יומן אבטחה

1. פנקסי הבוחרים האלקטרוניים עובדים בתצורת Stand Alone ומאפשרים לכל מצביע להצביע בכל קלפי. חבורה של כמאתיים קיצונים (תבחרו אתם את הסיכון הדמוקרטי החביב עליכם) מבצעים מסע ארצי של הצבעות כפולות במגוון כלפיות. כל אחד מצביע כמאתיים פעם ובכך הם מייצרים הצבעה בהיקף של 40,000 קולות. מספיק כדי להוסיף עוד מנדט וחצי למפלגה שלהם, או לחילופין לפסול קלפיות שלמות (כך שסביר שהם יצביעו בקלפיות המזוהות עם המפלגות היריבות).
   
2. פנקסי הבוחרים האלקטרוניים עובדים בתצורה שמחוברת לרשת ואינם מאפשרים הצבעות כפולות כלל. חבורה של כמאתיים קיצונים (תבחרו אתם את הסיכון הדמוקרטי החביב עליכם) עוברים בין הקלפיות היריבות ובהשקעה של 200$ לקלפי חוסמים לחלוטין את היכולת להצביע בקלפיות הללו (אני מניח שהתקשורת תהיה סלולרית כל כל אפשרות אחרת תדרוש הכנת תשתיות יקרות מראש). מאחר וקשה לאתר רכיב כזה, כוחות השב"כ מכלים את יומם בניסיון לאתר את המשדר הסורר ללא הצלחה (אפשר לאתר, אבל לא בעשרות מבנים ביום אחד). מאחר ובכל מבנה יש מספר קלפיות העלות לקלפי כמובן נמוכה יותר.
3. קבוצה של קיצונים (תבחרו וכו') מחליטים לחלוטין להשבית קלפיות ולכן משביתים לחלוטין את מערך ההצבעה בקלפיות יריבות. על ידי חיבור מגנט רב עוצמה עם טיימר למחשב ההצבעה והחדרת מגנט דומה לתוך קופסת הכרטיסים החכמים בסוף יום ההצבעה אין כלל הצבעות בקלפי.
   
4. מאחר ומנגנון האבטחה של המערכות הוא כה מורכב ואימתני ולא נמצאה פרצה פונים התוקפים לרכיב היחיד עליו אין כל אמצעי הגנה - מסך המחשב. באמצעות חיבור התקן למסך המחשב מציג המסך נתונים שגויים למשתמש (מחשב זעיר מקבל את תמונת המסך ממחשב ההצבעה ומשנה אותה בהתאם למה שנקבע מראש), כך שכאשר המשתמש בוחר להצביע למפלגה א' נרשמת הצבעתו למפלגה ב' וכשהוא מוודא את הצבעתו הוא רואה כי הצביע למפלגה א'. בסוף היום המצביע האחרון מנתק את הרכיב מהצג (יש לזכור כי מטעמי חופש הבחירה לא ניתן לנטר כלל את הקורה מאחורי הפרגוד). בסוף היום הקלפי הצביעה בצורה אחידה למפלגה מסוימת ללא שנפרצה המערכת כלל (או ללא שניתן לאתר פרצה שכזו).
   

