החטא הקדמון של אי-התקנת פאטצ'ים

קודם תקראו את הכתבה בגלובס בשם "פרצת מידע בישראל: ניתן לחדור למצלמות אבטחה של מוסדות שונים". גיא מזרחי, אותו אני מאוד מעריך, משום מה התלהב מכך. ורפי איבגי שביצע את העבודה העלה גם מספר תמונות לבלוג של גיא.

מכיוון שתחום ההאקינג הוא רווי אגו, לעתים ברמה ילדותית, אני רוצה להיות זהיר ולהצהיר שבכתיבת פוסט זה אין לי כוונה להלהיט יצרים, אבל מצד שני אני בהחלט רוצה להגיד את דברי (ואני לא מחשיב עצמי האקר, אז אני מוותר מראש…).
בלי להכיר את רפי ואם גיא מהלל אותו אז זה לבטח נכון ומבלי כוונה להרוס את חגיגת יחסי הציבור של סיטדל (כמות התגובות המתלהבות בכתבה של "גלובס" קצת חשודה), לא ברור לי מה החידוש המסעיר בפרסום הזה, לפחות עבור העובדים בתחום.

הרי נציג יבואנית המצלמות מצוטט: "הפריצות מתאפשרות במצלמות מהגרסאות הוותיקות. בשנתיים האחרונות, המצלמות שלנו מאובטחות לחלוטין".
"ומה עושים הלקוחות שקנו מצלמות לפני שנתיים?- שוורץ: הם צריכים לשדרג את התוכנה. הגרסאות החדשות בטוחות."

אז כן, זו תוכנה של חומרה (אז מה?), אלו מצלמות, זה סקסי, כולם אוהבים להציץ ולראות תמונות ולהרגיש כל יכולים, רואים ובלתי-נראים, אבל לא מדובר בפרצה חדשה שלראשונה נתגלתה בעולם אלא מדובר במצב הרגיל שלקוחות לא מעדכנים תוכנה בכדי לסתום חורים ידועים. הרי מזה חי כל עובד בתחום ה-PEN TEST, שמן הסתם בכל עבודה שניה (אם לא בכל עבודה ועבודה) מוצא לפחות פרצה אחת כזו, שכבר קיימת פרק זמן כלשהו ולא התקינו לה את הפאטצ', ודרכה הוא חודר למערכות הלקוח.

אם מישהו היה אומר לכם שהוא יכול לפרוץ ל-X כי ב-X יש רכיב תוכנה שנתגלתה בו פרצה לפני שנתיים ומאז תוקנה, לא ממש תתרגשו. סתם תאנחו כי שוב הלקוח לא עדכן פאטצ'ים.

כך שהמקרה הזה הוא טריגר טוב להביא אותי למה שזה כבר כמה זמן רציתי לכתוב ולא יצא לי – הרי כל הדרמה עם מיליוני המחשבים שנדבקו בינואר 2009 ב-Confiker היתה בגלל שלא התקינו עדכון של MS מאוקטובר 2008.
כלומר, יותר משהבעיה היא טכנית היא של מוּדעות ותפעול.
היצרן יוצר פאטצ'. הלקוח צריך לדעת על הפאטצ', הלקוח צריך להתקין, הלקוח צריך לאתחל את המחשב.
הצעד הראשון הוא הקל מבין כולם, השאר קשים לביצוע אבל אם הם יבוצעו נגיע למצב האידיאלי של מניעה במקום תיקון לאחר הדבקות והשבתה.
מניסיוני בארגונים זה לא קל, בייחוד הצורך באתחול. מילא תחנות עבודה שעוד יחסית קל לאתחל אותן – בשרתים זה יוצר התנגדות חריפה של אנשי הסיסטם, שבצדק רב רוצים להימנע מהשבתות של שרתים ויישומים מרכזיים, ותמיד קיים החשש שבאתחול משהו יידפק, ולו בגלל פעולת סיסטם עלומה שבוצעה מאז האתחול הקודם ועכשיו היא תגרום לבעיה (ומן הסתם מייד יאשימו את הפאטצ', וגם זה לפעמים נכון…).
אז אין ברירה, ואני תמיד אומר שפחד זה לא מדיניות, ולדעתי עדיף להימנע מהשבתה רוחבית של עשרות שרתים ו/או מאות תחנות לזמן לא קצר לצורך ניקוי קוד זדוני במחיר של השבתה לזמן קצר ומתוכנן בגלל אתחול שלאחר התקנת פאטצ'.

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

של מי המחשב הזה, לעזאזל?!

לאחרונה אני עוסק באופן אינטנסיבי יותר בהטמעת מערכת אבטחת נקודות קצה (מה שנקרא
Endpoint Security), המשלבת AV, אנטי-ספייוור, ‏FW ו-IPS כרכיבים עיקריים.

ראיתי את התופעה שלהלן בעבר, אבל כעת, כאשר הכלים לנקודות הקצה הופכים חזקים ומתוחכמים יותר, לאחר שקיבלו יכולות שבעבר היו נחלתם של מוצרי רשת בלבד – הזבל שצף הוא בכמויות ובאיכויות שלא הכרתי בעבר.
כנראה שלא בגלל שקודם הוא לא היה שם, אלא בגלל שקודם לא היו הכלים שיציפו את הממצאים.

בכל פעם אני נדהם מחדש ממה עובדים מכניסים למחשב שלהם. יהיו אלו תוכנות או קבצים – מולטימדיה, P2P, ‏BitTorrent, קראקים, עוקפי פרוקסי, MP3 כמובן, תמונות פורנו, סרטי פורנו מלאים או חלקיים וכן הלאה. הדבר יותר אופייני וחזק במחשבים ניידים, שמלווים את העובדים לאורך כל היום, כולל בביתם.

נדהם, לא כי אני יכול לטעון שאני יותר מוסרי מהם או שאינני עוסק בתכנים דומים, אלא כי הם עושים זאת על גבי מחשב שהוא, לפחות רשמית, של מקום העבודה, ולעתים, מה לעשות, גם מחובר לרשת ולמערכות של מקום העבודה.
מילא חשבתם מותר/אסור, חשבתם שלא יעלו עליכם, אין סיכוי שיפטרו אתכם על דברים כאלו וכדומה – אבל לא חשבתם לפחות על הסיכוי לבושה, כאשר יום אחד מישהו מהארגון ישלח אליכם דוא"ל או ירים אליכם טלפון ויחזיק מולכם תמונת ראי של הצד "השובב" של החיים שהכנסתם למחשב עסקי? ומן הסתם הוא לא יהיה היחיד שיקבל עדכון על כך, אלא גם המנהל הישיר שלכם ואולי גם משאבי אנוש?

.

מושג המפתח פה הוא "המחשב שלהם". כאן נעוץ לדעתי שורש העניין. של מי המחשב?

בואו וננסה להתחקות אחר התפתחות העניינים:

1. מכירות המחשבים הניידים עברו לאחרונה את אלו של המחשבים הנייחים. המחירים יורדים כל הזמן, האיכות והכמות עולה, יתרונות הניידות רבים מאוד. אין שאלה לגבי הכדאיות. וארגונים עסקיים מבינים זאת ובהתאמה כמות הניידים בארגונים עולה בהתמדה.
עלויות רכישת החומרה, התוכנה, הקישוריות (בעיקר הסלולרית), החלפים, התחזוקה והתמיכה – אין שאלה, חלות על הארגון בלבד.

2. אשליית הפרטיות הידועה בכינויה "אם-אני-לא-רואה/יודע-שרואים-אותי-זה-סימן-שלא-רואים-אותי" – אנשים, בייחוד אלו שאינם טכניים, בטוחים בפרטיותם ולא יודעים שאם, חס וחלילה, הם לא הפעילו מערכות הגנה משלהם במחשבים שלהם, אז רואים להם הכול. אבל הכול.
אז כמו הילד המכסה את עיניו בידיו ולכן בטוח שלא רואים אותו – כך העובדים בטוחים שהארגון לא רואה מה עושים במחשב שלהם.

