CIA TRIAD- מטרות של אבטחה שלוש:
Confidentiality- גישה למורשים בלבד+ שמירה על המידע.
integrity- כולל , מי מותר לערוך או למחוק את המידעל, שלמות ואמינות המידע:
non repudiationאי יכולת התכחשות -
- AUTHENTICITY-אמיתות
availability- נגישות וזמינות שוטפת למורשים.
:תוספות למשולש
Authenticity- מקור ההודעה וההודעה עצמה, המידע מינותביטחון בא
accountability- שיוך פעולה ליישות, היכולת לדעת מי אחראי לכל פעולה.
:סוגים. על מנת לפגוע -התקפה אקטיבית
1. Masquerade- כאשר תוקף מתחזה למישהו
2. Replay- חדשהאזנה ושליחה יזומה של אותו המידע מ.
3. Modification of messages
4. Denial of service
:שני סוגים. קשה לזיהוי, על מנת ללמוד -התקפה פסיבית
5. Release of message contents- מעקב אחרי מידע, קורה בהאזנה.
6. Traffic analysis- המידע לא חשוף אבל התוקף לומד על אופן ההתקשרות והגורמים.
X800 security architecture- מודל להגדרת דרישות אבטחה ודרישות טיפול באבטחה המציין את
.ההתקפות המכניזם לטיפול והמערכת לאיתור ההתקפות
הצפנה סימטרית
האלגוריתם פועל . single key encryptionאו conventionalנקרא גם . לשולח ולמקבל מפתח משותף
.decryptionהפוך עבור
:שני סוגים של תקיפה
1. Cryptanalysis- התוקף משתמש בידע שיש לו על אלגוריתם ההצפנה ובזוגות שלplain text
.או על המפתח plain textעל מנת להסיק מידע על הcyhper text -ו
2. Brute force attack- מנסים את כל המפתחות האפשריים על ה cyhper text עד שמתקבל
.בממוצע צריך חצי מהמפתחות, טקסט הגיוני
מפתח מורכב כך שמשך הזמן הנדרש כדי לפענחו גדול מאוד computationally secureתח שהוא מפ
.ולא משתלם למי שרוצה להשיג את המידע
מחלקים את , block cyhperכל אחד מהאלגוריתמים הבאים נקראים -סימטריים אלגוריתמי הצפנה
.א בנפרד"הטקסט הרגיל לבלוקים ומצפינים כ
-Block cipherשל פרמטרים לטיב
1. Mi=Mj מ "אמCi=Cj
אם ! תכונה לא טובה. cipherמ מדובר באותו ה"אמ 2קטע של הודעה = 1קטע של הודעה
.היא נכונה זה אומר שבטווח הארוך אנחנו משתמשים באותו המפתח וזה מסייע לתוקף
.כמה בלוקים נצטרך להצפין שוב 1אם משנים הודעה , התלות בין בלוקים .2
.אלגוריתם ההצפנהמהירות .3
?בבלוק מוצפן אחד ERROrכמה בלוקים לא נוכל לפענח אם יש .4
DES- Data Encryption Standard- ההצפנה הפופולארי ביותר כיום' אלג
, 64בשימוש מתוך ביט מפתח 56-ו cipherביט plain text ,64ביט ל 64בלוקים בגודל -
16 rounds
.בזמן סביר brute forceבגלל גודל המפתח הקטן יש סכנה ל -
cryptanalysisניתן לנצל תכונות שלו כדי לבצע -
SDE3- פעמים בטכנולוגית 3שימושDES מפתחות ייחודיים 3או 2שימוש ב
brute force ,16*3 roundsלכן אין בעיית , ביט 112-168 –המפתחות ארוכים יותר -
cryptanalysisיש עמידה טובה יותר מול -
: חסרונות -
o פעמים את האלגוריתם 3מאחר ומבצעים , מאוד איטי
o כמו בDES ביט לא יעיל לא מבחינת ביצועים ולא מבחינת 64השימוש בבלוקים של
.אבטחה
AES- advanced encryption standard – 3שיפור שלDES ,יותר יעיל מבחינת זיכרון וצריכת זיכרון ,
.מהירות עיבוד
10 -בהתאם Rounds .ביט 256או 192 128מפתח של , ביט 128משתמשים בבלוקים של -
. 16או
.byteשזו שיטת ערבול של כל s-boxב, משתמש במטריצות -
.streamלפי בלוקים או לפי – שיטות להעברת נתונים 2יש
streamבטוח יותר מ, איטי יותר -Block cipherאלגוריתמים ל
CBC- cipher block chaining- משתמשים בIV כ מבצע "להצפנת הבלוק ההתחלתי ואז כל בלוק אח
XOR עם הcipher ואז מצפינים הקודם שלפניו .CBC שהגדרנו על פרמטרים 1לא מקיים את התנאי
. זה טוב. XORלטיב של הצפנת בלוקים בגלל ה
.שינוי בבלוק אחד דורש הצפנה חוזרת של כל מה שבא אחריו
OFB- output feedback- שינוי ב, 1לא מקיים את תנאי , ןאותו הרעיוiM אחד יגרור שינוי בCj אחד.
CFB- cipher feedback- תקלה ב, 1לא מקיים את התנאיMi אחד גוררת תקלה בכל מי שבא אחריו.
ECB- electronic code book ,לא טוב , כל בלוק מוצפן בנפרד ,חלוקת ההודעות לבלוקים בגודל קבוע
.גם לא טוב להודעות ארוכות, כך אפשר לזהות תבניות בטקסט המוצפן -cryptanalysisמבחינת
Ciמסויים או תקלה ב Miשינוי ב, של טיב הצפנת הבלוקים מתקיים 1תנאי . 128או 64בלוקים בגודל
מאחר וכל בלוק מוצפן עם אותו המפתח לא נוצרת .יגרור שליחה של אותו הבלוק בלבד מחדש
(.דוגמת פינגווין)ה בבלוקים המוצפניםאקראיות טוב
counter CTR- משתנה שמאתחלים בכל שלב הcounter כ עושים "מוצפן עם מפתח ואחXOR עם
.קטנים מידי counterההבדלים שנוצרים עם ה, חלק מההודעה
Stream Cipher אלגוריתמים להצפנתstream
חשוב שהרצף שנוצר מהמפתח , למימוש בחומרהקל , יותר מהירים מבבלוקים פחות קוד להרצה
.לא ניתן לזהות תבנית אם אין מפתח. יהיה פסאודו אקראי
המפתח מוזן לתוך מחולל מספרים בינאריים אקראיים שיוצר רצף בתים , הצפנת בית אחד בכל רגע
עם בית מתוך הרצף שיצר XORלכל בית עושים . שנראה רנדומלי למי שלא מכיר את המפתח
.בשנית עם בית שנוצר ממחולל זהה לצורך פיענוח XORבצד המקבל עושים פעולת . המחולל
.וניתן לעשות שימוש חוזר במפתח block cipherיותר מהיר מה -
RC4- צריך , המודל הפשוטIV-initial value כל פעם לוקחים מספר אקראי מהמחולל ועושים , אקראי
XOR ייט מההודעהעם ב( .k- initial value ,M- ההודעה המקורית ,C- cipher.) 256אורך המפתח
ביט
Message Authentication- שהמידע באמת הגיע מהמקור , מטרתו שהמידע לא ישונה בדרך
.ובסדר הנכון,שהגיע בזמן,(אמינות המקור)
!סימטריבעצם אותו דבר כמו חתימה דיגיטלית רק שהמפתח
MAC- Message Authentication code-
HMAC- אותו הרעיון כמוMAC רק שמכמה דברים משתנים
One Way Hash Function-מקבל הודעה באורךM מפעיל פונ 'hash- H(M)ומצפינים את התוצאה ,
מאפשת HASH' רק שהפונ MACכמו ה (. קטן מאורך ההודעה)הפלט יהיה תמיד בגודל אחיד
. ספת שהיא יותר קטנה מגודל ההודעהתולשלוח
SHA- secured hash Algorithm – במקור הפיק , ההאש הנפוץ ביותר היום' אלגhash 128בגודל
. ביט 512ביט ל160שהוא בין SHA1התפתח ל, ביט
( 5כמו סעיף )מנסה למנוע התנגשויות כך שזיהוי של התנגשות לא יהיה בזמן סביר
אורך המפתח וכמות העבודה החישובית הנדרשת -מידת האבטחה של שיטת ההצפנה נמדדת לפי
.cipher textכדי לפענח
sha-512- ביט וגודל ה 1024ההודעות הן בגודל . משמש לחתימות דיגיטליותHASH שנוצר בכל פעם
ביט 512הוא
סימטרי-מפתח א
Public Key Encryption- כך רק , ציבורי של המקבלודעה שלו עם המפתח ההשולח מצפין את הה
כך אנו יכולים לוודא שההודעה נשמרת חסוייה . לפענח עם המפתח הפרטי של עצמוהמקבל יכול
Confidentiality. (Diffie and Hellman)
Public Key Authentication- המקבל יפענח את המידע , מצפין אותה במפתח הפרטי שלוהשולח
כך יוכל לוודא שהוא זה שבאמת שלח את המידע ולא אף אחד אחר הציבורי של השולחמפתח עם ה
(Authenticaion.)
לכן ניתן authenticationההצפנה של כל ההודעה דורשת הרבה חישובים ואינה רלוונטית לצורך ה
encryptionלבצע עליו ( לגודל קטן יותר)להודעה hashכלומר לעשות authenticatorבמקום ליצור
החישובים אצל ' כך נקטין את מס, עם המפתח הפרטי ולשלוח אותו יחד עם ההודעה המקורית
.השולח ואצל המקבל
RSA- הצפנה , (פומביים ופרטיים)סימטריים -האלגוריתם הנפוץ ביותר היום ליצירת מפתחות א
.ופיענוח שלהם
Diffie and Hellman- להשלים מתרגול. אינו מאובטחהשיטה להחלפת המפתחות בקו תקשורת ש
DSS- digital signature standard האלגוריתם שמספק חתימה דיגיטאלית בעזרתSHA .
cryptographyecliptic curve -ECC - חתימה דיגיטאלית כמו + אלגוריתם שמספק יכולת הצפנה
RSA רק עם מפתחות הרבה יותר קטנים.
DIGITAL ENVELOPE
השולח בנוסף , את ההודעה שלו בעזרת מפתח חד פעמי שנוצר בעזרת מחולל אקראי השולח מצפין
המקבל . ביחד נכנסים למעטפה. מצפין את המפתח החד פעמי עם המפתח הפומבי של המקבל
יפענח את המפתח האקראי בעזרת המפתח הפרטי שלו וכך יכול לפענח את המידע עם המפתח
.האקראי
User Authentication -3הרצאה
-סוגים של אוטנטיקציה 4
סיסמאות -מידע שיש לך -מה שאתה יודע -
מפתח, כרטיס מגנטי -מה שיש לך -
זיהוי כתב יד, זיהוי דיבור -מה שאתה עושה -
זיהוי ביומטרי -מה שאתה -
-אחת החשובות, יש כל מיני דוגמאות -חולשות של סיסמאות
offline dictionary attack- עכשיו יש לו את ה , קובץ הסיסמאות של המערכתההאקר משתלט על
hash והוא יכול להשוות אותן מול , של הסיסמאותhashes של סיסמאות נפוצות אחרות
Salt- ראנדומלי שמצרפים לסיסמא ויחד מבצעים עליהם ' מסhash.כך נשמרות הסיסמאות במאגר .
הוא צריך להצפין את כל המילון עלות על סיסמת המשתמש אז כדי ל SALTאם התוקף יודע את ה
.ואז יצליח לפענח סיסמא אחת SALTשבנה יחד עם ה
:שיטות לפריצת סיסמאות
- Dictionary attacks- לנסות כל מילה עם כל מיניSALTS
- Rainbow tables- מראש להכין גרסאות שונות של מילונים עם כל הSALTS האפשריים .
!ממש גדול
Shadow password file- קובץ סיסמאות מופרד מהקובץ עם הusernames י "ופונים אליו ע
.הצבעות בין הקבצים
:הגנה בעת יצירת סיסמאות לסיסמאות לא טובות
ניתן בעת יצירת סיסמאות להשוות מול , שיוצר סיסמאות ניתנות לניחושמודל -מודל מרקוב
.הסיסמאות שהוא יוצר ולפסול כאלה שקיימות אצלו
Bloom filter- סוג שלLOOKUP TABLE שמשתמש בHASH בעת . כדי להחזיק מילון סיסמאות
יצירת סיסמא היא תיבדק מול הטבלה
Biometric accuracy
.כלומר זיהוי המשתמש לא משנה מי הוא, כל הצד הימני הוא הצלחה בכניסה למערכת
false match- להיכנס למערכתמשתמש אחר הזדהה בשמי והצליח -האיזור המושחר הימני.
החלק הלבן הוא כאשר משתמש ניסה . כל הצד השמאלי הוא אי הצלחה להיכנס למערכת
.להיכנס בשמי ולא הצליח
false nonmatch- אני ניסיתי להיכנס ולא הצלחתי -החלק המושחר השמאלי.
TRADEOFF. יהיה קטן ככל שניתן FALSE MATCHנרצה שכשהאבטחה חשובה מאד שה
:AUTHENTICATIONשל סוגי תקיפות
Eavesdropping- האזנה על גבי הרשת.
ACCESS CONTROL -4הרצאה
Access control- הרשאות ספציפיות מותאמות לאנשים לפי הצורך.
Access control policies:
DAC- נגדיר מה יכול לעשות כל . באופן מפורש כל אדם מקבל הרשאות לדברים שרלוונטיים לו
SUBJECT על כלOBJECT.
מטריצה של משאבים מול משתמשים שבכל תא -ACCESS MATRIXי "ע DACניתן לממש -
.כ דלילה כלומר יהיו הרבה תאים ריקים"בד. מסומנת ההרשאה המתאימה
- PROTECTION DOMAINS- מקבצים מספר אובייקטים יחד ונותנים הרשאות כמקשה אחת .
protectionכל שורה במטריצה עכשיו תהיה . מקטינים משמעותית את גודל המטריצהכך
domain במקום משתמש כמו שהיה קודם.
- ACL- Access control list- במקום להגדיר לכל משתמש לאיזה משאבים הוא יכול לגשת
כך אנו חוסכים את התאים הריקים . נגדיר לכל משאב איזה משתמשים יכולים לגשת אליו
.שיש במטריצה
requirements Access control
- Open policy- הכל מותר חוץ ממה שאסור
- Closed policy- הכל אסור חוץ ממה שמותר.
MAC- ולכל משתמש מוגדרת רמת סיווג משלו ובכך יכול לגשת , לכל משאב מוגדרת רמת סיווג
.רק לנתונים שעד גבול הסיווג שלו
RBAC- לבנאדם ישROLE ,ה במערכתולכל תפקיד מוגדר מה ההרשא, תפקיד.
למנהל יש הרשאות להכל למרות שאין שום -separation of duty -יש כאן בעיה של מחסור ב
.סיבה שיוכל לגשת לקבצים של העובד ואולי לשנות דברים שאינו מודע אליהם
-Data Base Security -5הרצאה
View- כמה טבלאות בעזרת שאילתות מאגדת, נוצרת כל פעם שפונים אליה, טבלה דינאמית
SQL ,לדוגמא לפקיד לראות רק , אפשר כך להציג למשתמש מידע מותאם אישיview מסויים
ולא על הטבלאות viewהרשאות רק על ה, viewאפשר לתת הרשאות לטבלאות ול. DBמה
.המקוריות
– centralized administration – DBA שמגדיר הגדרות מראש
– ownership-based administration- אם יש לי הרשאה אני יכול לתת אותה למישהו אחר
– decentralized administration- אם העברתי למישהו הרשאה גם הוא בעצמו יכול
.להעביר אותה הלאה
GRANT- על הלתת הרשאותDB עצמו למשתמש או לrole ה, לטבלה מסויימתDBA קובע.
