הנחתום מעיד על עיסתו?

ברוח "אקספרס של חצות" הפושה לאחרונה בים וברשת, הותקף גם מקום עבודתי לרוב לאחרונה.
אחד ההתקפות היתה מהכתובת 78.181.209.84.
לא היה לה תרגום אחורי של DNS, אז הלכתי על Whois Lookup של IP.
התשובה שקיבלתי היתה כנה למדי.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

בנקאי אוהב דגים?

(הכותרת היא פרפרזה על משפט ממערכון של "הגשש החיוור": "דייג אוהב דגים? אם אוהב אותם למה הוא מוציא אותם מהמים?")

קיבלתי מ"מזרחי-טפחות" מייל. פרסומי. לא זכור לי שנרשמתי לקבל מהם פרסומים, אבל נגיד שנרשמתי, כי הייתי (עדיין?) לקוח עקיף שלהם.

המייל, בתבנית HTML, הגיע משולח בעל השם "מזרחי-טפחות" וכתובת של donotreply@umtb.co.il (‏UMTB הוא דומיין של "מזרחי טפחות" שגלישה אליו תנתב אתכם לאתר באנגלית של הבנק. נכון לספטמבר 2013 הדומיין אינו פעיל כאתר אינטרנט).
בדיקת ה-Header של המייל הראתה שבפועל הוא נשלח מדומיין בשם mymarketing.co.il, מפיצי מיילים מסחריים (יש כאלו שיכנו זאת אחרת, אבל זו לא הנקודה כאן), וכלל גם קישור לצפייה בתוכן המייל (שייתכן ולא יהיה זמין לאחר פרסום פוסט זה) באתר של הדומיין web-view.net, שניסיון להגיע לשורש שלו יעביר אתכם לאתר של mymarketing.co.il הנזכר לעיל.
בכל מקרה, לטובת ההיסטוריה, אני מצרף כאן את התמונה שהיא הרקע של המייל (הקליקו להגדלה) וגם את הפרסומת המקורית כקובץ MHT בתוך ZIP (קובץ ה-MHT ייפתח באופן תקין ב-IE):

ילדים, בבקשה מצאו את הדג וצבעו אותו בצבעים עליזים

– הקלקה על פס הקישורים העליון (שנראה שפשוט הועתק מאתר מזרחי-טפחות) תפתח חלון חדש שיעביר אתכם לאתר הבית של מזרחי-טפחות, שאמנם הוא ב-SSL אבל כולל טופס שם משתמש וסיסמא לצורך כניסה ישירה לחשבון.

ישר לחשבון

הקלקה על המקטע הבא, "כל יתרונות שירות האינטרנט" או על אחד משלושת הריבועים שמתחתיו – תפתח לכם חלון חדש ישירות לטופס ייעודי בשם "כניסה לחשבונך" (שקישור "אבטחת מידע" אשר בתחתיתו אינו תקין…). (הקליקו להגדלה)

הכניסה מכאן

המקטע הבא, בעל הרקע האפור אינו כולל קישור, אבל המקטע התחתון, "שכחת/נחסמה סיסמתך? הקלק כאן!" פותח חלון חדש אל טופס ייעודי לשחרור סיסמא (שימו לב למקטע המסומן בריבוע אדום בתמונה המצורפת (הריבוע הזה הוא תוספת שלי)).

שימו לב למקטע המסומן בריבוע אדום (הריבוע הוא תוספת שלי)

אז מצוין. הבנק, בטופס הזה מזהיר את לקוחותיו מפני פישינג. אם מקליקים על הקישור המדובר, מגיעים לדף המסביר את תופעת הפישינג וכיצד להיזהר ממנה, בייחוד הטקסט הבא:

זהירות! דייגים בדרך!

אז כן, נכון, בנק מזרחי-טפחות לא מבקש מלקוחותיו במייל נתונים אישיים אודות חשבון הבנק, או סיסמאות גישה למערכות הבנק.
הוא רק מרגיל אותם שבתוך פרסומות מיילים שלו הוא מערבב נושאי שיווק עם נושאי תפעול/אבטחת מידע ונותן קישורים ישירים לניהול סיסמאות באתר שלו.
בגישה הזו, לדעתי, בנק מזרחי-טפחות מכין את הקרקע לביצוע פישינג נגדו, אמנם פישינג יותר עדין ועקיף מהמֻכָּר אבל בכך הבנק יורה לעצמו בכיס באופן ישיר ובאופן עקיף מחבל במאמצי שאר הבנקים לחנך את הלקוחות שהמיילים מהבנקים מכילים רק מידע שיווקי ולא תפעולי/אבטחתי, וזאת במטרה לגרום ללקוחות להיות מודעים לפישינג ולא להתפתות לו.

(6/11/09 – עדכון קטן לנושא, אגב הדגים, אחד מהם פג תוקף. והשני בקרוב.)

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

מְסַכָּנוֹת המקצוע – לדעת יותר מדי

דרך האתר law.co.il של עו"ד חיים רביה, העוסק בצד המשפטי של החיים הדיגיטליים (יש אתר דומה של עו"ד אביב אילון, netlaw.co.il), ואליו אני מנוי, נודע לי כי בימים אלו באה לסיומה פרשת גניבת נתוני ההזדהות של לקוחות הבנק הבינלאומי על ידי עובד אבטחת המידע של הבנק, דן טירספולסקי, נתונים אשר הועברו לאנשים נוספים אשר בתורם גנבו כספים מהחשבונות שפרטיהם נגנבו.
טירספולסקי נידון, במסגרת עסקת טיעון בין הפרקליטות לעו"ד של טירספולסקי, לשנת מאסר אחת, מאסר על תנאי למשך 10 חודשים לתקופה של 3 שנים (והתנאי הוא כי לא יעבור כל עבירת רכוש, מרמה או הונאה) וקנס בסך 10,000 ₪ או 60 ימי מאסר תמורתו.

הפרשה, אשר נחשבת למעילת האינטרנט הבנקאית הראשונה בישראל, נחשפה בשנת 2005 (ראויה לציון תגובה 11), אז נחשף כי טירספולסקי, עובד במחלקת אבטחת המידע של הבנק הבינלאומי, אשר היתה לו גישה לפרטי החשבונות של לקוחות הבנק, כולל פרטי ההזדהות שלהם באתר האינטרנט של הבנק, מסר נתונים של ארבעה לקוחות של הבנק, תושבי חוץ, לידי אנשים נוספים שפרטיהם לא מוזכרים, והם בתורם, בעזרת הפרטים שקיבלו מטירספולסקי, גנבו סך של 103,700 ש"ח מלקוחות אלו.
בכתבה שפורסמה ב"גלובס" בעת גילוי הפרשה נטען כי טירספולסקי לא הצליח להחזיר חוב לקרוב משפחה (שגם נעצר) ובשל כך נסחט על ידי גורמים עבריינים במאפיה הרוסית.

לטענת העו"ד של טירספולסקי, על פי גזר הדין, הוא ביצע את המעילה לא עבור עצמו אלא כי נסחט באיומים על ידי אותם גורמים אליהם העביר את פרטי הלקוחות (מה שלא ממש נכון לדעתי, כי הוא השתמש בנתונים שגנב כתחליף להחזר חוב, ומי שבעצם "החזיר את החוב" הם אותם לקוחות של הבנק).
באופן מעורר שאלות, בגזר הדין רשום לגבי באת כוח התביעה (כלומר פרקליטות המדינה) ש"בנוסף היא מאשרת כי נעשו ניסיונות להשיב את הכסף שנגנב, אולם הבנק לא הראה נכונות לקבלו". גישה מעניינת של הבנק.

אז מה אנו למדים ממקרה זה?

