יום שלישי, 31 במרץ 2009

מומחי אבטחה השיגו פריצת דרך במלחמתם בת חמשת החודשים כנגד ווירוס ה-Conficker

במרוץ נגד הזמן עד לתאריך ה-1 באפריל (וזו איננה בדיחה) הצליחו מומחי אבטחה ובראשם דן קמינסקי (אחד משלושה שהשיגו את אותה פריצת דרך) לגלות שהווירוס מותיר טביעת אצבע על מכונות נגועות שהנה קלה לזיהוי באמצעות מגוון סוקרי רשת זמינים.
משמעות הגילוי הנה, שבפעם הראשונה מאז גילויו, למנהלני מערכת בכל העולם ישנם כלי איתור זמינים וקלים להפעלה על מנת לזהות באופן חד משמעי מחשבים נגועיםבווירוס זה ברשתותיהם. החל מיום ב' (דהיינו, אתמול), חתימות יהיו זמינות לכל הפחות בחצי תריסר סוקרי רשת, כולל Nmap (קוד חופשי), McAfee's Foundstone Enterprise, ו-Nessus המיוצרת ע"י חברת Tenable.
שאר המידע ניתן למצוא בקישור.
זוהי הצלחה חשובה במלחמה, וזו בפירוש מלחמת מוחות, בין יוצר/יוצרי הקוד הזדוני הזה שעד לרגע זה לא ידוע מי הוא/מי הם, ובין מומחי אבטחה מרחבי העולם שהתאגדו יחדיו בנסיון למצוא דרכים להתמודד איתו.
עד היום נפלו קורבן לווירוס זה מחשבי משרד הביטחון בבריטניה, מחשבי משרד הבריאות בניו-זילנד, מחשבי בתי חולים באנגליה ובמדינת קורינתיה באוסטריה, מחשבי מטוסים בצי הצרפתי ובסה"כ דווח על מליוני מחשבים נגועים ברחבי העולם.
יש לקוות שעתה עם גילוי אחד "מסודות" הווירוס, ילך הסיכון וירד.

יום רביעי, 18 במרץ 2009

ה-BBC וסיפור ה-BOTNET

ישנה בעיה שהולכת וגדלה. מסתבר שכמות המחשבים בעולם המזוהמים בקוד זדוני שנשלט ע"י גורמים עויינים מגיעה לממדים מפלצתיים. רשת עויינת שכזו הניתנת להפעלה בשליטה מרוחקת נקראת BOTNET. אלו עלולים להיות (גם בין היתר) המחשבים שבביתינו. כן כל אחד מאיתנו שיש לו מחשב ביתי עלול להיות לחלוטין שלא מרצונו "אוייב העולם".
זה לא מפריע למחשב שלנו להיות כלי המשחק של הילדים, זה לא מפריע למחשב להיות כלי העבודה של המבוגרים. זה פשוט נובע מהעובדה שחלק ניכר מהמחשבים הביתיים אינם מוגנים. למה? מעטים מאד יחסית הם המשתמשים שיודעים כיצד לעשות זאת.
אז החליטו ב-BBC לעשות הדגמה קטנה ולהראות מה קורה כאשר מפעילים חבורה שכזאת של מחשבים כנגד אתר בגודל קטן
הכל היה מבוקר (לכאורה) והכל היה מתוכנן וכולם ידעו מה הולך לקרות.
נותרה רק בעיה קטנה שלאחר מעשה: ישנה סברה בקרב מספר מומחי אבטחה ומספר משפטנים שאסור לעשות את זה עפ"י החוק הבריטי. .
תוכנית הטכנולוגיה CLICK השתמשה בBOTNET בן 22,000 מחשבים והדגימה מה מתרחש כאשר מופעלת פעולה זדונית של DDos באמצעותם, כמו גם משלוח של דואר זבל לכתובות דואר אלקטרוני שהוכנו מבעוד מועד ע"י ה-BBC. פעולת מניעת השירת המבוזרת בוצעה כנגד אתר גיבוי של חברת אבטחת מידע (Prevx) אשר הכשירה את המערכת לתצוגה זו. ואכן האתר האינטרנטי החל להגיב באיטיות עד ששותק לחלוטין.
בעלי המחשבים הנגועים שמהם בוצעה התקיפה קיבלו הודעה על מצב מחשביהם והמלצות כיצד להסיר את התוכנה הזדונית וכיצד להתגונן להבא.
מסתבר שבפועל מתוך 22,000 המחשבים המזוהמים שיכלו פוטנציאלית לפעול במהלך ההדגמה, נדרשו רק 60 מחשבים לבצוע התקיפה הזדונית. אבל לא ידוע מיהם אותם המחשבים.
רק לאחר מעשה מסתבר כיצד באה לעולם ההדגמה. ה-BBC רכש בכסף מלא מהאקרים רוסיים ואוקראיניים שימוש ב-BOTNET שלהם... מי אם כן הם המחשבים המזוהמים? ה-BBC איננו יודע. ייתכן וישנם ביניהם מחשבי משרד הגנה בריטי או הפנטגון. ייתכן...http://www.theregister.co.uk/2009/03/16/bbc_botnet_bought/.
ה-BBC טוען שפעולתו הייתה חוקית. אחרים טוענים שלא. הוויכוח מתלהט ודבר אחד כבר ברור. הנושא שהוצג פומבית לפני מספר ימים והוויכוח שמתעורר כעת סביבו מגביר באחת את המודעות לסיכונים שעלולים משתמשים ביתיים וארגוניים שאינם מממשים אבטחת מידע נאותה במחשביהם לגרום שלא בידיעתם, לארגונים ותשתיות במדינותיהם ובארצות אחרות בעולם.
ואם גם אינני בטוח שהייתה זו הכוונה המקורית, אזי חשוב מאד שהמסר הזה יצא מהחוגים המצומצמים של מקצועני אבטחת המידע ויגיע לכולם.

יום שלישי, 17 במרץ 2009

זה לא אבטחת מידע במובן המקובל, זה כן לניהול סיכונים במובן הרחב

ידיעה ב-YNET:

בן 55 נתפס נוהג אף שלא חידש רשיונו מאז מלחמת יום הכיפורים
תושב תל-אביב בן 55 נתפס בביקורת שגרתית בפתח-תקווה כשהוא נוהג במכונית, אף שמעולם לא הוציא רישיון נהיגה.
הנהג סיפר לשוטרים כי החזיק ברישיון צבאי במלחמת יום הכיפורים, בעת שהיה חייל צה"ל בשירות סדיר, ומאז לא חידש את רשיונו. הנהג זומן לשיפוט מהיר, ומכוניתו הוחרמה לשלושים יום.
מלחמת יום הכיפורים אוקטובר 1973. אנו היום בשנת 2009. זה לא שנה וגם לא עשור אחד , אלו שלושה וחצי עשורים וקצת, מעל 35 שנה!!!
עפ"י הידיעה ולפי השכל הישר, האיש לא עבר עבירת תעבורה במשך כל השנים הללו שכן היה אמור להציג רשיון.
האם זה בהכרח נהג זהיר. לא בטוח. אבל לפחות ברור שלא היה מעורב בתאונת דרכים שחייבה את התערבות הרשויות כולל ביטוח, דהיינו לא עבר כלל תאונה מכל סוג.
וגם לא עבר עבירות קלות כגון מהירות.
אז נכון, האיש עבריין עפ"י החוק. אבל מהעבר השני, הנהג ככל הנראה נהג יותר זהיר מהרבה אלפי או עשרות אלפי אזרחים ישראליים שלהם רשיונות כחוק ונוהגים כנגד החוק. לא טוען כמובן שאדם זה הנו טלית שכולה תכלת. אינני מכיר את פרטי המקרה, ומשתמש בו על מנת להתייחס בהשאלה לניהול סיכוני טכנולוגיית המידע.
תגיד המשטרה, בדיקה שגרתית הנה הליך פשוט יחסית ובאמצעותו נתפסים עבריינים מסוגים שונים. לא מתווכח. אני טוען שאם נתפסים גם נהגים מסוג זה, משהו בתהליך כולו הנו בזבוז של משאבים.
הבעיה בכבישים הנה הנהגים הגורמים למותם של אחרים. זהו האיום מספר אחד. ביקורות שגרתיות כגון אלו שבהן נתפס נהג זה אינן תורמות באופן משמעותי לטיפול באיום.
ובהשאלה ניתן גם להתייחס לניהול סיכוני טכנולוגיית המידע:
כאשר הטיפול בארגון לצמצומם של האיומים והסיכונים לשימוש טכנולוגיית המידע ולמידע בארגון איננו מתחיל באיתור מלא ושלם של אותם האיומים והסיכונים, לא נמנעת מסיבה זו התקנתם של אמצעים ושיטות הגנה עפ"י "חוש" או "אופנה", או "אני יודע ש" או "ההוא התקין, אז גם אני..." או כל שילוב של כל מיני תאוריות למיניהן.
האם באופן זה מתמודד הארגון באופן כללי עם איומים וסיכונים: התשובה כמובן כן. אבל נותרת השאלה: האם בתהליך מסוג כזה מתבצע ניהול סיכוני טכנולוגיית המידע בצורה המקצועית הנדרשת לתחילת שנת 2009?
התשובה הנה חד משמעית: לא! סתם להשקיע בערב רב של אמצעי הגנה איננו מענה מקצועי. זהו מענה חובבני ומתאים לעידן שבהם האיומים נתנו בידיהם של חובבנים והסיכונים התממשו לעתים רחוקות. כעת האיומים בידיהם של מקצוענים ומימושם עלול להתרחש בכל עת. מידי יום אנו שומעים כי ארגונים מכובדים בעולם נפגעים. הטיפול חייב להיות אם כן מקצועני לכל אורך הדרך. התחלה חובבנית משפיעה על כל התהליך כולו, וכמובן שהתוצאה לא תאחר לבוא.
על כן, תהליך צמצום סיכוני השימוש בטכנולוגיית המידע והמידע בכל ארגון חייב להתחיל באיתור, הבנה ותעדוף של האיומים והסיכונים הללו. רק אח"כ ניתן להתחיל בתפירת חליפות אבטחה.

יום שלישי, 10 במרץ 2009

קישורים חדשים בחודש מרץ

שלום לקוראי הבלוג,
הוספתי בימים האחרונים מספר קישורים העוסקים בידיעות בעניין וירוס ה-conficker שאיננו מפסיק להפתיע.
כמו כן תקיפת וירוס (עדיין לא ברור באם מדובר ב-conficker או בתולעת ה-mytob או קוד זדוני אחר) במספר בתי חולים בסקוטלנד.
דרך אגב, השבתת מערכות מחשוב של בתי המשפט ביוסטון טקסס בתחילת פברואר שיוחסה ל-conficker מוטעית. מדובר בוירוס אחר, VIRUT.
מן העבר השני שתי ידיעות מעניינות בנושא אבטחה:
האחת עוסקת במימוש אמצעי אבטחה מתקדמים בבנק הדם ומרכז ההשתלות בבריטניה והשניה בניצנים ראשוניים של מתן מענה אבטחתי מתאים למכשור רפואי.
נראה כי מערכות רפואיות בעולם הגיעו למסה קריטית של פריסת מערכות מחשוב ובחלקן אלו חסרות את התשתית האבטחתית המקובלת בעולם טכנולוגיית המידע. על כן, נופלות מקצת ממערכות המחשוב המותקנות בבתי חולים ל"קורבנות שלא מרצונם" ואינן מסוגלות להתמודד עם חדירה של תוכנות זדוניות. ניתן להניח כי בעתיד הקרוב נראה נסיונות נוספים לספק מענים אבטחתיים המשלבים התמודדות עם האיום יחד עם הצורך לאפשר למכשור הרפואי לתפקד כנדרש.