Web Analytics

הבנקים קיבלו תוספת תקנים למחלקת אבטחת המידע…

לפני כחודש בערך פנה אלי כתב TheMarker, גיא גרימלנד, בבקשה לקבלת תגובה למעצרו של אהוד טננבאום, ה"אנלייזר", בקנדה, באשמת גניבת כספים על ידי פריצה למאגרי מידע.

גיא הגיע לנושא דרך סדרת כתבות של מגזין Wired האמריקאי שעשה עבודה עיתונאית טובה במעקב אחר התפתחות המקרה הזה. בכתבה המרכזית של Wired בנושא יש קישור לקובץ PDF שהוא תצהיר של השוטר הקנדי המפרט כיצד נחשפה הפרשה – מומלץ ביותר לקרוא PDF זה (קצת מטושטש אבל קריא ובאנגלית קלה, עשרה עמודים), בכדי ללמוד מעט על אופן ביצוע איסוף ראיות ממוחשב במקרה פלילי עדכני.
בינתיים הוחלט שהוא יוסגר, כצפוי, לארה"ב.

לכתבה נכנסו רק חלק מהדברים שכתבתי לגיא, ומכיוון שאני מעדיף "להביא דברים בשם אומרם" ובמלואם, אני מצטט כאן את דברי אל גיא במלואם:

"
1.    צריך לזכור שהתצהיר של השוטר הקנדי הוא מספטמבר 2008, שזה חצי שנה אחורה ולא ברור מה קרה מאז.
לפי אתר קנדי המשטרה עדיין בודקת את המחשבים והדיון הבא צריך היה להיות ב-26.3 + דיון בהסגרה לארה"ב שעתיד להיות ב-7.5.

2.אגב, יש לו עמוד בפייסבוק.

3.    מצאתי גם את זה, גם מ-WIRED, מה-27.10.08, כתב האישום של האמריקאים (PDF).

4.    כל מה שאני כותב, וצריך לרשום זאת בכתבה כהסתייגות, הוא בתנאי שהתצהיר, שלמעשה מתבסס על מידע שברובו הגיע מארה"ב – הוא אמת, כל האמת ורק אמת. תזכור שלאמריקאים יש אינטרס לדפוק אותו.

