אחרי החדשות בשבועות האחרונים נראה שבאמת אין אבטחת מידע

תקיפות מקוונות ניתנות לחלוקה לארבע קטגוריות עיקריות:
1. תקיפות להשגת רווח כספי. אלו מבוצעות בעיקר ע"י פושעים (כולל פשע מאורגן) ויעדיהן אתרים פיננסיים כדוגמת בנקים או חברות סליקת כרטיסי אשראי, או אתרים שבהם מתבצעת פעילות כספית.
2. תקיפות ע"י גורמי מדינה או סוכנויות ביון למטרות מגוונות. ביניהן ניתן למנות:
א. איסוף מידע מודיעיני באמצעות שתילת קוד זדוני המשמש כאמצעי האזנה או דלף מידע באופן כלשהו,
ב. פגיעה במערכות שלטוניות כדוגמת אתרי ממשל זמין של מדינות.
ג. פגיעה במערכות המחשוב של תשתיות חיוניות (כדוגמת מתקפות על מערכות ביטחוניות, תעשייה ביטחונית, כורי
גרעין ומערכות הולכת חשמל).
בהקשר זה יש לציין שהמונח "תשתיות חיוניות" שונה ממדינה למדינה ומשתנה גם במהלך השנים. כך למשל בארה"ב הכריזו במהלך שנת 2010 על החברות המייצרות את רכיבי התשתית לתחנות הכוח החשמליות (דודים, טורבינות וכד') כחלק ממגזר התעשייה המשוייך גם הוא לתשתיות חיוניות.
3. "האקטיוויסטים" שמטרתם להציג עמדות פוליטיות ויעדם עשוי להיות מגוון מטרות בהתאם לסוג הקבוצה. לאחרונה קבוצת פורצים המכונה אנונימוס פעלה כנגד חברת SONY וממשלת טורקיה אשר לדברי קבוצת הפורצים פועלת לאכיפת צנזורה מקוונת.
4. אלה שעושים זאת "בשביל הכיף" או פשוט "להראות להם" שאין להם אבטחת מידע. בשבועות האחרונים קבוצת פורצים המכנה עצמה LulzSec עולה לכותרות בשל פעילות פריצה ברמה יומית.
נראה שבשבועות האחרונים, כאילו כל ארבע הקבוצות שבעבר פעלו כל אחת בזמנה היא והותירו לנו "מרווח נשימה" כלשהו בין תקיפה לתקיפה, החליטו "בינן לבין עצמן" שהגיעה העת "לשבור שגרה" או "לשבור את האשלייה של אבטחת מידע" לרכז מאמצים ולהראות כל אחת ממניעיה היא ש"אין אבטחת מידע".
התקיפות על Codemasters ו-Citibank משוייכות לקטגוריה הראשונה. בתקיפה על Citibank, כ-360,000 לקוחות הבנק יודעו שחשבונותיהם מצויים בסיכון אחרי שפורצים בלתי מזוהים זכו לגישה לנתוניהם. לדברי הניו יורק טיימס הפריצה ל-CitiBank התאפשרה עקב כשל אבטחה בסיסי ומביך מאד באתר הציבורי הבנק. לדברי הידיעה, לקוח לגיטימי שהתחבר לחלק האתר שבו מזינים מספר החשבון בכתובת הדפדפן, יכול היה לשנות את מספר החשבון ולקבל נתוני חשבון אחר. הפורצים השתמשו במחולל מספרי חשבון וכך השיגו פרטיהם של מאות אלפי לקוחות.
תקיפת מערכות המחשוב של קרן המטבע הבינלאומית משוייכת ככל הנראה לקטגוריה השנייה. כך גם התקיפות שבוצעו על יצרנית מוצרי אבטחת המידע RSA (בחודש מרץ) שגררה וגוררת אחריה שרשרת של פגיעות בחברות מהגדולות בארה"ב ובעולם לייצור אמצעי לחימה מתקדמים כגון חברת לוקהיד-מרטין (יצרנית מטוס העתיד של חיל האוויר הישראלי, ה-F-35) וחברת L3. חברת החדשות FOX הודיעה ב-1 ליוני כי חברת גרומן יצרנית מערכות לחימה אמריקאית גדולה נוספת החליטה לפי שעה לא לאפשר יותר גישה מבחוץ למערכותיה. האם זה נקיטת אמצעי זהירות לפני (תוצאה אפשרית של תהליך ניהול סיכונים) או מסקנה של אחרי (תוצאה אפשרית של תהליך ניהול משברים). השימוש באמצעי הזדהות השונה מקוד משתמש וסיסמה כדוגמת האמצעי שנמכר ע"י חברת RSA נפוץ יותר בשימוש בגישה מרחוק למערכות הארגון, ופחות נפוץ בשימוש יומיומי בהזדהות מקומית ברשת הפנימית של הארגון.
שניים מארבעת הבנקים הגדולים באוסטרליה (ANZ ו-Westpac) הודיעו כי יחליפו את רכיבי ההזדהות החזקה של RSA ללא עלות ללקוחותיהם. הבנק השלישי (Commonweal) הודיע כי הוא שוקל את צעדיו והבנק הלאומי של אוסטרליה ממלא פיו מים (בנתיים)...
הערה: בשנת 2005 פירסמה חברת Yankee Group מחקר שהצביע שכמות הפגיעויות במוצרי אבטחת מידע מתקרבת לכמות הפגיעויות במוצרי התשתית של טכנולוגיית המידע (מערכות הפעלה ובסיסי נתונים) שמוצרי האבטחה אמורים להגן עליהם. ועל כן, על יצרניות מוצרי האבטחה להיערך לספק טלאי אבטחה למוצריהן באותו האופן שיצרניות מוצרי טכנולוגיית המידע נערכו. באותה המידה על לקוחות מוצרי טכנולוגיית ואבטחת טכנולוגיית המידע להיערך גם הם בהתאם. כעת עברו 6 שנים ועלינו מדרגה. על יצרניות מוצרי אבטחת המידע לוודא כי רמת האבטחה בחברתן מספקת על מנת שניסיון פגיעה בהם לא יפגע בלקוחות שרכשו את מוצריהן.
כאמור פעילותה של אנונימוס מזוהה עם הקטגוריה השלישית. הם עלו לכותרות לפני מספר חודשים כאשר פגעו בחברות כרטיסי אשראי וחברות סליקה אשר הודיעו שיפסיקו לספק שירותים פיננסיים לויקיליקס, עקב בבדלפות של מסמכים סודיים.
קבוצת LulzSec מזוהה (בשלב זה) עם הקטגוריה הרביעית. כמות הפריצות הנזקפות "לזכותה" עולה מיום ליום בקצה מסחרר. פריצה למערך הבריאות האנגלי (NHS), לאתר הסנאט של ארה"ב, לשלוחה של ה-FBI (Infragard), ובעצם נראה שהם יפרצו "לכל מה שזז".
למרות שהנזקים מהפריצות של שתי הקבוצות המשוייכות לקטגוריות השלישית והרביעית מזעריים לעומת נזקי הקבוצות הפועלות בקטגוריות הראשונה והשנייה, דווקא הן אלו התופסות את הכותרות.
ייתכן ובכך על הארגונים לשנות במשהו את ההתייחסות המזלזלת (יחסית) לסיכון הקרוי "סיכון תדמיתי".
סיכון תדמיתי איננו כלול בסיכוני אבטחת המידע הקלסיים: סודיות (Confidentiallity), שלמות ואמינות (Integrity), זמינות ושרידות (Availability). גם הרבה יותר קשה, עד בלתי אפשרי לכמת אותו.
התוצאה הכוללת הינה ש"אין אבטחת מידע". כמות הפריצות עולה בכל יום. אין יום בלי דיווחי פריצה מסוג זה או אחר. אין יום כתבתי? משעה לשעה הולכים ומתרבים דיווחי הפריצה בכל יום. זה איננו (FUD-(Fear Uncertainty Doubt שבהם הואשמו יועצי ומנהלי אבטחת המידע, כאילו הם סתם צועקים "זאב, זאב", אבל כלום בעצם לא קורה... זו המציאות. יהיו הסיבות אשר יהיו, חוסר מקצועיות, רשלנות, זדוניות, שילוב תקיפות מסוגים שונים, מה שתרצו. זה כבר לא משנה.

