Pure-in-the-middle attack, Vast data and tools for VMware admins

Pure-in-the-middle attack

במאי, במקביל לכניסה לתוקפן של תקנות GDPR, פרסמנו מאמר דעה שמדבר, בין היתר, על הסתירה בין הדרישה העולה להצפנת נתונים במקור ובין המודל הכלכלי של פתרונות ה All Flash שבלי לקחת בחשבון את הנפח האפקטיבי של מערכות אחסון אחרי דחיסה וביטול כפילויות, פשוט יקרות מדי לרכישה עבור מרבית השוק. אם המידע מוצפן במקור, הסיכוי לבצע עליו באופן אפקטיבי דחיסה או ביטול כפילויות נמוך עד לא קיים. אם בעבר החיסכון המתקבל משימוש בדידופ היה יתרון טכנולוגי עבור הלקוח, היום הוא אילוץ כלכלי עבור היצרן.

לפני שבוע וקצת, חברת Pure הכריזה על פתרון חדש שהוצג כפתרון פורץ דרך ומאפשר ביצוע הצפנת נתונים מקצה לקצה ללא נטרול טכנולוגית ביטול הכפילויות המובנית במערכות היצרן.  האמת היא די רחוקה מזה, למעשה מה שמוצע כאן בפתרון הוא שילוב של שני כלים, הראשון הצפנה ברמת Host והשני הצפנה ברמת מערך האחסון, הבעיה היא שאלו שני כלים נפרדים והתהליך כולל פתיחה של ההצפנה והצפנה מחדש בעת כתיבה ושוב בעת קריאה, מתבצעת כאן החלפה של ההצפנה ובאמצע שלב של clear text כלומר, מי שיטמיע את הפתרון, יטמיע לעצמו מתקפה של men in the middle קלאסית.

image credit to blocksandfiles.com

Vast storage to the rescue?

במסגרת storage field day האחרון, נחשפה באופן מסודר חברת Vast storage. הם הציגו סוג חדש של טכנולוגית חסכון בנפח והיו לי ציפיות גדולות מהם ספציפית בעניין של חסכון בנפח עבור מידע מוצפן כי כריס מלור האהוב על כולנו כתב שהם מסוגלים לייצר חסכון של 1:5 גם על מידע שכבר עבר חסכון של 5:1 על ידי קומוולט. במקום לבצע דחיסה וביטול כפילויות, הם מציגים חישוב חדש שמתבסס על בלוקים לא זהים אלא דומים. כשהמערכת הכי קטנה שהם מתכוונים למכור היא פטה שלם של מידע ויכולה לגדול לפטות רבות, הסיכוי למצוא בלוקים דומים, עולה. הם מבצעים Hash על כל הבלוקים ולכל האש כזה נותנים מספר מזהה לפי אלגוריתם חיפוש הדמיון שלהם. אם יש בלוקים שחולקים את המספר המזהה, הם מקובצים ביחד ואז נשמר רק אחד מהם כבלוק ייחוס ונוצרות דלתות כדי לייצג את שאר הבלוקים במקבץ. נשמע ממש מגניב אבל כמו שרנן אומר, גם הם לא יכולים לספק חסכון משמעותי במידה והמידע מוצפן, אולי אם הצפנתם מידע דומה באלגוריתם הצפנה דומה עם מפתח הצפנה דומה.

אגב רנן חלק שמעביר כאן את ההדרכה, מייסד ומנכ"ל החברה ולשעבר VP R&D של ExtremeIO מדליק את הקבוצה בסביבות דקה 6:05 עם ההערה שלא צריך יותר לגבות, סנפשוטים זה מספיק. אני כמובן חולק עליו אבל אני לא איש R&D כמוהו ומה שעובד במחקר לא תמיד עובד בשטח.

תראו למשל את מה שקרה בשבוע שעבר לענקית הפלדה Norsk Hydro, חברה שמעסיקה 35,000 איש שעברה לעבוד עם דפים וכלי כתיבה אחרי שמערך המחשוב שלה הושבת כליל אחרי מתקפת Ransom והיום מודיע ש"רבית" השירותים שלה חזרו לתפקוד, רק חלק ואחרי שבוע!

נקודה נוספת ששווה התייחסות בקליפ זה ה shout out של כריס אוונס עלינו, אינפינידט, תודה כריס! (דקה 7:35)


Renen Hallak, CEO introducing Vast at #SFD18

באופן כללי אני חושב שהטכנולוגיה שלהם מעניינת והפתרון נחמד מאד אבל לא ראיתי מהפכה אמתית כמו שהם טוענים כלומר, כשרנן מדבר על זה שהם המציאו מתמטיקה חדשה, אני מרים גבות כי מרבית הפתרונות בעולם יספיקו למרבית השימושים בעולם, כולל שימושים שעוד לא חשבנו עליהם, אם רק נזרוק עליהם מספיק NVMe, פריצת דרך זה לא.

שימו לב לנקודה אחת אחרת בהקשר שלהם, תראו את פער המחירים בין NL-SAS לבין SSD על פי המחירים שהם רואים, זה עוד יותר קיצוני ומובהק מהמספרים שאנחנו מציגים אפילו!

screenshot from the #SFD18 video above

כלים שימושיים בסביבות VMware

השנה התקבלתי שוב לתכנית vExpert לשמחתי הרבה והיה לי כיף לגלות שעדיין יש לי מה ללמוד גם ברמת הבסיס. באחד הפרקים האחרונים של Virtually speaking סקרו את עשרת הכלים הכי שימושיים לאדמינים של סביבות ESXi ואלו שלושה כלים שלא הכרתי ונראים לי מאד שימושיים:

ONYX – אוניקס הוא תוסף שמתרגם פעולות מהממשק הוובי של vCenter לקוד powercli. נראה לי כמו כלי סופר יעיל לגשר בין כלי GUI אינטואיטיבי ובין עולמות ה API בהם אנחנו אשכרה צריכים לדעת מה אנחנו רוצים לעשות. הפלט כמובן ניתן לעריכה והתאמה ולכן יכול לשמש אותנו כטמפלט מעכשיו הלאה

HCIBench – אם אתם זוכרים, כבר כתבתי כאן פעם על VDBench, הכלי המועדף עלינו לבדיקות ביצועים. מסתבר שיש פלינג נחמד שמבצע auto deployment לסביבה מבוססת VDBench להרצת בדיקות ביצועים של HCI, ממש מגניב!

שני הכלים האלו הם פלינגים, כלים ותוכנות שלא נתמכים רשמית על ידי VMware אבל כן מפותחים ונתמכים על ידי הקהילה ועובדי VMware, משהו כמו code.infinidat.com שלנו רק, מה לעשות, גדול עשיר ומרשים יותר.

הכלי השלישי הוא הכלי האהוב עלי ברשימה, או יותר נכון הכלי שהכי הרשים אותי.

As-Built-Report – יא וורדי איזה כלי, ממש התביישתי שלא הכרתי אותו עדיין, כלי קהילה, open source, שמאפשר לייצר דוחות מותאמים אישית על כלל סביבת ה IT הקיימת כולל vSphere, NSX, Cisco UCS, Nutanix, Pure, ממש שווה להעיף מבט על הכלי.

שויין, זה מה שיש לי להפעם,

אני מנסה לבשל גם איזה פוסט על אנשי פריסייל מתחילים שמתביישים לשאול את הלקוח שלהם שאלות ואנשי מכירות מתחילים שחושבים שזה הגיוני להגיע לפגישה הראשונה עם הצעת פתרון עוד לפני שהם שמעו מהלקוח באופן מדוסר מה הוא מחפש להשיג אבל אני לא מצליח לכתוב את זה בלי שיראה כמו מניפסטו נזעם אז אני דוחה את זה עוד קצת.

אה, ואגב, אני מחפש חבר לצוות שלי לתפקיד Technical Advisor שדומה קצת לתפקידי TAM/TAC  בחברות אחרות או  תפקידי Success בסטארט-אפים מגניבים אז אם אתה מתאימים או מכירים מישהי\מישהו, תהיו חברים!

שלכם כמו תמיד,

ניר מליק

מודעות פרסומת

bond, hacker bond – meltdown and spectre

זוכרים שב2006 דן חלוץ מכר מניות כמה שעות אל תוך האירועים בגבול הצפון שהתגלגלו למה שאנחנו מכירים כמלחמת לבנון השניה? אז מסתבר שמנכ"ל Intel עשה דבר דומה בשנה שעברה. על פי דיווחים שונים, בריאן קרזניץ מכר מניות בשווי עשרים עד ארבעים מיליון דולר וזאת למרות שלחברה כבר נודע על פרצות אבטחת המידע עליהן כולנו מתבשרים רק בימים אלו. זה אולי זמן טוב לשורט על אינטל כי המניה ירדה אבל עוד לא צנחה לקרקעית

intel

בגדול, הפרצה הידועה בשם Meltdown ייחודית למעבדי אינטל ומאפשרת לכלי התקיפה לחדור אל עמודי הזיכרון השמורים לליבת מערכת הפעלה. הפרצה רלוונטית לכלל מערכות ההפעלה וחלק מהיצרניות כבר הוציאו עדכון תוכנה להתמודד עם הפרצה. יש לקחת בחשבון עלות של כ30% בביצועי המעבד לאחר יישום עדכון התוכנה.

מערכות בתצורת Appliance פחות חשופות להבנתי לפרצה זו היות ולמשתמש אין דרך להריץ תהליכים חיצוניים על גבי המערכת אבל גם אם אני צודק, אז צריך לקחת את זה בערבון מוגבל כי אנחנו תלויים בעד כמה מי שבנה את ה Appliance באמת הקשיח את הגישה. אצלנו ב Infinidat למשל הגישה ל Core מתבצעת רק באמצעות מפתח הצפנה פרטי ששמור רק אצלנו.

פרצה נוספת, קשה יותר לניצול אך נפוצה הרבה יותר היא Spectra. ספקטרה אינה ייחודית רק למעבדי אינטל, היא רלוונטית גם למעבדי AMD ומעבדי ARM. המידע על שתי הפרצות הוא חלקי בלבד וההסבר על ספקטרה נשמע מסתורי לגמרי כי הוא מדבר על פרצה שמנצל פגם בדרך שבה אנחנו מתכננים מעבדים מהיסוד. אולי אם אתה, קורא יקר, במקרה, מהנדס חומרה בתחום המיקרו-מעבדים, הבנת על מה מדובר, לי זה נשמע כמו שקר כלשהו אבל ההשלכה של האמירה הכללית הזו היא שהפתרון לפרצה לא יימצא בקרוב אלא יחייב דור חדש של מעבדים שמתוכננים לגמרי אחרת.

פריט בונוס לחובבי הז'אנר, ספקטרה זה גם הארגון אחריו רודף ג'יימס בנוד בסרטים רבים החל מכדור הרעם וד"ר נו ועד הסרט ספקטרה מ 2015 בכיכובו של דניאל קרייג שעושה תפקיד טוב מהצפוי בתפקיד בונד.

spectre

בברכת עדכונים תוכנה נעימים!

שלכם,

ניר מליק

מיני פוסט – פרצת אבטחה חמורה בפרוטוקול הצפנת תקשורת אלחוטית WPA2

אני לא מומחה אבטחת מידע ואני מפנה את כולכם לקריאה מסודרת באתר https://www.krackattacks.com/

בימים האחרונים פורסמה פרצת אבטחה מובנית בפרוטוקול ההצפנה WPA2 הנפוץ ברשתות תקשורת אלחוטיות ועד לאחרונה נחשב די מאובטח.

על פי הפרסום הפרצה מובנית בדרך הפעולה של הפרוטוקול עצמו ולא באופן היישום של יצרן ספציפי כך שסביר להניח שאם יש לכם או בניהולכם רשת תקשורת אלחוטית, היא חשופה להתקפה.

באופן פשוט ופשטני, באמצעות התקפת man in the middle אפשר לגרום ל access point לשדר את מפתח ההצפנה שוב ושוב. על ידי האזנה לשידור חוזר זה ניתן לבצע מניפולציות על מפתחות ההצפנה והתעבורה. במערכות לינוקס ואנדרואיד 6 המתקפה חמורה במיוחד שכן היא גורמת לקליינט להגדיר לעצמו מפתח הצפנה שכולו אפסים (000…). במקרה שכזה כמובן שניתן אפילו יותר בקלות להשתמש במפתח הצפנה בכדי לקרוא את תוכן התעבורה.

עקבו אחרי הפרסומים ועדכנו את הנתבים\AP שלכם בהקדם!