מטורפים האמריקאים האלו!

לכבוד הפוסט הזה הוספתי קטגוריה חדשה – "אין מילים". כבוד.

שימו לב – הממשל האמריקאי מבהיר לעובדיו שאפילו שפורסמו ב-Wikileaks תכנים מסווגים – מבחינתו הם התכנים האלו עדיין מסווגים ויש להתייחס אליהם בהתאם…
כלומר, הנחה, מי שמורשה, למשל, לצפות רק במידע "סודי", אסור לו לקרוא מידע "סודי ביותר" ב-Wikileaks… העיקר לשמור על העיקרון. זה מעניין, יכול להיות כאן עיקרון זליגת מידע חדשני – מידע בדרגת סודיות גבוהה זולג מרשת ציבורית לרשת מסווגת בעלת סיווג נמוך…
גם נאמר שם בפירוש שעובדי ממשל שיחשפו עצמם למידע ברמת סיווג שלא מורשית להם, גם באתר ציבורי כמו Wikileaks – יכולים לאבד את משרתם!
ליתר ביטחון, משרד ההגנה וספרית הקונגרס סגרו את הגישה ל-Wikileaks מהמחשבים שלהם. הכי טוב.

אני משער שמטרה מסוימת בפעולות אלו היא לשמור בכל אופן על משמעת ביטחון מידע, למרות התקלה האחרונה, כך שעובדי הממשל לא יניחו שהכל (או לגבי מסמך זה או אחר) כבר פורסם ולכן ירגישו חופשי להתייחס אליהם באופן רשלני ואז ייתכן שמסמך שלא נחשף – ייחשף. מטרה סבירה והגיונית, אבל נראה לי שכאן "שפכו את התינוק עם המים".

כמה ציטוטים:

"
Classified information, whether or not already posted on public websites or disclosed to the media, remains classified, and must be treated as such by federal employees and contractors, until it is declassified by an appropriate U.S. Government authority.
"

"
Asked if employees could lose their jobs if they access the WikiLeaks website on personal or government computers or devices, Mack told CNN, "Any breaches of protocols governing access to classified material are subject to applicable sanctions under long-standing and existing law.
"

"Separately, the Department of Defense and the Library of Congress have blocked access to the WikiLeaks website from their computers and instructed their employees not to read the documents published by the website, according to representatives of both agencies.
"

למרות שגישות כאלו מאוד אופייניות בעיקר לגופי ביטחון ולעתים גם לגופי שלטון – "תעשה בדיוק מה שאומרים לך, גם אם זה לא הגיוני בעליל. אל תחשוב, אנחנו כבר חשבנו בשבילך." – זה בדיוק מסוג המקרים שאחריהם אתה מאבד את האמון בגופים מסוג זה ומתחיל לתהות מי האנשים שנוהגים ברכב ועד כמה הם קשורים למציאות.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

שמישהו יכיר לרס"ן גיא ענבר את שדה BCC

רס"ן גיא ענבר הוא דובר מתפ"ש (מתאם הפעולות בשטחים, צה"ל).
הוא שלח מייל תפעולי למדי לתפוצה רחבה בשדה TO, ובין המכותבים כנראה גם עיתונאית פלסטינאית שחיה באוסטריה ולטענתה היא פליטה שגורשה מפלשתין. כנראה שלח אליה בטעות (עוד אחת).
היא כמובן פרסמה את כל כתובות המייל, שכעת הן לאחר סירוס והן לא מלאות, אבל במקור הן כנראה היו מלאות, כי מישהו הספיק להעתיק אותן אליו…
אז לא נורא, זה יוצא לא מנומס ולא מקצועי מול אנשי התקשורת שהכתובות שלהם נחשפו וקצת חושף את מערך התקשורת של צה"ל ושל הממשלה ומאפשר בכך לרבים ולא טובים להציק להם.

אז מי שמכיר את הרס"ן, בבקשה ללמד אותו אודות השימוש בשדה BCC. שלהבא זה לא יקרה.
ולטובת אילוץ העניין, חיפשתי קצת ברשת לטובת צה"ל (וגם לטובתכם ולטובת הארגון שלכם אם תרצו) ומצאתי שני דברים שנותנים כיוון כיצד לאלץ שימוש בשדה BCC – קצת קוד ותוסף ל-OUTLOOK. אבל כמובן צריך להוסיף לכך במקביל סגירת השימוש בשדות TO ו-CC (אולי יצירת FORM חדש של OUTLOOK, רק עם שדה BCC, אם ניתן).
מצד שני אני בטוח שלצה"ל ולמדינה יש מספיק מתכנתים מוכשרים שאם יתנו להם את המשימה, הם יעשו אותה מצוין לטובת מי שצריכים זאת.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

מְסַכָּנוֹת המקצוע – לדעת יותר מדי

דרך האתר law.co.il של עו"ד חיים רביה, העוסק בצד המשפטי של החיים הדיגיטליים (יש אתר דומה של עו"ד אביב אילון, netlaw.co.il), ואליו אני מנוי, נודע לי כי בימים אלו באה לסיומה פרשת גניבת נתוני ההזדהות של לקוחות הבנק הבינלאומי על ידי עובד אבטחת המידע של הבנק, דן טירספולסקי, נתונים אשר הועברו לאנשים נוספים אשר בתורם גנבו כספים מהחשבונות שפרטיהם נגנבו.
טירספולסקי נידון, במסגרת עסקת טיעון בין הפרקליטות לעו"ד של טירספולסקי, לשנת מאסר אחת, מאסר על תנאי למשך 10 חודשים לתקופה של 3 שנים (והתנאי הוא כי לא יעבור כל עבירת רכוש, מרמה או הונאה) וקנס בסך 10,000 ₪ או 60 ימי מאסר תמורתו.

הפרשה, אשר נחשבת למעילת האינטרנט הבנקאית הראשונה בישראל, נחשפה בשנת 2005 (ראויה לציון תגובה 11), אז נחשף כי טירספולסקי, עובד במחלקת אבטחת המידע של הבנק הבינלאומי, אשר היתה לו גישה לפרטי החשבונות של לקוחות הבנק, כולל פרטי ההזדהות שלהם באתר האינטרנט של הבנק, מסר נתונים של ארבעה לקוחות של הבנק, תושבי חוץ, לידי אנשים נוספים שפרטיהם לא מוזכרים, והם בתורם, בעזרת הפרטים שקיבלו מטירספולסקי, גנבו סך של 103,700 ש"ח מלקוחות אלו.
בכתבה שפורסמה ב"גלובס" בעת גילוי הפרשה נטען כי טירספולסקי לא הצליח להחזיר חוב לקרוב משפחה (שגם נעצר) ובשל כך נסחט על ידי גורמים עבריינים במאפיה הרוסית.

לטענת העו"ד של טירספולסקי, על פי גזר הדין, הוא ביצע את המעילה לא עבור עצמו אלא כי נסחט באיומים על ידי אותם גורמים אליהם העביר את פרטי הלקוחות (מה שלא ממש נכון לדעתי, כי הוא השתמש בנתונים שגנב כתחליף להחזר חוב, ומי שבעצם "החזיר את החוב" הם אותם לקוחות של הבנק).
באופן מעורר שאלות, בגזר הדין רשום לגבי באת כוח התביעה (כלומר פרקליטות המדינה) ש"בנוסף היא מאשרת כי נעשו ניסיונות להשיב את הכסף שנגנב, אולם הבנק לא הראה נכונות לקבלו". גישה מעניינת של הבנק.

אז מה אנו למדים ממקרה זה?

– אל תיקחו הלוואות מקרובי משפחה.
– אם כבר אתם לוקחים הלוואה מקרובי משפחה. תבדקו שאין להם קשר לגורמי פשיעה או שהם לא מסוכנים אם לא מחזירים להם את הכסף.
– אבטחת המידע בבינלאומי לא השכילה להצפין את סיסמאות הלקוחות כך שאיש מלבדם לא ידע אותן, כי ברור שלא ניתן למנוע גישה אליהן כי הן מטופלות על ידי עובדי מחלקת המחשוב של הבנק (אנשי סיסטם, מפתחי האתר, DBAים, אנשי הגיבוי והאחסון וכן הלאה). פעולה זו היתה מכשילה בוודאות גבוהה את האפשרות לאירוע מסוג זה להתרחש.
– חשוב שנבין שעיקרון המידור ועקרון ה-Need to know (והצפנה למעשה משלבת את שניהם) מגינים לא רק על בעלי המידע שכן מורשים לגשת אליו ולעשות בו שימוש אלא גם עלינו, אנשי אבטחת המידע (וה-IT בכלל), שיכולה להיות להם גישה למידע, אפילו באופן לא מכוון או מודע, כחלק מעבודתם. העקרונות הללו מפחיתים את רמת הידע שלנו אודות מידע רגיש ובכך מפחיתים את הסיכון שלנו לפיתויי שימוש ברעה על ידינו או לחצים להעביר מידע זה לידי גורמים חיצוניים.
לכן, אם בעבודתכם אתם שמים לב שקיימים מצבים שבהם אתם (או אחרים) יודעים או יכולים לדעת יותר מדי, או יכולים לעשות יותר מדי – תפנו למנהלים הרלוונטיים ותתריעו בפניהם על כך.
תמיד עדיפה מניעה מראש על פני תיקון בדיעבד (שלא תמיד אפשרי).

