Black-A-Tech בלוג טכני בעברית בנושאים טכנולוגים,אבטחת מידע,קוד פתוח,מערכות הפעלה,רשתות, ותקשורת

במהלך היום יום כ 80% מעסקי הSMB שאני נתקל בהם, אינם מודעים לכמות הסיכונים שבתי העסק שלהם חשופים אליהם. לרוב אין שום גורם שאמון על היבט אבטחת המחשוב בארגון, במקרה הטוב מפילים את הנושא על איש הסיסטם, שהוא בתורו יפעל לפי הידע שלו ולפי ניסיונו,לא תמיד הראיה שלו תהיה רחבה במחשבה על כלל הארגון לרוב היא תהיה רק על המערכות שהוא קשור בהם, מה גם שלא תמיד יש לו את הגיבוי, התקציב, והסמכות להכיל נהלים כאלה ואחרים.

ברמת הנהלת הארגון לא מתבצעת חשיבה מעמיקה ורוחבית על אותם סיכונים שהארגון חשוף אליהם.

לרוב הגישה תהיה שהסתדרנו עד עכשיו מצוין! לא פרצו לנו ולא איבדנו מידע....ואין סיבה להכביד על ההוצאות האמנם?

ברוב ה SMB’s לא מתבצעות בדיקות חדירות (pen testing) יזומות של גורם פנימי או חיצוני על מנת לבדוק מה תוקף פוטנציאלי עלול לגלות בניסיונות הפריצה שלו, האם יש יכולת ומספיק ידע בארגון לעקוב אחרי ניסיונות פריצה שכאלו?

משיחות שהיו לי עם גורמים שונים בארגונים רבים, עולה הנקודה שאין דרישה ממנהלי הארגון וגם אם הייתה אחת כזאת, אין להם את הידע או הכלים לבצע כאלה בדיקות, ובכן אני לא תמיד מסכים עם הקביעה הזאת, אבטחת מידע לא מתחילה בפריצה או גילוי של פרצה לרוב שם זה סופה, היא מתחילה הרבה לפני, באופן שבו מתנהלת אסטרטגיית ניהול המשאבים בארגון שאלות לדוגמא:

מי צריך לקבל גישה לחדר שרתים? למי צרכה להיות גישה למערכת סליקת אשראי? האם כל המידע בשרת האחסון אמור להיות חשוף לכולם? מדיניות עבודה במחשבי הארגון – האם כל אחד יכול להתקין אימיול על המחשב שלו? והאם הוא בכלל זקוק להרשאה להתקין אפליקציות על המחשב? האם מדיניות הסיסמאות בארגון נכונה? מה הנהלים במקרה של עובד שעזב\פוטר? האם קיימת חומת אש ? אם כן מי מנהל אותה ומי מאשר את ה"חוקים" בה? ועוד שאלות רבות שרבים מתעלמים מהם.

כמעט תמיד שאני מעלה את השאלות הללו התשובות הם לזה אחראי ספק X ולזה ספק Y והבדיקות חדירות יקרות,

כאן נכנס עניין היחסיות, עד כמה יקר לך המידע של הארגון? מה עלות הפגיעה הכלכלית במידה ומידע זה ייחשף?

כהנחת יסוד אני מאמין שהמידע הוא יקר מאוד, ולא תמיד דווקא במובן הכלכלי אלה במובן הערכי, מה יקרה אם כרטיסי האשראי של לקוחותייך ייחשף? האם הם יחזרו לעשות איתך עסקים? מה יקרה אם עסק מתחרה ישים את ידיו על רשימת הלקוחות שלך? או על מידע עסקי פנימי?

לפעמים אין אפילו יכולת לאמוד את הנזק כלכלית, ולכן כדאי לשקול שוב האם בדיקות חדירות באמת יקרות?

ועניין ריבוי ספקי הפתרונות הוא חור אבטחה לא פשוט, לכמה אנשים מבחוץ יש גישה למערכות הארגון? האם אתה יכול לסמוך עליהם בעניים עצומות? האם יש תיאום בין כל הגורמים? לרוב התשובה היא לא, ולכן בהרבה משרדים נתקלתי במספר לא מבוטל של תוכנות השתלטות על שרת אחד מהסיבה שכל ספק מעדיף לעבוד עם תוכנה אחרת, כלומר אותו שרת חשוף ל4-5 פיתרונות השתלטות מרחוק ולפעמים אפילו יותר.