3. טשטוש הגבולות הכמעט יזום בין הארגוני לפרטי. לפעמים הארגון דוחף עובדים לעבוד מכל מקום ובכל שעה, העיקר לקדם את העניינים – על חשבון זמן ומשאבים פרטיים בחלקם, והוא מסייע לעובדים לממש זאת על ידי מתן משאבים כגון מחשבים ניידים, תקשורת נתונים סלולרית, גישה מרחוק לארגון ועוד.
מטרת הטשטוש מבחינת הארגון היא מן הסתם להעביר משאבים מהפרטי אל העסקי, השאלה היא כיצד העובד רואה זאת, מה מטרתו וכיצד הוא מממש זאת. אולי להיפך מכוונת הארגון?
זו משיכת חבל בלתי-נגמרת בין האישי לארגוני, וכל אחד דוחף ומפרש את הנתונים לפי מטרותיו.

4. תרבות ישראלית חופשית, חברית ובלגניסטית – הן ברמת הפרט והן ברמת הארגון, אינה מסייעת, בלשון המעטה, לפיתוח גבולות, הגבלות ונהלים. כבר נתקלתי במקרים שאפילו בין מנהל לעובד היו חילופי תכנים כנ"ל.
בהתאמה, הארגון אינו טורח להגדיר במפורש גבולות שימוש נאותים. מה מותר ומה אסור. לא בע"פ ולבטח לא בכתב.

5. העובד מקבל מחשב נייד צמוד (במקרים הרלוונטיים, כמובן). ממש כמו הרכב הצמוד.
ברכב הצמוד מישהו אומר לו לאן לנסוע? מה להעמיס על האוטו? בקושי רק חברות מעטות מגבילות קילומטרז' בשל עלויות צריכת הדלק.
אז למה שבמחשב הנייד, זה שהולך איתו לבית הקפה עם האינטרנט החופשי, או בבית עם האינטרנט הפרטי (ולעתים על חשבון העבודה) – יגידו לו מה לעשות איתו? להיכן לגלוש? במה לצפות? מה להוריד? מה להתקין (אם מאפשרים לו מבחינת הרשאות התקנה במערכת ההפעלה)? מה להריץ (אם ניתן להרצה בלי התקנה)?
כך שמחשבתית, אפילו שהרכב לרוב הוא למעשה הטבה כלכלית/חוזית ולא כלי עבודה, בעוד שהמחשב הוא כלי עבודה ולא הטבה – הרי שבתנאים הנ"ל המחשב נתפס גם הוא כהטבה לשימוש סמי-פרטי.
מן הסתם גם העובדה שהשימוש לרוב נעשה שלא במבנה/אתר של הארגון, תורם להרגשת החופשיות של העובד בתוספת הרגשת היעדר ההשגחה הארגונית.
אני משער שבלא מעט מקרים המחשב הנייד של העבודה פשוט משמש כמחשב הביתי העיקרי או כמחשב ביתי נוסף.

על כן, לאור הסעיפים הנ"ל, העובדים למעשה מקבלים מסר פאסיבי (ואולי אף מעט אקטיבי בשל הענקת משאבי הניידות למטרת עבודה בכל מקום) של "תעשו מה שבא לכם" בכל הנוגע למחשב הארגוני, בייחוד הנייד. המסר הזה מן הסתם מוביל לתופעות שתיארתי לעיל.

.

אבל מצידו השני של הארגון, יש צורך באבטחת מידע, וכאן אנשי האבט"מ נכנסים עם הכלים שלהם ומפוצצים את הבועה של העובדים (או שלא… תלוי בגישת הארגון ומנהליו ולמי לבסוף הם יתנו גיבוי…), שלא מבינים מאיפה נחתו עליהם. כבר קיבלתי תגובה בסגנון "מה פתאום נכנסת מרחוק למחשב שלי? אסור לך! זה מחשב אישי!". בחיי.
יש כבר כאלו שהלכו צעד קדימה והרימו FW משלהם על המחשב בכדי למנוע ממני גישה, שלא אראה מה קורה אצלם… אבל זו כבר רמה אחרת וסיפור אחר.

שורש הבעיה כאן לדעתי הוא שאין רצף של גישה מצד הארגון – מצד אחד הוא נותן חופש משתמע לעובד, אבל מצד השני מפעיל כלים למניעת הסיכונים הנובעים מחופש זה, ובכך גם במידה רבה מוליך שולל את העובדים וגם מקשה ומייקר את פעילות אבטחת המידע, כי היא נאלצת להתמודד עם יותר איומים מבית מאשר מחוץ.

