From:
Maayan Cyzs [mailto:maayancy@matrix.co.il]
Sent: Wednesday, November 12, 2014 5:29 PM
To: Meir Azran
Cc: eyalgr99@gmail.com; Alex Prober; Hedva Feldman; Tal.zmiri (Tal.zmiri@mail.gov.il); Barzilai, Omer (Omer.Barzilai@ca.com);
עמוס גואטה (amosguata@gmail.com); Sagiv Tuvia
Subject: RE: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
שלום מאיר,
סטטוס עדכני:
1.
4.4 – בוצע היום.
2.
4.8 - הועבר נתיב החסימה לממשל זמין.
האם בוצעה החסימה? – לא משום שהאתר לא נמצא האחורי אימפרבה עדיין
3.
4.13 – בוצע.
מבקשת לקבל סטטוס לגבי יתר המשימות.
מחר מתוכננת בדיקת רגרסיה אחרונה.
תודה,
מעיין
מעיין ציז|
מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות |
מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il
| www.matrix.co.il
From: Maayan Cyzs
Sent: Tuesday, November 11, 2014 7:42 PM
To: Tal.zmiri (Tal.zmiri@mail.gov.il); Meir Azran (meira@gov.il); Barzilai, Omer (Omer.Barzilai@ca.com); sagiv tuvia (sagivt@gov.il);
עמוס גואטה (amosguata@gmail.com)
Cc: 'eyalgr99@gmail.com'; Alex Prober; Hedva Feldman
Subject: RE: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
ערב טוב,
בהמשך לועדה שהתקיימה היום:
מחר אוראל יגיע לממשל זמין ע"מ לטפל במשימות:
1.
4.4
2.
4.8 (חסימת הנתיב ברמת
WAF בלבד)
3.
4.13 – מעבר לפורט 80 בשירותים של שרתים אחוריים
(במידה ויוחלט שמשימה זו יורדת מהפרק, נא לעדכן אותנו בבוקר).
בברכה,
מעיין
מעיין ציז|
מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות |
מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il
| www.matrix.co.il
From: Maayan Cyzs
Sent: Monday, November 10, 2014 10:07 PM
To: Tal.zmiri (Tal.zmiri@mail.gov.il); Meir Azran (meira@gov.il); Barzilai, Omer (Omer.Barzilai@ca.com); sagiv tuvia (sagivt@gov.il);
עמוס גואטה (amosguata@gmail.com)
Cc: 'eyalgr99@gmail.com'; Alex Prober; Hedva Feldman
Subject: RE: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
שלום לכולם,
להלן סטטוס מעודכן לקראת ישיבה בנושא שתתקיים מחר בבוקר:
|
סעיף |
ממצא |
גורם אחראי |
סטטוס מבדיקות רגרסיה של מצוב |
הערות וסטטוס עדכני |
|
4.4 |
ממשל זמין |
תוקן חלקית, כמות ה-DA
קטנה בכחצי, אך עדיין מחוברים לשרתים. בנוסף, ישנם משתמשים local admin
גם על שרתי frontend
וגם על שרתי backend |
להפריד את היוזר של הFRONT
אדמין מהיוזר של הBACK.
במילים אחרות להוריד את היוזרים של הBACK
מהFRONT וליצור
יוזר אדמין חדש בFRONT. הוקמו משתמשים נפרדים, ממשל זמין מעוניינים לבצע את המעבר בשיתוף עם מטריקס, יבוצע בהמשך השבוע.
|
|
|
4.8 |
מנגנון לקוי להגנה מפני
clickjacking |
CA |
לא תקין |
התקיימה שיחת ועידה, במסגרתה נאמר ע"י
CA
כי ניתן לחסום ברמת
FW
את הנתיב ל –
login.fcc
של CA, יועבר לממשל זמין לחסימה – יש לבדוק לאחר מכן כי לא נפגע תהליך ההתחברות לאתר. |
|
4.9 |
services
רצים בהרשאות גבוהות |
ממשל זמין +
CA |
1.
SQL SERVER להעביר ליוזר רגיל. |
1.
הערות ממשל זמין: מצריך הרבה עבודה (ייתכן ומספר ימים) ואולי גם התקנה מחדש של השרת.
2.
בוצע
3.
נעשה ניסיון לרדד את הרשאות ה-Apache
Tomcat של
Siteminder ללא הצלחה.
יש לקבל התייחסות מ-ca
מדוע יש צורך בהרשאות Local Admin
למוצר. לא ניתן לשדרג את שרת Tomcat
על פי טענת נציג CA |
|
ביצוע
Auditing על השרתים |
ממשל זמין |
לא תקין |
בוצע |
|
|
private
keys שניתנים
לייצוא |
ממשל זמין |
לא תקין |
בוצע |
|
|
windows
firewall כבוי |
ממשל זמין |
חוקי
ANY -
ANY צריך
להגביל. |
להתייחסות ממשל זמין – לא יבוצע |
|
|
גרסאות ישנות של תכנות ושירותים |
ממשל זמין |
לא יתוקן, חלק מהתשתית |
האתר עובד על .NET 2
- שכפול טייסות. לא יבוצע, זו התשתית עליה עובד האתר ולא ניתן לשנות זאת כעת. |
|
|
מידע רגיש חשוף בקבצי קונפיגורציה |
מדור או"פ |
לא תקין |
בוצע |
|
|
מידע רגיש חשוף בקבצי קונפיגורציה |
CA |
לא תקין |
יש להצפין את שם המשתמש והסיסמא בarcotconfig.properties. בוצע |
|
|
קוד מקור שמור בשרתים |
מדור או"פ |
לא תקין |
בוצע |
|
|
4.11 |
שרשור דינאמי של פרמטרים לשאילתות
SQL |
מטריקס |
לא יתוקן, חלק מהתשתית |
מבוצעת בדיקה בצד האתר על כל הפרמטרים שנכנסים ל -
DB, במידה וימומש
תרחיש תקיפה מול URL
ספציפי יש להעבירו נקודתית לתיקון, |
|
4.12 |
הלבנה והשחרה |
ממשל זמין |
לא תקין |
להתייחסות ממשל זמין |
|
4.13 |
פרוטוקול
HTTPS בתקשורת
בין השרתים |
ממשל זמין + מטריקס |
קיימים תהליכים בין השרתים הקדמיים לאחוריים בפורט 80 |
קיימים שני
serviceים שנצרכים מאחורה ב – 80, אחד הוא ההזדהות מול
OP DB, והשני הוא
מול שרת ה"ניפוחים". לשם ביצוע אנחנו צריכים שיותקנו תעודות
SSL
על שרת הניפוח ועל
DB
ההזדהות, לאחר ההתקנה נוכל להעביר לפורט 80. האם לרכוש תעודות או שקיימות תעודות שניתן להשתמש בהן לשרתים אחוריים בממשל זמין? רק לאתר התקנת התעודות ניתן יהיה לטפל בסעיף זה |
|
4.14 |
פערים בהקשחה תקשורתית |
ממשל זמין |
לא תקין |
להתייחסות ממשל זמין – לא יבוצע |
|
4.16 |
זיהוי מידע כוזב במס"ד הנתונים |
ממר"מ |
לא תוקן, יש להדגיש שהמדיניות הלקויה הוגדרה על ידי מחב״ם. |
להתייחסות מדור או"פ – לא יבוצע |
|
זיהוי מידע כוזב במס"ד הנתונים |
מדור או"פ |
לא תוקן, יש להדגיש שהמדיניות הלקויה הוגדרה על ידי מחב״ם. |
להתייחסות מדור או"פ – לא יבוצע |
|
|
4.17 |
שרתים ברמות חשיפה שונות |
ממשל זמין |
לא תקין |
להתייחסות ממשל זמין – לא יבוצע |
בברכה,
מעיין
מעיין ציז|
מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות |
מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il
| www.matrix.co.il
From: Maayan Cyzs
Sent: Sunday, November 09, 2014 12:20 PM
To: Tal.zmiri (Tal.zmiri@mail.gov.il); Meir Azran (meira@gov.il); Barzilai, Omer (Omer.Barzilai@ca.com); sagiv tuvia (sagivt@gov.il)
Cc: 'eyalgr99@gmail.com'; Alex Prober
Subject: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
Importance: High
שלום לכולם,
מצורף אקסל משימות אבטחה + סטטוס עדכני.
טל – שים לב בבקשה לממצאים שרלוונטיים לממר"ם ומדור או"פ.
עומר –
אני ממתינה להתייחסותכם בהמשך להתכתבותינו ביום חמישי.
מאיר – מה הצפי לסיום הליקויים בממשל זמין?
מחר אוראל יגיע להמשך עבודה בממשל זמין.
להלן הסעיפים הפתוחים:
|
סעיף |
ממצא |
גורם אחראי |
סטטוס מבדיקות רגרסיה של מצוב |
הערות |
|
4.4 |
|
ממשל זמין |
תוקן חלקית, כמות ה-DA
קטנה בכחצי, אך עדיין מחוברים לשרתים. בנוסף, ישנם משתמשים local admin
גם על שרתי frontend
וגם על שרתי backend |
רידוד הרשאות ניתן לעשות מחר בנוכחות אוראל. |
|
4.8 |
מנגנון לקוי להגנה מפני
clickjacking |
CA |
לא תקין |
התיקון שהוצע שובר פונקציונליות באתר כיוון ש-sp
צריך להציג frame
מתוך owa. מכאן
שיש סתירה בין התנהגות המערכת לדרישה האבטחתית. צריך לדון בזה. |
|
4.9 |
services
רצים בהרשאות גבוהות |
ממשל זמין +
CA |
SQL SERVER -
להעביר ליוזר רגיל. |
נעשה ניסיון לרדד את הרשאות ה-Apache Tomcat
של Siteminder
ללא הצלחה. יש לקבל התייחסות מ-ca
מדוע יש צורך בהרשאות Local Admin
למוצר. לא ניתן לשדרג את שרת Tomcat
על פי טענת נציג CA |
|
ביצוע
Auditing על השרתים |
ממשל זמין |
לא תקין |
||
|
private
keys שניתנים
לייצוא |
ממשל זמין |
לא תקין |
||
|
windows
firewall כבוי |
ממשל זמין |
חוקי
ANY -
ANY צריך
להגביל. |
||
|
גרסאות ישנות של תכנות ושירותים |
ממשל זמין |
האתר עובד על .NET 2
- שכפול טייסות. לא הולך להשתנות. |
||
|
מידע רגיש חשוף בקבצי קונפיגורציה |
מדור או"פ |
לא תקין |
|
|
|
מידע רגיש חשוף בקבצי קונפיגורציה |
CA |
לא תקין |
יש להצפין את שם המשתמש והסיסמא בarcotconfig.properties. |
|
|
קוד מקור שמור בשרתים |
מדור או"פ |
לא תקין |
לטיפול מדור או"פ |
|
|
4.11 |
שרשור דינאמי של פרמטרים לשאילתות
SQL |
מטריקס |
לא יתוקן, חלק מהתשתית |
מבוצעת בדיקה בצד האתר על כל הפרמטרים שנכנסים ל -
DB, במידה וימומש
תרחיש תקיפה מול URL
ספציפי יש להעבירו נקודתית לתיקון, |
|
4.12 |
הלבנה והשחרה |
ממשל זמין |
לא תקין |
|
|
4.13 |
פרוטוקול
HTTPS בתקשורת
בין השרתים |
ממשל זמין + מטריקס |
קיימים תהליכים בין השרתים הקדמיים לאחוריים בפורט 80 |
קיימים שני
serviceים שנצרכים מאחורה ב – 80, אחד הוא ההזדהות מול
OP DB,
והשני הוא מול שרת ה"ניפוחים". לשם ביצוע אנחנו צריכים שיותקנו תעודות
SSL
על שרת הניפוח ועל
DB
ההזדהות, לאחר ההתקנה נוכל להעביר לפורט 80. האם לרכוש תעודות או שקיימות תעודות שניתן להשתמש בהן לשרתים אחוריים בממשל זמין? |
|
4.14 |
פערים בהקשחה תקשורתית |
ממשל זמין |
לא תקין |
|
|
4.16 |
זיהוי מידע כוזב במס"ד הנתונים |
ממר"מ |
לא תוקן, יש להדגיש שהמדיניות הלקויה הוגדרה על ידי מחב״ם. |
|
|
זיהוי מידע כוזב במס"ד הנתונים |
מדור או"פ |
לא תוקן, יש להדגיש שהמדיניות הלקויה הוגדרה על ידי מחב״ם. |
|
|
|
4.17 |
שרתים ברמות חשיפה שונות |
ממשל זמין |
לא תקין |
|
בברכה,
מעיין
מעיין ציז|
מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות |
מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il
| www.matrix.co.il