הבנקים קיבלו תוספת תקנים למחלקת אבטחת המידע…

לפני כחודש בערך פנה אלי כתב TheMarker, גיא גרימלנד, בבקשה לקבלת תגובה למעצרו של אהוד טננבאום, ה"אנלייזר", בקנדה, באשמת גניבת כספים על ידי פריצה למאגרי מידע.

גיא הגיע לנושא דרך סדרת כתבות של מגזין Wired האמריקאי שעשה עבודה עיתונאית טובה במעקב אחר התפתחות המקרה הזה. בכתבה המרכזית של Wired בנושא יש קישור לקובץ PDF שהוא תצהיר של השוטר הקנדי המפרט כיצד נחשפה הפרשה – מומלץ ביותר לקרוא PDF זה (קצת מטושטש אבל קריא ובאנגלית קלה, עשרה עמודים), בכדי ללמוד מעט על אופן ביצוע איסוף ראיות ממוחשב במקרה פלילי עדכני.
בינתיים הוחלט שהוא יוסגר, כצפוי, לארה"ב.

לכתבה נכנסו רק חלק מהדברים שכתבתי לגיא, ומכיוון שאני מעדיף "להביא דברים בשם אומרם" ובמלואם, אני מצטט כאן את דברי אל גיא במלואם:

"
1.    צריך לזכור שהתצהיר של השוטר הקנדי הוא מספטמבר 2008, שזה חצי שנה אחורה ולא ברור מה קרה מאז.
לפי אתר קנדי המשטרה עדיין בודקת את המחשבים והדיון הבא צריך היה להיות ב-26.3 + דיון בהסגרה לארה"ב שעתיד להיות ב-7.5.

2.אגב, יש לו עמוד בפייסבוק.

3.    מצאתי גם את זה, גם מ-WIRED, מה-27.10.08, כתב האישום של האמריקאים (PDF).

4.    כל מה שאני כותב, וצריך לרשום זאת בכתבה כהסתייגות, הוא בתנאי שהתצהיר, שלמעשה מתבסס על מידע שברובו הגיע מארה"ב – הוא אמת, כל האמת ורק אמת. תזכור שלאמריקאים יש אינטרס לדפוק אותו.

5.    למה הוא לא התנהג בזהירות? (סימנים, לא סיבות)
5.1.    בתור מי שפרץ למחשבים של הפנטגון, הוא היה צריך להניח שהאמריקאים יחפשו אותו בכל מקום ורק ינסו לתפוס אותו. אם הוא יוסגר ויישפט למאסר, הוא יצטרך להגיד תודה שסוגרים את גוואנטנמו…
לא יהיה לגמרי מופרך, אם כי זו השערה בלבד – שהם חיפשו אותו והיו במעקב עליו לאורך זמן. גם לא בלתי-אפשרי שהם מפלילים אותו בהאשמות אלו, במלואן או בחלקן, בלי שהוא אשם באמת (סיכוי נמוך למדי). הוא היה צריך להיזהר ולהימנע מלתקוף יעדים של ארה"ב.
5.2.    הוא פעל ממדינה קרובה לארה"ב (ותזכור שזה התחיל באישומים על פעילות שלו כנגד מוסדות פיננסיים בקנדה, ורק אח"כ הגיעו האישומים לגבי ארה"ב), שלארה"ב נוח לעבוד בה ומן הסתם יש לה הסכם הסגרה עם ארה"ב. וזה כנראה מה שיקרה.
5.2.1.    שים לב שמי שעל פי הקובץ, מי שביצע את החקירה זה השירות החשאי של ממשלת ארה"ב. נהוג לחשוב, וזה כנראה היה נכון בלעדית בעבר – שהם אחראי על אבטחת מנהיגי ארה"ב. אבל אם תראה את הגדרת המשימה שלהם, כיום המשימה שמוגדרת להם ראשונה היא הגנה על התשתיות הפיננסיות הקריטיות של ארה"ב, ולכן הם כנראה אלו שהובילו את החקירה. הם מבינים שפעילות פלילית מרמה וכמות מסוימת ומעלה שקולה לפעילות טרור שיכולה לערער את הסדר הכלכלי-חברתי (ראה המשבר הכלכלי של היום), ולכן נותנים לה עדיפות שבעבר אולי היתה נגמרת מקסימום ברמה הלאומית/פדרלית ע"י ה-FBI. הטיפול ע"י ה-USSS מראה את רמת החשיבות שהם מייחסים לנושא.
5.3.    הוא אמנם השתמש בשני שרתי PROXY בכדי לבצע את ההתקפות (סוג של ניסיון להימנע מגילוי) ולא ביצע אותן ישירות מהמחשב/חיבור אינטרנט שלו, אבל אלו לא שרתים שנותנים מחסה מסוים לפעילויות פליליות, אלא שרתים של ספק מרכזי בהולנד, שכמו שראינו – שיתף פעולה עם ארה"ב ומסר את כתובת ה-IP שלו. יש שרתי PROXY שממוקמים, פיזית, במדינות שבהן חוקי המחשב חלשים או בלתי-קיימים ו/או המדינות הללו אויבות או אינן משתפות פעולה עם ארה"ב – ולכן בד"כ נעזרים בהם לבצע פעילות פלילית, בכדי להקשות עד למנוע את איתור מקור ההתקפה האמיתי.
אפשרות אחרת היא להשתלט על מחשב תמים ולא מוגן באינטרנט ולבצע ממנו את הפעולה (או כמה כאלה, וליצור רשת BOTS/בוטים).
במקרים כאלו יש סיכוי גבוה שהצד המותקף ינסה לתקוף ולחדור למחשבים המשמשים כשרתי ההתקפה – בכדי לאסוף מהם עדויות ו/או להפסיק את פעילותם.
עובדה שבסוף הם הצליחו להצליב שימושים שונים בכתובת IP אחת – ביצוע ההתקפות והזדהות על בסיס כתובת הדוא"ל עם הכינוי שלו, וכתובת ה-IP הזו היא שלו על פי אישור ספק האינטרנט שלו.
5.4.    הוא קיים תקשורת IM ודוא"ל מול קולגות באופן לא מוצפן ובכך למעשה הפליל את עצמו כאשר סיפר על כל הפעולות שביצע. הוא מן הסתם ינסה לטעון במשפט שלו שהוא סתם התרברב, אבל אם באמת היו פעולות כאלו – הוא קשר עצמו אליהן באופן ישיר והוא יורשע כמעט בוודאות ובמהירות.
5.5.    הוא השתמש בכינוי הידוע שלו, אנלייזר, בכתובת הדוא"ל שעל בסיסה ביצע את שיחות ה-IM, וכאמור, הצליבו את כתובת ה-IP שלו כמי שנכנס והשתמש בכתובת זו.
הוא גם נרשם לכתובת דוא"ל זו עם תאריך הלידה שלו.
5.6.    לפי מה שכתוב בכתבה – גם צילמו אותו פעם אחת מצלמות אבטחה בזמן שהוא משך מזומן באמצעות אחד מכרטיסי המזומן של אחת מהחברות שפרץ אליהן.

6.    לגבי החברות המותקפות
6.1.    התקפת הזרקת SQL היא התקפה מאוד ותיקה, ידועה ויעילה לבצע קריאה, כתיבה, מחיקה ושינוי על מסדי נתונים דרך כתובות URL על בסיס HTTP. אתרים רבים, מן הסתם בייחוד פיננסיים, חייבים לעבוד באמצעות מסדי נתונים, גם כאשר מדובר ביישומי WEB גדולים מבוססי HTTP. יש מגוון אמצעי מניעה יעילים וותיקים לא פחות שיכולים למנוע את ההתקפות האלו, אשר נקראים WAF, כלומר Web Application Firewall. למשל, חברה ישראלית מובילה בתחום היא IMPERVA. ההגנות האלו יודעות להבדיל בין URLים תקינים של האתר לבין כאלו שמייצגים פקודות SQL (השפה המשמשת לתפעול מסדי נתונים) זדוניות.
מוסדות פיננסיים, שמן הסתם יש להם כסף להגנות מסוג זה ולהטמעתן, שלא משתמשים בהגנות אלו, הם פשוט רשלנים בצורה פושעת.
6.2.    ראיתי שחלק מהמוסדות שנפרצו טוענים שהם עומדים בתקן האבט"מ למוסדות פיננסיים, PCI‏.
PCI מכסה את נושא הזרקת ה-SQL, כך שהמוסדות האלו כנראה לא באמת עמדו בתקן. אז כמו שאמרתי, מגיע להם.
תקנים הם הרבה פעמים כסת"ח ולא הגנה אמיתית.
6.3.    בנוסף, שים לב שבתצהיר של השוטר הקנדי רשום שחברת SYMMETREX הודתה שנפרצה ע"י הזרקת SQL, אולם מצד שני דובר החברה הגיב בכתבה שלא ידוע לו על פריצה… מישהו משקר.

אז מסתבר ששני הצדדים לא עבדו כמו שצריך, ושניהם אכלו/יאכלו אותה בגלל זה.

"

מה אני רוצה להדגיש כאן?- את סעיף 5.2.1 לעיל. מה פתאום השירות החשאי, שעד לא מזמן היה "כולה" "שומר הראש" של ראשי המדינה ואורחיה, הפך להיות אחראי-העל להגנת המוסדות הפיננסיים של ארה"ב?
הגנת תשתיות קריטיות. האמריקאים הבינו שהגבול בין פשע לטרור נפרץ, היטשטש.

בעידן שלנו, שליחידים יש יכולות טכנולוגיות שבעבר היו נתונות רק בידי ארגונים גדולים,  פשע, גם אם מטרתו רווח בלבד, יכול להידרדר לפגיעה קריטית במדינה. פשע יכול להיות הבסיס להשגת משאבים לפיגוע טרור. זה כבר לא משנה איך קוראים לזה. משנה התוצאה. והיא יכולה להיות הרסנית.
הרי היו בודדים שהפילו מוסדות פיננסיים, גם אם היה מדובר באירועים שהם יותר ניהול סיכונים לקוי מאשר אבטחת מידע גולמית – כגון אתי אלון ב"בנק למסחר" או Nick Leeson שמוטט את בנק ההשקעות הוותיק ביותר בבריטניה, Barings Bank.

אם ננסה לחשוב על זה באופן הגיוני, האם האמריקאים לא over reacted במקרה הזה? זה כמו שפורץ לחנות המכולת פתאום יגלה שאלו לא השוטרים השמנמנים עם הדונאטס שמקיפים אותו אלא כוחות ימ"מ מיומנים וחסרי פשרות שרק מחכים שינסה להתחכם. ה-FBI לא היה מספיק במקרה הזה? הרי "כולה" האיש פרץ לחברת אשראי וקצת העלה את רף המשיכה של הכרטיסים. מה כבר יכול לקרות בגלל זה?

ההשערה שלי היא שהאמריקאים החליטו לעבוד באופן עקרוני בלי חוכמות. שגם עם כל המידע שיש להם בעקבות חקירה – הם לא יודעים בוודאות מה הכוונה, עד איפה זה הגיע ומה המטרות הסופיות; וכאשר יש ספק – אין ספק, ולכן הם מעדיפים מניעה קלה בשלב מוקדם מאשר תיקון נזקים בשלב מאוחר, שמי יודע עד לאיזה עוצמות הם יגיעו. במינימום זה ייגמר כפשע רגיל, במקסימום הם הגנו לא רק על מוסדות פיננסיים, אלא כמו שאנו רואים כעת במשבר הכלכלי הנוכחי – הם למעשה הגנו על הסדר החברתי, כי למוסדות הפיננסיים יש השפעה אדירה על החיים שלנו בכל רגע נתון ובעתיד הנראה לעין.

אז מה נזכרתי בזה עכשיו? גם אצלנו יש התעוררות דומה.
ב"גלובס" פורסם לפני חודש ש"הבנקים ישתפו פעולה עם השב"כ בתחום אבטחת מידע". שב"כ מן הסתם נקרא רא"ם (הרשות הלאומית הממלכתית לאבטחת מידע, הפועלת כחלק מהשב"כ ותפקידה הגנה על תשתיות קריטיות בהיבטי תקשוב).
(בהנחה ורא"ם החלה לפעול בשנת 2005 (השערה שלי, על פי הקישור העדכני מבין השניים לעיל), הרי שזה נראה לי קצת איטי להגיע לבנקים רק כעת. אבל מי אני שאבקר את קצב ההתנהלות של ארגון ממשלתי)

כרגע מדובר רק על דיווח לשב"כ, דרך הפיקוח על הבנקים בבנק ישראל, על אירועים חריגים ותקלות (גם תפעוליות?).
אבל ברמיזא, בכתבה, שהיא מן הסתם בעיקר ציטוט של הידיעה שנמסרה מבנק ישראל, מוזכר שהחוק מאפשר לרא"ם לא רק לקבל דיווחים, אלא גם להנחות מקצועית את הבנקים באופן ביצוע אבטחת המידע במערכות שלהם. רמז להמשך? אני לא אתפלא.

(אני מקווה שפרסום הידיעה הזו, בעיתוי הזה, לא קשור בצורה כלשהי לסיבות בגינן בנק ישראל דורש מדני דנקר, יו"ר בנק הפועלים, לעזוב את תפקידו…)

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

זיהוי קולי במערכת בנקאית. כיצד לא לעשות זאת.

לאחרונה עברתי בנק. לא נורא. קצת בירוקרטיה, אבל אפשרי וכדאי אם עושים סקר שוק ומשיגים תנאים טובים.

עוד לפני זה, היה לי צורך חד-פעמי להעברה דחופה של סכום כסף גדול למדי שמקורו בשיק של צד ג', אל חשבון העו"ש ומיד ממנו החוצה לצורך תשלום כלשהו, באותו היום, בשיק בנקאי.
פעולה רגישה ובעלת סיכון לבנק שלי, שנאלצה להתבצע במהירות בלתי-עו"שית בעליל, לבטח לגבי לקוח רגיל למדי כמוני.

דבר אחד שחזר בשני התהליכים משך תשומת הלב האבטחתית שלי – נוהל ההזדהות הטלפונית בין שני סניפי בנקים (בנקים שונים! לא שני סניפים שונים של אותו בנק).

אתם יודעים איך פקיד בנק מזהה את פקיד הבנק האחר בטלפון? גם אם הפקיד בבנק האחר הוא זה שהתקשר אליו?
הוא מבקש ממנו להשמיע לו את ג'ינגל (תזמיר בעברית צחה. הלוגו המוזיקלי/צלילי של החברה) הבנק שלו ממערכת ההמתנה הטלפונית של סניף הבנק האחר…
וזהו. מבחינת הפקיד בבנק שלי (ומתוך הנחה שהוא מכיר את הג'ינגל העדכני של הבנק האחר…) הוא כעת מדבר עם הפקיד רשמי בבנק האחר, שיכול כעת להעביר לו איזה מידע שהוא רוצה.

כמה קשה זה יכול להיות להשיג את הג'ינגל של כל בנק בישראל (פשוט להתקשר ולהקליט ממערכת ההמתנה) ולהשמיע אותו מחדש במסגרת "עוקץ" שרוצים לעשות לבנק?
אפשר כמובן לגבות את הסיכומים שהושגו בטלפון במשלוח פקס, שגם אותו מן הסתם לא נורא קשה לזייף.

סתם דוגמא מעניינת לנוהל בנקאי דה-פקטו (שמי יודע אם הוא בכלל רשמי ו/או ידוע להנהלות הבנקים), שהוא לגמרי עניין או"שי (ארגון ושיטות) ובלתי ממוחשב בעליל, אבל לגמרי חושף את הבנקים לסיכונים שהם אולי לא גדולים אבל לבטח מיותרים.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...