פיצול מידע בשירותי ענן

השימוש בשירותי מחשוב בענן (cloud computing) מתרחב בשנים האחרונות באופן מהיר, תוך יצירת אתגרים לא פשוטים בנושא חיסיון וזמינות המידע, כאשר ספק השירות הינו האחראי הבלעדי לניהול תשתיות המחשוב ואבטחת המידע. 

הצפנת המידע בשירותי ענן יוצרת מפתחות הצפנה שיש לנהל ופה קיימת דילמה: אם מפתחות אלו יאוחסנו בשירות כלשהו בענן, אזי תאופשר גישה למידע על ידי ספק השירות, דבר המייתר כשלעצמו את הצורך בהצפנה מלכתחילה. אם מפתחות ההצפנה יושארו בתחנות משתמשי השירות, זמינות המידע תפגע במקרה של כשל מקומי.

אז היכן כדאי לשים את מפתח ההצפנה או את המידע עצמו? אחד הפתרונות הקוסמים לאתגרים אלו הוא פיצול של המידע המוצפן, כולל מפתח ההצפנה עצמו, במספר שירותי אחסון בענן שונים. בצורה זו ניתן לצמצם את התלות בזמינות שירות בודד בענן או בבקרות אבטחת מידע המיושמות על ידי ספק השירות.

במאמרים שפרסמתי ובמצגת מקבילה אני מציג את השיטה החדשה - ישנה לפיצול מידע תוך שילובה בשירותי ענן. השילוב של אלגוריתם ה - Information Dispersal - IDA של פרופסור מיכאל עוזר רבין (המבוסס על שיטות erasure coding לאחסון מידע באופן יעיל) יחד עם אלגוריתמי ה - Secret Sharing של פרופסור עדי שמיר, או  All-or-Nothing Transform - AONT של פרופסור רון ריווסט, מאפשר לייצר פטנטים וטכנולוגיה המשפרים את חיסיון וזמינות המידע בשירותי אחסון בענן. מצורפים פה קישורים לשתיים מחברות רבות העוסקות בכך (כדוגמה בלבד לפתרון הטכנולוגי), יחד עם תיאורים כלליים של הפתרונות. 

http://www.securityfirstcorp.com/technology.html

http://www.cleversafe.com/overview/secure

תאור סכמטי 1 - טכנולוגיה מבית Cleversafe

תאור סכמטי 2 - טכנולוגיה מבית Cleversafe

תאור סכמטי 3 - טכנולוגיה מבית SecurityFirst

US DoD is adopting Mobile Technology - status and challenges

The US Department of Defense (DoD) recently released its Commercial Mobile Device (CMD) Implementation Plan that will allow to equip the DOD’s 600,000 mobile-device users with secure classified and protected unclassified mobile solutions. 

This plan updates the DOD’s mobile strategy. 

The following video presents some of the Mobile Technology applications (and security challenges) in the US Army:

The following is a very interesting DoD press briefing on the CMD Implementation Plan (25 February 2013):

The DoD implements two separated working paths for accomplishement of the plan:

1. The Defense Information Systems Agency (DISA) released (October 2012) the Mobile Device Management (MDM) / Mobile Application Store (MAS) Request for Proposal (RFP). The MDM capability will function as a "traffic cop" enforcing policy for network and user end devices.

2. DISA’s mobility pilot started on May 2012 and builds enterprise mobile capabilities. The participants partner with DISA for the pilot’s unclassified side, while teaming up with the NSA to address the classified side of mobility. The following table lists several component mobility pilots and initial operational uses:

The goal - development of an enterprise mobile device management (MDM) capability and mobile application store (MAS) to support multivendor (Blackberry, iOS, Windows and Android), CAC-enabled, government-furnished devices by February 2014.

The scope - establishment of a separated, reliable, secure and flexible wireless infrastructure, for unclassified (DISA) and classified (NSA) devices, and mobile application.

The interesting news - a deployment plan of a new NSA security architecture that permits the use of commercial products for classified communications for the first time.


The Commercial Mobile Device Working Group (CMDWG) - will review and approve standards, policies, and processes for the management of mobility solutions and mobile applications on an ad-hoc basis.

The (several) callenges:

• The transfer from decentralized to certralized MDM services.
• The optional usage of commercial devices, MDM / MAS solutions and accreditable cloud solutions.
• Federated management and certification for mobile applications.
• For the device security compliance proceess DISA is using new Security Requirements Guides, a set of security standards that each device or application must comply with (instead of using the STIG process, which is relatevely long).
• Continuous monitoring and enforcement of policy compliance for configuration of applications and OSs.
• Secured authentication of mobile devices and users in unclassified networks.
• Processing of classified information on commercial mobile infrastructure, devices and applications:  

• Establishement of separated MDM / MAS infrastructure for classified information.
• Encrypting information using a minimum of two independent layers of Suite B commercial encryption. 
• Deployment of CMD architectures and implementations using NSA approved standards. 
• Protection of voice communications on carrier infrastructure and also using gateways for interoperability with the PSTN. 
• Use of secured hardware tokens for trusted user identification and authentication to SIPRNet.

