יומן אבטחה

1. אתחיל מההערה האחרונה לפיה אין ולא צריך להיות קשר בין מדיניות סיסמאות למדיניות נעילה ואחד לא יכול לכפר על השני. את טענה זו אני לא מקבל (בלשון המעטה). מדיניות אבטחה צריכה להשקל כמכלול. אם אנו מתעלמים ממדיניות נעילת משתמשים, גם סיסמאות של 8 תווים אינן ארוכות דיין בהכרח. אלא שמדיניות נעילת משתמשים היא זו שהופכת את סיסמת כרטיס האשראי שלנו למאובטחת יחסית (הכרטיס נבלע לאחר 3-5 נסיונות), למרות שמדובר בספרות בלבד ורק בארבע כאלה. בוודאות מדיניות נעילת משתמשים יכולה לפצות על מדיניות סיסמאות חלשה ולמעשה ברוב המקרים המלצתי תהיה לעשות בדיוק זאת. אני מעדיף נעילת משתמשים וסיסמא ארוכה על פני דרישה לסיסמא מורכבת, למרות שמדיניות סיסמאות שכזו לכאורה מחלישה את רמת הסיסמאות במערכת.
2. בפועל, על מנת להעריך את מדיניות הסיסמאות של הבנק מבחינה מעשית עלינו לבחון את ההתנהלות בפועל של משתמשים בבחירת סיסמאות. כפי שמתברר מעת לעת במערכות צופן קלוקלות, העובדה שמרחב המפתחות האפשרי עצום אינה משליכה בהכרח על המימוש בפועל. הטענה הסמויה כי סיסמאות של משתמשים שמאפשרים להם לבחור סיסמאות באורך בלתי מוגבל ובעלי אפשרויות מורכבות חזקות יותר בפועל (לא בפוטנציה) מהסיסמאות של משתמשי דיסקונט היא טענה שאני לא מכיר לה סימוכין במחקרים (ואשמח לקבל כאלה סימוכין). בהחלט ייתכן שמשתמשים של מערכות סיסמאות עם דרישות מורכבות ייבחרו כולם באותו מבחר סיסמאות: Q1w2e3, Q1a1z1 וכדומה. אני מעריך שהנטיה הבסיסית של משתמשים היא לבחור בסיסמאות נוחות, כנראה רצפים מסוגים שונים.
   
3. על מנת להעריך את חוזק מערך ההזדהות (להבדיל מחוזק מדיניות הסיסמאות שהוגדרה) של הבנק חסרים נתונים אודות גיל סיסמא נדרש, גיל מינימאלי, הסטוריה של סיסמאות ופתרונות נוספים (כמו מעקב סטטיסטי אחר שימוש בחשבון). אני לא אוהב את הכיוון של דיסקונט, אך קשה לטעון שהוא פתוח לפריצה.
4. אני מעריך שאילוצים אלה נובעים ממגבלות טכנולוגיות ולא ממדיניות אבטחה ואני תוהה מה המשמעות של אמירה זו (במידה והיא נכונה).
   
5. לגבי טענת ה-DoS - ציין ניב בתגובות שניתן לנעול משתמשים בכל מדיניות סיסמאות ובכך הוא צודק. זו טענה חסרת שחר.
6. גיא מציין כי ניתן לנעול כמות רבה של משתמשים ולנצל את העומס על המוקד להנדסה חברתית - זו טענה שעשויה להיות נכונה, אך ישנן דרכים לצמצם חשיפה זו (כמו לצמצם את שיקול הדעת של המוקד הטלפוני בזיהוי לקוח לפרוצדורות מוגדרות). זו בדיוק הסיבה בגללה מערכי אבטחה בארגון צריכים להיבחן כמכלול תוך ביצוע ניתוח סיכונים שיטתי ולא בצורה נקודתית-טכנית.