5.    למה הוא לא התנהג בזהירות? (סימנים, לא סיבות)
5.1.    בתור מי שפרץ למחשבים של הפנטגון, הוא היה צריך להניח שהאמריקאים יחפשו אותו בכל מקום ורק ינסו לתפוס אותו. אם הוא יוסגר ויישפט למאסר, הוא יצטרך להגיד תודה שסוגרים את גוואנטנמו…
לא יהיה לגמרי מופרך, אם כי זו השערה בלבד – שהם חיפשו אותו והיו במעקב עליו לאורך זמן. גם לא בלתי-אפשרי שהם מפלילים אותו בהאשמות אלו, במלואן או בחלקן, בלי שהוא אשם באמת (סיכוי נמוך למדי). הוא היה צריך להיזהר ולהימנע מלתקוף יעדים של ארה"ב.
5.2.    הוא פעל ממדינה קרובה לארה"ב (ותזכור שזה התחיל באישומים על פעילות שלו כנגד מוסדות פיננסיים בקנדה, ורק אח"כ הגיעו האישומים לגבי ארה"ב), שלארה"ב נוח לעבוד בה ומן הסתם יש לה הסכם הסגרה עם ארה"ב. וזה כנראה מה שיקרה.
5.2.1.    שים לב שמי שעל פי הקובץ, מי שביצע את החקירה זה השירות החשאי של ממשלת ארה"ב. נהוג לחשוב, וזה כנראה היה נכון בלעדית בעבר – שהם אחראי על אבטחת מנהיגי ארה"ב. אבל אם תראה את הגדרת המשימה שלהם, כיום המשימה שמוגדרת להם ראשונה היא הגנה על התשתיות הפיננסיות הקריטיות של ארה"ב, ולכן הם כנראה אלו שהובילו את החקירה. הם מבינים שפעילות פלילית מרמה וכמות מסוימת ומעלה שקולה לפעילות טרור שיכולה לערער את הסדר הכלכלי-חברתי (ראה המשבר הכלכלי של היום), ולכן נותנים לה עדיפות שבעבר אולי היתה נגמרת מקסימום ברמה הלאומית/פדרלית ע"י ה-FBI. הטיפול ע"י ה-USSS מראה את רמת החשיבות שהם מייחסים לנושא.
5.3.    הוא אמנם השתמש בשני שרתי PROXY בכדי לבצע את ההתקפות (סוג של ניסיון להימנע מגילוי) ולא ביצע אותן ישירות מהמחשב/חיבור אינטרנט שלו, אבל אלו לא שרתים שנותנים מחסה מסוים לפעילויות פליליות, אלא שרתים של ספק מרכזי בהולנד, שכמו שראינו – שיתף פעולה עם ארה"ב ומסר את כתובת ה-IP שלו. יש שרתי PROXY שממוקמים, פיזית, במדינות שבהן חוקי המחשב חלשים או בלתי-קיימים ו/או המדינות הללו אויבות או אינן משתפות פעולה עם ארה"ב – ולכן בד"כ נעזרים בהם לבצע פעילות פלילית, בכדי להקשות עד למנוע את איתור מקור ההתקפה האמיתי.
אפשרות אחרת היא להשתלט על מחשב תמים ולא מוגן באינטרנט ולבצע ממנו את הפעולה (או כמה כאלה, וליצור רשת BOTS/בוטים).
במקרים כאלו יש סיכוי גבוה שהצד המותקף ינסה לתקוף ולחדור למחשבים המשמשים כשרתי ההתקפה – בכדי לאסוף מהם עדויות ו/או להפסיק את פעילותם.
עובדה שבסוף הם הצליחו להצליב שימושים שונים בכתובת IP אחת – ביצוע ההתקפות והזדהות על בסיס כתובת הדוא"ל עם הכינוי שלו, וכתובת ה-IP הזו היא שלו על פי אישור ספק האינטרנט שלו.
5.4.    הוא קיים תקשורת IM ודוא"ל מול קולגות באופן לא מוצפן ובכך למעשה הפליל את עצמו כאשר סיפר על כל הפעולות שביצע. הוא מן הסתם ינסה לטעון במשפט שלו שהוא סתם התרברב, אבל אם באמת היו פעולות כאלו – הוא קשר עצמו אליהן באופן ישיר והוא יורשע כמעט בוודאות ובמהירות.
5.5.    הוא השתמש בכינוי הידוע שלו, אנלייזר, בכתובת הדוא"ל שעל בסיסה ביצע את שיחות ה-IM, וכאמור, הצליבו את כתובת ה-IP שלו כמי שנכנס והשתמש בכתובת זו.
הוא גם נרשם לכתובת דוא"ל זו עם תאריך הלידה שלו.
5.6.    לפי מה שכתוב בכתבה – גם צילמו אותו פעם אחת מצלמות אבטחה בזמן שהוא משך מזומן באמצעות אחד מכרטיסי המזומן של אחת מהחברות שפרץ אליהן.

6.    לגבי החברות המותקפות
6.1.    התקפת הזרקת SQL היא התקפה מאוד ותיקה, ידועה ויעילה לבצע קריאה, כתיבה, מחיקה ושינוי על מסדי נתונים דרך כתובות URL על בסיס HTTP. אתרים רבים, מן הסתם בייחוד פיננסיים, חייבים לעבוד באמצעות מסדי נתונים, גם כאשר מדובר ביישומי WEB גדולים מבוססי HTTP. יש מגוון אמצעי מניעה יעילים וותיקים לא פחות שיכולים למנוע את ההתקפות האלו, אשר נקראים WAF, כלומר Web Application Firewall. למשל, חברה ישראלית מובילה בתחום היא IMPERVA. ההגנות האלו יודעות להבדיל בין URLים תקינים של האתר לבין כאלו שמייצגים פקודות SQL (השפה המשמשת לתפעול מסדי נתונים) זדוניות.
מוסדות פיננסיים, שמן הסתם יש להם כסף להגנות מסוג זה ולהטמעתן, שלא משתמשים בהגנות אלו, הם פשוט רשלנים בצורה פושעת.
6.2.    ראיתי שחלק מהמוסדות שנפרצו טוענים שהם עומדים בתקן האבט"מ למוסדות פיננסיים, PCI‏.
PCI מכסה את נושא הזרקת ה-SQL, כך שהמוסדות האלו כנראה לא באמת עמדו בתקן. אז כמו שאמרתי, מגיע להם.
תקנים הם הרבה פעמים כסת"ח ולא הגנה אמיתית.
6.3.    בנוסף, שים לב שבתצהיר של השוטר הקנדי רשום שחברת SYMMETREX הודתה שנפרצה ע"י הזרקת SQL, אולם מצד שני דובר החברה הגיב בכתבה שלא ידוע לו על פריצה… מישהו משקר.

אז מסתבר ששני הצדדים לא עבדו כמו שצריך, ושניהם אכלו/יאכלו אותה בגלל זה.

"

מה אני רוצה להדגיש כאן?- את סעיף 5.2.1 לעיל. מה פתאום השירות החשאי, שעד לא מזמן היה "כולה" "שומר הראש" של ראשי המדינה ואורחיה, הפך להיות אחראי-העל להגנת המוסדות הפיננסיים של ארה"ב?
הגנת תשתיות קריטיות. האמריקאים הבינו שהגבול בין פשע לטרור נפרץ, היטשטש.

בעידן שלנו, שליחידים יש יכולות טכנולוגיות שבעבר היו נתונות רק בידי ארגונים גדולים,  פשע, גם אם מטרתו רווח בלבד, יכול להידרדר לפגיעה קריטית במדינה. פשע יכול להיות הבסיס להשגת משאבים לפיגוע טרור. זה כבר לא משנה איך קוראים לזה. משנה התוצאה. והיא יכולה להיות הרסנית.
הרי היו בודדים שהפילו מוסדות פיננסיים, גם אם היה מדובר באירועים שהם יותר ניהול סיכונים לקוי מאשר אבטחת מידע גולמית – כגון אתי אלון ב"בנק למסחר" או Nick Leeson שמוטט את בנק ההשקעות הוותיק ביותר בבריטניה, Barings Bank.

אם ננסה לחשוב על זה באופן הגיוני, האם האמריקאים לא over reacted במקרה הזה? זה כמו שפורץ לחנות המכולת פתאום יגלה שאלו לא השוטרים השמנמנים עם הדונאטס שמקיפים אותו אלא כוחות ימ"מ מיומנים וחסרי פשרות שרק מחכים שינסה להתחכם. ה-FBI לא היה מספיק במקרה הזה? הרי "כולה" האיש פרץ לחברת אשראי וקצת העלה את רף המשיכה של הכרטיסים. מה כבר יכול לקרות בגלל זה?

ההשערה שלי היא שהאמריקאים החליטו לעבוד באופן עקרוני בלי חוכמות. שגם עם כל המידע שיש להם בעקבות חקירה – הם לא יודעים בוודאות מה הכוונה, עד איפה זה הגיע ומה המטרות הסופיות; וכאשר יש ספק – אין ספק, ולכן הם מעדיפים מניעה קלה בשלב מוקדם מאשר תיקון נזקים בשלב מאוחר, שמי יודע עד לאיזה עוצמות הם יגיעו. במינימום זה ייגמר כפשע רגיל, במקסימום הם הגנו לא רק על מוסדות פיננסיים, אלא כמו שאנו רואים כעת במשבר הכלכלי הנוכחי – הם למעשה הגנו על הסדר החברתי, כי למוסדות הפיננסיים יש השפעה אדירה על החיים שלנו בכל רגע נתון ובעתיד הנראה לעין.

אז מה נזכרתי בזה עכשיו? גם אצלנו יש התעוררות דומה.
ב"גלובס" פורסם לפני חודש ש"הבנקים ישתפו פעולה עם השב"כ בתחום אבטחת מידע". שב"כ מן הסתם נקרא רא"ם (הרשות הלאומית הממלכתית לאבטחת מידע, הפועלת כחלק מהשב"כ ותפקידה הגנה על תשתיות קריטיות בהיבטי תקשוב).
(בהנחה ורא"ם החלה לפעול בשנת 2005 (השערה שלי, על פי הקישור העדכני מבין השניים לעיל), הרי שזה נראה לי קצת איטי להגיע לבנקים רק כעת. אבל מי אני שאבקר את קצב ההתנהלות של ארגון ממשלתי)

כרגע מדובר רק על דיווח לשב"כ, דרך הפיקוח על הבנקים בבנק ישראל, על אירועים חריגים ותקלות (גם תפעוליות?).
אבל ברמיזא, בכתבה, שהיא מן הסתם בעיקר ציטוט של הידיעה שנמסרה מבנק ישראל, מוזכר שהחוק מאפשר לרא"ם לא רק לקבל דיווחים, אלא גם להנחות מקצועית את הבנקים באופן ביצוע אבטחת המידע במערכות שלהם. רמז להמשך? אני לא אתפלא.

(אני מקווה שפרסום הידיעה הזו, בעיתוי הזה, לא קשור בצורה כלשהי לסיבות בגינן בנק ישראל דורש מדני דנקר, יו"ר בנק הפועלים, לעזוב את תפקידו…)

.

Join the Conversation

10 Comments

  1. א. אני מזכיר שכבר בפשיטה הגדולה על ה"האקרים" בתחילת שנות השמונים, היה לבולשת חלק משמעותי, כך שמבחינה זו אין הרבה חדש.

    ב. לגבי ההקשר הישראלי, אני חושש שלמרות שאפשר להעלות ספקולציות, ולמרות שהרשויות (כנראה) מוכנות לקחת אחריות על כל מה שיתנו להן, כרגע (למיטב הבנתי) החוק לא מאפשר לראם להנחות את הבנקים. לא במקרה התנסח המפקח על הבנקים בלשון של בקשה (האם ראית את הנוסח?).

    ג. האם הנחיה של עוד רגולטור תשפר את מצב אבטחת המידע של המוסדות הפיננסיים, הכורעים תחת הרגולציה גם ככה? אני לא בטוח…

  2. שלום ישי,

    א. שים לב שהחידוש פה הוא השירות החשאי ולא הבולשת.

    ב. הניסוח מגיע מהכתבה: "עוד מסבירים בבנק ישראל כי הרשות לאבטחת מידע בשב"כ רשאית בתוקף חוק לתת הנחיות מקצועיות בכל הנוגע לפעולות אבטחה, בקרה ודיווח במערכות ממוחשבות חיוניות." . קשה לי להאמין שהם אומרים דברים בעלמא. ככל שזכור לי יש להם את הזכות הזו. דווקא במקום שאתה נמצא, אני מציע לך לבקש מהמחלקה המשפטית לברר את הנושא, לפני שרא"ם יצלצלו אצלך בדלת… (אם כי לא בטוח שאתה נחשב ארגון קריטי, אלא רק הבנקים ואולי הביטוח. אני צריך למצוא את ההוראות השלטוניות המדויקות).

    ג. הרגולציה הגיעה לעולם מסיבה אחת עיקרית, לדעתי. המצב בשטח היה (עדיין?) גרוע והממשל לא היה יכול להרשות לעצמו לגופים שהם אמנם פרטיים אבל בעלי חשיבות ציבורית – להשגיח על ההגנות שהם מקיימים (או לא) על עצמם.
    הרי אם אתה עושה את הדברים נכון, אז זה לא שאתה עושה אותם פעמיים בגלל עודף רגולציה, אלא אתה רק צריך להסביר אותם לשני גופים שונים. העשייה היא אחת.
    ככל שהגוף יותר גדול ויותר חשוב – תהיה לו יותר רגולציה, אין מה לעשות, זה חלק מהמשחק.

  3. מעניין מאד. פספסתי את את הכתבה על הבנקים והשב"כ קודם לכן. הנושא לא לגמרי חדש ומדברים על כך שנים (גם אני) שהבנקים הם בעצם חלק מתשתית לאומית קריטית, שעל פי חוק, רא"ם אמונה על אבטחתה. אם כי לפי החוק כיום ורשימת הגופים שמוגדרים כתשתיות מידע קריטיות, הבנקים עדיין אינם שם רשמית ולכן צודק ישי שיש פה כנראה יותר שת"פ מרצון בשלב זה. אם כי כנראה לא ירחק היום… אני אגב לא בטוח אם זה טוב לטווח הארוך. כלומר זה אולי טוב מבחינת אבטחת מידע, אבל האם זה נכון מבחינה דמוקרטית? אני מסופק מאד.

  4. איתן,

    ראשית, על פי נוסח המכתב של המפקח, השב"כ רשאי לתת הנחיות למערכות ממוחשבות חיוניות. אם היה המפקח חושב שמערכות הבנקים הן חיוניות (על פי ההגדרה), הוא לא היה פונה לבנקים. רא"מ בעצמם היו פונים ללא כל בקשה, ומודיעים שהם באים לביקורת.

    כך או אחרת, לא אוכל לשנות את המצב. אם יצליח השב"כ לשים את ידו על הבנקים, לא אוכל לעשות כלום בעניין אלא לציית לחוק.

    ולגופו של רגולטור. מכיוון שאני עוסק בעניין שנים, וגם היום נתון לרגולציות שונות, אני יכול לומר שללא ספק חלק מעלויות הרגולציה אינן יעילות ואינן מתאימות לניהול משאבים נכון. כל הארגונים הנתונים לרגולציה מבזבזים כסף על ענייני רגולציה וגם על כאלה שבגללם אין כסף לטפל בבעיות חשובות יותר.

    כאשר הרגולטור נותן לארגון לקבל החלטות, ודורש מההנהלה לתת דין וחשבון על החלטותיה, הרי שהארגון יכול להחליט מה מתאים לניהול הסיכונים שלו. כאשר הרגולטור מתערב ומחליט כל כמה שנים צריך לבצע סקר בטיחות, או איך מותר או אסור לקבל הוראות מלקוחות, הרי שהארגון לא יכול לקבל את ההחלטות בנושא ונאלץ לבצע את הדרוש ממנו.

    יחד עם זאת, אני לא מתעלם מהתפקיד החשוב שהרגולטור עושה בשירות האזרח, כשומר על האינטרסים שלו.

    הייתי רוצה לקוות שאולי יום אחד הרגולטור יוכל באמת להוביל ל"שיפור היערכותם של התאגידים הבנקאיים בתחום אבטחת מערכות המחשב", כפי שאומר המפקח במכתבו. מה שבודאי לא יקרה כתוצאה מזה שאני אעביר מידע לשב"כ על תקלות במערכות שלי…

  5. היי שי,

    באמת חשבתי על הקטע הזה שרא"ם לא הגיעו ישירות לבנקים אלא דרך הפיקוח. זו שאלה מעניינת שכנראה לא תהיה לנו תשובה עליה, אבל לדעתי הם עשו זאת בכוונה, אולי דווקא בגלל הטענות של עודף פיקוח, ובגלל שהבנקים רגילים כבר לגורם מפקח אחד, מבנק ישראל, יהיה להם נוח להמשיך לעבוד בנושא זה מולו, גם אם מאחורה רא"ם מנווט בעדינות. אחרת הבנקים היו צריכים לתת תשובות גם לבנק ישראל וגם לרא"ם וזה מעמיס. אפשרות נוספת היא שהפיקוח רוצה יותר פיקוח הדוק יותר ומסתייע ברא"ם כ"סוס טרויאני" על פי חוק… (-;

    אין ספק שלכל ארגון מפוקח יש את סדרי העדיפויות שלו מבחינת אבט"מ והם לא בהכרח (או בהכרח לא…) חופפים לאלו של הרגולטור, שיותר מגיע מהכיוון של הגדרות כלליות/יועציות ופחות מהחיים האמיתיים, אבל זה נכון לכל אספקט בחיים: לכל אזרח נוח לעשות דברים בצורה מסוימת אבל יש חוקים וגורמי פיקוח שמגבילים אותו בכדי לשמור על החברה בכללותה.

