כאשר אבטחת מידע מתלבשת עליכם

(פוסט זה הועבר לקטגורית "ארכיב" בספטמבר 2013 בגלל שהאתר המדובר הפסיק בפעילות הדפסת חולצות)

אוקיי, אנו עולים לשלב חדש.
אני מאוד שמח שההשקעה שלי בבלוג זה מניבה קהל קוראים קבוע, זרם קטן אבל קבוע של קוראים חדשים, וגם יותר מכם מגיבים בפוסטים וזה מחייה את הבלוג.

כידוע, מבלוג לא חיים ויש לי עבודה במשרה מלאה, אבל כל אדם שמח לקבל פידבקים חיובים על העשייה שלו, בצורות שונות, כולל כסף.
השיטה הסטנדרטית של פרסומות גוגל על פי הקלקות אינה ממש אפקטיבית, אולי גם כי אין מספיק מפרסמים בתחום האבט"מ בישראל ו/או בעברית.

כמו כן, ברור לי שיהיה לקוראים יותר קל להוציא כסף לכיוון שלי ברגע שהם יקבלו תמורה יותר פיזית לכספם, ולכן… פתחתי חשבון באתר החולצות של לופה, Lupa Look.
האתר מאפשר לכל אדם לפתוח באתר חשבון, לעצב *לעצמו* חולצות ולרכוש אותן.
כמו כן קיים "לופה מרקט", שהוא מיני-אתר למכירה פומבית של חולצות שעוצבו על ידי מעצבים שזה תחום עיסוקם העיקרי, והם מרוויחים עמלה קטנה על העיצוב שלהם ממכירת כל חולצה.

כאמור, פתחתי חשבון באתר ויצרתי מספר עיצובים ראשונים המיועדים לקהילת אבטחת המידע.
אמנם אינני מעצב, אבל אני חושב שיש לי חוש אסטטי וביצועי לא רע, כך שאני סבור שהעיצובים שיצרתי הם בהחלט טובים וכי יש ל"לופה" עתיד טוב יותר אם הוא ייפתח לקהלים נוספים, כמו בלוגרים, שבצורה זו יוכלו להרוויח יותר (כלומר, בכלל) מהבלוג שלהם – לא הכל זה עיצוב אלא לפעמים גם המסר, החידוד והבדיחה. אולם מפעילי האתר התעקשו עד כה שקהל היעד של המוכרים הוא מעצבים מקצועיים.
אבל למרות הנ"ל, וכמעין ניסוי לראות איך זה ילך, הם בכל אופן הסכימו שאפתח דף מעצב משלי, אך אישרו למכירה פומבית רק עיצוב אחד, שאני קראתי לו "רות. סוף." עם תיאור של "המילה האחרונה", אולם הם משום מה שינו את שמו ל"האקר" עם תיאור של "חוד החנית של העידן הדיגיטלי.", שילוב שהגיע מחולצה אחרת שלא אושרה עדיין לפרסום. שונה ל-"root. סוף." עם תיאור "המילה האחרונה שמורה להאקר.".

רות. סוף.

רות. סוף.

מה שיעזור לשכנע את מפעילי האתר לאשר לי עיצובים נוספים הוא שני דברים: בתור התחלה חשוב דירוג גבוה לעיצוב (בדף החולצה יש יישומון דירוג לעיצוב) ומה שיהיה הכי טוב – רכישה של חולצה/חולצות. אם תלחצו בדף החולצה על כפתור "הוסף לעגלה" תהיה לכם אפשרות לבחור חולצות מסוגים שונים ובצבעים שונים ולאחר מכן הקלקה על החולצה תיתן לכם סימולציה של החולצה הסופית כפי שהיא נראית על הגוף.

אם דברים יתקדמו כמתוכנן ויאשרו לי להוסיף עיצובים נוספים, הנה עוד כמה עיצובים שכבר מוכנים:

What the Hack. עיצוב 1.

האקר. עיצוב 1.

What the Hack. עיצוב 2.

האקר. עיצוב 2.

אני אוהב את רות.

אני אוהב את רות.

ויש לי עוד הרבה רעיונות לעיצובים נוספים, רק שאני רוצה לראות קודם שמה שכבר קיים מתממש, ואז נמשיך הלאה.

