תרגיל אבטחת מידע – תשובות

בעקבות פוסט תרגיל שפרסמתי בפורום אבטחת מידע בפייסבוק – הנה התשובות לטריק כיצד תאורתית אני יכול לחדור.

התשובה כמובן קשורה לטלפון הסלולרי או לטאבלט שיש לכל מיני עובדים או מנהלים. אפשר לעשות זאת בכל מיני דרכים, החל במשלוח SMS זדוני, המשך במשלוח SMS "מפתה" (כל עוד הוא בעברית) שיפנה את הקורבן לשרת שלי עם STRING שאוכל לזהות שזהו הקורבן ו"אפתה" אותו להתקין אפליקציה (תתפלאו כמה זה קל לעשות "ריגשי" או "להלהיב" משתמשים להתקין – תבטיח לו Candy Crush Saga-2 עם עברית, תראה למשתמש תמונה של כלב עצוב ותבטיח שאם הוא יתקין את האפליקציה הבאה – ה"ארגון שלי" ישלח בשמו 50 שקלים והוא בסך הכל יצטרך לראות פרסומת אחת פעם בחודש – ויש עוד המון דרכים), ויש גם דרכים אחרות כמו לשבת במסעדה שבה ה"קורבן" אוכל ארוחת צהרים, להעיף למסעדה את ה-WIFI ולתת לכולם לגלוש דרך המכשיר שלי … ומשם תדמיינו לבד מה כבר אפשר לעשות.

כך שבסופו של דבר – פריצה למכשיר הסלולרי של העובד היא אינה עניין מורכב או מסובך מדי ובמקרה הכי גרוע יש "שוק שחור" שלם שאפשר תמורת כמה מאות (או אלפי) דולרים לרכוש פריצות שעדיין לא פורסמו ובוודאי שלא נחסמו, הן ל-iOS, הן לאנדרואיד והן ל-Windows Mobile/Phone (ואם ממש מתעקשים – גם ל-OS X ול-Windows).

ברגע שאני מחובר למכשיר של ה"קורבן" אני יכול להריץ כל כלי שארצה, יש לי ערוץ פתוח להעלות מה שאני רוצה, אני יכול להריץ מה שארצה, אני יכול לסרוק (כל עוד אני סורק בצורה חכמה כדי שלא אפול מיידית מכל מיני מערכת IPS/IDS) ואני יכול לעשות טריק יותר נבזי – והוא פשוט לחכות למכשירים אחרים שיעלו לאותו subnet של כתובות ולהזיק להם. שוב – הכל תלוי בפורץ ורצונותיו.

כעת, כשאני בפנים, ואני סורק בצורה חכמה, אני יכול לנסות לחדור לשרת ה-MAIL שלך, אני יכול לנסות עוד כל מיני דברים כולל חסימת קבלת המייל במכשיר של אותו "קורבן" ואם אותו "קורבן" הוא בעצם סמנכ"ל, הצעקות על אנשי האבטחה יגיעו גם יגיעו ובעקבותיהם גם תגיע תחרות "הורדת ידיים" – ואז נראה מה איש האבטחה יעשה כאשר מערכת ה-IPS/IDS טוענת שהמכשיר של הסמנכ"ל חשוד בפעילות לא חוקית, ומצד שני הסמנכ"ל דורש ש"יפתרו" את הבעיה (כמובן מבלי לפרמט את המכשיר שלו – תתפלאו לכמה אנשים אין גיבוי למכשיר. אגב, איך אתם בטיפול באנדרואיד? זה לא שאתם יכולים להפעיל ODIN ולזרוק IMAGE מבלי לסכן את עצמכם במריבה עם אותו סמנכ"ל שמכשירו נפרץ..).

זו כמובן רק ההתחלה. אם הפורץ חכם הוא ישכפל את הפריצה למכשירים נוספים שמתחברים לבדוק מייל (ומקבלים כתובת IP מה-SUBNET של ה-VPN המיוחד) ואז .. "שישו ושמחו".

אני מניח שיש לא מעט שיאמרו שהאשמה היא באנדרואיד (וזה חלקית נכון – אפשר בצורה יותר קשה לשכפל את אותה בעיה גם עם אייפונים וכו'). האמת שהאשמה נכונה חלקית – לצערי יצרניות לוקחות את הזמן עד שהן מתקינות עדכוני אבטחה (אנדרואיד 5.1.1 יצא לפני מספר ימים – רוב המכשירים לא יקבלו את העדכון למעט מכשירים מהשנה שנתיים האחרונות – וגם זה יקרה רק ביולי והלאה [תלוי כמה המכשיר חדש]). גוגל מצידה מוציאה עדכונים ואם יש לכם מכשירים מסידרת NEXUS אז אתם תקבלו את העדכונים די מהר. כשזה מגיע לעומת זאת למכשירי Windows Phone – פה אתם תהיו בבעיה כי מיקרוסופט בקושי מוציאה עדכונים (שלא לדבר על מכשירים עם גירסה 7 שלא מקבלים שום עדכון) כך שאם יש חור רציני – יקח זמן רב עד שהוא יסתם ותקבלו עדכון.

אז מה הפתרון לכך? אין הרבה ברירות זולת להוציא את השרותים החוצה, מחוץ לתשתית שלכם, בין אם תיקחו את הפתרון של אופיס 365 או הפתרון של גוגל, זה יכול לסייע בכך שלפורצים לא תהיה גישה לתשתית הפנימית (כמעט – אם אתם נותנים למשתמשים שרותי גלישה בחברה עם המכשירים הסלולריים שלהם עם IP שלא מופרד מהתשתית LAN הרגילה – אז אתם בבעיה ויש צורך דחוף להעביר את כל ה-WIFI ל-VLAN אחר [עדיף תשתית נפרדת ולא רק ברמת VLAN]), וכך כשהמשתמשים מקבלים את הדברים שהם צריכים מכתובות של שרתי ענן בחוץ, אתם פחות חשופים.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *