HoneyMap - A cool tool for raising information security awareness

The HoneyMap shows a free web based real-time visualization of information security related attacks against special sensors around the world.

This map could be used to raise awareness of information security threats around the world.

This project uses hthpfeeds for collecting data from honeypots and MaxMind for translation of IP addresses to geographic locations. 

The red dots represent old unpatched operating systems which are infected with worms and attack other systems (or worse, represents hacking computers).

The yellow dots represent hacking victims.

The HoneyMap tool could be used to search for vulnerable and victim systems around the world using country, city, malware, ip addresses and time information. The relevant information, which is feeded in this project free of charge, could also be used in further research regarding global security threats.  

Many attacks are seemed to be targeted against Aachen, Germany, because there is a very active honeypot at the IT-Security Research Group of the RWTH Aachen University that contributes to this project.

More information about the HoneyMap project could be found here. 

  

There are more attack 3D visualization projects, including very nice WebGL Globe Visualization and Mesh Grid Heat Map (tested only with Chrome and Firefox). Those projects could be also enhanced using statistical analysis in order to find patterns in global information security threats.

More related information regarding malwebviz (Project 4 - Web based visualization for malware/attack analysis in the Honeynet Project), could be found here.

The interesting Mar. 19, 2012 Honeynet Project Workshop material could be found here.

אסטרטגיית שימוש במכשירים ניידים של משרד ההגנה האמריקאי

משרד ההגנה האמריקאי (DoD)  פרסם ב - 15/6/12 את מסמך האסטרטגייה השאפתנית שלו עבור שימוש במכשירים ניידים (mobile device strategy). המסמך מגדיר יעדים ומטרות תוך התמקדות ב - 3 נושאים בתחום המכשירים הניידים: תשתיות אלחוטיות, מכשירים ניידים ואפליקציות ניידות. עקרון העל של מדיניות המשרד היא לוודא אמינות, אבטחת מידע וגמישות ב - 3 תחומים אלה.

סיכום קצר שלי של האסטרטגייה: מדובר בכיוונים מאוד מעניינים, כמו שימוש ב - LTE, בקרות PKI, ניהול מכשירים ניידים והממשקים שלהם, אבטחת וחתימת אפליקציות ניידות, מסגרת לפיתוח אפליקציות, סביבה מרכזית לניהול אפליקציות, יחד עם שילוב BYOD...
רואים שה - DoD הולך עם הזרם במקום להילחם בו. משרד ההגנה האמריקאי החליט להשתלב במהפיכת הניידות תוך שילוב מנגנוני בקרה הכרחיים והתוויית כיוון ברור בשכבות התקשורת, המכשירים, ולא פחות חשוב, האפליקציות הניידות.

בפוסט זה אציג את עיקרי אסטרטגיית ה - DoD בתחומים אלה, בראייתי:

1. ניהול תחום התדרים - ביצוע שיפור מתמיד בתהליכי ניהול תחום התדרים, תוך שיתוך פעולה עם האקדמיה ומחקר לניצול מקסימלי של תחום התדרים הקיים.

2. שימוש בטכנולוגיות אלחוטיות - שימוש ושיפור טכנולוגיות 802.11X ו - 3GPP LTE על מנת לאפשר תעבורה לא מסווגת ומסווגת, תוך צמצום מגבלות רוחב סרט עבור תקשורת טקטית.

3. ארכיטקטורת אבטחה למכשירים ניידים - צמצום ניצול החשיפות במכשירים הניידים עצמם. ניהול המכשירים הניידים, האפליקציות הניידות והקישורים השונים תוך אבטחת הממשק בין רשתות ה - DoD לרשתות ציבוריות. נדרש שימוש בבקרות DoD PKI, גישה וזיהוי בשכבות התקשורת, הרכיב הנייד והאפליקציה הניידת.

4. הגדרת מדיניות וסטנדרטים - נדרש להנחות על תהליך מאובטח אך מהיר של שילוב מכשירים ניידים מסחריים בפעולות ה - DoD. יש להגדיר את מדיניות ה - BYOD וגם את מדיניות ה - Personal Use of DoD Device.

5. שירות לניהול המכשירים הניידים - נדרש שירות מאוחד לניהול מכשירים ניידים ליעול תהליכי התפעול והתחזוקה, לשיפור אבטחת המידע, ולאפשור סנכרון של המכשירים הניידים. שירות זה חייב להיות מבוסס על דרישות הארגון והמשתמשים. נדרש תכנון אשר ישלב בקרת גישה, הצפנת מידע, זיהוי Malwares,  גיבויי מידע, בקרות מכשיר נייד, עדכוני אבטחת מידע, שימוש בכלי חסימת גישה / מחיקת מידע עם פגיעה מינימלית בביצועי המכשירים הניידים.

6. הדרכת משתמשים - נדרשת הדרכה של המשתמשים לגבי אופן השימוש במכשירים הניידים, לרבות בנושא יישום של מנגנוני אכיפה מבוססי משתמש.

7. מסגרת לפיתוח אפליקציות ניידות - נדרשת מסגרת לפיתוח אפליקציות ניידות על מנת לאפשר שילוב על מספר גדול של מערכות הפעלה. המסגרת תבוסס על סטנדרטיים קיימים ודרישות אבטחת מידע. המסגרת תגדיר, בין היתר, קריטרוני בדיקות לאפליקציות ותהליכי חתימה של אפליצקיות עם מפתחות קריפטוגרפיים.

8. תהליך תקינה לאפליקציות ניידות - נדרשת הגדרת תהליך חתימה מאובטחת של אפליקציות ניידות על מנת להבטיח שהן נקיות מקבצים זדוניים וגם מחשיפות.

9. סביבה מרכזית לניהול אפליקציות ניידות -  נדרשת סביבת hosting מרכזית ומאוחדת עבור תהליך תקינה ואישור, הפצה וניהול אפליקציות ניידות.

בחיפושי מידע שגרתיים על ה - malware החדש - Flame מצאתי גם שני פרסומים מעניינים של Symantec מאותו יום, ה - 28/5/2012. שני הפרסומים מספרים על ה - Flame, אך מזוית שונה לחלוטין...תוך תצוגה חיה של תהליך התפתחות המחקר אחר ה - Malware הזה, תוך מספר שעות. שני פרסומים, מאותה חברה, באותו היום, על אותו נושא, עם משמעויות כל כך שונות. להלן הפרטים:

הפרסום הראשון, בתור Security Response עבור ארגונים מטעם Symantec, מגדיר:

W32.Flamer  - Risk Level 1: Very  Low.

ומתאר את התולעת: 

"W32.Flamer is a worm that spreads through removable drives. It also opens a back

  door and may steal information from the compromised computer."

כמובן, ישנה גם הטענה של המשך החקירה:

"Symantec Security Response is currently investigating this threat and will post more information as it becomes available."

בשלב הזה, ב - Symantec חשבו שמדובר בעוד תולעת נחמדה, אחת מיני רבות, שרמת הפצתה בעולם נמוכה יחסית.

הפרסום השני, כאמור מאותו יום, בתוך Blog של Symantec, כבר מתאר את ה - Flamer כפי שהוא ידוע כיום (יום אחרי הגילוי עצמו):

"Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East"

"The complexity of the code within this threat is at par with that seen in Stuxnet and Duqu, arguably the two most complex pieces of malware we have analyzed to date."

"The overall functionality includes the ability to steal documents, take screenshots of users' desktops, spread through removable drives, and disable security products. Additionally, under certain conditions, the threat may also have the ability to leverage multiple known and patched

vulnerabilities in Microsoft Windows in order to spread across a network."

באותו פרסום גם מוסבר הפער בין הפרסום הקודם לזה החדש:

The industry sectors or affiliations of the individuals targeted are currently unclear. However, initial evidence indicates that the victims may not all be targeted for the same reason. Many appear to be targeted for individual personal activities rather than the company they are employed by. Symantec

detects this threat as W32.Flamer.

כלומר, בפרסום הראשון של Symantec האיום היה ממוקד על מחשבים פרטיים...ללא הסתכלות על הנזק העצום שה - Malware מסוגל לבצע לארגונים. לכן הוא הוגדר כסיכון נמוך בלבד.

מתי הפחתת מספר הספרות השונות ב – PIN יכולה דווקא לסייע לאבטחת המידע ?

לאחרונה קראתי מאמר מפתיע המשלב סטטיטיקה, מתימטיקה בסיסית ואבטחת מידע...

המאמר מתאר יכולת לנחש PIN של Smartphone על ידי זיהוי של אזורים מלוכלכים על המסך, המצביעים על ספרות ה – PIN. תוקף יודע שעבור 4 ספרות שונות שהוא גילה, קיימות 24 אפשרויות שונות עבור ה -  PIN.

המאמר, שהתגלה לי בבלוג של Bruce Schneier, מראה, באמצעות חישוב כמות אפשרויות (פרמוטציות), כי אם משתמשים רק ב – 3 ספרות שונות עבור PIN באורך 4, ניתן להגדיל את מספר האפשרויות השונות שלו ל – 36. כלומר: משפרים את אבטחת המידע ב – 50%.

דרך אגב, בדיקה קצרה מראה שאם משתמשים ב – PIN באורך 5 ספרות שונות, קיימות 120 אפשרויות שונות עבורו. עבור אותו אורך PIN, כשמבוצע שימוש ב – 4 ספרות שונות בלבד, ניתן להגדיל את כמות האפשרויות השונות שלו ל – 240, כלומר: גידול של 100%  באבטחת המידע.

אז מה התשובה לשאלה בכותרת ? תמיד !!