לא בטוח - בלוג אבטחת המידע של איתן כספי - עמוד 43 מתוך 46

עיתונאים ללא גבולות

לאחרונה נתקלתי בשני מקרים בהם עיתונאים ישראלים כתבו טקסטים שלא סתם פוגעים באבטחת מידע אלא גם מייצגים חוסר אחריות שיכול לגרום נזקים לא מבוטלים לקוראים שלהם ולסביבתם הקרובה והרחוקה.

כרונולוגית, נתקלתי לראשונה ב-YNET, בכתבת אדר שלו, שכתבה "מי צריך אנטי וירוס?" (15.3.2008).
על התוכן של הכתבה הזו אפשר רק לומר כמו שאומרים באנגלית – This is wrong on so many levels.

בואו ונתרכז רק בטיעון הפשוט ביותר, הכלכלי. את הטיעונים הטכניים אתם בטח מכירים ממזמן, כולל הקונספירציות. כותבת הגברת:
"למה לקחת את הסיכון, בעצם? יש כמה סיבות טובות. הראשונה היא, כמובן, המחיר – חבילת כלי אבטחה של אחת היצרניות המובילות, הכוללת אנטי וירוס, אנטי-spyware (רוגלות), פיירוול (חומת אש), מסנן לדואר האלקטרוני ועוד, עולה כמה מאות שקלים. אחת לשנה צריך לחדש את הרשיון ולהוציא עוד כמה מאות שקלים, כי הגירסה הקודמת הופכת לא רלוונטית ולעתים מפסיקה להתעדכן."

ביסודו של דבר היא אומרת – לא צריך אנטי-וירוס, אבל בכדי להצדיק את חוסר הכדאיות הכלכלית שלו (בלי לדבר על הערך הכלכלי של אובדן המידע האישי שלרוב לא ניתן לשחזר (כי מי מגבה?), הסיכון שבגניבת הזהות ופרטים כמו כרטיסי אשראי וכניסה לחשבונות בנק וזמן ההתעסקות בהתקנות מחדש) היא מתייחסת למחירי חבילות אבטחת המידע ולא רק ל-AV!
תרגיל לא יפה.

נכון לכתיבת פוסט זה, על פי אתר השוואת המחירים הישראלי ZAP, ניתן לרכוש:
McAfee VirusScan 2008 OEM ב-38 ש"ח
McAfee Internet security 2008 OEM (חבילה!) ב-48 ש"ח
Norton AntiVirus 2008 OEM ב-56 ש"ח
NOD32 גרסה 3.0 ב-79 ש"ח
Norton Internet Security 2007 OEM (חבילה!) ב-90 ש"ח
Norton Internet Security 2008 OEM (חבילה!) ב-101 ש"ח
ואני חושב שזה מספיק בכדי להבהיר את הנקודה.

נקודה נוספת שלרוב לא מתייחסים אליה, היא האלמנט ה"שטוח"-שיתופי של רשת האינטרנט. כל מי שנדבק בקוד זדוני שגם מתפשט – מסכן את כל אלו שהוא נמצא איתם בקשר בדרגה ראשונה ובדרגה שנייה את שאר הרשת באופן לא-אישי.
אני מסתכן בניחוש פרוע שרוב המחשבים המנוצלים על ידי רשתות בוטים הם מחשבים ביתיים שהחליטו שלא צריך AV. ומי הנפגעים העיקריים מרשתות בוטים?- ארגוני ממשל ומסחר, שהם היעדים העיקריים להתקפות שלילת שירות, אך כמובן שהבוטים גם משמשים להפצת ספאם שממנו סובלים גם אנשים פרטיים.

אז הגברת שלו מצטרפת למסדר העיתונאים שלא רק שהם לא ממש מבינים על מה הם כותבים אלא גם בדרך מדיחים את הקוראים שלהם לדרך שמן הסתם תיגמר בדמעות.

(איזה צחוק. קראתי שוב את הכתבה, וההערה שבסיום הכתבה לא הייתה בזמן פרסום המאמר וגם זמן מה לאחר מכן. ההערה (שלא פורסם מתי היא נוספה לכתבה. סוג של אתיקה):
"הערה: ynet אינו ממליץ על שימוש באינטרנט ללא תוכנת אנטי וירוס. משתמשים בתוכנת אנטי וירוס ומרוצים מפעולתה? אין שום סיבה להשליך אותה לסל המיחזור. מטרת הכתבה הזו היא לנער את המוסכמות ולהצביע על כך שאם אנטי וירוס או בלעדיה – ניתן לגלוש בביטחה באמצעות שמירה על כמה כללי ברזל."
מסתבר שלבסוף מישהו ב-YNET עשה רוורס וניסה להפוך את המדריך המפורט הזה לטור דעה "מנער מוסכמות". צבועים)

.
נעבור לעיתונאי השני. על שוקי גלילי אי-אפשר לומר שהוא לא איש טכנולוגי.
אני מכיר את הכתבות שלו מהערוצים השונים של "ידיעות אחרונות" וממגזין שכתב בו ובהחלט התרשמתי שהוא מכיר את נושא התקשוב ברמה גבוהה.
אני מכיר אותו גם מהזמן שכתבתי ב"רשימות", שם גם לו יש אתר אישי. שוקי, ככל שהתרשמתי מכתביו, הוא סוציאליסט בכל רמ"ח אבריו, כאשר חלק מהעניין הוא כנראה גם העדפת העובד על פני המעסיק.

שוקי, שלדעתי אמור להכיר, ולו טכנולוגית, את המשמעויות של מה שהוא כותב, אם כי כנראה לא את המשמעויות הארגוניות שמחוץ למערכת עיתון – הולך צעד וחצי רחוק מדי בכתבה/טור שלו באתר "כלכליסט" – "לוחמה משרדית – מדריך למתקדמים" (28.7.2008). התמקדו בפסקה "השתמשו בתוכנות ובאתרים אסורים", שם הוא פשוט מציע לעובדים לעקוף את סינון התוכן בגלישה וגם להשתמש בתחליפי תוכנות אסורות דרך הרשת או באמצעות הרצה מקומית של תחליפים שניתן להפעיל ללא התקנה.

כל עוד אתה עיתונאי שמרשים לו להיות שובב, יצירתי, נועז ופורץ גבולות במסגרת מערכת העיתון, זה נחמד, אולי זה אפילו יעבוד/יעבור בחברות קטנות-בינוניות שאין בהן משאבים או זמן לטפל באבטחת מידע כמו שצריך, אבל בחברות גדולות ורציניות… עובדים בחברות כאלו יכולים להתפתות לעצתו של השובב, בלי לדעת שהם צריכים להיות ברמה ממש גבוהה בכדי לעבור מתחת לרדאר.
מימוש עצות כאלו, המפרות בכוונה תחילה את המגבלות שהארגון החיל על העובדים – הן הצעד הראשון (ולפעמים האחרון במקומות מסוימים) בדרך לפיטורים של העובד.

כתבות כמו שתי הנ"ל רק מלמדות אותנו שהדרך עוד ארוכה, לבטח במדינה כמו ישראל, שבה תרבות של משמעת עצמית וארגונית היא אפילו לא המלצה, שיש מי שלא מכירים את מגבלות המציאות והמצב בשטח אבל עצות אחיתופל מחלקים בחינם.

הבלש של מיקרוסופט

לפני קצת יותר משנה, כאשר עברתי על לוגים של מערכת IPS שממוקמת ברשת ייעודית (לא מול האינטרנט או גורמי החוץ), ראיתי פעילות DHCP.
מאחר ומדובר בסביבת שרתים, שמן הסתם אמורים להיות עם כתובות IP קבועות, הרי שפעילות DHCP לא הייתה אמורה להתרחש ועל כן יכולה להעיד על גורם בלתי-מורשה שמתחבר לרשת, ולכן נכנסתי לפרטי האירועים.

אז כן, היו אלו אירועי DHCP Discovery, אולם הפרטים שלהם כללו שלושה מאפיינים מטרידים:

1. כתובות ה-MAC היו מזויפות בעליל ולא שייכות לשום יצרן תקשורת. למשל, 4d:c8:43:bb:8b:a6 או 45:3b:13:0d:89:0a שלא העלו שום שם יצרן באתר חיפוש התאמות MAC ליצרן.
2. הכתובות הנ"ל התחלפו בתוך 3 שניות…
3. שם ה-Domain היה DETECTIVE… (שכמובן לא היה קיים ברשת המדוברת)
אופס, חשבתי לעצמי, יש כאן מישהו או משהו רע…

מייד פניתי לאינטרנט, וראיתי שאני לא לבד ולא הראשון שנתקל בתופעה הזו ותוהה על פשרה.
באתר של מיקרוסופט, הן הרגיל והן של התמיכה, לא מצאתי דבר, לא על פי כתובות ה-MAC ולא על פי המילה DETECTIVE.

פניתי לעובד שאחראי על ה-VLAN בו התרחשה הפעילות והוא אמר שבתאריך ובשעה המדוברים הוא עבד על שרת מסוים, מבוסס "חלונות 2003‏". בדקתי את כתובות ה-MAC של השרת ולא מצאתי את הכתובות שהופיעו ב-IPS, ניסיתי למצוא תהליכים רצים לא מוכרים או משהו שעולה באתחול – ולא מצאתי שום דבר חריג.
בשל חוסר יכולת להמשיך הלאה בחקירה, תייקתי את המקרה כוודו ממוחשב והמשכתי הלאה.

אבל לאחר כחודש בערך, התופעה חזרה במדויק. שוב אותו עובד, שוב שרת 2003 אבל שרת אחר.
הפעם, אמרתי לעצמי, הולכים עד הסוף.
תחקרתי לעומק את העובד, שמוכר לי כמבין עניין ואחראי, והוא אמר לי שהוא חושב שבשני המקרים הוא הפעיל את ה-Configure Your Server Wizard של 2003.
אם כך, אמרתי לעצמי, נעלה בשרשרת המזון.

פניתי לחברת האינטגרציה שנותנת לנו שירותי תמיכה, עם כל הקישורים הרלוונטיים שמצאתי באינטרנט, אך איש משם לא הכיר את הנושא, אז ביקשתי לבצע אסקלציה של המקרה אל תמיכת הפרמייר לארגונים של מיקרוסופט בישראל, וכך היה.

אלא מה? התומך "הבכיר" שם לא ממש ידע מה לעשות, ולמרות כל ההפניות למקרים דומים באינטרנט וההכוונה ליישום הכנראה-בעייתי – הוא הכחיש בעיה ב"חלונות 2003‏" וטען שבוודאות יש לנו ברשת קוד זדוני או פורץ מתוחכם. הוא כנראה לא ניסה לשחזר את הסיטואציה במעבדה עם סניפר.
דרשתי לבצע אסקלציה של המקרה לרמת התמיכה שמעליו, בחו"ל, אך הוא סירב, ואפילו סירב להעביר את התשובה שלו בכתב.

הוא לא ידע עם מי הוא מסתבך. מאחר ואני ידוע כנודניק שלא נח עד שהוא מגיע לשורש העניין, פניתי ל"מיקרוסופט ישראל" ודרשתי שיעלו את המקרה לתמיכת חו"ל, כי יש כאן משהו.
לקח להם קצת זמן וקצת "צעקות" בדוא"ל, אבל בסוף הם התרצו.

ואז, סוף סוף, הארה! פול מתמיכת הפרמייר באנגליה, שיש לו, למזלי, גישה לקוד המקור של המוצרים, אישר, כבר במייל הראשון שלו, כי המילה Detective נמצאת רק פעם אחת ורק בקוד של "חלונות 2003‏" ובדיוק ביישום Configure Your Server Wizard…
בקיצור, הוא אישר את הממצאים שלי ושל אלו שנמצאו ברשת, ואמר שזו דרכו של ה-Wizard לאתר שרתי DHCP פעילים ברשת, להתחזות ללקוח "לא קיים" רק לצורך הבדיקה.
הסברתי לו שהשיטה הזו יכולה לגרום לכמה אנשי אבטחת מידע או מנהלי רשתות התקף לב, לראות MACים מזויפים ברצף מהיר בתוספת דומיין בשם DETECTIVE… ולכן כדאי שמיקרוסופט תפרסם מאמר KB על הנושא, בכדי שלקוחות יקבלו "צפירת ארגעה" מהיצרן עצמו. הוא הסכים איתי, ואמר שהוא ידאג לכך.
תענוג. זו תמיכה.

ניסיתי לבקש שיתנו לי קרדיט ב-KB, כמו בפעמים הקודמות, אבל כנראה שלא עברתי הפעם את הסף המתאים להצדקת קרדיט.

אז לקח להם מספר חודשים טובים, והגרסה הראשונה הייתה טכנית ומבולבלת, אבל בסוף הם התאזנו עם גרסה סבירה אם כי לא מאוד ידידותית או תואמת לבעיה, ב-KB מספר 945948, שגם מופיע כאפשרות הראשונה אם מחפשים ע"י גוגל את המילה DETECTIVE באתר התמיכה של מיקרוסופט, כך שהסיכון להתקפי לב ירד, וכל המציל נפש Security Admin אחד…

אני את שלי עשיתי.

מצטער, ספאם זה לא אבטחת מידע.

אני שונא ספאם. לא לקבל. גם זה בעצם, אבל זה לא כזה נורא. קצת מציק, אבל לא נורא.

לנהל, לתחזק. כחלק מהעבודה.
מערכות ה-Mail Gateway, שהתחילו רק מסינון קוד זדוני, לרוב אחראיות כיום גם על מניעת ספאם.
וזו בעצם 99% אחוז מהעבודה שמערכות אלו עושות. מניסיון מספרי בדוק.
כמות הקוד הזדוני שמטופל היא אפסית ביחס לספאם.

ואני אומר, סליחה?! במה בדיוק ספאם קשור לאבטחת מידע? למה אנחנו צריכים להתעסק עם זה?
נכון, בהמשך הספאם הגיע הפישינג, והוא אכן רלוונטי לאבטחת מידע, אבל לא ספאם.

תחשבו על זה אחרת, מהצד של העולם הפיזי: נגיד שקיימת וילה פרטית שבעל הבית מאבטח באמצעות עם מספר מאבטחים מקצועיים, ביניהם יש מאבטח שאחראי על הכניסה הראשית, ולידה יש את תיבת הדואר, והוא פותח את המעטפות ומוודא שאין מעטפת נפץ/רעל וכדומה.
אז עכשיו בעל הבית אומר לו שתפקידו מהיום כולל גם לוודא שלא ייכנסו עלוני פרסום, כי זה מציק לבעל הבית המאוד-עסוק וכי ממילא הוא בודק את הדואר. אבל אם המאבטח טועה וזורק דואר שהוא חשב שהוא עלון פרסומי אבל הוא בעצם דואר שבעל הבית היה צריך – אוי, כמה בעל הבית יכעס שהדואר הזה חסר לו.

כן, רוצים שהמאבטחים יהיו טופ-אוף-דה-שנוץ (סתם ביטוי שהמצאתי), שיהיו מוכנים לטפל בכל הסכנות הגרועות ביותר.
כן, אבל אם הם כבר שם, שיעיפו את המטרדים הקטנטנים. נו, במילא משלמים להם, אז שינקו גם את הדסקטופ.

הבעיה היא שהמפלצת הזו של הספאם הופכת להיות מטרד גם בגלל הגישה של הארגון. מדי פעם אני מקבל מה-Help Desk דרישות חד-משמעיות ובלתי-מתפשרות, המגיעות מעובדים, שהם מקבלים יותר מדי ספאם אל תיבת הדוא"ל הפנימית שלהם.
כאשר אני מתעניין כמה זה "יותר מדי", מתברר שהם מקבלים 6 (שש!) הודעות ספאם בשבוע.
כאשר אני מוכיח להם שבסה"כ השבועי נשלחו אליהם משהו כמו 6,000 הודעות דוא"ל, מהן בערך 240 עברו פנימה והשאר ספאם, זה משתיק אותם למשך חודש, ואז הם שוב חוזרים. וכל זאת כאשר המערכת מוקשחת ברגישות הספאם שלה למקסימום. אני מנסה להסביר להם שאין לי ממש מה לעשות יותר בעניין, אבל הם מתעקשים ואז אני מעביר אותם לבוס שלי, רגע לפני שאני מגיע אליהם. אישית.

לפעמים אני חושב שיש בארגונים גדולים לא מעט אנשים משועממים שכנראה אין להם יותר מדי עבודה ומחפשים להתלונן על כל שטות שנותרה לאחר שנעשה המקסימום בכדי למנוע אותה והם באמת יכולים לחיות איתה.

וכמובן, יש במקביל גם את העובדים ההופכיים. אלו שבגלל שרגישות סינון הספאם נמצאת במקסימום, מתלוננים שנחסמות להם הודעות דוא"ל לגיטימיות… והם, מן הסתם בעל הצדקה יותר גבוהה לכעוס לעומת קודמיהם.

ואני באמצע!!!
אולי אני אפגיש בין שתי קהילות עובדים אלו, שהם יחליטו, יחדיו, על רמת רגישות הסינון של הספאם…

אז כמו שאמרתי, אני שונא לנהל ספאם. זה לא ממש התפקיד שלי, זה ממש לא אבטחת מידע, ועובדים יקרים – תשלימו עם הצרות הקטנות של החיים.
תאמינו לי, יש צרות יותר גדולות (ואתם תכירו אותן אם תמשיכו להתלונן שנכנס לכם ספאם… (-: ).

מצד שני יש אנשים שנענו לספאם והרוויחו בגדול…