לא בטוח - בלוג אבטחת המידע של איתן כספי - עמוד 34 מתוך 46

יום עיון בקריפטולוגיה, בטכניון, 7 ביולי 2009

הצפנה בעיניי היא באמת ה-Hi-End של אבטחת המידע. האנשים הבאמת חכמים של התחום (טוב, כל מי שעשה בגרות מתמטיקה 5 יחידות (ומעלה כמובן) הוא חכם בעיניי…), אפילו שמדובר יותר בחישובים ופחות ב"חוכמת הרשת" של עבודת היום-יום של אנשי האבט"מ וההאקרים.
הרי הדברים החשובים (נקווה…) אמורים להיות מוצפנים כך שגם אם הגיעו אליהם, עדיין צריך לפענח את ההצפנה.

בכל מקרה, דרך אבי וייסמן מ-IFIS קיבלתי בדוא"ל את ההזמנה הבאה ליום עיון בקריפטולוגיה – CryptoDay2009, בטכניון שבחיפה, ביום שלישי, 7/7/2009. המארגנים מבקשים להירשם מראש, ASAP, בדף מתאים בקישור הנ"ל, לצורך הערכת כמות המשתתפים.
אמנם ההזמנה (בהמשך) ואתר יום העיון הם בעיקר באנגלית, אבל בהזמנה רשום שההרצאות יינתנו בעברית.

להלן טקסט המקורי של ההזמנה (אני רק הוספתי קישורים לאתרי הבית של הדוברים ביום העיון):

Shalom,

On Tuesday 7/7/2009 12:30-17:50 we will hold a workshop on cryptology (CRYPTODAY 2009) in the Computer Science department at the Technion. The speakers will be Moni Naor, Amir Herzberg, Tal Mor, Benny Pinkas, and Yaniv Carmeli.

The workshop will be given in Hebrew.

Participation is free, and everybody is welcome. In order to know how many people will participate, we kindly ask participants to register through the site as soon as possible.

Please distribute this announcement in your institution and to any interested party. A poster for information boards can be sent to you (please ask by email), or be downloaded and printed from the site.

Hope to see you there,

Eli Biham and Yaniv Carmeli

—————————————————————————-
Eli Biham, Dean                    Dean's office phone: +972-4-8294261/2
Computer Science Department        Dean's office fax:   +972-4-8294353
Technion, Haifa 32000, Israel      Private phone/fax:   +972-4-8294308
email: biham {shtrudel} cs.technion.ac.il     WWW: http://www.cs.technion.ac.il/~biham/

החטא הקדמון של אי-התקנת פאטצ'ים

קודם תקראו את הכתבה בגלובס בשם "פרצת מידע בישראל: ניתן לחדור למצלמות אבטחה של מוסדות שונים". גיא מזרחי, אותו אני מאוד מעריך, משום מה התלהב מכך. ורפי איבגי שביצע את העבודה העלה גם מספר תמונות לבלוג של גיא.

מכיוון שתחום ההאקינג הוא רווי אגו, לעתים ברמה ילדותית, אני רוצה להיות זהיר ולהצהיר שבכתיבת פוסט זה אין לי כוונה להלהיט יצרים, אבל מצד שני אני בהחלט רוצה להגיד את דברי (ואני לא מחשיב עצמי האקר, אז אני מוותר מראש…).
בלי להכיר את רפי ואם גיא מהלל אותו אז זה לבטח נכון ומבלי כוונה להרוס את חגיגת יחסי הציבור של סיטדל (כמות התגובות המתלהבות בכתבה של "גלובס" קצת חשודה), לא ברור לי מה החידוש המסעיר בפרסום הזה, לפחות עבור העובדים בתחום.

הרי נציג יבואנית המצלמות מצוטט: "הפריצות מתאפשרות במצלמות מהגרסאות הוותיקות. בשנתיים האחרונות, המצלמות שלנו מאובטחות לחלוטין".
"ומה עושים הלקוחות שקנו מצלמות לפני שנתיים?- שוורץ: הם צריכים לשדרג את התוכנה. הגרסאות החדשות בטוחות."

אז כן, זו תוכנה של חומרה (אז מה?), אלו מצלמות, זה סקסי, כולם אוהבים להציץ ולראות תמונות ולהרגיש כל יכולים, רואים ובלתי-נראים, אבל לא מדובר בפרצה חדשה שלראשונה נתגלתה בעולם אלא מדובר במצב הרגיל שלקוחות לא מעדכנים תוכנה בכדי לסתום חורים ידועים. הרי מזה חי כל עובד בתחום ה-PEN TEST, שמן הסתם בכל עבודה שניה (אם לא בכל עבודה ועבודה) מוצא לפחות פרצה אחת כזו, שכבר קיימת פרק זמן כלשהו ולא התקינו לה את הפאטצ', ודרכה הוא חודר למערכות הלקוח.

אם מישהו היה אומר לכם שהוא יכול לפרוץ ל-X כי ב-X יש רכיב תוכנה שנתגלתה בו פרצה לפני שנתיים ומאז תוקנה, לא ממש תתרגשו. סתם תאנחו כי שוב הלקוח לא עדכן פאטצ'ים.

כך שהמקרה הזה הוא טריגר טוב להביא אותי למה שזה כבר כמה זמן רציתי לכתוב ולא יצא לי – הרי כל הדרמה עם מיליוני המחשבים שנדבקו בינואר 2009 ב-Confiker היתה בגלל שלא התקינו עדכון של MS מאוקטובר 2008.
כלומר, יותר משהבעיה היא טכנית היא של מוּדעות ותפעול.
היצרן יוצר פאטצ'. הלקוח צריך לדעת על הפאטצ', הלקוח צריך להתקין, הלקוח צריך לאתחל את המחשב.
הצעד הראשון הוא הקל מבין כולם, השאר קשים לביצוע אבל אם הם יבוצעו נגיע למצב האידיאלי של מניעה במקום תיקון לאחר הדבקות והשבתה.
מניסיוני בארגונים זה לא קל, בייחוד הצורך באתחול. מילא תחנות עבודה שעוד יחסית קל לאתחל אותן – בשרתים זה יוצר התנגדות חריפה של אנשי הסיסטם, שבצדק רב רוצים להימנע מהשבתות של שרתים ויישומים מרכזיים, ותמיד קיים החשש שבאתחול משהו יידפק, ולו בגלל פעולת סיסטם עלומה שבוצעה מאז האתחול הקודם ועכשיו היא תגרום לבעיה (ומן הסתם מייד יאשימו את הפאטצ', וגם זה לפעמים נכון…).
אז אין ברירה, ואני תמיד אומר שפחד זה לא מדיניות, ולדעתי עדיף להימנע מהשבתה רוחבית של עשרות שרתים ו/או מאות תחנות לזמן לא קצר לצורך ניקוי קוד זדוני במחיר של השבתה לזמן קצר ומתוכנן בגלל אתחול שלאחר התקנת פאטצ'.

שר התקשוב באוסטרליה יזם "שבוע E-security Awareness" לאומי

אם אנו כבר בנושאי שלטון, הנה משהו חמוד דרך רשימת הדיוור Technical – Security של אייל איסטרין (הוא מוצא כל מיני קישורים מעניינים בנושאי אבט"מ ומשתף אותנו. כדאי).

כן, גבירותיי ורבותי, לאוסטרליה יש שר בשם Stephen Conroy. על מה הוא ממונה?
על Broadband, Communications and the Digital Economy . יש ממש משרד ממשלתי כזה. לא פחות. הוא מונה לתפקידו בדצמבר 2007. והתפקיד הזה, עם שינויים מדי פעם בהגדרת התפקיד, קיים באוסטרליה משנת 2007.