REVOKE- לבטל הרשאות
ניתן להסיק על מידע לא נגיש דרך , אחת הבעיות המרכזיות -role based- Inferenceבקשר ל
ניתן למיין את הרשומות בצורה אקראית ובכך למנוע הסקה של מידע . מידע שיש לנו נגישות אליו
.מותאם לפי שורות
Statistical database – חלק מהמשתמשים יורשו לראות רק מידע סטטיסטי מהDB החלק
הראשון הוא בעל נתונים גולמיים -סטטיסטי DBיש שני סוגים של . עצמו DBשת להאחר יוכל לג
שמחזיק DBהשני הוא ( view)ומה שמוצג למשתמש הוא שאילתות סטטיסטיות על הנתונים
.נתונים סטטיסטיים בלבד
INFERENCEהגנה מפני
( inference)קל להסיק ואז סטטיסטי היא כאשר אין הרבה רשומות DBבעיה שיכולה להיות ב
לדאוג לחלק את -anonymity-kניתן לפתור את זה בעזרת . מהמידע אפילו שהוא סטטיסטי
.רשומות בקבוצה Kהמידע כך שיהיו לפחות
Perturbation- של נתונים שלא יפגעו בנתונים אך ימנעו הבנה " רעש"ניתן גם להוסיף -הפרעה
ישארו ( ממוצע לדוגמא)לדוגמא לערבב את הנתונים כך שרק הנתונים הסטטיסטיים .של ידע
.או לעשות סטייה קלה לפני ההחזרה למשתמש של התשובה, נכונים השאר מעורבבים
.DBכמו כן ניתן להגביל את השאילתות השונות ל
QUERY SIZE RESTRICTION- היא הבעיה. הגבלת מינימום הרשומות המוחזרות בשאילתא
שאילתות ולבצע מניפולציות על חיבור התוצאות כך ' יוכל להריץ מס (tracker) שהמשתמש
שיקבל מידע יותר ספציפי
control Query set overlap- שאילתות ברצף ' בהוספה של שאילתא חדשה מעקב לוודא שמס
מסובך ויקר -למנוע את זה -עלול לגרום להסקה על הנתונים
Partitioning- חלוקת הרשומות בDB לקבוצות(clusters) ואז המשתמש יכול להריץ שאילתות
אי אפשר לאחד בין , של קבוצה subsetספציפיים ולא ניתן לבחור clustersמסויימות רק על
.קבוצות בשאילתות
לעיתים גם השלילה של רצף , איסוף להפעיל רצף שאילתות מסויימות -שלילת שאילתות
(מה לא מתקיים. )לתת מידע ספציפי שאילתות יכול
Database Encryption- ישנן , תא בודד או את כל הטבלה, רשומות, עמודות, ניתן להצפין שדות
הכי טוב להצפין רשומה שלמה )קשה לאנדקס אם מצפינים חלק מהטבלה , השלכות של יעילות
.היה פחות גמישהככל שנצפין יותר כך הטבלה ת( תכונה מהבחינה הזו-או עמודה שלמה
אבל DBהשרת ידע לחפש עבור הערך את הערך המוצפן ב, השרת ידע רק את הערך המוצפן
המידע יחזור מהשרת באופן מוצפן , רק למשתמש יהיה, לשרת לא יהיה את המפתח כדי לפענח
.אחרי החזרת התשובה מהשאילתא
intrusion detection-6פרק
Privilege abuse- לרעה בהרשאות שנותנים לך שימוש
Software trepass- כמו -י תוכנה"י בן אדם אלא ע"מצב שבו השגת הגבול לא נעשית ע
.סוס טרויאני,תולעת,וירוס
-intrudersסוגים שונים של
1- masquerader- לקבל את ההרשאות שלו, מישהו שמתחזה למישהו אחר בעל פריבילגיות
2- misfeasor- י פריצת "ע)בעלי הרשאות שמנסים לצבור הרשאות נוספות תוקפים שכבר
(המערכת
3- clandestine user- מנסים להשתלט על כל המערכת ולתת לעצמם הרשאות
(האקרים.)מלאות
Security intrusion- אירוע שבו קרו הרבה אירועי אבטחה שבהם מישהו ניסה לקבל הרשאות
.שלא היה אמור לקבל
ionIntrusion detect- ניתן לייצר התרעה בזמן אמת או לעשות , רוצים לזהות פעולת חדירה
אירוע של אכיפה
Hackers- המוטיבציה שלהם היא מההצלחה בפריצה עצמה
IDS-intrusion detection system- 2 סוגי מערכות:
- host based IDS- הטיפול והניטור מתבצעים על גבי הhost- שרת או מחשב אישי
o 2 גישות:
1.anomaly detection- י איתור התנהגות חריגה במערכת"ביצוע הניטור ע ,
: אפשרויות 2, של מהי התנהגות נורמלית במערכת המערכת עושה למידה עצמית
threshold detection- קובעים סף מסויים שאם עוברים אותו אז יש בעיה
profile based- י ניתוח של קבצי "עAUDIT ל משתמשאפשר להבין על פרופי
2.signature detection - מגדיר חוקים ולפיהם ( או מומחה )מנהל המערכת
יותר )ניתן להגדיר מה נורמלי או להגדיר מהי התנהגות חריגה , המערכת עובדת
רוב האנטיוירוסים עוברים בצורה הזו (.נפוץ
- Based IDS-Distributed Host- סוכן נבזר את חלקי המערכת שלנו כך שבכל חלק יהיה
. אחד לא תמיד מספיק כדי לזהות התנהגות חריגה host, שיזהה חריגות במערכת
.בנוסף נוסיף סוכן שיבדוק את התנועה ברשת
- network based IDS-NIDS- י האזנה לתקשורת"ע, הניטור מתבצע ברמת הרשת
מעבדים את -המוח) analyzers, (קולטים את המידע מהרשת) sensors -י"האזנה מתבצעת ע
( IDSמאפשר למשתמש לעבוד מול ה)user interface, (המידע ומחליטים אם זוהי באמת פריצה
.IDSולראות את הנתונים שמתקבלים מה
בתוך , בתוך הקו תקשורת שמים סנסור שמודד כל מה שעובר -sensors- inlineסוגי 2
.preventionיכול לבצע , הראוטרים
passive- גבי תעבורת הרשת שמים עלsniffers לא מנתח את , שלא מפריעים לתעבורת הרשת
.preventionלא יכול לבצע , כדי לא להפריע לפעילות, הדברים עצמם אלא מועתקים
.לעיתים נוכל אף לנתק איזור שלם נגוע, נמקם את החיישנים במקומות אסטרטגיים
Distributed Adaptive Intrusion Detection- בנות את המערכת כך שהתקנים ידעו לדבר ניתן ל
ולשתף מידע לגבי התנהגות לא רצוייה ברשת ( ברשת או בכמה רשתות שונות)אחד עם השני
.עובר דרך מחשב מרכזי. ולהסיק מסקנות
Intrusion Detection Exchange Format- הגדרה של מודל של כיצד נראית סכמה של רכיבי
IDS ,ה כל חברה יכולה לקנות אתIDS בצורה מובנית.
