יומן אבטחה

• כאשר חוזרים מטיסה עוברים בביקורת הדרכונים. בארץ, בניגוד לכל שדה תעופה בו ביקרתי, החליטו לפצל את תהליך ביקורת הדרכונים לשני חלקים: ביקורת הנכנסים ושער הכניסה לאחר ביקורת הדרכונים. ברוב שדות התעופה, לאחר שהבודק סיים את בדיקתו הוא יפתח לך מעין שער קטן באמצעותו תעבור את ביקורת הדרכונים. האחראי לבדיקה ולמעבר לשלב הבא הוא אותו הגורם. בארץ לעומת זאת (אגב, זה כך גם ביציאה) לאחר סיום הבדיקה מקבל הנבדק פתק קטן (שלא לומר עלוב וקל לזיוף) אותו הוא אמור לתת לשוטר שניצב בשער הכניסה מאחורי ביקורת הדרכונים (בלי יכולת לראות מה קורה באיזור ההוא). מאחר וכמות השוטרים קטנה משמעותית מכמות בודקי הדרכונים (עכשיו באוגוסט היו שלושה כאלה וכעשר עמדות בדיקת דרכונים), תמיד יש לחץ באיזור המעבר. ביום שישי האחרון למשל, השוטר אליו פניתי היה כה עסוק שיכולתי לעבור שם שש פעמים בלי שהיה שם לב. המתנתי דקה עד שיחזור לעיסוקיו (אגב, הוא היה עסוק במענה לשאילתות מודיעין של תיירים) ואז נתתי לו את הפתק, עליו לא הסתכל כלל. כמה קשה אם כן להכנס לישראל עם דרכון מזויף? יותר קל ממה שנדמה ובטח יותר ממה שרצוי.
  
• עד כאן - ניתוח האבטחה. עכשיו לגבי ניתוח העלות - בהנחה ובמהלך השנה יש רק שוטר אחד (ולא שלושה כמו שהיו בשישי), ניתן להניח כי עלות מנגנון האבטחה הזה הוא 21 משמרות שבועיות של שמונה שעות שמבוצעות על ידי 4.5 שוטרים המבצעים כל אחד 5 משמרות שבועיות (לא כולל מפקחים). אלה עולים למדינה כל אחד לפחות 7000 ש"ח בחודש (לדעתי כפול מבחינת עלויות כוללות, בהנתן גם שבתות וחגים, אבל אני מעדיף להדגים את האבסורד עם נתונים מצומצמים). כלומר, פתרון האבטחה הזה עולה כל שנה כמעט ארבע מאות אלף ש"ח. מדי שנה. החלופה - בניית שערונים קטנים לכל בודק דרכונים בעלות של כמה אלפי שקלים לשער (מה שיציב את הפתרון באיזור של עד 150,000 ש"ח הקמה ונניח 30 אחוזי תחזוקה בשנה). וזה בהערכות אופטימיות לעלות הנוכחית ופסימיות לעלות האלטרנטיבית.
  
• לאחר שחזרתם לארץ והתפלחתם כיוון שבביקורת הדרכונים השוטרים היו עמוסים ובודקי הדרכונים לא משגיחים באמת מי עובר דרכם, החלטתם לקחת מונית. ביציאה משדה התעופה ישאלו אתכם כל מיני אנשים אם תרצו מונית. אלו הם החאפרים - החאפרים אינם באמת חאפרים, הם פשוט בעלי מוניות שלא משלמים לרשות שדות התעופה דמי מונית. בתור המוסדר מתייצבות כל המוניות המשלמות את דמי המונית של הרשות - אלו הנהגים המקוריים. לאחר שתעלו על מונית, אם בחרתם במונית "אורגינל", המונית תעצור בשולי הדרך לפני היציאה משטח שדה התעופה ושם תתעכבו על מנת לתת פתק עם אישור תשלום דמי מונית למפקחת. מה קורה אם נסעתם עם חאפר? הוא לא יעצור ולא יראה ששילם דמי מונית. פתרון האבטחה מתבסס על זה שהמפקחת תאסוף את הפתקים מהמוניות האמיתיות (רוב המוניות) בעוד שהיא רושמת את מספרי המוניות של החאפרים. בפועל, חוץ מלהפריע לנוסעי המוניות ששילמו דמי מונית להגיע למחוז חפצם, המפקחות אינן תורמות להגנה על נכסי הרשות. איך יוכלו אם הן צריכות גם לטפל במוניות שעוצרות וגם לרשום את מספרי המוניות החולפות בכביש מהיר, חשוך עם שלושה נתיבים?
  
• לאחר שברור למה הפתרון גרוע, בואו ננתח את העלות והחלופה. העלות היא 5 עובדים לאורך כל השנה (פה כבר צריך מפקח) והעלות לעובד היא 5000 ש"ח בחודש (מה שמציב את כולם בשכר מינימום). אני מתעלם מעלויות נגזרות כמו מדים, הסעת העובדים לחור שבו החליטו למקם אותם, תחזוקת המבנה הקטן שבנו להם, סיכונים מקצועיים (דריסה) וכדומה. הפתרון עולה כל שנה כמעט שלוש מאות אלף ש"ח ומספק רמת אבטחה ששואפת לאפס. הלוא בלאו הכי אלו שעומדים בתור משלמים את המיסים גם אם לא ינסו לתפוס אותם. החלופה היא לשים שלוש מצלמות עם תוכנה לזיהוי מספרי לוחות רישוי, מהסוג שמשתמשים בו בכביש 6. כאן אנו מדברים על תוכנה שממש תבדוק מספר רישוי בהצלבה לנתוני משרד התחבורה (מונית רשומה) והוצאת חשבונית תשלום בסוף כל חודש. מנגנון אבטחה אופטימלי שיגדיל את ההכנסות, אך כנראה שעלותו לפחות בשלב הראשוני עולה על לאיזור מאות אלפי השקלים. גם במקרה זה אני מעריך שבטווח זמן הפתרון הזה יהיה יותר כלכלי, כאשר משקלים לא רק את עלויות התחזוקה הנמוכות משמעותית אלא גם את העליה בהכנסות.

אודי אהרוני כתב רשימה בנושא ומכיוון שכדי להגיב ב-cafe themarker צריך להירשם החלטתי להעשיר את הבלוג שלי במקום את האכסניה שלהם (לא ברור מי חשב על הרעיון האווילי הזה). מעז יצא מתוק - זו הזדמנות טובה לדון באחד הנושאים המורכבים העומדים בפני מנהל אבטחת מידע בארגון - הערכת כדאיות של עלויות.

אודי כותב ובצדק שהעובדה שקשה להעריך עלויות ישירות ועקיפות אינה מהווה הצדקה להתעלמות מהסוגיה. בהקשר זה עולות שתי שאלות מרכזיות - מדוע כה קשה להצדיק עלויות של אבטחת מידע וכיצד בכל זאת מומלץ להתמודד עם סוגיה זו.

מדוע קשה להצדיק עלויות אבטחה

ארגונים נוטים שלא לדווח על בעיות אבטחה. מחקרים מראים כי בטווח הזמן הקצר (קשה למדוד לאורך זמן) חשיפות אבטחת מידע מורידה את ערך השוק של החברה הנתקפת. הנתונים משתנים בהתאם לסוג הפגיעה, כאשר מבחינת ההשפעה ניתן להבחין בעיקר בין חשיפת מידע של לקוחות (שמשפיע על תדמית ויוצר חשיפה משפטית) לשאר המפגעים. הראשון מוריד את ערך החברה בממוצע ב-3% בעוד שהאחרון באיזור ה-10%. חשוב להדגיש כי כמות המחקרים בנושא קטנה מאוד ונתונים אלה מתבססים על כשני מחקרים בלבד (אם זכרוני אינו מטעני). לפיכך, הערכות הן כי חברות לא מדווחות על פריצות לרשויות אלא מעדיפות לספוג את הנזק, על מנת שלא ליצור נזק נוסף על הנזק שכבר נגרם. זו אגב אחת הסיבות שבארצות הברית מתפתחת חקיקה (שהשפעותיה ניכרות גם כאן) המחייבת ארגונים לחשוף פריצות הנוגעות לחשיפת מידע על לקוחות. השוואת הדיווחים העצמיים של חברות בסקר CSI/FBI לאופן שבו מתמחר השוק חשיפות אבטחה (דרך ערך המניה כמובן) מראה כי ארגונים נוקטים במדיניות של הערכת חסר (ועל זה יש להוסיף את האירועים שלא הגיעו לידיעת ציבור המשקיעים).

כאשר בוחנים בצורה השוואתית נתונים של גופים שונים הבוחנים את עלויות אבטחת המידע מגלים כי הפערים בהערכות על נזקי וירוסים עשויים להיות עד פי 100 בין ההערכה הנמוכה ביותר לגבוהה ביותר. ואלו עוד נתונים "אובייטקיביים". כך שברור שהיעדר נתונים הוא הבסיס הראשון להיעדר יכולת להצדיק עלויות אבטחה.

הבסיס השני הוא חוסר הנכונות של ארגונים לבצע הערכת סיכונים שיטתית המנסה לתמחר שירותים, ידע ונזקים. ידוע כי רוב הנזקים בתחום אבטחת המידע הם נזקים פנימיים, בעוד שרוב המתקפות הן חיצוניות (המונח "ידוע כי" בא לרוב לציין כי לכותב אין שום ביסוס עובדתי לטענה. ראו גם "מן המפורסמות", "לאחרונה נטען", "הערכות השוק" וכדומה). אלא שבלי קשר לטענה מהיכן מגיעים רוב הנזקים, מנהלי אבטחת מידע רבים אינם מסוגלים להעריך היכן ממוקמים הנכסים המרכזיים של הארגון, מה הם בכלל ומה יגרם להם בתרחישים השונים (אם יש תרחישים שונים). כך שהיעדר הערכה על מה יש להגן, במשולב עם היעדר נתונים על נזק כלכלי פוטנציאלי יוצרים מצב בו קשה להצדיק את הוצאות אבטחת המידע.

אלא שזה לא הכל. בסיס נוסף בבעיה הוא העובדה ה"מצערת" שתחום אבטחת מידע אינו מכניס כסף לחברה. עם כל האהדה שלי לטיעון שאבטחת מידע צריך לראות דרך הזווית העסקית (וזה אחד הטיעונים החזקים שאני מנסה לקדם מול לקוחות), אין תזרים מזומנים חיובי בקצה של השקעת אבטחת המידע. לכל היותר ניתן לבחון את ההשקעה העסקית ותזרים המזומנים שלה ולנסות להעריך כיצד סיכוני האבטחה ישפיעו על תזרים המזומנים הזה. אך זה מחזיר אותנו לנקודה הראשונה.

על כל זה אוסיף בקינוח. אין מודלים טובים לכלכלת אבטחת מידע. ישנו מודל של Annual Loss Expectancy שפותח על ידי מכון התקנים האמריקאי בשנות ה-70. המודל מצוין במובן זה שהוא מאפשר להגיע לתוצאות כמותיות סופיות, אלא שהוא דורש הגדרה של הסתברות לכל אחד מהסיכונים ומחיר לכל תוצאה. גם אם היו את כל הנתונים (ואין) הוא עדיין מורכב ולא נוח לשימוש. מודלים אחרים פשוט לא אפקטיביים או לא באמת קיימים. זה בהחלט נושא שבשנים האחרונות נדון באקדמיה (ראו בסוף הרשימה קישור לדף בנושא של כלכלת אבטחת מידע להמשך קריאה).

כיצד בכל זאת ניתן להצדיק עלויות אבטחה

ראשית יש לפרק את עלויות האבטחה למרכיבים השונים. יש לבחון עלויות ישירות ועלויות עקיפות (לפחות כקטגוריות לבחינה) ולבחון למול כל מרכיב את היצע הנתונים הקיים. לדוגמא, בבחינת AntiVirus וכלי סינון תוכן אחרים ניתן לספק לא מעט ארגונים פנימיים וחיצוניים לארגון על השבתות ולהעריך הסתברויות להשבתה. את הנתונים על עלויות ההשבתה ניתן לבנות לפי טבלאות שכר. באותו האופן ניתן להעריך עלויות של סיסמאות ולתמחר את התועלת של מנגנון הזדהות חזקה. וכן הלאה. כאשר מגיעים למקומות בהם אין נתונים, חשוב לזהות את המרכיבים האסטרטגיים לארגון ולפעול להגנתם (לדוגמא, אם לארגון חשובה תדמיתו יש להציג את אמצעי האבטחה כמשהו שמגן על התדמית בנוסף על נושאי אבטחה רגילים). ככל שמרכיב האבטחה יקושר להיבט אסטרטגי יותר לארגון, יש סיכוי טוב יותר להתעלמות מנתונים כספיים והתעסקות בנושאים מופשטים.

בכל מקרה חשוב להקפיד להתמקד בנזק שעלול להגרם, במחירו או השפעתו ורק אז לדבר על עלויות האבטחה. כך מסדרים לארגון את הדברים לפי סדר התרחשותם - קיימים סיכונים ולכן צריך פתרונות. פעמים רבות מנהלי אבטחת מידע מציגים פתרונות ללא הכנה מספקת של סיכונים או תקציבי אבטחה ללא הערכת של עלויות הסיכונים.

חשוב אולי להגיד עוד משהו קטן לסיום. לא תמיד מוצדק להוציא כסף על אבטחת מידע. היעדר נתונים לעתים מעודד מנהלי אבטחת מידע לחשוב כאילו הם כבר לא צריכים להוכיח, גם לא לעצמם, את החשיבות והצורך של אבטחת מידע. כל שנכתב פה מתייחס לתרחישים בהם באמת יש הצדקה להשקעה ספציפית בתשתיות או תשומות אבטחה. לא תמיד יש הצדקה כזו וכשאין זה בהחלט נבון להגיד למנהלים בארגון שבמקרה זה לא כדאי להשקיע באבטחה, או שכדאי להשקיע פחות מהמקובל.

מקורות וקריאה נוספת

עמוד הקישורים של רוס אנדרסון בנושא כלכלת אבטחת מידע - מומלץ

הפרטת חברת חשמל תופסת תאוצה וזו בהחלט הזדמנות לבחון כיצד הנושא יכול להשפיע על הבטחון הלאומי ואבטחת מידע בכלל. חשמל הנו משאב בסיסי ובמדינה קטנה כמו ישראל, בה יש חברת חשמל יחידה, השבתת תשתית החשמל באותה חברה יחידה פירושה השבתת המדינה ופגיעה בבטחון הלאומי. אגב, הפגיעה בבטחון הלאומי אינה נובעת מהשבתה של מערך הבטחון (כולי תקווה שהצבא והגופים האחרים יצליחו לתפקד גם ללא חשמל), אלא מהשבתה של תשתיות נסמכות. לדוגמא, כל המערכת הכלכלית בערך.

למיטב ידיעתי הפרטות חשמל ברחבי העולם נכשלו (ידיעתי מתבססת על מאמר יחיד בנושא שקראתי ושפורסם במגזין Spectrum של IEEE). הסיבה פשוטה, חשמל לא ניתן לאגור. כל ואט חשמל שחברת חשמל מייצרת והצרכן אינו צורך הוא בזבוז כסף (בערך), כך שבחברת חשמל (כל חברת חשמל) מתקיים מתח מתמיד בין שני קצוות. בקצה אחד ישנו הצורך הציבורי בחשמל זמין ובתשתית חשמל מהימנה ובקצה השני קיימים האילוצים הכלכליים של חברת החשמל. כאשר חברת החשמל ממשלתית ברור היכן ההכרעה. כאשר החברה פרטית, התשובה פחות ברורה (או די ברורה לפי ניסיון מהעולם).

תרחיש אפשרי (שלא לומר צפוי) לאחר הפרטת חברת החשמל הוא תשתית חשמל פחות יציבה עם הפסקות יזומות רבות יותר ותשתית פיסית מזדקנת. לתרחיש זה מספר השלכות מבחינת בטחון לאומי:

• במידה וגופים פרטיים לא ייערכו כראוי לאפשרות של פגיעה באמינות תשתית החשמל (כשל שוק), אי עמידה בביקושים עלולה לפגוע מהותית בהתנהלות המשק.
• גופי בטחון יצטרכו להשקיע יותר משאבים בהיערכות לתרחישי כשל בתשתית החשמל (יותר עלויות לבטחון).
• חברת החשמל הפרטית (או חברות החשמל הפרטיות...) ישקיעו פחות משאבים באבטחת מערכות המידע של תשתית החשמל. מאחר ומערכות המידע המפעילות תשתיות חשמל (מערכות SCADA) בעייתיות מבחינה אבטחתית כבר כיום, צפוי כי רמת האבטחה לא תשתפר ותיווצר נקודת תורפה להשבתת כל תשתית החשמל.
• ההפרדה המתוכננת למספר חברות חשמל תקשה על תיאום אבטחה (בעיקר בתחום מערכות המידע) ותעלה את הסבירות לקיומם של חורי אבטחה אותם גורמים עוינים יוכלו לנצל. (אגב, הנקודה הזו נכונה בכלל לתהליכי ההפרטה של תשתיות לאומיות, כיוון שהמורכבות הנוצרת מהצורך בתיאום גורמים פרטיים שונים קשה עד בלתי ניתנת לשליטה).

Full Disclosure הנה מדיניות פרסום מפגעי אבטחה בגלוי, גם אם לספק התוכנה או למפעיל האתר בו נמצא המפגע אין תיקון לבעיה. Bruce Schneier ו-Marcus J. Ranum מציגים שתי עמדות מנוגדות. אני חושב ששניהם צודקים וגם טועים.

המצדדים במדיניות של פרסום מפגעים (כדוגמת Bruce Schneier), טוענים כי בתקופה בה מפגעים לא דווחו בגלוי, אלא דווחו לחברות בלבד, לא תוקן שום דבר והחברות היו לוקחות את הממצא ומתעלמות ממנו באלגנטיות. שנייר טוען בנוסף, כי בעיית חורי אבטחה בתוכנה אינה בעיית תוכנה (מנקודת מבט של החברה המפתחת), אלא בעיית יחסי ציבור. זאת כיוון שמי שנפגע מהמפגע זה הלקוחות ולא יצרן התוכנה (הוא עלול להיפגע רק כתוצאה מפגיעה תדמיתית). מכיוון שכך, הדרך הנכונה ביותר להתמודד עם חורי אבטחה היא להפוך את זה לבעיית יחסי ציבור של חברות התוכנה, קרי - לפרסם בגלוי.

מן העבר השני של המתרס (Marcus J Ranum), נטען כי לאחר עשור של פרסום מפגעים, לא נראה כי רמת האבטחה עלתה. כך שקשה להראות (למרות שלכאורה פרק הזמן ארוך דיו) שיש תועלת במדיניות הזו. מבחינתו של ראנום, חושפי הפרצות בסך הכל רוצים את דקות התהילה שלהם. בין אם כדי להתפרסם או כדי לחסוך בתקציבי שיווק. אלא שלמדיניות הזו, המונעת מאינטרסים אישיים של חוקרי האבטחה, יש מחיר ציבורי ולכן עדיף להפסיק עם המנהג המגונה.

דעתי היא ששניהם טועים. שנייר צודק בקביעתו כי היכן שאין שקיפות, המים עכורים. ללא פרסום של מפגעי אבטחה בציבור לא יהיה שיפור ברמת האבטחה. ראנום צודק שרמת האבטחה הכוללת לא עלתה ולכן קשה לראות כיצד פרסום מפגעים תורם לשיפור האבטחה. בפועל המשתנה שמשפיע הוא לא פרסום או אי פרסום, אלא השוק בו מתחרה החברה, חשיבות הדימוי הציבורי והחלופות שיש ללקוחות. בעבר היו לי כל מיני רשימות של חברות שמבצעות ניסויים בבעלי חיים וחוברת קטנה (של אנונימוס?) שהפצירה בי להחרים את החברות הללו. אלא שעיון קצר ברשימה מגלה שכמעט כל המוצרים בבית שלי מיוצרים על ידי חברות שמבצעות ניסויים בבעלי חיים ולכן זה לא סביר שאחרים את כל החברות. זו דוגמא למדיניות Full Disclosure לא אפקטיבית. מאחר וכולם עושים את זה, הלקוחות לא מסוגלים להבחין בין יצרנים שמבצעים ניסויים לכאלה שלא מבצעים ולכן אין משמעות לחשיפה.