1. זיהוי חד חד ערכי של הבוחר: אין שום קשר בין זיהוי הבוחרים להצבעה בבחירות אלקטרוניות. הזיהוי יבוצע בדיוק כמו שהוא מבוצע היום, על בסיס תעודה מזהה לא חכמה שהונפקה על ידי המדינה. בהתייחס להגבלת האפשרות להצבעה כפולה - גם במקרה זה, מאחר ולא מתבצע רישום של מי קיבל איזה כרטיס חכם, ניתן להצביע הצבעה כפולה ולאתר אותה בדיוק כפי שזה היום. באותה המידה לא ניתן יהיה לדעת מי הצביע הצבעה כפולה. לעומת זאת, אם מישהו יחליף כרטיס חכם תקני בכזה שמריץ קוד שמיועד לזייף את רישום מכונת ההצבעה עצמה חברי הקלפי לא יוכלו לזהות זאת (היום כל קלפי חותמת על המעטפות שלה עצמה על מנת שתוכל לזהות שהמעטפות נופקו על ידה).
2. קיצור זמן ההצבעה של כל מצביע ולפיכך צמצום מספר הקלפיות. הניסיון בישראל מלמד שזמן ההצבעה מתארך ולא מתקצר. יתר על כן, הבעיה המרכזית בקלפיות היא ההתפלגות הלא אחידה של המצביעים על פני שעות היום (את זה אני אומר מניסיון אישי כיושב ראש קלפי) שיוצרת עומס ולא כמות המצביעים בקלפי. גם עם קלפי אלקטרוני הרגלים אלה צפויים להשמר.
3. מניעת הצורך בהפקת חומרי בחירות חד פעמיים. לא נכון - עדיין יהיו מרכיבים חד פעמיים כמו שילוט, פרגודים וכדומה. אבל שימו לב לנתון שלא מספרים לכם - עלות כל כרטיס חכם כזה היא סדר גודל של פי כמה מאות מאשר כרטיסי הנייר. הכרטיסים עצמם גם מתקלקלים. התוכנה דורשת שדרוג מעת לעת. רישיונות התוכנה עולים כסף כל שנה (להבדיל מפתקי נייר) לצורך קבלת תחזוקה. כל קלפי כזה יזדקק למחשב (ואולי מחשב גיבוי?). אני אשמח לראות מודל כלכלי שיראה האם בכלל אי פעם בחירות אלקטרוניות יהיו זולות יותר, בהתבסס על הנחות אמיתיות של אחוז אובדן, תקלות וכדומה. כמו כן, צריך להוסיף תלות של המערכת בהפסקות חשמל להבדיל מבחירות ידניות וכדומה.
4. צמצום משמעותי של הקולות הפסולים. מאחר ואין נתונים על התפלגות הקולות הפסולים (כמה מתוכם אלו פתקים לבנים אידיאולוגיים) אין ביסוס לטענה זו. עם זאת, כנראה שיהיו פחות טעויות. ועדיין - אם בוחר שם מספר פתקים מאותו סוג בקלפי מקבלים את הצבעתו. לא נתקלתי במעטפה עם מספר פתקים שונים וגם אם כן - האם זו טעות או אידיאולוגיה? כך שקשה לדעת האם טיעון זה הנו בעל משמעות כלשהי להליך הבחירות בישראל.
5. חסימת אפשרויות לזיופי בחירות: זו טענה יהירה שאינה מבוססת המציאות. אנקדוטה ממחישה - ישבתי בעבר על איפיון של פתרון אבטחה עם מומחה אבטחה מהסקטור הציבורי ושאלתי אותו מה אם הנחת היסוד שלו לגבי חוזק רכיב התוכנה שפיתח כושלת, אילו מנגנוני הגנה חלופיים יתמכו בכשלון זה. התשובה שקיבלתי הייתה שזה לא יכול לקרות ולכן לא צריך חלופות. אם לצטט את ברוס שנייר, כל אחד יכול לתכנן מערכת שהוא עצמו לא יוכל לפרוץ. חוכמה גדולה.
6. מיידיות בספירת הקולות: שוב, חוסר הבנה של תהליך הבחירות. שני מרכיבים מאטים את תהליך הספירה: הספירה בקלפי - זו לא תשתנה כיוון שיהיה צורך להוציא כרטיס כרטיס ולבצע רישום שלו (מקביל להוצאת המעטפות לעיני כל חברי הקלפי). המרכיב השני הוא הסעת הקלפי עצמה למוקד הבחירות האיזורי ורישום הנתונים במחשבי משרד הפנים (כל הקלפיות מגיעות באותה השעה כך שנוצר עומס). שני גורמים אלה לא צפויים להשתנות (זוכרים שמדובר על מחשבי Stand Alone?), כך שהאשליה שמשהו יהיה יותר מהיר מבוססת על פנטזיות.
   
7. צמצום משמעותי בערעורים. יופי - עכשיו שלא ניתן לערער כי לא ניתן להבין את התהליך אלא אם אתה ספק התוכנה, אז יהיו פחות ערעורים. זה שקול לטענה שאם נמנע מאזרחים את זכות העמידה בבג"צ יהיו פחות פניות לבג"צ וזו תהיה עדות לכך שהמדינה מתנהלת טוב יותר. התהליך בכללותו יהיה פחות דמוקרטי וזה נתפס במשרד הפנים כדבר טוב.
   

• כניסה לארץ - במידה ובנתוני המאגר הביומטרי ייעשה שימוש גם בביקורת הדרכונים (תוצאה סבירה לחלוטין), יהיה יותר קל להכנס לארץ בהסתר מאשר כיום, כיוון שבביקורת הביומטרית אין צורך לדבר עם איש, אלא רק לעבור בדיקה ביומטרית הנעשית מול מכונה, ללא לחץ זמן. כל שצריך לעשות הוא לאתר ישראלי בחו"ל (כיוון שבביקורת הדרכונים נרשם שיצא מהארץ - בהנחה ומישהו מצליב כניסות עם יציאות), לזהות אותו על בסיס המאגר (השוואת תמונה) ולהיכנס לארץ בלי לזייף דרכון (המראה עם דרכון זר ובביקורת הדרכונים זיהוי ביומטרי על בסיס טביעת אצבע). לחילופין, במידה וצריך דרכון ניתן פשוט לכייס ולהשתמש (עד שהאזרח התמים ייגש לשגרירות זה כבר יהיה חסר משמעות). 
• פעילות מבצעית במדינות אויב - תארו לכם מצב בו לוחם מוסד נכנס למדינה עוינת עם דרכון זר אמיתי, אך מצלמת הוידאו בנמל התעופה משווה את נתוניו לנתוני המאגר הביומטרי ומגלה כי מדובר באזרח ישראלי? כמובן שגופי הבטחון ידרשו להוציא נתונים ביומטריים של אישים מסוימים מהמאגר, אך מאחר ואלו הוכנסו לשם בהיותם קטינים אין כל משמעות להוצאה מאוחרת. מספיק שבעותק שדלף לפני שאותו אדם נכנס לתפקיד המסווג הופיעו פרטיו.
  
• זיהוי בעלי תפקידים בגופים מסווגים - תארו לכם שניתן יהיה לצלם את הנכנסים למתקנים מסווגים ובאמצעות תוכנת מחשב פשוטה לקבל את פרטיהם האישיים של כל הנכנסים ויותר מזה, לבנות מאגר נתונים מדויק ומקיף יותר על פעילותם של נושאי תפקיד רגישים. לדוגמא - לצלם את הנכנסים למתקן הקריה ולבנות פרופיל קצונה ובעלי תפקידים. 
• כניסה למתקנים מסווגים - ישנם גופי בטחון העושים שימוש בזיהוי ביומטרי לטובת סינון בכניסה למתקנים. קיומו של מאגר ביומטרי עלול להפוך את הכניסה למתקנים שכאלו לקל יותר ממה שנדמה ולבטח יותר קל ממה שדמיינו מתכנני פתרון האבטחה בגופים. הם מתייחסים לביומטרי כאל משהו שהוא חלק מהאדם, אך אם המדינה מבקשת להקים מאגר דגימות מרכזי היא בעצם סותרת הנחת יסוד זו ביוצרה מאפיין של האדם שייצוג דיגיטלי מלא שלו קיים ברשותה.
  

• כאשר חוזרים מטיסה עוברים בביקורת הדרכונים. בארץ, בניגוד לכל שדה תעופה בו ביקרתי, החליטו לפצל את תהליך ביקורת הדרכונים לשני חלקים: ביקורת הנכנסים ושער הכניסה לאחר ביקורת הדרכונים. ברוב שדות התעופה, לאחר שהבודק סיים את בדיקתו הוא יפתח לך מעין שער קטן באמצעותו תעבור את ביקורת הדרכונים. האחראי לבדיקה ולמעבר לשלב הבא הוא אותו הגורם. בארץ לעומת זאת (אגב, זה כך גם ביציאה) לאחר סיום הבדיקה מקבל הנבדק פתק קטן (שלא לומר עלוב וקל לזיוף) אותו הוא אמור לתת לשוטר שניצב בשער הכניסה מאחורי ביקורת הדרכונים (בלי יכולת לראות מה קורה באיזור ההוא). מאחר וכמות השוטרים קטנה משמעותית מכמות בודקי הדרכונים (עכשיו באוגוסט היו שלושה כאלה וכעשר עמדות בדיקת דרכונים), תמיד יש לחץ באיזור המעבר. ביום שישי האחרון למשל, השוטר אליו פניתי היה כה עסוק שיכולתי לעבור שם שש פעמים בלי שהיה שם לב. המתנתי דקה עד שיחזור לעיסוקיו (אגב, הוא היה עסוק במענה לשאילתות מודיעין של תיירים) ואז נתתי לו את הפתק, עליו לא הסתכל כלל. כמה קשה אם כן להכנס לישראל עם דרכון מזויף? יותר קל ממה שנדמה ובטח יותר ממה שרצוי.
  
• עד כאן - ניתוח האבטחה. עכשיו לגבי ניתוח העלות - בהנחה ובמהלך השנה יש רק שוטר אחד (ולא שלושה כמו שהיו בשישי), ניתן להניח כי עלות מנגנון האבטחה הזה הוא 21 משמרות שבועיות של שמונה שעות שמבוצעות על ידי 4.5 שוטרים המבצעים כל אחד 5 משמרות שבועיות (לא כולל מפקחים). אלה עולים למדינה כל אחד לפחות 7000 ש"ח בחודש (לדעתי כפול מבחינת עלויות כוללות, בהנתן גם שבתות וחגים, אבל אני מעדיף להדגים את האבסורד עם נתונים מצומצמים). כלומר, פתרון האבטחה הזה עולה כל שנה כמעט ארבע מאות אלף ש"ח. מדי שנה. החלופה - בניית שערונים קטנים לכל בודק דרכונים בעלות של כמה אלפי שקלים לשער (מה שיציב את הפתרון באיזור של עד 150,000 ש"ח הקמה ונניח 30 אחוזי תחזוקה בשנה). וזה בהערכות אופטימיות לעלות הנוכחית ופסימיות לעלות האלטרנטיבית.
  
• לאחר שחזרתם לארץ והתפלחתם כיוון שבביקורת הדרכונים השוטרים היו עמוסים ובודקי הדרכונים לא משגיחים באמת מי עובר דרכם, החלטתם לקחת מונית. ביציאה משדה התעופה ישאלו אתכם כל מיני אנשים אם תרצו מונית. אלו הם החאפרים - החאפרים אינם באמת חאפרים, הם פשוט בעלי מוניות שלא משלמים לרשות שדות התעופה דמי מונית. בתור המוסדר מתייצבות כל המוניות המשלמות את דמי המונית של הרשות - אלו הנהגים המקוריים. לאחר שתעלו על מונית, אם בחרתם במונית "אורגינל", המונית תעצור בשולי הדרך לפני היציאה משטח שדה התעופה ושם תתעכבו על מנת לתת פתק עם אישור תשלום דמי מונית למפקחת. מה קורה אם נסעתם עם חאפר? הוא לא יעצור ולא יראה ששילם דמי מונית. פתרון האבטחה מתבסס על זה שהמפקחת תאסוף את הפתקים מהמוניות האמיתיות (רוב המוניות) בעוד שהיא רושמת את מספרי המוניות של החאפרים. בפועל, חוץ מלהפריע לנוסעי המוניות ששילמו דמי מונית להגיע למחוז חפצם, המפקחות אינן תורמות להגנה על נכסי הרשות. איך יוכלו אם הן צריכות גם לטפל במוניות שעוצרות וגם לרשום את מספרי המוניות החולפות בכביש מהיר, חשוך עם שלושה נתיבים?
  
• לאחר שברור למה הפתרון גרוע, בואו ננתח את העלות והחלופה. העלות היא 5 עובדים לאורך כל השנה (פה כבר צריך מפקח) והעלות לעובד היא 5000 ש"ח בחודש (מה שמציב את כולם בשכר מינימום). אני מתעלם מעלויות נגזרות כמו מדים, הסעת העובדים לחור שבו החליטו למקם אותם, תחזוקת המבנה הקטן שבנו להם, סיכונים מקצועיים (דריסה) וכדומה. הפתרון עולה כל שנה כמעט שלוש מאות אלף ש"ח ומספק רמת אבטחה ששואפת לאפס. הלוא בלאו הכי אלו שעומדים בתור משלמים את המיסים גם אם לא ינסו לתפוס אותם. החלופה היא לשים שלוש מצלמות עם תוכנה לזיהוי מספרי לוחות רישוי, מהסוג שמשתמשים בו בכביש 6. כאן אנו מדברים על תוכנה שממש תבדוק מספר רישוי בהצלבה לנתוני משרד התחבורה (מונית רשומה) והוצאת חשבונית תשלום בסוף כל חודש. מנגנון אבטחה אופטימלי שיגדיל את ההכנסות, אך כנראה שעלותו לפחות בשלב הראשוני עולה על לאיזור מאות אלפי השקלים. גם במקרה זה אני מעריך שבטווח זמן הפתרון הזה יהיה יותר כלכלי, כאשר משקלים לא רק את עלויות התחזוקה הנמוכות משמעותית אלא גם את העליה בהכנסות.

למי שלא מכיר וגם למי שכן, פרויקט FireCat ממפה את כל התוספים הקיימים לשועלאש שמאפשרים לבצע בדיקות אבטחה לאתרים. החל מתוספים של הנדסה חברתית לחיפוש נתונים על מישהו ועד עורכי cookies, מזריקי קוד וכדומה. כל שצריך לעשות הוא להוריד את מיפוי התוספים ולבחור אילו תוספים חסרים לכם כדי למצוא עוד XSS.

תורידו ותיהנו.

אני מתנצל על היעדרותי מהבלוג, אך אלו ימים מעייפים ואני מקווה לחזור לשגרה מלאה במהלך החודש הקרוב. הרשימה הנוכחית היא חלק משתי רשימות שימשיכו את סדרת מבוא להצפנה. חשבתי להקדיש את הרשימה הנוכחית לסקירה קצרה של Public Key Infrastructure, הידוע בקיצור כ-PKI, הידוע גם כקיצור של המפלגה הקומוניסטית הפקיסטנית.

(בחלקים קודמים סקרתי את יסודות ההצפנה, ההבדלים בין פונקציות סימטריות לאסימטריות, פונקציות hash וחתימות דיגיטליות)

העיקרון של PKI מאוד פשוט, לכן הרבה מאוד ארגונים אוהבים לשחק עם הרעיון של להטמיע PKI. היישום, כמובן, מורכב יותר. PKI הנו בראש ובראשונה מודל אמון, הרבה לפני העיסוק באלגוריתמים ושיטות הצפנה. הבעיה הבסיסית שעולם הצופן מנסה לפתור (בהצלחה חלקית, יש לומר) היא בעית החלפת המפתחות. עסקנו בנושא בחלק הראשון של סקירה זו ובקצרה אחזור ואכתוב כי בשיטת הצפנה סימטרית הבעיה היא גם כמות המפתחות לניהול וגם הצורך לשנע מפתחות רגישים. זאת לעומת הצפנה אסימטרית בה כמות המפתחות הנדרשים קטנה יותר וניתן לשנע מפתחות ציבוריים ולא מסווגים ולשמור את המפתחות המסווגים בכספת (או בכרטיס חכם). לכאורה הצפנה אסימטרית פתרה את הבעיה, אך למעשה היא רק צמצמה אותה או הזיזה אותה למקום אחר.

נניח לרגע שאני רוצה להתכתב בצורה מוצפנת עם גיא מזרחי, אני עדיין צריך להעביר לו את המפתח הציבורי שלי. נניח ואני שולח לו אותו בדואר אלקטרוני, הרי שגורם עוין יכול ללכוד את הדואר האלקטרוני באמצע, להחליף את המפתח שלי במפתח שלו ולהקפיד לקרוא את כל ההודעות המוצפנות שגיא שולח אליי (אך מוצפנות שלא בידיעתו עם המפתח של הגורם העוין). כל שעליו יהיה לעשות הוא לפתוח את ההצפנה (שהרי הוא החליף מפתחות) ולהצפין מחדש עם המפתח הציבורי שלי. גיא ואני לא נדע שמישהו קורא את הדואר שלנו. קל בתיאוריה, יותר מסובך במציאות, אך אפשרי. כך שאיך שלא מסתכלים על זה, הצפנה אסימטרית אינה פותרת את בעיית שינוע המפתחות אלא משנה אותה.

וכאן בעצם מתחיל הסיפור שלנו. כדי שגיא ואני נוכל להתכתב בבטחה אנו נזקקים לגורם שלישי ששנינו סומכים עליו שיאמת כי מפתחות ההצפנה שאנו עושים בהם שימוש אכן שייכים לנו. ביומיום כולנו עושים שימוש בשיטה זו כשאנו גולשים לאתרים עם SSL. מה שקורה שם (כמעט תמיד זהו תהליך זיהוי חד צדדי, אך הוא יכול להיות באותה המידה דו צדדי) הוא שהאתר אליו אנו גולשים טוען בפנינו שהוא (לצורך העניין) הבנק שלנו ומציג לנו מפתח הצפנה ציבורי בו נוכל לעשות שימוש. אנו מוודאים את זהות האתר על ידי כך שאנו מוודאים שמישהו שאנו סומכים עליו חתם לו (דיגיטלית) על האישורים המתאימים. האישורים הללו נקראים למעשה תעודות דיגיטליות והם מחזיקים בתוכם נתונים מסוימים וכן את מפתח ההצפנה הציבורי. החתימה היא (כזכור) תוצר hash של כל הנתונים הללו שמוצפן באמצעות המפתח הפרטי של הגוף עליו אנו סומכים.