:IDSעקרונות
TN- אמרנו נורמלים וצדקנו.אחוז הלא פורצים שהמערכת הצליחה לגלות שהם באמת לא פורצים
TP- הפורצים שהמערכת גילתה נכון שהם פורצים אחוז.
FN- אמרנו שנורמלים וטעינו. אחוז הפורצים שהמערכת טעתה ולא התריעה על פריצה
FP- אחוז הנורמלים שאמרנו שהם לא נורמלים.
AUDIT- ה, קובץ לוג שמתעד את פעולות המערכתIDS משתמש בו כדי לזהות חדירות למערכת ,
( native audit records)שלו מקבצי לוג של מערכת ההפעלה AUDITיכול לקחת את ה IDSה
IDS (detectionאו ליצור אחד מיועד בשביל ה. שהם תמיד קיימים אבל זהו לא האופטימום
specific audit record) .
True- המערכת צדקה בזיהוי
כל החלק השמאלי הוא כשיש פורץ
כל החלק הימני הוא כשיש משתמש חוקי
Honey Pots- מדמות פעילות רגילה"רק , עמדות קצה שאמורות להיות סטריליות, מלכודת דבש "
.intrusionאז היא כבר לא סטרילית והיה בטוח , אם יש נגישות למערכת כזו ,של המערכת
Snort- מערכתIDS מנתחת , ופשוטה להגדרת חוקים סיתקלה יח, עם קוד פתוחpackets
.אפשר להוריד מהאינטרנט, שעוברים ברשת
-Malicious Software -7הרצאה
או ( virus)ללא התוכנה לא יכול לפעול , שלו הקוד העויין יכול להיות חלק מתוכנית כפונדקאית
(.לא יודע לשכפל את עצמו Trojan horse)יודע לשכפל את עצמו או לא , (worm)פועל עצמאית
Virus- מנסה לעבור -התפשטות, רדום -התהליך, חייב פונדקאי -קטע קוד שמדביק תוכנות
.ביצוע ,רק כשקורה אז הוירוס מופעל -טריגר, לאפליקציות נוספות
payload- מה לעשות, איזה קוד להריץ, המטען עצמו של הוירוס.
או באמצע ( postpended)או בסוף ( prepended)הוירוס יושב או בתחילת הקוד של תוכנה
(embedded)
-סוגי וירוסים לפי מטרתם
- Boot sector- פועל בboot משבית את מערכת ההפעלה.
- File infector- הדבקת קבציEXE אחרים
- Macro virus- מוכנס למאקרו של קבצים שאינםEXE כמוword
- Encrypted virus- שמצפין את יתר , הוירוס כולו מוצפן חוץ מחלק קטן שיוצר מפתח הצפנה
.אין תבנית לזיהוי הוירוס. בזמן ההדבקה יוצר לעותק החדש מפתח אחר, הקוד
- Stealth virus- יכול לדחוס את הקובץ ואז כשמתווסף ,מסווה את עצמו, כמה שיותר מוסתר
.גודל הקובץ לא משתנה, אליו
- Polymorphic virus- מבלי . נראה שונה בקבצים שונים כל פעם שהוא רץ, משנה את המראה
.לשנות פונקציונאליות
- Metamorphic- קשה מאוד לאיתור', משנה את עצמו וגם את הפונ.
- Email virus
-אבולוציה של אנטי וירוס
-סוגים מתקדמים של אנטיוירוסים
Generic decryption- הקוד מורץ שורה אחרי שורה בsandbox כך בזמן שהוירוס המוצפן יבצע
decryption נוכל לזהות אם מדובר בקוד עויין
Digital immune system- בעת חשד לקובץ עויין הקובץ נשלח לvirus analysis machine שהיא
שולח לשאר המחשבים חתימהאם הקוד מזוהה כקוד עויין אז הוא יוצר ממנו , sandboxבעצם
.ולמחשב הנגוע בפרט
Behavior blocking software- ניטור בזמן אמת של התנהגות התוכנה כאשר מגיע מידע
sandboxוזיהוי התנהגויות מסוכנות תוך שימוש ב, מהרשת
Worms- בר הרצה עצמאי לחלוטין בניגוד , גורם נזק לווא דווקא, המטרה שלהם היא התפשטות
.טריגר והרצה, התפשטות, שינה-אותם שלבי הרצה כמו לוירוס, לוירוסים
Worm technology-
- Multiplatform- ריצה על מערכת הפעלה שונות
- Multi exploit- שימוש בפרצות שונות וזיהויין
- Ultrafast spreading- תפוצה מאוד מהירה
- Polymorphic- שינוי קוד
- Metamorphic- שינוי התנהגות
- Transport vehicles- לקודים עויינים אחרים בעת הפצתם" טרמפ"יכולים לתת(. כמוDDOS)
- Zero day exploit- מחכה ליום הדין אצל כולם ביחד.
Proactive worm containment- PWC- בכלhost ישAGENT . מנסים לאתר כמהconnections
אם עדיין יש הרבה נסיונות לפתיחות , שם לא פותחים עוד חיבורים blockעוברים למצב , פתוחים
.Hostרוב הפעילות היא ברמת ה -חשוב. חיבורים חדשים כנראה שנדבקנו בוירוס
Signature extractor- מנסה למצוא , לאורך כל הזמן במקביל מאתר מידע שקורה ברשת
worms.
