קווין מיטניק בישראל

אני לא יודע אם זה קשור לשובם לגבולנו של הבוני וקלייד הדיגיטליים שלנו, בני הזוג מיכאל ורות האפרתי (הידועים בלהיטם "הבא בתור הוא סוס") – אבל קווין מיטניק, ההאקר (לשעבר) המפורסם בעולם (תואר שגם זיכה אותו בחופשה ארוכה במתקני שירות בתי-הסוהר של ארה"ב), יכבד בנוכחותו את ארץ הקודש, ב-23 לפברואר 2006 בתל-אביב, במסגרת כנס אבטחת מידע (קובץ PDF) (האתר באנגלית) של הסניף הישראלי של חברת הייעוץ העולמית IDC (שזה כמו גרטנר, רק בלי ריבוע קסם).

מר מיטניק עובד כיום כיועץ אבטחת מידע עצמאי. כנראה שהוא הבין לבסוף שבתור יועץ הוא יכול להרוויח לא פחות מאשר בפשיעה מקוונת, לבצע פחות או יותר את אותה העבודה ולבסוף אפילו יודו לו (גם אם לא תמיד ידעו למה).

                                         הנחתום מעיד על עיסתו

(גילוי נאות: גילעד נס, עובד IDC (יש תמונה!), הינו ידיד וירטואלי)

בתחילה נראה אמנם שהנושא המרכזי של הכנס הוא הצד האנושי-חברתי של הפשיעה המקוונת, ועל כן קווין הוא המרצה הראשי, אולם בסה"כ נראה ש, כרגיל, בסוף יש מספר נושאים בתכנית, בכדי שקהל רחב ככל שניתן יגיע (ואכן, מניסיוני, רובם רחבים), ואם ניתן, אז שגם ישלם:

* כאמור לעיל, ההרצאה המרכזית היא של מיטניק, ושמה "אמנות ההונאה", כשמו של הספר שכתב בנושא (שאגב, מצוי ברשת באופן חופשי בתבנית PDF. סורק מהאקר (לשעבר) פטור?).
המרטיר כנראה ידבר על מה שקרוי "Social Engineering", מה שקרוי בעברית "הנדסה חברתית", או בעברית צחה: קומבינה, לעבוד על אנשים בכדי להוציא מהם מידע או לגרום להם לבצע פעולות שונות.

* דן יכין (IDC ישראל) – על דליפת מידע מארגונים (מה שמחזיר אותנו למשפחת האפרתי והטרויאני), נושא שתופס תאוצה וחשיבות לאחרונה, וקיימים בארץ כמה יצרנים עם פתרונות מעניינים.

* אריאל פלד (נשיא סניף ישראל של ארגון אבטחת המידע ISSA. האתר הישראלי עדיין לא פעיל) – על הקונפליקט בין אבטחת מידע לפרטיות.

* ולדובר המפתיע של הכנס, סגן ניצב אבי אביב, ראש מפלג עבירות מחשב החדש של משטרת ישראל – מגיקים לעבריינים, על התחכום והמקצועיות הגוברים של הפושעים המקוונים.
נדמה לי שזו תהיה ההופעה הפומבית הראשונה שלו מאז כניסתו לתפקיד.

* כרגיל, שאר ההרצאות (שהן הרוב), הן של דוברים של חברות מסחריות המעניקות חסות כלכלית לכנס, ולכן לא אפרט אותן כאן (אם כי הן בהחלט יכולות להיות מעניינות).

בטופס ההרשמה לכנס ניתן לשמור מקום תמורת סכומים שונים של עשרות דולרים, אם כי נשמרים 100 מקומות חינם לבכירים רלוונטיים לנושא, על בסיס כל הקודם זוכה (אני חושב שגם שייכות לארגון עם כיסים עמוקים יכולה לעזור). נסו את מזלכם.

אני משער שבמסגרת יחסי-הציבור לכנס נוכל לקרוא ראיון נרחב עם הקדוש באחד ממוספי סוף השבוע במי מעיתוני ארצנו אשר התחנף או איים טוב יותר. במקרה הזה אני חושב שעדיף להתחנף.

(ואגב, IDC, בלי להעליב, בפעם הבאה תביאו מישהו פחות מיתולוגי אבל קצת יותר רלוונטי לימינו,
כמו ברוס שיינר, אתם יכולים. תודה.)

