לא בטוח - בלוג אבטחת המידע של איתן כספי - עמוד 31 מתוך 46

מְסַכָּנוֹת המקצוע – לדעת יותר מדי

דרך האתר law.co.il של עו"ד חיים רביה, העוסק בצד המשפטי של החיים הדיגיטליים (יש אתר דומה של עו"ד אביב אילון, netlaw.co.il), ואליו אני מנוי, נודע לי כי בימים אלו באה לסיומה פרשת גניבת נתוני ההזדהות של לקוחות הבנק הבינלאומי על ידי עובד אבטחת המידע של הבנק, דן טירספולסקי, נתונים אשר הועברו לאנשים נוספים אשר בתורם גנבו כספים מהחשבונות שפרטיהם נגנבו.
טירספולסקי נידון, במסגרת עסקת טיעון בין הפרקליטות לעו"ד של טירספולסקי, לשנת מאסר אחת, מאסר על תנאי למשך 10 חודשים לתקופה של 3 שנים (והתנאי הוא כי לא יעבור כל עבירת רכוש, מרמה או הונאה) וקנס בסך 10,000 ₪ או 60 ימי מאסר תמורתו.

הפרשה, אשר נחשבת למעילת האינטרנט הבנקאית הראשונה בישראל, נחשפה בשנת 2005 (ראויה לציון תגובה 11), אז נחשף כי טירספולסקי, עובד במחלקת אבטחת המידע של הבנק הבינלאומי, אשר היתה לו גישה לפרטי החשבונות של לקוחות הבנק, כולל פרטי ההזדהות שלהם באתר האינטרנט של הבנק, מסר נתונים של ארבעה לקוחות של הבנק, תושבי חוץ, לידי אנשים נוספים שפרטיהם לא מוזכרים, והם בתורם, בעזרת הפרטים שקיבלו מטירספולסקי, גנבו סך של 103,700 ש"ח מלקוחות אלו.
בכתבה שפורסמה ב"גלובס" בעת גילוי הפרשה נטען כי טירספולסקי לא הצליח להחזיר חוב לקרוב משפחה (שגם נעצר) ובשל כך נסחט על ידי גורמים עבריינים במאפיה הרוסית.

לטענת העו"ד של טירספולסקי, על פי גזר הדין, הוא ביצע את המעילה לא עבור עצמו אלא כי נסחט באיומים על ידי אותם גורמים אליהם העביר את פרטי הלקוחות (מה שלא ממש נכון לדעתי, כי הוא השתמש בנתונים שגנב כתחליף להחזר חוב, ומי שבעצם "החזיר את החוב" הם אותם לקוחות של הבנק).
באופן מעורר שאלות, בגזר הדין רשום לגבי באת כוח התביעה (כלומר פרקליטות המדינה) ש"בנוסף היא מאשרת כי נעשו ניסיונות להשיב את הכסף שנגנב, אולם הבנק לא הראה נכונות לקבלו". גישה מעניינת של הבנק.

אז מה אנו למדים ממקרה זה?

– אל תיקחו הלוואות מקרובי משפחה.
– אם כבר אתם לוקחים הלוואה מקרובי משפחה. תבדקו שאין להם קשר לגורמי פשיעה או שהם לא מסוכנים אם לא מחזירים להם את הכסף.
– אבטחת המידע בבינלאומי לא השכילה להצפין את סיסמאות הלקוחות כך שאיש מלבדם לא ידע אותן, כי ברור שלא ניתן למנוע גישה אליהן כי הן מטופלות על ידי עובדי מחלקת המחשוב של הבנק (אנשי סיסטם, מפתחי האתר, DBAים, אנשי הגיבוי והאחסון וכן הלאה). פעולה זו היתה מכשילה בוודאות גבוהה את האפשרות לאירוע מסוג זה להתרחש.
– חשוב שנבין שעיקרון המידור ועקרון ה-Need to know (והצפנה למעשה משלבת את שניהם) מגינים לא רק על בעלי המידע שכן מורשים לגשת אליו ולעשות בו שימוש אלא גם עלינו, אנשי אבטחת המידע (וה-IT בכלל), שיכולה להיות להם גישה למידע, אפילו באופן לא מכוון או מודע, כחלק מעבודתם. העקרונות הללו מפחיתים את רמת הידע שלנו אודות מידע רגיש ובכך מפחיתים את הסיכון שלנו לפיתויי שימוש ברעה על ידינו או לחצים להעביר מידע זה לידי גורמים חיצוניים.
לכן, אם בעבודתכם אתם שמים לב שקיימים מצבים שבהם אתם (או אחרים) יודעים או יכולים לדעת יותר מדי, או יכולים לעשות יותר מדי – תפנו למנהלים הרלוונטיים ותתריעו בפניהם על כך.
תמיד עדיפה מניעה מראש על פני תיקון בדיעבד (שלא תמיד אפשרי).

זה קשור רק חלקית למקרה הנ"ל, אבל מזמן רציתי להגיד את זה: המקצוע שלנו הוא לא חד וחלק, לא ברור ולא מתוחם. לטוב ולרע. ולפעמים יש רע. ואסור לשכוח זאת ואסור להתעלם מכך.
רוצים שנשמור על הארגון, על המידע הרגיש והסודי, אבל שלא נחשף אליו ולבטח לא נעשה בו שימוש לרעה. זה הגיוני, זה דורש אמינות, זה דורש כוח רצון ועמידה בפיתויים ובלחצים, וזה דורש לוליינות טכנולוגית ואישיותית. המקצוע דורש ממך ללכת על חבל דק, על הגבול, ולעולם לא לקבל החלטה שגויה. והקביעה האם ההחלטה שגויה או לא יכולה להיות לפעמים תלוית מקום, זמן, מערכת, מידע, יחסים, פוליטיקות ואין סוף פרמטרים. לפי הצורך והמטרה של המחליט. ולא תמיד אתם הם המחליטים…
ככל שהעולם נכנס יותר ויותר למחשוב, לתקשורת ולאינטרנט – כך בהתאמה מתגברת המשפטיזציה של התחום הזה ושל אבטחת מידע בכלל, כמקבילה הדיגיטלית של תחום הבטחון הפיזי, ובהתאמה העובדים במקצוע (ולא רק באבט"מ, גם אנשי סיסטם, DBAים ועוד) עוסקים בתכנים שהם קריטיים לארגונים ועל כן בקלות יכולים למצוא עצמם בסיטואציות משפטיות שונות, מדיונים עם עורכי הדין של החברה לגבי אירועי אבטחת מידע, דרך איתור תכנים לכתבי תביעה (Forensic) ועד עדות או כנאשמים במשפטים מסחריים ו/או פליליים.
ולדעתי המצב היום הוא שאין לעוסקים במקצוע מספיק מודעות וידע משפטי לגבי המותר והאסור, ואין להם עם מי להתייעץ כיצד לנהוג במצבים מיוחדים, במצבי קצה, ויש כאלה לא מעט במקצוע שלנו. את המצב הזה לדעתי צריך לשנות.
שעת ייעוץ של עו"ד יכולה בקלות להגיע למאות ש"ח/דולר, שלא לדבר על הדרכות/הרצאות משפטיות תקופתיות – מה שמן הסתם גורם לרבים שלא לפנות לייעוץ משפטי אלא לסמוך על השיפוט האישי שלהם בלבד.
אני מקווה ש-IFIS ישימו לב לעניין זה וייזמו הדרכות משפטיות על ידי חברי הפורום בעלי השכלה משפטית בנושא ואולי גם ישיגו תעריפי ייעוץ מופחתים לחברי הפורום אצל משרדי עורכי דין בעלי התמחות מתאימה. יכול להיות שצריך גם לשקול השגת תעריפים מופחתים לביטוח אחריות מקצועית (אם כי אני לא בטוח אם קיים ביטוח כזה בישראל בנוגע לאנשי מחשבים בכלל ואבטחת מידע בפרט).
בינתיים, תשימו לב ותשמרו על עצמכם, ואם אתם לא בטוחים – תשאלו חברים או בעלי מקצוע ותיקים שאתם יכולים לסמוך על דעתם. תמיד עדיף לשמוע כמה דעות לפני שמקבלים החלטה חשובה.

שיווק חסר בושה ב-30% הנחה

(פוסט זה הועבר לקטגורית "ארכיב" בספטמבר 2013 כי האתר המדובר הפסיק לפעול בתחום הדפסת חולצות)

כן, אני יודע, אני נודניק, אבל היו כאן ובדוא"ל אנשים (אני יודע מי הם ואיפה גרים) שהבטיחו שהם יקנו חולצות (אפילו got root יצרתי לפי דרישת הקהל), והם לא קנו.

כנראה שהמחיר של 69 ש"ח (ללא דמי משלוח) היה יקר לכם. בסדר, אז מזל, יש ל"לופה" יום הולדת 3 והם נותנים 30% הנחה על כל המוצרים באתר, ולכן כרגע, עד ה-15 בספטמבר – החולצות הן ב-48 ש"ח בלבד.
קדימה, תוכיחו שיש לכם לב חם ומתגמל, ובדרך גם תרוויחו חולצה שתוכיח יותר מ-CISSP שאתם במקצוע הנכון!

ראיון ברברס עם פלטפורמה

(אחת הכותרות ההזויות (אך המשעשעות) ביותר שיצא לי לתת בחיי)

רברס עם פלטפורמה הוא אתר פודאקסטים שהם למעשה ראיונות שמבצעים רן תבורי ואורי להב מחברת הסטארט-אפ Outbrain (שיצרה את וידג'ט רייטינג הכוכבים שיש בסוף כל פוסט באתר זה).
יש גם הסבר לשם המוזר הזה.
הראיונות, או סוג של תכנית אירוח רדיו אינטרנטית אם תרצו, עוסקים באספקטים מגוונים ורבים של עולם הטכנולוגיה.

הדרך שלי אל הראיון הזה מתחילה בעצם השימוש בוידג'ט של החברה שהוספתי אותו לבלוגים שלי, דרך הערות שונות ששלחתי לחברה על בעיות או הצעות שיפור שונות למוצר הזה של החברה, ועד להערה האחרונה שנגעה לחסימה של הוידג'ט על ידי תוסף אבט"מ ל-Firefox בשם NoScript שחסם את התוסף ובכך פגם במראה ובשימושיות של הבלוג. לפני שפניתי אליהם בנושא פניתי למפתח התוסף הזה בטענה שיכול להיות שיש בעיה בתוסף שלו אך הוא בדק ומצא ש-Outbrain לא הגדירו נכון ערך זיהוי כלשהו ובהמשך הוציא גרסת תיקון (1.9.7.1). אני פשוט יידעתי אותם על השגיאה שהוא הצביע עליה, בכדי שיתקנו את מה שצריך.
לאחר שיידעתי אותם על כך, באופן מפתיע הם שלחו אלי קופון מתנה של אמזון (בערך של 40$. אם חס וחלילה לא יהיה להם אקזיט, אז כנראה זה בגללי). זה מאוד הפתיע אותי והיה נחמד לדעת שמעריכים מידע מסייע שאתה מעביר מבלי לצפות לתמורה ובכל אופן הצד השני מרגיש צורך להגיד תודה מעבר לרגיל.

קצת לאחר המקרה הנ"ל, פנה אלי רן, הציג לי את אתר רברסים והציע שאבוא לראיון. הסכמתי מייד כי זו חוויה חדשה עבורי, מעולם לא התראיינתי עד היום בשום צורה וחשבתי שזו יכולה להיות התנסות מעניינת.

אז מהמפגש (שבו אורי לא היה יכול להשתתף והחליף אותו בהצלחה אלעד סלים, גם הוא מ-Outbrain) יצא "פודקאסט מספר 33 – אבטחת מידע", שעסק במגוון מאוד רחב של נושאי אבטחת מידע שהספקנו בקצת יותר מחצי שעה. אני מאוד מרוצה מהתוצאה. אני חושב, ואני בדרך כלל מאוד ביקורתי, שהראיון היה שוטף ומאוד מוצלח (אבל אני אובייקטיבי, כמובן).
אפשר לשמוע את הראיון גם באתר עצמו וגם להוריד משם קובץ MP3.

בראיון גם דיברנו קצת על חוק המאגר הביומטרי המתבשל. הייתי בפאנל ש-IFIS ארגנו השבוע בנושא ואני מכין פוסט בנושא, אבל זה ייקח קצת זמן כי תמיד עדיף קצת לקחת מרחק מהאירוע וללמוד קצת יותר על העניין בטרם מגיבים (וגם אין לי זמן…).

בכדי לא להשאיר אתכם בלי תכנים לשבת (ואפילו לשבוע הקרוב), אני מצרף כאן את הקישורים שאספתי לכבוד הפוסט המתהווה – הכוללים התייחסויות מרחבי הרשת לפאנל שהתקיים:

הכי כדאי שתתחילו מהצעת החוק הסופית, כקובץ RTF מאתר הכנסת – השם המלא של החוק המוצע הוא הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2009 (35 עמודים). שמרתי לכם אותו אצלי גם כקובץ PDF:
הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התשס"ט-2009.
בנוסף, בכדי לראות כיצד התהווה החוק, תוכלו לקרוא את הפרוטוקולים של ועדת המדע והטכנולוגיה של הכנסת.

עיתונות ותקשורת
YNET –
ישי: "מוכן שיוקם צוות מומחים שיבחן את המאגר"
פרופ' שמיר מציע: מאגר טביעות אצבע מעומעם
חוק המאגר הביומטרי – הסיקור המלא
The Marker – "לא בכדי רוב המדינות לא מחזיקות במאגר",
מאיר שטרית: "יש בישראל מאגרים ביומטריים של מיליוני אזרחים. איפה הייתם?",
השר ישי: "מוכן להשקיע זמן בשכנוע על בטיחותו של המאגר"
"יש בישראל מאגרים ביומטריים של מיליוני אזרחים בלי שום הגנה"
גלובס – "המאגר הביומטרי משנה את יחסי האזרח-שלטון"
כלכליסט – ישי יקים צוות של מומחי אבטחת מידע לבדיקת חוק המאגר הביומטרי
אנשים ומחשבים –
שר הפנים, אלי ישי: צריך להקים צוותים מקצועיים כדי לדון בבעיות האבטחה של המאגר הביומטרי
הרב עובדיה יציל?
וואלה (כולל וידיאו) – ישי: "אולי אשנה דעתי על המאגר הביומטרי"
Nana10 – לקראת אסון: המאגר הביומטרי כבר כאן
ערוץ 7 – שטרית: האזרחים במדינה חיים בסיכון
הידען – שר הפנים אלי ישי על החוק הביומטרי: "לא חושש לשנות דעתי. אקים צוות מומחים"

בלוגרים וארגונים שונים
דר' קרין ברזילי-נהון (שומרת סף – מידע, חברה ומה שביניהם) (השתתפה כמרצה בפאנל) – מאגר ביומטרי – השוואה לגבי המצב במדינות העולם (יש שם קובץ אקסל המשווה את המצב בין המדינות השונות בנושא מאגרים ביומטריים – שתכניו נדונו על ידה בפאנל)
האתר של השר מיכאל איתן (להוכיח שאפשר אחרת!) – ד"ר ברזילי נהון: אין מדינה מערבית ודמוקרטית עם מאגר ביומטרי כזה
ישי ורטהימר (“הפר מחשבות באין סוד, וברב יועצים תקום”) – פאנל בנושא המאגר הביומטרי – לייב בלוגינג
יהונתן קלינגר (Intellect or Insanity) –
ככה, במרכז תל-אביב.
האם הצפנה היא הדרך? מחשבות על עתיד הפרטיות והחקיקה
מאגרג.
עירא אברמוב (אסכולת הכורסא) – הפאנל בבינתחומי והכיסוי בעיתונות (כולל תמונות שצילם, קישור מלא לתמונות בהמשך)
ניר פסי (Csec עבירות מחשב ואבטחת מידע) – שטרית: יש בישראל מאגרים ביומטריים של מיליוני אזרחים. איפה הייתם?
אופק דורון (חופש הדיבור) – האם ישראל יכולה / מצליחה להגן על נכסי המידע שלה?
הגר צימרמן (השב"כ אורג) – רק בגלל שאתה פרנואיד, לא אומר שהם לא אחריך
עבודה שחורה (פועלים למען מדינת רווחה!) – אלי ישי: אינני חושש לשנות דעתי בנושא המאגר הביומטרי

תמונות מהכנס
AntiBiometrics panel @IDC

אתרים ייעודיים למאבק בחוק
נכנסת לרשימה השחורה – המרכז לעצירת חוק המאגר הביומטרי
מטה המאבק במאגר הביומטרי – האגודה לזכויות האזרח בישראל Badbio: החוק הביומטרי – דיעות וידיעות בעיקר נגד החוק הביומטרי

(אני מקווה שלא הרסתי לכם את השבת… (-; )