כל מי שקורא חדשות טכנולוגיות, שמע בוודאי על מקרים של ניסיונות פריצה לחברות גדולות ו/או גניבת מידע, תוכניות, קוד ועוד מהתשתית הפנימית של חברות שונות.
בואינג, איירבאס, נאס"א, ועוד חברות וארגונים ציבוריים, פרטיים וממשלתיים נחשפו שוב ושוב לתקיפת המערכות שלהן, למרות שאותן מערכות כלל אינן מחוברות לאינטרנט.
כפרילאנסר, אני צריך לבקר לא מעט בחברות לצרכי ישיבות בנושאים שונים. באותם המקרים, אין כמובן גישה ל-LAN של החברה בתוך חדר הישיבות, ואם אתה רוצה חיבור לאינטרנט, יש WIFI מיוחד ל"אורחים": אתם מתחברים לאותה נקודת WIFI, מקבלים מסך EULA, מסכימים לתנאים ואז יש לכם גישה לאינטרנט ללא גישה לאינטרה-נט של החברה. (לא תמיד. מדהים לגלות כמה אנשי IT משתמשים באותו DNS פנימי גם ל-WIFI שהוא GUEST, ואז כשמראים להם מה ניתן לגלות בעזרת פקודת dig פשוטה – הם המומים).
הבעיה מתחילה בכך שכמישהו חיצוני מקצועי מגיע לחברה עם המחשב הנייד שלו, והוא צריך להתחבר ל-LAN כדי לבצע פעולות מהמחשב הנייד שלו. אישית, אני יכול להעיד לכם שכמות הפעמים שהייתי צריך לעשות זאת וקיבלתי "לא" – הייתה קטנה מאוד. בדרך כלל, התנו לי את זה בכך שאני לא אהיה מחובר במקביל לאינטרנט דרך הטלפון הסלולרי לדוגמא (hotspot).
וכאן מתחיל הפספוס הגדול
הסינים, הרוסים, האיראנים ושלל מדינות נוספות (גם ידידותיות או "ידידותיות") רוצים לקבל נתונים על התשתית הפנימית של חברות ביטחוניות, צבא, משרדים ביטחוניים, מוסדות פיננסיים ועוד, ולכן, כל מה שהם יכולים להשיג – מבורך. מכיוון שברוב המקרים אין להם גישה לתשתית הפנימית, הם משתמשים בטריק פשוט שאותן חברות שציינתי בתחילת המאמר – סבלו מהן: לפרוץ למחשבים של קבלן המשנה/עצמאי ולשתול שם מספר תוכנות שירוצו ברקע, וכשיהיה חיבור מהמחשב הנייד דרך LAN או WIFI לתשתית כלשהי, התוכנות האלו יתחילו לרוץ, לסרוק את הרשת ולחפש כל דרך לקבל מידע. המידע שהם יצליחו לקבל דרך אותם כלים יישמר מקומית במחשב הנייד, וברגע שאותו מחשב נייד יחובר לאינטרנט, אותן תוכנות ישדרו את הנתונים בחזרה לגוף הפורץ וימחקו את הנתונים מהדיסק הקשיח המקומי. כך, הסינים הצליחו לגנוב המון תוכניות ומידע, והרוסים הצליחו לפרוץ לתחנות כוח בארה"ב.
חברות רבות מנסות לחסום את ההתחברות הזו דרך כתיבת נהלים והפצתם, אך השיטה הזו לא עובדת. תארו לכם שיש מצב שיש תקלה קריטית, ומגיע מישהו מקצועי שצריך להתחבר ב-SSH או RDP לשרת. בפעמים כאלו, אף אחד לא יתייחס לנוהל, ואותו מישהו מקצועי יתחבר עם המחשב הנייד שלו - ראיתי זאת לא פעם ולא פעמיים.
אז מה ניתן לעשות?
להלן כמה רעיונות:
• Whitelist לכל כתובות ה-Mac Address של המכונות בחברה. כן, זה תהליך ארוך ומייגע (אם כי יש כלים ושיטות לאסוף כתובות MAC ולהזין אותם למתגים/נתבים) ולאפשר התחברות אך ורק ל-MAC "מולבן".
• שימוש ב-Disk On Key. אם האיש המקצועי רוצה להעתיק קבצים לדוגמא, שיעשה זאת באמצעות ההתקן. לא לשכוח לבצע בדיקת קבצים לאחר ההעתקה ולפני הטמעתם.
