כדאי שתדעו איך לגנוב מידע.

0.

"עבודה בתחום האבטחה מחייבת ידע רב בטכנולוגיה. הידע יכול לנגוע במחשבים ומערכות, או במצלמות ואופן הפעולה שלהן, או בכימיה של איתור חומרי נפץ. אבל למעשה אבטחה היא הלך רוח. דרך חשיבה. מרקוס הוא דוגמא מצוינת לדרך החשיבה הזאת. הוא תמיד מחפש כשלים במערכות אבטחה. אני מוכן להתערב שהוא לא יכול להכנס לחנות מבלי למצוא דרך לסחוב ממנה משהו. לא שהוא יעשה את זה – יש הבדל בין הידיעה כיצד להביס מערכת אבטחה לבין ביצוע הלכה למעשה – אבל הוא ידע שהוא יכול.
ככה חושבים אנשי אבטחה. אנחנו כל הזמן בוחנים מערכות אבטחה ואת האופן שאפשר לעקוף אותן. כאלה אנחנו.
סוג החשיבה הזה חשוב, ולא משנה באיזה צד של תחום האבטחה אתם נמצאים. אם שכרו אתכם כדי להקים חנות שאי אפשר לסחוב ממנה כלום, כדאי מאוד שתדעו איך לסחוב מחנויות. אם אתם מתכננים מערכת מצלמות שמזהה הליכה ייחודית לכל אדם, כדאי מאוד שתהיו מוכנים להתמודד עם אנשים ששמים אבנים בנעלים. כי אם לא, שום דבר שתתכנו לא יהיה טוב" (ברוס שנייר, אחרית דבר, האח הקטן מאת קורי דוקטורוב)

1.
בשביל להבין מערכת אבטחה צריך להבין את הכשלים בה: הכשלים האנושיים, החור האנאלוגי או כל בעיה אחרת; צה"ל, לעומת זאת, מראה שהוא לא מבין כשלים אנושיים אלא רק מביא לפתח של פרשת ענת קם 2. במסגרת "הפקת הלקחים", החליט הצבא לאסור על הדפסת מסמכים מסווגים ולהקים מאגר ביומטרי של חיילים המורשים לגישה למסמכים האלה. שתי החלטות שגובלות בהפקרות אבטחתית, ומראות את כיוון החשיבה הלא נכון של צה"ל.

2.
נתחיל עם בעיית המאגר הביומטרי. צה"ל, אחד הגורמים לא מצליח לשמור על בטחון המידע ולא יודע לטפל במידע רגיש ברשת עד שאפילו גליון מספר 1 של המגזין מוניטור (זהירות, קידוד עברית ויזואלית) מראה שצה"ל לא מצליח לשמור על מסמכים מסווגים ברשת. כעת, צה"ל, עם שש תקלות אבטחת מידע קריטיות בשנה וחצי האחרונות, רוצה להקים מאגר ביומטרי של קצינים בעלי גישה למסמכים מסווגים. כלומר, כעת די שלמישהו יהיה גישה למאגר הזה על מנת לפתוח את הסיווג, לפרוץ או להתחבר למערכת הצה"לית. ענת קם הבאה כבר לא תצטרך לצרוב דיסקים עם מסמכים מסווגים, היא רק תצטרך לתת לאורי בלאו את המאגר הביומטרי של צה"ל. רשלנות אבטחתית כזו היא אותה רשלנות שתספק גם במקרה הצורך אצבעונים עם טביעות אצבע כדי שפקידה תוכל לגשת למסמכים עבור המפקד שאינו מסוגל להקליד; הרי את הססמאות כותבים בטוש על מדבקה שצמודה למחשב, אז למה לא להחזיק גם אצבעון?

3.
ואז מתעוררת הבעיה השניה: איסור הדפסה של מסמכים מודפסים. התכונה, של איסור הדפסה היא מערכת בסיסית של ניהול זכויות קניין (נז"ק – DRM) אלא שגם אז ישנן אלפי דרכים לעקוף הגנות בצורה כזו או אחרת, אך הפשוטה ביותר היא כפתור PrtSc הנמצא על כל מחשב ומאפשר את לכידת המסך. גם צילום המסך על ידי כל מצלמפון קיים כיום יכול לעזור; אבל שוב: אם שכרו אתכם כדי להקים מערכת אבטחת מידע שתמנע מאנשים לגנוב מידע מצה"ל, כדאי שתעדו איך לגנוב מידע.

4.
וזו הבעיה של צה"ל: אני לא האקר, אני רק עורך דין עם טיפה חוש ביקורתי, וכבר אני יכול לעקוף את מערכות האבטחה שלהם. הסיבה היא שצה"ל לא מעוניין באבטחת מידע, הוא מעוניין בהרתעה; צה"ל רוצה להגיד "הקמנו מאגר ביומטרי של קצינים כדי שאף אחד לא יפרוץ לנו" ולא מבין שהמאגר הביומטרי שהוא רוצה להקים יהיה נטל בטחוני, צה"ל רוצה להגיד "עכשיו אף אחד לא ידפיס את הקבצים שלנו" ולא מבין שהבעיה היא כבר מזמן לא הדפסה; ענת קם לא הדפיסה מסמכים: היא צרבה אותם על CD. מעניין איך צה"ל ימנע העתקה של קבצים, במיוחד אם בפעם הבאה מישהו פשוט יעשה DD לדיסק הקשיח.

5.
את האח הקטן קיבלתי במתנה מהוצאת גרף; מאז רכשתי עותק נוסף, שניתן כמתנה למישהי. בכל מקרה, אם לא הייתי מקבל במתנה, הייתי מוריד אותו בחינם מהאינטרנט כנראה.

5 תגובות ל-“כדאי שתדעו איך לגנוב מידע.

  1. 1. האח הקטן שווה קריאה. אולי אפילו ניתן לומר שצריך לקרוא אותו. לא שהוא ספר מצוין. אבל הוא חשוב.
    2. מבלי לחלוק על הטיעונים שבדבריך, אני יכול לומר שמקצת המקרים שבהם פגשתי את אנשי אבטחת המידע (הטכנולוגים) של צה"ל, אני יכול לומר שהם יודעים משהו. יתרה מזו, היועצים שלהם הם טובי היועצים של השוק האזרחי ובהחלט יודעים לפרוץ מערכת או שתיים. לא הייתי בונה בניין על כתבות בעיתון.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *