לא בטוח – בלוג אבטחת המידע של איתן כספי

אז הנה הגענו לגרסה 2 של "SSL בישראל" (תזכורת, הקובץ).

לצערי אני עדיין רק במגזר הפיננסי הפרטי, כך שהמידע רלוונטי רק לגביו, אם כי מצד שני זה אמור להיות מגזר מוביל בתחום אבטחת המידע, כך שזה סוג של ייצוג לא רע של המצב הלא-טוב.

מה השתנה בגרסה הזו של הקובץ:

1. מספר הרשומות עלה מ-35 ל-203
2. הוספתי טור של "מספר סידורי", כך שלכל רשומה יהיה מספר מזהה ייחודי לאורך כל חיי הרשומה
3. הוספתי טור של Sector, בכדי לסייע במיון וסינון על פי שיוך כללי של האתר – למשל, ציבורי, ממשלתי ופרטי
4. הוספתי 3 טורים שנוגעים לתעודה הדיגיטלית של האתר – האם יש התאמה בין התעודה לשם הדומיין של האתר, האם התעודה בתוקף מבחינת תאריך-זמן והאם נעשה שימוש ב-SHA1 לחתימת מי מהתעודות בשרשרת החיתום של התעודה
5. הוספתי טור המעיד האם נעשה שימוש ב-Cipherים חלשים/ישנים
6. הוספתי טור בשם ?Other Known Vulnerability by the report  אשר נועד ליידע אודות פגיעויות שונות שנמצאו בדו"ח הבדיקה או מעבר לכך (כגון שהתוכן של שורש האתר הוא עמוד הזדהות לכניסה אל ניהול המערכת שבאתר)
7. הורדתי את הטור של HSTS, החלטתי שזה פרמטר לא מספיק חשוב
8. הוספתי גיליון בשם Disclosures שבו אני מנהל את הדיווחים לבעלי האתרים על פגיעויות שנמצאו באתר על פי הדו"ח. שימו לב – Vulnerabilities, לא סתם ציון נמוך (כאלה, ברוך השם, לא חסרים…)
9. הוספתי גיליון בשם Security Contacts, אשר מפרט כיצד ואל מי יש/ניתן לדווח על פגיעויות במערכת/אתר של הארגון שהוא בעל האתר
10. הוספתי גיליון בשם Matrix – Archive אשר אליו אני מעביר אתרים שהפסיקו להיות רלוונטיים לבדיקה – כגון אתרים שכבר אין להם יותר רשומת DNS או שגישת ה-HTTPS אליהם נסגרה
11. הוספתי גיליון בשם Stats – Grades המכיל טבלת סטטיסטיקות על הציונים שבטבלה הראשית
12. הוספתי גיליון בשם Pivot Chart – Grades, שהוא טבלת ציר דינמית שמתבססת על הגיליון שמוזכר בסעיף הקודם לעיל
13. הוספתי גיליון בשם Stats – Protocols – Singles, שהוא טבלה המפרטת את התפלגות השימוש בכל מופע ייחודי של פרוטוקול הצפנה, למשל SSL, גרסה 2, פעיל/לא-פעיל או TLS, גרסה 1.1, פעיל/לא-פעיל
14. הוספתי גיליון בשם Pivot – Protocols – Singles, שהוא טבלת ציר דינמית שמתבססת על הגיליון שמוזכר בסעיף הקודם לעיל
15. הוספתי גיליון בשם Stats – Protocols-Combinations, שכולל טבלה ותרשים של התפלגות קבוצות הפרוטוקולים אשר מהוות הטמעה מלאה של SSL באתר, כגון SSL מגרסאות 2 ו-3 לא פעילים וכל הגרסאות של TLS כן פעילות

מספר תובנות מהתהליך:

תובנות טכניות:

1. הציונים שמבחינתי מספקים, כלומר A או +A מהווים ביחד רק 18% מכלל האתרים (16% ו-2% בהתאמה), שזה כמובן מצב לא טוב כי 82% הם בעלי ציון פחות מהרצוי
2. רוב האתרים בעלי ציון פחות מרצוי קיבלו ציון C ‏(29%)
3. עדיין יש אתרים שמפעילים SSL מגרסה 3, 6 כאלו, 1% מהאתרים שנבדקו
4. בצד החיובי לא נמצא שימוש ב-SSL מגרסה 2…
5. TLS מגרסה 1.0 הוא הפופולרי ביותר מבין הגרסאות של TLS ויש לא מעטים שמסתפקים רק בגרסה זו מתוך שלושת הגרסאות של TLS
6. שני שלישים מהאתרים (66.33%, 130 אתרים) משתמשים בצירוף הקלאסי של בלי SSL בכלל וכל שלושת הגרסאות של TLS
7. הקבוצה הבאה היא במרחק רב, רק 18.37% – 36 אתרים, והיא מפעילה אך ורק TLS מגרסה 1.0, בלי שום TLS אחר ובלי SSL כלשהו. למה? אני משער שזה הגדרות ברירת מחדל של מערכות כלשהן, שאיש לא טרח לבדוק ולתקן
8. את המקום השלישי, 5.61% – 11 אתרים, חולקות שתי קבוצות: באחת מופעלים רק TLS מגרסה 1.0 ו-1.1. וזהו. ובשניה רק TLS מגרסאות 1.0 ו-1.2. למה? לאלוהי ההצפנה פתרונים. זה מצב שמצביע כנראה על חוסר מחשבה במימוש ההצפנה של האתרים האלו

