יומן אבטחה

על פי חברת אבטחה מאטלנטה, 70% ממתקפות ה-Web בדצמבר מבוססות על ערכת פריצה יחידה, העונה לשם "Q406 Roll-up". אני מזכיר שלאחרונה התברר כי קיימת ערכה לבנייה של מתקפות פישינג בשיטת Man-In-The-Middle, המאפשרת לעקוף מנגנוני הזדהות מסוג One Time Password. בנוסף, לפני כחצי שנה הודיעו במקאפי כי נראה שהאקרים פונים לשיטות פיתוח של תנועת הקוד הפתוח כבסיס לייצור רושעות (malware). המונח Script Kiddies מתאר האקרים חסרי יכולת מקצועית אמיתית. כאלה שיכולים רק להריץ כלים מוכנים מראש וחסרי יצירתיות. אני תוהה אם אנחנו לא מתחילים להתקל במין יצורי כלאיים חדשים. משתי קבוצות של האקרים, המומחים המעטים והבינוניים הרבים, אנו עוברים לשלוש קבוצות. המומחים המעטים, הכמעט מומחים (העושים שימוש בכלים שפיתחו מומחים ושמאפשרים להגיע לרמת מתקפות גבוהה) והבינוניים.

ככל שכלי פריצה הופכים להיות מתוחכמים וטובים יותר, היכולת של האקרים מהשורה השנייה והשלישית להוציא לפועל מתקפות ממוקדות ומתוחכמות יחסית משתפרת. התוצאה היא כמובן שלארגונים רבים יותר יש פחות סיבה להיות שאננים. זה כמובן עולה בקנה אחד עם המגמה של השנים האחרונות של מתקפות ממוקדות ומתוחכמות על ארגונים. במקרים רבים התחכום אינו טכנולוגי, אלא פשיעתי. כך למשל עם התרמית של שימוש בנתוני זיהוי שהושגו בפישינג (מתקפה פשוטה ולא מתוחכמת) על מנת לקנות מניות זבל לצורך הקפצת מחירים (ובכך למעשה לעקוף את מנגנון האבטחה המרכזי בחשבונות בנקים - מעקב אחר העברות לצד ג').

אני מתנצל על היעדרותי רבת הימים מהבלוג ומקווה שהרשימה הזו תפצה.

(רוב הקישורים פנימיים לרשימות אחרות בבלוג)

אז מה היה לנו השנה? (או לפחות, מה הם הדברים הבולטים שהיו ב-2006 מבחינתי)

נתחיל בכלכלת אבטחת מידע. אני חושב ואולי זה רק בגלל שהבלוג שלי עוד לא בן שנה באמת שב-2006 אבטחת מידע נכנסה בצורה משמעותית להיבטים כלכליים. המכירה של Onigma והפריחה במוצרי מניעת זליגת תוכן הם הסמן הבולט, אך דווקא במקומות אחרים אני רואה סימנים יותר מעניינים. Click Fraud הוא אות ומופת לבעיה עסקית אמיתית שנופלת תחת קטגוריית הבעיות שאבטחת מידע אמורה לפתור. על נושא ה-Gold Farming והונאה במשחקים מקוונים כתבתי קצת, אך כמובן שזה לא נגמר שם. הסיבה אגב אינה שכך זה היה תמיד ורק היום הבנו זאת, אלא השינויים בדפוסי ההונאות. המעבר להונאות מקוונות, הגידול בשימוש ברושעות על מנת לייצר תשתיות מחשוב לגורמים עברייניים, הגידול בסוגי פישינג (ועוד) והתחכום הטכנולוגי, ההונאות במסחר מקוון והרצת מניות בספאם, כל אלה הופכים בכוח את אבטחת מידע לנתון שכל מנהל צריך לקחת בחשבון. 

מבחינה טכנולוגית אני חושב ש-RFID פרץ את הדרך השנה, בשימוש בדרכונים האמריקאים והאירופאים, משרד התקשורת אישר את השימוש בתקנים, יש איזו חברה שהשתילה לעובדים שלה RFID ובכלל נראה ש-RFID קיבל את ההכשר. אני כותב את זה כאן למרות שזה יותר סמן לקראת 2007 מאשר סיכום של 2006. RFID מציע שני דברים מרכזיים לארגונים (מבחינה אבטחתית כמובן): חשיפה לוירוסים ואפשרויות נרחבות לפגיעה בפרטיות (כפי שהומחש בסוגיית הדרכונים). זו גם הייתה השנה של הביומטרי, גם כן בהקשר של דרכונים, אך לא רק. וגם במקרה זה לא הכל וורוד.