הרשימה הקודמת (בשפה האנגלית) הציגה את הצד הכלכלי, מדוע אין אבטחת מידע. כי זה פשוט לא השתלם כלכלית. או כך חשבו שזה איננו משתלם כלכלית. באו מחוקקים, רגולטורים, גופים מנחים, תקנים ובעצם, לא שינו את המצב באופן מהותי.
מה קורה בחודשים ובעיקר בשבועות האחרונים? האם למישהו פשוט נמאס? ייתכן. אינני יודע מה התשובה.

נראה בעליל שכמות הפריצות והמשמעויות שלהן צריכות לשנות את העמדות הבסיסיות של ההנהלות הן של יצרני טכנולוגיית המידע והן של הלקוחות העושים שימוש במוצרי טכנולוגיית המידע.
טעות נפוצה היא שהבעיה הינה רק או בעיקר איך להציל אותנו מפגיעה בתשתיות חיוניות. אם נגן עליהן מספיק טוב, או כי אז "ניצלנו מפרל הארבור דיגיטלי" כדברי האמריקנים.
כל מרקם החיים המודרני מבוסס על טכנולוגיית המידע.

ללא שינוי מהותי בשילוב אבטחת המידע בטכנולוגיית המידע ולא רק אצל לקוח הקצה, יהיה זה הבנק או חברת הביטוח או בית החולים או מערך המיחשוב של בית המחוקקים ומשרדי הממשלה, או תחנת הכוח, או מפעל המים, או הממשל המקומי, או מערכת בתי המשפט, או מפעלי התעשייה או... כל מקום שבו מוטמעת טכנולוגיית מידע, אלא החל משלבי ייצורה של טכנולוגיית המידע, לא יימצא פיתרון ראוי.
אבטחת מידע מתחילה או אמורה להתחיל ב-ה-ת-ח-ל-ה ולא באמצע או בסוף. לכל אחד בשרשרת הייצור והשימוש של מערכות טכנולוגיית המידע תפקידו הוא באבטחת המידע.

כך זה לא יכול להימשך.

Why Information Technology Security (referred henceforth as ITS) isn't a success story after so many rules, standards and regulations?

This post will be written in the English language as it will be used for a dual purpose:

1.As an answer to Mr. William Beer, Director of PwC London and Leader of Pwc's OneSecurity Practice, who was one of the speakers in the Tel-Aviv University conference on "Cyber warfare – international, political and technological challenges" that took place on June 9th. The title of his talk was: "Cyber - New rewards and risks to businesses and governments. Why a different approach is needed".

2.To be able to reach more audience than only the Hebrew readers of my posts.

I'll appreciate it very much to get readers comments on this post.

As a matter of fact, I believe the question has two answers.
The first is easy for me to write, as I'm quite sure about it.
For the second I have some speculations and I would like to read your remarks to my post, before I'll write mine.

Question: Why don't we have good ITS?

1.BECAUSE NO ONE REALLY WANTS IT. AMAZING. Don't you think?

This needs of course an explanation. So here it comes.
To achieve good ITS you have to invest money and time. These two elements are critical factors in a super fast growing need for more and more Information Technology, as this is the engine that drives modern society. No one argues that the correct starting point to integrate ITS should be the development phase of a product. Adding ITS to an IT product during that phase, and I mean what we professionals call "SECURITY by DESIGN" will achieve products with a much better ITS when they are deployed. BUT, you have to pay with MONEY and TIME. The product will be more expensive to develop and it will take more time to bring the product from the beginning of the development phase to selling it on the market. This means: BIG TROUBLE for ITS. The first magic phrase in the Information Technology world is "Time To Market". Only if a product developer MUST but really MUST add ITS he'll sacrifice "Time to Market" for "Better security". The same goes for the second magic phrase "Lower Costs" or its equivalent "Return On Investment". Consumers of Information Technology buy with the pocket. They're after cheaper products with better ROI. Adding ITS in the development phase makes the product more expensive for buying. (At that phase no one includes the costs of future security vulnerabilities/patch management etc.) As to ROI, this is a controversial issue for itself and I'm not going to handle it in this post.
What is the "really must" I mentioned before? Money. If the product maker will loose money because of not enough ITS in the product, it might make a difference for him. What might be "Not enough ITS"? Obviously, vulnerabilities discovered in the product when it is used by customers.
During the previous decade numerous of surveys and a lot of research was done and published around the subject that can be called: "How much will IT makers suffer for not having good ITS in their products"?
One of the important and leading works on the subject was a paper titled: "Impact of Software Vulnerability Announcements on the Market Value of Software Vendors – an Empirical Investigation" presented at the Fourth Workshop on the Economics of Information Security held on the campus of Kennedy School of Government Harvard University 2 - 3 June 2005.
Link to the paper: http://infosecon.net/workshop/pdf/telang_wattal.pdf

Link to a securityfocus article about the paper: Study: Flaw disclosure hurts software maker's stock http://www.securityfocus.com/news/11197

The study analyses the financial impact on the stock price value of SW makers following the announcement of a vulnerability in one of the company's product.
The bottom line could be summarized as follows:
Most of the announcements were followed by the SW maker's stock falling compared to NASDAQ market average. BUT, "…The researchers did show that, compared to the effect of other types of product related defects, the disclosure of software flaws seems to have the least impact…" and even more disturbing data comes ahead: "…The two researchers found that the 0.63 percent decrease fell below the estimated 2.1 percent drop in the stock price of companies that were victims of public security breaches, or the estimated 0.81 percent drop in the stock price of auto makers that recalled their vehicles."
To conclude the bad news for ITS in SW makers here is the response of Amit Jasuja, vice president of product management for database maker Oracle's security group cited in the aforementioned securityfocus article: "So even if there is a connection between public vulnerability disclosure and stock price, the penalty for having vulnerabilities may not be high enough to convince product managers to spend more time on security".
A year or so later comes the second blow, as a survey showed that the customers of the IT product makers favor too "Time to Market for IT products" over "Better security but later on the market".

To conclude: The market forces don't give good ITS a fare chance. NO ONE HAS ENOUGH INTEREST.

In this case, there is only one way left: outside intervention.
Who can do it?
Governments by enacting laws, other statutory institutions by passing regulations, standards institutions by creating new standards. Seems to be a perfect solution. We have in the last years a lot of laws, regulations, standards on the market. All about ITS. So why doesn't the situation improve significantly?

The answer, to my opinion is that most of all these effortsare aimed at the "end of the chain", the CUSTOMER of the Information Technology products and not aimed primarily at those that stand in the beginning of the chain, e.g. the HW and SW makers. Vulnerabilities in products are not a result of how the customer implements the SW. It is the SW itself that is the cause. But, to my best knowledge NO government has enacted a rule that puts a fine of lets say 1,000,000 $ for each vulnerability found in a piece of SW product.
Lots of rules exist to punish institutions that their Information Technology infrastructure has been breached whatever the cause is and confidential data stolen. Other rules fine for not implementing parts of legislation. Who are the only punished institutions?
The Information Technology CUSTOMERS. Only they.
Why is it so?
I'm waiting for your suggestions before writing the 2nd reason. Maybe you have an idea.

שינוי פרדיגמה באבטחת מידע: המדינה לוקחת אחריות על מחשבים המקושרים לאינטרנט. בעולם כבר התחילו. בישראל (בנתיים) מדברים...

הפוסט נכתב לאחר שאתמול ישבתי בכינוס המתוקשר ורב המשתתפים במסגרת סדנת יובל נאמן למדע טכנולוגיה וביטחון שכותרתו: "לוחמת סייבר – אתגרים בזירה העולמית, המדינית והטכנולוגית". הכינוס מתקיים שבועות ספורים לאחר הכרזתו של רוה"מ של הקמת "מטה הסייבר הלאומי" כחלק מיישום המלצות דוח הוועדה שמונתה על ידו ובראשה עמד פרופ' (אלוף מיל.) יצחק בן רפאל. חיכיתי בתור הארוך יותר משעה, בשמש הקופחת, כחלק מבדיקות הביטחון והאזנתי ברוב קשב לכל ההרצאות החל מהרצאתו של ראש הממשלה שפתח את הכנס ועד לסיומו של הכנס, לפנות ערב.
הפוסט הזה יהיה ארוך במקצת, אבל אני מקווה מאיר עיניים באשר לשלב הבא שבו מצוי המאבק להשגת מרחב מיחשובי עולמי נקי יותר מזיהומים...
מבין כל הנאומים הרבים בכינוס (חלקם מעניינים ומחדשים כדוגמת ההרצאה האחרונה בכינוס שניתנה ע"י פרופ' בני פנקס מאוניברסיטת בר-אילן שהציג חשיבה מעניינת על איומים במחשוב ענן, וחלקם פחות מעניינים…) שהתארך הרבה מעבר לשעה הנקובה אני בוחר לקחת שני משפטים משתי הרצאות ולצרף אותם יחד.
המשפט הראשון נאמר במהלך ההרצאות לפני הצהריים, בעת שהאולם עדיין היה מלא מפה לפה, ע"י ויליאם בייר, מנהל PwC לונדון וראש היוזמה של החברה המכונה: OneSecurity שהודה בגילוי לב נדיר במחוזותינו (טוב, הוא אנגלי...) שבמצב הנוכחי ולמרות כל התקנים והרגולציות (ואולי דווקא בגללם...) איננו מצליחים לייצר את האבטחה הנדרשת.
המשפט השני נאמר ע"י שי בליצבלאו מחברת מגלן באחת ההרצאות האחרונות בכינוס, בעת שבאולם כבר נכחו הרבה פחות צופים. לדבריו, בארץ יש הרבה מאד מחשבים המתחברים לאינטרנט שייתכן ויש בהם קוד פוגעני, דהיינו מחשבים "מזוהמים".
כאשר מחברים את שני המשפטים יחדיו מקבלים את האמת המרה "ישר בפרצוף": הרבה מערכות מחשוב המתחברות לאינטרנט (בארץ ובעולם) הינן מסוכנות. הן נגועות בקוד זדוני שהושתל בהם והן או משמשות בפועל או עלולות לשמש בעתיד כפלטפורמה למשלוח מתקפות. נשאלת השאלה: מתקפות על מה? בעצם על מה לא? על כל מחשב אחר המתחבר לאינטרנט. איפה מצויים המחשבים הללו? בכל בית, משרד מכל סוג שהוא, בנק, חנויות בקניונים, בתי"ח, מוסדות ממשלתיים, ארגונים פרטיים. אלו המחשבים המצויים בכל מקום במדינת ישראל ובידי כל אזרח, יהיה זה אזרח נאמן למדינה ככל שיהיה, מחשבו עלול להיות מסוכן לו עצמו ולכל האחרים במדינה.
המסקנה הינה שכל עוד מדינות העולם (וישראל ביניהן) ימשיכו לעצום את עיניהן ולומר שנקיון המחשבים הללו מהקוד הזדוני והשמירה על המשך נקיונם איננו מעניינה של המדינה, אזי המדינה במו ידיה מפקירה את בטחון אזרחיה.
בדיוק כשם שהביטחון האישי ברחובות איננו תפקידו של האזרח שומר החוק, אלא תפקידה של המדינה באמצעות המשטרה וגורמי אכיפה אחרים (מערכת המשפט כדוגמה), כך זה מתפקידה של המדינה לדאוג שמחשבים של אזרחים יהיו "בטוחים". הכוונה במונח "בטוחים" הינה שהמחשב (המונח מחשב דרך אגב כולל כבר היום את הטלפונים החכמים למיניהם, שהם צירוף של טלפון ומחשב וכל סוגי מחשבי הלוח, ובקיצור, כל מה שהוא "דמוי מחשב" ומתחבר לאינטרנט) המתחבר לאינטרנט איננו מהווה פלטפורמה לשליחת מתקפות כנגד מחשבים אחרים באותה המדינה או במדינות אחרות.
אינני רוצה להיכנס בבלוג זה לדיון הארוך והמורכב של הגנת פרטיות כנגד הגנת מרחב הסייבר. על כן אקצר בעניין זה:
א. מסתבר שעולם המחשבים בתוספת האינטרנט מזמן לנו אתגרים מעניינים בנושא זה.
ב. המחשב הפרטי והמידע בו הוא רכושו הפרטי של אדם, בזה אין ספק.
ג. ההתחברות לאינטרנט למיטב הבנתי אמורה לייצר שינוי מסויים בהתייחסות למונח "פרטיות", אבל לא לבטלה.
ד. כאשר הקישוריות הזו הינה ברת פוטנציאל לסכן את המחשב המתחבר או מחשב אחר במדינת ישראל או מחוצה לה, על המדינה לנקוט באמצעים סבירים, תוך כדי שמירה על הפרטיות. בהמשך הבלוג, נסקור תחילת פעילות בעולם המבקשת לייצר איזון בין הפרטיות ובין הצורך "לנטרל את הפצצה המתקתקת במחשבים האזרחיים".
ה. לצערי, בכנס החשוב אתמול לא נמצא מקום לנושא הגנת הפרטיות המעוגנת בחוק ובתקנות להגנת הפרטיות במדינת ישראל, (החוק הראשון במדינת ישראל שחייב מינויו של ממונה על אבטחת מידע בגופים ציבוריים, בנקים וחברות ביטוח עוד בשנת 1996) ושעל יישומו מופקדת הרשות למשפט טכנולוגיה ומידע במשרד המשפטים. אם מישהו שכח לרגע, אז להגן על מדינה זה (בין היתר) להגן על אזרחיה ולא רק על "המדינה". ולהגן על אזרחיה משמעותו (בין היתר) להגן על פרטיותם. רוב רובו של המידע במערכות הבריאות במדינת ישראל הוא מידע המוגן עפ"י חוק זה, ולא סתם מידע רפואי לא מזוהה. רוב רובו של המידע בבנקים ובחברות הביטוח הוא מידע כלכלי מזוהה על לקוחותיהם, ולא סתם מידע פיננסי. חלק לא מבוטל מהמידע על אזרחי המדינה המוגן בחוק הגנת הפרטיות מצוי במרחב הסייבר שכה רבות דברו בו אתמול.
ו. הגנת פרטיות היא חלק מההגנה האזרחית במרחב הסייבר. משום מה לנושא זה לא נמצא מקום בכנס, וגם לא במסמך שמתפרסם במקביל לו מטעם המכון למחקרי ביטחון לאומי, (שותף פעיל בכנס), מסמך הנושא את השם: לוחמה במרחב הקיברנטי: מושגים, מגמות ומשמעויות לישראל, יוני 2011 מאת שמואל אבן ודוד סימן-טוב. אינני יודע מה הסיבה להעדרות זו של נושא הגנת הפרטיות מהגנת מרחב הסייבר.
ז. אין לצפות מאזרח נורמטיבי שיתמודד לבדו עם הסכנות שהאינטרנט טומן בחובו ובעיקר עקב העובדה שהמחשב המתחבר הופך לכלי בידי יריב שהפרט איננו יכול להתמודד איתו כלל ועיקר.
ח. יש לצפות שהמדינה תאזן בין הגנת הפרטיות וחובתה להגן על אזרחיה.
ט. אנו נוטים להתעלם מהעובדה שהתחברות לאינטרנט איננה תהליך נטול הסדרה. בין המחשב הפרטי או המוסדי המתחבר לאינטרנט, קיים ספק שירות. לעתים, מדובר בארגון שהוא עצמו ספק שירותי קישוריות לאינטרנט עבור עצמו או עבור ארגונים אחרים.

אז מה קורה בעולם? קורים שני דברים שונים, המשלימים זה את זה. הראשון החל את דרכו ב-1 בדצמבר 2010, באוסטרליה, השני טרי עוד יותר בן חודשיים, מתרחש בארה"ב.

1. אוסטרליה: פרוייקט iCode
פרוייקט וולונטרי שבו רוב ספקי הקישור לאינטרנט באוסטרליה (מעל 90%, נכון ל-1 ביוני 2011) מדווחים ללקוחותיהם (ובמידת הצורך, עפ"י חוקי אוסטרליה), לגורמי אכיפת חוק ול-CERT האוסטרלי, על מחשב לקוח החשוד כנגוע בקוד זדוני.
הלקוח יכול לנקוט באחד משני מהלכים לנקוי מחשבו: לפעול בעצמו או לפנות לאחד ממספר מצומצם של ספקים שנבחרו לצורך עניין זה ולהיעזר בהם לנקיון מחשבו.
המהלך כולל הרבה אתרי מידע להסבר על אבטחת מידע, קוד זדוני וכד', כך שלא מדובר במשהו העומד בפני עצמו, אלא כחלק מתפישה לאומית שהגנת מרחב המיחשוב של אוסטרליה שזו דאגה של המדינה, שהחלה בפעילות נרחבת להגנת תשתיות לאומיות חיוניות לפני מספר שנים (באוסטרליה, הנושא באחריותו של התובע הכללי), כוללת באופן משולב גם איתור מחשבים נגועים של אזרחי המדינה (ולאו דווקא של ארגונים במדינה) וטיפול בהם.
אחד מהעקרונות של המהלך הוא שמירה קפדנית על פרטיותם של לקוחות ובלשונם:
The privacy of customers is paramount;
הפרוייקט הושק ב-1 בדצמבר 2010 וייבחן לאחר 18 חודשי הפעלה ראשוניים.
מאחורי היוזמה עומד איגוד תעשיית האינטרנט באוסזטרליה: Internet Industry Association והמנוע מאחוריו הוא מנהלו הפורש של האיגוד, Peter Coroneos.
הוא הוזמן להציג את היוזמה ב-6 במאי 2011 בפני הווארד שמידט, ראש תוכנית הגנת המרחב המיחשובי בארה"ב. כמו כן, לדברי פיטר קורונאוס היוזמה הזו דחתה איומים של הממשלה האוסטרלית להתחיל בחקיקה מגבילה לשירותי האינטרנט במדינה.
כל החומר על היוזמה הזו פתוח באינרטנט באתר ייעודי: http://www.icode.net.au
אתר האינטרנט של איגוד תעשיית האינטרנט האוסטרלי: http://www.iia.net.au/


2. ארה"ב: התמודדות משפטית וטכנולוגית כוללת
בעוד היוזמה האוסטרלית איננה מטפלת בשורש הבעיה, אלא רק עם התוצאה, ניקוי מחשבי קורבנות, ארה"ב פתחה ביוזמה מקיפה שמטרתה לצמצם את הזיהום במרחב האינטרנט "קצה לקצה". בשלב זה מדובר בפעילות שיעדה Botnet ספציפי המכונה: Coreflood, הפעיל מזה עשור וכמות המחשבים שנדבקו באמצעותו עומד על כ-2 מליון מחשבים.
המהלך כולו מגובה משפטית מטעם משרד המשפטים האמריקני ומנוהל ע"י ה-FBI בתוך ארה"ב ומתואם באמצעות היחידה הבינלאומית שלו מחוץ לגבולות ארה"ב.
הפעילות שהחלה ב-12 באפריל 2011 כוללת את המרכיבים הבאים:
א. תפישת חמשת מחשבי השליטה והבקרה (Botnets C&C) ו-15 מרחבי הכתובות (DNS) של הגורמים המבצעים את הדבקת מחשבי הקורבנות. במקביל, ועל בסיס הסכם לסיוע משפטי הדדי, רשויות אכיפת חוק באסטוניה תפשו שרתים אחרים שככל הנראה פעלו כמחשבי השליטה והבקרה הקודמים של ה-Botnet. כל זאת מבוצע ללא שקיימת הצבעה על זהותם של מפעילי ה-Botnet, ובכתב התביעה מדובר ב-13 אלמונים שכולם מזוהים בשם: John Doe.
ב. החלפת המחשבים הללו בשני אחרים (אחד מהם הפסיק את פעולתו 9 ימים לאחר שהחל) ובשתי כתובות DNS אחרות בשליטת ה-FBI. מחשבים נגועים שהתקשרו כעת למחשבי השליטה והבקרה קיבלו במענה פקודת עצירה למניעת המשך התקשרות המחשב הנגוע.
ג. עוד פרטים נחשפים בתצהיר לבית המשפט של סוכנת ה-FBI Briana Neumiller מתאריך: 23 אפריל 2011:
 שלושה סוגי כתובות IP נחשפו כתוצאה מהמלכים שתוארו לעיל:
1 . כתובות IP בתוך ארה"ב שהוענקו ע"י ספק שירותים בארה"ב ללקוח קצה שאיננו ידוע באופן פומבי.
2. כתובות IP בתוך ארה"ב שהוענקו לגורם בר זיהוי.
3. כתובות IP מחוץ לארה"ב.
 אופני הפעולה שננקטו:
1. לקטגוריה הראשונה, ה-FBI סיפק וממשיך לספק לספקי השירות את הכתובות של מחשבים שנחזים להיות נגועים ב-Coreflood ביחד עם טופס על "הודעה על מחשב נגוע" שאותו ה-ISP ישגר ללקוח הקצה.
2. לקטגוריה השניה, ה-FBI פנה באמצעות משרד ה-FBI המקומי, לגורם המזוהה ומיידע אותו ישירות. נכון למועד מתן התצהיר, כוללים כ- 17 מדינות או רשויות מדינה מקומיות, כולל מחלקת משטרה אחת, שלושה נמלי תעופה, שני קבלנים של משרד ההגנה, חמישה מוסדות בנקאיים או מוסדות פיננסיים, כ-30 אוניברסיטאות וקולג'ים, כ-20 בתי חולים או מוסדות טיפול רפואי אחרים.
באחד מבתי החולים, כך דיווח מנהל אבטחת המידע של אותו ביה"ח, נתגלה כי כ-2,000 מתוך 14,000 מחשביו נגועים.
לגורמים הנ"ל מסופק טופס הרשאה לקבלת הסכמת הגוף הנגוע לביצוע ביטול הקוד הזדוני ממחשביו.
3. לקטגוריה השלישית, ה-FBI הכין רשימת כתובות עפ"י מדינה. זו סופקה לאגף לפעילות בינלאומית של ה-FBI אשר ימשיך לטפל בנושא באמצעות העברת המידע לגורמי אכיפת החוק במדינות הרלוונטיות.

האם פרוייקט ADEONA כפי שכונתה הפעילות הזו הינו יחיד או יריית פתיחה לפעילות עתידית?
גורדון סנו, העזור למנהל אגף הסייבר של ה-FBI אומר בתשובה לשאלה כי הפעילות הזו תמשך גם כנגד Botnets אחרים. ימים יגידו.

לסיכום:
בעולם החלו יוזמות, אומנם הם עדיין בודדות ובוודאי שלא מדובר במענה של זבנג וגמרנו. סימני שאלה רבים עומדים על הפרק. גם לא ברור עד כמה היוזמות האלו נוחלות הצלחה ארוכת טווח. אבל שני מקומות מהחשובים בעולם טכנולוגיית המידע המודרנית הכירו בעובדה שיש לבצע שינוי משמעותי והם עושים. עשייתם מלמדת שהדיבורים אצלם נעשו כבר במשך השנים האחרונות וכעת יש בידם יכולת להוציא מהכח אל הפועל, ובמקביל ממשיך להתקיים דיון בנושא.
אני יכול רק להמליץ בפני אותם גורמים במדינת ישראל האמונים על הנושא, ללמוד ממה שקורה בעולם, לבחון את האופנים שבהם החלו לטפל ולהתחיל לרתום את הגורמים שיש לשתפם לפעילות בישראל, ויפה שעה אחת קודם.