משרות אבטחת מידע

מומחה אבטחת מידע /
Ethical Hacker

לחברת איי פי וי סקיוריטי דרוש/ה מומחה אבטחת מידע עם נסיון מוכח

לפרטים, נא להקיש כאן

שרותי אבטחת מידע – איי פי וי סקיוריטי בע"מ

דף הבית

ארכיון התראות

התראה מספר 2

	יום שני, 30 במרץ 2009 \| ה בניסן תשס"ט


	התנהגות ה-Conficker ב-1 לאפריל ועוד התראות חמורות על HP OpenView ו-Firefox

	גבוהה

	מיידית (ר' המלצות להתנהגות בהמשך)

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- alerts@ipvsecurity.com

להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן!

ללקוחותינו שלום,

יתפרץ או לא יתפרץ ב-1 לאפריל? זו שאלת השאלות ששואלים את עצמם מומחה אבטחת מידע בכל העולם.

אך האם זה בכלל משנה! יש פעולות מניעה שמומלץ לעשות (ראו בהמשך) ובמידה ונקטתם בפעולות אלו הרי שהשאלה הופכת להיות ללא רלבנטית עבורכם.

לפני שאנחנו ניגשים לפירוט ההתראות, יש לנו בקשה אישית לכל אחד ואחת מכם.

מטרת שירות ההתראות שלנו להביא לידיעתכם מידע ממוקד, מקצועי ו"לעוס" אשר יעזור לכם למנוע את המקרה הבא. כדי שנוכל לעזור לכם אנחנו זקוקים לשיתוף פעולה פרו-אקטיבי שלכם. המפתח הוא מהירות תגובה ושיתוף מידע, ככל שתדעו יותר מוקדם על מקרה שקרה בארגון מעבר לרחוב כן תשכילו למנוע את האירוע הבא אצלכם. וככל שתשתפו אותנו במידע על אירוע שקרה אצלכם כך יימנע האירוע אצל הארגון השכן...

לפיכך, שתפו אותנו בכל פיסת מידע של מקרה שקרה או הובא לידיעתכם כך שנוכל לשתף אתכם ואת הארגונים השכנים. אנו צריכים מידע בזמן אמת. אנחנו מתחייבים לשמור על סודיות המידע שתשלחו באופן בלתי מתפשר כך שבשום מקרה לא ייחשף כל מידע פרטי השייך לכם ולארגונכם.

ועכשיו להתראות...

Conficker.C
בשבועות האחרונים אנו מוצפים במאות כתבות המספרות לנו כי בקוד של התולעת בגירסתה המעודכנת (C) מצויין ה-1 לאפריל כיום המועד לפורענות אשר החל ממנו יתחילו המחשבים הנגועים לפנות ל-50,000 כתובות ביום במקום 250 על-מנת להתעדכן. גם לגבי מספרי המחשבים הנגועים בעולם ישנם חילוקי דעות למרות שכולם מסכימים שמדובר בהרבה מיליונים. אז מה באמת צפוי לנו ב-1 לאפריל!

HP OpenView
כצפוי, ה- Conficker לא לבד. פירצת אבטחה חמורה זוהתה ב- HP OpenView ע"י Core Security ו- Secunia אשר דיווחו במהלך השבוע האחרון על בעיות אבטחה חמורות שדורשות את תשומת ליבכם. HP כבר הוציאה טלאי להתייחסותכם...

Firefox 3.0.8
ולסיום, ביום שישי התבשרנו כי Mozilla הוציאה גירסת Firefox חדשה. זוהי גירסא 3.0.8 לכל מערכות ההפעלה הנפוצות: Windows, Mac, Linux הסוגרת שתי פרצות אבטחה חמורות אשר מאפשרות להשתלט על המחשב. גם כאן, נא לא להתעלם...

להזכירכם, ההתעלמות מטלאי האבטחה של MS08-067 של מיקרוסופט מה-23 לאוקטובר עלתה לכמה מיליונים של מחשבים ורשתות ארגוניות מחיר יקר מאוד.

להלן פירוט ההתראות. נשמח לענות על כל שאלה כמו גם לקבל פידבק.

בברכת חג פסח שמח,
צוות איי פי וי סקיוריטי בע"מ

	Conficker.A, Conficker.B, Conficker.C, Downadup, Kido

	למרות שהרבה כתבו וחקרו את התולעת, אין אף אחד שבאמת יודע מה ואם תעשה התולעת ב-1 לאפריל. את השאלות והתהיות ניתן ללמוד מהמאמר שפורסם בשבוע שעבר: Puzzle over Conficker worm's intentions. לפי מספר רב של הערכות, ב-1 באפריל תבצע התולעת התקשרויות רבות אל מול "שרתי הפיקוד" שלה ברחבי העולם תוך שימוש בתצורת התקשרות חדשה לחלוטין ולא ידועה, שכל חברות האנטי-וירוס והמחקר העולמיות לא הצליחו לפצח. העובדה היחידה שכן ידועה היא שהתאריך 1 באפריל מוטבע בקוד התוכנה. הגירסה השלישית של התולעת – והעדכנית ביותר – היא תצורה "הגנתית". המשמעות היא שהיא מתפשטת אמנם פחות, אבל נכתבה כך שהיא קשה מאוד לגילוי, פיצוח והשמדה ע"י תוכנות האנטי-וירוס. לדברי חברות המחקר ה- Conficker הינה תולעת שונה לחלוטין מכל תולעת שנכתבה עד היום מבחינת רמת הקוד והתחכום שלה. הפירוט המלא ביותר על התולעת עודכן לאחרונה והוא נמצא באתר של SRI. לדברי סימנטק, ההאקרים "מאוד סבלניים ומתודיים... ולאף אחד אין ממש מושג מה יקרה ב-1 באפריל". אחד הניתוחים המעניינים ניתן בבלוג של מר בריאן קרבס מהוושינגטון פוסט לפני מספר ימים. בין השאר מציין קרבס כי כנראה נכון שהתולעת מתוכננת לצאת ל-50,000 דומיינים החל מה-1 לאפריל שרשומים ב-110 מדינות אך חשוב לזכור כי הגוף שהתאגד להילחם בתולעת (Conficker Cabal ) קיבל אישור מ-109 מהמדינות שהם ימנעו כל רישום של מי מהדומיינים שברשימה. בריאן גם ממליץ על שאלות ותשובות בנושא מהאתר של F-Secure. שווה קריאה. את הנחיות מייקרוסופט להורדת התולעת ממחשב נגוע ניתן למצוא ב- http://support.microsoft.com/kb/962007 אתר נוסף עם אינסוף לינקים ומידע על הקונפיקר תמצאו ב- Internet Storm Center של SANS . תמצאו בו את כל מה שרציתם לדעת על הוראות הורדה וכלי הסרה של התולעת ועוד. לפירוט אופן ההפצה, פוטנציאל הנזק ופעולות מניעה מומלצות, נא בקרו בהתראה מספר 1. עדכון חשוב מועד העדכון: 31 למרץ, 2009 צוות חוקרים מקבוצת Honeynet Project הצליח לזהות באג בתולעת אשר מאפשר לזהות מחשבים נגועים. יכולת הזיהוי שאובחנה הוכנסה למרבית סורקי האיומים הנפוצים כולל Nmap. להלן לינקים לקבלת פרטים נוספים על המחקר ותוצאותיו: פרסום המחקר ותוצאותיו מהוושינגטון פוסט: http://voices.washingtonpost.com/securityfix/?wpisrc=newsletter&wpisrc=newsletter פרסום המחקר מאתר Honeynet Project: http://www.honeynet.org/papers/conficker/ קובץ המחקר: http://www.honeynet.org/files/KYE-Conficker.pdf קבוצת החברות שהתאגדו כנגד הקונפיקר שנקראה Conficker Cabal שינתה את שמה ל-Conficker Working Group והקימה אתר (כרגע עדיין עם מעט אינפורמציה אך שווה לשמור). http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=Main.HomePage

HP OpenView

בסוף שבוע שעבר ניתנה התראה כי נתגלו 3 פרצות קריטיות ב- HP OpenView ע"י Core Security ו-Secunia .