טעיתי. אני לא בטוח אם כתבתי את זה פה, אך בהחלט אמרתי את זה בצורה ברורה בפורומים מקצועיים - הסבירות למתקפת פישינג על בנק בארץ נמוכה וכנראה שלא תקרה בשנתיים שלוש הקרובות. זה הזמן לאכול את הכובע (אני מתייחס כמובן לפישינג על לאומי), למרות שאני עדיין מאמין שהסבירות למתקפות כאלה נמוכה. בעיקר בגלל שפוטנציאל הגניבה נראה לי נמוך באופן יחסי. צריך לזכור שלמרות שיעורי חדירה גבוהים אולי של האינטרנט ללקוחות בארץ, אנחנו עדיין מדינה שיש בה רק שבעה מיליון תושבים. רוב הבנקים מטילים מגבלות לא קטנות על העברות כספים ורוב הלקוחות לא מנצלים את היכולת להעביר כספים, כך שלחלקם זה חסום לחלוטין (כמו אצלי למשל) ואצל חלקם יש מספר חשבונות מוגדרים מראש להעברה. כך שאם יש תוחלת למתקפת פישינג נראה לי שזה יהיה סביב הרצת מניות, אבל טעיתי פעם אחת אז אולי זו הפעם השניה.

לכל מי שרוצה להתמודד עם סוגיית הפישינג (בנקים בעיקר), אני מציע לקרוא את המאמר של Moore ו-Clayton. תקציר המאמר מ-LightBlueTouchPaper:

אתר פישינג ממוצע חי כ-58 שעות, עם זמן חציוני של 20 שעות (לשונאי הסטטיסטיקה המשמעות היא שחצי מהאתרים מורדים מהאוויר בתוך 20 שעות והיתרה בפרק זמן ארוך יותר. למי שזוכר משהו מהלימודים, זו ההתפלגות עם הזנב הארוך). הנקודה המעניינת היא שבערך חצי מהנזק נגרם על ידי כנופיה המכונה Rock-Phish ואשר אחראית לכמות נכבדת של תכתובות הפישינג (בערך שליש בפרק הזמן שנבחן). האתרים שלהם גם מחזיקים יותר זמן בממוצע (94 שעות בממוצע ו-55 שעות חציוני). יש להם שיטה (חדשה) הנקראת fast-flux, בה הדומיין מפנה מדי כמה ימים לכתובות אחרות, על מנת להקשות על הורדה של אתרים (הזמן החציוני עבור אתרים אלה הוא 202 שעות). הערכת החוקרים היא כי ישנו ניפוח במספרי אתרי הפישינג בעולם הנובע משתי סיבות בלתי תלויות - כנופיות פישינג עושות שימוש במגוון כתובות ושמות דומיין המוחלפים כל הזמן על מנת להקשות על גילוי ולא נעשה ניסיון מספק לצמצם את הרישומים הכפולים ומאידך לחברות האבטחה יש אינטרס לנפח דיווחים, זה טוב לעסקים.

אתר ממוצע יחלץ את פרטיהם של 25 לקוחות תועים ביום הראשון והמספר יעלה בערך בעשרה בכל יום. עלות הפשיעה בתחום הפישינג מוערכת על ידם בכשלוש מאות וחמישים מיליון דולר, כאשר חצי בערך נלקח על ידי Rock-Phish Gang. הם מציינים כמובן כי המספר הזה נמוך משמעותית מזה של גרטנר (שעומד על יותר משני מיליארד דולר). ההפרש נובע משימוש בהערכות בשני הצדדים, אך גם מכיוון שגרטנר כוללים במספר הזה נתונים שנגנבו ממחשבים אישיים, אתרים וכדומה, בעוד שהניתוח שלהם מתמקד בפישינג נטו. העובדה שאחוז גבוה של הגניבה נעשה על ידי גורם אחד מצביע על המגמה של השנים האחרונות של הפיכת הפשע המקוון לפשע מאורגן. עובדה זו לכשעצמה אמורה להוביל למאבק מאורגן וממוסד יותר, שכן לא מדובר על לתפוס אלף גנבים שונים מדי שנה הגונבים בממוצע 1000 דולר, אלא לתפוס כמות קטנה יותר של אנשים הגונבים ביחד מיליונים מדי שנה. החוקרים מציינים כי נראה שחוסר שיתוף פעולה וחוסר תיאום בין הגורמים השונים מוביל לטיפול לא אפקטיבי ומבולבל.

