SSL בישראל – גרסה 2

אז הנה הגענו לגרסה 2 של “SSL בישראל” (תזכורת, הקובץ).

לצערי אני עדיין רק במגזר הפיננסי הפרטי, כך שהמידע רלוונטי רק לגביו, אם כי מצד שני זה אמור להיות מגזר מוביל בתחום אבטחת המידע, כך שזה סוג של ייצוג לא רע של המצב הלא-טוב.

מה השתנה בגרסה הזו של הקובץ:

  1. מספר הרשומות עלה מ-35 ל-203
  2. הוספתי טור של “מספר סידורי”, כך שלכל רשומה יהיה מספר מזהה ייחודי לאורך כל חיי הרשומה
  3. הוספתי טור של Sector, בכדי לסייע במיון וסינון על פי שיוך כללי של האתר – למשל, ציבורי, ממשלתי ופרטי
  4. הוספתי 3 טורים שנוגעים לתעודה הדיגיטלית של האתר – האם יש התאמה בין התעודה לשם הדומיין של האתר, האם התעודה בתוקף מבחינת תאריך-זמן והאם נעשה שימוש ב-SHA1 לחתימת מי מהתעודות בשרשרת החיתום של התעודה
  5. הוספתי טור המעיד האם נעשה שימוש ב-Cipherים חלשים/ישנים
  6. הוספתי טור בשם ?Other Known Vulnerability by the report  אשר נועד ליידע אודות פגיעויות שונות שנמצאו בדו”ח הבדיקה או מעבר לכך (כגון שהתוכן של שורש האתר הוא עמוד הזדהות לכניסה אל ניהול המערכת שבאתר)
  7. הורדתי את הטור של HSTS, החלטתי שזה פרמטר לא מספיק חשוב
  8. הוספתי גיליון בשם Disclosures שבו אני מנהל את הדיווחים לבעלי האתרים על פגיעויות שנמצאו באתר על פי הדו”ח. שימו לב – Vulnerabilities, לא סתם ציון נמוך (כאלה, ברוך השם, לא חסרים…)
  9. הוספתי גיליון בשם Security Contacts, אשר מפרט כיצד ואל מי יש/ניתן לדווח על פגיעויות במערכת/אתר של הארגון שהוא בעל האתר
  10. הוספתי גיליון בשם Matrix – Archive אשר אליו אני מעביר אתרים שהפסיקו להיות רלוונטיים לבדיקה – כגון אתרים שכבר אין להם יותר רשומת DNS או שגישת ה-HTTPS אליהם נסגרה
  11. הוספתי גיליון בשם Stats – Grades המכיל טבלת סטטיסטיקות על הציונים שבטבלה הראשית
  12. הוספתי גיליון בשם Pivot Chart – Grades, שהוא טבלת ציר דינמית שמתבססת על הגיליון שמוזכר בסעיף הקודם לעיל
  13. הוספתי גיליון בשם Stats – Protocols – Singles, שהוא טבלה המפרטת את התפלגות השימוש בכל מופע ייחודי של פרוטוקול הצפנה, למשל SSL, גרסה 2, פעיל/לא-פעיל או TLS, גרסה 1.1, פעיל/לא-פעיל
  14. הוספתי גיליון בשם Pivot – Protocols – Singles, שהוא טבלת ציר דינמית שמתבססת על הגיליון שמוזכר בסעיף הקודם לעיל
  15. הוספתי גיליון בשם Stats – Protocols-Combinations, שכולל טבלה ותרשים של התפלגות קבוצות הפרוטוקולים אשר מהוות הטמעה מלאה של SSL באתר, כגון SSL מגרסאות 2 ו-3 לא פעילים וכל הגרסאות של TLS כן פעילות

 

מספר תובנות מהתהליך:

תובנות טכניות:

  1. הציונים שמבחינתי מספקים, כלומר A או +A מהווים ביחד רק 18% מכלל האתרים (16% ו-2% בהתאמה), שזה כמובן מצב לא טוב כי 82% הם בעלי ציון פחות מהרצוי
  2. רוב האתרים בעלי ציון פחות מרצוי קיבלו ציון C ‏(29%)
  3. עדיין יש אתרים שמפעילים SSL מגרסה 3, 6 כאלו, 1% מהאתרים שנבדקו
  4. בצד החיובי לא נמצא שימוש ב-SSL מגרסה 2…
  5. TLS מגרסה 1.0 הוא הפופולרי ביותר מבין הגרסאות של TLS ויש לא מעטים שמסתפקים רק בגרסה זו מתוך שלושת הגרסאות של TLS
  6. שני שלישים מהאתרים (66.33%, 130 אתרים) משתמשים בצירוף הקלאסי של בלי SSL בכלל וכל שלושת הגרסאות של TLS
  7. הקבוצה הבאה היא במרחק רב, רק 18.37% – 36 אתרים, והיא מפעילה אך ורק TLS מגרסה 1.0, בלי שום TLS אחר ובלי SSL כלשהו. למה? אני משער שזה הגדרות ברירת מחדל של מערכות כלשהן, שאיש לא טרח לבדוק ולתקן
  8. את המקום השלישי, 5.61% – 11 אתרים, חולקות שתי קבוצות: באחת מופעלים רק TLS מגרסה 1.0 ו-1.1. וזהו. ובשניה רק TLS מגרסאות 1.0 ו-1.2. למה? לאלוהי ההצפנה פתרונים. זה מצב שמצביע כנראה על חוסר מחשבה במימוש ההצפנה של האתרים האלו

תובנות תפעוליות/אישיות:

  • ככל שאני מתקדם בפרויקט הזה אני מבין כמה טוב שאני עושה אותו. כמה שהמצב בשטח לא משהו בכלל וצריך להאיר אותו
  • תהליך הדיווח לארגונים על פגיעויות באתרים שלהם… <אנחה קורעת לב כאן> כמה שהבנקים מפחדים ממידע שלילי אודותיהם. היו לי שתי שיחות טלפון עם איומים מרומזים יותר או פחות. אחת מקולגה שעובד/ת עם הבנקים ורמז/ה לי בעדינות תקיפה שלא עושים דברים כאלו ואי-אפשר לדעת מה יהיו התוצאות של התהליך והוא/היא לא רוצה שאני אפגע מכך וכן הלאה… השיחה הפחות נחמדה היתה עם CISO של בנק ששלחתי לו מידע על בעיה חמורה של חשיפה לאינטרנט, בעיה שהם פתרו מאוד מהר, ואני רק רציתי לוודא שהם בכלל קיבלו את המסר שלי על החשיפה ולכן השגתי את הטלפון שלו והתקשרתי אליו. הוא כבר חצי איים עלי שלא לחשוף את שם הבנק ואת מה שמצאתי, אפילו שהפרצה הזו כבר נחסמה על ידם. כמובן שזה פורסם בגרסה הנ”ל של הקובץ.
  • למעט CISO אחד, של חברת כרטיסי אשראי, אף אדם או גורם לא אישר ביוזמתו שהוא קיבל את הדיווח וכמובן – אף אדם או גורם לא אמרו תודה על הדיווח. אותו CISO אף עודד אותי לשלוח אליו עוד ממצאים במידה ואמצא. צדיק יחיד בסדום.
  • בעיה אחרת היא היעדר תהליך ייעודי ומסודר מול העולם לקבלת דיווחים אודות בעיות אבטחת מידע על ידי הארגונים שמולם עבדתי. במקסימום יש הפניה לתמיכה הטכנית או שירות הלקוחות, ברוב המקרים בטופס באינטרנט ובחלקן בכתובת מייל, ולעתים גם זה לא. בלא מעט מקרים הייתי צריך לפנות לקולגות ולבקש דרכי קשר אל האנשים הרלוונטיים בארגונים.
    אלוהים, זה לא שביקשתי איזה Bug Bounty עם תשלום, רק עמוד אינטרנט בסגנון “אם מצאת בעית אבטחת מידע – זו המדיניות שלנו להלן, אלו דרכי הפניה אלינו (טלפון, מייל, טופס HTTPS), נשמח לשמוע ממך בהקדם האפשרי, אפשר גם באנונימיות, והיי – הנה גם התעודה הדיגיטלית שלנו, למקרה שתרצה להצפין את המייל שתשלח אלינו, נשמח אם תעשה זאת)”, ולאחר מכן שיקיימו תהליך שירות לקוחות מלא של מייל חוזר אוטומטי של “תודה, קיבלנו, הנה מספר הפניה שלך לצורך מעקב. נשוב אליך בתוך X ימי עסקים/קלנדרים” (לדעתי אין כזה דבר ימי עסקים באבט”מ, התוקפים לא עובדים ככה…), ולאחר מכן לשמור על קשר עם המדווח עד לסיום הטיפול

באמת – תבדקו את עצמכם בעצמכם, תתקפו את עצמכם בעצמכם, לפני שמישהו אחר יעשה את זה, וכך תגנו על עצמכם מראש. עדיפה מניעה על פני תיקון.

(עדכון, 18.6.17 – הכנתי פוסטים גם באנגלית אודות הפרויקט, כולל גרסאות 1 ו-2 של הקובץ עד כה. יש פוסט בבלוג האבט”מ שלי באנגלית, וגם יש פוסט בלינקדאין. אתם מוזמנים להפנות למיקומים הנ”ל דוברי אנגלית רלוונטים לנושא. תודה!)

פסח שמח לאתר מס הכנסה – זמנך עבר

יהיה נחמד אם מישהו שמכיר מישהו שם (או שם או שם) יוכל להודיע להם. תודה.
(ובפעם המיליון – תשימו תזכורת! חודש-חודשיים מראש!)

אגב, זו הזדמנות מצוינת להכיר למי שלא מכיר – הקליקו כאן לקריאת המשך הפוסט…

מספר דברים, גרסת אפריל 2014

כמה דברים שנוספו מאז הפוסט הקודם וכמה שלא הספיקו להכנס לפוסט הקודם:

– אנשי התארגנות Cyber Together שלחו לי קצת יותר מידע על ההתארגנות הזו (ממתין לאישור פרסום בעניין הזה) וגם אישרו לפרסום פומבי את המפגש הקרוב, שיתקיים השבוע:

הקליקו כאן לקריאת המשך הפוסט…

מספר דברים, גרסת מרץ 2014

(כן, עכשיו שמתי לב שהיום הראשון לאפריל… התכנון של הפוסט היה למרץ ובינתיים הזמן עבר. תזרמו אתי…)

– תערוכת InfoSec 2014 של “אנשים ומחשבים” מנסה הפעם להיות מקורית (ביחס לישראל לפחות) ושההרצאות הפעם יהיו (רק? גם?) מטעם הקהל הרחב ולא מטעם החברות המציגות ומגופים ציבוריים/ממשלתיים. התערוכה תהיה ביום חמישי, 15/5/14, באולם הכנסים “אווניו” שליד שדה-התעופה “בן גוריון”. כנראה שגם הפעם ההשתתפות היא בחינם ורק נדרשת הרשמה מראש. אתם כמובן מוזמנים להציע הרצאה.
אירוע זה יהיה מבחן (כנראה ראשון) לגישה המרעננת הזו, שגם כוללת סיכון כלכלי למארגנים מאחר וכנראה החברות המשתתפות (כולם או חלקן) לא יקבלו אפשרות להציג את מרכולתן בהרצאה. אני ממתין בכיליון עיניים לרשימת ההרצאות. זו ההזדמנות שלכם לסנוור אותנו בידע ובכישרון שלכם – לכו על זה.

אה, ויש גם את Cyber Day, בטכניון, חיפה, ב-7 לאפריל. בחינם. נא להירשם מראש.

