החלטתי לכתוב מאמר קטן, זה מגיע בעקבות הפוסט שראיתי השבוע שהתחיל דיון מעניין על שרתים שנפרצים דרך RDP.
יש כמה מגמות שאני רואה שמתרחשות בעולם שלנו כעת:
1. המעבר ל DevOps מתרחש גם מכיוון אנשי הסיסטם הקלאסיים (אוהב להגיד בגאווה שהייתי אחד כזה פעם), מהסוג שעוד התקינו שרתי 2000/2003 על שרת פיזי ! :) , אותם אנשי סיסטם רואים שבגדול הצורך ב 3rd Level מתחיל לרדת עם עולם ה CLOUD ומבינים שצריך להתקדם ולהתפתח לכיוון התוכנה.
2. המעבר ל DevOps מתרש מכיוון אנשי תוכנה שמבינים ש " רק לכתוב קוד" זה פשוט לא מספיק :) , אני עדיין זוכר שהייתה תקופה שמתכנת לא ידע להתקין מערכת הפעלה, אני שמח לראות אנשי תוכנה שמבינים שהעולם שלהם צריך להיות מעולם הקוד לעולם ה Deployment.
3. החברה הצעירים יותר , שלרוב לא התקינו אף פעם שרת פיזי, ולרוב לא קינפגו FireWall באופן מלא, לא ראו אסמבלר בחייהם... ילדי ה Cloud... יודעים לבנות מוצרים מהר מאד, Delivery מטורף אבל לרוב על תשתית מוכנה.
כל נושא ה DevOps זה משהו שאני וקולגות שלי מדברים עליו רבות ואני בטוח שהוא יכול בעצמו להיות מאמר ענק, הרי כל הקהילה הזאת היא לדעתי ברובה השילוב של אנשי תוכנה ואנשי סיסטם שעובדים ביחד עם ה Cloud In Sweet Harmony (אם אתם מעל גיל 30 - יש קליפ עם הרבה אנשים ערומים עם אותו השם )
אני חייב להגיד שבאופן אישי נתקלתי במושג DevOps לפני 5 שנים בערך שבניתי תשתית AWS די מורכבת ללקוח ישראלי, ואיש התוכנה שעבדתי מולו ועזרתי לו לאפיין את המערכת אמר לי שהוא רוצה לעשות את המעבר ל DevOps, והוא היה מאד להוט ללמוד את הארכיקטורה ועבודת ה Networking שעשיתי ב AWS ( מערכת ממש יפה , VPNים על VPNים ובערך 200 VPC באיזורים שונים .... עדיין מרגש אותי לחשוב על זה )
במקביל עולם ה Cyber Threats משתנה באופן קיצוני:
1. מתקפות סייבר הם מודול עסקי לכל דבר ואתם עומדים מול גופים " מסחריים" ( לא חוקיים לרוב אבל עובדים בצורה מסחרית) שהם עובדים ברמה הגבוהה ביותר, אנשים יוצאים 8200 ( בגרסה הרוסית והסינית), בסין זה אפילו יחידות צבא מבצעיות שעובדות גם בתור קבלנים ( גם בישראל יש דברים דומים)
2. דליפות של כלים ברמות ממשלה כמו ה Eternal Blue זה Game Changer ענק , שתדעו שגרסאות שלו עדיין קורעות לגזרים מערכות שעדיין !! - כן עדיין ! לא הספיקו לעשות Patchינג
*** המהירות שבה Eternal Blue נהפך ל RansomWare כחבילה אחת מראה כמה מקצועי / מסחרי / מהירים הם ה BAD GUYS.
3. גודל מתקפות ה DDOS שובר שיאים, וניתן להזמין שירותי DDOS דרך אתרי שירות ממש קלים - ממש ברמה של Shopping Cart, תעשו חיפוש קטן ב Dark Web ( נו הרשת הזאת שלא מופיעה בגוגל.. :) ) ותראו.
עם ה IOT הפך לצלחת פטרי לבוטים שעושים DDOS.
4. עולם ה Phishing עולה לדרגות אחרות לגמרי שזה נוגע לגניבת מידע ובאופן כללי גניבת Intellectual property
5. יותר ויותר Zero Day Exploits ( שאין לך שום הגנה בעת החשיפה הראשונית ) יוצאים "לשוק" ( זה קשור מאד לסעיף 1 )
בגדול.. מאתגר.
ובעולם ה Cloud הכל נהיה נגיש יותר , קל יותר , מדהים יותר.
אפשר לעשות דברים ב 5 דקות שהיו פנטזיה או התקנה של 5-6 ימים לפני עולם ה Cloud.
חלק מהשינויים האלו זה האפשרות לפרוס מכונות VM בכמה דקות ולקבל גישה מיידית, אפילו מיקרוסופט אימצה את הגישה של AWS והפסיקה בגדול ללכת על ה NAT כברירת מחדל ומכונות חדשות מגיעות עם 3389 פתוח ישירות ( כדי לספק יותר מהירות ).
עכשיו נחזור לכותרת שלי - למה עולם ה DevOps כל כך מפספס את נושא אבטחת המידע (לא כאן בקבוצה שלנו אלא מקרים שאני נתקל בהם באופן אישי כיועץ ואדריכל מערכות ):
אנשי ה DevOps (לדעתי) לא מבינים מהו איום סייבר באמת:
1. מי שביצע את המעבר מכיוון הסיסטם יודע לקנפג את השרת , יודע לקנפג את הפיירוול שלו אבל לא באמת מסתכל על הצד האפלקטיבי , ואם צריך לשים שרת IIS פונה חוצה ללא קינפוג הרשאות - שיהיה ... "כי זה לא באמת החלק שלי"
2. מי שביצע את המעבר מכיוון איש התוכנה לרוב מבין את הסיכונים האפלקטיבים ( Sql Injection ונושאי ה WAF השונים ) אך יותר מדי פעמים אני רואה מכונות Dev שמוקמות עם 3389 פתוח וסיסמה מגוכחת (למה כי זה DEV ... וזה לא באמת חשוב ...וכו )
3. ילדי ה Cloud הצעירים שמבצעים פריסה ישירות לענן לרוב מודעים לאבטחת מידע ( אכן מפתיע ) אך הרוב מתבסס על פתרונות מוכנים נטו , ואם יש צורך ב Custom Solution כלשהו כמו חיבור On-Prem כלשהו - אבטחת המידע נעלמת לגמרי.
מה עושים ? - לומדים:
אני שנים "מתעסק באבטחת מידע" אבל העיניים שלי נפתחו באמת רק שעשיתי קורס של Offensive Security , שזה Hands On מטורף על נושא ה Penetration Testing, קורס נהדר וקשה בצורה מטורפת ( ונהדרת ).
שם רואים איך באמת נראה התהליך מהצד של התוקף.
התוקפים הם אנשי סיסטם , אנשי תוכנה , יצירתיים מאד , חזקים מאד ( הרבה יותר חכמים ממני)
בגדול:
1. סריקה מלאה וקבלת "תמונת מצב של המערכת"
2. חיפוש חולשות
3. שימוש בקלים קיימים לניצול החולשות
4. בניית כלים Custom Made לשימוש החולשות
5. ביצוע Exploit
6. השרת שלכם הוא Our Bitch
זה כמובן תמצות מטורף , אבל בגדול כדי לחזור לנושא שלנו:
1. שאתם שמים שרת עם 3389 פתוח , אתם תוך שניות נחפשים ל Scannerים שונים שסורקים כל הזמן את הרשת , כל הזמן !!! והתוקף (שמריץ את זה בתור סקריפט לרוב) מקבל עדכון מדויק על 3389 פתוח , ולרוב לפי גרסת ה RDP אפשר לדעת איזה מערכת הפעלה זאת
2. תוך שניות אותו ה Scanner יתחיל להפעיל Brut Force או Dictionary Attack ואם יש לכם סיסמה קלה זה יפרץ תוך כמה דקות , כן כמה דקות !!! - שאני מרצה על הנושא אני עושה הדגמה מדי פעם ושם סיסמה 1235678 לשרת ב AWS או Azure ומדי פעם תוך כמה דקות יש פריצה פנימה.