מחירי החולצות נעים בין 49 ש"ח (ילדים) ל-69 ש"ח (מבוגרים, יש דגם אחד של 49 ש"ח), משלוח בדואר רשום מוסיף לעסקה 15 ש"ח, איסוף עצמי הינו כמובן בחינם ויש אפשרות לשליח עד אליכם תוך 72 שעות במחיר של 35 ש"ח.
אני חושב שהמחירים סבירים בהחלט לחולצות T בכלל ולבטח לכאלו עם עיצוב ייחודי.
אני כבר רכשתי אחת היום.

דבר חשוב נוסף: אני, כמוכר באתר, לא מקבל פרטים אישיים כלשהם עליכם במידה וביצעתם רכישה. רק פרטים מסחריים כגון אילו מוצרים נרכשו והסכומים הכספיים המשויכים להם.

אז אני מאוד אודה לכם אם תתנו דירוג גבוה לחולצה ועוד יותר אם תרכשו את החולצה "רות. סוף.", ובכך גם תקבלו חולצה מקצועית (תרתי משמע…) וגם תביעו בכך את הערכתכם למה שאני עושה (ועוד אעשה) בבלוג זה. תודה.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

יום עיון בקריפטולוגיה, בטכניון, 7 ביולי 2009

הצפנה בעיניי היא באמת ה-Hi-End של אבטחת המידע. האנשים הבאמת חכמים של התחום (טוב, כל מי שעשה בגרות מתמטיקה 5 יחידות (ומעלה כמובן) הוא חכם בעיניי…), אפילו שמדובר יותר בחישובים ופחות ב"חוכמת הרשת" של עבודת היום-יום של אנשי האבט"מ וההאקרים.
הרי הדברים החשובים (נקווה…) אמורים להיות מוצפנים כך שגם אם הגיעו אליהם, עדיין צריך לפענח את ההצפנה.

בכל מקרה, דרך אבי וייסמן מ-IFIS קיבלתי בדוא"ל את ההזמנה הבאה ליום עיון בקריפטולוגיה – CryptoDay2009, בטכניון שבחיפה, ביום שלישי, 7/7/2009. המארגנים מבקשים להירשם מראש, ASAP, בדף מתאים בקישור הנ"ל, לצורך הערכת כמות המשתתפים.
אמנם ההזמנה (בהמשך) ואתר יום העיון הם בעיקר באנגלית, אבל בהזמנה רשום שההרצאות יינתנו בעברית.

להלן טקסט המקורי של ההזמנה (אני רק הוספתי קישורים לאתרי הבית של הדוברים ביום העיון):

Shalom,

On Tuesday 7/7/2009 12:30-17:50 we will hold a workshop on cryptology (CRYPTODAY 2009) in the Computer Science department at the Technion. The speakers will be Moni Naor, Amir Herzberg, Tal Mor, Benny Pinkas, and Yaniv Carmeli.

The workshop will be given in Hebrew.

Participation is free, and everybody is welcome. In order to know how many people will participate, we kindly ask participants to register through the site as soon as possible.

Please distribute this announcement in your institution and to any interested party. A poster for information boards can be sent to you (please ask by email), or be downloaded and printed from the site.

Hope to see you there,

Eli Biham and Yaniv Carmeli

—————————————————————————-
Eli Biham, Dean                    Dean's office phone: +972-4-8294261/2
Computer Science Department        Dean's office fax:   +972-4-8294353
Technion, Haifa 32000, Israel      Private phone/fax:   +972-4-8294308
email: biham {shtrudel} cs.technion.ac.il     WWW: http://www.cs.technion.ac.il/~biham/

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

החטא הקדמון של אי-התקנת פאטצ'ים

קודם תקראו את הכתבה בגלובס בשם "פרצת מידע בישראל: ניתן לחדור למצלמות אבטחה של מוסדות שונים". גיא מזרחי, אותו אני מאוד מעריך, משום מה התלהב מכך. ורפי איבגי שביצע את העבודה העלה גם מספר תמונות לבלוג של גיא.

מכיוון שתחום ההאקינג הוא רווי אגו, לעתים ברמה ילדותית, אני רוצה להיות זהיר ולהצהיר שבכתיבת פוסט זה אין לי כוונה להלהיט יצרים, אבל מצד שני אני בהחלט רוצה להגיד את דברי (ואני לא מחשיב עצמי האקר, אז אני מוותר מראש…).
בלי להכיר את רפי ואם גיא מהלל אותו אז זה לבטח נכון ומבלי כוונה להרוס את חגיגת יחסי הציבור של סיטדל (כמות התגובות המתלהבות בכתבה של "גלובס" קצת חשודה), לא ברור לי מה החידוש המסעיר בפרסום הזה, לפחות עבור העובדים בתחום.

הרי נציג יבואנית המצלמות מצוטט: "הפריצות מתאפשרות במצלמות מהגרסאות הוותיקות. בשנתיים האחרונות, המצלמות שלנו מאובטחות לחלוטין".
"ומה עושים הלקוחות שקנו מצלמות לפני שנתיים?- שוורץ: הם צריכים לשדרג את התוכנה. הגרסאות החדשות בטוחות."

אז כן, זו תוכנה של חומרה (אז מה?), אלו מצלמות, זה סקסי, כולם אוהבים להציץ ולראות תמונות ולהרגיש כל יכולים, רואים ובלתי-נראים, אבל לא מדובר בפרצה חדשה שלראשונה נתגלתה בעולם אלא מדובר במצב הרגיל שלקוחות לא מעדכנים תוכנה בכדי לסתום חורים ידועים. הרי מזה חי כל עובד בתחום ה-PEN TEST, שמן הסתם בכל עבודה שניה (אם לא בכל עבודה ועבודה) מוצא לפחות פרצה אחת כזו, שכבר קיימת פרק זמן כלשהו ולא התקינו לה את הפאטצ', ודרכה הוא חודר למערכות הלקוח.

אם מישהו היה אומר לכם שהוא יכול לפרוץ ל-X כי ב-X יש רכיב תוכנה שנתגלתה בו פרצה לפני שנתיים ומאז תוקנה, לא ממש תתרגשו. סתם תאנחו כי שוב הלקוח לא עדכן פאטצ'ים.

כך שהמקרה הזה הוא טריגר טוב להביא אותי למה שזה כבר כמה זמן רציתי לכתוב ולא יצא לי – הרי כל הדרמה עם מיליוני המחשבים שנדבקו בינואר 2009 ב-Confiker היתה בגלל שלא התקינו עדכון של MS מאוקטובר 2008.
כלומר, יותר משהבעיה היא טכנית היא של מוּדעות ותפעול.
היצרן יוצר פאטצ'. הלקוח צריך לדעת על הפאטצ', הלקוח צריך להתקין, הלקוח צריך לאתחל את המחשב.
הצעד הראשון הוא הקל מבין כולם, השאר קשים לביצוע אבל אם הם יבוצעו נגיע למצב האידיאלי של מניעה במקום תיקון לאחר הדבקות והשבתה.
מניסיוני בארגונים זה לא קל, בייחוד הצורך באתחול. מילא תחנות עבודה שעוד יחסית קל לאתחל אותן – בשרתים זה יוצר התנגדות חריפה של אנשי הסיסטם, שבצדק רב רוצים להימנע מהשבתות של שרתים ויישומים מרכזיים, ותמיד קיים החשש שבאתחול משהו יידפק, ולו בגלל פעולת סיסטם עלומה שבוצעה מאז האתחול הקודם ועכשיו היא תגרום לבעיה (ומן הסתם מייד יאשימו את הפאטצ', וגם זה לפעמים נכון…).
אז אין ברירה, ואני תמיד אומר שפחד זה לא מדיניות, ולדעתי עדיף להימנע מהשבתה רוחבית של עשרות שרתים ו/או מאות תחנות לזמן לא קצר לצורך ניקוי קוד זדוני במחיר של השבתה לזמן קצר ומתוכנן בגלל אתחול שלאחר התקנת פאטצ'.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

שר התקשוב באוסטרליה יזם "שבוע E-security Awareness" לאומי

אם אנו כבר בנושאי שלטון, הנה משהו חמוד דרך רשימת הדיוור Technical – Security של אייל איסטרין (הוא מוצא כל מיני קישורים מעניינים בנושאי אבט"מ ומשתף אותנו. כדאי).

כן, גבירותיי ורבותי, לאוסטרליה יש שר בשם Stephen Conroy. על מה הוא ממונה?
על Broadband, Communications and the Digital Economy . יש ממש משרד ממשלתי כזה. לא פחות. הוא מונה לתפקידו בדצמבר 2007. והתפקיד הזה, עם שינויים מדי פעם בהגדרת התפקיד, קיים באוסטרליה משנת 2007.

התפקיד נראה כמו עירוב של משרד התקשורת, חינוך, ספורט, אמנות וגם עידן המידע. אחלה. לא ציפיתי למשרד שלם לעידן המידע אבל גם התייחסות לנושא כתחום שראוי להתייחסות ממשלתית שווה שאפו.

אז מר קונרוי הכריז השבוע בנאום על שבוע E-security Awareness . כחלק מנאומו הוא קורא לאזרחים להחליף סיסמאות פעמיים בשנה לפחות, לסיסמאות חזקות, להתקין תוכנות אבטחת מידע, לעדכן תיקוני אבטחת מידע, לחשוב לפני שמקליקים על קישורים לא מוכרים ולהיזהר מלמסור מידע אישי ברשת. וגם הוקם אתר ממשלתי ייעודי לנושא.
רגע, והוא מפרט, בנאום הפומבי (!) הנ"ל – סיסמאות חזקות צריכות להיות בעלות מינימום של 8 סימנים, שילוב של אותיות גדולות וקטנות, לפחות מספר אחד ולפחות סמל אחד. (הצחקתם את Ophcrack. אבל זה כבר נושא אחר)
כאילו היה איש אבט"מ מהשורה.

וזאת במקביל לנאום של נשיא ארה"ב הצעיר והטרי, ברק אובמה, על חשיבות תשתיות דיגיטליות מאובטחות.

ואצלנו? בשנת 2001 כתבתי טור דעה ל-TheMarker שמציע יצירת תפקיד של שר הייטק. לא שבאמת ציפיתי שזה יקרה. הייתי, ואני עדיין, כל כך אופטימי שאני אפילו לא מצפה שזה יקרה.
אני יודע שחבר הכנסת מיכאל איתן (כיום שר בתפקיד המגוחך "שר בלי תיק האחראי על שיפור השירות הממשלתי לאזרח ולציבור") הוא, ככל שידוע לי היחיד שבאופן קבוע ועקבי חי את נושא עידן המידע ומנסה לקדם אותו. אבל, זה הוא, האדם. לממשלה זה לא באמת אכפת ואין שום תכנית נראית לעין לשינוי המצב.

כן, אני יודע, יש את "היום הלאומי לאינטרנט בטוח". זה עדיין לא זה. זה לא מגיע ממשרד ייעודי, אלא ממשרדי החינוך והבריאות, בדגש על קהל יעד של ילדים-נוער והורים-מחנכים ולא על כלל האוכלוסייה, שלא לדבר על זה שהיום הזה הוא בשילוב של גורם מסחרי מובהק אחד, חברת Microsoft, שזה ממש טעם לפגם.
מאוד מטריד לראות בתחתית דף השער את הטקסט
©2006 Microsoft Corporation. All rights reserved.‎ כולל קישורים של "תנאי שימוש", "סימנים מסחריים" ו"הצהרת פרטיות" שכולם מפנים לדומיין של Microsoft. הטקסט הנוסף שם של "מיקרוסופט מארחת את האתר משיקולי אבטחת מידע." הוא לא פחות מבושה לממשלת ישראל. מה קרה? חוות השרתים של תהיל"ה לא מספיק מאובטחת? חסר לממשלת ישראל שרת לארח את האתר הזה? נתרום לה.

אולי זו שוב הגישה שקיימת כאן "שהאזרחים יהיו אחראים לבצע בעצמם ובכלל לגורלם", אולי זו ההתמקדות העיוורת והבלתי פוסקת במספר מצומצם של נושאים הרי גורל כמו הסכסוך עם הערבים, דת ומדינה וכדומה – וכל השאר לא חשוב ולכן לא קיים.
מתי לממשלה כאן יהיה אכפת מהאזרחים? מתי היא תצטרף למדינות המתוקנות? תבין שעידן המידע כבר מזמן כאן? שהמדינה צריכה, גם לטובת המשך קיומה, לסייע לאזרחים להעצים עצמם ובשל כך את המדינה, ביכולות תקשוב, ובכללן כמובן אבטחת המידע?

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

הבנקים קיבלו תוספת תקנים למחלקת אבטחת המידע…

לפני כחודש בערך פנה אלי כתב TheMarker, גיא גרימלנד, בבקשה לקבלת תגובה למעצרו של אהוד טננבאום, ה"אנלייזר", בקנדה, באשמת גניבת כספים על ידי פריצה למאגרי מידע.

גיא הגיע לנושא דרך סדרת כתבות של מגזין Wired האמריקאי שעשה עבודה עיתונאית טובה במעקב אחר התפתחות המקרה הזה. בכתבה המרכזית של Wired בנושא יש קישור לקובץ PDF שהוא תצהיר של השוטר הקנדי המפרט כיצד נחשפה הפרשה – מומלץ ביותר לקרוא PDF זה (קצת מטושטש אבל קריא ובאנגלית קלה, עשרה עמודים), בכדי ללמוד מעט על אופן ביצוע איסוף ראיות ממוחשב במקרה פלילי עדכני.
בינתיים הוחלט שהוא יוסגר, כצפוי, לארה"ב.

לכתבה נכנסו רק חלק מהדברים שכתבתי לגיא, ומכיוון שאני מעדיף "להביא דברים בשם אומרם" ובמלואם, אני מצטט כאן את דברי אל גיא במלואם:

"
1.    צריך לזכור שהתצהיר של השוטר הקנדי הוא מספטמבר 2008, שזה חצי שנה אחורה ולא ברור מה קרה מאז.
לפי אתר קנדי המשטרה עדיין בודקת את המחשבים והדיון הבא צריך היה להיות ב-26.3 + דיון בהסגרה לארה"ב שעתיד להיות ב-7.5.

2.אגב, יש לו עמוד בפייסבוק.

3.    מצאתי גם את זה, גם מ-WIRED, מה-27.10.08, כתב האישום של האמריקאים (PDF).

4.    כל מה שאני כותב, וצריך לרשום זאת בכתבה כהסתייגות, הוא בתנאי שהתצהיר, שלמעשה מתבסס על מידע שברובו הגיע מארה"ב – הוא אמת, כל האמת ורק אמת. תזכור שלאמריקאים יש אינטרס לדפוק אותו.

5.    למה הוא לא התנהג בזהירות? (סימנים, לא סיבות)
5.1.    בתור מי שפרץ למחשבים של הפנטגון, הוא היה צריך להניח שהאמריקאים יחפשו אותו בכל מקום ורק ינסו לתפוס אותו. אם הוא יוסגר ויישפט למאסר, הוא יצטרך להגיד תודה שסוגרים את גוואנטנמו…
לא יהיה לגמרי מופרך, אם כי זו השערה בלבד – שהם חיפשו אותו והיו במעקב עליו לאורך זמן. גם לא בלתי-אפשרי שהם מפלילים אותו בהאשמות אלו, במלואן או בחלקן, בלי שהוא אשם באמת (סיכוי נמוך למדי). הוא היה צריך להיזהר ולהימנע מלתקוף יעדים של ארה"ב.
5.2.    הוא פעל ממדינה קרובה לארה"ב (ותזכור שזה התחיל באישומים על פעילות שלו כנגד מוסדות פיננסיים בקנדה, ורק אח"כ הגיעו האישומים לגבי ארה"ב), שלארה"ב נוח לעבוד בה ומן הסתם יש לה הסכם הסגרה עם ארה"ב. וזה כנראה מה שיקרה.
5.2.1.    שים לב שמי שעל פי הקובץ, מי שביצע את החקירה זה השירות החשאי של ממשלת ארה"ב. נהוג לחשוב, וזה כנראה היה נכון בלעדית בעבר – שהם אחראי על אבטחת מנהיגי ארה"ב. אבל אם תראה את הגדרת המשימה שלהם, כיום המשימה שמוגדרת להם ראשונה היא הגנה על התשתיות הפיננסיות הקריטיות של ארה"ב, ולכן הם כנראה אלו שהובילו את החקירה. הם מבינים שפעילות פלילית מרמה וכמות מסוימת ומעלה שקולה לפעילות טרור שיכולה לערער את הסדר הכלכלי-חברתי (ראה המשבר הכלכלי של היום), ולכן נותנים לה עדיפות שבעבר אולי היתה נגמרת מקסימום ברמה הלאומית/פדרלית ע"י ה-FBI. הטיפול ע"י ה-USSS מראה את רמת החשיבות שהם מייחסים לנושא.
5.3.    הוא אמנם השתמש בשני שרתי PROXY בכדי לבצע את ההתקפות (סוג של ניסיון להימנע מגילוי) ולא ביצע אותן ישירות מהמחשב/חיבור אינטרנט שלו, אבל אלו לא שרתים שנותנים מחסה מסוים לפעילויות פליליות, אלא שרתים של ספק מרכזי בהולנד, שכמו שראינו – שיתף פעולה עם ארה"ב ומסר את כתובת ה-IP שלו. יש שרתי PROXY שממוקמים, פיזית, במדינות שבהן חוקי המחשב חלשים או בלתי-קיימים ו/או המדינות הללו אויבות או אינן משתפות פעולה עם ארה"ב – ולכן בד"כ נעזרים בהם לבצע פעילות פלילית, בכדי להקשות עד למנוע את איתור מקור ההתקפה האמיתי.
אפשרות אחרת היא להשתלט על מחשב תמים ולא מוגן באינטרנט ולבצע ממנו את הפעולה (או כמה כאלה, וליצור רשת BOTS/בוטים).
במקרים כאלו יש סיכוי גבוה שהצד המותקף ינסה לתקוף ולחדור למחשבים המשמשים כשרתי ההתקפה – בכדי לאסוף מהם עדויות ו/או להפסיק את פעילותם.
עובדה שבסוף הם הצליחו להצליב שימושים שונים בכתובת IP אחת – ביצוע ההתקפות והזדהות על בסיס כתובת הדוא"ל עם הכינוי שלו, וכתובת ה-IP הזו היא שלו על פי אישור ספק האינטרנט שלו.
5.4.    הוא קיים תקשורת IM ודוא"ל מול קולגות באופן לא מוצפן ובכך למעשה הפליל את עצמו כאשר סיפר על כל הפעולות שביצע. הוא מן הסתם ינסה לטעון במשפט שלו שהוא סתם התרברב, אבל אם באמת היו פעולות כאלו – הוא קשר עצמו אליהן באופן ישיר והוא יורשע כמעט בוודאות ובמהירות.
5.5.    הוא השתמש בכינוי הידוע שלו, אנלייזר, בכתובת הדוא"ל שעל בסיסה ביצע את שיחות ה-IM, וכאמור, הצליבו את כתובת ה-IP שלו כמי שנכנס והשתמש בכתובת זו.
הוא גם נרשם לכתובת דוא"ל זו עם תאריך הלידה שלו.
5.6.    לפי מה שכתוב בכתבה – גם צילמו אותו פעם אחת מצלמות אבטחה בזמן שהוא משך מזומן באמצעות אחד מכרטיסי המזומן של אחת מהחברות שפרץ אליהן.

6.    לגבי החברות המותקפות
6.1.    התקפת הזרקת SQL היא התקפה מאוד ותיקה, ידועה ויעילה לבצע קריאה, כתיבה, מחיקה ושינוי על מסדי נתונים דרך כתובות URL על בסיס HTTP. אתרים רבים, מן הסתם בייחוד פיננסיים, חייבים לעבוד באמצעות מסדי נתונים, גם כאשר מדובר ביישומי WEB גדולים מבוססי HTTP. יש מגוון אמצעי מניעה יעילים וותיקים לא פחות שיכולים למנוע את ההתקפות האלו, אשר נקראים WAF, כלומר Web Application Firewall. למשל, חברה ישראלית מובילה בתחום היא IMPERVA. ההגנות האלו יודעות להבדיל בין URLים תקינים של האתר לבין כאלו שמייצגים פקודות SQL (השפה המשמשת לתפעול מסדי נתונים) זדוניות.
מוסדות פיננסיים, שמן הסתם יש להם כסף להגנות מסוג זה ולהטמעתן, שלא משתמשים בהגנות אלו, הם פשוט רשלנים בצורה פושעת.
6.2.    ראיתי שחלק מהמוסדות שנפרצו טוענים שהם עומדים בתקן האבט"מ למוסדות פיננסיים, PCI‏.
PCI מכסה את נושא הזרקת ה-SQL, כך שהמוסדות האלו כנראה לא באמת עמדו בתקן. אז כמו שאמרתי, מגיע להם.
תקנים הם הרבה פעמים כסת"ח ולא הגנה אמיתית.
6.3.    בנוסף, שים לב שבתצהיר של השוטר הקנדי רשום שחברת SYMMETREX הודתה שנפרצה ע"י הזרקת SQL, אולם מצד שני דובר החברה הגיב בכתבה שלא ידוע לו על פריצה… מישהו משקר.

אז מסתבר ששני הצדדים לא עבדו כמו שצריך, ושניהם אכלו/יאכלו אותה בגלל זה.