טלפונים סלולריים נמצאים בעיצומה של מהפך לסביבה רוויית איומים. המהפך תפס תאוצה בשנה החולפת, עם מגוון של דוגמאות - תוכנת ריגול לסלולריים, וירוס משולב לסלולרי וחלונות ואחרים. המגמה הזו לא נגמרה השנה והיא רחוקה משיאה (למעשה בחיתוליה), אך היא בהחלט חשובה. השימוש באמצעים סלולריים כאמצעי ריגול (אורנג' מפיצה כזה אמצעי שתפס לו אחיזה במספר בתי עסק בהם עברתי באחרונה) מתאפשר היום הודות לטכנולוגיות וידאו וצילום מתקדמות. אך גם כתוצאה מהיותם של מכשירי טלפון סלולריים מכשירי עיקוב (גם אצלנו). מרגל סלולרי יכול היום: להתקין תוכנת ריגול על טלפונים סלולריים, לשתול מצלמת וידאו שמשדרת בסלולר לצורך מעקב, לקנות מכשיר סלולרי ולשתול אותו על אדם מסוים על מנת לעקוב אחר תנועותיו מכל מקום בארץ. וזה עוד בלי לדבר על היותם של המכשירים אמצעים בעלי זיכרון בנפחים גדולים המתחבר לצרכי עבודה (במקרים רבים) לתשתיות הארגון ויכול לשמש להזלגת מידע. אמצעי הצפנה למחשבי כף יד/סלולריים עוד לא נפוצים מספיק בארץ, אך זה יגיע.

מה עוד היה השנה? שינויים בסוגי הוירוסים (כאן וכאן) ומגמות חדשות בכל האמור לקודים פוגעניים. מסתבר שלהילחם בספאם זו מלחמה אמיתית. RFID Firewall, גילוי פירצה בפרוטוקול של כספומטים המאפשר אחזור קוד אישי. מצד שני, זו הייתה גם שנה בה החליט מישהו לפתח אקדח שיורה כדורים רק לאחר הקשת סיסמא.

אין ספק, הייתה שנה מעניינת. Vista פותחת את 2007 וכנראה שגם זו תהיה שנה מעניינת. אם תעודות זהות חכמות ייכנסו לשימוש, כצפוי, אנו עשויים לגלות פשעים חדשים.

כתבתי בעבר בכלליות על המשמעות הארגונית של שימוש ברשת כתשתית אחסון. ידיעה מעניינת מספרת על אדם שעבריינים מחקו לו את כל הנתונים מה-hotmail והסכימו להשיבם רק במקרה של תשלום כופר. במובנים מסוימים web 2.0 הוא שימוש באינטרנט כתשתית מחשוב. ככל שאנו כפרטים ועובדים בארגונים נעזרים באינטרנט כתשתית גדלה התלות שלנו בגורמים שלישיים שידאגו להיבטים בסיסיים של אבטחת המידע.

ייתכן ואכן ניתן לשחזר את הנתונים שנמחקו מהוטמייל גם ללא תשלום הכופר, פשוט על ידי פניה לחברה. אך ברור שזה לא כזה טריוויאלי. מנגנוני האבטחה במערכות ווב חלשים יותר ולו רק מהסיבה שישנם מנגנונים שלא ניתן לאכוף ביישומי ווב (בעיקר מנגנוני נעילת משתמשים, אכיפת מאפייני פעילות ומקורות גישה וכדומה). אלו מנגנונים שמשתמשים רבים אינם מודעים בכלל לקיומם ולכן הנטיה לראות בדואר אלקטרוני מבוסס ווב מאובטח כדואר אלקטרוני ארגוני.

מעבר לסוגיות של חשיפת מידע אישי וחסוי ופגיעה בזמינות מידע, צריך לקחת בחשבון סוגיות של הונאה (פריצה לדואר האלקטרוני שלנו על מנת להשתמש בו כבסיס לביצוע פעילות לא חוקית או על מנת לפגוע בנו על ידי התחזות). כמו כן, סוגיית הפגיעה בפרטיות בסביבה שמהותה היא שיתוף ה"אני" היא סוגיה שאני בספק אם יש לנו קצה קצהו של מושג באשר למשמעותה.

