לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


4/2007

שוק הלימונים של אבטחת מידע


הסיפור מתחיל במוצר. secustick. שמבטיח שהוא לא רק מצפין את המידע בזכרון הנייד, אלא גם משמיד אותו לאחר מספר הקלדות שגויות של סיסמא. המוצר יקר. לטענת היצרנים הוא נבחן ונבחר על ידי שירות הביון הצרפתי, בצבאות ברחבי העולם ובגופים פיננסיים. ב-tweakers.net החליטו לבחון את הטענות. התוצאות, איך לומר, די מאכזבות. המוצר לא מצפין ובטח שלא משמיד את המידע והשוואת הסיסמא (הסיסמא משמשת רק להגבלת גישה לזכרון) מבוצעת בכלל עת המחשב אליו מחובר הזכרון, כך שניתן בקלות לשלוח לזיכרון את התשובה לה הוא מחכה. עוד מוצר עם הבטחות ובלי שום כיסוי.

 

ברוס שנייר נותן פרשנות מאוד מעניינת לאירוע. הוא נסמך על שוק הלימונים - מודל כלכלי העוסק באסימטריה של מידע. בגדול (אני מסתמך על שנייר, לא קראתי את המאמר המקורי) הטענה היא שישנם שווקים בהם למוכר יש מידע רב יותר מלקונה. כזה הוא שוק המכוניות המשומשות לדוגמא (בו יש מכוניות טובות ומכוניות גרועות - לימונים). מכיוון שלמוכר יש יותר מידע מלקונה, הקונה מוכן לשלם את השווי הממוצע של הרכב ולכן רכבים טובים ששווים מעל לממוצע לא מוצעים למכירה. התוצאה היא שמה שנשאר זה רק המכוניות הפחות טובות. זה תהליך ספיראלי שמדרדר כל הזמן את השוק מבחינת איכות המוצרים. ניתן למנוע מצב כזה באמצעות גורם מתווך שמסוגל לחוות דעה מקצועית. לדוגמא, מכוני בדיקה לרכב, ואשר מסוגלים לאזן את חוסר הסימטריה בין הקונים למוכרים.

 

בחזרה לאבטחת מידע. בתחום אבטחת מידע יש בדיוק שוק לימונים שכזה. מאחר ומאוד מסובך לבנות מוצרים מאובטחים ותהליכי הבדיקה ארוכים, המוצרים הפחות מאובטחים מציעים לרוב מחיר נמוך יותר עם מגוון אפשרויות רב יותר וחדשני יותר. הם עדיין מוצרים פחות מאובטחים, אך לקהל הקונים אין את היכולת לדעת האם הם באמת מאובטחים או לא. התוצאה היא שהמוצרים הפחות טובים שורדים יותר מהמוצרים היותר טובים. יש היום הרבה מוצרים שמבטיחים הצפנה על זכרונות ניידים. רובם (או כולם) לא נבדקו מעולם על ידי גורם מוסמך וכל מה שיש לנו לעשות הוא להסתמך על הצהרות היצרנים או המשווקים.

 

אחד הפתרונות לגבי מוצרים הוא עמידה בתקנים נוקשים, כמו Common Criteria. אלא שתקנים כאלה קיימים לסדרות מוצרים מצומצמות בלבד. אגב, אותה טענה ניתן להעלות לגבי אנשי אבטחת מידע, אבל אין לי חשק להכנס לזה. אני חושב שדנתי בנושא מספיק.

 

בכל מקרה, הגעתי לסיפור דרך הבלוג של Matasano. מי שרוצה להבין כמה נושאי הצפנה יכולים להיות מורכבים מוזמן לקרוא את הדיון בתגובות, שכולו נע סביב שאלה מאוד קטנה של סיסמא ומפתח ההצפנה.

נכתב על ידי , 25/4/2007 22:52   בקטגוריות אבטחת מידע כללי  
5 תגובות   הצג תגובות    הוסף תגובה   1 הפניות לכאן   קישור ישיר   שתף   המלץ   הצע ציטוט


כינוי: 

גיל: 49




65,157
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2024 © עמותת ישראבלוג (ע"ר)