נחש מי בא לבקר?

מאמר נוסף שכתבתי ל-TheMarker. הסבר במאמר הראשון, בבלוג הטכנולוגיה שלי.
כל המאמרים שנכתבו ל-TheMarker, אלו שאינם עוסקים באבטחת מידע, זמינים בקטגוריה משלהם בבלוג הטכנולוגיה.

.

נחש מי בא לבקר?

(פורסם ב-12/4/2001. קישור לפרסום המקורי, שם יש גם תגובות)
.

שמעתי פעם שלטייסי קרב יש אמרה: "זה שאינך רואה – הוא זה שיפיל אותך". אני חושב שהאמרה הזו נכונה לעוד הרבה מצבים בחיים, ולבטח היא נכונה בתחום אבטחת המידע.
.

ביתי הוא מבצרי?

אנשים רבים נוטים להמעיט בערך אבטחת המידע, בייחוד בנוגע למחשב הביתי שלהם. הם חושבים שהם לא YAHOO ולכן איש לא ינסה להזיק להם, וגם אין להם שום דבר בעל ערך אשר שווה לגנוב מהמחשב שלהם.

הטענות האלו נכונות בבסיסן, וכל אדם מחליט לעצמו עד כמה הוא רוצה להשקיע בביטחונו, אולם חשוב להכיר במציאות לפני שמגיעים להחלטות.

לעולם הוספת מרכיבי אבטחה (פיזית או דיגיטלית) תייקר, תעמיס על הביצועים ותכביד על קלות השימוש. תהיה זו דלת כניסה לבית (הרי הרבה יותר קל להיכנס ישר דרך הפתח, ללא דלת) או הקשת סיסמה בעת הפעלת המחשב. כל אחד צריך למצוא לעצמו את האיזון.

במחשב האישי, המשתמש רואה רק הממשק. הוא לא רואה את תהליכי העבודה של המחשב ולכן לא יודע מה קורה "מתחת לפני השטח". כאשר יחליט האקר לבצע נזק כלשהוא למחשב (ובהנחה שהוא לא רוצה להתפאר) – הוא לא ישלח לכם הודעה למסך המחשב: "מחשב זה נשלט כעת על ידי משה וכעת הוא מוחק לכם את קובץ קורות החיים".
.

נחש מי בא לבקר?

אני משתמש בביתי בחיבור של חיוג קבוע. בנוסף, אני משתמש ב-Personal Firewall של Zone Labs -‏ Zone Alarm. למוצר מצוין וחינמי זה יש אזור המציג את כל ניסיונות ההתחברות שהמוצר מנע – הן להתחבר למחשב שלכם מבחוץ והן ממנו החוצה (למקרה של סוס טרויאני – תוכנה המותקנת במחשב שלכם מרחוק ללא ידיעתכם, ומקנה להאקר שליטה מלאה על המחשב).
במשך 24 שעות, ישנם בממוצע 50 ניסיונות להתחבר למחשב שלי. רובם מנסים להתחבר בפורטים (Ports) של תוכנות השתלטות מרחוק וסוסים טרויאנים (פורטים הם נקודות כניסה ויציאה המשויכות לכתובת IP. אם נדמה את כתובת ה-IP לבית, הרי שהפורטים הם סך כל "הדלתות והחלונות" אל הבית וממנו. יש מעל 65,000 כאלו לכל כתובת IP).

תגידו: "אז מה, שינסו. במילא צריך שתוכנה כלשהיא במחשב שלך תאפשר להתחבר אליה בכדי לעשות משהו."

זה נכון, אבל מה אם יש באמת תוכנה כזו ואתם לא יודעים עליה?
ואפילו אם אין: תחשבו על המחשב האישי שלכם בתור הבית שלכם באינטרנט. האם הייתם מסכימים שבביתכם אשר בעולם הפיזי, 50 פעם ביום ינסו אנשים שונים לבדוק כיצד ניתן להיכנס אליו? אחד ינסה את ידית הדלת, שני את סורג חדר הילדים וכן הלאה? ומה אם אחד הניסיונות יעלה כי הפתח פרוץ? המבקר יישאר בחוץ?
.