• שימוש בתוכנת Guacamole עם 2FA: אם מקבלים עזרה מבחוץ, זהו כלי שבהחלט יכול לעזור. בשיטה זו התקשורת מוצפנת ואינה עוברת באופן "טבעי" (כך שאם יש פריצה
לדוגמא ב-RDP, זה לא ממש משנה, כי הכלי בתוך Guacamole אינו חלק מ-Windows), ואם השרת שצריך לתקן הוא Windows, עדיף להשתמש ב-VNC ולחבר אותו ל-Guacamole, כך שתוכלו לראות מה בדיוק נעשה. שימו לב: עניין ה-2FA מאוד חשוב.
• השתדלו להימנע מלהשתמש בכלי שליטה מרחוק מקומיים (Any desk, Team viewer) – בחברות רבות כלים אלו מותקנים ואינם מעודכנים כלל וכלל, מה שיכול לאפשר פריצה מרחוק "בשקט".
• אם מישהו צריך להתחבר ב-SSH, תנו לו לעשות זאת רק לאחר שתריצו את screen או tmux, כך תוכלו לדעת מה הוא עושה.
• אל תשתמשו בתוכנות מאתרים ישראליים. במקרים רבים התוכנות שם ישנות ויש להן פריצות. במיוחד לא תוכנות כמו Ammyy admin!
• הנהלת-IT/מנמ"ר/CTO – דאגו להורות כי כל חיבור מחשב חיצוני יחובר רק לאחר כשאין ברירה ושמחלקת אבטחת מידע מודעת לנושא ואישרה את החיבור. כמו כן, יש לוודא בזמן החיבור שיהיה ניטור LAN מאותה כתובת IP.
לסיכום
לרוב האנשים אין ידע עמוק ב-OS Internals שמותקן במחשב הנייד שלהם, וכשגוף עוין גדול רוצה לפרוץ, הוא ימצא את הדרך לפרוץ (ושום אנטי וירוס לא ממש יעזור, ברוב הזמן כלי ההגנה לא ממש יודעים לזהות כלים כאלו), ולכן, מחובתכם לנעול את המערכות שלכם ולא לאפשר חיבור ציוד חיצוני אם התשתית היא רגישה/מסווגת/סודית. במקרים של אין ברירה, אני ממליץ לשקול את הנקודות שציינתי לעיל. בהצלחה!
מאת: חץ בן חמו, יועץ ומומחה בנושאי ענן, וירטואליזציה, לינוקס, אחסון ועוד
רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
כל מי שקורא חדשות טכנולוגיות, שמע בוודאי על מקרים של ניסיונות פריצה לחברות גדולות ו/או גניבת מידע, תוכניות, קוד ועוד מהתשתית הפנימית של חברות שונות.
בואינג, איירבאס, נאס"א, ועוד חברות וארגונים ציבוריים, פרטיים וממשלתיים נחשפו שוב ושוב לתקיפת המערכות שלהן, למרות שאותן מערכות כלל אינן מחוברות לאינטרנט.
כפרילאנסר, אני צריך לבקר לא מעט בחברות לצרכי ישיבות בנושאים שונים. באותם המקרים, אין כמובן גישה ל-LAN של החברה בתוך חדר הישיבות, ואם אתה רוצה חיבור לאינטרנט, יש WIFI מיוחד ל"אורחים": אתם מתחברים לאותה נקודת WIFI, מקבלים מסך EULA, מסכימים לתנאים ואז יש לכם גישה לאינטרנט ללא גישה לאינטרה-נט של החברה. (לא תמיד. מדהים לגלות כמה אנשי IT משתמשים באותו DNS פנימי גם ל-WIFI שהוא GUEST, ואז כשמראים להם מה ניתן לגלות בעזרת פקודת dig פשוטה – הם המומים).
הבעיה מתחילה בכך שכמישהו חיצוני מקצועי מגיע לחברה עם המחשב הנייד שלו, והוא צריך להתחבר ל-LAN כדי לבצע פעולות מהמחשב הנייד שלו. אישית, אני יכול להעיד לכם שכמות הפעמים שהייתי צריך לעשות זאת וקיבלתי "לא" – הייתה קטנה מאוד. בדרך כלל, התנו לי את זה בכך שאני לא אהיה מחובר במקביל לאינטרנט דרך הטלפון הסלולרי לדוגמא (hotspot).
וכאן מתחיל הפספוס הגדול
הסינים, הרוסים, האיראנים ושלל מדינות נוספות (גם ידידותיות או "ידידותיות") רוצים לקבל נתונים על התשתית הפנימית של חברות ביטחוניות, צבא, משרדים ביטחוניים, מוסדות פיננסיים ועוד, ולכן, כל מה שהם יכולים להשיג – מבורך. מכיוון שברוב המקרים אין להם גישה לתשתית הפנימית, הם משתמשים בטריק פשוט שאותן חברות שציינתי בתחילת המאמר – סבלו מהן: לפרוץ למחשבים של קבלן המשנה/עצמאי ולשתול שם מספר תוכנות שירוצו ברקע, וכשיהיה חיבור מהמחשב הנייד דרך LAN או WIFI לתשתית כלשהי, התוכנות האלו יתחילו לרוץ, לסרוק את הרשת ולחפש כל דרך לקבל מידע. המידע שהם יצליחו לקבל דרך אותם כלים יישמר מקומית במחשב הנייד, וברגע שאותו מחשב נייד יחובר לאינטרנט, אותן תוכנות ישדרו את הנתונים בחזרה לגוף הפורץ וימחקו את הנתונים מהדיסק הקשיח המקומי. כך, הסינים הצליחו לגנוב המון תוכניות ומידע, והרוסים הצליחו לפרוץ לתחנות כוח בארה"ב.
חברות רבות מנסות לחסום את ההתחברות הזו דרך כתיבת נהלים והפצתם, אך השיטה הזו לא עובדת. תארו לכם שיש מצב שיש תקלה קריטית, ומגיע מישהו מקצועי שצריך להתחבר ב-SSH או RDP לשרת. בפעמים כאלו, אף אחד לא יתייחס לנוהל, ואותו מישהו מקצועי יתחבר עם המחשב הנייד שלו - ראיתי זאת לא פעם ולא פעמיים.
אז מה ניתן לעשות?
להלן כמה רעיונות:
• Whitelist לכל כתובות ה-Mac Address של המכונות בחברה. כן, זה תהליך ארוך ומייגע (אם כי יש כלים ושיטות לאסוף כתובות MAC ולהזין אותם למתגים/נתבים) ולאפשר התחברות אך ורק ל-MAC "מולבן".
• שימוש ב-Disk On Key. אם האיש המקצועי רוצה להעתיק קבצים לדוגמא, שיעשה זאת באמצעות ההתקן. לא לשכוח לבצע בדיקת קבצים לאחר ההעתקה ולפני הטמעתם.
• שימוש בתוכנת Guacamole עם 2FA: אם מקבלים עזרה מבחוץ, זהו כלי שבהחלט יכול לעזור. בשיטה זו התקשורת מוצפנת ואינה עוברת באופן "טבעי" (כך שאם יש פריצה
לדוגמא ב-RDP, זה לא ממש משנה, כי הכלי בתוך Guacamole אינו חלק מ-Windows), ואם השרת שצריך לתקן הוא Windows, עדיף להשתמש ב-VNC ולחבר אותו ל-Guacamole, כך שתוכלו לראות מה בדיוק נעשה. שימו לב: עניין ה-2FA מאוד חשוב.
• השתדלו להימנע מלהשתמש בכלי שליטה מרחוק מקומיים (Any desk, Team viewer) – בחברות רבות כלים אלו מותקנים ואינם מעודכנים כלל וכלל, מה שיכול לאפשר פריצה מרחוק "בשקט".
• אם מישהו צריך להתחבר ב-SSH, תנו לו לעשות זאת רק לאחר שתריצו את screen או tmux, כך תוכלו לדעת מה הוא עושה.
• אל תשתמשו בתוכנות מאתרים ישראליים. במקרים רבים התוכנות שם ישנות ויש להן פריצות. במיוחד לא תוכנות כמו Ammyy admin!
• הנהלת-IT/מנמ"ר/CTO – דאגו להורות כי כל חיבור מחשב חיצוני יחובר רק לאחר כשאין ברירה ושמחלקת אבטחת מידע מודעת לנושא ואישרה את החיבור. כמו כן, יש לוודא בזמן החיבור שיהיה ניטור LAN מאותה כתובת IP.
לסיכום
לרוב האנשים אין ידע עמוק ב-OS Internals שמותקן במחשב הנייד שלהם, וכשגוף עוין גדול רוצה לפרוץ, הוא ימצא את הדרך לפרוץ (ושום אנטי וירוס לא ממש יעזור, ברוב הזמן כלי ההגנה לא ממש יודעים לזהות כלים כאלו), ולכן, מחובתכם לנעול את המערכות שלכם ולא לאפשר חיבור ציוד חיצוני אם התשתית היא רגישה/מסווגת/סודית. במקרים של אין ברירה, אני ממליץ לשקול את הנקודות שציינתי לעיל. בהצלחה!
מאת: חץ בן חמו, יועץ ומומחה בנושאי ענן, וירטואליזציה, לינוקס, אחסון ועוד
רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר