IFIS מתחיל בפעילות ציבורית

קיבלתי השבוע דוא"ל מ-"הפורום הישראלי לאבטחת מידע" (IFIS, ‏The Israeli Forum for Information Security. עד לא מזמן השם היה NSIF, ובינתיים זה גם שם הדומיין, עד לשינוי) המודיע כי הוא מתחיל בפעילות פומבית.
הפורום הוא, ככל שידוע לי, ההתארגנות המקצועית הרצינית הראשונה והמקיפה בישראל בתחום אבטחת מידע (ולא, תחום ביקורת מערכות מידע לא נכלל כאן לדעתי), כזו שמקבלת חברים בלי צורך לעמוד במבחנים או לקבל תארים בעלי שלוש אותיות לועזיות בתוספת סיכה ותעודה (תמצאו כאלו בדף שלי "חברות וארגונים בתחום אבטחת המידע בישראל").
הפורום מסונף (ואינני יודע כרגע מה משמעות המילה הזו מעבר לסיוע לוגיסטי לפורום) לאיל"א (איגוד ישראלי לטכונולוגיית מידע).

אני סבור שכמו כל ארגון מקצועי-התנדבותי, כוחו והשפעתו ישאבו כוח מכמות החברים ומרמת האקטיביות של תרומתם ופעילותם בפורום ולכן אני מתכוון להירשם (ברגע שאשתי תאשר את הפעילות וההוצאה…) ומעודד גם אתכם להצטרף.

ביקשתי וקיבלתי אישור להעלות כאן את תוכן הדוא"ל שקיבלתי ואת קבצי ה-PDF שקיבלתי עם הדוא"ל (זמינים להורדה כקובץ ZIP אחד).
רק תיקון טעות קטן שקיבלתי עליו אישור – ב-PDF של "טופס הצטרפות" דמי החבר מקנים לכם חברות עד 31/08/2009 ולא 31/08/2008 כפי שרשום בטופס.

להלן תוכן הדוא"ל:
"

שאלות? בירורים?

אינך מצליח לפתוח המסמכים המצ"ב?

צור קשר ישיר עם דורית:  03-7731001

שלום רב,

לאחר כשנה של פעילות – הרחק מעין הציבור, יוצאת העמותה / הפורום לדרך ציבורית. דרך זו הינה דרך של התנדבות מחד, וזכויות להכשרה מקצועית מאידך.

הנך מוזמן להצטרף לשורות הפורום הישראלי (לאומי) לאבטחת מידע.

1. קרא/י את הפיסקה שלמטה (תמצית).

2. קרא/י את מסמך "עלון מידע" המצ"ב.

3. קרא/י את מסמך "אינדקס קורסים" המצ"ב. שים דגש בקריאתך: הכשרה מקצועית ללא תשלום לחברי הפורום.

4. מצ"ב טופס הרשמה – למשלוח רק בפקס. החתימה בטופס ההרשמה מחייבת אישור קריאת תקנון העמותה.

תמצית – הפורום הישראלי לאבטחת מידע

כללי

העמותה נוסדה בידי קבוצת אנשי ומנהלי אבטחת מידע מובילים שמטרתם קידום נושא אבטחת המידע ברמה הממלכתית והציבורית, צמצום הסיכונים לפרט ולמדינה, ובניית מדרג מקצועי והכרה לעוסקים בתחום אבטח המידע, והיא מסונפת לאיל"א.

בראשה– נשיא העמותה – האלוף (מיל') יעקב עמידרור, יו"ר העמותה – אבי ויסמן, יו"ר איל"א – עמירם שור וסגני יו"ר העמותה – איתי ינובסקי – CISO צים נתיבי ספנות ומשה חורב – מנכ"ל Oracle ישראל.

מטרות העמותה

העמותה תתנדב ותסייע לחבריה – אנשי אבטחת מידע והעוסקים בתחומי המיחשוב, המשפטים והביקורת, בהכשרה ללא תשלום ובהסמכה, וכן תסייע למוסדות המדינה:

1. מרכז יעוץ לרשויות הממלכתיות בנושאי אבטחת מידע (למשרדי הממשלה, לכנסת, להנהלת בתי משפט, למשטרת ישראל, לעמותות נוספות).

2. מרכז לקידום תקינה וחקיקה בתחום אבטחת מידע (תרומת ידע לגורמים המחוקקים).

3. מרכז לגיבוש וקידום מודעוּת ותרבות אבטחת מידע (מרכז מידע חינוכי ומקצועי לציבור).

4. מרכז ידע ומצוינות בתחום אבטחת מידע- ומקור להעשרה והחלפת מידע מקצועי בתחום (מרכז הכשרה ומידע מקצועי סגור לחברים).

5. מרכז להסדרה ולחיזוק מעמדם המקצועי של אנשי אבטחת מידע והעוסקים בתחום (מרכז הסמכות סגור לחברים).

6. מרכז לייזום ולחיזוק מיזמי אבטחת מידע ממלכתיים ופרטיים.

קבוצות לימוד והכשרה

לרשות חברי העמותה מעמידה ועדת הכשרה מקצועית קבוצות הכשרה מקצועיות לתת-עולמות אבטחת המידע. הלימודים יועברו באמצעות מרצים בכירים במשק הישראלי, במתכונת מפגשים חד-חודשיים בני שעתיים, וסך הכל 24 שעות הכשרה נטולת אוריינטציה מכירתית. בנפרד ממערכת הלמידה הרישמית, תתאפשר חשיפה ליצרנים וספקי שירותים במסגרת נפרדת, תחת תנאים מגבילים המאפשרים למידה. קבוצות הלימוד:

1. קבוצת לימוד – ‏ Infrastructure Security ‏(24 שעות שנתיות)

2. קבוצת לימוד – Application & DB Security‏ (24 שעות שנתיות)

3. קבוצת לימוד – Security Tools & Technologies‏ (24 שעות שנתיות)

4. קבוצת לימוד –  Hacking & Anti-Hacking Techniques‏(24 שעות שנתיות)

5. קבוצת לימוד – Security Management, Regulations,& Auditing‏ (24 שעות שנתיות)

6. קבוצת לימוד – Fraud Prevention‏ (24 שעות שנתיות)

7. קבוצת לימוד – Security Innovations & Manufacturers‎‏ (24 שעות שנתיות)

הנהלת פורום CISO (מנהלי אבטחת מידע בישראל)

הנהלת הפורום כוללת כ- 50 מנהלי אבטחת המידע הבכירים בישראל, 3 נציגים מכל אחד מהמגזרים: ממשלה, ביטחון, רפואה, הייטק, תעשיה ומסחר, סלולר, אינטרנט, תקשורת, אקדמיה, בנקים, ביטוח ואשראי. הנהלת פורום CISO הינה הגוף המקצועי הבכיר בעמותה, תשתלב בפעילויות ההתנדבות ותתווה את מדיניותה המקצועית של העמותה. חברי הנהלת פורום CISO:

מימשל: בועז דולב, מימשל זמין, מנכ"ל, חוזה כהן, רשות המיסים, CISO, יצחק יצ'קו שד"ר, כנסת ישראל, CISO, איתן לרמן, דואר ישראל, CISO, נאוה טרינצ'ר, חברת חשמל, CISO, ביטחון: אבנר בן-אפריים, משהב"ט, רון ארד, משטרת ישראל,  עידו שליט, תעשיה אוירית, CISO, דרור חפר, רפא"ל, CISO, ISP's: אריאל פיסצקי, נטוויז'ן Netvision, CISO, אופיר ליבר, סמייל 012, CISO, עמי הופמן, בזק בינלאומי, CISO, תקשורת: זאב גולדשטיין, HOT, CISO, חיים פלדמן, בזק, CISO, שמוליק רוטשס, YES, CISO, סלולר: דודי אבלגון, פלאפון, CISO, ירון גיל, מירס, CISO, מתי מגירא, סלקום, CISO, גולן ברש, פרטנר, CISO, הייטק: אלי בקר, קומברס, CISO, דוד ישראל, מוטורולה, CISO, תעשיה ומסחר: איתי ינובסקי, צים, CISO, ג'ט דאב, כתר פלסטיק, CISO, יובל אילוז, שטראוס עלית, CISO, חנן דקל, אוסם, CISO, מרק לוכטר , טבע, CISO, עידית ישראלי, אל-על, CISO, שמואל דולצ'ה, תנובה, CISO, אקדמיה: אריאל בינר, אונ' ת"א, האנק נוסבכר, מחב"א, רפואה: איציק כוכב, שרותי בריאות כללית, CISO, אבישי שליבקוביץ, לאומית, CISO, בועז ירושלמי, מכבי, CISO, ליאור אילן, משרד הבריאות, CISO, בנקאות: אילן כהן , בנק פועלים, CISO, חקו גייפמן, בנק דיסקונט, CISO, מיכה קורקידי, בנק לאומי לישראל, CISO, מיכה וייס, בנק מזרחי-טפחות, CISO, אשראי: גון קמני, לאומיקארד, CISO, יונתן סרוגו, ויזה כאל, CISO, עמוס בר-סלע, ישראכרט, CISO, ביטוח: לאה גוטרמן, מגדל ביטוח, CISO, מיקי בלחסן, כלל ביטוח, CISO, מרון בכר, הפניקס הישראלי, CISO, מיכאל וייס, הראל ביטוח, CISO.

אנו צופים כי מרבית העוסקים בתחום ייצטרפו לעמותה, ומברכים על-כך.

שימו לב, קורסי ההכשרה המקצועית מתחילים במחצית הראשונה של חודש ספטמבר.

אל תתעכב. הסדר מיד את הרשמתך בפקס כמפורט בראש המייל.

בברכה,

יעקב עמידרור, נשיא הפורום

אבי ויסמן, יו"ר הפורום

054-5222305, 03-6122831

avi@nisf.org.il

דורית שאול, מזכירת הפורום

03-7731001

ila@ila.org.il

"
עד כאן תוכן הדוא"ל של IFIS.

אתם מוזמנים להירשם, להשתתף ורצוי גם לתרום מיכולותיכם – ארגון מקצועי יכול רק לקדם אותנו בינינו לבין עצמנו ומול העולם.
אבטחת המידע הוא מקצוע צעיר יחסית, בואו ונבנה אותו ביחד.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

עיתונאים ללא גבולות

לאחרונה נתקלתי בשני מקרים בהם עיתונאים ישראלים כתבו טקסטים שלא סתם פוגעים באבטחת מידע אלא גם מייצגים חוסר אחריות שיכול לגרום נזקים לא מבוטלים לקוראים שלהם ולסביבתם הקרובה והרחוקה.

כרונולוגית, נתקלתי לראשונה ב-YNET, בכתבת אדר שלו, שכתבה "מי צריך אנטי וירוס?" (15.3.2008).
על התוכן של הכתבה הזו אפשר רק לומר כמו שאומרים באנגלית – This is wrong on so many levels.

בואו ונתרכז רק בטיעון הפשוט ביותר, הכלכלי. את הטיעונים הטכניים אתם בטח מכירים ממזמן, כולל הקונספירציות. כותבת הגברת:
"למה לקחת את הסיכון, בעצם? יש כמה סיבות טובות. הראשונה היא, כמובן, המחיר – חבילת כלי אבטחה של אחת היצרניות המובילות, הכוללת אנטי וירוס, אנטי-spyware (רוגלות), פיירוול (חומת אש), מסנן לדואר האלקטרוני ועוד, עולה כמה מאות שקלים. אחת לשנה צריך לחדש את הרשיון ולהוציא עוד כמה מאות שקלים, כי הגירסה הקודמת הופכת לא רלוונטית ולעתים מפסיקה להתעדכן."

ביסודו של דבר היא אומרת – לא צריך אנטי-וירוס, אבל בכדי להצדיק את חוסר הכדאיות הכלכלית שלו (בלי לדבר על הערך הכלכלי של אובדן המידע האישי שלרוב לא ניתן לשחזר (כי מי מגבה?), הסיכון שבגניבת הזהות ופרטים כמו כרטיסי אשראי וכניסה לחשבונות בנק וזמן ההתעסקות בהתקנות מחדש) היא מתייחסת למחירי חבילות אבטחת המידע ולא רק ל-AV!
תרגיל לא יפה.

נכון לכתיבת פוסט זה, על פי אתר השוואת המחירים הישראלי ZAP, ניתן לרכוש:
McAfee VirusScan 2008 OEM ב-38 ש"ח
McAfee Internet security 2008 OEM (חבילה!) ב-48 ש"ח
Norton AntiVirus 2008 OEM ב-56 ש"ח
NOD32 גרסה 3.0 ב-79 ש"ח
Norton Internet Security 2007 OEM (חבילה!) ב-90 ש"ח
Norton Internet Security 2008 OEM (חבילה!) ב-101 ש"ח
ואני חושב שזה מספיק בכדי להבהיר את הנקודה.

נקודה נוספת שלרוב לא מתייחסים אליה, היא האלמנט ה"שטוח"-שיתופי של רשת האינטרנט. כל מי שנדבק בקוד זדוני שגם מתפשט – מסכן את כל אלו שהוא נמצא איתם בקשר בדרגה ראשונה ובדרגה שנייה את שאר הרשת באופן לא-אישי.
אני מסתכן בניחוש פרוע שרוב המחשבים המנוצלים על ידי רשתות בוטים הם מחשבים ביתיים שהחליטו שלא צריך AV. ומי הנפגעים העיקריים מרשתות בוטים?- ארגוני ממשל ומסחר, שהם היעדים העיקריים להתקפות שלילת שירות, אך כמובן שהבוטים גם משמשים להפצת ספאם שממנו סובלים גם אנשים פרטיים.

אז הגברת שלו מצטרפת למסדר העיתונאים שלא רק שהם לא ממש מבינים על מה הם כותבים אלא גם בדרך מדיחים את הקוראים שלהם לדרך שמן הסתם תיגמר בדמעות.

(איזה צחוק. קראתי שוב את הכתבה, וההערה שבסיום הכתבה לא הייתה בזמן פרסום המאמר וגם זמן מה לאחר מכן. ההערה (שלא פורסם מתי היא נוספה לכתבה. סוג של אתיקה):
"הערה: ynet אינו ממליץ על שימוש באינטרנט ללא תוכנת אנטי וירוס. משתמשים בתוכנת אנטי וירוס ומרוצים מפעולתה? אין שום סיבה להשליך אותה לסל המיחזור. מטרת הכתבה הזו היא לנער את המוסכמות ולהצביע על כך שאם אנטי וירוס או בלעדיה – ניתן לגלוש בביטחה באמצעות שמירה על כמה כללי ברזל."
מסתבר שלבסוף מישהו ב-YNET עשה רוורס וניסה להפוך את המדריך המפורט הזה לטור דעה "מנער מוסכמות". צבועים)

.
נעבור לעיתונאי השני. על שוקי גלילי אי-אפשר לומר שהוא לא איש טכנולוגי.
אני מכיר את הכתבות שלו מהערוצים השונים של "ידיעות אחרונות" וממגזין שכתב בו ובהחלט התרשמתי שהוא מכיר את נושא התקשוב ברמה גבוהה.
אני מכיר אותו גם מהזמן שכתבתי ב"רשימות", שם גם לו יש אתר אישי. שוקי, ככל שהתרשמתי מכתביו, הוא סוציאליסט בכל רמ"ח אבריו, כאשר חלק מהעניין הוא כנראה גם העדפת העובד על פני המעסיק.

שוקי, שלדעתי אמור להכיר, ולו טכנולוגית, את המשמעויות של מה שהוא כותב, אם כי כנראה לא את המשמעויות הארגוניות שמחוץ למערכת עיתון – הולך צעד וחצי רחוק מדי בכתבה/טור שלו באתר "כלכליסט" – "לוחמה משרדית – מדריך למתקדמים" (28.7.2008). התמקדו בפסקה "השתמשו בתוכנות ובאתרים אסורים", שם הוא פשוט מציע לעובדים לעקוף את סינון התוכן בגלישה וגם להשתמש בתחליפי תוכנות אסורות דרך הרשת או באמצעות הרצה מקומית של תחליפים שניתן להפעיל ללא התקנה.

כל עוד אתה עיתונאי שמרשים לו להיות שובב, יצירתי, נועז ופורץ גבולות במסגרת מערכת העיתון, זה נחמד, אולי זה אפילו יעבוד/יעבור בחברות קטנות-בינוניות שאין בהן משאבים או זמן לטפל באבטחת מידע כמו שצריך, אבל בחברות גדולות ורציניות… עובדים בחברות כאלו יכולים להתפתות לעצתו של השובב, בלי לדעת שהם צריכים להיות ברמה ממש גבוהה בכדי לעבור מתחת לרדאר.
מימוש עצות כאלו, המפרות בכוונה תחילה את המגבלות שהארגון החיל על העובדים – הן הצעד הראשון (ולפעמים האחרון במקומות מסוימים) בדרך לפיטורים של העובד.

כתבות כמו שתי הנ"ל רק מלמדות אותנו שהדרך עוד ארוכה, לבטח במדינה כמו ישראל, שבה תרבות של משמעת עצמית וארגונית היא אפילו לא המלצה, שיש מי שלא מכירים את מגבלות המציאות והמצב בשטח אבל עצות אחיתופל מחלקים בחינם.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

הבלש של מיקרוסופט

לפני קצת יותר משנה, כאשר עברתי על לוגים של מערכת IPS שממוקמת ברשת ייעודית (לא מול האינטרנט או גורמי החוץ), ראיתי פעילות DHCP.
מאחר ומדובר בסביבת שרתים, שמן הסתם אמורים להיות עם כתובות IP קבועות, הרי שפעילות DHCP לא הייתה אמורה להתרחש ועל כן יכולה להעיד על גורם בלתי-מורשה שמתחבר לרשת, ולכן נכנסתי לפרטי האירועים.

אז כן, היו אלו אירועי DHCP Discovery, אולם הפרטים שלהם כללו שלושה מאפיינים מטרידים:

1. כתובות ה-MAC היו מזויפות בעליל ולא שייכות לשום יצרן תקשורת. למשל, 4d:c8:43:bb:8b:a6 או 45:3b:13:0d:89:0a שלא העלו שום שם יצרן באתר חיפוש התאמות MAC ליצרן.
2. הכתובות הנ"ל התחלפו בתוך 3 שניות…
3. שם ה-Domain היה DETECTIVE… (שכמובן לא היה קיים ברשת המדוברת)
אופס, חשבתי לעצמי, יש כאן מישהו או משהו רע…

מייד פניתי לאינטרנט, וראיתי שאני לא לבד ולא הראשון שנתקל בתופעה הזו ותוהה על פשרה.
באתר של מיקרוסופט, הן הרגיל והן של התמיכה, לא מצאתי דבר, לא על פי כתובות ה-MAC ולא על פי המילה DETECTIVE.

פניתי לעובד שאחראי על ה-VLAN בו התרחשה הפעילות והוא אמר שבתאריך ובשעה המדוברים הוא עבד על שרת מסוים, מבוסס "חלונות 2003‏". בדקתי את כתובות ה-MAC של השרת ולא מצאתי את הכתובות שהופיעו ב-IPS, ניסיתי למצוא תהליכים רצים לא מוכרים או משהו שעולה באתחול – ולא מצאתי שום דבר חריג.
בשל חוסר יכולת להמשיך הלאה בחקירה, תייקתי את המקרה כוודו ממוחשב והמשכתי הלאה.

אבל לאחר כחודש בערך, התופעה חזרה במדויק. שוב אותו עובד, שוב שרת 2003 אבל שרת אחר.
הפעם, אמרתי לעצמי, הולכים עד הסוף.
תחקרתי לעומק את העובד, שמוכר לי כמבין עניין ואחראי, והוא אמר לי שהוא חושב שבשני המקרים הוא הפעיל את ה-Configure Your Server Wizard של 2003.
אם כך, אמרתי לעצמי, נעלה בשרשרת המזון.

פניתי לחברת האינטגרציה שנותנת לנו שירותי תמיכה, עם כל הקישורים הרלוונטיים שמצאתי באינטרנט, אך איש משם לא הכיר את הנושא, אז ביקשתי לבצע אסקלציה של המקרה אל תמיכת הפרמייר לארגונים של מיקרוסופט בישראל, וכך היה.

אלא מה? התומך "הבכיר" שם לא ממש ידע מה לעשות, ולמרות כל ההפניות למקרים דומים באינטרנט וההכוונה ליישום הכנראה-בעייתי – הוא הכחיש בעיה ב"חלונות 2003‏" וטען שבוודאות יש לנו ברשת קוד זדוני או פורץ מתוחכם. הוא כנראה לא ניסה לשחזר את הסיטואציה במעבדה עם סניפר.
דרשתי לבצע אסקלציה של המקרה לרמת התמיכה שמעליו, בחו"ל, אך הוא סירב, ואפילו סירב להעביר את התשובה שלו בכתב.

הוא לא ידע עם מי הוא מסתבך. מאחר ואני ידוע כנודניק שלא נח עד שהוא מגיע לשורש העניין, פניתי ל"מיקרוסופט ישראל" ודרשתי שיעלו את המקרה לתמיכת חו"ל, כי יש כאן משהו.
לקח להם קצת זמן וקצת "צעקות" בדוא"ל, אבל בסוף הם התרצו.

ואז, סוף סוף, הארה! פול מתמיכת הפרמייר באנגליה, שיש לו, למזלי, גישה לקוד המקור של המוצרים, אישר, כבר במייל הראשון שלו, כי המילה Detective נמצאת רק פעם אחת ורק בקוד של "חלונות 2003‏" ובדיוק ביישום Configure Your Server Wizard…
בקיצור, הוא אישר את הממצאים שלי ושל אלו שנמצאו ברשת, ואמר שזו דרכו של ה-Wizard לאתר שרתי DHCP פעילים ברשת, להתחזות ללקוח "לא קיים" רק לצורך הבדיקה.
הסברתי לו שהשיטה הזו יכולה לגרום לכמה אנשי אבטחת מידע או מנהלי רשתות התקף לב, לראות MACים מזויפים ברצף מהיר בתוספת דומיין בשם DETECTIVE… ולכן כדאי שמיקרוסופט תפרסם מאמר KB על הנושא, בכדי שלקוחות יקבלו "צפירת ארגעה" מהיצרן עצמו. הוא הסכים איתי, ואמר שהוא ידאג לכך.
תענוג. זו תמיכה.

ניסיתי לבקש שיתנו לי קרדיט ב-KB, כמו בפעמים הקודמות, אבל כנראה שלא עברתי הפעם את הסף המתאים להצדקת קרדיט.

אז לקח להם מספר חודשים טובים, והגרסה הראשונה הייתה טכנית ומבולבלת, אבל בסוף הם התאזנו עם גרסה סבירה אם כי לא מאוד ידידותית או תואמת לבעיה, ב-KB מספר 945948, שגם מופיע כאפשרות הראשונה אם מחפשים ע"י גוגל את המילה DETECTIVE באתר התמיכה של מיקרוסופט, כך שהסיכון להתקפי לב ירד, וכל המציל נפש Security Admin אחד

אני את שלי עשיתי.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...