המאמר מתפרסם במסגרת הכנס השנתי על כלכלת אבטחת מידע. אתר הכנס מספר מדי שנה חומר קריאה מרתק, כך שגם השנה ההמלצה היא לנבור במאמרים, בתקווה שגם השנה הם יהיו נגישים (מה שיעניין אותי יוצג בבלוג כמובן).

ידיעה בגארדיאן הבריטי מספרת על כך שבכירים בבנק המלכותי של סקוטלנד נתונים למתקפות פישינג המכוונות למחשבים הביתיים שלהם, באמצעותם הם מתחברים לבנק מרחוק. מנהלים הם אוכלוסייה בעייתית כשזה מגיע לאבטחת מידע ולא בכדי בפרשת הסוס הטרויאני נשלחו הסוסים הטבריאניים למנהלים. מספר סיבות שהופכות מנהלים ליעד נוח למתקפה:

• מנהלים חיים פעמים רבות בתחושה שהם יודעים הכל ולכן אינם טורחים להקשיב להנחיות האבטחה. התוצאה היא שדווקא הם מועדים לבצע תקלות אבטחה, מכירים פחות את נהלי הארגון ובאופן כללי מהווים אוכלוסיה עם פחות ידע אבטחתי.
• מנהלים אינם אוהבים להוריד את עצמם לרמת עובדים זוטרים ולכן הרבה פעמים כאשר הנחיות אבטחה עוסקות בשימוש בסיסי במחשב, הנחיות שחלות על כל עובד, מנהלים יהיו אטומים להנחיות (כיוון שהם מתעסקים בנושאים אסטרטגיים).
• מנהלים מקבלים מה שהם רוצים. גם אם זה לחלוטין לא הגיוני. כך מנהלים מקבלים גישה ברשת אלחוטית לא מאובטחת למשרדי החברה, או פותחים להם גישה החוצה בפרוטוקולים רגישים, פשוט כי הם רוצים ואף אחד לא מוכן לומר להם לא.
• מנהלים צריך לרצות ולכן כשמשהו אצלם לא עובד, דבר ראשון מורידים את כל ההגנות ורק אז בודקים לעומק את הבעיה. העיקר להוריד את מפלס הלחץ. התוצאה היא שתשתיות מחשוב של מנהלים (שמלכתחילה רגישות יותר) נמצאות ברמת אבטחה נמוכה ביחס לתשתיות מחשוב של עובדים מן המניין.

כתוצאה מכך, הרבה פעמים תקלות אבטחה קורות דווקא בקרב דרגים בכירים. אליהם גם מתייחסים בסלחנות לעתים (כי הם בכירים) ומטאטאים מתחת לשטיח (לא רוצים לריב איתם) והתוצאה היא שאין הפקת לקחים אך יש השתרשות של נורמות שליליות. שימו לב אגב מי האוכלוסיה שמאבדת הכי הרבה מחשבים ניידים בצבא - סגני אלופים ואלופי משנה.

קוים מנחים שיעזרו לכם לקבל את מבוקשכם:

1. חייכו. אין דבר שמפחית הגנות פסיכולוגיות טוב יותר מחיוך. מרגישים את זה גם מעבר לטלפון. חוש הומור פשוט לא מזיק גם כן.
2. הכירו את היעד. מונחים, מושגים, שמות וכל דבר אחר שתדעו על מושא התקיפה רק יעזור לכם.
3. תנו לדברים לקרות מעצמם. אין מתקפה יותר אפקטיבית מזו הנטווית על ידי המותקף. יש כל כך הרבה מנגנונים פסיכולוגיים לא מודעים שעובדים לטובתכם שכל התערבות חיצונית רק גורעת.
4. השתמשו במשפטים עמומים, הם מסייעים לצד השני להשלים לבד את התמונה (ובכך חוסך מכם את העבודה).
5. עשו שימוש בכמה שיותר נתוני אמת. קשה לשקר לאורך זמן.

חמישה תרחישים מובילים לקבלת שמות משתמשים וסיסמאות (לשימוש פנימי בלבד, לבדיקת רמת האבטחה בארגון, רובם נבדקו בארגונים מובילים ונמצאו מוצלחים)

1. שלום, מדבר עומר מהתמיכה. התקנתם משהו במחשב לאחרונה? לא? כי אנחנו מזהים סריקת פורטים מהמחשב שלך. ברוב המקרים מדובר בהתקנה של תוכנה פיראטית. אתה בטוח שלא התקנת? האפשרות הכי טובה היא שאתחבר ישירות למשתמש שלך כדי לבדוק התקנות אחרונות על התחנה. מה השם משתמש והסיסמא? (מתקפה כזו מפעילה את מנגנוני ההגנה העצמיים של הנתקף)
2. שלום, מדבר עומר מהתמיכה. כחלק מההטמעה של ה-ERP בחברה, אנחנו מגבשים פרופיל משתמש אחיד מבוסס על המשתמש שלך ב-Windows. אני צריך את שם המשתמש והסיסמא כדי לאחד פרופילי משתמש וכדי שההגדרות שעשית לעצמך לא יאבדו. (במתקפה זו אנו פונים לאגואיזם הצרוף הקיים בכל אחד)
3. שלום, תמיכה? מדבר ירון זהבי מקומה 5. אני מצטער שאני שוב מציק, אך שוב שכחתי את הסיסמא. (התומך בודק ואומר: אבל החשבון לא ננעל). אני יודע, אבל אחרי שני נסיונות כבר הבנתי ששכחתי. מה הטעם להמשיך הלאה? (מי לא אוהב לעזור לאחרים?)
4. היי, אני חייב להדפיס משהו דחוף בעמדה. מה הסיסמא שלך? (הדחיפות תמיד מקדמת עניינים)
5. לחפש באחד ממקומות הקסם: מתחת למקלדת, מתחת לטלפון, במגירה העליונה או התחתונה, על הדלת של הארונית הקטנה, במגירה הנעולה (המפתח במגירה מתחת).

מסתבר שמסתובבת עכשיו באינטרנט ערכת Man In The Middle לפישינג. מדובר בערכה שמאפשרת לכל מקים אתר פישינג לקשר אותו ישירות לאתר האמיתי על מנת לקבל נתונים מהאתר (נניח, תמונות זיהוי שנבחרו על ידי המשתמש) ולהעביר נתונים לאתר (נניח סיסמא חד פעמית). עצם קיומם של מתקפות כאלה אינו חדש, אך ערכה אוניברסלית לפורץ היא בהחלט חידוש (מרענן?). הטענה המרכזית בהקשר זה היא שזה יהפוך את מוצרי הסיסמאות החד פעמיות למיותרים, כיוון שניתן לעקוף אותם. זה נכון, אבל חלקית. השלב הבא יהיה שארגונים המשתמשים במוצרים כאלה לזיהוי לקוחות יטמיעו מערכות סינון על בסיס מיקום, כך שיותר מדי בקשות הזדהות ממקור אחד יובילו לחסימת המקור והתוקפים יתחילו לעשות שימוש ב-botnets על מנת להסוות את מקור הגישה. וכך יימשך משחק החתול והעכבר. ואיך שאני מעדכן על זה, Ebay החליטה לחלק ללקוחות שלה פתרון OTP תמורת 5$. אני תוהה אם זה הפתרון הכי טוב שהם הגיעו אליו, או שהם רוצים להרגיע את הלקוחות. עוד נקודה מעניינת היא מהו אחוז הלקוחות שיהיו מוכנים לשלם 5$ לשיפור האבטחה.

מקור: TheRegister

כמו במותחן של גרישם, העלילה נשארת אותו הדבר, רק הדמויות והמקומות משתנים.

שלושה ישראלים חשודים כי גנבו כעשרה מיליון אירו מבנקים בצרפת באמצעות הנדסה חברתית. הנוכלים (לכאורה?) התקשרו למנהלי סניפים והתחזו לאנשי חוק והודיעו כי סוכנים סמויים ייצרו קשר בימים הקרובים. לאחר מכן התקשרו, הפעם כסוכנים סמויים וביקשו לרכז עבורם נתונים על העברות בסכומים גבוהים. לאחר קבלת הנתונים ביקשו כי הכספים יועברו לחשבונותיהם, משם הם פיזרו את הכספים. (ynet)

הנדסה חברתית היא אחד האיומים המרכזיים בתחום אבטחת המידע ולא בכדי. לאחר שהגבלנו את יכולת המשתמשים להעביר את אמצעי ההזדהות שלהם באמצעות ביומטרי (נניח...) ולאחר שצמצמנו את ההרשאות למינימום ההכרחי (שוב נניח...) התקנו את מערכות מניעת דלף המידע של Onigma, Port Authority (ועכשיו גם Secure Islands?), הוספנו חיוויים אינספור, כי כך דורש SOX והטמענו בעצם כל טכנולוגיה אפשרית, גילינו כי עדיין ניתן לגנוב מאיתנו מידע, לפגוע בעסקים ובקיצור - להפריע את מנוחת הצהריים. 

אין מה לעשות, צריך להתמודד עם העובדה שעוד לא ניתן להעסיק רובוטים ואנו מעסיקים בני אדם. בני אדם שמדליפים מידע, מאפשרים לאחרים גישה למערכות שלהם וכדומה. כל זאת ללא שניתן כמעט לאתר את החודר למערכת, כיוון שהוא עושה זאת תחת הרשאות המשתמשים הלגיטימיים. ואולי החמור מכל, האנשים שמסייעים בתהליך אינם אנשים רעים, להיפך - ברוב המקרים הם בטוחים שהם עושים רק דברים טובים.

כשמדברים על הנדסה חברתית חושבים בדרך כלל על פישינג - הונאת לקוחות. אך הנדסה חברתית היא אולי האמצעי הטוב ביותר לחדור לארגון. היא אינה מעוררת חשד ולא ניתן לאתר אותה באמצעים טכנולוגיים. כיצד מתמודדים עם הנדסה חברתית? שילוב של שלושה מרכיבים:

1. זיהוי נקודות כשל אנושיות - תהליכים ארגוניים המועדים לניצול לרעה.  
2. זיהוי פערים בין טכנולוגיה לנהלים.
3. הדרכה, הכוונה ובקרה.

אחת הבעיות המרכזיות בהסברת הסכנה בהנדסה חברתית היא התחושה הטבעית ש"לי זה לא יקרה". מניסיון כמחלץ סיסמאות מאנשים (מחלץ מורשה יש לומר), אני יכול לומר שהסטטיסטיקה שלי היא בסביבות ה-80% הצלחה. הכל עניין של תיאום ציפיות מול הנתקף (כמובן, בלי שהוא מרגיש). זה קצת כמו התחקירים האלה של כלבוטק - שכל אחד אומר לעצמו "מי אלה האנשים האלה שמתפתים לכל מיני עסקאות", ובכל זאת אנשים מתפתים.

הפיקוח האמריקאי על הבנקים מחייב את הבנקים בארצות הברית לספק ללקוחות אמצעי פיסי להזדהות על מנת להתמודד עם מתקפות הפישינג הרבות. זו החלטה די מטופשת כיוון שכל מנגנוני ההזדהות ניתנים לעקיפה, כיוון שכולם מתבססים על משהו בצד המשתמש ועל תחנת קצה שלרוב אינה מוגנת. מתקפות פישינג מתוחכמות מהעת האחרונה הוכיחו שתקיפה של מנגנוני הזדהות חזקה אינה תרחיש קיצון אלא מצב בפועל.

