eMule קופץ בראש

עכשיו זה זמן טוב, כאשר אני לא עובד באף חברה, לשחרר את הסיפור הזה, בלי שהוא ישויך למקום עבודה ספציפי (ולא, אין טעם לנחש, אני לא אאשר ולא אכחיש שום ניחוש). מקרה שקרה באמת, כולל עדים אנושיים וממוחשבים, ומעניין אותי לשמוע מה אתם (אצבע מורה כלפיכם, פאוזה ארוכה) הייתם עושים ומה אתם (אצבע מורה כלפיכם, פאוזה ארוכה), הייתם מרגישים.

נוהל הטיפול בחברה באירועי אבטחת מידע של עובדים, כגון קוד זדוני, שימוש בהרשאות של אחרים, התקנה/שימוש בתוכנות אסורות וכדומה היה מוסדר למדי וכלל רישום בקובץ אקסל מסודר בכדי שתהיה היסטוריה לכל עובד סורר וגם משלוח מייל מפורט לעובד ולמנהל הישיר שלו, כולל אסקלציות למתמידים.

יום אחד פנה אלי, חיוור למדי, קולגה צעיר, שבזמן המדובר היה חדש בעבודה והוא היה עובד במיקור חוץ, וביקש שאני, בתור זה שהוא כן עובד חברה, ובתור הוותיק וזה שאין לו אלוהים, אטפל במקרה הזה, כי הוא היה אובד עצות וקצת פחד לגעת במקרה הזה.
מה היה העניין?- מערכת ה-IPS ברמת הקליינט (או HIPS, ‏Host based IPS) מצאה וחסמה פעילות תקשורתית של התקנת eMule. יפה, לא משהו נורא ולא משהו נדיר, אבל בהחלט משהו שדורש התייחסות, בייחוד כאשר לרוב העובדים אין הרשאות ניהול במחשב שלהם, אלא רק למי שצריכים זאת לתפקידם.
ומי היה הזוכה המאושר?
לא פחות מאשר מנהל מחלקת אבטחת המידע. Our fearless leader כמו שאומרים.

היה לו מחשב נייד שמזמן לא הופיע במערכות הניהול של הארגון, כי כנראה הוא לקח אותו לביתו והפך אותו למחשב ביתי נוסף, ומסיבה כלשהי היה לו צורך להתחבר לארגון ב-SSL VPN והוא רק שכח שנפתחה תקשורת עבור קליינט ה-HIPS לדווח מבחוץ למערכת הניהול… אופס.

כן, לא היתה לי ברירה והתקשרתי אליו. הוא אישר מייד את הממצאים בקול בוטח ואמר שהוא ידאג לפרמט את המחשב ושאפשר בהתאמה למחוק את רישום המחשב הזה ממערכת ניהול ה-HIPS כי ממילא הוא ידאג שהמחשב הזה יפורמט (מה גם שמחיקת האובייקט ממערכת הניהול תמחק גם את היסטורית הרישום של פעילות ה-eMule…)
כן, אני משער שלאחר השיחה שלי איתו הוא הבין למה ה-eMule לא עבד לו. והמצחיק הוא שיש לו הרשאות לנטרול ה-HIPS במחשב שלו, רק שהוא לא קלט מה "הבעיה" ולכן בהתאמה לא ניטרל את ה-HIPS.

מצד אחד, למען הסדר הטוב ולמניעת אפליה – רשמתי את האירוע בקובץ האירועים. בכל אופן, הוא עובד חברה.
מצד שני, לא עשיתי כלפיו את מה שעשיתי מול עובדים אחרים, לא שלחתי לו ולמנהל הישיר שלו (מנהל אגף תשתיות, שבעצמו לא שם את אבטחת מידע בראש דאגותיו, מאוד בלשון המעטה) את מייל הנזיפה הסטנדרטי. בהתאמה גם לא דיווחתי על כך למנהל שלו בערוצים אחרים –  לא טלפונית וגם לא בע"פ. זה נראה לי חסר טעם. לדווח למנהל האגף שמנהל אבטחת המידע התקין eMule? אותו eMule שבגללו אנו פועלים נגד עובדים מן המניין?
מה גם שהם חברים נורא, אבל נורא, טובים.
כלום לא היה יוצא מזה, כמו הרבה דברים שלא יצא מהם שם דבר, מעבר לידי חובה, להראות שעבודה כלשהי מבוצעת.

ביום ההוא נשבר סופית האמון שלי באדם הזה.
כמובן שהמקרה הזה היה הפתעה, כי לא ציפיתי לרמה כזו, אבל זו לא היתה הפתעה גמורה כי הכרתי את האיש עוד מקודם כמי שיודע לדבר את הדיבור המקצועי, האבטחתי, ה"נכון", אבל בפועל הוא יודע להשתמש בתפקיד באופן פוליטי ולשחרר את החבל למי שהוא חפץ ביקרו (או לחילופין חושש מכוחו), וגם דאג למנות תחתיו מנהלים חלשים ואומרי הן שלא יאיימו על מעמדו.

אבל כמובן שהמשכתי לעבוד מולו כרגיל, כאילו דבר לא קרה, עוד יותר משנה. אדם שמפרנס משפחה צריך לבלוע הרבה צפרדעים ולשתוק בכדי לשמור על מקום עבודתו, גם אם הוא מת מבפנים מחדש בכל יום עבודה.

זה קשה לעבוד במקצוע הזה בלי איזו שרשרת אמון. זה לא מקצוע רגיל. יש בו, לדעתי בכל אופן, משהו קצת שונה, משהו שאמור להיות יותר ערכי לעומת מקצועות IT אחרים (בלי להפחית מחשיבותם של מקצועות ה-IT האחרים).

אז אני רוצה לשאול אתכם – איך אתם הייתם מרגישים? מה הייתם עושים? נוהגים כמוני? אחרת?

גרועחלשבסדרטובמצוין (איש לא דירג תוכן זה עדיין. היו אתם הראשונים!)
Loading...

Share via emailShare on Tumblr Share

16 תגובות בנושא “eMule קופץ בראש

  1. ידידי הטוב
    תמים אתה למדי במשבר האמון הזה כפי שאתה מתאר אבל אני מקווה כי תצליח לשמור עליה, על התמימות ולהמשיך לשים מבטחך ויהבך על אנשים בהמשך הדרך.
    אתה לא דון קישוט חושבני ולמרות המחשבה כי יכול אתה לשנות את העולם אתה אינך
    יכול אתה להיות אחראי על עולמך המצומצם , לשמור ולהגן עליו מכל פולש באשר הוא תוך כדי שמירה על הלחם והחמאה שלך
    יש לי הרגשה עמומה שאם האירוע היה טראומתי יותר ובעייתי ממה שתואר היית נוקט אחרת ופועל ומדווח למי שצריך
    טוב עשית נדמה לי , אני מקווה כי אתה חי בשלום עם מעשיך , כי באם לאו….

  2. סיפור יפה…
    אני חושב שזה מדגים מצוין את כל הבעיה היסודית של אבטחת המידע: המשתמשים 🙂
    אפשר להציב אלף מנגנוני הגנה כנגד קוד זדוני, אבל בסופו של דבר זהו מאמץ
    חסר תועלת בטווח הארוך: המשתמשים יעקפו את מנגנוני ההגנה בעצמם. משתמשים רוצים
    מידע, והצלחת הניסיונות למנוע מהם גישה אל המידע שהם רוצים תלויה באופן ישיר
    במוטיבציה שלהם להשיג את המידע הזה. במקרה הזה, הבחור רצה להוריד משהו מ-emule,
    וזה היה חשוב לו יותר מכל דבר אחר…
    פוסט מרתק!
    רן

  3. אני מניח שזה לא ארגון רגלוטורי – שם אבטחת מידע לא כפופה לתשתיות
    בארגון היררכי – תמיד(כמעט) החזקים שורדים

  4. איתן, מבלי להכנס לפרטי המקרה הספציפי הזה שאני לא מכיר, אני
    יכול לומר שני דברים.
    א. מניסיוני, אין הגבלת הרשאה שאי אפשר לעקוף, אם מישהו מאוד מאוד רוצה.
    ואם יש הגבלה כזו, היא כנראה כל כך מגבילה שהיא קרוב לוודאי הופכת
    את המחשב לבלתי שמיש לצרכים מעשיים.
    ב. במקרה של אבטחת מחשבים, אחוזים גבוהים זה לא מספיק. די במשתמש
    אחד, שיחדיר תוכנה זדונית אחת, לתוך מחשב אחד ברשת. האבטחה צריכה להיות מושלמת במאת האחוזים, כי ברגע שנעשתה החדירה- יש פוטנציאל לנזק חמור, ומכאן זה רק
    עניין של מזל.

    רן

  5. עמוס, תבדיל בין תמימות לבין ערכיות. כאמור, האיש כבר היה מוכר לי עוד לפני המקרה הזה כבעייתי. בעיניי, לא ייתכן מצב שבו מנהל אבטחת מידע מבצע דברים המנוגדים ישירות לאג'נדה של תפקידו, כאשר עובדים אחרים שעשו מעשים כאלו מקבלים ריג'קטים מאוד ברורים ופומביים, בהנחייתו, בידיעתו ובגיבויו. מקרה כזה מעיד יותר מכל דבר אחר שהאיש לא באמת הפנים את מהות תפקידו ואת החובות וההגבלות האישיות המתלוות לתפקיד הזה.
    אני בהחלט לא מנסה לשנות את כל העולם, אבל החברה שילמה לי בכדי לקיים ולקדם את אבטחת המידע בארגון, זו "הפינה" שאני הייתי מופקד עליה, לצערי במקרה זה ובאחרים לא היה ממש שיתוף פעולה מלמעלה, שלא לומר להיפך.
    ברור שאם המקרה היה חמור יותר הייתי ממשיך במעלה ההיררכיה הארגונית.
    עשיתי את מה שאיזן בין המצפון המקצועי שלי לבין ידיעתי מה יכולת ההשפעה שלי בחברה. אני שלם עם מעשיי.

    רן, אני לא מסכים. שים לב, למנהל היו הרשאות ניהול במחשב שלו ולכן בכלל היה יכול להתקין את התוכנה. יש הרבה מה לעשות בכדי להגביל משתמשים והתהליך בהחלט אינו אבוד מראש, גם לטווח הארוך. נכון שאין 100% אבל האחוזים בהחלט גבוהים.

  6. היי,
    יופי של פוסט, אני בטוח שאם נעשה סקר קצרצר בין קוראי האתר אפילו ברור לי שרבים נוספים נתקלו בבעיה.
    גם המנהלים הגבוהים ביותר מסתכלים על הנוחיות שלהם והרצון לעבוד כציפור חופשית למרות שהם אלו הממונים על אבטחת מידע.
    אני חושב שגרוע מכך הוא לראות מחשב של מנכ"ל או אדם בכיר אחר המגיע לעשות מצגת בפני עובדים או לקוח ועל הדסקטופ שלו יש אייקון של אימייול או משהו בסגנון – בארגון שבו הוא זה שאמור לשמש דוגמא לכלל העובדים.

    הכל מתחיל ונגמר במודעות ובהבנה – הטכנולוגיה תעמיד תעקף.

    האם יש פה עוד מישהו שנתקל בתופעה דומה ?
    חיים ציבוטרו
    http://chibotero.blogspot.com –> iPhones in Israel & more

  7. את התמימות שלך כבר הזכירו. היא יפה עד גבול מסוים. אני מסתכל על חוסר המקצועיות של האיש. היה צריך להבין למה הוא חסום או לחילוין לפעול להסרת החסימה.

  8. כנראה שאני מפספס משהו, עמוס ואבי. בבקשה תסבירו לי את התמימות שלי. תפרטו, שאלמד משהו.

  9. בהרבה ארגונים יש בעלי תפקיד שבטוחים שחוקי הארגון לא נוצרו עבורם. יש גם מקרים רבים מתועדיםם וכאלו שאינם מתועדים, בהם בעלי תפקיד שלטוני בטוחים שחוקי המדינה לא נועדו עבורם. גם אתה בחרת לא להגיב בצורה המקובלת אם אותו בעל תפקיד. גם המדינה בוחרת (לפעמים) להקל בעדות שקר ששל שר כזה או אחר, באותו מקום בו אתה או אני היינו חוטפים את מירב העונש.. זה העולם. אם אתה לא מכיר בזה – אתה תמים.

  10. תודה על ההבהרה אבי. בהחלט מכיר בזה אבל מנסה, ככל שאני יכול, להילחם בזה. אני לא תמים כי אני מכיר בבעיה, אבל בהחלט מודה בתמימות בניסיון להילחם בה, ככל שאני יכול.

  11. במקרים של בכירים שעושים שטויות מהסוג המצויין למעלה , אני נוקט לעיתים בשיטת "הניפוח המדומה".
    כך אני מגייס את כל הנפשות הפועלות לפעולה ובאותה נשימה מעצים את נושא אבטחת המידע.
    הטריק הוא פשוט :

    יש להוריד את האשמה מהבכיר בכדי לקבל שיתוף פעולה חיובי כלומר, אני פונה אליו כאשר הבעיה שאני מציג היא ש"הותקן" אצלו כנראה דרך וירוס או גורם לא ידוע אחר ( האקר? ,עובד ממורמר?הילד שלו שעבד על הנייד?) רכיב תקשורת P2P חשוד . באותה נשימה אני מודיע לו כי העלתי מעט "כוננות" וותקשרתי את האירוע לצוותים אחרים ( אם בארזים נפלה שלהבת…) ,לבדיקה של תופעות ברשת ושאר ירקות ,מבקש ממנו שיסיר את ההתקנה בכדי שאוכל לבדוק האם קיימים רכיבים נוספים שהותקנו על המחשב שלו ועדיין מנסים "לצאת".
    תתפלא כמה בכירים ישתפו איתך פעולה ויתכן כי יהיו לוביסטים שלך בעתיד לשלל ההקשחות שאת מתכננן למרות שהם יודעים בליבם כי הם הם אלו שהתקינו את ה EMULE
    וגם אם לא – אני בטוח שלא יתקינו בשנית.

  12. רעיון חביב c00p, אבל לא מתאים למנהל אבטחת המידע עצמו… הוא איש טכני והוא ידע טוב מאוד מה הוא עשה. אין טעם במשחקים עימו. אני מקווה שהוא לפחות קצת התבאס שהתקשרתי אליו בנושא ואולי קצת חשש שאעשה מזה רעש על חשבונו (מה שלא קרה).

  13. שלום ידידי,
    טוב עשית שלא דיווחת למנהל האגף, הרי כמו שחשבת, לא היה יוצא מזה כלום, להיפך, היו רואים בך כמי שמנסה לפגוע בחברה.
    הרבה מאוד אנשים מנסים "להפיל" את אותה שרשרת ניהול מברזל אך לשווא. הם יושבים מאוד "חזק" על הכיסאות שלהם וכל מי שמנסה להרים את הראש "חוטף" מכה. במקרה הטוב יפטרו אותו ולא יסתכלו אפילו לכיוון שלו, לא משנה כמה הוא תרם וכמה הוא פעל למען החברה.
    בכל אופן, כמי שמכיר אותך באופן אישי, אני יודע שאתה איש גאון באבטחת מידע ובמקום הבא אליו תגיע תנהל את העיניינים בצורה הטובה ביותר.

  14. איתן שלום,
    אני שמח שחזרת לעדכן את הבלוג, כיף לקרוא פוסטים שלך.
    לגבי הסוגיה שציינת מאחר וגם אני נתקלתי באותה סיטואציה בדיוק אני מבין אותך ואת תחושתיך עד מאוד.
    מעבר לכך , במקרה שלי אותו בוס היה מוריד גם קבצי Keygen לכל מיני אפליקציות.
    יחסי העבודה שלי היו עימו מקצועיים מאוד כולל טיפול בתקריות אבטחת מידע (incident handling)
    ואף יחסי האנוש היו מצויינים.
    מעבר לשיחות איתו שלא הועילו ,מצגות שהכנתי ,כתיבת דוחות והערכת סיכונים ,לא היה ניתן לעשות יותר מידי שכן המומנה עליו היה סמנכ"ל תפעול שלא היה איכפת לו יותר מידי ,במיוחד בתאגיד עולמי של ייצור ששם איכפת המשלוחים,הכמות , הייצור ולא עוד איזה איש שמוריד CRACKS (כולנו יודעים מה המשעויות של תולעת שמתפשטת לך במערכת SCADA).
    לאחר שגם איש אבטחת מידע נוסף העביר את הממצאים במייל בתפוצת נאט"ו , לא הייתה כל התייחסות מצד ההנהלה הבכירה מאחר והעריכו את אותו מנמ"ר מאוד.
    בסופו של דבר לא יכולתי עוד עם גישה זו והגשתי מכתב סיום יחסי עובד מעביד.
    אין מה לעשות,לפעמים הפוליטיקה הארגונית חזקה יותר מכל טכנולוגיה קיימת.
    אני בטוח שאם תבצע כאן סקר ותשאל כמה פעמים בחיים שלכם נאלצתם לפתוח הרשאה כלשהי\גישה למדיה מגנטית לאדם שלא הגיש שום טופס מסודר,שהוא לא באמת צריך את זה,שזה סתם סיכון אבטחה מיותר רק בגלל שהבוס שלכם מקושר איתו ורוצה ליצור יחסי ציבור על חשבונכם?
    מענין אותי מה יהיו התוצאות אני מאוד סקרן.

  15. איתן יקירי,
    כאחד שמכיר את הנפשות הפועלות,אני חייב להגיד שלא "נפלתי מהכיסא" מהמקרה.
    כאדם נורמטיוי ובעל משפחה מחד וכאדם בעל עקרונות ומצפון מאידך,אני בטוח שנלחמת בעצמך איך להגיב.
    לא היית מציל את העולם,ולא היית מחנך את אותו "עבריין",פעם הבאה הוא לא יחדל אלה רק יהיה יותר חכם וזהיר לא להיתפס.
    אני מאחל לך הצלחה ובריאות לך ולמשפחה.
    חבר.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *