שינוי הגדרות בשרת Web.

כדי למנוע ניסיונות לניחוש סיסמאות יש להגביל במערכת ההפעלה את מספר הנסיונות הכושלים לכניסה למערכת. בדר"כ נהוג להגדיר שמשתמש יכול להכשל בהקלדת הסיסמא הנכונה עד 5 פעמים, כאשר בפעם השישית שאותו משתמש יכניס סיסמא שגויה, המערכת תקפיא את חשבונו עד שחרור החשבון ע"י מנהל הרשת או לחלופין שיחרור החשבון יתבצע באופן אוטומטי לאחר מספר דקות שייקבע מראש. מגבלה כזו מומלצת מאוד ובמידה ומנהל הרשת יגדיר רישום (Log) עבור כשלונות כניסה למערכת, תתאפשר בקרה לנסיונות פריצה מסוג זה.

ישנן פריצות למערכות Web שתכליתן לשנות את התכנים המוצגים באתרי אינטרנט נראו בעיקר באתרים המציגים דעות פוליטיות, אתרים של אישיים מפורסמים ואפילו נראו שינוים של כתבות בעיתונים יומיים ברשת. דוגמאות ידועות לפריצות מסוג זה נתגלו בזמן הבחירות לרשות הממשלה בשנת 2001, כאשר האתר של אחד המועמדים לרשות הממשלה נפרץ ונוספו לו משפטי "נאצה".

 


מידע סוציאלי


בסרטים כדוגמאת סניקרס במאי הסרט מציג בפנינו נערים בגיל העשרה יושבים מרותקים מול מסך מחשב קטנטן, כשהם מביטים מבעד לזגוגיות משקפיהם ברצף מספרים כמעט אינפוסי וכבר בתחילת הסרט הם יבצעו במיוחד עבורינו הצופים חדירה למערכת המאובטחת ביותר בעולם כגון הסי.אי.אי או יעבירו מיליוני דולרים מחשבון בנק אחד לאחר וכו'. המציאות לא ממש רחוקה מכך, אך לא בהכרח כזו. יש סוגים שונים של פורצים בעלי מניעים שונים. ישנם פורצים הנוקטים תחילה בדרכים סוציאליות בכדי להגיע למידע רגיש בארגון ורק לאחר שאספו מספיק מידע כדי לחדור למערכת הם יעברו לתקתיקה השניה שהיא פריצה באמצעות הרשת, פורצי מחשב אילו נקראים האקרים סוציאלים.

באחת מהחברות בארץ, מקפידים בצורה יוצאת דופן על נושא אבטחת המידע. עובדי החברה מודעים ללא יוצאים מהכלל, לכל הנהלים הקשורים באבטחה מנשיאת תג עובד ועד גריסת כל המסמכים עם סיום יום העבודה. אחד הסיפורים היותר מרשימים ששמעתי שם היה שבתום יום עבודה מצא קצין האבטחה של הארגון מסמכים סודיים שנזרקו לפח האשפה הרגיל ולא לפח המיועד לגריסת ניירת. לצורך בדיקה בלבד, נסע קצין האבטחה למתקן האשפה האזורי ושם להפתעתו, גילה שיש כמות נכבדה של ישראלים שיודעים לעשות כסף והרבה כסף מאשפה של אחרים או נאומר זאת אחרת, מטעויותיהם של אחרים. מולו נראו מספר גברברים מלאי התלהבות, העסוקים במיון סוגים שונים של אשפה כגון זכוכית, פחיות, פלסטיק וכיוצא בזה וכמובן, גם מסמכים של חברות היטק. לדאבונו ולדאבונינו, לאחר בירור קצר התברר שאותם מסמכים מוצעים למכירה לכל מעין דבעי שרק ינקוב במחיר הגבוהה מבין כל המבקשים. קצין האבטחה נאלץ לרכוש את כל ערמת המסמכים הסודיים של הארגון בטרם ירכשו ע"י חברה מתחרה. אין לי שום ספק שהאקר שפועל בדרכים סוציאליות לשם איסוף מידע ישמח למלא את משרדו בערמת אשפה של ארגון זה או אחר וזאת כמובן אם התשלום עבור הפריצה יהיה בהתאם. יש יותר ממסקנה אחת מסיפור זה ודומיו, ידע זה כוח, וכוח שווה כסף, וכן, יש בוודאי לגנוז מסמכים וגם אילו הנראים כחסרי חשיבות יהפכו לקצה חוט עבור האקר מקצועי. והכי חשוב האקרים מקצוענים יפעלו בכל דרך על מנת להשיג פיסות אינפורמציה שבסוף ירכיבו עבורם תמונה של ממש.

סיפור נוסף שעשוי להתקשר להאקר סוציאלי ולסיסמאות הוא תרגיל ניסיוני שערכתי עבור אחת מחברות ההיי-טק. המטרה הייתה יצירת חשבון משתמש חדש בעל זכויות של Administrator ובדיקת ערנות טכנאי חדר המחשב, האמצעים היו חיוך רחב והסרת תג האורח והממצאים לא היו ממש מפתיעים, אולי רק לאחדים מאיתנו בחדר מחשב. בוקר יום שני, נעמדתי בכניסת חדר המחשב של הארגון שנעול ע"י קוד זיהוי שנדרשים להקליד כדי להכנס לרחבת השרתים. לא עברו שתי דקות והגיע טכנאי מחשב למפתן החדר, הקיש את הקוד ונכנס. ברכתי אתו בבוקר טוב ונכנסתי אחריו. ידעתי שאני צריכה להיות זריזה, יעילה ולפעול מהר ככל הניתן. הבטתי סביבי ותהיתי לאיזה שרת לגשת. כל הארונות סביבי גדושים בקופסאות מתחת שמחוברות לחשמל, שרתי מחשב גבוהי קומה. טקטיקת החשיבה חלפה די מהר ועברתי למצב פעולה. נגשתי לאחד הארונות וראיתי שומר מסך שחור, הזזתי את העכבר ונתקלתי במסך Logon של השרת. התחלה טובה, אך לא מספקת מאחר שאין בידי אף סיסמא או שם משתמש שיעזרו לי להכנס למערכת. (ישנן שיטות פחות זהירות העשויות לגרום נזק לשרת ברגע שיש גישה פיזית אליו, אך לא רציתי להשבית ולו למספר דקות, אף שרת). עברתי למחשב נוסף הזזתי את העכבר ושוב נתקלתי במסך Logon של השרת. בשלב הזה כבר הבחנתי בהתלחששות סביבי, עד שניגש אלי אחד הטכנאים ובקש שאזדהה. הצגתי את עצמי כטכנאית של חברת חומרה חיצונית חבשתי מבט אולי קצת כועס מעצם השאלה ועברתי לשרת הבא בטור. הטכנאי שב לעיסוקיו. למרבה הפתעתי הפעם כשהזזתי את העכבר לא נתבקשתי להקיש שם משתמש וסיסמא וכבר הייתי בתוך המערכת. מיהרתי ויצרתי משתמש חדש, הוספתי אותו לקבוצת מנהלי הרשת שהיא קבוצה הקיימת כברירת מחדל ברוב ממערכות השרת ומעניקה לחבריה באופן אוטומטי הרשאות של מנהל רשת. התרגיל עבר בהצלחה, היו הרבה טכנאים כעוסים אך לפחות מלומדי ניסיון. המסקנה המתבקשת הפעם היא שטוב שיש קוד כניסה למערכת אך טוב יותר אם נגלה ערנות שמא נתפס, שלא לאומר, אם המכנסיים למטה.

כל השיטות המתוארות לעיל הינן שיטות פעולה לגיטימיות לאיסוף מידע או חדירה למערכות מחשב לאו דווקא בדרך שהיינו מדמיינים לעצמנו.


ניצול שגיאות תוכנה ושימוש בדלתות אחוריות (Exploit, Vulnerability and Back Doors)
חדירה למערכת יכולה להתבצע בשכבות שונות של הרשת, משכבת ה- Network כגון הפלת המערכת ע"י ביצוע מתקפת Syn, Ping of death ועד שכבת ה- Application. השכבה הקשה ביותר להגנה היא השכבה השביעית במודל 7 השכבות ה- Application layer. הסיבה לכך נעוצה במספר עובדות האחת, בשכבה זו האחריות למניעת פריצות מצויה בידי האפליקציה ומפתחיה, כל באג (טעות כתיבה בקוד התוכנה) עשוי להוות פתח לפריצת המערכת או הפלתה ע"י Buffer Over Flow שמשמעותו היא שימוש לא נכון בזיכרון המחשב או שליחת כמות מוגזמת של נתונים, כאשר התוכנה המיועדת מצפה לכמות קטנה יותר ולכן אינה יודעת כיצד להתנהג עם שאר הנתונים שהתקבלו. והסיבה השניה היא מורכבות הטיפול בנתונים שמתקבלים. לדוגמא: כדי להתמודד עם בעיה ברמת ה- Network יש לבדוק כל חבילת מידע (Packet) המגיעה למערכת לעומת זאת בדיקה של הודעת דואר אלקטרוני מורכבת יותר מאחר שתחילה יש לאסוף את כל חבילות המידע, להרכיב מהם את ההודעה ולבסוף לבצע את הבדיקה הרצויה.

חדירות למחשבים ע"י ניצול לרעה של חולשות המערכת (Vulnerability) מאוד נפוצות בקרב האקרים וכדי להגן מבפניהם יש צורך בפעולת הקשחת שרתים (הסרת השירותים הלא רלוונטים והעלאת אמת האבטחה של השרת), ובבניית שכבות הגנה נוספות כגון התקנת אנטי וירוס, עדכון Hotfixes ומערכות IDS וכו'.

בדר"כ ארגונים מסתפקים בהתקנת שרת Firewall כגון שרת ISA מבית מיקרוסופט המספק הגנה הכרחית. שרת Firewall נועד בתכליתו לסגירה ופתיחה של Ports (כל Port מיצג שרות במערכת) בהתאמה לסט חוקים (Rules/Policies) שנקבע מראש. כדוגמא מנהל אבטחת מידע יכול להגדיר ע"פ מדיניות הארגון האם לאפשר או לא לאפשר כניסה ויציאה דרך פורט 25 המיצג את פרוטוקול SMTP (שירות דואר) או לאפשר כניסה ויציאה של תעבורת הרשת בפורט 80 המייצג את פרוטוקול HTTP. כיום שרתי Firewall הרבה יותר מתוחכמים ולכן מסוגלים לתת שרותי אבטחה מתקדמים.

כמעט כל ארגון מאפשר לעובדיו לגלוש באינטרנט באופן שוטף ועל כן, במידה וקיים שרת FireWall יוגדר חוק המאפשר כניסה ויציאה של תעבורת רשת בפורט 80 (HTTP). חוק זה מאפשר שימוש בדפדפן אינטרנט לשם שיטוט באינטרנט כגון: http://www.RemoteWebSite.co.il/index.asp אולם, במידה ונוסיף לשורה זו פרמטרים נוספים נוכל במקרים מסויימים לקבל הרבה יותר מסתם דף HTML במידה והשרת לא הוקשח כנדרש.

 

 

ניצול שגיאות תוכנה ושימוש בדלתות אחוריות (Exploit, Vulnerability and Back Doors)


חדירה למערכת יכולה להתבצע בשכבות שונות של הרשת, משכבת ה- Network כגון הפלת המערכת ע"י ביצוע מתקפת Syn, Ping of death ועד שכבת ה- Application. השכבה הקשה ביותר להגנה היא השכבה השביעית במודל 7 השכבות ה- Application layer. הסיבה לכך נעוצה במספר עובדות האחת, בשכבה זו האחריות למניעת פריצות מצויה בידי האפליקציה ומפתחיה, כל באג (טעות כתיבה בקוד התוכנה) עשוי להוות פתח לפריצת המערכת או הפלתה ע"י Buffer Over Flow שמשמעותו היא שימוש לא נכון בזיכרון המחשב או שליחת כמות מוגזמת של נתונים, כאשר התוכנה המיועדת מצפה לכמות קטנה יותר ולכן אינה יודעת כיצד להתנהג עם שאר הנתונים שהתקבלו. והסיבה השניה היא מורכבות הטיפול בנתונים שמתקבלים. לדוגמא: כדי להתמודד עם בעיה ברמת ה- Network יש לבדוק כל חבילת מידע (Packet) המגיעה למערכת לעומת זאת בדיקה של הודעת דואר אלקטרוני מורכבת יותר מאחר שתחילה יש לאסוף את כל חבילות המידע, להרכיב מהם את ההודעה ולבסוף לבצע את הבדיקה הרצויה.

חדירות למחשבים ע"י ניצול לרעה של חולשות המערכת (Vulnerability) מאוד נפוצות בקרב האקרים וכדי להגן מבפניהם יש צורך בפעולת הקשחת שרתים (הסרת השירותים הלא רלוונטים והעלאת אמת האבטחה של השרת), ובבניית שכבות הגנה נוספות כגון התקנת אנטי וירוס, עדכון Hotfixes ומערכות IDS וכו'.

בדר"כ ארגונים מסתפקים בהתקנת שרת Firewall כגון שרת ISA מבית מיקרוסופט המספק הגנה הכרחית. שרת Firewall נועד בתכליתו לסגירה ופתיחה של Ports (כל Port מיצג שרות במערכת) בהתאמה לסט חוקים (Rules/Policies) שנקבע מראש. כדוגמא מנהל אבטחת מידע יכול להגדיר ע"פ מדיניות הארגון האם לאפשר או לא לאפשר כניסה ויציאה דרך פורט 25 המיצג את פרוטוקול SMTP (שירות דואר) או לאפשר כניסה ויציאה של תעבורת הרשת בפורט 80 המייצג את פרוטוקול HTTP. כיום שרתי Firewall הרבה יותר מתוחכמים ולכן מסוגלים לתת שרותי אבטחה מתקדמים.

כמעט כל ארגון מאפשר לעובדיו לגלוש באינטרנט באופן שוטף ועל כן, במידה וקיים שרת FireWall יוגדר חוק המאפשר כניסה ויציאה של תעבורת רשת בפורט 80 (HTTP). חוק זה מאפשר שימוש בדפדפן אינטרנט לשם שיטוט באינטרנט כגון: http://www.RemoteWebSite.co.il/index.asp אולם, במידה ונוסיף לשורה זו פרמטרים נוספים נוכל במקרים מסויימים לקבל הרבה יותר מסתם דף HTML במידה והשרת לא הוקשח כנדרש.