  6. זה מאד תלוי איזה רגולטור. דווקא רגולציה בנקאית כמו 357 או הוראת המפקח על הביטוח (גילוי נאות – הייתי שותף לשכתובה וליצירת הגרסה הסופית), על כל חסרונותיהן, הן לדעתי רגולציות טובות מכיון שהן מעשיות מאד ונותנות סט כלים ודרישות מוגדר למנהל אבטחת מידע וגורמי הטכנולוגיה. לעומת זאת רגולציות כמו SOX שאין בו אפילו מילה אחת על מערכות מידע והכל זה פרשנות של חברות היעוץ הגדולות שגוזרות מזה קופון (והן אלה שמלכתחילה הביאו למשבר שהוליד את ה SOX…) – שם הרגולציה היא יותר הצהרתית בעיני, אם כי תלוי בבודקים. לגבי ISO 27001, זו בדיחה עצובה בעיני.

  7. איתן,

    אני די משוכנע שהאופציה השניה שהצעת לגבי רא"ם היא הנכונה. אני משוכנע שהם היו רוצים להיות רגולטור גם של המערכת הפיננסית (עוד תקנים!), אבל הם לא.
    לא ברור לי למה המפקח משתף פעולה איתם, כאשר לא ברורה בכלל התועלת במהלך הנוכחי לשיפור אבטחת המידע של אף אחד.

    לגבי 357 – זה מה יש. יש יתרונות וחסרונות. קצת מפורט מידי לטעמי, אבל אני לא שופט – הרגולציה הזו ותיקה יחסית והיא הצליחה להביא את אבטחת המערכת הפיננסית למקום טוב יותר, ומעבר לכך – הרגולטור לא ישן ולא מזמן הופצה טיוטה בנושא טרור קיברנטי.

    לגבי 27001 – אל תשכח שמדובר בסטנדרט ולא ברגולציה. יש לו גם יתרונות כמו זה שהוא מספיק כללי. מיושן ומבולגן? יתכן.

  8. כמי שחקר ועדיין חוקר באופן משווה כיצד מתבצעת רגולציה של אבטחת מערכות מידע קריטיות אעשה קצת סדר: ראם הינה רגולטור בתחום ההגנה על תשתיות מחשב קריטיות מכוח החוק להסדרת הביטחון בגופים ציבוריים התשנ"ח-1998, בדגש על התוספת הרביעי לחוקת. התוספת, אותה מעדכנים מדי פעם, כוללת 16 גופים, רובם ציבוריים וחלקם פרטיים (למשל בז"נ המופרטת, מד נאוטילוס, הבורסה לניירות ערך). הבנקים אינם כלולים בתוספת הרביעית ולכן אינם מוסדרים על ידי ראם. כלומר, ראם אינם מוסמכים להנחות את הבנקים ולפקח עליהם בפן זה. הסמכות נתונה למפקח על הבנקים (בין השאר, באמצעות הוראות המפקח בנושא אבטחת מידע). זו הסיבה, שראם פנו ראשית למפקח וזה פנה לבנקים, ולא באופן ישיר. עם זאת, להבנתי, במידה ובראם יווכחו שהבנקים אינם עושים די על מנת לאבטח את המערכות שלהם, באופן שעשוי לאיים על הביטחון הלאומי בישראל, הם יפעלו להכניס גם את הבנקים לתוספת הרביעית, דבר שיאפשר להם להיות הרגולטור בנושא של המגזר הבנקאי.
    אגב, גם בארה"ב, לאט לאט, יש זחילה לכיוון של יותר רגולציה על תשתיות קריטיות.
    לגבי השירות החשאי האמריקאי – תפקידו במניעת פגיעה בתשתית הפיננסית האמריקאית (בעיקר דרך פשיעת מחשב) נובע מתפקידו (ומיקומו) ההיסטורי של מניעת פשיעה פיננסית (בהיותו שייך, עד הקמת ה-DHS, למשרד האוצר האמריקאי) ופשיעת מחשב (שרובה פיננסית).

  9. תודה דן על שהארת את עינינו!
    נראה לי שאתה צריך לפתוח בלוג אבט"מ/הגנת תשתיות דחוף… (אלא אם כבר יש לך, ורק שכחת לכתוב כאן את הקישור…)

Leave a comment

האימייל לא יוצג באתר. שדות החובה מסומנים *