אם יש משהו שמביא לי את הקריזה באבטחת מידע (בעצם לא רק) זו עצלנות/רשלנות. שתי דוגמאות, מתחום פיתוח האתרים.
חברת הציוד המשרדי "קרביץ", שוקדת בימים אלה על הקמת אתר אינטרנט משלה.
כל הניגש לכתובת www.kravitz.co.il רואה את המסר הבא:
עד כאן צפוי ורצוי. אולם, לא תמתינו יותר ממספר שניות ותועברו אוטומטית לדף הבא:
וכמובן שבדף הכתובת של הדפדפן מופיע הקישור המלא לטופס ההזדהות לכניסה למערכת הניהול, קישור שמרבית הסיכויים שיישאר זהה גם לאחר עליית האתר לאוויר באופן רשמי.
כל מה שצריך בכדי שתוקפים ינסו לפרוץ למערכת על ידי ניחוש סיסמאות (Brute Force). כדאי לקוות גם שהסיסמאות הן לא פשוטות או מוכרות מדי.
ונעבור לדוגמא השנייה:
במהלך גלישה באתר של אחד מלקוחות חברת iDune מנתניה, אשר פיתחה פלטפורמה ליצירת אתרי אינטרנט ותחזוקתם, ביצעתי הקלקה של המקש הימני של העכבר באחד מהדפים באתר. מייד, במקביל לפתיחת תפריט ההקשר של הדפדפן, נפתח סרגל כתום, בתחתית הדף, המציג מצד שמאל את לוגו החברה, ומצד ימין כפתור עם אייקון של פנים:
מסקרן, נכון? לחצתי:
ובכדי להסביר באילו אתרים נוספים המערכת מותקנת, יש גם רשימת לקוחות של החברה. המערכת כנראה מאפשרת למנהליה לבטל סרגל כלים זה (או להגביל את הפעלתו לכתובות IP ממקור ספציפי), כי בחלק מאתרי הלקוחות אפשרות זו אכן אינה פעילה. באתר של iDune עצמה האפשרות פעילה (היא כנראה פעילה כברירת מחדל), אולי בכדי להדגים את קלות ניהול המערכת. אגב, הסרגל פעיל מכל דף ברחבי כל אתר המנוהל על ידי המערכת.
במאי השנה יצרתי קשר דואל עם החברה ובו ביקשתי לדבר איתם טלפונית לגבי בעיית אבטחת מידע ומסרתי את מספר הנייד שלי. לאחר מייל חשדני מצד המנכ"ל, הבהרתי לו שאני רוצה להסב את תשומת ליבם למשהו, ואני עושה את זה מתוך רצון טוב וללא בקשה לתמורה כלשהיא. לבסוף יצר איתי קשר טלפוני אדם מהחברה, כנראה אחד ממנהלי החברה, אינני זוכר את שמו, והסברתי לו את הנושא. הוא אמר שהם לא רואים בכך בעיית אבטחת מידע, ובזאת נסתיימה השיחה.
ברור לי שלא כל האתרים דורשים הגנות מתקדמות ויש צורך להקל על האנשים המקימים ומתחזקים את האתרים, כי לא תמיד הם בעלי ידע מספיק במחשוב. אבל המינימום הוא לא להציג את "דלת הכניסה" לאתר בדרכים כל כך אוטומטיות או על ידי שימוש סביר בדפדפן.