ונעבור לשלב המונחים:

• התעודות הדיגיטליות בעולם ה-PKI נקראות Certificate. לכל משתמש מערכת הפעלה של microsoft יש מקום במחשב שנקרא certificate store (מאגר התעודות) המכיל את כל התעודות הדיגיטליות בהם אנו עושים שימוש.

• מי שמנפיקים את התעודות ומהווים למעשה את עוגני האמון (הגורמים בהם נותנים אמון הצרכנים השונים של המערכת) נקראים Certificate Authority ובקיצור CA. המוכרים לנו ביותר הם Verisign ו-Thawte, אך ישנם עוד רבים וטובים.
• על מנת להפקיד תעודות דיגיטליות החתומות על ידי ה-CA יש צורך בהרשאה מתאימה. הגורמים העושים זאת נקראים Registration Authority (גורמי רישום) ובקיצור, RA.
• כמו בכל ש"ג צה"לי סטנדרטי, גם בעולם ה-PKI יש רשימה של תעודות שאבדו או נפסלו (אלא שבמקרה זה היא אמורה להיות מעודכנת וממוחשבת. שני דברים שלא ניתן לומר על הרשימות בצבא). רשימת התעודות הפסולות נקראת Certificate Revocation List, או בקיצור CRL.

אלו המרכיבים הבסיסיים של תשתית PKI בארגון, עליהם יש להוסיף רק כרטיסים חכמים שישמשו לצורך שמירת מפתחות ההצפנה של המשתמשים וכן של שרת ה-CA (עבור שרתים מקובל לעשות שימוש ברכיב חזק יותר הקרוי Hardware Security Module שהוא למעשה כרטיס חכם לשרתים (יותר חזק, יותר יפה ויותר יקר).

כך שתשתית PKI בתוך ארגון, או באינטרנט, מספקת לנו למעשה מודל בו אנו יכולים לתקשר בצורה מאובטחת עם גורמים שאיננו מכירים כלל על בסיס היכרות של כל אחד מאיתנו עם גורם שלישי. למעשה, כאשר מזדהים בפני שירות, שרת או אדם (בתשתית PKI), אנו מציגים את התעודה הדיגיטלית שלנו, בה כתוב מי אנחנו ומהו מפתח ההצפנה הציבורי שלנו. הגורם אליו אנו פונים מוודא שהתעודה חתומה על ידי ה-CA (תנאי מתחייב הוא שברשות אותו גורם תהיה התעודה הדיגיטלית של ה-CA אשר תשמש לפענוח החתימה הדיגיטלית) ובודק ברשימת התעודות הפסולות כי התעודה לא נפסלה מסיבה כלשהי, כמו בדוגמא הזו:

שני מונחים נוספים שהם בבחינת הכרח להכיר:

Certificate Policy - מדיניות הארגון ביחס להנפקת התעודות. החל מנושאים טכניים טהורים כמו אורכי מפתחות ועד קביעות מסוג אופן כתיבת פרטי האדם בתעודה, מהם הפרטים שחובה להכניס לתעודה ומה רשות, תוקף תעודות ותחולתן וכדומה. (שוב, צילום מה-Certificate Store בחלונות שמאפשר לבחור הגדרות אלה):

Certificate Practices Statement - מסמך מדיניות מקיף המגדיר את כל תהליכי הניהול של תשתית PKI בארגון, החל מאופן הנפקת התעודות, דרך ההחלטה מי יקבל מה, מהם נהלי העבודה וכדומה.

את תבניות המסמכים ניתן למצוא בתקן x.509, כולל דוגמאות מפורטות (אני מתעצל למצוא את הקישור כרגע).