– אל תיקחו הלוואות מקרובי משפחה.
– אם כבר אתם לוקחים הלוואה מקרובי משפחה. תבדקו שאין להם קשר לגורמי פשיעה או שהם לא מסוכנים אם לא מחזירים להם את הכסף.
– אבטחת המידע בבינלאומי לא השכילה להצפין את סיסמאות הלקוחות כך שאיש מלבדם לא ידע אותן, כי ברור שלא ניתן למנוע גישה אליהן כי הן מטופלות על ידי עובדי מחלקת המחשוב של הבנק (אנשי סיסטם, מפתחי האתר, DBAים, אנשי הגיבוי והאחסון וכן הלאה). פעולה זו היתה מכשילה בוודאות גבוהה את האפשרות לאירוע מסוג זה להתרחש.
– חשוב שנבין שעיקרון המידור ועקרון ה-Need to know (והצפנה למעשה משלבת את שניהם) מגינים לא רק על בעלי המידע שכן מורשים לגשת אליו ולעשות בו שימוש אלא גם עלינו, אנשי אבטחת המידע (וה-IT בכלל), שיכולה להיות להם גישה למידע, אפילו באופן לא מכוון או מודע, כחלק מעבודתם. העקרונות הללו מפחיתים את רמת הידע שלנו אודות מידע רגיש ובכך מפחיתים את הסיכון שלנו לפיתויי שימוש ברעה על ידינו או לחצים להעביר מידע זה לידי גורמים חיצוניים.
לכן, אם בעבודתכם אתם שמים לב שקיימים מצבים שבהם אתם (או אחרים) יודעים או יכולים לדעת יותר מדי, או יכולים לעשות יותר מדי – תפנו למנהלים הרלוונטיים ותתריעו בפניהם על כך.
תמיד עדיפה מניעה מראש על פני תיקון בדיעבד (שלא תמיד אפשרי).

זה קשור רק חלקית למקרה הנ"ל, אבל מזמן רציתי להגיד את זה: המקצוע שלנו הוא לא חד וחלק, לא ברור ולא מתוחם. לטוב ולרע. ולפעמים יש רע. ואסור לשכוח זאת ואסור להתעלם מכך.
רוצים שנשמור על הארגון, על המידע הרגיש והסודי, אבל שלא נחשף אליו ולבטח לא נעשה בו שימוש לרעה. זה הגיוני, זה דורש אמינות, זה דורש כוח רצון ועמידה בפיתויים ובלחצים, וזה דורש לוליינות טכנולוגית ואישיותית. המקצוע דורש ממך ללכת על חבל דק, על הגבול, ולעולם לא לקבל החלטה שגויה. והקביעה האם ההחלטה שגויה או לא יכולה להיות לפעמים תלוית מקום, זמן, מערכת, מידע, יחסים, פוליטיקות ואין סוף פרמטרים. לפי הצורך והמטרה של המחליט. ולא תמיד אתם הם המחליטים…
ככל שהעולם נכנס יותר ויותר למחשוב, לתקשורת ולאינטרנט – כך בהתאמה מתגברת המשפטיזציה של התחום הזה ושל אבטחת מידע בכלל, כמקבילה הדיגיטלית של תחום הבטחון הפיזי, ובהתאמה העובדים במקצוע (ולא רק באבט"מ, גם אנשי סיסטם, DBAים ועוד) עוסקים בתכנים שהם קריטיים לארגונים ועל כן בקלות יכולים למצוא עצמם בסיטואציות משפטיות שונות, מדיונים עם עורכי הדין של החברה לגבי אירועי אבטחת מידע, דרך איתור תכנים לכתבי תביעה (Forensic) ועד עדות או כנאשמים במשפטים מסחריים ו/או פליליים.
ולדעתי המצב היום הוא שאין לעוסקים במקצוע מספיק מודעות וידע משפטי לגבי המותר והאסור, ואין להם עם מי להתייעץ כיצד לנהוג במצבים מיוחדים, במצבי קצה, ויש כאלה לא מעט במקצוע שלנו. את המצב הזה לדעתי צריך לשנות.
שעת ייעוץ של עו"ד יכולה בקלות להגיע למאות ש"ח/דולר, שלא לדבר על הדרכות/הרצאות משפטיות תקופתיות – מה שמן הסתם גורם לרבים שלא לפנות לייעוץ משפטי אלא לסמוך על השיפוט האישי שלהם בלבד.
אני מקווה ש-IFIS ישימו לב לעניין זה וייזמו הדרכות משפטיות על ידי חברי הפורום בעלי השכלה משפטית בנושא ואולי גם ישיגו תעריפי ייעוץ מופחתים לחברי הפורום אצל משרדי עורכי דין בעלי התמחות מתאימה. יכול להיות שצריך גם לשקול השגת תעריפים מופחתים לביטוח אחריות מקצועית (אם כי אני לא בטוח אם קיים ביטוח כזה בישראל בנוגע לאנשי מחשבים בכלל ואבטחת מידע בפרט).
בינתיים, תשימו לב ותשמרו על עצמכם, ואם אתם לא בטוחים – תשאלו חברים או בעלי מקצוע ותיקים שאתם יכולים לסמוך על דעתם. תמיד עדיף לשמוע כמה דעות לפני שמקבלים החלטה חשובה.