אין עסקים כמו עסקי אבטחת המידע

בחור בשם Thomas Millot עבד כמנתח מערכות וכאחראי אבטחת מידע בסניף קנזאס סיטי של חברת Aventis Pharmaceuticals.
במסגרת עבודתו, הבחור היה אחראי גם על ניהול מערכת הזדהות ידועה של חברת RSA, בשם SecurID, המשמשת בעיקר לגישה למשאבי ה-IT ממיקומים חיצוניים לחברה.
מוצר זה מחייב שילוב של כרטיס חומרה (Token) בידי מבקש הגישה בצד החיצוני, ובנקודת הגישה לחברה נדרש שרת ניהול אשר יאשר או ידחה את הגישה, בהתאם להגדרות המשתמשים והרשאותיהם.

בשנת 2000, חברת Aventis העבירה את ניהול אבטחת המידע בחברה, כנראה בשיטת מיקור חוץ (OutSourcing), לידי חברת IBM הגדולה והידועה בשירותיה המקצועיים.
מיודענו תומס נותר ללא עבודה.

אבל, תומס השאיר לעצמו מזכרת שלא הייתה צריכה להישאר ברשותו – כרטיס ה-SecurID שלו.
בעזרת כרטיס זה הוא ביצע, לאחר סיום עבודתו בחברה, תשע כניסות למשאבי המחשוב של החברה, ואפילו מחק את חשבון המשתמש של מנהל השירותים הטכניים של החברה…

חברת IBM, כאחראית על אבטחת המידע, נחלצה לעזרה, ביצעה חקירה בכדי לפענח מה התרחש ואף שחזרה את החשבון שנמחק.
לא, לא כחלק מאחריותה לאבטחת המידע. בנפרד. בסכום של 20,350$, על פי 50$ לשעה.
כלומר, 407 שעות. כלומר, כמעט 17 ימים רצופים של עבודה של אדם אחד, במשך 24 שעות ביום. כלומר, 45 ימים של עבודה של אדם אחד, במשך יום עבודה של 9 שעות.
אבל בטח IBM השקיעה לפחות שני אנשים למשימה, אז, טוב, 22.5 ימי עבודה של 9 שעות של שני עובדים.

המשך הסיפור הוא שתומס הורשע בבית המשפט ואף קיבל עונש מאסר וקנס, אבל זה לא העניין כאן.

חברת IBM שיחקה אותה כאן, ובענק:
* קיבלה אחריות על אבטחת המידע בחברה
* לא נטרלה או מחקה חשבון בעל זכויות נרחבות וחזקות בתחום אבטחת המידע, אשר בעליו כבר אינו עובד החברה
* לא ביצעה בדיקת מצאי של כל כרטיסי ה-SecurID ומיקומם, ובהתאמה לא דאגה לקבל בחזרה את הכרטיס של תומס
* לא הפעילה מנגנון רישום (Auditing) של פעולות ההזדהות בשרת ה-SecurID או שהפעילה ולא שמרה את הרישומים שבוצעו, ולכן נזקקה לבצע חקירת "בדיעבד" כה מאומצת
* שמחה לסייע לחברת Aventis לחקור את סדרת התקיפות המתוחכמות, אפילו שזו, לדעת IBM, אינה פעילות בתחום אחריותה כמנהלת אבטחת המידע בחברה
* חייבה את חברת Aventis בסכום סמלי בלבד בעבור מאמציה יוצאי הדופן

אין ספק ש-IBM הוכיחה כאן התנהלות מקצועית, אתית ועסקית יוצאת דופן.
לא סתם היא אחת מחברות המחשוב הגדולות בעולם. 

אחרי כל מקרה כזה אתה צריך לרכוש מחדש את אמון הלקוחות, ולחטוף מבטים עקומים מלקוחות חדשים.
יש רגעים בתחום הזה שבא לך לדפוק את הראש בקיר. לא, לא את הראש שלך.

מדיניות הדלת הגלויה

אם יש משהו שמביא לי את הקריזה באבטחת מידע (בעצם לא רק) זו עצלנות/רשלנות. שתי דוגמאות, מתחום פיתוח האתרים.

חברת הציוד המשרדי "קרביץ", שוקדת בימים אלה על הקמת אתר אינטרנט משלה.
כל הניגש לכתובת www.kravitz.co.il רואה את המסר הבא:

עד כאן צפוי ורצוי. אולם, לא תמתינו יותר ממספר שניות ותועברו אוטומטית לדף הבא:

וכמובן שבדף הכתובת של הדפדפן מופיע הקישור המלא לטופס ההזדהות לכניסה למערכת הניהול, קישור שמרבית הסיכויים שיישאר זהה גם לאחר עליית האתר לאוויר באופן רשמי.
כל מה שצריך בכדי שתוקפים ינסו לפרוץ למערכת על ידי ניחוש סיסמאות (Brute Force). כדאי לקוות גם שהסיסמאות הן לא פשוטות או מוכרות מדי.

ונעבור לדוגמא השנייה:
במהלך גלישה באתר של אחד מלקוחות חברת iDune מנתניה, אשר פיתחה פלטפורמה ליצירת אתרי אינטרנט ותחזוקתם, ביצעתי הקלקה של המקש הימני של העכבר באחד מהדפים באתר. מייד, במקביל לפתיחת תפריט ההקשר של הדפדפן, נפתח סרגל כתום, בתחתית הדף, המציג מצד שמאל את לוגו החברה, ומצד ימין כפתור עם אייקון של פנים:

 

 

מסקרן, נכון? לחצתי:

ובכדי להסביר באילו אתרים נוספים המערכת מותקנת, יש גם רשימת לקוחות של החברה. המערכת כנראה מאפשרת למנהליה לבטל סרגל כלים זה (או להגביל את הפעלתו לכתובות IP ממקור ספציפי), כי בחלק מאתרי הלקוחות אפשרות זו אכן אינה פעילה. באתר של iDune עצמה האפשרות פעילה (היא כנראה פעילה כברירת מחדל), אולי בכדי להדגים את קלות ניהול המערכת. אגב, הסרגל פעיל מכל דף ברחבי כל אתר המנוהל על ידי המערכת.

במאי השנה יצרתי קשר דואל עם החברה ובו ביקשתי לדבר איתם טלפונית לגבי בעיית אבטחת מידע ומסרתי את מספר הנייד שלי. לאחר מייל חשדני מצד המנכ"ל, הבהרתי לו שאני רוצה להסב את תשומת ליבם למשהו, ואני עושה את זה מתוך רצון טוב וללא בקשה לתמורה כלשהיא. לבסוף יצר איתי קשר טלפוני אדם מהחברה, כנראה אחד ממנהלי החברה, אינני זוכר את שמו, והסברתי לו את הנושא. הוא אמר שהם לא רואים בכך בעיית אבטחת מידע, ובזאת נסתיימה השיחה.

ברור לי שלא כל האתרים דורשים הגנות מתקדמות ויש צורך להקל על האנשים המקימים ומתחזקים את האתרים, כי לא תמיד הם בעלי ידע מספיק במחשוב. אבל המינימום הוא לא להציג את "דלת הכניסה" לאתר בדרכים כל כך אוטומטיות או על ידי שימוש סביר בדפדפן.

אתר "מרכז רבין" מציע לכם משכנתאות, נדל"ן ומניות

טלי ביקשה שאסייע לה למצוא תכנים בנושא מנהיגות, במסגרת תפקידה כרכזת האחראית על מועצת תלמידים, ותוך כדי החיפוש מצאתי את האתר rabin.org .

האתר מוזכר במקומות רבים ברשת, כמקור למידע והנצחה אודות יצחק רבין, כך שכנראה מדובר בשם דומיין אחד מני רבים לאתר של "מרכז רבין" (בהמשך).
דף המטמון (Cache) של האתר, בגוגל, מרמז במבנהו וצבעיו כי אכן בדומיין זה ניתן למצוא באופן רגיל את האתר הרשמי, מה גם שהתאריך של דף זה הוא מה-7 לאוקטובר 2005 (כלומר, מאתמול).

על פי אתר dnsstuff.com (אתר מעולה למציאת מי עומד מאחורי כתובת IP או שם דומיין ועוד טריקים חביבים), הדומיין rabin.org שייך ל"The Association for Yitzhak Rabin Center for Israeli Research", בעלת הדומיין rabin-center.org.il שאין לו אתר פעיל כרגע. איש הקשר שרשום בעבור דומיין זה הוא ראובן וימר, כנראה הפרסומאי.

מדובר בעמותה אשר עומדת מאחורי "מרכז רבין", בעלת הדומיין http://www.rabincenter.org.il אשר דווקא פעיל ומציג אתר מושקע אודות יצחק רבין.
בעלי הדומיין הם The Yitzhak Rabin Center For Israel Studies.
מר וימר הוא אחד מחברי הנהלת העמותה.

איתור כתובת ה-IP המשויכת כעת לשם הדומיין rabin.org הובילה לכתובת ‏216.152.252.55, אשר באמת מציגה אתר בעל מראה דומה לזה המתקבל מגלישה כעת לאתר rabin.org.
איתור המיקום הנוכחי של האתר ברשת (TraceRoute) העלה כי הוא משויך (על ידי כתובת ה-IP הנ"ל) לאתר בשם unknown.xeex.net אשר שייך לחברה בשם Thought Convergence, אשר פעילה בשני תחומים: מנוע חיפוש משולב, והתחום הרלוונטי למקרה שלנו: הגדלת הכנסות באמצעות הקלקות על תוצאות חיפוש, אשר מוצגות בדפי Parking (הצבת דף יחיד ופעיל בכתובת הדומיין, עד להקמת אתר מלא, בכדי למנוע שימוש בלתי-מורשה בשם הדומיין).

אני משער שלא מדובר בשירות Parking שהוזמן על ידי העמותה – כי קשה לי להאמין שחברי העמותה הסכימו באופן מודע שכך ייראה דף הבית של דומיין זה, ללא דף מתאים או הפניה לאתר הרשמי של "מרכז רבין"; וגם בשל דף המטמון של גוגל, כנזכר לעיל.

ההשערה שלי היא שהתרחשה כאן חטיפת דומיין (רק כתובת ה-IP לצורך הפנית הגולשים, ולא הבעלות על השם) על ידי סוחרי אינטרנט זריזים,  כנראה על ידי DNS Poisoning (הסבר על ההתקפה ודרכים למניעתה).

זהו. אני הולך לשלוח דואל לעמותה, שיטפלו בזה.
לילה טוב לכם.

(עדכון, 16/11/05 – רק לפני מספר ימים, בסמוך לציון עשר שנים להירצחו של יצחק רבין ועם פתיחתו הרשמית של של משכן "מרכז יצחק רבין לחקר ישראל" – הקישור אינו מוביל לדף הנזכר לעיל. המצב כעת הוא שפשוט אין כרגע כתובת IP כלשהיא המשויכת לשם הדומיין הזה ולכן הקישור מוביל להודעת שגיאה שהשרת לא נמצא.)

(עדכון, 28/3/2006 – הבעלות על האתר יצאה מידי "The Association for Yitzhak Rabin Center for Israeli Research" ואינה שייכת לו עוד. סוף הסיפור)

הטרויאני המוסלמי הראשון (כנראה)

יש טרויאני חדש, שיש המכנים אותו Yusufali.a או TROJ_CAGER.A, כפי שמכנה אותו חברת האנטי-וירוס Trend Micro (כדאי, יש תמונות מסך של הסוס האציל).

טברייני זה בודק את הכותרת של הדפדפן, ומנסה לאתר מגוון מילים המעידות על שיטוט באתרים בעל גוון תשוקתי משהו. אם נמצאו מילים גסים, הוא מקטין למינימום את הדפדפן ומציג חלון עם ציטוט מהקוראן (משהו על זה שלאללה יש בלעדיות בתחום האלוהות, או משהו כזה, ושכדאי שתבקשו סליחה על המנהגים המגעילים שלכם).
לאחר מכן הצוהל הזה לוכד אתכם בתיבת דיאלוג עם שלושה כפתורים (ניתוק, כיבוי ואתחול של המחשב), אבל כולם למעשה יגרמו לניתוק (LogOff).

האם מגמה של חזרה בתשובה בתחום הקוד הזדוני? שיטה מיסיונרית חדשה? חינוך מחדש? האם הדתות האחרות יביאו בסוסים משלהן? כל אלה ועוד, בקרוב על מסך המחשב שלכם.