Web Analytics

בבנק?! פינטו? בבנק?!

אתר בנק ישראל באנגלית נפרץ ופירצפו לו את הצורה. קאקר מוסלמי. האתר לא זמין כרגע. כנראה בשלב הדבקת הפלסטרים. יופי.

אתר בנק ישראל הוא לא רק אתר תדמיתי (ואנחנו יודעים עד כמה בנק ישראל צריך לעבוד על התדמית), אלא גם מכיל נתונים פיננסיים תפעוליים (כמו שערים יציגים, ריבית פריים ונתונים היסטוריים), רבים מהם כקובצי אקסל.

בוא ונניח שלמשל מערכת אבט"מ כלשהי עושה לכם צרות בהורדת קבצים מאתר כמו בנק ישראל, לא משהו אבטחתי, סתם שיבוש הפונטים בקבצים למשל, ויש לעובדים בחברה שלכם צורך קבוע להוריד מדי פעם קבצים אלו – לא תכניסו את אתר בנק ישראל ל"רשימה הלבנה"? הרי זה בנק ישראל, אם לא נסמוך עליהם, אז על מי נסמוך?!

בתור איש אבטחת מידע, יש תמיד את הספק במי לבטוח. הרי העסק עובד כך:
אם אתה סומך על א' וא' סומך על ב' – אז למעשה אתה סומך על ב'. ואתה בכלל לא מכיר את ב'.
ואתה בכלל לא באמת סומך על א' לאור עובדות שיש לך, לא ערכת לו ביקורת אבט"מ וגם אם ערכת – אתה יודע שהיא נכונה לרגע הבדיקה ולא דקה אחרי.
הרי אם הקאקר היה פושע בעל כוונות ריגול עסקי או גניבה – הוא היה יכול להשאיר את האתר כמו שהוא ורק להוסיף לו קוד זדוני במיקום פופולרי… ומשם הדרך כבר מוכרת.
הפריצה הזו היא בדיוק מסוג האירועים שצריכים ללמד אותנו לא לסמוך על אף אחד חוץ מעל עצמנו. לא שאנחנו מחוסנים ומאובטחים ב-100%, אבל בטח שאין טעם להרחיב את מעגל הסיכונים אליהם אנו נחשפים.

לא מזמן בנק ישראל השיק מערכת סליקה בזמן אמת. איך לקוחות המערכת (מוסדות פיננסיים) והלקוחות של אלו (אנחנו) אמורים לבטוח בבנק ישראל שיצליח לאבטח באופן סביר מערכת כה מורכבת, כאשר רכיב פשוט יחסית כמו אתר אינטרנט סטטי (כלומר, בלי פעולות) הוא לא מצליח לאבטח מפני ההתקפה הנפוצה ביותר ברשת?

איך המוסדות הפיננסיים בישראל אמורים להתייחס כעת לבנק ישראל, שכולל גם יחידת פיקוח על הבנקים, שפרסמה הוראות אבטחת מידע לבנקים ולחברות הביטוח (טעות שלי, את הוראות האבט"מ לחברות הביטוח פרסם המפקח על הביטוח במשרד האוצר, שאינו קשור, כמובן, למקרה זה)? מי ישמור על השומרים? מי יסמוך על השומרים?

סרטים על Phreaking

אם יש נושא  שלאבטחת מידע יש בו חסר מתמיד הוא, באופן טבעי, תיעוד היסטורי מסודר או אפילו מולטימדיה שאינה חינוכית (אפשר עם מירכאות כפולות). רוב מה שיש הוא או כתבות טלוויזיה וראיונות או סרטים בידוריים לקהל הרחב.

אשתדל להביא בעתיד דברים שמצאתי בעבר, אבל מה שמצאתי כרגע זה ריכוז של סרטים על Phreaking, פריצות למערכות טלפוניה, דור המייסדים של הקראקרים. קווין מיטניק התחיל (ודי נעצר. תרתי משמע…) שם.
כדאי לכם לשמור אצלכם עותק, כי מי יודע כמה זה יישאר זמין ברשת.

פוסט פתיחה

טוב. צריך להתחיל מאיפשהו. אז נתחיל מכאן.

שמי איתן כספי. פרטים נוספים אודותיי תמצאו בדף "אודות", למעלה משמאל.

הבלוג הזה קם מתוך בלוג "החיים" שלי, ובהמשך לבלוג הטכנולוגיה שלי – מתוך צורך שלי לרכז במקום ייעודי את הכתיבה שלי על אבטחת מידע, כולל, עד כמה שניתן, תכנים מקצועיים רלוונטיים.

אבטחת מידע הוא תחום עיסוקי העיקרי בארבע השנים האחרונות והמשני בארבע שנים נוספות.
כמו הרבה דברים בחיים נקלעתי לעיסוק זה שלא במתכוון, מתוך מהלך עבודתי ולא מתוך ידיעה ברורה מגיל צעיר שזה ייעודי. ממש לא. אבל אהבתי את מה שמצאתי ואת מה שעשיתי, אז הלכתי עם זה הלאה.
אני לא יכול לדעת אם זה יהיה התחום העיקרי שבו אתמקד גם בעתיד, כי החיים, אתם יודעים, זה לא תכנית כבקשתך.

הבלוג יעסוק באבטחת מידע בהיבטים מגוונים ככל שניתן, טכנולוגיה, מוצרים, מגמות, אירועים, רגולציה וכמובן – הצד האנושי.

(אגב, אני לא כ"כ מת על תבנית העיצוב הנוכחית, אבל זו התבנית הכי סבירה בעברית שמצאתי כתואמת ברוחה לאבטחת מידע. אני מקווה בהמשך להחליף אותה)

כרגיל, יש לכם אפשרות להישאר מעודכנים (הקישורים מצד שמאל למעלה) באמצעות RSS (פוסטים חדשים / תגובות חדשות) ו/או באמצעות דוא"ל.

שיהיה לנו בכיף.