דמי התקנה

כיצד יכולים להתקין אצלכם מרחוק תוכנה, ללא רשותכם? זה באמת פשוט.
רק כדוגמאות אשר אינן מזיקות, אלא רק מציקות – יש שתי תוכנות מסחריות אשר מתקינות עצמן במחשב שלכם (אם כי הן מספיק נחמדות לספק שורה ב"הוספה / הסרה של תוכניות" בכדי שתוכלו להסירן) ללא רשותכם המפורשת, דרך הדפדפן.

הראשונה היא Hot Bar, המעניקה רקע גרפי לממשק הדפדפן. קברניטי החברה הזו די חצופים ואגרסיביים, מאחר ובדף הבית שלהם – אם תלחצו על Click to Continue, התוכנה תותקן מיידית – בלא הודעה מראש או בקשה מפורשת.

התוכנה השנייה היא Comet Cursor הנמכרת לבעלי אתרים הרוצים לייפות את האתר שלהם. ברגע שאתם נכנסים לאתר בו קיימת התוכנה, היא מיידית מותקנת אצלכם (שוב בלי כל אזהרה או אישור) ויוצרת סמני עכבר גרפיים בתוך הדפדפן.

אך אלו דוגמאות של שיווק אגרסיבי בלבד, הן לא יזיקו למחשב שלכם.

אבל, ועכשיו נדבר בשקט, באתרי סקס ביקרתם?
"לא, מה פתאום, אנחנו? תתבייש לך!"

בסדר. למען המדע עשיתי זאת בשבילכם (עבודה קשה – אבל מישהו צריך לעשות אותה), למקרה שתקלעו לפינות האפלות של הרשת.

מניתוח של תכולת המחיצות והקישורים באתרים אלה עולה כי ברבים מהם יש קבצי הפעלה (EXE), שרק אלוהים ומפעילי האתר יודעים איזה מוקש הם מפעילים כאשר המבקר באתר מפעיל אותם בלחיצת עכבר (או אולי זה קובץ ברירת המחדל המופעל בעת הכניסה לאתר, ללא צורך בפעולה של הגולש). וזה עוד בלי לדבר על תסריטי (אימה) של JAVA ו-ActiveX, ובלי וירוסים וקבצים מצורפים בדואל.

חשוב להבין שמרגע שהתחברתם לאינטרנט – המחשב שלכם הוא חלק מהרשת. ואם לא תשימו גדרות – אזי המחשב שלכם הוא בחזקת נחלת הכלל.
.
_______________________________________________________________________

תוספת קישורים עדכנית לנוחותכם ולידע נוסף:
– דף באתר matousec.com המכיל סקירה של מוצרי Personal Firewall (שימו לדו"ח ה-PDF מימין לכל מוצר בטבלה);
– בדיקת !!Shields UP באתר GRC אשר סורקת את 1024 הפורטים הראשונים שלכם (בחרו בדף השני בכפתור האפור של All service ports);

– אתר Firewall Leak Tester אשר לצערי לא מראה פעילות מזה כמעט שנה, אבל מכיל מגוון תוכנות בדיקה לעמידות ה-FW האישי שלכם מפני ניסיונות של תוכנות "לטלפן הביתה"… הכי הרשימה אותי בזמנו היתה PCAudit2 אשר שכנעה אותי לחפש משהו אחר במקום Sygate, כי הזרקת ה-DLL שלה "עבדה" על Sygate (שנרכשה מאז ע"י Symantec) ולתדהמתי יצאה לאתר הדגמה חיצוני שהציג לי את מה שהתוכנה שלחה לו: צילום מסך של המחשב שלי, העתק של ה-Clipboard שלי ורשימת כל הקבצים ב-My Documents. האתר מולו עבדה התוכנה אינה פעיל עוד, אבל התוכנה כנראה תעבוד באופן תקין, רק שלא יהיה מי שיקבל את המידע בצד האינטרנט (נקווה…).
התוכנה לא ניסתה, או יותר נכון תהליך קובץ ה-EXE שלה, לצאת בעצמה לאינטרנט, אלא ניסתה ברצף מספר תהליכי EXE אחרים בזכרון שמורשים לצאת לאינטרנט, התעלקה עליהם ויצאה לאינטרנט בשמחה וששון… זה היה מסוג הרגעים המקצועיים המכוננים שבו-זמנית מפחידים ומרגשים, שאתה מרגיש כמה אתה עוד לא יודע וכמה הרגשת הביטחון שלך אינה מבוססת בשיט.
בהתגלות הזו הבנתי שהמלחמה האמיתית עוברת מתקשורת הנתונים אל זיכרון המחשב, הקרב עבר אל "החדרים הפנימיים".