כאשר רוצים לגרום לשינוי אמיתי אצל יצרנים הטעות הכי גדולה היא לנסות לבנות תיק נגד כולם. דווקא מדיניות ה-Full Disclosure מול מיקרוסופט היא דוגמא טובה. בשוק של Microsoft, מערכות הפעלה, דפדפנים ו-Office, עיקר החשיפות מתבצעות על מוצרים שלה. אני נוטה להניח שזה לא בגלל שהמוצרים האלה הכי גרועים (אולי גם, אך לא בכזה פער), אלא בגלל שמתקיפים אותם יותר. התוצאה היא שמיקרוסופט סומנה כחברה בעלת מוצרים לא מאובטחים, בעוד שהמתחרים (לכאורה) מאובטחים. התוצאה התבטאה בהעדפות צרכנים, מהלכים שיווקיים של מתחרים, מהלכים של ממשלות וארגונים גדולים למעבר למתחרים. מהלכים שעולים למיקרוסופט כסף. הרבה כסף. לו התפלגות המפגעים הייתה אחידה בכל מערכות ההפעלה, הדפדפנים ויישומי המשרד, למיקרוסופט זה לא היה מזיז והיא לא הייתה משקיעה את מה שהיא משקיעה באבטחה כיום, כיוון שהצרכנים היו אומרים לעצמם - נו טוף, ככה זה בתוכנה..

Full Disclosure היא מדיניות חשובה שצריך להתמיד בה. אלא שבמקום לגלות את כל המפגעים, עדיף ללכת על הגדולים. אלה שיוצרים שינוי. לחפש מפגעים באתרים הגדולים, אצל יצרני התוכנה המובילים ותמיד אצל גורם מוביל אחד. במקום להפוך את דימוי שוק התוכנה כולו לשוק של מוצרים פרוצים לסמן יעד אחד ולגרום לו כזה נזק תדמיתי אל מול המתחרים (שגם הם לא משקיעים באבטחה מספיק....) שייצור בידול בתפיסת הצרכנים ויגרום לחברה ולמתחרות להבין שיש פה גורם שמבדיל בין ארגונים. רוצים לשפר את רמת האבטחה באתרי מסחר אלקטרוני - תתמקדו כל פעם באתר אחד מהקבוצה בה אתם רוצים לשפר את האבטחה. אין מה לעשות, לפעמים שעיר לעזאזל זו מדיניות אפקטיבית יותר מצדק מוחלט.

השאלה הגדולה היא כיצד מבצעים כזה מהלך, כאשר למעשה אין איזשהו מהלך מוביל ואין מחויבות של חוקרי האבטחה לביצוע שינוי חברתי. במובן זה אני מסכים עם ראנום שחוקרי אבטחה, האקרים וכדומה אינם פועלים למען האינטרס הציבורי אלא למען קידום עצמם. זה כמובן לא פסול, אלא שנוצר פה מעין כשל שוק (אם לקחת מושגים מכלכלה). במקום שחשיפת הפרצות תהפוך למנוף לקידום האבטחה, היא הופכת לגורם שמסייע לארגונים להתעלם מהבעיה. נקודה מעניינת היא הנקודה הישראלית. פה אין בכלל חשיפה של פרצות אבטחה. מדינה שיש בה כל כך הרבה האקרים ואף אחד מהם לא חושב לבדוק את רמת האבטחה באתרים ישראליים (חוץ מההוא שנאשם על ידי המוסד בניסיון פריצה - זו הזדמנות טובה להמליץ לכם לקרוא את פסק הדין המרתק). אולי זה שיקוף של תהליכים חברתיים רחבים יותר בישראל.

אני מתנצל על היעדרותי רבת הימים מהבלוג ומקווה שהרשימה הזו תפצה.

(רוב הקישורים פנימיים לרשימות אחרות בבלוג)

אז מה היה לנו השנה? (או לפחות, מה הם הדברים הבולטים שהיו ב-2006 מבחינתי)

נתחיל בכלכלת אבטחת מידע. אני חושב ואולי זה רק בגלל שהבלוג שלי עוד לא בן שנה באמת שב-2006 אבטחת מידע נכנסה בצורה משמעותית להיבטים כלכליים. המכירה של Onigma והפריחה במוצרי מניעת זליגת תוכן הם הסמן הבולט, אך דווקא במקומות אחרים אני רואה סימנים יותר מעניינים. Click Fraud הוא אות ומופת לבעיה עסקית אמיתית שנופלת תחת קטגוריית הבעיות שאבטחת מידע אמורה לפתור. על נושא ה-Gold Farming והונאה במשחקים מקוונים כתבתי קצת, אך כמובן שזה לא נגמר שם. הסיבה אגב אינה שכך זה היה תמיד ורק היום הבנו זאת, אלא השינויים בדפוסי ההונאות. המעבר להונאות מקוונות, הגידול בשימוש ברושעות על מנת לייצר תשתיות מחשוב לגורמים עברייניים, הגידול בסוגי פישינג (ועוד) והתחכום הטכנולוגי, ההונאות במסחר מקוון והרצת מניות בספאם, כל אלה הופכים בכוח את אבטחת מידע לנתון שכל מנהל צריך לקחת בחשבון. 

מבחינה טכנולוגית אני חושב ש-RFID פרץ את הדרך השנה, בשימוש בדרכונים האמריקאים והאירופאים, משרד התקשורת אישר את השימוש בתקנים, יש איזו חברה שהשתילה לעובדים שלה RFID ובכלל נראה ש-RFID קיבל את ההכשר. אני כותב את זה כאן למרות שזה יותר סמן לקראת 2007 מאשר סיכום של 2006. RFID מציע שני דברים מרכזיים לארגונים (מבחינה אבטחתית כמובן): חשיפה לוירוסים ואפשרויות נרחבות לפגיעה בפרטיות (כפי שהומחש בסוגיית הדרכונים). זו גם הייתה השנה של הביומטרי, גם כן בהקשר של דרכונים, אך לא רק. וגם במקרה זה לא הכל וורוד.

טלפונים סלולריים נמצאים בעיצומה של מהפך לסביבה רוויית איומים. המהפך תפס תאוצה בשנה החולפת, עם מגוון של דוגמאות - תוכנת ריגול לסלולריים, וירוס משולב לסלולרי וחלונות ואחרים. המגמה הזו לא נגמרה השנה והיא רחוקה משיאה (למעשה בחיתוליה), אך היא בהחלט חשובה. השימוש באמצעים סלולריים כאמצעי ריגול (אורנג' מפיצה כזה אמצעי שתפס לו אחיזה במספר בתי עסק בהם עברתי באחרונה) מתאפשר היום הודות לטכנולוגיות וידאו וצילום מתקדמות. אך גם כתוצאה מהיותם של מכשירי טלפון סלולריים מכשירי עיקוב (גם אצלנו). מרגל סלולרי יכול היום: להתקין תוכנת ריגול על טלפונים סלולריים, לשתול מצלמת וידאו שמשדרת בסלולר לצורך מעקב, לקנות מכשיר סלולרי ולשתול אותו על אדם מסוים על מנת לעקוב אחר תנועותיו מכל מקום בארץ. וזה עוד בלי לדבר על היותם של המכשירים אמצעים בעלי זיכרון בנפחים גדולים המתחבר לצרכי עבודה (במקרים רבים) לתשתיות הארגון ויכול לשמש להזלגת מידע. אמצעי הצפנה למחשבי כף יד/סלולריים עוד לא נפוצים מספיק בארץ, אך זה יגיע.

מה עוד היה השנה? שינויים בסוגי הוירוסים (כאן וכאן) ומגמות חדשות בכל האמור לקודים פוגעניים. מסתבר שלהילחם בספאם זו מלחמה אמיתית. RFID Firewall, גילוי פירצה בפרוטוקול של כספומטים המאפשר אחזור קוד אישי. מצד שני, זו הייתה גם שנה בה החליט מישהו לפתח אקדח שיורה כדורים רק לאחר הקשת סיסמא.

אין ספק, הייתה שנה מעניינת. Vista פותחת את 2007 וכנראה שגם זו תהיה שנה מעניינת. אם תעודות זהות חכמות ייכנסו לשימוש, כצפוי, אנו עשויים לגלות פשעים חדשים.

הפיקוח האמריקאי על הבנקים מחייב את הבנקים בארצות הברית לספק ללקוחות אמצעי פיסי להזדהות על מנת להתמודד עם מתקפות הפישינג הרבות. זו החלטה די מטופשת כיוון שכל מנגנוני ההזדהות ניתנים לעקיפה, כיוון שכולם מתבססים על משהו בצד המשתמש ועל תחנת קצה שלרוב אינה מוגנת. מתקפות פישינג מתוחכמות מהעת האחרונה הוכיחו שתקיפה של מנגנוני הזדהות חזקה אינה תרחיש קיצון אלא מצב בפועל.

בכתבה הזו מתוארים מנגנונים אחרים שבנקים מתחילים ליישם במקום אמצעי הזדהות (בין היתר כי העלויות של פרויקטים כאלה עצומים, היתרונות לא ברורים והלקוחות לא אוהבים אותם). הפתרונות המובילים לדעתי מבחינה אבטחתית הנם פתרונות שניתן לקרוא להם הזדהות סטטיסטית, או בלשונה של RSA, הזדהות אדפטיבית (אגב, זה פתרון של Cyota הישראלית שנקנתה על ידם). המשמעות היא שמנתחים סדרה של פרמטרים המאפיינים את המשתמש ולא מתייחסים רק לשם המשתמש והסיסמה. נתונים אלה יכולים להיות נתונים אודות תחנת הקצה, נתונים על המיקום הפיסי של כתובת ה-IP ממנה מגיעים, הצלבה עם נתונים כאלה בין לקוחות וכדומה.

מבחינת יחס עלות תועלת פתרונות כאלה מציגים יחס עלות-תועלת הרבה יותר גבוה מפתרונות של הזדהות חזקה ובשלב זה נראים גם יותר מאובטחים מהם. אני מניח שאם רוצים לתקוף מנגנון שכזה צריך (בעת ביצוע מתקפת פישינג) לדגום את הנתונים הרלוונטים בתחנת הקצה ולזהות את כתובת ה-IP ממנה ניגשת התחנה. את המתקפה מבצעים דרך שרתי proxy במרחב הכתובות המתאים, תוך הצגת נתוני הזיהוי הרלוונטים של התחנה (cookie, או כל אובייקט אחר שהאתר רוצה). על מנת לטשטש את יכולת הצלבת הנתונים של המערכות תידרש החלה תדירה של כתובות IP. כמובן שמתקפות שמבוצעות דרך טרויאניים ישירות מהמחשב הנתקף יעברו את מנגנוני האבטחה האלה.

צריך לשים לב אבל שיש הבדל בין הגנה על פרטיות הלקוחות להגנה על כספם. מימוש מנגנונים כאלה עבור הגנה על הכסף מספקת רמת הגנה גבוהה, כיוון שפעילות של תוקף בתוך החשבון במאפיינים שחורגים ממאפייני הפעילות של הלקוח תיחסם באופן אוטומטי (וזה לכשעצמו יצריך מהתוקפים למקד את ההתקפות ללקוחות שיש יותר סיכוי שמאפייני הפעילות שלהם חשופים לגניבת כספים). לעומת הגנה על הכסף, הגנה על הפרטיות קשה יותר כיוון שבעוד שבפעילות בחשבון ניתן לבנות פרופיל מורכב, בגישה לחשבון עצמו קשה יותר לבנות פרופיל כזה ולכן קשה יותר לזהות חריגות.

הבעיה המרכזית איתה מתמודדים בנקים היא שבקשר הזה עם הלקוחות, הבנקים נדרשים להתבסס על רמת אבטחה שתלויה בלקוח. בניגוד לעקרון האבטחה המחייב להחזיק את מנגנון האבטחה צמוד לחזה.

במסגרת חידושי האבטחה בויסטה מתוכנן מנגנון חדש שייקרא Extended Validation Certificate (להלן EVC). המשמעות היא כי ניתן יהיה לרכוש תעודת SSL רגילה ותעודה "מאובטחת". כמובן שהתעודה המאובטחת תעלה יותר כסף ולא ברור לחלוטין מה בדיוק זה יתרום. כנראה (אני אומר כנראה כי לא מצאתי עדויות כלשהן) שעל מנת לקבל את התעודה האישורים שיצטרכו לנפק הארגונים הרוכשים ואולי גם רמת האבטחה שיישמו יהיו גבוהים יותר (אלא שהמשמעות של ערובות כאלה מאוד לא ברורה ואני די סקפטי שבפועל תהיה פה אבטחה גבוהה יותר). המשמעות מבחינת מיקרוסופט הוא ש-IE7 יידע לזהות תעודות שכאלה ויצבע את שורת ה-URL בירוק.

עד כאן התחזית האופטימית. מכאן, המציאות.

SSL כמנגנון אבטחה נכשל מכמה טעמים:

1. ניתן לפרוץ לאתרים בכל כך הרבה דרכים שההשקעה הרבה ב-SSL לא מוכיחה את עצמה כשווה משהו. לא ניתן להאזין לתעבורת הנתונים, זה נכון. אך מי שרוצה לגנוב פרטי משתמשים לא הולך להאזין להתקשרויות לאתר, אלא פורץ לבסיס הנתונים וגונב אותו. בדיוק כמו שלא ממש גונבים לכם את מספר הכרטיס כשאתם משאירים את השובר בחנות או מוסרים את המספר בטלפון. יותר אפקטיבי מבחינת פשיעה לזייף כרטיסים בצורה סיטונאית מאשר לרדוף אחרי פתקים.
2. משתמשים לא מסוגלים להבין מה המשמעות של התעודה ולא יודעים כיצד להשתמש בה. הארגונים מצידם גם הם לא יודעים כיצד להשתמש בה. כלומר, לעתים אתם תכנסו לאתר שהכתובת שלו היא x.com וכשתעברו לחלק המוצפן, פתאום תעברו ל-y.com. ברור ש-x זה השם השיווקי לפיו הלקוחות מזהים את המותג ולכן גם זה שצריך להופיע בתעודה ובכתובת האתר העסקי (בהרבה מקרים יש הבדל בין האתר השיווקי לאתר העסקי). אלא שארגונים מצידם לא טורחים לעשות שימוש נכון בתעודות.
3. כל אחד יכול לקנות תעודה, כיוון שכל אחד יכול להיות סוחר בפוטנציה ולכן לא ניתן להגביל את כמות הרוכשים.

אגב, כל מה שאמרתי עד כאן נכון גם לחתימת קוד.

מה יקרה לאחר הכנסת המנגנון החדש? משתמשים עדיין לא יידעו כיצד לקרוא תעודות SSL, ארגונים עדיין יעשו שטויות וארגוני פשע יקנו גם הם תעודות מאוד מאובטחות. נכון, ארגוני פשע לא יקנו תעודות מאובטחות בגל הראשון, אלא בגל השני, אך זה רק עניין של זמן. הרי verisign לא באמת יכולה לוודא איזו חברה מתוך ה-150 מיליארד שרשומות בעולם היא חברה אמיתית, איזו חברת קש של ארגון עסקי, איזו חברה משמשת להעברת כספים לניקרגואה ומה שייך ליאקוזה.

בסופו של דבר הפתרון הזה יחזיר אותנו למקום בו אנו נמצאים, שזה די רע מבחינת הצרכנים.

verisign תומכת כמובן במיקרוסופט. מדוע? למיקרוסופט זה יעניק יתרון שיווקי אדיר על שועלאש (בלאו הכי המשתמשים לא מבינים את הסיכונים, אפשר למכור להם הכל) ול-verisign זה יהיה שווה הרבה מאוד כסף (כי כמובן שהתעודות החדשות יעלו הרבה יותר).

חברת ה[אנטי] וירוס Panda Labs בחנה את השפעת דואר זבל שממליץ לקנות מניות על תנודות המניה וגילתה כי קיימת השפעה משמעותית המתבטאת בעליית המניה בשיעור חד בסמוך למשלוח דואר הזבל (לא ברור האם התוצאה מובהקת סטטיסטית). לא ברור מי המפיצים במקרה זה, האם החברות או מחזיקי מניות שמעוניינים להעלות את ערך הנכס שבידם.

מקור: Net-Security

עד כה ראינו בעיקר מתקפות פישינג על אתרים גדולים מאוד, בעלי תעבורת משתמשים/לקוחות גדולה מאוד. לתומי הערכתי כי אין תועלת רבה בתקיפת מטרות קטנות וכי מן הסתם לא נראה פישינג בארץ (מהסיבות האלה בעיקר). אלא שאז נתקלתי בכתבה משעממת שהכותרת שלה היא "גנבי זהות מתכווננים על גופי מסחר אלקטרוני קטנים". זה הזכיר לי את תורת הזנב הארוך ואת העובדה שמתקפות Cross Site Scripting מובילות את עולם הפריצה המקוון.

תורת הזנב הארוך מתייחסת להתפלגות נתונים מסוימת בה כמות קטנה של מופעים תופסת נתח מרכזי, אך סך המופעים ה"זניחים" משמעותי אף הוא. לדוגמא - ספרים. 10 רבי מכר מחזיקים 35% מהמכירות. 65% מהמכירות משויכות ל-1500 ספרים. לכן לרוב החנויות כדאי להתמקד במכירת רבי המכר, כי החזקת המלאים של כל שאר הספרים גדולה מאוד ואינה כדאית כלכלית. אך אמזון לדוגמא, הפכה את הזנב הארוך למכרה זהב. מאחר ומלכתחילה שיטת ניהול המלאי שלה שונה מחנות רגילה היא הצליחה להגיע לקהל יעד עצום, הצרכן של ה-65%, עליו מוותרות רוב החנויות. הזנב הארוך הנו מונח שנולד לפני כשלוש שנים ולמעשה טוען שבאינטרנט קל יותר להגיע לזנב הארוך ולייצר ממנו כסף ולכן אין הכרח להתמקד רק במופעים המרכזיים.

מה בין זה לאבטחת מידע?

פישינג הנה מתקפה זולה באופן יחסי. ייתכן מאוד כי לאחר שהאתרים הגדולים, המהווים את היעד המרכזי למתקפה כיום, יהיו מספיק מוגנים, נתחיל לראות את המתקפות זולגות לכיוון של אתרים קטנים של גופי מסחר שאמנם קהל היעד שלהם קטן יותר, אך גם המשאבים שהם יכולים להקצות לאבטחה קטנים משמעותית.

אך ניתן לקחת את זה גם מעבר לפישינג, לכיוון של גניבת מידע (בידיעה ממנה התחיל העניין נגנבו פרטי כרטיסי אשראי מהאתר), וזה עולה בקנה אחד עם המגמה של מתקפות יותר ממוקדות. בקיצור, הזנב הארוך מציף יתרון כלכלי לגורמי פשיעה.

ברוס שנייר כותב רשימה מעניינת על עדכוני אבטחה. מיקרוסופט מוציאה עדכוני אבטחה פעם בחודש. זה פשוט לה וזה מוכר לצרכנים. זה שבמהלך חודש מרגע גילוי פרצה ועד שיהיה עדכון הלקוחות סובלים זה לא באמת מטריד אותם. מאידך, שבוע שעבר פרץ מישהו את מנגנון ה-DRM של מיקרוסופט לנגני מוסיקה. לקח להם בדיוק שלושה ימים לשחרר עדכון. עכשיו ברור שזה לא עדכון אבטחה כמו עדכון אבטחה שמונע פריצה לתחנות או שרתים. ההבדל הוא שהלקוחות של מנגנון ה-DRM של מיקרוסופט הנם גורם שמשפיע כלכלית על מיקרוסופט, בעוד שלקוחות מערכות ההפעלה לא.

רגולציה, חקיקה, תחרות חזקה יותר - לא ברור מה בדיוק צריך, אבל צריך שמשהו במערכת היחסים עם ספקי תוכנה ישתנה כדי שנתחיל לראות מערכות מאובטחות יותר.