בכתבה הזו מתוארים מנגנונים אחרים שבנקים מתחילים ליישם במקום אמצעי הזדהות (בין היתר כי העלויות של פרויקטים כאלה עצומים, היתרונות לא ברורים והלקוחות לא אוהבים אותם). הפתרונות המובילים לדעתי מבחינה אבטחתית הנם פתרונות שניתן לקרוא להם הזדהות סטטיסטית, או בלשונה של RSA, הזדהות אדפטיבית (אגב, זה פתרון של Cyota הישראלית שנקנתה על ידם). המשמעות היא שמנתחים סדרה של פרמטרים המאפיינים את המשתמש ולא מתייחסים רק לשם המשתמש והסיסמה. נתונים אלה יכולים להיות נתונים אודות תחנת הקצה, נתונים על המיקום הפיסי של כתובת ה-IP ממנה מגיעים, הצלבה עם נתונים כאלה בין לקוחות וכדומה.

מבחינת יחס עלות תועלת פתרונות כאלה מציגים יחס עלות-תועלת הרבה יותר גבוה מפתרונות של הזדהות חזקה ובשלב זה נראים גם יותר מאובטחים מהם. אני מניח שאם רוצים לתקוף מנגנון שכזה צריך (בעת ביצוע מתקפת פישינג) לדגום את הנתונים הרלוונטים בתחנת הקצה ולזהות את כתובת ה-IP ממנה ניגשת התחנה. את המתקפה מבצעים דרך שרתי proxy במרחב הכתובות המתאים, תוך הצגת נתוני הזיהוי הרלוונטים של התחנה (cookie, או כל אובייקט אחר שהאתר רוצה). על מנת לטשטש את יכולת הצלבת הנתונים של המערכות תידרש החלה תדירה של כתובות IP. כמובן שמתקפות שמבוצעות דרך טרויאניים ישירות מהמחשב הנתקף יעברו את מנגנוני האבטחה האלה.

צריך לשים לב אבל שיש הבדל בין הגנה על פרטיות הלקוחות להגנה על כספם. מימוש מנגנונים כאלה עבור הגנה על הכסף מספקת רמת הגנה גבוהה, כיוון שפעילות של תוקף בתוך החשבון במאפיינים שחורגים ממאפייני הפעילות של הלקוח תיחסם באופן אוטומטי (וזה לכשעצמו יצריך מהתוקפים למקד את ההתקפות ללקוחות שיש יותר סיכוי שמאפייני הפעילות שלהם חשופים לגניבת כספים). לעומת הגנה על הכסף, הגנה על הפרטיות קשה יותר כיוון שבעוד שבפעילות בחשבון ניתן לבנות פרופיל מורכב, בגישה לחשבון עצמו קשה יותר לבנות פרופיל כזה ולכן קשה יותר לזהות חריגות.

הבעיה המרכזית איתה מתמודדים בנקים היא שבקשר הזה עם הלקוחות, הבנקים נדרשים להתבסס על רמת אבטחה שתלויה בלקוח. בניגוד לעקרון האבטחה המחייב להחזיק את מנגנון האבטחה צמוד לחזה.

במסגרת חידושי האבטחה בויסטה מתוכנן מנגנון חדש שייקרא Extended Validation Certificate (להלן EVC). המשמעות היא כי ניתן יהיה לרכוש תעודת SSL רגילה ותעודה "מאובטחת". כמובן שהתעודה המאובטחת תעלה יותר כסף ולא ברור לחלוטין מה בדיוק זה יתרום. כנראה (אני אומר כנראה כי לא מצאתי עדויות כלשהן) שעל מנת לקבל את התעודה האישורים שיצטרכו לנפק הארגונים הרוכשים ואולי גם רמת האבטחה שיישמו יהיו גבוהים יותר (אלא שהמשמעות של ערובות כאלה מאוד לא ברורה ואני די סקפטי שבפועל תהיה פה אבטחה גבוהה יותר). המשמעות מבחינת מיקרוסופט הוא ש-IE7 יידע לזהות תעודות שכאלה ויצבע את שורת ה-URL בירוק.

עד כאן התחזית האופטימית. מכאן, המציאות.

