האם מדינה ללא סודות יכולה לתפקד בצורה טובה יותר כאשר היא מגינה על הבטחון הלאומי מאשר מדינה ששומרת את המידע שלה הרחק מהציבור? במאמר קצר שפרסמתי באנגלית אני בוחן שאלה זו, וכן את הסיבות לשמירת המידע סודי, על מה מגינים וכיצד הסודות מגינים על הבטחון הלאומי. אנו נציג את השיטה שמיושמת בישראל, שדומה לרוב המדינות. גישתה של ישראל, שהיא למנוע את רוב המידע מהציבור, נכשלה בדרך כלל ולא גרמה לדבר מלבד פגיעה בפרטיות, חירות הביטוי והתקציב הלאומי.
לאחר הצגה זו, אנו נשווה את המודל של מידע מסווג למודל באבטחת המידע הנקרא אבטחה באמצעות עמימות ונסביר כיצד הוא שגוי. מנגד, אנו נציג את המודל של עולם הקוד הפתוח, שיוצר שקיפות לקהל הרחב, ומאפשר לו לבחון חורי אבטחה, ועל ידי כך יוצר הגנה רחבה יותר.
מסקנתנו היא שבטחון לאומי יכול להיות מושג על ידי הדרת המידע המסווג וגילוי כל המידע לציבור הרחב. אנו מאמינים שעל ידי הפיכת המידע לציבורי, עלות מנגנוני הצנזורה יעלמו. אנו גם מאמינים שעל ידי אימוץ מנגנון של 'ללא מסמכים מסווגים', ממשלות ישפרו את הבטחון כשהן נשענות על עקרונות אבטחת המידע בקוד פתוח.
א. אני חלוק עליך כבר בשלב ההגדרות: גם כאשר המידע נמצא "אצל הציבור", הוא עדיין לא נמצא אצל כל הציבור.
בדוגמת מקומות הפגיעה: אם אנשי חוליות הטילים של החיזבאללה היו יכולים לדעת שיש להם דרך פשוטה ומהירה לדעת איפה בדיוק נפלה הקטיושה, הם היו יכולים לנסות לכוון אחרת לפי הקודמת.
ב. אין שום פגם בשימוש באבטחה ע"י הסתרה. הבעיה היא כאשר היא משמשת אמצעי יחיד. לדוגמה: יש לי שרת באינטרנט ונוח לי להתחבר אליו ב־ssh. בעיקרון פרוטוקול ssh מספק לי רמת אבטחה גבוהה. לפי ההמלצות שלך הייתי צריך להסתפק בה. הייתי צריך גם לפרסם בדף הבית "יש כאן שרת ssh". בפועל אני משתדל לא לפרסם את העובדה. אני לפעמים גם נוקט באמצעי הסתרה אחרים, כגון שינוי מספר הפורט ו־port knocking.
ג. מהם סידורי האבטחה ברד־האט?
צפריר,
אכן אין פגם בהסתרה, רק שזה בדרך כלל חסר תועלת.
בדוגמה שלך – נכון שלא תפרסם שיש לך שרת שמאזין בפורט 22, אבל סריקה בסיסית שיערוך סקיד מצוי תמצא את השרת בשלב כלשהו. ובאותה סריקה הוא גם יגלה ששינית את הפורט ואתה מאזין לפורט אחר.
אז אם אתה, כגוף ציבורי, משתמש בהסתרה כשיטת האבטחה שלך, ומחר מישהו מצא את השרת שלך וגילה איך להכנס – אתה לא תדע מזה אלא אם חברת האבטחה שלך הצליחה במקרה למצוא את הפרצה (בחלומות).
שוב: אסור להסתמך רק על הסתרה. אבל הסתרה היא חלק לגיטימי ממדיניות האבטחה.
האם אתה מוכן לפרסם באתר שלך את פרטי מערכת האזעקה הביתית שלך?
יש במאמר כמה בלבולים.
מהאנלוגיה לעולם אבטחת המידע אפשר ללמוד שאין ערך לטכניקות אבטחה חסויות – שיטות הצפנה כמו SKIPJACK הן דוגמא מצויינת לכך שעדיף להשקיע את המשאבים בתחומי אבטחה אחרים. זה לא אומר שלא צריך להיות מידע חסוי – ההפך, זה מביא את טכנולוגית ההגנה על מידע פרטי לכל מי שחפץ בכך.
כפי שלפרטים יש זכות לקנין ולפרטיות אישית, ולפירמות יש סודות מסחריים, כך למדינה יש סודות לאומיים. אין ספק שלעיתים קרובות הסיבה לשמירת עובדה מסויימת כסוד היא חיפוי על משהו לא חוקי, או לפחות שנוי במחלוקת – בדיוק כמו לגבי סודות מסחריים ופרטיים. אם נלך לקיצוניות, אדם שמואשם בפשע אינו חייב למסור לבית המשפט מידע שמפליל אותו – ובאותה מידה למדינה יש זכות שתיקה משל עצמה.
המצב הנוכחי הוא באמת קצת קיצוני, כשהמדינה יכולה לסווג כל דבר כ-"מידע סודי" – סוג של סעיף סל בחוק שאין דרך מהותית להתגונן מפניו. אתה צודק בכך שיש לקבוע קריטריונים ברורים ומובנים ולאפשר לאזרחים לבקש את הורדת הסיווג של מידע, במסגרת הליך משפטי.
@צפריר – אם נשתמש בדוגמת מערכת האזעקה שנתת – אני לא אתן ולו מהסיבה שאין לי מושג איך היא עובדת אז אני לא יודע אם היא טובה ואם יש לה פרצות ידועות. אילו ידעתי איך היא עובדת, אילו ידעתי שברגע שתתגלה פרצה במערכת מישהו ידאג לפרסם את זה ואני אוכל לתקן מיד – כן, הייתי מפרסם.
@יאיר – להבנתי לא מדובר על שחרור *כול* הסודות, צריך להיות תמים מאד כדי לחשוב שמדינה יכולה להתנהל בלי סודות כלל. אבל הנקודה החשובה (בעיני) היא פתיחה של הדרך בה הסודות האלו נשמרים.
יאיר,
אני חושב שהיה תורם אם היית כותב את התגובה בפוסט באנגלית, אבל לא נורא. בכל מקרה, אני לא מדבר על כל הסודות, אלא על מידע מסווג שמדבר על כיצד המדינה שומרת על סודות ועל מידע מסווג שמדבר על נהלים וכשלים. אני לא רואה את היכולת של המדינה להסתיר כשלים מהאזרחים שלה כחלק ממה שמגן על הבטחון הלאומי.
הבעיה יכולה להיות מוגדרת במילה אחת, "תעמיס" .
יש סיבות טובות לשמור על עמימות, ועמימות היא אכן דרך מצויינת לשמור על בטחון מידע, אבל .. כטבעם של דברים מתחילה שרשרת של ארועים שבהם מתחילים לכנוס תחת אותה מטריה של עמימות את כל הדברים השייכים למידע, למה שמטפל במידע, לכלים ונוצרת סיטואציה שבה הכל "עמום" .
סיטואציה שכזו – סופה להישבר.
ולכן, יש צורך להגדיר מחדש אחת לכמה זמן על מה בעצם מגינים. לעשות את ההבדלה בין המידע שמגינים עליו לבים הכלים שמגינים על אותו מידע. להבין שככל שהדברים נוגעים לכלים עדיך לאפשר פתיחות שלהם (לא כך הוא הדבר לגבי המידע).
כאשר הדירוג נעשה נכון – אפשר להגן על המידע בצורה טובה . כאשר מתחילים להכניס את הכל כולל הכל תחת הכותרת של "סודי" , פה טמונה הבעיה.
לדעתי, אי אפשר להגן על מידע כאשר הוא בכמות גדולה מידי, כאשר יש כמות גדולה מידי של "שותפי סוד", וכאשר כל דבר דבר מתוייג כסודי . בסיטואציה שכזו , המידע בסופו של דבר ידלוף.
כאשר הוא מתוייג נכון , כמות שותפי הסוד קטנה, כמות המידע שיש להגן עליו קטנה – והרצינות שבה מטפלים בדברים גדלה.
דורון
יהונתן,
כלומר אתה רוצה לדעת אם יש אזעקה שמופעלת ע"י קרן אינפרה־אדומה, אבל לא אכפת לך שלא נגלה בדיוק את מיקומה.
יש דברים שלא צריכים לגלות האם הם קיימים.
שלום לכולם
כמו הרבה דברים אחרים זה הכל עניין של מינון ולהיכן מכוונים את כפתור הווליום ולא כל כך עניין של שחור ולבן. כך גם לגבי הכלים לאבטחה – יש רמות שונות של חשיפה שחכם לעשות. לצורך הדוגמה, אני הייתי רוצה לשמור בסוד פרטים מסוימים כמו ארכיטקטורת צופן ברמות הנמוכות שלה, באותה מידה שאין לי בעיה לפרסם הרבה מאד דברים אחרים מעל לאותן רמות.
