קווין מיטניק בישראל

אני לא יודע אם זה קשור לשובם לגבולנו של הבוני וקלייד הדיגיטליים שלנו, בני הזוג מיכאל ורות האפרתי (הידועים בלהיטם "הבא בתור הוא סוס") – אבל קווין מיטניק, ההאקר (לשעבר) המפורסם בעולם (תואר שגם זיכה אותו בחופשה ארוכה במתקני שירות בתי-הסוהר של ארה"ב), יכבד בנוכחותו את ארץ הקודש, ב-23 לפברואר 2006 בתל-אביב, במסגרת כנס אבטחת מידע (קובץ PDF) (האתר באנגלית) של הסניף הישראלי של חברת הייעוץ העולמית IDC (שזה כמו גרטנר, רק בלי ריבוע קסם).

מר מיטניק עובד כיום כיועץ אבטחת מידע עצמאי. כנראה שהוא הבין לבסוף שבתור יועץ הוא יכול להרוויח לא פחות מאשר בפשיעה מקוונת, לבצע פחות או יותר את אותה העבודה ולבסוף אפילו יודו לו (גם אם לא תמיד ידעו למה).

                                         הנחתום מעיד על עיסתו

(גילוי נאות: גילעד נס, עובד IDC (יש תמונה!), הינו ידיד וירטואלי)

בתחילה נראה אמנם שהנושא המרכזי של הכנס הוא הצד האנושי-חברתי של הפשיעה המקוונת, ועל כן קווין הוא המרצה הראשי, אולם בסה"כ נראה ש, כרגיל, בסוף יש מספר נושאים בתכנית, בכדי שקהל רחב ככל שניתן יגיע (ואכן, מניסיוני, רובם רחבים), ואם ניתן, אז שגם ישלם:

* כאמור לעיל, ההרצאה המרכזית היא של מיטניק, ושמה "אמנות ההונאה", כשמו של הספר שכתב בנושא (שאגב, מצוי ברשת באופן חופשי בתבנית PDF. סורק מהאקר (לשעבר) פטור?).
המרטיר כנראה ידבר על מה שקרוי "Social Engineering", מה שקרוי בעברית "הנדסה חברתית", או בעברית צחה: קומבינה, לעבוד על אנשים בכדי להוציא מהם מידע או לגרום להם לבצע פעולות שונות.

* דן יכין (IDC ישראל) – על דליפת מידע מארגונים (מה שמחזיר אותנו למשפחת האפרתי והטרויאני), נושא שתופס תאוצה וחשיבות לאחרונה, וקיימים בארץ כמה יצרנים עם פתרונות מעניינים.

* אריאל פלד (נשיא סניף ישראל של ארגון אבטחת המידע ISSA. האתר הישראלי עדיין לא פעיל) – על הקונפליקט בין אבטחת מידע לפרטיות.

* ולדובר המפתיע של הכנס, סגן ניצב אבי אביב, ראש מפלג עבירות מחשב החדש של משטרת ישראל – מגיקים לעבריינים, על התחכום והמקצועיות הגוברים של הפושעים המקוונים.
נדמה לי שזו תהיה ההופעה הפומבית הראשונה שלו מאז כניסתו לתפקיד.

* כרגיל, שאר ההרצאות (שהן הרוב), הן של דוברים של חברות מסחריות המעניקות חסות כלכלית לכנס, ולכן לא אפרט אותן כאן (אם כי הן בהחלט יכולות להיות מעניינות).

בטופס ההרשמה לכנס ניתן לשמור מקום תמורת סכומים שונים של עשרות דולרים, אם כי נשמרים 100 מקומות חינם לבכירים רלוונטיים לנושא, על בסיס כל הקודם זוכה (אני חושב שגם שייכות לארגון עם כיסים עמוקים יכולה לעזור). נסו את מזלכם.

אני משער שבמסגרת יחסי-הציבור לכנס נוכל לקרוא ראיון נרחב עם הקדוש באחד ממוספי סוף השבוע במי מעיתוני ארצנו אשר התחנף או איים טוב יותר. במקרה הזה אני חושב שעדיף להתחנף.

(ואגב, IDC, בלי להעליב, בפעם הבאה תביאו מישהו פחות מיתולוגי אבל קצת יותר רלוונטי לימינו,
כמו ברוס שיינר, אתם יכולים. תודה.)

אין עסקים כמו עסקי אבטחת המידע

בחור בשם Thomas Millot עבד כמנתח מערכות וכאחראי אבטחת מידע בסניף קנזאס סיטי של חברת Aventis Pharmaceuticals.
במסגרת עבודתו, הבחור היה אחראי גם על ניהול מערכת הזדהות ידועה של חברת RSA, בשם SecurID, המשמשת בעיקר לגישה למשאבי ה-IT ממיקומים חיצוניים לחברה.
מוצר זה מחייב שילוב של כרטיס חומרה (Token) בידי מבקש הגישה בצד החיצוני, ובנקודת הגישה לחברה נדרש שרת ניהול אשר יאשר או ידחה את הגישה, בהתאם להגדרות המשתמשים והרשאותיהם.

בשנת 2000, חברת Aventis העבירה את ניהול אבטחת המידע בחברה, כנראה בשיטת מיקור חוץ (OutSourcing), לידי חברת IBM הגדולה והידועה בשירותיה המקצועיים.
מיודענו תומס נותר ללא עבודה.

אבל, תומס השאיר לעצמו מזכרת שלא הייתה צריכה להישאר ברשותו – כרטיס ה-SecurID שלו.
בעזרת כרטיס זה הוא ביצע, לאחר סיום עבודתו בחברה, תשע כניסות למשאבי המחשוב של החברה, ואפילו מחק את חשבון המשתמש של מנהל השירותים הטכניים של החברה…

חברת IBM, כאחראית על אבטחת המידע, נחלצה לעזרה, ביצעה חקירה בכדי לפענח מה התרחש ואף שחזרה את החשבון שנמחק.
לא, לא כחלק מאחריותה לאבטחת המידע. בנפרד. בסכום של 20,350$, על פי 50$ לשעה.
כלומר, 407 שעות. כלומר, כמעט 17 ימים רצופים של עבודה של אדם אחד, במשך 24 שעות ביום. כלומר, 45 ימים של עבודה של אדם אחד, במשך יום עבודה של 9 שעות.
אבל בטח IBM השקיעה לפחות שני אנשים למשימה, אז, טוב, 22.5 ימי עבודה של 9 שעות של שני עובדים.

המשך הסיפור הוא שתומס הורשע בבית המשפט ואף קיבל עונש מאסר וקנס, אבל זה לא העניין כאן.

חברת IBM שיחקה אותה כאן, ובענק:
* קיבלה אחריות על אבטחת המידע בחברה
* לא נטרלה או מחקה חשבון בעל זכויות נרחבות וחזקות בתחום אבטחת המידע, אשר בעליו כבר אינו עובד החברה
* לא ביצעה בדיקת מצאי של כל כרטיסי ה-SecurID ומיקומם, ובהתאמה לא דאגה לקבל בחזרה את הכרטיס של תומס
* לא הפעילה מנגנון רישום (Auditing) של פעולות ההזדהות בשרת ה-SecurID או שהפעילה ולא שמרה את הרישומים שבוצעו, ולכן נזקקה לבצע חקירת "בדיעבד" כה מאומצת
* שמחה לסייע לחברת Aventis לחקור את סדרת התקיפות המתוחכמות, אפילו שזו, לדעת IBM, אינה פעילות בתחום אחריותה כמנהלת אבטחת המידע בחברה
* חייבה את חברת Aventis בסכום סמלי בלבד בעבור מאמציה יוצאי הדופן

אין ספק ש-IBM הוכיחה כאן התנהלות מקצועית, אתית ועסקית יוצאת דופן.
לא סתם היא אחת מחברות המחשוב הגדולות בעולם. 

אחרי כל מקרה כזה אתה צריך לרכוש מחדש את אמון הלקוחות, ולחטוף מבטים עקומים מלקוחות חדשים.
יש רגעים בתחום הזה שבא לך לדפוק את הראש בקיר. לא, לא את הראש שלך.

מדיניות הדלת הגלויה

אם יש משהו שמביא לי את הקריזה באבטחת מידע (בעצם לא רק) זו עצלנות/רשלנות. שתי דוגמאות, מתחום פיתוח האתרים.

חברת הציוד המשרדי "קרביץ", שוקדת בימים אלה על הקמת אתר אינטרנט משלה.
כל הניגש לכתובת www.kravitz.co.il רואה את המסר הבא:

עד כאן צפוי ורצוי. אולם, לא תמתינו יותר ממספר שניות ותועברו אוטומטית לדף הבא:

וכמובן שבדף הכתובת של הדפדפן מופיע הקישור המלא לטופס ההזדהות לכניסה למערכת הניהול, קישור שמרבית הסיכויים שיישאר זהה גם לאחר עליית האתר לאוויר באופן רשמי.
כל מה שצריך בכדי שתוקפים ינסו לפרוץ למערכת על ידי ניחוש סיסמאות (Brute Force). כדאי לקוות גם שהסיסמאות הן לא פשוטות או מוכרות מדי.

ונעבור לדוגמא השנייה:
במהלך גלישה באתר של אחד מלקוחות חברת iDune מנתניה, אשר פיתחה פלטפורמה ליצירת אתרי אינטרנט ותחזוקתם, ביצעתי הקלקה של המקש הימני של העכבר באחד מהדפים באתר. מייד, במקביל לפתיחת תפריט ההקשר של הדפדפן, נפתח סרגל כתום, בתחתית הדף, המציג מצד שמאל את לוגו החברה, ומצד ימין כפתור עם אייקון של פנים:

 

 

מסקרן, נכון? לחצתי:

ובכדי להסביר באילו אתרים נוספים המערכת מותקנת, יש גם רשימת לקוחות של החברה. המערכת כנראה מאפשרת למנהליה לבטל סרגל כלים זה (או להגביל את הפעלתו לכתובות IP ממקור ספציפי), כי בחלק מאתרי הלקוחות אפשרות זו אכן אינה פעילה. באתר של iDune עצמה האפשרות פעילה (היא כנראה פעילה כברירת מחדל), אולי בכדי להדגים את קלות ניהול המערכת. אגב, הסרגל פעיל מכל דף ברחבי כל אתר המנוהל על ידי המערכת.

במאי השנה יצרתי קשר דואל עם החברה ובו ביקשתי לדבר איתם טלפונית לגבי בעיית אבטחת מידע ומסרתי את מספר הנייד שלי. לאחר מייל חשדני מצד המנכ"ל, הבהרתי לו שאני רוצה להסב את תשומת ליבם למשהו, ואני עושה את זה מתוך רצון טוב וללא בקשה לתמורה כלשהיא. לבסוף יצר איתי קשר טלפוני אדם מהחברה, כנראה אחד ממנהלי החברה, אינני זוכר את שמו, והסברתי לו את הנושא. הוא אמר שהם לא רואים בכך בעיית אבטחת מידע, ובזאת נסתיימה השיחה.

ברור לי שלא כל האתרים דורשים הגנות מתקדמות ויש צורך להקל על האנשים המקימים ומתחזקים את האתרים, כי לא תמיד הם בעלי ידע מספיק במחשוב. אבל המינימום הוא לא להציג את "דלת הכניסה" לאתר בדרכים כל כך אוטומטיות או על ידי שימוש סביר בדפדפן.