Web Analytics

מחשבה על מהות הפגיעוּת

אני רוצה להציע מחשבה קצת אחרת על מושג הפגיעוּת (vulnerability).
פגיעות, בהקשר של אבטחת מידע, תתייחס לחולשות או סיכוי לפגיעה במידע או מערכות מידע.

פגיעות, כמושג, הרי מגיעה מחיי אנוש, חולשה של אדם המסכנת את גופו ו/או נפשו ומגבירה את הסיכון לפגיעה באותו אדם.
פגיעות היא משהו פסיבי, מעין תכונה קיימת, שרצוי לחזק/לתקן אותה בהקדם האפשרי, בכדי להקטין את האפשרות לפגיעה.

אם באג פוגע בחישובי המערכת, ביציבותה ובביצועיה – הרי שבאג לרוב יתממש באופן לא מכוון, בעת התרחשות של מקרים מסוימים, חלקם מקורם בבני אנוש וחלקם בתהליכים אוטומטיים.

פגיעות, לדעתי, היא למעשה לא יותר ממקרה פרטי של באג, אבל מקרה פרטי חשוב – פגיעות לא תהיה באג ולא תתממש, בדומה למקרים רבים בחיי אנוש, ללא כוונת זדון של בן אנוש (למעט אולי, מקרי DoS, שיכולים, בדוחק רב, להיחשב כחוסר יכולת לעמוד בעמוס גבוה של פעילות תפעולית לגיטימית).
פגיעות היא באג המונע ומתממש מתוך כוונת זדון אנושית בלבד.

הן בני אנוש והן מערכות תקשוב יכולים להתקיים זמן רב ללא נזקים אם הן חיות בסביבה שאינה עוינת או זדונית.
ללא היוזמה לניצול הפגיעות – הרי שניתן לומר כאילו שהפגיעות כלל אינה קיימת, כי לא בוצע פעולה כלשהי שחשפה או ניצלה את הפגיעות.

הרבה פעמים, באבטחת מידע, אנו נוטים להתרכז בצד הטכנולוגי של העבודה (ובשל כך גם מחפשים פתרונות טכנולוגים בלבד), ומתעלמים/מזניחים את הטיפול ביסוד האנושי המהותי הטבוע במקצוע אבטחת המידע (ובמקצועות הביטחון והאבטחה בכלל), שאיתו יותר קשה לנו להתמודד, הן אישית והן כארגון – כוונת הזדון.

אוי לאתר ואבוי לשכנו

אתר נחמד, שיכול להיות יעיל גם לבדיקות חוסן מסוג Black Box וגם להכנת תכנית הקשחה, הוא myIPneighbors אשר מאפשר לכם לדעת אילו אתרים נוספים מתארחים באותו השרת (שם דומיין) או כתובת ה-IP שתזינו לטופס באתר.

(עדכון, 16/5/08 – האתר לא היה פעיל, אז חיפשתי חלופות דומות. קבלו בנוסף את http://www.find-ip-address.org/reverse_lookup/
עדכון, 25/1/09 – עוד אפשרות – http://domainbyip.com)

השירות הזה רלוונטי כמובן רק לאתרים המתארחים על שרתים משותפים או לאיתור שמות sub-domain נוספים המתארחים תחת אותה כתובת IP.

תוצאות החיפוש מראות מצד שמאל את רשימת האתרים, ובצד ימין יש חלון המראה את תוכנו של דף השער של כל אתר שתקליקו על שמו.

אתר מסוג זה יכול לחשוף את מגוון התדמיות/פעילויות שארגון/אדם רוצים להציג לעולם, כי הרי, מן הסתם, הם לא ינהלו מספר אתרים על פני מספר ספקים/שרתים שונים, אלא יסתפקו באותו שרת, עם אותה כתובת IP ורק ישנו את שם הדומיין.