תובנות תפעוליות/אישיות:

• ככל שאני מתקדם בפרויקט הזה אני מבין כמה טוב שאני עושה אותו. כמה שהמצב בשטח לא משהו בכלל וצריך להאיר אותו
• תהליך הדיווח לארגונים על פגיעויות באתרים שלהם… <אנחה קורעת לב כאן> כמה שהבנקים מפחדים ממידע שלילי אודותיהם. היו לי שתי שיחות טלפון עם איומים מרומזים יותר או פחות. אחת מקולגה שעובד/ת עם הבנקים ורמז/ה לי בעדינות תקיפה שלא עושים דברים כאלו ואי-אפשר לדעת מה יהיו התוצאות של התהליך והוא/היא לא רוצה שאני אפגע מכך וכן הלאה… השיחה הפחות נחמדה היתה עם CISO של בנק ששלחתי לו מידע על בעיה חמורה של חשיפה לאינטרנט, בעיה שהם פתרו מאוד מהר, ואני רק רציתי לוודא שהם בכלל קיבלו את המסר שלי על החשיפה ולכן השגתי את הטלפון שלו והתקשרתי אליו. הוא כבר חצי איים עלי שלא לחשוף את שם הבנק ואת מה שמצאתי, אפילו שהפרצה הזו כבר נחסמה על ידם. כמובן שזה פורסם בגרסה הנ"ל של הקובץ.
• למעט CISO אחד, של חברת כרטיסי אשראי, אף אדם או גורם לא אישר ביוזמתו שהוא קיבל את הדיווח וכמובן – אף אדם או גורם לא אמרו תודה על הדיווח. אותו CISO אף עודד אותי לשלוח אליו עוד ממצאים במידה ואמצא. צדיק יחיד בסדום.
• בעיה אחרת היא היעדר תהליך ייעודי ומסודר מול העולם לקבלת דיווחים אודות בעיות אבטחת מידע על ידי הארגונים שמולם עבדתי. במקסימום יש הפניה לתמיכה הטכנית או שירות הלקוחות, ברוב המקרים בטופס באינטרנט ובחלקן בכתובת מייל, ולעתים גם זה לא. בלא מעט מקרים הייתי צריך לפנות לקולגות ולבקש דרכי קשר אל האנשים הרלוונטיים בארגונים.
  אלוהים, זה לא שביקשתי איזה Bug Bounty עם תשלום, רק עמוד אינטרנט בסגנון "אם מצאת בעית אבטחת מידע – זו המדיניות שלנו להלן, אלו דרכי הפניה אלינו (טלפון, מייל, טופס HTTPS), נשמח לשמוע ממך בהקדם האפשרי, אפשר גם באנונימיות, והיי – הנה גם התעודה הדיגיטלית שלנו, למקרה שתרצה להצפין את המייל שתשלח אלינו, נשמח אם תעשה זאת)", ולאחר מכן שיקיימו תהליך שירות לקוחות מלא של מייל חוזר אוטומטי של "תודה, קיבלנו, הנה מספר הפניה שלך לצורך מעקב. נשוב אליך בתוך X ימי עסקים/קלנדרים" (לדעתי אין כזה דבר ימי עסקים באבט"מ, התוקפים לא עובדים ככה…), ולאחר מכן לשמור על קשר עם המדווח עד לסיום הטיפול

באמת – תבדקו את עצמכם בעצמכם, תתקפו את עצמכם בעצמכם, לפני שמישהו אחר יעשה את זה, וכך תגנו על עצמכם מראש. עדיפה מניעה על פני תיקון.

(עדכון, 18.6.17 – הכנתי פוסטים גם באנגלית אודות הפרויקט, כולל גרסאות 1 ו-2 של הקובץ עד כה. יש פוסט בבלוג האבט"מ שלי באנגלית, וגם יש פוסט בלינקדאין. אתם מוזמנים להפנות למיקומים הנ"ל דוברי אנגלית רלוונטים לנושא. תודה!)