על כן, לדעתי, ואומר זאת שוב ושוב, אסור להתמקד רק בצד הטכני של האבט"מ – אלא להבטיח סגירת מעגל מלאה שהצד הטכני יהיה רק חלק ממנה, החלק של וידוא הביצוע ואיתור החריגות.
צריך לוודא עם מחלקות משאבי אנוש ומשפטית את ההגבלות שמצד אחד רוצים ומצד שני יכולים להחיל על העובדים (ושיש לכך גיבוי מהדרגים הגבוהים ביותר בארגון) – וממגבלות אלו ליצור נהלים מתאימים, ולוודא שהם מועברים לעובדים כך שהם יהיו מודעים למגבלות אלו במלואן ולסנקציות שיינקטו כנגד מי שלא עומדים בהן.

חשוב שנזכור שאבטחת מידע, כפי שאנו מכירים אותה, הטכנית בעיקר, היא למעשה קצה הקרחון של מגוון רחב של נושאים בארגון – משפטיים, חברתיים, כלכליים, מוסריים, פסיכולוגיים ועוד – ולכן כדאי להתייחס לכולם בכדי ליצור אבטחת מידע יעילה יותר, וכך מן הסתם, גם העבודה שלנו תהיה מעניינת יותר…

.

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

נחש מי בא לבקר?

מאמר נוסף שכתבתי ל-TheMarker. הסבר במאמר הראשון, בבלוג הטכנולוגיה שלי.
כל המאמרים שנכתבו ל-TheMarker, אלו שאינם עוסקים באבטחת מידע, זמינים בקטגוריה משלהם בבלוג הטכנולוגיה.

.

נחש מי בא לבקר?

(פורסם ב-12/4/2001. קישור לפרסום המקורי, שם יש גם תגובות)
.

שמעתי פעם שלטייסי קרב יש אמרה: "זה שאינך רואה – הוא זה שיפיל אותך". אני חושב שהאמרה הזו נכונה לעוד הרבה מצבים בחיים, ולבטח היא נכונה בתחום אבטחת המידע.
.

ביתי הוא מבצרי?

אנשים רבים נוטים להמעיט בערך אבטחת המידע, בייחוד בנוגע למחשב הביתי שלהם. הם חושבים שהם לא YAHOO ולכן איש לא ינסה להזיק להם, וגם אין להם שום דבר בעל ערך אשר שווה לגנוב מהמחשב שלהם.

הטענות האלו נכונות בבסיסן, וכל אדם מחליט לעצמו עד כמה הוא רוצה להשקיע בביטחונו, אולם חשוב להכיר במציאות לפני שמגיעים להחלטות.

לעולם הוספת מרכיבי אבטחה (פיזית או דיגיטלית) תייקר, תעמיס על הביצועים ותכביד על קלות השימוש. תהיה זו דלת כניסה לבית (הרי הרבה יותר קל להיכנס ישר דרך הפתח, ללא דלת) או הקשת סיסמה בעת הפעלת המחשב. כל אחד צריך למצוא לעצמו את האיזון.

במחשב האישי, המשתמש רואה רק הממשק. הוא לא רואה את תהליכי העבודה של המחשב ולכן לא יודע מה קורה "מתחת לפני השטח". כאשר יחליט האקר לבצע נזק כלשהוא למחשב (ובהנחה שהוא לא רוצה להתפאר) – הוא לא ישלח לכם הודעה למסך המחשב: "מחשב זה נשלט כעת על ידי משה וכעת הוא מוחק לכם את קובץ קורות החיים".
.

נחש מי בא לבקר?

אני משתמש בביתי בחיבור של חיוג קבוע. בנוסף, אני משתמש ב-Personal Firewall של Zone Labs -‏ Zone Alarm. למוצר מצוין וחינמי זה יש אזור המציג את כל ניסיונות ההתחברות שהמוצר מנע – הן להתחבר למחשב שלכם מבחוץ והן ממנו החוצה (למקרה של סוס טרויאני – תוכנה המותקנת במחשב שלכם מרחוק ללא ידיעתכם, ומקנה להאקר שליטה מלאה על המחשב).
במשך 24 שעות, ישנם בממוצע 50 ניסיונות להתחבר למחשב שלי. רובם מנסים להתחבר בפורטים (Ports) של תוכנות השתלטות מרחוק וסוסים טרויאנים (פורטים הם נקודות כניסה ויציאה המשויכות לכתובת IP. אם נדמה את כתובת ה-IP לבית, הרי שהפורטים הם סך כל "הדלתות והחלונות" אל הבית וממנו. יש מעל 65,000 כאלו לכל כתובת IP).

תגידו: "אז מה, שינסו. במילא צריך שתוכנה כלשהיא במחשב שלך תאפשר להתחבר אליה בכדי לעשות משהו."

זה נכון, אבל מה אם יש באמת תוכנה כזו ואתם לא יודעים עליה?
ואפילו אם אין: תחשבו על המחשב האישי שלכם בתור הבית שלכם באינטרנט. האם הייתם מסכימים שבביתכם אשר בעולם הפיזי, 50 פעם ביום ינסו אנשים שונים לבדוק כיצד ניתן להיכנס אליו? אחד ינסה את ידית הדלת, שני את סורג חדר הילדים וכן הלאה? ומה אם אחד הניסיונות יעלה כי הפתח פרוץ? המבקר יישאר בחוץ?
.

דמי התקנה

כיצד יכולים להתקין אצלכם מרחוק תוכנה, ללא רשותכם? זה באמת פשוט.
רק כדוגמאות אשר אינן מזיקות, אלא רק מציקות – יש שתי תוכנות מסחריות אשר מתקינות עצמן במחשב שלכם (אם כי הן מספיק נחמדות לספק שורה ב"הוספה / הסרה של תוכניות" בכדי שתוכלו להסירן) ללא רשותכם המפורשת, דרך הדפדפן.

הראשונה היא Hot Bar, המעניקה רקע גרפי לממשק הדפדפן. קברניטי החברה הזו די חצופים ואגרסיביים, מאחר ובדף הבית שלהם – אם תלחצו על Click to Continue, התוכנה תותקן מיידית – בלא הודעה מראש או בקשה מפורשת.

התוכנה השנייה היא Comet Cursor הנמכרת לבעלי אתרים הרוצים לייפות את האתר שלהם. ברגע שאתם נכנסים לאתר בו קיימת התוכנה, היא מיידית מותקנת אצלכם (שוב בלי כל אזהרה או אישור) ויוצרת סמני עכבר גרפיים בתוך הדפדפן.

אך אלו דוגמאות של שיווק אגרסיבי בלבד, הן לא יזיקו למחשב שלכם.

אבל, ועכשיו נדבר בשקט, באתרי סקס ביקרתם?
"לא, מה פתאום, אנחנו? תתבייש לך!"

בסדר. למען המדע עשיתי זאת בשבילכם (עבודה קשה – אבל מישהו צריך לעשות אותה), למקרה שתקלעו לפינות האפלות של הרשת.

מניתוח של תכולת המחיצות והקישורים באתרים אלה עולה כי ברבים מהם יש קבצי הפעלה (EXE), שרק אלוהים ומפעילי האתר יודעים איזה מוקש הם מפעילים כאשר המבקר באתר מפעיל אותם בלחיצת עכבר (או אולי זה קובץ ברירת המחדל המופעל בעת הכניסה לאתר, ללא צורך בפעולה של הגולש). וזה עוד בלי לדבר על תסריטי (אימה) של JAVA ו-ActiveX, ובלי וירוסים וקבצים מצורפים בדואל.

חשוב להבין שמרגע שהתחברתם לאינטרנט – המחשב שלכם הוא חלק מהרשת. ואם לא תשימו גדרות – אזי המחשב שלכם הוא בחזקת נחלת הכלל.
.
_______________________________________________________________________

תוספת קישורים עדכנית לנוחותכם ולידע נוסף:
– דף באתר matousec.com המכיל סקירה של מוצרי Personal Firewall (שימו לדו"ח ה-PDF מימין לכל מוצר בטבלה);
– בדיקת !!Shields UP באתר GRC אשר סורקת את 1024 הפורטים הראשונים שלכם (בחרו בדף השני בכפתור האפור של All service ports);

– אתר Firewall Leak Tester אשר לצערי לא מראה פעילות מזה כמעט שנה, אבל מכיל מגוון תוכנות בדיקה לעמידות ה-FW האישי שלכם מפני ניסיונות של תוכנות "לטלפן הביתה"… הכי הרשימה אותי בזמנו היתה PCAudit2 אשר שכנעה אותי לחפש משהו אחר במקום Sygate, כי הזרקת ה-DLL שלה "עבדה" על Sygate (שנרכשה מאז ע"י Symantec) ולתדהמתי יצאה לאתר הדגמה חיצוני שהציג לי את מה שהתוכנה שלחה לו: צילום מסך של המחשב שלי, העתק של ה-Clipboard שלי ורשימת כל הקבצים ב-My Documents. האתר מולו עבדה התוכנה אינה פעיל עוד, אבל התוכנה כנראה תעבוד באופן תקין, רק שלא יהיה מי שיקבל את המידע בצד האינטרנט (נקווה…).
התוכנה לא ניסתה, או יותר נכון תהליך קובץ ה-EXE שלה, לצאת בעצמה לאינטרנט, אלא ניסתה ברצף מספר תהליכי EXE אחרים בזכרון שמורשים לצאת לאינטרנט, התעלקה עליהם ויצאה לאינטרנט בשמחה וששון… זה היה מסוג הרגעים המקצועיים המכוננים שבו-זמנית מפחידים ומרגשים, שאתה מרגיש כמה אתה עוד לא יודע וכמה הרגשת הביטחון שלך אינה מבוססת בשיט.
בהתגלות הזו הבנתי שהמלחמה האמיתית עוברת מתקשורת הנתונים אל זיכרון המחשב, הקרב עבר אל "החדרים הפנימיים".

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

מצטער, ספאם זה לא אבטחת מידע.

אני שונא ספאם. לא לקבל. גם זה בעצם, אבל זה לא כזה נורא. קצת מציק, אבל לא נורא.

לנהל, לתחזק. כחלק מהעבודה.
מערכות ה-Mail Gateway, שהתחילו רק מסינון קוד זדוני, לרוב אחראיות כיום גם על מניעת ספאם.
וזו בעצם 99% אחוז מהעבודה שמערכות אלו עושות. מניסיון מספרי בדוק.
כמות הקוד הזדוני שמטופל היא אפסית ביחס לספאם.

ואני אומר, סליחה?! במה בדיוק ספאם קשור לאבטחת מידע? למה אנחנו צריכים להתעסק עם זה?
נכון, בהמשך הספאם הגיע הפישינג, והוא אכן רלוונטי לאבטחת מידע, אבל לא ספאם.

תחשבו על זה אחרת, מהצד של העולם הפיזי: נגיד שקיימת וילה פרטית שבעל הבית מאבטח באמצעות עם מספר מאבטחים מקצועיים, ביניהם יש מאבטח שאחראי על הכניסה הראשית, ולידה יש את תיבת הדואר, והוא פותח את המעטפות ומוודא שאין מעטפת נפץ/רעל וכדומה.
אז עכשיו בעל הבית אומר לו שתפקידו מהיום כולל גם לוודא שלא ייכנסו עלוני פרסום, כי זה מציק לבעל הבית המאוד-עסוק וכי ממילא הוא בודק את הדואר. אבל אם המאבטח טועה וזורק דואר שהוא חשב שהוא עלון פרסומי אבל הוא בעצם דואר שבעל הבית היה צריך – אוי, כמה בעל הבית יכעס שהדואר הזה חסר לו.

כן, רוצים שהמאבטחים יהיו טופ-אוף-דה-שנוץ (סתם ביטוי שהמצאתי), שיהיו מוכנים לטפל בכל הסכנות הגרועות ביותר.
כן, אבל אם הם כבר שם, שיעיפו את המטרדים הקטנטנים. נו, במילא משלמים להם, אז שינקו גם את הדסקטופ.

הבעיה היא שהמפלצת הזו של הספאם הופכת להיות מטרד גם בגלל הגישה של הארגון. מדי פעם אני מקבל מה-Help Desk דרישות חד-משמעיות ובלתי-מתפשרות, המגיעות מעובדים, שהם מקבלים יותר מדי ספאם אל תיבת הדוא"ל הפנימית שלהם.
כאשר אני מתעניין כמה זה "יותר מדי", מתברר שהם מקבלים 6 (שש!) הודעות ספאם בשבוע.
כאשר אני מוכיח להם שבסה"כ השבועי נשלחו אליהם משהו כמו 6,000 הודעות דוא"ל, מהן בערך 240 עברו פנימה והשאר ספאם, זה משתיק אותם למשך חודש, ואז הם שוב חוזרים. וכל זאת כאשר המערכת מוקשחת ברגישות הספאם שלה למקסימום. אני מנסה להסביר להם שאין לי ממש מה לעשות יותר בעניין, אבל הם מתעקשים ואז אני מעביר אותם לבוס שלי, רגע לפני שאני מגיע אליהם. אישית.