3 הפרצות יכולות להיות מנוצלות (exploited) מרחוק באמצעות buffer overflows בכדי לפגוע בשרתים קריטיים בארגון עליהם מותקנת התוכנה.

הפגיעה מתבצעת ע"י שליחת crafted HTTP requests לשרת ה- Web של ה- HP OpenView ולאחר מכן הפעלת קוד על המערכת הפגיעה.

הבעיות שנמצאו מתייחסות לגירסאות 7.01, 7.51, ו-7.53 אשר רצות על מערכות HP-UX, Linux, Solaris, ו- Windows.

עוד מידע על הפגיעויות ניתו למצוא במאמרים הבאים:

http://www.techworld.com/security/news/index.cfm?newsid=113290&email

http://www.darkreading.com/security/app-security/showArticle.jhtml?articleID=216200217&cid=nl_DR_DAILY_H

HP הוציאו עדכון ומומלץ לפנות אל החברה ישירות ולפעול על-פי ההנחיות של אנשי המקצוע שלה בטווח הזמן המיידי.

Firefox 3.0.8

ונסיים בעדכון גירסה חשובה מאוד ל- Firefox שהופצה ביום שישי האחרון

הגירסה החדשה של Firefox, גירסה 3.0.8 סוגרת שתי פרצות אבטחה חמורות שנתגלו בדפדפן.

שתי החשיפות שנתגלו מאפשרות לפורץ לנצלם לטובת ביצוע DoS (Denial of Service) או להשתלטות על המחשב של המשתמש. את פירוט הפגיעויות ניתן לקבל בלינקים הבאים:

http://www.mozilla.org/security/announce/2009/mfsa2009-12.html

http://www.mozilla.org/security/announce/2009/mfsa2009-13.html

מומלץ מאוד לכל משתמשי Firefox לעדכן באופן מיידי את גירסת הדפדפן. כל שנדרש הוא לפתוח את הדפדפן, ולהפעיל את ה- Check for Updates… מתפריט ה- Help.

	סיכום

	אז מה המסקנות וההמלצות שלנו? להערכתינו, ואנו מסתכנים כאן בנבואה שכולנו יודעים למי ניתנה... ה-1 לאפריל יעבור ללא כל אירועים חריגים ומיוחדים. הסיבה, כל אנשי המקצוע בעולם וכל החוקרים ואנשי הממשל מחכים ל-1 לאפריל בציפייה. כל מערכות הניטור ברשת מצפים שהכותבים של התולעת יעשו את הטעות שתביא לזיהויים. מצד שני כל אנשי המקצוע מסכימים שכותבי התולעת הינם מקצוענים שאוהבים להפתיע. אז להערכתינו הם יפתיעו, אבל לא ב-1 לאפריל, במועד שיתאים להם יותר. אבל כאן אנחנו עוסקים בספקולציות, המסקנה הבאה היא החשובה באמת... אם כל המערכות בארגון שלכם מעודכנות בטלאי אבטחת המידע, אין זה כבר יותר רלבנטי אם ומתי התולעת תפגע, אתם מוגנים. אם ביטלתם את אפשרויות ה-Autorun מההתקנים נתיקים הרי שהקטנתם משמעותית את הסיכון שתיפגעו. אם אתם מנטרים את תעבורת הרשת שלכם ובוחנים כל התנהגות חריגה הרי שגם אם תיפגעו, תקטינו משמעותית את הנזק. בקיצור, היו פרו-אקטיביים. כמובן שכדאי לנקוט בכל האמצעים כפי שהמלצנו בהתראה הקודמת, ולשים לב לפעילות חריגה ברשת הארגונית ובתעבורה היוצאת והנכנסת ביום רביעי, ה-1 באפריל. נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מנסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר. שתפו אותנו ואת הקולגות שלכם - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ק ל- alerts@ipvsecurity.com להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן! הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה. הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד. שיתוף מידע = יותר אבטחת מידע שתפו אותנו בכל דבר בתחום אבטחת המידע - תובנות, אירועים, בדיחות, לינקים מעניינים ועוד. שיתוף מידע = יותר אבטחת מידע להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן! הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה. הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.