רפאל פוגל מדווח ב-Themarker על כך שצ'קפוינט רכשה את חברת Pointsec השבדית ובכך נכנסת לשוק מניעת דלף המידע הארגוני, תחום ה-DLP*. פוגל מחבר בין שני תחומים קרובים אך לא זהים - בקרת גישה ומניעת דלף מידע על ידי מורשים (לראשון נכנסות חברות כמו Safend, קונטרול גארד, רפלקס מגנטיקס ששייכת עכשיו לצ'קפוינט ולשני נכנסות חברות כמו אוניגמה שנרכשה על ידי מקאפי ו-Port Authority שנרכשה על ידי גאידמק**).

פוגל כותב בצדק כי מבחינת צ'קפוינט יש פה שינוי מהותי בליבת העסקים. באוגוסט כתבתי על כך שצ'קפוינט צריכה למצוא לעצמה עתיד חדש, כיוון שהשוק בו היא נמצאת הולך להשתנות ולהתכווץ לאט לאט. אני חשבתי (ואני עדיין חושב) שצ'קפוינט צריכה להישאר המגינה של ההיקף הארגוני על ידי כניסה לשוק הפירוולים האפליקטיביים ומתן פתרונות אבטחה לתשתיות אפליקטיביות. תחת הקטגוריה הזו נכנס גם כל התחום של טיפול בהרשאות גישה ארגוניות שלא ממש מטופל היום בארגונים ואין גם פתרונות טובים בתחום (למיטב ידיעתי).

צ'קפוינט בחרה ללכת לתחום אחר, יותר רחוק מפעילות הליבה שלה, אך כזה שמכניס אותה לתוך הארגון פנימה ומשתלב עם פתרונות אחרים של החברה שקשורים ל-End Point Security.

עם זאת צריך לשים לב שהרכישה של צ'קפוינט אינה של חברה מהסוג של אוניגמה וצ'קפוינט לא נכנסת לתחום של מניעת דלף מידע על ידי בקרה על תכנים אלא נכנסת לתחום של מניעת דלף מידע על ידי הגנה על התקני קצה (צורה מול תוכן). כמו שכתבתי, אלה תחומים קרובים אך לא זהים.

הפתרונות של Pointsec מקיפים יותר מאלו של החברות הישראליות שפוגל כותב עליהן וצ'קפוינט עשתה נכון כשבחרה בה ולא בהן (אם כי יכול להיות שיש בעולם חברות יותר טובות גם מזו). כפי שכתבתי בעבר אין עתיד למניעה של שימוש בהתקני קצה והפתרונות יילכו לכיוון של אפשור ולא של מניעה. זה הכיוון של pointsec שמספקת חבילת הגנה לכל דבר שמתחבר לרשת הארגונית, החל ב-flash drives, דרך טלפונים ומכשירי PDA וכלה במחשבים נישאים ומחשבים שולחניים ולא עסוקה רק בלמנוע או לאפשר גישה.

* מה יש בקיצורים של שלוש אותיות שכל כך קורץ לכולם? ומה יעשו אחר שיגמרו כל הצירופים האפשריים (אין כל כך הרבה).

** עדכון - Port Authority לא נרכשה. מסתבר שגאידמק ויתר על רכישת חברות ישראליות והחליט במקום לקנות את המדינה.

אני יודע שכתבתי די הרבה על הנושא בזמן האחרון, אבל בכל זאת עוד משהו.

ישנה הסכמה בין חברות ה-antivirus על כך שמתקפות ממוקדות הן הדור הבא של וירוסים וטרויאנים. מדובר על קבצים שנכתבים במיוחד כדי לתקוף חברה מסוימת, או מספר חברות. ברוב המקרים מדובר על דואל יחיד לחברה אחת ולא יותר ממספר משלוחים לעד שלושה ארגונים. חברת messagelabs מעדכנת כי מדי יום הכלים שלה מנטרלים כשלוש מיליון תוכנות זדוניות. מתוכן  רק כשבע (7) מוגדרות כמתקפות ממוקדות. (מקור: news.com)

כנראה שאת רוב המתקפות הממוקדות הם לא מאתרים. מתקפות ממוקדות הן כמו הגל הראשון ואנו יודעים מניסיון שבגל הראשון תמיד יש נפגעים וחברות ה-antivirus מתמודדות ביניהן בעיקר על יכולת הגילוי והוצאת עדכונים מהירה ופחות על מניעה ממש (אני לא מדבר על סתם סקריפטים, אלא על וירוסים וטרויאנים שנכתבים על ידי מביני עניין).

עוד מגמה בהקשר זה שחשוב לזכור הוא המעבר למתקפות על בסיס פורמטים מקובלים (כדוגמת office ו-pdf). ההגנה המקובלת של חסימת קבצי הרצה כבר אינה אפקטיבית כיום כמו שהייתה בעבר.

זה שהעתיד נמצא במתקפות ממוקדות די ברור אני חושב. גם זה שהישועה לא תצמח מפתרונות האנטי וירוס הקיימים. איך אפשר יהיה להתמודד עם מתקפות כאלה בכל זאת? שאלה טובה. הנה שני כיוונים שנראים לי אפשריים (אשמח לשמוע על עוד רעיונות):

1. צריך להפריד בין מתקפות שמטרתן הוצאת מידע מהארגון למתקפות שמטרתן השבתת מערכות. הראשונות יכולות להיות מנוטרלות באמצעות כלים כגון Portauthority ו-Onigma שמונעים דליפת מידע (ולא משנה הסיבה לדליפה). האחרונות מסובכות יותר למימוש וניתן למנוע אותן בכלים הרגילים של תכנון ארכיטקטורה מאובטחת. צריך רק לקחת בחשבון שאחד ממקורות המתקפה יכול להיות פנימי (כמובן שזה יותר קשה ליישום מאיך שזה נשמע).
2. אפשר לחשוב אולי על כלים שיבנו honeypot ברמה ארגונית, מה שיאפשר אולי לזהות מתקפות ייחודיות לארגון בצורה מהירה יותר.
3. שיפור של מערך ניהול העדכונים בארגון (patch management). היום מעטים הם הארגונים שממש מעדכנים בצורה שיטתית ואפקטיבית את כל עדכוני האבטחה הנחוצים.

עד כה ראינו בעיקר מתקפות פישינג על אתרים גדולים מאוד, בעלי תעבורת משתמשים/לקוחות גדולה מאוד. לתומי הערכתי כי אין תועלת רבה בתקיפת מטרות קטנות וכי מן הסתם לא נראה פישינג בארץ (מהסיבות האלה בעיקר). אלא שאז נתקלתי בכתבה משעממת שהכותרת שלה היא "גנבי זהות מתכווננים על גופי מסחר אלקטרוני קטנים". זה הזכיר לי את תורת הזנב הארוך ואת העובדה שמתקפות Cross Site Scripting מובילות את עולם הפריצה המקוון.

תורת הזנב הארוך מתייחסת להתפלגות נתונים מסוימת בה כמות קטנה של מופעים תופסת נתח מרכזי, אך סך המופעים ה"זניחים" משמעותי אף הוא. לדוגמא - ספרים. 10 רבי מכר מחזיקים 35% מהמכירות. 65% מהמכירות משויכות ל-1500 ספרים. לכן לרוב החנויות כדאי להתמקד במכירת רבי המכר, כי החזקת המלאים של כל שאר הספרים גדולה מאוד ואינה כדאית כלכלית. אך אמזון לדוגמא, הפכה את הזנב הארוך למכרה זהב. מאחר ומלכתחילה שיטת ניהול המלאי שלה שונה מחנות רגילה היא הצליחה להגיע לקהל יעד עצום, הצרכן של ה-65%, עליו מוותרות רוב החנויות. הזנב הארוך הנו מונח שנולד לפני כשלוש שנים ולמעשה טוען שבאינטרנט קל יותר להגיע לזנב הארוך ולייצר ממנו כסף ולכן אין הכרח להתמקד רק במופעים המרכזיים.

מה בין זה לאבטחת מידע?

פישינג הנה מתקפה זולה באופן יחסי. ייתכן מאוד כי לאחר שהאתרים הגדולים, המהווים את היעד המרכזי למתקפה כיום, יהיו מספיק מוגנים, נתחיל לראות את המתקפות זולגות לכיוון של אתרים קטנים של גופי מסחר שאמנם קהל היעד שלהם קטן יותר, אך גם המשאבים שהם יכולים להקצות לאבטחה קטנים משמעותית.

אך ניתן לקחת את זה גם מעבר לפישינג, לכיוון של גניבת מידע (בידיעה ממנה התחיל העניין נגנבו פרטי כרטיסי אשראי מהאתר), וזה עולה בקנה אחד עם המגמה של מתקפות יותר ממוקדות. בקיצור, הזנב הארוך מציף יתרון כלכלי לגורמי פשיעה.

בתכל'ס, ארגונים לא טורחים לבצע הערכת סיכונים. הם מתקינים כמה Firewalls, פורסים איזה Antivirus, קצת Content Filtering, הקשחות, קנפוג, קצת הצפנה, מעל זה מפזרים אבקת זימזומיות (שזה אומר התקנה או הרצה של פיילוטים של הדברים החמים בתחום). אך בפועל הם לא עוצרים לשאול את עצמם מה בדיוק הם צריכים.

באופן עקרוני זו גישה הרבה יותר טובה מאיך שזה נשמע. כל עוד כולם מתמודדים עם אותם סיכונים אין סיבה שלא ליישם את אותה האבטחה כמו כולם. אלא שהסיכונים משתנים. פחות מתקפות עוורות, יותר מתקפות ממוקדות. כפועל יוצא, ארגונים שייערכו בעתיד לסיכון הממוצע עלולים לגלות שהשונות בתחום סיכוני אבטחת המידע גדולה יותר ממה שהיא כיום ולכן הממוצע מאוד מטעה.

התהליך של הערכת וניהול סיכונים מסודר עוד לא קורה, אך זה עניין של זמן. גם כי לא תהיה ברירה וגם כי אחד מסימני ההבשלה של תחום מקצועי הוא התפתחות פרקטיקות ניהול שיטתיות. וניהול סיכונים הוא פרקטיקת ניהול בכל תחום עיסוק. גם באבטחת מידע.

כנראה ששנת 2006 מציגה מגמות חדשות בכל הקשור לניצול מפגעים אפליקטיביים באינטרנט. מתקפות Buffer overflow מאבדות את הבכורה ובראש צועדות שלוש מתקפות ותיקות אחרות: Cross Site Scripting, לאחריה SQL injection ולבסוף PHP include. רק לאחר מכן Buffer Overflow. הנתונים באדיבות Darkreading, בהתבסס על סקר שעתיד להתפרסם בשבוע הקרוב. ברשימה מעניינת טוען Jeremiah Grossman שהדבר החם הבא בתחום מתקפות web הוא מתקפות Cross Site Request Forgery (להלן CSRF). זה נשמע קצת כמו Cross Site Scripting (להלן XSS), אך זה שונה.

ב-XSS המשתמש נכנס לאתר דרך קישור מסוים והאתר מריץ קוד בדפדפן המשתמש, קוד שהוטמן בקישור לאתר. זו מתקפה שמנצלת את האמון שנותן המשתמש באתר אליו הוא גולש (האתר עצמו תמים. הוא חשוף ל-XSS ומאפשר לגורם שלישי לגרום לו להריץ קוד בצד המשתמש). ב-CSRF אני גולש לי לאתר הבנק שלי ובתמימות רבה גם גולש לאתר זדוני. האתר הזדוני מריץ קוד בדפדפן שלי שמפנה בקשה לגיטימית לחלוטין (להעביר כסף לחשבון התוקף) לאתר הבנק. מאחר ואני מזוהה כבר לאתר הבנק ומאחר והבקשה לגיטימית הבקשה תטופל כאילו שאני ביקשתי אותה. זו מתקפה שמנצלת את האמון של האתר הלגיטימי בי (כלומר הפוך מ-XSS).

לקריאה נוספת: http://en.wikipedia.org/wiki/XSS, http://en.wikipedia.org/wiki/CSRF

זו הפעם השלישית שאני כותב את הרשימה הזו. אם זה נמחק הפעם אני לא כותב מחדש!!!

זה לא איזה וירוס רציני במיוחד, אבל מה שמיוחד בו זה שהוא רץ תחת מערכת הפעלה Symbian ומייצר שם קובץ Exe שאם מורץ בטלפון שמחובר ל-PC יכול להדביק את ה-PC. לא ברור מה עושה הוירוס, כנראה שלא משהו חשוב. גם אין לו מנגנון הדבקה יעיל וכדומה. אבל זו בהחלט מגמה מטרידה.

מקור: CSOOnline

פישינג באמצעות הודעות SMS זוכה לכינוי Smishing (לפחות מקאפי מנסים להפוך את זה למונח שגור).

ההודעות נשלחות למנויים סלולריים ונכתב בהן שאושרה בקשת המנוי להירשם לשירות שידוכים וכי הוא יחויב בתשלום קבוע אלא אם יכנס לאתר מסוים ויבטל את הרשמתו. בגישה לאתר מתבקש המשתמש להוריד סוס טבריאני בתואנה שזה אנטי וירוס. מתקפה שתכליתה להגדיל את היקפי מחשבי הזומבי ביקום. ההודעות נשלחות בחינם דרך שירותי חינם של ספקים סלולריים וממוקדות כרגע בספרד (או לפחות זה מקורן).

הסלולריים הופכים להיות שדה קרב ממש. SPAM סלולארי כבר יש, וירוסים ותוכנות ריגול מזמן. עכשיו זה. חסר משהו בשביל להשלים את התמונה?

מקור: Vnunet