למה 3389 שפתוח לכולם זה "אסון" - כי אתה מודיע לתוקפים שלך במיידי ש:
1. אני לא מקצועי לכן אם שמתי 3389 כנראה שאני גם לא משתמש בהגנות אחרות
2. את זה שזה שרת לרוב חדש ולא הספקת לשים הגנות לכן זה זמן מושלם להכנס מהר , להשתיל Package ולחכות ולראות למה השרת הזה יהפוך ( מושלם אם אתה מקים DC לדוגמה :) )
3. הסיסמה שלי תהיה חלשה לרוב
בנוגע לשיחה שלנו שהייתה על RDP:
1. זה פרוטוקול שאפשר להריץ דרכו Remote Execution שזה אומר להריץ תוכנה זדונית ללא הצורך לשים אותה בשרת לפני.
2. גם במידה ויש לך Patchינג מלא - אם הסיסמה שלך חלשה , ישתמשו בזה כדי להכנס "לשניה" לשים את ה Package ואז לקבל שליטה.
אז מה עושים - מה חייבים לעשות:
1. לא פותחים 3389 למעט דרך VPN או דרך ACL שמקביל את המקור
2. תמיד סיסמאות מורכבות - תמיד !!! - תשתמשו ב Password Generator - לעולם לא מילים שיש במילון.
3. לומדים - כל איש DevOps חייב להכיר קצת "Kali" - אתם חייבים לראות מה הכלים שיש שם "מהמדף" כדי
ואולי ( ואל תכעסו על זה אנשי DevOps ) - לא מנסים להיות הכל מהכל ... מועטים אנשים שהם באמת Jack Of All Trades.
יש סיבה שבחברות גדולות (לא חברות Legacy אלא חברות טכנולוגיות גדולות )יש אנשי אבטחת מידע וגם אנשי פיתוח וגם אנשי סיסטם , ואפילו אנשי DevOps :)
איפה בד"כ נופלים - החברות החדשות , הקטנות , ה Startups שנופלים כי פשוט אין משאבים לתכנון נכון של אבטחת מידע ואז ה Intellectual Property שלכם אצל המתחרים (לרוב בסין) מהיום הראשון שהקמתם את השרת.
לסיכום:
1.פורט 3389 פתוח לאינטרנט זה ממש רע
2. סיסמאות פשוטות אפילו אם זה לשרת Dev קטן זה ממש רע
3. למידה של אבטחת מידע בסיסית זה חובה לכל הקשת של DevOps
חג שמח.
החלטתי לכתוב מאמר קטן, זה מגיע בעקבות הפוסט שראיתי השבוע שהתחיל דיון מעניין על שרתים שנפרצים דרך RDP.
יש כמה מגמות שאני רואה שמתרחשות בעולם שלנו כעת:
1. המעבר ל DevOps מתרחש גם מכיוון אנשי הסיסטם הקלאסיים (אוהב להגיד בגאווה שהייתי אחד כזה פעם), מהסוג שעוד התקינו שרתי 2000/2003 על שרת פיזי ! :) , אותם אנשי סיסטם רואים שבגדול הצורך ב 3rd Level מתחיל לרדת עם עולם ה CLOUD ומבינים שצריך להתקדם ולהתפתח לכיוון התוכנה.
2. המעבר ל DevOps מתרש מכיוון אנשי תוכנה שמבינים ש " רק לכתוב קוד" זה פשוט לא מספיק :) , אני עדיין זוכר שהייתה תקופה שמתכנת לא ידע להתקין מערכת הפעלה, אני שמח לראות אנשי תוכנה שמבינים שהעולם שלהם צריך להיות מעולם הקוד לעולם ה Deployment.
3. החברה הצעירים יותר , שלרוב לא התקינו אף פעם שרת פיזי, ולרוב לא קינפגו FireWall באופן מלא, לא ראו אסמבלר בחייהם... ילדי ה Cloud... יודעים לבנות מוצרים מהר מאד, Delivery מטורף אבל לרוב על תשתית מוכנה.