"

מה אני רוצה להדגיש כאן?- את סעיף 5.2.1 לעיל. מה פתאום השירות החשאי, שעד לא מזמן היה "כולה" "שומר הראש" של ראשי המדינה ואורחיה, הפך להיות אחראי-העל להגנת המוסדות הפיננסיים של ארה"ב?
הגנת תשתיות קריטיות. האמריקאים הבינו שהגבול בין פשע לטרור נפרץ, היטשטש.

בעידן שלנו, שליחידים יש יכולות טכנולוגיות שבעבר היו נתונות רק בידי ארגונים גדולים,  פשע, גם אם מטרתו רווח בלבד, יכול להידרדר לפגיעה קריטית במדינה. פשע יכול להיות הבסיס להשגת משאבים לפיגוע טרור. זה כבר לא משנה איך קוראים לזה. משנה התוצאה. והיא יכולה להיות הרסנית.
הרי היו בודדים שהפילו מוסדות פיננסיים, גם אם היה מדובר באירועים שהם יותר ניהול סיכונים לקוי מאשר אבטחת מידע גולמית – כגון אתי אלון ב"בנק למסחר" או Nick Leeson שמוטט את בנק ההשקעות הוותיק ביותר בבריטניה, Barings Bank.

אם ננסה לחשוב על זה באופן הגיוני, האם האמריקאים לא over reacted במקרה הזה? זה כמו שפורץ לחנות המכולת פתאום יגלה שאלו לא השוטרים השמנמנים עם הדונאטס שמקיפים אותו אלא כוחות ימ"מ מיומנים וחסרי פשרות שרק מחכים שינסה להתחכם. ה-FBI לא היה מספיק במקרה הזה? הרי "כולה" האיש פרץ לחברת אשראי וקצת העלה את רף המשיכה של הכרטיסים. מה כבר יכול לקרות בגלל זה?

ההשערה שלי היא שהאמריקאים החליטו לעבוד באופן עקרוני בלי חוכמות. שגם עם כל המידע שיש להם בעקבות חקירה – הם לא יודעים בוודאות מה הכוונה, עד איפה זה הגיע ומה המטרות הסופיות; וכאשר יש ספק – אין ספק, ולכן הם מעדיפים מניעה קלה בשלב מוקדם מאשר תיקון נזקים בשלב מאוחר, שמי יודע עד לאיזה עוצמות הם יגיעו. במינימום זה ייגמר כפשע רגיל, במקסימום הם הגנו לא רק על מוסדות פיננסיים, אלא כמו שאנו רואים כעת במשבר הכלכלי הנוכחי – הם למעשה הגנו על הסדר החברתי, כי למוסדות הפיננסיים יש השפעה אדירה על החיים שלנו בכל רגע נתון ובעתיד הנראה לעין.

אז מה נזכרתי בזה עכשיו? גם אצלנו יש התעוררות דומה.
ב"גלובס" פורסם לפני חודש ש"הבנקים ישתפו פעולה עם השב"כ בתחום אבטחת מידע". שב"כ מן הסתם נקרא רא"ם (הרשות הלאומית הממלכתית לאבטחת מידע, הפועלת כחלק מהשב"כ ותפקידה הגנה על תשתיות קריטיות בהיבטי תקשוב).
(בהנחה ורא"ם החלה לפעול בשנת 2005 (השערה שלי, על פי הקישור העדכני מבין השניים לעיל), הרי שזה נראה לי קצת איטי להגיע לבנקים רק כעת. אבל מי אני שאבקר את קצב ההתנהלות של ארגון ממשלתי)

כרגע מדובר רק על דיווח לשב"כ, דרך הפיקוח על הבנקים בבנק ישראל, על אירועים חריגים ותקלות (גם תפעוליות?).
אבל ברמיזא, בכתבה, שהיא מן הסתם בעיקר ציטוט של הידיעה שנמסרה מבנק ישראל, מוזכר שהחוק מאפשר לרא"ם לא רק לקבל דיווחים, אלא גם להנחות מקצועית את הבנקים באופן ביצוע אבטחת המידע במערכות שלהם. רמז להמשך? אני לא אתפלא.

(אני מקווה שפרסום הידיעה הזו, בעיתוי הזה, לא קשור בצורה כלשהי לסיבות בגינן בנק ישראל דורש מדני דנקר, יו"ר בנק הפועלים, לעזוב את תפקידו…)

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...