התפקיד נראה כמו עירוב של משרד התקשורת, חינוך, ספורט, אמנות וגם עידן המידע. אחלה. לא ציפיתי למשרד שלם לעידן המידע אבל גם התייחסות לנושא כתחום שראוי להתייחסות ממשלתית שווה שאפו.

אז מר קונרוי הכריז השבוע בנאום על שבוע E-security Awareness . כחלק מנאומו הוא קורא לאזרחים להחליף סיסמאות פעמיים בשנה לפחות, לסיסמאות חזקות, להתקין תוכנות אבטחת מידע, לעדכן תיקוני אבטחת מידע, לחשוב לפני שמקליקים על קישורים לא מוכרים ולהיזהר מלמסור מידע אישי ברשת. וגם הוקם אתר ממשלתי ייעודי לנושא.
רגע, והוא מפרט, בנאום הפומבי (!) הנ"ל – סיסמאות חזקות צריכות להיות בעלות מינימום של 8 סימנים, שילוב של אותיות גדולות וקטנות, לפחות מספר אחד ולפחות סמל אחד. (הצחקתם את Ophcrack. אבל זה כבר נושא אחר)
כאילו היה איש אבט"מ מהשורה.

וזאת במקביל לנאום של נשיא ארה"ב הצעיר והטרי, ברק אובמה, על חשיבות תשתיות דיגיטליות מאובטחות.

ואצלנו? בשנת 2001 כתבתי טור דעה ל-TheMarker שמציע יצירת תפקיד של שר הייטק. לא שבאמת ציפיתי שזה יקרה. הייתי, ואני עדיין, כל כך אופטימי שאני אפילו לא מצפה שזה יקרה.
אני יודע שחבר הכנסת מיכאל איתן (כיום שר בתפקיד המגוחך "שר בלי תיק האחראי על שיפור השירות הממשלתי לאזרח ולציבור") הוא, ככל שידוע לי היחיד שבאופן קבוע ועקבי חי את נושא עידן המידע ומנסה לקדם אותו. אבל, זה הוא, האדם. לממשלה זה לא באמת אכפת ואין שום תכנית נראית לעין לשינוי המצב.

כן, אני יודע, יש את "היום הלאומי לאינטרנט בטוח". זה עדיין לא זה. זה לא מגיע ממשרד ייעודי, אלא ממשרדי החינוך והבריאות, בדגש על קהל יעד של ילדים-נוער והורים-מחנכים ולא על כלל האוכלוסייה, שלא לדבר על זה שהיום הזה הוא בשילוב של גורם מסחרי מובהק אחד, חברת Microsoft, שזה ממש טעם לפגם.
מאוד מטריד לראות בתחתית דף השער את הטקסט
©2006 Microsoft Corporation. All rights reserved.‎ כולל קישורים של "תנאי שימוש", "סימנים מסחריים" ו"הצהרת פרטיות" שכולם מפנים לדומיין של Microsoft. הטקסט הנוסף שם של "מיקרוסופט מארחת את האתר משיקולי אבטחת מידע." הוא לא פחות מבושה לממשלת ישראל. מה קרה? חוות השרתים של תהיל"ה לא מספיק מאובטחת? חסר לממשלת ישראל שרת לארח את האתר הזה? נתרום לה.

אולי זו שוב הגישה שקיימת כאן "שהאזרחים יהיו אחראים לבצע בעצמם ובכלל לגורלם", אולי זו ההתמקדות העיוורת והבלתי פוסקת במספר מצומצם של נושאים הרי גורל כמו הסכסוך עם הערבים, דת ומדינה וכדומה – וכל השאר לא חשוב ולכן לא קיים.
מתי לממשלה כאן יהיה אכפת מהאזרחים? מתי היא תצטרף למדינות המתוקנות? תבין שעידן המידע כבר מזמן כאן? שהמדינה צריכה, גם לטובת המשך קיומה, לסייע לאזרחים להעצים עצמם ובשל כך את המדינה, ביכולות תקשוב, ובכללן כמובן אבטחת המידע?