לפעמים אני חושב שיש בארגונים גדולים לא מעט אנשים משועממים שכנראה אין להם יותר מדי עבודה ומחפשים להתלונן על כל שטות שנותרה לאחר שנעשה המקסימום בכדי למנוע אותה והם באמת יכולים לחיות איתה.

וכמובן, יש במקביל גם את העובדים ההופכיים. אלו שבגלל שרגישות סינון הספאם נמצאת במקסימום, מתלוננים שנחסמות להם הודעות דוא"ל לגיטימיות… והם, מן הסתם בעל הצדקה יותר גבוהה לכעוס לעומת קודמיהם.

ואני באמצע!!!
אולי אני אפגיש בין שתי קהילות עובדים אלו, שהם יחליטו, יחדיו, על רמת רגישות הסינון של הספאם…

אז כמו שאמרתי, אני שונא לנהל ספאם. זה לא ממש התפקיד שלי, זה ממש לא אבטחת מידע, ועובדים יקרים – תשלימו עם הצרות הקטנות של החיים.
תאמינו לי, יש צרות יותר גדולות (ואתם תכירו אותן אם תמשיכו להתלונן שנכנס לכם ספאם… (-: ).

.

מצד שני יש אנשים שנענו לספאם והרוויחו בגדול…

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

מחשבה על מהות הפגיעוּת

אני רוצה להציע מחשבה קצת אחרת על מושג הפגיעוּת (vulnerability).
פגיעות, בהקשר של אבטחת מידע, תתייחס לחולשות או סיכוי לפגיעה במידע או מערכות מידע.

פגיעות, כמושג, הרי מגיעה מחיי אנוש, חולשה של אדם המסכנת את גופו ו/או נפשו ומגבירה את הסיכון לפגיעה באותו אדם.
פגיעות היא משהו פסיבי, מעין תכונה קיימת, שרצוי לחזק/לתקן אותה בהקדם האפשרי, בכדי להקטין את האפשרות לפגיעה.

אם באג פוגע בחישובי המערכת, ביציבותה ובביצועיה – הרי שבאג לרוב יתממש באופן לא מכוון, בעת התרחשות של מקרים מסוימים, חלקם מקורם בבני אנוש וחלקם בתהליכים אוטומטיים.

פגיעות, לדעתי, היא למעשה לא יותר ממקרה פרטי של באג, אבל מקרה פרטי חשוב – פגיעות לא תהיה באג ולא תתממש, בדומה למקרים רבים בחיי אנוש, ללא כוונת זדון של בן אנוש (למעט אולי, מקרי DoS, שיכולים, בדוחק רב, להיחשב כחוסר יכולת לעמוד בעמוס גבוה של פעילות תפעולית לגיטימית).
פגיעות היא באג המונע ומתממש מתוך כוונת זדון אנושית בלבד.

הן בני אנוש והן מערכות תקשוב יכולים להתקיים זמן רב ללא נזקים אם הן חיות בסביבה שאינה עוינת או זדונית.
ללא היוזמה לניצול הפגיעות – הרי שניתן לומר כאילו שהפגיעות כלל אינה קיימת, כי לא בוצע פעולה כלשהי שחשפה או ניצלה את הפגיעות.

הרבה פעמים, באבטחת מידע, אנו נוטים להתרכז בצד הטכנולוגי של העבודה (ובשל כך גם מחפשים פתרונות טכנולוגים בלבד), ומתעלמים/מזניחים את הטיפול ביסוד האנושי המהותי הטבוע במקצוע אבטחת המידע (ובמקצועות הביטחון והאבטחה בכלל), שאיתו יותר קשה לנו להתמודד, הן אישית והן כארגון – כוונת הזדון.

גרועחלשבסדרטובמצוין (1 הצבעות, ממוצע: 5.00 מתוך 5)
Loading...