בצד המעשי, האתר יכול לחשוף דפי כניסה לניהול האתר, אתרי משנה הנמצאים בהקמה ועל כן פחות מוגנים, אתרי משנה (פעילים או עזובים) שהם פחות מוגנים ודרכם ניתן לחדור לאתר הראשי או אפילו את דפי
ה-Remote Access של הארגון (כגון אלו המבוססים SSL VPN).

לפעמים, עצם הידיעה שאתר של חברה מסוימת נמצא על אותו שרת עם אתרים של חברות/אנשים אחרים יכולה להעיד עדות ראשונית שהחברה בחרה שלא להגן על האתר שלה בעצמה באופן מלא, אלא הפקידה את הגנת האתר בידי ספק האירוח, דבר שמן הסתם לא יקרה ברמה מספקת.

מצד האספקט האישי, יש משהו מאוד משעשע, מאוד דמוקרטי, מקרי, בלהכיר מי השכנים שלך, כאשר הדברים היחידים המשותפים ביניכם הם אותו ספק אירוח, אותו שרת ואותה כתובת IP.
אני למדתי למשל, שנכון להיום, מתארחים לצידי אתרים של מאנגה בסינית או יפנית, יצרן מכונות מטאיוון, ציירת, דירוג בלוגים, חברת השקעות המשקיעה עבור משקיעים מוסלמים בהשקעות התואמות לרוח השריעה, צלם אופנה, לימוד פורטוגזית, סופר שכותב על דיג, להקת רוק צרפתית, בלוגר אמריקאי, רפובליקנים ממדינת וויומינג, עצות כיצד להתעשר ברשת, זמר, אתר אישי של דף אחד, תכנית רדיו באלסקה לתיקון בעיות מחשב בשידור חי…, וויקי של צמחים ולבסוף, חנות מצתים למעשנים.
( כשיגיע אתר פורנו אשקול ביקור נימוסין… (-; )

כמו בחיים האמיתיים, אין לך ממש אפשרות לבחור את השכנים שלך, אם כי ברשת לפחות אתה לא חייב לסבול מהם. אבל גם לא ליהנות מחברתם. דו-קיום אמיתי. כל אתר לנפשו.

תפיסה ומניעה של קידום דואל אוטומטי מתוך הארגון אל האינטרנט

לאחרונה עסקתי בהקמה של מערכת סינון דואל מול האינטרנט, ותוך כדי לימוד התעבורה ושיפצור חוקי הסינון, למדתי משהו מעניין שמאוד עוזר למניעת זליגת מידע.
לא משהו קרדינלי, לא מתחרה בתוכנות הייעודיות לנושא – אבל משהו קטן וטוב.

תפיסה

אם יש לכם בארגון שרת דואל פנים-ארגוני של מיקרוסופט, Exchange, עם לקוח Outlook, ואני מהמר שמרבית הארגונים הבינוניים והגדולים בישראל עובדים בתצורה זו, אז הנה דרך שתגלה לכם מי מבצע קידום
(Forward) אוטומטי של דואל אל מחוץ לארגון.

בכל פעם שמתרחש אירוע שנובע מחוק שמבצע קידום (ולא חשוב על פי אילו תנאים), שרת ה-Exchange מוסיף לחלק ה-body של הדואל שורת טקסט עצמאית שכוללת את הטקסט הבא באנגלית או בעברית:

auto forwarded by a rule

מועבר אוטומטית לנמענים על פי כלל

רק אחד מהביטויים האלו מוכנס לדואל, כנראה על פי הגדרות השפה בשרת ה-Exchange.
עצם העובדה שהביטויים האלו מתווספים רק ברמת ה-Exchange מונעת מהמשתמשים לבטל את הוספתה.