זהו זה בשלב זה. בחלק הבא שימשיך את נושא ה-PKI אכסה מספר נושאים נוספים ועקרונות מנחים לפריסת PKI בארגון. בינתיים אתם מוזמנים לציין את כל חולשות האבטחה שניתן לגלות במודל מעין זה - זה יכול להיות פתיחה טובה לחלק הבא.

אני מתנצל על היעדרותי רבת הימים מהבלוג ומקווה שהרשימה הזו תפצה.

(רוב הקישורים פנימיים לרשימות אחרות בבלוג)

אז מה היה לנו השנה? (או לפחות, מה הם הדברים הבולטים שהיו ב-2006 מבחינתי)

נתחיל בכלכלת אבטחת מידע. אני חושב ואולי זה רק בגלל שהבלוג שלי עוד לא בן שנה באמת שב-2006 אבטחת מידע נכנסה בצורה משמעותית להיבטים כלכליים. המכירה של Onigma והפריחה במוצרי מניעת זליגת תוכן הם הסמן הבולט, אך דווקא במקומות אחרים אני רואה סימנים יותר מעניינים. Click Fraud הוא אות ומופת לבעיה עסקית אמיתית שנופלת תחת קטגוריית הבעיות שאבטחת מידע אמורה לפתור. על נושא ה-Gold Farming והונאה במשחקים מקוונים כתבתי קצת, אך כמובן שזה לא נגמר שם. הסיבה אגב אינה שכך זה היה תמיד ורק היום הבנו זאת, אלא השינויים בדפוסי ההונאות. המעבר להונאות מקוונות, הגידול בשימוש ברושעות על מנת לייצר תשתיות מחשוב לגורמים עברייניים, הגידול בסוגי פישינג (ועוד) והתחכום הטכנולוגי, ההונאות במסחר מקוון והרצת מניות בספאם, כל אלה הופכים בכוח את אבטחת מידע לנתון שכל מנהל צריך לקחת בחשבון. 

מבחינה טכנולוגית אני חושב ש-RFID פרץ את הדרך השנה, בשימוש בדרכונים האמריקאים והאירופאים, משרד התקשורת אישר את השימוש בתקנים, יש איזו חברה שהשתילה לעובדים שלה RFID ובכלל נראה ש-RFID קיבל את ההכשר. אני כותב את זה כאן למרות שזה יותר סמן לקראת 2007 מאשר סיכום של 2006. RFID מציע שני דברים מרכזיים לארגונים (מבחינה אבטחתית כמובן): חשיפה לוירוסים ואפשרויות נרחבות לפגיעה בפרטיות (כפי שהומחש בסוגיית הדרכונים). זו גם הייתה השנה של הביומטרי, גם כן בהקשר של דרכונים, אך לא רק. וגם במקרה זה לא הכל וורוד.

טלפונים סלולריים נמצאים בעיצומה של מהפך לסביבה רוויית איומים. המהפך תפס תאוצה בשנה החולפת, עם מגוון של דוגמאות - תוכנת ריגול לסלולריים, וירוס משולב לסלולרי וחלונות ואחרים. המגמה הזו לא נגמרה השנה והיא רחוקה משיאה (למעשה בחיתוליה), אך היא בהחלט חשובה. השימוש באמצעים סלולריים כאמצעי ריגול (אורנג' מפיצה כזה אמצעי שתפס לו אחיזה במספר בתי עסק בהם עברתי באחרונה) מתאפשר היום הודות לטכנולוגיות וידאו וצילום מתקדמות. אך גם כתוצאה מהיותם של מכשירי טלפון סלולריים מכשירי עיקוב (גם אצלנו). מרגל סלולרי יכול היום: להתקין תוכנת ריגול על טלפונים סלולריים, לשתול מצלמת וידאו שמשדרת בסלולר לצורך מעקב, לקנות מכשיר סלולרי ולשתול אותו על אדם מסוים על מנת לעקוב אחר תנועותיו מכל מקום בארץ. וזה עוד בלי לדבר על היותם של המכשירים אמצעים בעלי זיכרון בנפחים גדולים המתחבר לצרכי עבודה (במקרים רבים) לתשתיות הארגון ויכול לשמש להזלגת מידע. אמצעי הצפנה למחשבי כף יד/סלולריים עוד לא נפוצים מספיק בארץ, אך זה יגיע.

מה עוד היה השנה? שינויים בסוגי הוירוסים (כאן וכאן) ומגמות חדשות בכל האמור לקודים פוגעניים. מסתבר שלהילחם בספאם זו מלחמה אמיתית. RFID Firewall, גילוי פירצה בפרוטוקול של כספומטים המאפשר אחזור קוד אישי. מצד שני, זו הייתה גם שנה בה החליט מישהו לפתח אקדח שיורה כדורים רק לאחר הקשת סיסמא.

אין ספק, הייתה שנה מעניינת. Vista פותחת את 2007 וכנראה שגם זו תהיה שנה מעניינת. אם תעודות זהות חכמות ייכנסו לשימוש, כצפוי, אנו עשויים לגלות פשעים חדשים.

ללא ספק זה אחד המאמרים המרתקים והמקוריים שקראתי בעת האחרונה. מדובר בשני חוקרים שפיתחו אבטיפוס של Firewall ל-RFID. רכיב קטן שניתן לשאת על הגוף ושולט בכל הגישות המבוצעות לרכיבי ה-RFID שברשותכם. הרכיב מכיל את כל היכולות שאנו מכירים ב-Firewall רגיל, כולל זיהוי המשדר המתקשר עם התג, יכולת מניעת גישה לתג, יכולת ביצוע רישום של פעולות שבוצעו מול התג, הגדרת מספר סכמות אבטחה שונות למספר תגים שונים שברשותכם וכדומה.

הנושא של RFID מציג בעיות קשות מאוד של פגיעה בפרטיות, שחלקן נסקרו פה בעבר (בעיקר בדרכונים המכילים שבבי RFID) וללא ספק ה-RFIDGuardian מהווה פריצת דרך עקרונית העשויה לאפשר לטכנולוגיה לפרוץ קדימה בלי לפגוע בפרטיות. בנוסף, נראה לי שיישום ארגוני של פלטפורמה כזו עשויה להיות מועילה גם כן.

בלי קשר ועם קשר, בניגוד לנהוג לחשוב, RFID מהווה בעיית אבטחה פוטנציאלית, למרות שמדובר רק בשבב קטן. השבב נקרא על ידי מערכת מידע שעשויה להיות חשופה לאותן מתקפות שאנו מכירים מכל סביבה אחרת. לדוגמא, מחליפים תג RFID האמור לשדר מספר זיהוי נתון בתג אחר שישדר רצף תווים ארוך מהמצופה ויגרום ל-Buffer Over Flow. או אם מדובר בתג קצת יותר מתוחכם, מכניסים קוד עוין שירוץ במערכת.

לקריאה נוספת: האתר של RFIDVirus, האתר של RFIDGuardian, כיצד ניתן לעקוב אחריכם עם RFID (באדיבות סדקים)

כנראה שדי קל. במאמר מעניין של עומר ברקמן ואודליה משה אוסטרובסקי* (שלא התעמקתי מספיק כדי להבין את כולו) "The Unbearable Lightness of PIN Cracking", הם מסבירים כיצד ניתן לחלץ קודים אישיים (PIN) מתוך Encrypted PIN Blocks (זה הנתון המוצפן שמועבר על ידי הכספומט לבנק לצורך אימות הקוד האישי בעת משיכת כסף) על ידי ניצול פונקציות מובנות ב-financial PIN processing API. המתקפות דורשות גישה ל-HSM או לרכיב שיש לו גישה (לוגית) ל-HSM, כך שבהחלט נדרש פה סיוע מבפנים. אך מאחר ו(כמו שהכותבים מציינים) מנפיקי כרטיסי אשראי (בנקים או חברות אשראי) עובדים גם מול גופים חיצוניים (בנקים וזכיינים אחרים), הרי שאין לכך משמעות רבה, כיוון שיש צורך בגישה לאחד הרכיבים בדרך. בשום שלב לא מפוענחים מפתחות ההצפנה המשמשים בתהליך וזה בהחלט מאמר יפה.

נתון נוסף שכדאי לדעת הוא שהחולשות הללו נכונות לכל מערך ATM בעולם ולכל HSM וכדי לפתור את הבעיה צריך לבצע שינוי תשתיתי ביקום (מה שכנראה לא יקרה בזמן הקרוב).

המאמר מדגיש בצורה יפה את עקרון החוליה החלשה בשרשרת.

ברוס שנייר (המקור לידיעה) טוען כי פנה למחברים והם אמרו לו שהעבירו את הנתון לחברות האשראי הגדולות ולבנקים, אך לא קיבלו התייחסות.