גרועחלשבסדרטובמצוין (1 הצבעות, ממוצע: 5.00 מתוך 5)
Loading...

יש got root!

(פוסט זה הועבר לקטגורית "ארכיב" בספטמבר 2013 כי האתר המדובר הפסיק לפעול בתחום הדפסת חולצות)

בהמשך ל"מיזם" חולצות אבטחת המידע שלי, שהביא ליצירת "חנות" ב"לופה", ובהמשך לבקשת הקהל (נו, טוב, רק CISO, אבל בטח גם אחרים ירצו, כי זה עיצוב קלאסי), "לופה" אישרו לי שני עיצובי got root ואחד מקורי משלי:

?got root

?Got Root

.

.got root

.got root

.

I know where you live

I know where you live

.

זכרו שהקלקה על "הוסף לעגלה" תאפשר לכם לבצע סימולציה של החולצה על גוף כולל צבעים שונים (טוב, נו, בעצם רק שחור).

תתחדשו.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

IWHC 2009

(הפוסט הזה הועבר לקטגורית "ארכיב" כי האתר המרכזי הרלוונטי לפוסט זה אינו זמין נכון לספטמבר 2013)

אני משער שבעקבות כנס ilhack שהתקיים במאי, שהצביע על צורך ורעב של קהילת ההאקרים ואבטחת המידע למפגשי חברה והעשרה – אותם אנשים שרצו לפני שנה להרים את כנס Isracon שלא יצא לפועל – מרימים כעת את כנס IWHC ‏(‏Israel White Hackers Convention).
הכנס צפוי להתקיים ב-13 לאוגוסט 2009 (עדיין אין מיקום, שעת התחלה או סדר יום). לא רשום מי המארגנים אבל לפי מקטע ה"קישורים" באתר הכנס מדובר כנראה בגיא מזרחי ובחבר'ה שכותבים את הבלוג הטכנולוגי Binaryvision.

אפשר להרשם כבר היום (רק זהירות מהקאפצ'ה שם, היא לפעמים מאוד מאתגרת. גם לבני אנוש. שימו לב גם לשמור את מספר הרישום שתקבלו בסוף הרישום – הוא הכרחי לכניסה לכנס. אם תרשמו כתובת דוא"ל בתהליך הרישום – גם תקבלו העתק שלו בדוא"ל), יש דרושים מעצבים לטובת לוגו הכנס, חולצות וכדומה, דרושים גם מרצים עם רעיונות להרצאות – זו ההזדמנות שלכם להרשים את הקהילה, וכמובן שצריכים גם ספונסרים שרוצים חשיפה ואפשרות מכירה לבאי הכנס‏ (ספונסרים יכתבו אל An7i21@gmail.com‏) , DJ וכל מה שנראה לכם מתאים – אז בכל הנושאים (למעט ספונסרים) – פנו אל iwhc2009@gmail.com.

אני מאוד שמח שיש התעוררות כזו. הכנס של מאי וכעת הכנס הזה שמן הסתם ינסה להיות יותר טוב מהכנס של מאי וכן הלאה לשנים הבאות. קנאת האקרים תרבה חוכמה ושיפורים לרוב.
אני מקווה שהפעם אצליח להגיע לכנס.

יאללה, לכו תרשמו ותשמרו את התאריך ביומן..

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...