בצד הבעד – לפעמים לחשיפה יש גם אפקט הרתעתי אם באמת עשו עבודה טובה ואת זה הרבה פעמים נוטים לשכוח.
בצד הנגד – חשיפה לכווולם בהרבה מקרים לא מביאה את התועלת המצופה פשוט בגלל האופי האנושי המחורבן שגורם לנו קודם כל להראות כמה אנחנו יותר חכמים מאותו אחד שפרסם. מנסיוני, הרבה מאד מהתגובות לחשיפה מלאה אינן ענייניות – וחבל.
לעניות דעתי, כמו הרבה דברים בחיים, כנראה שהכי טוב זו דרך האמצע, כלומר חשיפה מבוקרת לקבוצה מצומצמת ומקצועית. זה פשוט מעלה את ההסתברות לביקורת שממש יכולה לעזור ולשפר.
שאלה נוספת שצריך לשאול זה כמה מאמץ נדרש לצורך אותה חשיפה מבוקרת (או לא מבוקרת). אם פרטים לכאורה אינטימיים של מערכות מידע נחשפים לקהל אולטרא-מקצועי זה אכן יכול להתבצע בתהליך יעיל וזריז. במציאות אני מהמר שיהיה תחום דינאמי מאד גדול של מקצועיות אצל מי שמוכן לשמוע ו/או לתת ביקורת או להשתתף באורח פעיל בכזה דבר. זה מחייב השקעה גדולה בהכנת חומר, משהו שלא תמיד ריאלי לעשות.
דבר נוסף – צריך לפעמים להסתכל על מערכות מידע מנקודת מבט של תוקף, וזה לא משהו שקל לעשות.
בהמשך לבריו של צפריר – אם לא הכל חשוף לעין זה נותן לפעמים זמן לתגובה על אירועי אבטחה. אם כבר נמשיך עם המודל של האזעקה – אזעקה שכל פרטיה חשופים תקנה לנו שלוש דקות של הגנה בעוד שאזעקה שהתוקף איננו יודע עליה כלום תקנה לנו אולי חמש או שש דקות של הגנה. באנלוגיה לדברים אחרים – זמן לתגובה הוא חלק מארגז הכלים של האבטחה ולא תמיד כל כך חכם לכרסם בזה.
יש לי עוד הערה קטנה לדבריו של דורון, שאני מסכים עם רובם. במציאות קורה לא פעם שיש לרמת סיווג מסוימת אפקט מצטבר. לדוגמה הרבה פריטים בסיווג "שמור" יכולים לעלות שלא מדעת מדרגה ולהיות "סודי" בגלל אותו אפקט מצטבר.
יורם
יורם אורן –
דווקא פגעת בדיוק בנקודה הלא נכונה. הרמות הכי נמוכות של הצופן הן בדיוק הרמות שאסור להחזיק בסוד; אזעקה שהתוקף אינו יודע עליה כלום תקנה לנו 5-6 דקות של הגנה בפעם הראשונה שפורצים לבית כלשהו איפשהו בעולם – ומיד לאחר מכן היא תקנה לנו הרבה פחות מה-3 דקות של המערכת הגלויה.
כיוון שפתחת את הנושא אני אזכיר יותר בפרוטרוט את סקיפג'אק – שיטת צופן שפותחה ע"י טובי המדענים של ה-NSA האמריקאי עבור פרוייקט ה-Clipper הידוע לשמצה; כל הפיתוח היה מסווג בדיוק בגלל גישת האבטחה השגויה שעליה מדובר כאן; ברבות הימים הפרוייקט בוטל והצופן נחשף, ויום לאחר שהתגלה לציבור, שני מדענים אחרים איתרו בו בעיות ופרסמו הוכחה לחוסר יעילותו המתימטית. בעקבות הכשלון הצורב ה-NSA החליט להוציא את פרוייקט "שיטת ההצפנה המתקדמת" לתחרות פתוחה בין מדענים, ולאחר מחקר מקיף וביקורת גלויה רבה נבחר המועמד הטוב ביותר וקיבל את השם הנכסף AES.
אפשר לספר סיפורים דומים גם על ה-CSS שמצפין סרטי DVD וסיפק הגנה מעולה בפני צריבות DVD; על הצפנת ה-GSM; ועוד ועוד.
המסקנה ברורה – יש להגן על המידע ולא על השיטות.
יאיר שלום
לא הבנת נכון את הכוונה שלי בקניית הזמן. אם התוקף לא יודע מה מחכה לו הוא נזקק למהלכים מסוימים שיכולים לחשוף אותו בשלב מוקדם. אם התוקף נזקק לנגישות פיזית למקום ששמור בו מידע הרי שהוא מסתכן בגילוי עוד לפני שהצליח לעשות משהו רע. זמן תגובה כזה הוא כלי אבטחה או אולי מעגל אבטחה נוסף, ובשום פנים ואופן לא כלי יחיד.
לגבי סקיפג'אק – אין קשר בין הדברים שהעלית לנושא ה-AES. סקיפג'אק נועד מלכתחילה לדברים ברמת סיווג נמוכה, משהו מקביל ל"שמור". ברמה הזו אתה נזקק להגנה מינימלית רק למקרה ששלחת הודעה בטעות למישהו שלא התכוונת. אם תקרא את המאמרים מאותה תקופה תראה שהוא נועד לגורמים מסחריים עבור קשריהם עם הממשל. הפאראנויה באותם ימים של ראשית שנות השמונים הכתיבה צופן עם חולשות כדי ש"אויבינו לא ישתמשו בזה נגדנו". היום קל לצחוק על זה אבל אז זה היה הלך רוח מקובל.
מה שהרג את הקליפר זה הקונספט הנואל של שמירת מפתחות אצל "נאמנים" ולא חולשה אלגוריתמית כלשהי.
ה-AES לא נעשה בעקבות כשלון הקליפר ובא לענות על צורך אחר לגמרי. ה-AES בא לאויר העולם עקב הכרסום הזוחל ב-DES ולא שום דבר אחר. הרעיון להגדיר תקן בתהליך פומבי נועד בראש וראשונה למנוע תאוריות קונספירציה שיגידו שיש "דלת אחורית" בצופן שיוצא מ-NSA. התהליך הפומבי לא בהכרח נתן צופן טוב יותר, והמאמרים האחרונים מוכיחים ששולי הביטחון ב-AES עם מפתחות של 256 ביט אינם כל כך גבוהים כמו שחשבו.
תהליך פומבי לא יכול להבטיח צופן טוב יותר בדיוק כמו שתהליך חשאי לא מבטיח את זה. ראה את העבודות שפורסמו לאחרונה מאת אור דונקלמן ונתן קלר ושות' בנושא ה-AES כדי לראות שדברים די עקרוניים עברו את המסננת הפומבית והיום קשה לתקן דברים שכבר מומשו בחומרה כזו או אחרת.
הדוגמה של ה-GSM היא עוד יותר מעניינת בהקשר הזה. ב-GSM יש שני מנגנוני צופן. האחד נועד להצפנת הדיבור והשני לאותנטיקציה של הלקוח. משום מה חולשות בהצפנת הדיבור זכו להד תקשורתי עצום אבל המון שיחות אינן מוצפנות, בודאי אם צד אחד הוא טלפון קווי שאין לו יכולות כאלה או שפשוט הרשת לא מפעילה את התכונה הזו וגם ההצפנה הדפוקה ביותר נותנת מענה סביר נגד מאזין מקרי. מה שהרבה יותר קריטי זה הצופן לאימות הלקוח כי חולשה שלו מאפשרת לגנוב שיחות.
כשגילו חולשה בצופן הזה יכולת למשל ליצור שכפול של ה-SIM שלך, אבל נזקקת לגישה פיזית לאותו SIM במשך כמה שעות כדי לחלץ את המפתח של האימות (ה-KI ). זה אומר שבפועל אף אחד לא גנב שיחות עם זה אלא רק קיבל יכולת להיות עם שני טלפונים עם אותו מספר, ובכל מקרה הרשת נתנה שירות רק לאחד מהם או לאף אחד מהם. התגובה של מכון התקנים שמגדיר את ה-GSM הייתה מעניינת וגם אפקטיבית מאד. הם הוציאו הנחייה שכל מפעיל יפתח לעצמו אלגוריתם אימות כיד הדימיון הטובה עליו, גם אם לא מדובר באלגוריתם חזק. ריבוי האלגוריתמים פשוט גרם לכך שלא יכולת לדעת במה משתמשת רשת נתונה כלשהי ואותן ערכות להעתקת SIM פשוט נעלמו מהשוק. בשורה התחתונה חוסר הפומביות היה כאן הכלי שטיפל בתקיפה.
אינני טוען שיש תשובה אחת מוחלטת אלא שהכל עניין של מינון. יש לפעמים תועלות בחשיפה כמו שלפעמים יש תועלות בשמירה על חשאיות. כל קיצוניות לצד זה או אחר היא בעייתית ומסקנה גורפת שחשיפה של שיטות זה צורך חיוני – זה טעות בעיני.
יורם