כל נושא ה DevOps זה משהו שאני וקולגות שלי מדברים עליו רבות ואני בטוח שהוא יכול בעצמו להיות מאמר ענק, הרי כל הקהילה הזאת היא לדעתי ברובה השילוב של אנשי תוכנה ואנשי סיסטם שעובדים ביחד עם ה Cloud In Sweet Harmony (אם אתם מעל גיל 30 - יש קליפ עם הרבה אנשים ערומים עם אותו השם )
אני חייב להגיד שבאופן אישי נתקלתי במושג DevOps לפני 5 שנים בערך שבניתי תשתית AWS די מורכבת ללקוח ישראלי, ואיש התוכנה שעבדתי מולו ועזרתי לו לאפיין את המערכת אמר לי שהוא רוצה לעשות את המעבר ל DevOps, והוא היה מאד להוט ללמוד את הארכיקטורה ועבודת ה Networking שעשיתי ב AWS ( מערכת ממש יפה , VPNים על VPNים ובערך 200 VPC באיזורים שונים .... עדיין מרגש אותי לחשוב על זה )
במקביל עולם ה Cyber Threats משתנה באופן קיצוני:
1. מתקפות סייבר הם מודול עסקי לכל דבר ואתם עומדים מול גופים " מסחריים" ( לא חוקיים לרוב אבל עובדים בצורה מסחרית) שהם עובדים ברמה הגבוהה ביותר, אנשים יוצאים 8200 ( בגרסה הרוסית והסינית), בסין זה אפילו יחידות צבא מבצעיות שעובדות גם בתור קבלנים ( גם בישראל יש דברים דומים)
2. דליפות של כלים ברמות ממשלה כמו ה Eternal Blue זה Game Changer ענק , שתדעו שגרסאות שלו עדיין קורעות לגזרים מערכות שעדיין !! - כן עדיין ! לא הספיקו לעשות Patchינג
*** המהירות שבה Eternal Blue נהפך ל RansomWare כחבילה אחת מראה כמה מקצועי / מסחרי / מהירים הם ה BAD GUYS.
3. גודל מתקפות ה DDOS שובר שיאים, וניתן להזמין שירותי DDOS דרך אתרי שירות ממש קלים - ממש ברמה של Shopping Cart, תעשו חיפוש קטן ב Dark Web ( נו הרשת הזאת שלא מופיעה בגוגל.. :) ) ותראו.
עם ה IOT הפך לצלחת פטרי לבוטים שעושים DDOS.
4. עולם ה Phishing עולה לדרגות אחרות לגמרי שזה נוגע לגניבת מידע ובאופן כללי גניבת Intellectual property
5. יותר ויותר Zero Day Exploits ( שאין לך שום הגנה בעת החשיפה הראשונית ) יוצאים "לשוק" ( זה קשור מאד לסעיף 1 )
בגדול.. מאתגר.
ובעולם ה Cloud הכל נהיה נגיש יותר , קל יותר , מדהים יותר.
אפשר לעשות דברים ב 5 דקות שהיו פנטזיה או התקנה של 5-6 ימים לפני עולם ה Cloud.
חלק מהשינויים האלו זה האפשרות לפרוס מכונות VM בכמה דקות ולקבל גישה מיידית, אפילו מיקרוסופט אימצה את הגישה של AWS והפסיקה בגדול ללכת על ה NAT כברירת מחדל ומכונות חדשות מגיעות עם 3389 פתוח ישירות ( כדי לספק יותר מהירות ).
עכשיו נחזור לכותרת שלי - למה עולם ה DevOps כל כך מפספס את נושא אבטחת המידע (לא כאן בקבוצה שלנו אלא מקרים שאני נתקל בהם באופן אישי כיועץ ואדריכל מערכות ):
אנשי ה DevOps (לדעתי) לא מבינים מהו איום סייבר באמת:
1. מי שביצע את המעבר מכיוון הסיסטם יודע לקנפג את השרת , יודע לקנפג את הפיירוול שלו אבל לא באמת מסתכל על הצד האפלקטיבי , ואם צריך לשים שרת IIS פונה חוצה ללא קינפוג הרשאות - שיהיה ... "כי זה לא באמת החלק שלי"
2. מי שביצע את המעבר מכיוון איש התוכנה לרוב מבין את הסיכונים האפלקטיבים ( Sql Injection ונושאי ה WAF השונים ) אך יותר מדי פעמים אני רואה מכונות Dev שמוקמות עם 3389 פתוח וסיסמה מגוכחת (למה כי זה DEV ... וזה לא באמת חשוב ...וכו )
3. ילדי ה Cloud הצעירים שמבצעים פריסה ישירות לענן לרוב מודעים לאבטחת מידע ( אכן מפתיע ) אך הרוב מתבסס על פתרונות מוכנים נטו , ואם יש צורך ב Custom Solution כלשהו כמו חיבור On-Prem כלשהו - אבטחת המידע נעלמת לגמרי.
