קודם תקראו את הכתבה בגלובס בשם "פרצת מידע בישראל: ניתן לחדור למצלמות אבטחה של מוסדות שונים". גיא מזרחי, אותו אני מאוד מעריך, משום מה התלהב מכך. ורפי איבגי שביצע את העבודה העלה גם מספר תמונות לבלוג של גיא.
מכיוון שתחום ההאקינג הוא רווי אגו, לעתים ברמה ילדותית, אני רוצה להיות זהיר ולהצהיר שבכתיבת פוסט זה אין לי כוונה להלהיט יצרים, אבל מצד שני אני בהחלט רוצה להגיד את דברי (ואני לא מחשיב עצמי האקר, אז אני מוותר מראש…).
בלי להכיר את רפי ואם גיא מהלל אותו אז זה לבטח נכון ומבלי כוונה להרוס את חגיגת יחסי הציבור של סיטדל (כמות התגובות המתלהבות בכתבה של "גלובס" קצת חשודה), לא ברור לי מה החידוש המסעיר בפרסום הזה, לפחות עבור העובדים בתחום.
הרי נציג יבואנית המצלמות מצוטט: "הפריצות מתאפשרות במצלמות מהגרסאות הוותיקות. בשנתיים האחרונות, המצלמות שלנו מאובטחות לחלוטין".
"ומה עושים הלקוחות שקנו מצלמות לפני שנתיים?- שוורץ: הם צריכים לשדרג את התוכנה. הגרסאות החדשות בטוחות."
אז כן, זו תוכנה של חומרה (אז מה?), אלו מצלמות, זה סקסי, כולם אוהבים להציץ ולראות תמונות ולהרגיש כל יכולים, רואים ובלתי-נראים, אבל לא מדובר בפרצה חדשה שלראשונה נתגלתה בעולם אלא מדובר במצב הרגיל שלקוחות לא מעדכנים תוכנה בכדי לסתום חורים ידועים. הרי מזה חי כל עובד בתחום ה-PEN TEST, שמן הסתם בכל עבודה שניה (אם לא בכל עבודה ועבודה) מוצא לפחות פרצה אחת כזו, שכבר קיימת פרק זמן כלשהו ולא התקינו לה את הפאטצ', ודרכה הוא חודר למערכות הלקוח.
אם מישהו היה אומר לכם שהוא יכול לפרוץ ל-X כי ב-X יש רכיב תוכנה שנתגלתה בו פרצה לפני שנתיים ומאז תוקנה, לא ממש תתרגשו. סתם תאנחו כי שוב הלקוח לא עדכן פאטצ'ים.
כך שהמקרה הזה הוא טריגר טוב להביא אותי למה שזה כבר כמה זמן רציתי לכתוב ולא יצא לי – הרי כל הדרמה עם מיליוני המחשבים שנדבקו בינואר 2009 ב-Confiker היתה בגלל שלא התקינו עדכון של MS מאוקטובר 2008.
כלומר, יותר משהבעיה היא טכנית היא של מוּדעות ותפעול.
היצרן יוצר פאטצ'. הלקוח צריך לדעת על הפאטצ', הלקוח צריך להתקין, הלקוח צריך לאתחל את המחשב.
הצעד הראשון הוא הקל מבין כולם, השאר קשים לביצוע אבל אם הם יבוצעו נגיע למצב האידיאלי של מניעה במקום תיקון לאחר הדבקות והשבתה.
מניסיוני בארגונים זה לא קל, בייחוד הצורך באתחול. מילא תחנות עבודה שעוד יחסית קל לאתחל אותן – בשרתים זה יוצר התנגדות חריפה של אנשי הסיסטם, שבצדק רב רוצים להימנע מהשבתות של שרתים ויישומים מרכזיים, ותמיד קיים החשש שבאתחול משהו יידפק, ולו בגלל פעולת סיסטם עלומה שבוצעה מאז האתחול הקודם ועכשיו היא תגרום לבעיה (ומן הסתם מייד יאשימו את הפאטצ', וגם זה לפעמים נכון…).
אז אין ברירה, ואני תמיד אומר שפחד זה לא מדיניות, ולדעתי עדיף להימנע מהשבתה רוחבית של עשרות שרתים ו/או מאות תחנות לזמן לא קצר לצורך ניקוי קוד זדוני במחיר של השבתה לזמן קצר ומתוכנן בגלל אתחול שלאחר התקנת פאטצ'.
.
תשמעו חבר'ה גם אני לא הכרתי את הבחור ובעקבות כל השיחה הזאת חיפשתי וגוגל וואלה יש לו 7 דפים של ממצאים מאומתים מיצרנים ב SecurityFocus אז כנראה שהוא מבין משהו בחייו…
https://www.google.co.il/search?q=securityfocus+%22advanced+search%22&ie=utf-8&oe=utf-8&rls=org.mozilla:en-US:official&client=firefox-a&gws_rd=cr&ei=MGZQUoPECpGo0AWi_YHoDA#q=site:securityfocus.com+%22rafel+ivgi%22&rls=org.mozilla:en-US%3Aofficial
שני אלה גם נראה לי די מתוחכמים
http://downloads.securityfocus.com/vulnerabilities/exploits/27756.html
http://www.securityfocus.com/bid/32780/discuss
גיא היקר, אני יודע מאיפה אתה מכיר את רפאל, משום שאני יודע שאתה עדיין מועסק שם ובאיזה פורמט. אני גם יודע שאתה אוהב להופיע בכנסים (כמו ilhack09 או הכנס של מכון נטוויז'ן) עם חולצת got root המפורסמת שלך. אל חשש. אני יודע כל מה שצריך לדעת על הנוגעים בדבר.
העניין הוא שכל עוד דמויות וירטואליות מדברות באינטרנט על דברים ללא מידע, בלתי-אפשרי להתייחס אליהם ברצינות. full disclousre לא סותר "responsible disclosure". אני אתן כדוגמה את ההרצאה האחרונה של קמינסקי ב-BLACKHAT או את ההרצאה המפורסמת של מייקל לין ב-BLACKHAT לפני שנים: נותנים את כל המידע לאחר שנתנו ליצרנים וללקוחות מספיק זמן ומידע כדי להגן על עצמם.
בקיצור שו, אני מניח שאחרי התיקון, כשרפי יוכל לשחרר את הפרטים כולם יהיו מרוצים.
ועכשיו סיקרנת אותי מי אתה 🙂