הקליקו כאן לקריאת המשך הפוסט…

התמחות באבטחת מידע

פנה אלי לאחרונה, דרך לינקדאין, בחור בשם Ankit Jain, שהציג עצמו כסטודנט ל-Cyber Security באוניברסיטת דרום קליפורניה. הוא מחפש לבצע התמחות/סטאז’ בתחום זה במהלך הקיץ הקרוב, ורצה להתייעץ אתי איך ניתן להשיג מטרה זו בישראל. הסברתי לו שככל שידוע לי נושא ההתמחות לא ממש נפוץ בישראל באופן כללי (לפחות בתחומים שאינם מובנים מראש כמו רפואה, עריכת דין, ראית חשבון וכדומה), וכנראה בהתאמה גם בתחום אבטחת המידע, אבל הפניתי אותו לגורמים שונים בכדי לנסות את מזלו, וגם אמרתי לו שאני משער שאם הוא יארגן קבוצה של מתמחים אז יש סיכוי יותר גבוה לעורר תהודה ובהתאמה למצוא מקום להתמחות, שגם יכולה להוות בסיס לשיתוף פעולה עתידי.
הצעתי לו שאפרסם את בקשתו בפוסט בבלוג זה, בכדי לסייע לו במטרתו, והוא הסכים, ואף ביקש לפרסם את כתובת המייל שלו, jain980 בדומיין usc נקודה edu. אז הנה עשית זאת ואתם מוזמנים לפנות אליו אם יש לכם מה להציע לו.

הפניה שלו הביאה אותי לחשוב שבאמת יש לנו בעיה בנושא. למרות הצורך הרב בעובדים מיומנים בתחום שלנו, אין לנו ממש מסלול מסודר להכשרת הדור הצעיר/חדש-בתחום, מעבר למקסימום של “קורס ויאללה לעבודה”, כאשר מצד שני לא מעט מעסיקים מעוניינים רק בעובדים עם ניסיון, מה שגורם לפער שבמקביל מונע מאנשים טובים למצוא משרות וגם מונע ממעסיקים למלא תקנים נדרשים לקידום העסק. יש לנו “חור” באמצע נתיב הקריירה בתחום, בין המתחילים למנוסים.

לכן, שווה לשקול, כל אחד במקום עבודתו ועל בסיס יכולת ההשפעה שלו שם – להקים מסלול של התמחות/סטאז’ באבטחת מידע, אליה ניתן יהיה להפנות בוגרי קורסים מקצועיים, יוצאי צבא עם ניסיון מתאים ואולי אף תיכוניסטים מתכנית “מגשימים” או ממגמות מחשוב (בחופשות הקיץ ולפני גיוס).

ברור לי שזה לא יהיה קל ודורש מאתנו, בתור התחלה – לשינוי חשיבה ורצון להשקיע מאמצעים לקידום המקצוע באופן כללי ולא באופן ישיר עבור כל אחד מאתנו, אבל גם עזרה לאחרים עוזרת לנו, לכל הפחות להרגיש טוב עם עצמנו.
בעיות אחרות יהיו בנושאי ההעסקה מול הארגון – משפטית (חוקי עבודה/העסקה) וכספית (כי מן הסתם יש לשלם לפחות שכר מינימום), אבל אני מאמין שאפשר לפתור נושאים אלו על בסיס מעמד של עובדים זמניים או פרילנסרים.

אם אתם ותיקים – תזכרו איך הייתם בתחילת הדרך, אם לא הייתם שמחים שתהיה לכם אפשרות כזו.
אם אתם מתחילים בתחום – אל תתביישו ותדחפו את עצמכם קדימה, פרסמו את עצמכם ואת רצונכם להשתלב בתחום כמתחילים. רק שימו לב שלא ינצלו את המוטיבציה שלכם לרעתכם, כי יש גם מי שיעשו זאת, מניסיון.

תקדישו לזה מחשבה.