זה קשור רק חלקית למקרה הנ"ל, אבל מזמן רציתי להגיד את זה: המקצוע שלנו הוא לא חד וחלק, לא ברור ולא מתוחם. לטוב ולרע. ולפעמים יש רע. ואסור לשכוח זאת ואסור להתעלם מכך.
רוצים שנשמור על הארגון, על המידע הרגיש והסודי, אבל שלא נחשף אליו ולבטח לא נעשה בו שימוש לרעה. זה הגיוני, זה דורש אמינות, זה דורש כוח רצון ועמידה בפיתויים ובלחצים, וזה דורש לוליינות טכנולוגית ואישיותית. המקצוע דורש ממך ללכת על חבל דק, על הגבול, ולעולם לא לקבל החלטה שגויה. והקביעה האם ההחלטה שגויה או לא יכולה להיות לפעמים תלוית מקום, זמן, מערכת, מידע, יחסים, פוליטיקות ואין סוף פרמטרים. לפי הצורך והמטרה של המחליט. ולא תמיד אתם הם המחליטים…
ככל שהעולם נכנס יותר ויותר למחשוב, לתקשורת ולאינטרנט – כך בהתאמה מתגברת המשפטיזציה של התחום הזה ושל אבטחת מידע בכלל, כמקבילה הדיגיטלית של תחום הבטחון הפיזי, ובהתאמה העובדים במקצוע (ולא רק באבט"מ, גם אנשי סיסטם, DBAים ועוד) עוסקים בתכנים שהם קריטיים לארגונים ועל כן בקלות יכולים למצוא עצמם בסיטואציות משפטיות שונות, מדיונים עם עורכי הדין של החברה לגבי אירועי אבטחת מידע, דרך איתור תכנים לכתבי תביעה (Forensic) ועד עדות או כנאשמים במשפטים מסחריים ו/או פליליים.
ולדעתי המצב היום הוא שאין לעוסקים במקצוע מספיק מודעות וידע משפטי לגבי המותר והאסור, ואין להם עם מי להתייעץ כיצד לנהוג במצבים מיוחדים, במצבי קצה, ויש כאלה לא מעט במקצוע שלנו. את המצב הזה לדעתי צריך לשנות.
שעת ייעוץ של עו"ד יכולה בקלות להגיע למאות ש"ח/דולר, שלא לדבר על הדרכות/הרצאות משפטיות תקופתיות – מה שמן הסתם גורם לרבים שלא לפנות לייעוץ משפטי אלא לסמוך על השיפוט האישי שלהם בלבד.
אני מקווה ש-IFIS ישימו לב לעניין זה וייזמו הדרכות משפטיות על ידי חברי הפורום בעלי השכלה משפטית בנושא ואולי גם ישיגו תעריפי ייעוץ מופחתים לחברי הפורום אצל משרדי עורכי דין בעלי התמחות מתאימה. יכול להיות שצריך גם לשקול השגת תעריפים מופחתים לביטוח אחריות מקצועית (אם כי אני לא בטוח אם קיים ביטוח כזה בישראל בנוגע לאנשי מחשבים בכלל ואבטחת מידע בפרט).
בינתיים, תשימו לב ותשמרו על עצמכם, ואם אתם לא בטוחים – תשאלו חברים או בעלי מקצוע ותיקים שאתם יכולים לסמוך על דעתם. תמיד עדיף לשמוע כמה דעות לפני שמקבלים החלטה חשובה.

גרועחלשבסדרטובמצוין (1 הצבעות, ממוצע: 5.00 מתוך 5)
Loading...

תפיסה ומניעה של קידום דואל אוטומטי מתוך הארגון אל האינטרנט

לאחרונה עסקתי בהקמה של מערכת סינון דואל מול האינטרנט, ותוך כדי לימוד התעבורה ושיפצור חוקי הסינון, למדתי משהו מעניין שמאוד עוזר למניעת זליגת מידע.
לא משהו קרדינלי, לא מתחרה בתוכנות הייעודיות לנושא – אבל משהו קטן וטוב.

תפיסה

אם יש לכם בארגון שרת דואל פנים-ארגוני של מיקרוסופט, Exchange, עם לקוח Outlook, ואני מהמר שמרבית הארגונים הבינוניים והגדולים בישראל עובדים בתצורה זו, אז הנה דרך שתגלה לכם מי מבצע קידום
(Forward) אוטומטי של דואל אל מחוץ לארגון.

בכל פעם שמתרחש אירוע שנובע מחוק שמבצע קידום (ולא חשוב על פי אילו תנאים), שרת ה-Exchange מוסיף לחלק ה-body של הדואל שורת טקסט עצמאית שכוללת את הטקסט הבא באנגלית או בעברית:

auto forwarded by a rule

מועבר אוטומטית לנמענים על פי כלל

רק אחד מהביטויים האלו מוכנס לדואל, כנראה על פי הגדרות השפה בשרת ה-Exchange.
עצם העובדה שהביטויים האלו מתווספים רק ברמת ה-Exchange מונעת מהמשתמשים לבטל את הוספתה.

אם רוצים להגדיר את הביטויים הנ"ל כביטוי שלם ואחיד (Exact Phrase) במסגרת Regular Expression הרי שהמשפטים צריכים להיראות כך:

\bauto forwarded by a rule\b

b\מועבר אוטומטית לנמענים על פי כלל‎\b

כך שאם אתם יכולים במערכת סינון הדואל להקים חוק שתופס כל דואל יוצא שמכיל לפחות את אחד מהביטויים האלו (חוק ANY או OR) – אתם יכולים לדעת מי הקים חוק קידום אוטומטי.
גם אם לא תמצאו זליגת מידע זדונית, אתם עדיין תתפלאו (או לא) למצוא מספר נאה של עובדים שהחליטו לפתוח תיבת ראי לתיבת הדואל הארגונית שלהם, והם מקדמים כל דואל נכנס אל התיבה האישית שלהם באינטרנט.

חשוב לדעת כי לשיטה זו יש גם חריג שמאפשר במידה מסוימת לעקוף אותה:

כאשר העובד לא מגדיר חוק Outlook רגיל, אלא מפעיל את רכיב Out of office, הוא גם יכול להפעיל ברכיב זה חוקים שונים, ביניהם חוק קידום:

להגדרת חוק ה-Forward יש גם שדה של Method (שיטה):

ולשדה זה שלוש אפשרויות:

1. Standard – מדמה ביצוע קידום ידני על ידי המשתמש, כך ששדה ה-From נשאר עם כתובת הדואל של המשתמש עצמו, והמידע של הדואל המקורי נשאר בתוך הדואל כטקסט רגיל + הודעת הקידום הנזכרת לעיל. בשיטה זו החוק שתקימו יעבוד באופן תקין.

2. Leave message intact – במצב זה Exchange מתנהג כמעין "נתב דואל" ולא מבצע שום שינוי בדואל עצמו ורק מנתב אותו ליעד הנבחר בחוק.
זו הבחירה העוקפת את חוק הזיהוי הנזכר לעיל, מאחר ואין היא מכילה את הודעת הקידום המעידה על קידום אוטומטי. ניתן לתפוס הודעה מסוג זה בתנאי ומערכת הדואל שלכם מאפשרת לכם ליצור חוק Anti spoofing, שיתפוס כל דואל שהוא בכיוון יוצא (Outbound) אך עם כתובת דואל של :From שאינה משתמשת בשם הדומיין שלכם.
כך למשל, אם המשתמש הוא למשל בארגון microsoft.com והוא מקבל כעת דואל מ-yahoo.com, הדואל ייצא מהארגון עם שדה :From של yahoo.com .

3. As an attachment – בשיטה זו המצב דומה לשיטה הראשונה לעיל, למעט זה שהדואל המקורי מוכנס להודעה חדשה כאובייקט מצורף וגם אין את תוספת הודעת הקידום המעידה על קידום הדואל. אין לי ניסיון בתפיסת שיטה זו, אולם אם מערכת הסינון שלכם יודעת לשייך את אובייקט הדואל המקורי ולסרוק אותו מתוך הנחה שהוא בתוך הודעת דואל יוצאת – אזי יש סיכוי שההודעה הכוללת תיתפס במסגרת חוק Anti Spoofing.

מניעה

בצד המניעה "מיקרוסופט" מאפשר לנו למנוע קידום אוטומטי של דואל אל האינטרנט, באופן גלובלי בלבד (יש אפשרות עקיפה מסוימת. ראו בהמשך).
השדה הנוגע למקרה שלנו, ולו נרצה לבצע Disable, הוא כנראה Allow automatic forward בלבד, כי עדיין נרצה לאפשר למשתמשים לבצע reply של טקסט, כמו במקרה של Out of office.

You cannot restrict certain automatic responses to the Internet based on administrative groups in Exchange 2000 Server or in Exchange Server 2003, Article ID: 840158

Automatic replies, automatic forwards and Out of Office to Internet recipients are disabled in Exchange 2000 Server and in Exchange Server 2003, Article ID: 266166

פירוט תיבת הדיאלוג המדוברת לגבי Exchange 2003, ולגבי 2007 (הסברים טובים יותר).

כיצד בכל אופן לאפשר למשתמשים מסוימים לבצע קידום אוטומטי, למרות שקיימת הגבלה ארגונית:

How to Override Blocked Auto-Forwarding for Select Users, Article ID: 317652

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...