[Tausec] Re: [security-il] פאנל סוס טרויאני - שאלות מהקהל

Eran Tromer security-il2eran at tromer.org
Sun Jun 26 13:53:09 CDT 2005 

שלום,

On 24/06/05 09:50, Aviram Jenik wrote:



> 3. מה לגבי פתרון "virtual pc" שבהם מחשב אחד מחובר לאינטרנט, ומחשב שני 
> (וירטואלי) מחובר לרשת הפנימית כאשר אין קשר לוגי ביניהם?

ראה הודעתי מ-20/06/05 04:19 ב-security-il. בקיצור, זה יעבוד נגד
ילדון-אצווה (?!) טיפוסי, אבל לא יעבוד בפני התקפה מקצועית וממוקדת. אם
התקציב מאפשר, מומלץ מאד להשתמש במחשבים נפרדים ובלתי מחוברים -- מה עוד
שפתרונות קניניים מסויימים (לדוגמה VMware) עשויים להיות יקרים ואיטיים
יותר ממחשב נפרד.


> 7. האם ניתן ליישם מדיניות אבטחת מידע בחברות קטנות בהן אין מודעות?

רק אם ניתן לכפות על העובדים ערוצי זרימת מידע מוגבלים מאד, ובפרט ללא גישה
לאינטרנט ממחשב העבודה הרגיל. ברגע שלעובד הדיוט יש אפשרות גם לגשת לנתונים
הסודיים וגם להריץ קוד מהרשת תחת אותו חשבון, המשחק נגמר.


> 8. נניח שהסוס הטרויאני רץ על מחשב המטרה, אבל הוא מאחורי פיירוול סביר. איך 
> מעבירים בכל זאת מידע החוצה?

כל פיירוול סביר יאפשר שאילתות HTTP יוצאות (אולי דרך פרוקסי), ועל גבי אלה
אפשר לשלוח מידע בקלות. אפקטיבית, ברגע שהסוס הותקן לא ניתן למנוע כליל
זליגת מידע למעט ע"י חסימה מוחלטת של גישה לאינטרנט.


> 10. האם nmap הוא כלי לגיטימי או כלי פריצה?

האם סכין מטבח הוא כלי לגיטימי או כלי רצח?
אכן, תלוי בנסיבות.


> 11. באילו דרכים ניתן להסתיר את המידע שמוציא הסוס ממחשב המטרה כדי להקשות על 
> גילוי הזליגה?

יש שלל טכניקות להסתרה (סטגנוגרפיה) והצפנה של מידע שיכולות לגרום לתוכן
המידע היוצא להראות כמו תקשורת תמימה; מה שיהיה קשה להסתיר זה את נפח
התקשורת (אם הוא גדול) ואת יעדיה (שחייבים להיות כתובות בשליטת המתקיף,
ולכן לרוב שונים מהכתובות בתקשורת הארגונית הרגילה).


> 12. איך לדעתכם ארגונים קטנים יכולים לעמוד בעלויות אבטחת המידע? האם יש פתרון 
> מתיאם עבורם?

בעוד שיש כללים בסיסיים התקפים לכמעט כל אירגון, הרי שמערך אבטחת מידע כולל
הוא תלוי מאד בצרכי ותפקוד הארגון הספציפי. לפיכך איני רואה מנוס מהעסקת
מומחה מתאים לצורך הקמה ומעקב. אבל במקרים רבים, לאחר תקופת התייצבות קצרה
ההוצאות השוטפות (ליעוץ, בקרה ותחזוקה) יהיו נמוכות.


> 13. מה לגבי סוס טרויאני שמופץ למטרת חבלה ולא ריגול?

טכנית, חבלה פשוטה כגון מחיקת מידע מהדיסק היא קלה יותר מריגול.


> 16. איך איש IT יכול לבדוק CD שהגיע אליו ממשתמש? על מה לשים דגש?

המצב דומה לביקורת תיקים בשדה התעופה. כדאי להפעיל את מערך ה-"שיקוף"
האוטומטי של אנטי-ווירוסים ודומיהם, אבל אין ספק שמתקיף מקצועי יוכל להסתיר
את המטען הזדוני מפני אמצעים כאלה. לכן אין מנוס מתישאול המתשמש לגבי מקור
ומהות המידע והפעלת שיקוד דעת. דוגמאות לשיקולים:
* האם הקובץ הושג ממקור אמין ביוזמת המשתמש, או התקבל בדואל?
* אם אפשרי, כדאי להשיג את אותו מידע (לדוגמה, תוכנה חופשית) ישירות ממקור
אמין במקום להסתמך על המשתמש.
* האם מדובר במסמכים בלבד, וללא פקודות מקרו ורעות דומות? אם הארגון מבצע
עדכוני תוכנה שוטפים, הכנסת קבצים כאלה ממקור סביר היא בטוחה למדי.


  ערן

More information about the Tausec mailing list