HoneyMap - A cool tool for raising information security awareness

The HoneyMap shows a free web based real-time visualization of information security related attacks against special sensors around the world.

This map could be used to raise awareness of information security threats around the world.

This project uses hthpfeeds for collecting data from honeypots and MaxMind for translation of IP addresses to geographic locations. 

The red dots represent old unpatched operating systems which are infected with worms and attack other systems (or worse, represents hacking computers).

The yellow dots represent hacking victims.

The HoneyMap tool could be used to search for vulnerable and victim systems around the world using country, city, malware, ip addresses and time information. The relevant information, which is feeded in this project free of charge, could also be used in further research regarding global security threats.  

Many attacks are seemed to be targeted against Aachen, Germany, because there is a very active honeypot at the IT-Security Research Group of the RWTH Aachen University that contributes to this project.

More information about the HoneyMap project could be found here. 

  

There are more attack 3D visualization projects, including very nice WebGL Globe Visualization and Mesh Grid Heat Map (tested only with Chrome and Firefox). Those projects could be also enhanced using statistical analysis in order to find patterns in global information security threats.

More related information regarding malwebviz (Project 4 - Web based visualization for malware/attack analysis in the Honeynet Project), could be found here.

The interesting Mar. 19, 2012 Honeynet Project Workshop material could be found here.

אסטרטגיית שימוש במכשירים ניידים של משרד ההגנה האמריקאי

משרד ההגנה האמריקאי (DoD)  פרסם ב - 15/6/12 את מסמך האסטרטגייה השאפתנית שלו עבור שימוש במכשירים ניידים (mobile device strategy). המסמך מגדיר יעדים ומטרות תוך התמקדות ב - 3 נושאים בתחום המכשירים הניידים: תשתיות אלחוטיות, מכשירים ניידים ואפליקציות ניידות. עקרון העל של מדיניות המשרד היא לוודא אמינות, אבטחת מידע וגמישות ב - 3 תחומים אלה.

סיכום קצר שלי של האסטרטגייה: מדובר בכיוונים מאוד מעניינים, כמו שימוש ב - LTE, בקרות PKI, ניהול מכשירים ניידים והממשקים שלהם, אבטחת וחתימת אפליקציות ניידות, מסגרת לפיתוח אפליקציות, סביבה מרכזית לניהול אפליקציות, יחד עם שילוב BYOD...
רואים שה - DoD הולך עם הזרם במקום להילחם בו. משרד ההגנה האמריקאי החליט להשתלב במהפיכת הניידות תוך שילוב מנגנוני בקרה הכרחיים והתוויית כיוון ברור בשכבות התקשורת, המכשירים, ולא פחות חשוב, האפליקציות הניידות.

בפוסט זה אציג את עיקרי אסטרטגיית ה - DoD בתחומים אלה, בראייתי:

1. ניהול תחום התדרים - ביצוע שיפור מתמיד בתהליכי ניהול תחום התדרים, תוך שיתוך פעולה עם האקדמיה ומחקר לניצול מקסימלי של תחום התדרים הקיים.

2. שימוש בטכנולוגיות אלחוטיות - שימוש ושיפור טכנולוגיות 802.11X ו - 3GPP LTE על מנת לאפשר תעבורה לא מסווגת ומסווגת, תוך צמצום מגבלות רוחב סרט עבור תקשורת טקטית.

3. ארכיטקטורת אבטחה למכשירים ניידים - צמצום ניצול החשיפות במכשירים הניידים עצמם. ניהול המכשירים הניידים, האפליקציות הניידות והקישורים השונים תוך אבטחת הממשק בין רשתות ה - DoD לרשתות ציבוריות. נדרש שימוש בבקרות DoD PKI, גישה וזיהוי בשכבות התקשורת, הרכיב הנייד והאפליקציה הניידת.

4. הגדרת מדיניות וסטנדרטים - נדרש להנחות על תהליך מאובטח אך מהיר של שילוב מכשירים ניידים מסחריים בפעולות ה - DoD. יש להגדיר את מדיניות ה - BYOD וגם את מדיניות ה - Personal Use of DoD Device.

5. שירות לניהול המכשירים הניידים - נדרש שירות מאוחד לניהול מכשירים ניידים ליעול תהליכי התפעול והתחזוקה, לשיפור אבטחת המידע, ולאפשור סנכרון של המכשירים הניידים. שירות זה חייב להיות מבוסס על דרישות הארגון והמשתמשים. נדרש תכנון אשר ישלב בקרת גישה, הצפנת מידע, זיהוי Malwares,  גיבויי מידע, בקרות מכשיר נייד, עדכוני אבטחת מידע, שימוש בכלי חסימת גישה / מחיקת מידע עם פגיעה מינימלית בביצועי המכשירים הניידים.

6. הדרכת משתמשים - נדרשת הדרכה של המשתמשים לגבי אופן השימוש במכשירים הניידים, לרבות בנושא יישום של מנגנוני אכיפה מבוססי משתמש.

7. מסגרת לפיתוח אפליקציות ניידות - נדרשת מסגרת לפיתוח אפליקציות ניידות על מנת לאפשר שילוב על מספר גדול של מערכות הפעלה. המסגרת תבוסס על סטנדרטיים קיימים ודרישות אבטחת מידע. המסגרת תגדיר, בין היתר, קריטרוני בדיקות לאפליקציות ותהליכי חתימה של אפליצקיות עם מפתחות קריפטוגרפיים.

8. תהליך תקינה לאפליקציות ניידות - נדרשת הגדרת תהליך חתימה מאובטחת של אפליקציות ניידות על מנת להבטיח שהן נקיות מקבצים זדוניים וגם מחשיפות.

9. סביבה מרכזית לניהול אפליקציות ניידות -  נדרשת סביבת hosting מרכזית ומאוחדת עבור תהליך תקינה ואישור, הפצה וניהול אפליקציות ניידות.

בחיפושי מידע שגרתיים על ה - malware החדש - Flame מצאתי גם שני פרסומים מעניינים של Symantec מאותו יום, ה - 28/5/2012. שני הפרסומים מספרים על ה - Flame, אך מזוית שונה לחלוטין...תוך תצוגה חיה של תהליך התפתחות המחקר אחר ה - Malware הזה, תוך מספר שעות. שני פרסומים, מאותה חברה, באותו היום, על אותו נושא, עם משמעויות כל כך שונות. להלן הפרטים:

הפרסום הראשון, בתור Security Response עבור ארגונים מטעם Symantec, מגדיר:

W32.Flamer  - Risk Level 1: Very  Low.

ומתאר את התולעת: 

"W32.Flamer is a worm that spreads through removable drives. It also opens a back

  door and may steal information from the compromised computer."

כמובן, ישנה גם הטענה של המשך החקירה:

"Symantec Security Response is currently investigating this threat and will post more information as it becomes available."

בשלב הזה, ב - Symantec חשבו שמדובר בעוד תולעת נחמדה, אחת מיני רבות, שרמת הפצתה בעולם נמוכה יחסית.

הפרסום השני, כאמור מאותו יום, בתוך Blog של Symantec, כבר מתאר את ה - Flamer כפי שהוא ידוע כיום (יום אחרי הגילוי עצמו):

"Flamer: Highly Sophisticated and Discreet Threat Targets the Middle East"

"The complexity of the code within this threat is at par with that seen in Stuxnet and Duqu, arguably the two most complex pieces of malware we have analyzed to date."

"The overall functionality includes the ability to steal documents, take screenshots of users' desktops, spread through removable drives, and disable security products. Additionally, under certain conditions, the threat may also have the ability to leverage multiple known and patched

vulnerabilities in Microsoft Windows in order to spread across a network."

באותו פרסום גם מוסבר הפער בין הפרסום הקודם לזה החדש:

The industry sectors or affiliations of the individuals targeted are currently unclear. However, initial evidence indicates that the victims may not all be targeted for the same reason. Many appear to be targeted for individual personal activities rather than the company they are employed by. Symantec

detects this threat as W32.Flamer.

כלומר, בפרסום הראשון של Symantec האיום היה ממוקד על מחשבים פרטיים...ללא הסתכלות על הנזק העצום שה - Malware מסוגל לבצע לארגונים. לכן הוא הוגדר כסיכון נמוך בלבד.

מתי הפחתת מספר הספרות השונות ב – PIN יכולה דווקא לסייע לאבטחת המידע ?

לאחרונה קראתי מאמר מפתיע המשלב סטטיטיקה, מתימטיקה בסיסית ואבטחת מידע...

המאמר מתאר יכולת לנחש PIN של Smartphone על ידי זיהוי של אזורים מלוכלכים על המסך, המצביעים על ספרות ה – PIN. תוקף יודע שעבור 4 ספרות שונות שהוא גילה, קיימות 24 אפשרויות שונות עבור ה -  PIN.

המאמר, שהתגלה לי בבלוג של Bruce Schneier, מראה, באמצעות חישוב כמות אפשרויות (פרמוטציות), כי אם משתמשים רק ב – 3 ספרות שונות עבור PIN באורך 4, ניתן להגדיל את מספר האפשרויות השונות שלו ל – 36. כלומר: משפרים את אבטחת המידע ב – 50%.

דרך אגב, בדיקה קצרה מראה שאם משתמשים ב – PIN באורך 5 ספרות שונות, קיימות 120 אפשרויות שונות עבורו. עבור אותו אורך PIN, כשמבוצע שימוש ב – 4 ספרות שונות בלבד, ניתן להגדיל את כמות האפשרויות השונות שלו ל – 240, כלומר: גידול של 100%  באבטחת המידע.

אז מה התשובה לשאלה בכותרת ? תמיד !!