אם רוצים להגדיר את הביטויים הנ"ל כביטוי שלם ואחיד (Exact Phrase) במסגרת Regular Expression הרי שהמשפטים צריכים להיראות כך:

\bauto forwarded by a rule\b

b\מועבר אוטומטית לנמענים על פי כלל‎\b

כך שאם אתם יכולים במערכת סינון הדואל להקים חוק שתופס כל דואל יוצא שמכיל לפחות את אחד מהביטויים האלו (חוק ANY או OR) – אתם יכולים לדעת מי הקים חוק קידום אוטומטי.
גם אם לא תמצאו זליגת מידע זדונית, אתם עדיין תתפלאו (או לא) למצוא מספר נאה של עובדים שהחליטו לפתוח תיבת ראי לתיבת הדואל הארגונית שלהם, והם מקדמים כל דואל נכנס אל התיבה האישית שלהם באינטרנט.

חשוב לדעת כי לשיטה זו יש גם חריג שמאפשר במידה מסוימת לעקוף אותה:

כאשר העובד לא מגדיר חוק Outlook רגיל, אלא מפעיל את רכיב Out of office, הוא גם יכול להפעיל ברכיב זה חוקים שונים, ביניהם חוק קידום:

להגדרת חוק ה-Forward יש גם שדה של Method (שיטה):

ולשדה זה שלוש אפשרויות:

1. Standard – מדמה ביצוע קידום ידני על ידי המשתמש, כך ששדה ה-From נשאר עם כתובת הדואל של המשתמש עצמו, והמידע של הדואל המקורי נשאר בתוך הדואל כטקסט רגיל + הודעת הקידום הנזכרת לעיל. בשיטה זו החוק שתקימו יעבוד באופן תקין.

2. Leave message intact – במצב זה Exchange מתנהג כמעין "נתב דואל" ולא מבצע שום שינוי בדואל עצמו ורק מנתב אותו ליעד הנבחר בחוק.
זו הבחירה העוקפת את חוק הזיהוי הנזכר לעיל, מאחר ואין היא מכילה את הודעת הקידום המעידה על קידום אוטומטי. ניתן לתפוס הודעה מסוג זה בתנאי ומערכת הדואל שלכם מאפשרת לכם ליצור חוק Anti spoofing, שיתפוס כל דואל שהוא בכיוון יוצא (Outbound) אך עם כתובת דואל של :From שאינה משתמשת בשם הדומיין שלכם.
כך למשל, אם המשתמש הוא למשל בארגון microsoft.com והוא מקבל כעת דואל מ-yahoo.com, הדואל ייצא מהארגון עם שדה :From של yahoo.com .

3. As an attachment – בשיטה זו המצב דומה לשיטה הראשונה לעיל, למעט זה שהדואל המקורי מוכנס להודעה חדשה כאובייקט מצורף וגם אין את תוספת הודעת הקידום המעידה על קידום הדואל. אין לי ניסיון בתפיסת שיטה זו, אולם אם מערכת הסינון שלכם יודעת לשייך את אובייקט הדואל המקורי ולסרוק אותו מתוך הנחה שהוא בתוך הודעת דואל יוצאת – אזי יש סיכוי שההודעה הכוללת תיתפס במסגרת חוק Anti Spoofing.

מניעה

בצד המניעה "מיקרוסופט" מאפשר לנו למנוע קידום אוטומטי של דואל אל האינטרנט, באופן גלובלי בלבד (יש אפשרות עקיפה מסוימת. ראו בהמשך).
השדה הנוגע למקרה שלנו, ולו נרצה לבצע Disable, הוא כנראה Allow automatic forward בלבד, כי עדיין נרצה לאפשר למשתמשים לבצע reply של טקסט, כמו במקרה של Out of office.

You cannot restrict certain automatic responses to the Internet based on administrative groups in Exchange 2000 Server or in Exchange Server 2003, Article ID: 840158

Automatic replies, automatic forwards and Out of Office to Internet recipients are disabled in Exchange 2000 Server and in Exchange Server 2003, Article ID: 266166

פירוט תיבת הדיאלוג המדוברת לגבי Exchange 2003, ולגבי 2007 (הסברים טובים יותר).

כיצד בכל אופן לאפשר למשתמשים מסוימים לבצע קידום אוטומטי, למרות שקיימת הגבלה ארגונית:

How to Override Blocked Auto-Forwarding for Select Users, Article ID: 317652