או לאתר לפי , כ דורשות הרבה תעבורת רשת"בדר, ננסה לאתר את התולעים לפי נפח השימוש*
צורת ההדבקה או את מבנה התולעת בקוד -signatureאפשר לזהות ,פעילות סריקת פורטים
Bots- למטרות ,תוכנה שמטרתה להשתלט על מחשבים אחריםdos אוspamming יש שני
ת ומנגנון התפשטותשליטה מרוחק -רכיבים עיקריים
Botnet- אוסף מחשבים ברשת בשליטה מרוחקת של התוקף
Rootkits- נתקין אצלו , תוכניות שמאפשר שליטה על המחשב המרוחק ברמת אדמין\אוסף כלים
.rootkitאת ה
Denial of service -8הרצאה
ddress spoofingA- מכתובות שונות זיוף כתובת מקור של פקטה כך שנוכל לשלוח הרבה פקטות
.לשרת על מנת להפיל אותו
Syn spoofing- לתקוף את השרת באמצעות הרבה הודעותsyn כך , בזמן ההתחברות לשרת
synהרעיון הוא ששולחים . spoofingאפשר לשלב עם . למנוע מאחרים להצליח להתחבר אליו
שוב מאחר ack וימשיך לנסות להחזיר ackלכולם הוא יחזיר , לשרת מהרבה מחשבים שונים
אנו handshakeלשרת ישנה טבלה של חיבורים ברמת ה. syn ackשהוא לא מקבל מהם תשובת
.מנסים להעמיס על הטבלה הזו
ICMP flood- פקודתICMP נקרא גם , כמו פינגsmurf ,שולחים פינג בbroadcast ומשנים את
.ackכולם בו זמנית יחזירו לו . כתובת השולח להיות שרת המטרה
UDP flood- הפניית פקטותUDP לפורט מסויים בשרת כדי לשתק אותו.
TCP SYN Flood נחשב לנפח התקפה קטן יחסית של חבילות
DDOS- התקפתDOS distributed באמצעות מחשבים אחרים שמשתמשים כזומביים בbotnet ,
handlerרמות 2כ התוקף ישתמש ב"בדר. כולם ביחד יכנסו לאתר מסויים וכך יפילו אותו
zombies ו, הקמה של מספר מפיצים -שזוהי רמת הניהול-agent zombies שאיתם מתבצעת
.השליטה
Reflection attack- לגרום ללולאה אינסופית של הודעות פינג באמצעותspoofing ביןbot לבין
.אותה אנו רוצים להפילהמטרה
Amplification Attack- מכל אחד מהbots הודעות )שולחים הרבה הודעות שהמקור שלהן שונה
spoofing )כאילו כל אחד מהbotnet משחק אותה כמתקיף בעצמו.
DNS Amplification Attack- שולחים הרבה בקשות לשרתיDNS שהכתובת מקור(בspoofing )
. הן הרבה יותר גדולות DNSילות שחוזרות מההחב, היא שרת המטרה
60bytes 512-4000לבקשה ומוחזר כ bytes מהDNS.
Attack Prevention- ניתן לחסוםIP הגבלה של כמות המידע, בנתבים אחרי שזיהו התקפה ,
שיחסום מידע עוד ברמה שלו לפני שזה ISPלהיות בקשר עם ספק ה, IPמכווני broadcastלחסור
.נו לארגוןיגיע אלי
firewalls and Intrusion Prevention System -9הרצאה
.כך שלא יהיה ניתן לזייף את מקור הפקטה שנשלחה ממני, spoofingננסה למנוע מצב של
.רכיב שמבקר את התעבורה ברשת
שישמרו על מה ( ג לבסיס"כמו ש) firewallנקודה מרכזית שבה נציב את ה -single choke' נק
.שנכנס לארגון בתעבורת הרשת
.לא יעזור לנו firewallאם המתקפה נעשית מתוך הרשת ה
-firewallsסוגים של
Packet Filtering- סורק כלheader ישנם אוסף של חוקים על , של פקטה שמגיעה ויוצאת דרכו
ר את הפקטה הלאהיוצאת עימם הוא מחליט האם להעבי\נכנסת -כל פקטה
מעבירים , מה שלא כתוב שאסור -forward, חוסמים-מה שלא כתוב שמותר -discard -גישות 2
.אבטחה פחותה -הלאה
לא , לא יכול למנוע התקפות בשכבת האפליקציה לדוגמא -packet filtering firewallחולשות של
UNIXההפעלה ' השביתה את מעבמעט ש פקטה גדולה -ping of deathכמו TCPימני בעיות של
source route attack- מגדירים לפקטה מסלול שבו היא צריכה לעבור ברשת בין המקור ליעד .
Tiny fragment attack- לחלק את הפקטה כך שהheader יתחלק לחלקים קטנים כך שיתחמק
.firewallמהחוקים שהגדירו ב
Statefull inspection- מוסיף על הפילטר מידע על הפורטים שנפתחו בקשר של הTCP שומר
בין הפורטים ויאפשר מעבר של חבילות מפורטים גבוהים לנמוכים רק connectionsטבלה של ה
הוא 1024כ פורט מעל "בדר, פעיל sessionנכון רק לזמן שה. שכבר נמצאים בטבלה sessionsמ
.פורט זמני של לקוח או שרת
ion proxy firewallApplicat- application level gateway בילות ברמת בוחן את תוכל הח
לא בוחנים מספר עצום , מאובטח יותר מהסינון פקטות. טיפול שונה לכל אפליקציה, האפליקציה
על כל gatewayהחסרון העיקרי העומס על ה. של פקטות אלא אפליקציות מסויימות מורשות
.ולהעביר כל הודעה לשני הכיוונים חייב לבחון. חיבור שנפתח
Circuit level proxy firewall- רק מאפשר פתיחתsession מהווה מתווך אך לא בודק את תוכן
מתאים להעברת מידע בין אפליקציות ומשתמשים בתוך . אחרי שאושר sessionהחבילות ב
. שמבפנים אם סומכים על האנשים, אבל יותר מהיר applicationפחות חזק מ. הארגון
Host based firewalls- חומת אש ייעודית לשרת\host עובד בשיטתpacket filtering מהווה עוד
.שכבת הגנה בנוסף לשכבה שכבר קיימת ברמת הרשת של הארגון
ויציאה תהיה applicationכניסה תהיה , (מהארגון)כ יש חיבור שונה בין כניסה ליציאה "בדר*
circuit.
.LANהחומת אש מוצבת בקצה של ה -external -2מתחלק ל -השונים firewallsמיקומי ה
internal firewall- הפיירוולים שמגינים על הרשת הפנימית.
שם ממוקמים השרתים , איזור מפורז – DMZ – demilitarized zoneבין שניהם יש את ה*
רעיון של שכבה נוספת . web server,Email,DNS serversשאמורים להיות חשופים החוצה כמו
.internalבהגנה לפני שמגיעים ל
VPN- virtual private network- מספק אפשרות לחיבור מאובטח על גבי רשת פנימית לא
ההצפנה מבוצעת . מאובטחת נבנה רשת וירטואלית שבה הצפנה ופענוח בשכבות הנמוכות
-ההצפנה ברמת התקשורת. מןעל מנת שידע לנתח את הפקטות עצ firewallי ה"והפענוח ע
ipsec- בשכבת ה פרוטוקול שמצפין כל פקטהIP , מצפין את כל ההודעה חוץ מהניתוב שלה
.CONFIDENTIALITYו AUTHENTICATIONמספק .ברשת
IPS- Host base גורם משלים ל, התקן שמטרתו למנוע חדירה באמצעות אכיפהfirewall מאתר
.התנהגות חריגה
Network based IPS- כמוNIDS , עכשיוNIPS . זריקתpackets וניתוק קשריTCP לא טובים.
UTM- unified threat management product- מערכת שנותנת פתרונות מלאים לחברה בתחום
בהתקן יחיד שמערב בתוכו את כולם באופן , IDS IPS Firewall–החלפת כל המוצרים , האבטחה
.לאופטימיזציה של התעבורה בארגוןישנם בתוכו אלגוריתמים . מסודר
.ולא בתוך הרשת עצמה, יציאה לרשת\יגן על הכניסה, נמצא בכניסה לארגון
Buffer overflow -11פרק
כך , התורפה היא איפה שיש קלט למערכת' נק, התוקף דורס חלק מהמידע שנכתב למחסנית
:הוא יכול לגרום
פגיעה בנתונים אחרים -
יכול להביא לקריסת המחשב, ונקציהפגיעה במצביע חזרה של פ -
.commandפקודת -shellהזרקת קוד כדי לקבל -
Segmentation fault- פיסת זיכרון שאסור לנו לכתוב עליה כמו למשל על כאשר מנסים לכתוב ל
readOnly או על קבציoperation system .גורם לexception.
Shellcode- התוקף ירצה להריץshell באמצעות הbuffer overflow כדי לקבל שליטה במערכת
כי עבור סטרינג זה יסמן את סופו של 0\האתגר למתקיף הוא שאסור לו לכלול את התו . ההפעלה
.הקלט ולא כל הטקסט שלו יועתק
סוגים שונים של התקפות -buffer overflowוריאנטים של
- System utility- להתקיף אפליקציה שבאות עם המערכת הפעלה
- Service daemon- להתקיף שירות שבא עם המערכת הפעלה ולפעמים נותן שירותי חוץ
(.תהליך שרץ ברקע כל הזמן)
(image)להתקיף ספריות שרגישות בפני עצמן להתקפה -
-גישות buffer overflow- 2הגנות על
:בקומפיילר עצמו נוסיף מנגנוני הגנה -compilerברמת -
o בהן אוטומטית תהליך ההגנה שימוש בשפות עיליות שמבצע(JAVA)
o הקומפיילר עצמו כופה בדיקת אורכי קלטים והרשאות לשינוי פרמטרים
o הוספת משתנהrandom canary- אם משתנה זה , משתנה דמה שערכו ידוע תמיד
buffer overflowאומר שהתרחש
o Code obfuscated- כך , פעולה של התוכנה כשמתקינים אותה שתערבל את הקוד
.תוקף לא יכיר את מצב הזיכרוןשה
(אבל תוך כדי פגיעה בביצועים)בזמן ריצה -
o כלומר ליצור מרחב כתובות , למנוע יכולת של הרצת קוד מתוך חלקים של הזכרון
.לאחסון בלבד משם אי אפשר להריץ קוד
o לגרום לך שהקצאת הכתובות תהיה רנדומלית
o Guard pages- ורים בזיכרון ולא יאפשרו גלישה לשתול דפים המהווים חוצצים בין אז
בינהם
שנמצאת ' לשנות את הפויינטר של פונ buffer overflowאפשר באמצעות -heapהתקפה על ה
( heapבתחילת ה)למקם את הפויינטרים למטה , מניעה אפשרית לכך. ולהצביע למקום אחר heapב
.buffer overflowכך שלא ניתן יהיה לעשות להם
re securitysoftwa -12הרצאה
SQL injection- השתלת קוד עויין כקלט שיילקח כפרמטר של שאילתא כך אפשר למחוק לדוגמא
.טבלה או להשיג מידע
XSS- Cross site scripting- השתלה של סקריפט(javascript, activeX ) בדף אינטרנט כך שבגלישה
.לאתר הדפדפן יריץ אותו מבלי שהמשתמש ידע
Input fuzzing- שיטה טובה לtest יוצרת אוסף גדול של קלטים רנדומליים ואז ניתן לבדוק , של קלטים
.זדוניים\איך התוכנה מתמודדת עם קלטים לא נורמליים
security auditing -15הרצאה
. האם פעילות בלוג היא תקינה או לא, מערכת נפרדת ועצמאית מבקרת את הפעילות במערכת
לאפשר פעולה מסויימת למשתמש – accountabilityמאפשרת . ועוקבת אחר סדר הפעולות שלנ
.מסויים
Security audit trail- מספיק כדי לשחזר את , רצף כרונולוגי של פעולות שהתבצעו במערכת
המידע שנשמר חייב .בכדי להבין מה הוביל לאירוע אבטחה במערכת, האירועים שקרו במערכת
להיות מאובטח
Event discriminator- (מלשון הפליה )מאתר אירועים שקרו במערכת.
Audit provider- GUI שמאפשר להסתכל על הAUDIT trail כדי שמנהל האבטחה יוכל להכנס גם
בצורה ידנית
Audit analyzer- לזהות פעולות חריגות לפי פרופילי , מנתח את האירועים לפי אלגוריתמים שונים
anomaly detectionמשתמש ב. פעולות שגרתיותיכול לכתוב ללוג גם על , משתמשים
:בכל מערכת מידע( ללוג) auditהסטדנרט המומלץ למה כדאי לכתוב ל
מחיקת אובייקטים\יצירת -
הרשאות משתנות -
הורדת רמת אבטחה של אובייקט -
אם תוכנה בעצמה עושה בדיקת אבטחה עצמאית -כל דבר שקשור לאבטחה -
הזדהות משתמש למערכת -
מידע מהמחשבייצוא \ייבוא -
auditingכל פעם שמשתמשים ב -
IDSוה firewallכל האירועים של ה -
system callsכל מי שנוגע ב -
Hooks- מקומות ייעודיים בקוד ששם כל פעם שיתבצע שינוי הדבר ייכתב בaudit.
System level audit trails- את ה( קטגוריות)לחלק לרמותtrails
lsApplication level audit trai- לזהות חדירות אבטחה בתוך האפליקציות השונות בעיקר בשביל
.DBתוכנות רגישות כמו אימייל ו
User level- כתיבת לוג ברמת המשתמש בכדי ללמוד פרופילים ולבדוקaccountability- זיהוי שזה
זיהוי –רושמים בלוג עבור כל משתמש . באמת המשתמש ושהוא משתמש בהרשאות שניתנו לו
.משאבים ואפליקציות שהשתמש בהם, כל הפעולות שהמשתמש עשה על מנת להזדהות, ושושימ
Physical level- audit ( קודן\עם כרטיס)לדוגמא כניסה דרך דלת פיזית , של אירועים ברמה הפיזית
אפשרויות למיקום האחסון של הaudit:
, ייעודי לכך DBלא צריך ליצור , מימוש פשוט וקל – auditהמחשב שמבצע את ה -hostעל ה -
. אך אם תוקפים את המערכת אז יש גישה לכל המידע
אי אפשר למחוק אבל צריך הרבה דיסקים כדי לשמור הכל – CD -שמירה על מדיה -
אי אפשר לבצע ניתוח קל -דפיםעל -
חייבים לשמור על השלמות והחשאיות של המידעintegrity & confidentiality
-גישות לניתוח המידע
- Basic alerting- מתריעה שאירוע שהוגדר מראש כבעייתי התרחש' המע
- Baselining- תהליך הגדרת תבניות של התנהגות נורמלית ולא נורמלית והשוואה מול המידע
שהתקבל עכשיו
- Windowing- זיהויEvent מחלון זמן לפי סט פרמטרים מוגדרים שמתרחשים או חורגים
. מוגדר לפיהם מזוהה פעולה מעוררת חשד
- Correlation- לחפש קשרים ביןevents .להתריע -'אז במידה וקורה גם ב' אם קרה א
SIEM- מערכת ייעודית לחקירת הaudit.
:11מצגת
Feistel cipher structure-
-מיקום ההצפנה ברשת
End to end encryption- ההודעה בצד אחד ונשאר מוצפן כל הדרך ומפוענח בעמדת מצפינים את
.ההצפנה כוללת גם את נתוני הניתוב. הקצה המקבלת
Link encryption- כל ההודעה כולל נתוני השליחה מפוענחת ומוצפנת בכל רכיב.
ואת נתוני השליחה מפענחים ומצפינים שוב , מצפינים את תוכן ההודעה בהתחלה -2שילוב בין ה
.בבכל רכי
One time pad- לא ניתן לפענוח, מפתח ראנדומאלי אמיתי באורך ההודעה המוצפנת.
:העברת מפתח סימטרי בין הצדדים
Key distribution center- KDC-
INTERNET SECURITY PROTOCOLS AND STANDARDS -21פרק
SSL- SECURE SOCKET LAYER=TLS-TRANSPORT LAYER SECURITY
INTEGRITYו CONFIDENTIALITYשמטרתו ליצור TCP/IPבת התעבורה היושב מעל האלגוריתם בשכ
ההודעה . המפתח משותף לשני הצדדים, הצפנה סימטרית. תוך העברת פקטות בשכבת התעבורה
.MACמכווצת לפני ההצפנה והוספת ה
AH-authentication header- מבוסס עלMAC , תוספתHEADER לפקטה בשכבת הIP לצורך
AUTHENTICATION וCONFIDENTIALITY . מונעADDRESS SPOOFING י מעקב על מספרי "ע
SEQUENCE.
ESP-כל הPACKET תוכן ההודעה והמוצפן כוללHEADER.
S/MIME- Secure/multipurpose internet mail extensions- הצפנת הודעות טקסטואליות ,
שימוש . י העברת הקוד הבינארי שלהם לטקסט"הודעות לא טקסטואליות יהפכו לטקסטואליות ע
.על מנת להצפין ולהעביר את ההודעה digital envelopeב
Handshake- זיהוי ואימות מי השרת
ומי הלקוח
הסכמה על גודל המפתחות וסוג
ההצפנה
החלפת מפתחות בין שני הצדדים
httpעכשיו ניתן לפתוח קשר -סיום
Recommended