SSL כמנגנון אבטחה נכשל מכמה טעמים:

1. ניתן לפרוץ לאתרים בכל כך הרבה דרכים שההשקעה הרבה ב-SSL לא מוכיחה את עצמה כשווה משהו. לא ניתן להאזין לתעבורת הנתונים, זה נכון. אך מי שרוצה לגנוב פרטי משתמשים לא הולך להאזין להתקשרויות לאתר, אלא פורץ לבסיס הנתונים וגונב אותו. בדיוק כמו שלא ממש גונבים לכם את מספר הכרטיס כשאתם משאירים את השובר בחנות או מוסרים את המספר בטלפון. יותר אפקטיבי מבחינת פשיעה לזייף כרטיסים בצורה סיטונאית מאשר לרדוף אחרי פתקים.
2. משתמשים לא מסוגלים להבין מה המשמעות של התעודה ולא יודעים כיצד להשתמש בה. הארגונים מצידם גם הם לא יודעים כיצד להשתמש בה. כלומר, לעתים אתם תכנסו לאתר שהכתובת שלו היא x.com וכשתעברו לחלק המוצפן, פתאום תעברו ל-y.com. ברור ש-x זה השם השיווקי לפיו הלקוחות מזהים את המותג ולכן גם זה שצריך להופיע בתעודה ובכתובת האתר העסקי (בהרבה מקרים יש הבדל בין האתר השיווקי לאתר העסקי). אלא שארגונים מצידם לא טורחים לעשות שימוש נכון בתעודות.
3. כל אחד יכול לקנות תעודה, כיוון שכל אחד יכול להיות סוחר בפוטנציה ולכן לא ניתן להגביל את כמות הרוכשים.

אגב, כל מה שאמרתי עד כאן נכון גם לחתימת קוד.

מה יקרה לאחר הכנסת המנגנון החדש? משתמשים עדיין לא יידעו כיצד לקרוא תעודות SSL, ארגונים עדיין יעשו שטויות וארגוני פשע יקנו גם הם תעודות מאוד מאובטחות. נכון, ארגוני פשע לא יקנו תעודות מאובטחות בגל הראשון, אלא בגל השני, אך זה רק עניין של זמן. הרי verisign לא באמת יכולה לוודא איזו חברה מתוך ה-150 מיליארד שרשומות בעולם היא חברה אמיתית, איזו חברת קש של ארגון עסקי, איזו חברה משמשת להעברת כספים לניקרגואה ומה שייך ליאקוזה.

בסופו של דבר הפתרון הזה יחזיר אותנו למקום בו אנו נמצאים, שזה די רע מבחינת הצרכנים.

verisign תומכת כמובן במיקרוסופט. מדוע? למיקרוסופט זה יעניק יתרון שיווקי אדיר על שועלאש (בלאו הכי המשתמשים לא מבינים את הסיכונים, אפשר למכור להם הכל) ול-verisign זה יהיה שווה הרבה מאוד כסף (כי כמובן שהתעודות החדשות יעלו הרבה יותר).

אני מודה שההונאה הבאה הפתיעה אותי, למרות שהיא די פשוטה. אחת ההנחות שלי בדבר החשיפה של בנקים בישראל לפישינג היא שמכיוון שרוב ההעברות לצד ג' שלא הוגדר מראש מוגבלות, אין תועלת רבה בגניבת פרטי הזדהות (יש עוד סיבות שבגללן אני לא בטוח שנראה פישינג בארץ). בכל מקרה, שתי חברות למסחר בניירות ערך איבדו לאחרונה מיליונים, כאשר פושעים חדרו לחשבונות משתמשים וקנו מניות של חברות לא ממש נסחרות, מה שגרם להעלאה חדה בערך המניות שהם רכשו בכספם קודם לכן. כמובן שמי שבסופו של דבר ספג את הנזק זה חברות המסחר בניירות ערך.

מה שאני לא מבין זה, אם פושעים כל כך יצירתיים, איך זה שהם כל הזמן נתפסים?

מקור: finextra