מה הקשר בין ואנונו, רחב והסוס הטרויאני?
הכל עניין של "הנדסה חברתית", כלי הנשק העיקרי של מרגלים אנושיים, שיודעים שאין מי שחסין מפני פיתוי. כיצד ניתן להתמודד עם פרצות האבטחה בעולם הדיגיטלי?
פרשת הסוס הטרויאני הישראלי הצליחה למקד את תשומת לב הציבור למשך שבועיים על בעיה שרובנו מעדיפים להרחיק: העובדה שמערכות המידע, רובן ככולן, קלות כל כך לפריצה ולגניבת סודות או כספים.
ולא עוזר במיוחד לשמוע מהמומחים עד כמה הסוס הזה פרימיטיבי וכמה קל היה לחסום אותו באמצעי אבטחה בסיסיים. אם גופים כלכליים מרכזיים נופלים בקלות כזאת למלכודת פרימיטיבית כל כך, מה יהיו התוצאות של התקפת סוסים אינטליגנטיים יותר, שיחפשו את הכסף שלנו ולא רק את הסודות המקצועיים?
ואנונו, רחב והסוס הטרויאני
כל המומחים לאבטחה איתם דיברתי שותפים לדעה שהסיכון והחיסון הם חיבור של טכנולוגיה עם "הנדסה חברתית".
הביטוי האחרון הוא לשון נקיה להונאה וגניבה במסווה של מצגת שווא. כמו מלכודות ה-Phishing הידועות - והמהדורה העדכנית שלהם Pharming – כאשר ההפצה היא באינטרנט, או פשוט יותר, בגישה ישירה. קל לשכנע עובד משרד תמים וטיפש, שירשה לך להתקין משחק מלהיב על המחשב שלו.
"הנדסה חברתית" היא כלי הנשק העיקרי של מרגלים מהסוג האנושי, החל בגברים ששכנעו את רחב (זו מיריחו) לשכן אותם בביתה בחומה רק לילה אחד, וכלה בסוכנת המוסד ששכנעה את מרדכי ואנונו לפגוש אותה באיטליה.
אנשים שעוסקים בריגול נגדי ובאבטחה עסקית יודעים כי אין אנשים חסינים לחלוטין מפני פיתוי - צריך רק לדעת איך פורצים את כספת ליבם. לפעמים זה כסף, לפעמים אהבה, ובדרך כלל ניצול התחושה היהירה, שכל ההגבלות, תהליכי ההרשאה הפורמליים, הגישה החשדנית והאטימות הכללית הם שטויות של קציני ביטחון פרנואידים ומנהלים נוירוטיים.
אנשי אבטחת מידע נטלי הכשרה
יש מידה מסוימת של צדק בשיפוט המרושע הזה, משום שבדרך כלל אנשי אבטחת מידע במפעלים מגיעים לתפקיד ללא הכשרה עמוקה בתחום הטכני הספציפי שהם אמורים לפקח על יישומו.
רבים מגיעים בכלל מחברות שמירה מסורתיות וקיים פער גדול בין תפיסת העולם שלהם לבין האמיתות של אבטחה לוגית. גם אלה שמגיעים ממסלול טכנולוגי לא תמיד בנויים מבחינה מנטלית להיות "רס"ר הבסיס" ולריב עם כולם על ציות להוראות האבטחה.
בהחלט יש מקום להכשרה מקצועית ספציפית לתחום הזה, שתשלב היבטים טכנולוגיים, פסיכולוגיים, ארגוניים ומנהיגותיים. וכשעורכים את ספירת המלאי של נושאי הלימוד מתברר, שלא מדובר בקורס מזורז הנמשך כמה עשרות שעות בערב, אחרי העבודה, ומסתיים בהענקת תעודות לכולם, כולל אלה שנרדמו בשיעורים.
צריך לקחת את זה ברצינות, משום שתוך שנים ספורות אבטחת מידע תהייה הנושא עליו יקום או ייפול עסק בעולם של eBusiness.
מצב של אינפקציה מתמדת
בצד הטכני ברור שצריך ליישם באדיקות את כל המכשירים הקיימים לחסימת וירוסים, תולעים, מרגלים, וסוסים טרויאניים לפני שהם נכנסים לרשת ולמחשבים, וכלים לחיסול יסודי של מי שעבר את המחסומים.
יש לא מעט מוצרים אפקטיביים בתחום הזה, אבל האמצעים הקיימים הם תגובה לסיכונים המוחשיים ביותר ולא הכנה לקראת הסיכונים שיגיעו בעתיד, אפילו לא העתיד הקרוב.
לדעתי צריך לצאת מנקודת ההנחה שבעוד שנה, שנתיים או שלוש, לכל היותר, אי אפשר יהיה להחזיק מחשב המחובר לאינטרנט במצב סטרילי.
במקום לבוא בטענות ליצרני התוכנה, להרים ידיים מול מהנדסי ההונאות, או לחזור לעידן הקדם אינטרנטי, צריך למצוא אמצעים אפקטיביים לחיות במצב של אינפקציה מתמדת.
כפי שחולי איידס למדו לחיות עם HIV, וחולי לב, סכרת ומחלות כרוניות אחרות יודעים כי תוחלת החיים שלהם תלויה במשטר תרופות ותזונה קפדני.
נקודת המוצא, שחושדת בכל מחשב ובכל קובץ כנשאים אפשריים של Malware, אומרת שחייבים להטמיע בכל מחשב אישי ובכל שרת ותחנת עבודה אמצעי הגנה פנימי מבוסס חומרה, שיעסוק בהצפנה, אימות וניהול הרשאות בתוך הסביבה הפנימית - בצורה דומה לדרך בה שרתי Identity & Access Management מנהלים את ההרשאות והגישה למידע ברמת הרשת.
יש צורך באימות ביומטרי מובנה
המודל שאני רואה דומה לטכנולוגית RMS של מיקרוסופט, שמבוססת על שרת אימות המנהל את מפתחות ההצפנה לכל הקבצים הנשמרים ברשת. שרת כזה, מיושם בחומרה (כחלק מערכת השבבים הסטנדרטית), יפקח על כל העברת קובץ לשמירה בדיסק או איחזור מהדיסק.
הוא יצפין את הקובץ כברירת המחדל ויפענח את ההצפנה רק אם היישום המבקש מסוגל להציג "תעודה דיגיטלית" כהשראה. התעודה תכלול, כמקובל, שם וסיסמה, אך גם זיהוי ביומטרי שאינו ניתן לזיוף. למשל, טביעת אצבע.
פעולות מסוימות, כמו העלאת קבצים ל-FTP חיצוני, אישור להריץ בקר ActiveX או משלוח דואר לכתובת מחוץ ל"רשימה הלבנה", ידרשו זיהוי ביומטרי אד הוק.
כנ"ל לגבי אישור ריצה לכל מה שמוגדר כ"קוד נייד", לביצוע שינויים בתצורת התוכנה, או בהגדרות האבטחה, הוספת שמות או העתקת ספר הכתובות, וכדומה. כל פעולה שלא צריכה להתאפשר כאשר המשתמש הלגיטימי לא יושב ממש מול המסך ומבצע אותה ביודעין - תהיה מותנית באימות ביומטרי.
אפשר אפילו לחשוב על קורא טביעת אצבע מוטמע בכפתור Enter או בעכבר, כך שהצורך להזדהות לא יציק במיוחד. ובלבד שישמר הקשר הפיזי שאף תוכנה זדונית לא מסוגלת לזייף: הקשר בין התקן האימות לבין שבב ההצפנה. גם כך אף אחד לא מבטיח עולם נקי מרושעה, אך ללא ספק זה יהיה שיפור עצום ביחס למצב הקיים.
הסוס הטרויאני. אבטחת המידע תהיה מרכיב קריטי
מומלצים