מה עושים ? - לומדים:
אני שנים "מתעסק באבטחת מידע" אבל העיניים שלי נפתחו באמת רק שעשיתי קורס של Offensive Security , שזה Hands On מטורף על נושא ה Penetration Testing, קורס נהדר וקשה בצורה מטורפת ( ונהדרת ).
שם רואים איך באמת נראה התהליך מהצד של התוקף.
התוקפים הם אנשי סיסטם , אנשי תוכנה , יצירתיים מאד , חזקים מאד ( הרבה יותר חכמים ממני)
בגדול:
1. סריקה מלאה וקבלת "תמונת מצב של המערכת"
2. חיפוש חולשות
3. שימוש בקלים קיימים לניצול החולשות
4. בניית כלים Custom Made לשימוש החולשות
5. ביצוע Exploit
6. השרת שלכם הוא Our Bitch
זה כמובן תמצות מטורף , אבל בגדול כדי לחזור לנושא שלנו:
1. שאתם שמים שרת עם 3389 פתוח , אתם תוך שניות נחפשים ל Scannerים שונים שסורקים כל הזמן את הרשת , כל הזמן !!! והתוקף (שמריץ את זה בתור סקריפט לרוב) מקבל עדכון מדויק על 3389 פתוח , ולרוב לפי גרסת ה RDP אפשר לדעת איזה מערכת הפעלה זאת
2. תוך שניות אותו ה Scanner יתחיל להפעיל Brut Force או Dictionary Attack ואם יש לכם סיסמה קלה זה יפרץ תוך כמה דקות , כן כמה דקות !!! - שאני מרצה על הנושא אני עושה הדגמה מדי פעם ושם סיסמה 1235678 לשרת ב AWS או Azure ומדי פעם תוך כמה דקות יש פריצה פנימה.
למה 3389 שפתוח לכולם זה "אסון" - כי אתה מודיע לתוקפים שלך במיידי ש:
1. אני לא מקצועי לכן אם שמתי 3389 כנראה שאני גם לא משתמש בהגנות אחרות
2. את זה שזה שרת לרוב חדש ולא הספקת לשים הגנות לכן זה זמן מושלם להכנס מהר , להשתיל Package ולחכות ולראות למה השרת הזה יהפוך ( מושלם אם אתה מקים DC לדוגמה :) )
3. הסיסמה שלי תהיה חלשה לרוב
בנוגע לשיחה שלנו שהייתה על RDP:
1. זה פרוטוקול שאפשר להריץ דרכו Remote Execution שזה אומר להריץ תוכנה זדונית ללא הצורך לשים אותה בשרת לפני.
2. גם במידה ויש לך Patchינג מלא - אם הסיסמה שלך חלשה , ישתמשו בזה כדי להכנס "לשניה" לשים את ה Package ואז לקבל שליטה.
אז מה עושים - מה חייבים לעשות:
1. לא פותחים 3389 למעט דרך VPN או דרך ACL שמקביל את המקור
2. תמיד סיסמאות מורכבות - תמיד !!! - תשתמשו ב Password Generator - לעולם לא מילים שיש במילון.
3. לומדים - כל איש DevOps חייב להכיר קצת "Kali" - אתם חייבים לראות מה הכלים שיש שם "מהמדף" כדי
ואולי ( ואל תכעסו על זה אנשי DevOps ) - לא מנסים להיות הכל מהכל ... מועטים אנשים שהם באמת Jack Of All Trades.
יש סיבה שבחברות גדולות (לא חברות Legacy אלא חברות טכנולוגיות גדולות )יש אנשי אבטחת מידע וגם אנשי פיתוח וגם אנשי סיסטם , ואפילו אנשי DevOps :)
איפה בד"כ נופלים - החברות החדשות , הקטנות , ה Startups שנופלים כי פשוט אין משאבים לתכנון נכון של אבטחת מידע ואז ה Intellectual Property שלכם אצל המתחרים (לרוב בסין) מהיום הראשון שהקמתם את השרת.
לסיכום:
1.פורט 3389 פתוח לאינטרנט זה ממש רע
2. סיסמאות פשוטות אפילו אם זה לשרת Dev קטן זה ממש רע
3. למידה של אבטחת מידע בסיסית זה חובה לכל הקשת של DevOps
חג שמח.
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