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

הועידה ה-9 לאבטחת מידע 2008

אין בארץ הרבה כנסים של אבטחת מידע, לרוב זה אירוע אחד או שניים בשנה של "אנשים ומחשבים" ובקנה מידה קטן יותר – כנסים קטנים המתפרסים לאורך השנה, בעיקר של יצרנים ומשווקים שונים, ולעתים רחוקות כנס של חברת ייעוץ כזו או אחרת.

ועידה יחסית גדולה ופחות מוכרת, או שמא נאמר, פחות מיוח"צנת (כי אין לה נמר?), היא "הועידה השנתית לאבטחת מידע".

הועידה תתקיים ביום חמישי השבוע (מתנצל על ההתרעה הקצרה), 25/9/2008, ב"שרתון סיטי טאואר",
רמת גן, בין השעות 08:30-14:30.
הכניסה ללא תשלום אך מחייבת רישום מוקדם.

להלן העתק של חלק מהפרטים בדף המפרט אודות הועידה:

"
הועידה ה-9 לאבטחת מידע 2008

מדי שנה הכלבים נובחים, ומדי שנה השיירה עוברת… זה המאפיין הבולט בעולם אבטחת המידע. האם השיירה עוברת כי לכלבים אין שיניים? האם הארגונים ננשכים אך אינם מספרים לרופא? האם נוצרו סוף-סוף מקצועות ממוסדים ששמם: מומחה ומנהל אבטחת מידע? מה המגמה? מי מנצח שם במערכה? האם המקצוע הוא אמנות או מדע מדוייק? האם ההתאגדות הממלכתית מנצחת את ההאקרים השחורים? לאן הולכת פשיעת המחשב? כספים? מין? מידע שווה כסף? מטרת הועידה לחשוף את האיומים, את הכלים, את המגמות, את השיפור המתרחש ביחידות אבטחת המידע המתקדמות בישראל, ואת מגמות השיפור הנראות לעיין. הפעם – אנו משדרים אופטימיות זהירה.

מנחה: גדי עברון,נשיא כוח המשימה לתגובה לארועי אבטחה בינלאומיים לשעבר מנהל אבטחת מידע, תהיל"ה ומקים ה-CERT הממשלתי

בין הדוברים:
שחר גיגר מאור, אנליסט, STKI
דייויד ממן, CTO, חברת Moksai
נדב אריכא, יועץ אבטחת מידע וידע
יוסי גביש, מנהל אבטחת מידע, מגדל
רחל יעקבי, מנהלת יחידת ביקורת IT, הפיקוח על הבנקים- בנק ישראל
עופר בכר, מנהל אבטחת מידע, מפעל הפיס
Adrian Harrington Channel Sales Manager – Emerging Markets, GFi Israel
ירון גיל, מנהל אבטחת מידע, מירס תקשורת
גידי גואל, סגן סמנכ"ל מערכות מידע, דואר ישראל
טל קנדל, מהנדס מערכות בכיר, סימנטק
יהודה פיינזילבר, מנכ"ל, Panda Security Israel

בין הנושאים שיידונו בכנס:

• האיום הגדל והולך של פשעי מחשב
• כיצד פורצים מסד נתונים ברבע שעה (כמה פעמים)
• מהאנטיוירוס המסורתי אל הבינה המשותפת
• מ "אבטחת השערים" ל "אבטחה פנימית"
• אתגרי אבטחת מידע ללא מענה, שנידרש לתת עליהם את הדעת
• אבטחת מידע כתרבות ארגונית
• פתרונות אבטחה לתשתיות המחשוב
• מגמות באבטחת מידע בישראל ובעולם
• פתרונות אבטחת מחשב / מידע נייד
• "From traditional Antivirus to Collective Intelligence – Security "From the Cloud
• פאנל מומחים- ההשקעה הכספית באבטחת מידע

"

אתם מוזמנים להירשם ולהשתתף.
אני נרשמתי ומקווה להגיע, ואולי גם להעלות לאתר זה את התרשמותי מועידה זו (בלי נדר).

(עדכון: בסוף הייתי בועידה ויש פוסט סיכום)

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

הסמכת אבטחת מידע?

לאחרונה הוצעה לי משרת ניהול בכירה בתחום, בחברה בינלאומית, אך לצערי היה תנאי סף בסיסי שמטה החברה בחו"ל לא הסכים לוותר עליו – הסמכה רשמית באבטחת מידע, עם תואר בעל X אותיות לועזיות.
כבר בהתחלה, רק מסיבה זו, לא יכולתי להתקדם עם חברה זו.

למעשה, זו הפעם הראשונה שבה אני נתקל בישראל (לפחות לגבי תפקידים שעניינו אותי) בדרישה זו כדרישת סף, ולא רק למשרות ניהוליות. האם זו התבגרות של התחום? או רק חריגה שהגיעה מחו"ל במקרה ספציפי?

עד היום לא טרחתי לעבור הסמכה שתיתן לי טייטל רשמי, לא בסיסטם ולא באבט"מ.
הסיבות היו מגוונות – כסף, זמן, חיי משפחה אינטנסיביים ובעיקר חוסר הערכה לתארים הללו.
בהחלט ייתכן שהדעות שלי על ההסמכות האלו אינן מבוססות, אבל זה ניסיון חיי המקצועי.

יצא לי להכיר לא מעט בעלי MCSE שלא ממש ידעו מהחיים שלהם, וגם יצא לי לעבור לא מעט קורסים של MS שאולי נותנים בסיס ראשוני להיכרות עם המוצרים, אך לבטח לא מכסים את כל המוצר (גם לא שילוב של כל הקורסים של אותו מוצר) ובוודאי לא מכינים את הלומד לעבודה ויישום בארגון עסקי.
בצד ה-CISSP, שנדמה לי שהוא ההסמכה הנפוצה בישראל, יצא לי להכיר אדם שעבדתי איתו באופן אישי תקופה של יותר משנה, כאשר הוא היה למעשה איש מכירות, ולאחר מספר שנים פגשתי אותו והוא סיפר לי שהוא עשה CISSP והוא כעת יועץ עצמאי שהקים חברה משלו. ואני מכיר את האיש, והוא נחמד וידידותי לסביבה – אבל אני גם יודע שאין לו גישה טכנית, וגם אין לו ניסיון מעשי באבטחת מידע או תשתיות.
וכן, גם שמעתי בחצי-אוזן על הצורך לדעת מה גובה הגדר הנדרש במבחן ההסמכה…

אז המקרה המוזכר בתחילת הפוסט בהחלט גרם לי לחשוב. אולי כדאי בכל אופן לשנס מותניים ולהוציא הסמכה, אפילו שאני יודע שזה מיועד בעיקר לחברות ההשמה ולמעסיקים פוטנציאלים, שיוכלו לקבל סטמפה סטנדרטית שאני מכיר את העבודה, וזה ירגיע אותם ויסייע להם לראות אותי באור חיובי יותר כבר על הסף.
מצד שני, אולי בכל אופן אלמד במהלך ההסמכה דברים שלא ידעתי קודם או אפילו סתם אסדר את הידע בראש באופן יותר מסודר ומובנה?

חשוב לי לשמוע מה דעתכם וניסיונכם לגבי הסמכות אבטחת מידע, באופן רלוונטי לשוק הישראלי – האם בכלל צריך להוציא הסמכה? אם כן, איזו הסמכה? למה דווקא הסמכה זו? מה היתרונות שלה? כיצד כדאי להתכונן אליה? וכן הלאה.
אני חושב שהתשובות שלכם יכולות גם להאיר את דרכם של עובדים המתחילים את דרכם במקצועות אבטחת המידע.
התגובות לרשותכם.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...