ומכיוון שאין גורם אחד שאמון על החשיבה והתכנון ותיאום בין כל ספקי הפתרונות, המערכות נותרות במרבית המקרים חשופות לשלל פרצות אשר חלקן לא מתוחכמות בכלל.... לדוגמא מהחיים:

אני מגיע למשרדי לקוח (נחמד) חדש בדרישה למתן הצעה להחלפת איש התמיכה שלהם, הכול נחמד ויפה קובעים להתחיל סקירה כמה ימים לאחר מכן, על מנת לאפיין את המערכות הפועלות בארגון, רמת התחזוקה, ואת מערך האבטחה.

אני מגיע למשרדי הלקוח מתחילים את הסקירה ומגלה שהלקוח מספק שירותי WIFI כחלק מההטבות כלפי קהל לקוחותיו(אמרנו כבר שהוא בחור נחמד לא?), הלקוח מיד ממהר להגיד שמדובר ברשת נפרדת ואין לה קשר לרשת של העסק, ויש לה קו אינטרנט נפרד שמוקדש כולו לטובת הלקוחות.

מעיף מבט מהיר על התשתית הפיזית, אמנם מדובר בשני קווי אינטרנט, שני מודמים, ושני ראוטרים אבל מתג אחד משותף לשניהם, כלומר הרשתות לוגית מופרדות כי לכל אחת מהם מוקצה תחום כתובות איי פי שונה אבל פיזית התקשורת עוברת דרך אותו המתג, ולקוח לא תמים בקלות יכול להאזין לכל התעבורה ברשת המשרדית.... על ידי הפעלת סניפר פשוט הוא יוכל לגלות מה כתובת הרשת השנייה(במשרדים) לתת לעצמו כתובת מאותו תחום ולבצע התקפה שנקראת Man In The Middle (אקדיש לה פוסט בשבועות הקרובים), ובכך להשיג המון מידע על הארגון

כמו חשבונות משתמשים לשירותים שונים גם חשבונות אשר התעבורה מוגנת בSSL !, ראו sslstrip

ולבצע מניפולציות שונות ברמת התקשורת ברשת.




הלקוח סרב להאמין באיזה קלות ניתן לחדור לרשת המשרדית שלו וביקש הדגמה - וקיבל...

התחברתי לרשת האלחוטית אשר מחלקת כתובות בתחום 192.168.1.0/24 הפעלתי את הסניפר החביב עליי Wireshark וראיתי שהרשת המשרדית יושבת על כתובות 10.20.20.0/24 אשר מוגדרות ידנית ברשת.

מצאתי כתובת לא פעילה ו"השאלתי" אותה, בדיקה עם פינג העלתה שיש לי תקשורת לראוטר ולשרת המרכזי בארגון.

הפעלתי את התקפת ה MITM כנגד המחשב המשרדי של הלקוח, וביקשתי מהלקוח שיכנס אל מערכת הWEB של הארגון, אותה מערכת אחראית על הנהלת החשבונות ועל סליקת האשראי,ממחשבו הוא ביצע את חלקו, ואני את חלקי...., ביקשתי ממנו לצאת מהמערכת ולהצטרף אליי באזור הרשת האלחוטית של הלקוחות, הוא הגיע דיי מהר סקרן לראות מה כבר עוללתי, לאחר מבט קצר במסך המחשב שלי "גיליתי" את כתובת השרת ואת שם המשתמש והסיסמא של הלקוח

לוגין אל המערכת והופ טרלללה אני בפנים, מיותר לציין שהלקוח היה המום הסברתי שזה לא התקפה מתוחכמת מידי וכל ילד על לפטופ ודיסק livecd מסוגל לבצע אותה..., בסקירה עמוקה יותר נתגלו עוד הרבה נקודות תורפה חלקם חמורות יותר.

כמובן שלאחר התחלת העבודה עם הלקוח כולם תוקנו במהירות המרבית,

תחקרתי את הלקוח לגבי הגורמים שאחראים על פריסת התשתית הפיזית, הוא הסביר שבמהלך השנים היו ספקים שונים של פתרונות, וכל אחד שהגיע לתת מענה הוסיף טלאי על טלאי וכנראה שניסו לחסוך בעלויות על מתג נוסף, סכום פעוט לעומת המידע שעלול להיחשף במקרה של ריגול עסקי או אדם שמחפש פרצה.

הרי כבר נאמר שפרצה קוראת לגנב,וזה כל כך נכון לדוגמא פורץ מזדמן יראה שהבית שלך מוגן עם אזעקה חכמה, מצלמות, וסורגים הוא ימשיך אל הבית הבא, ובדיוק כך גם בעולם המחשוב ככל שהארגון שלך יהיה מוגן יותר ומודע יותר לאמצעי אבטחת המידע כך סיכוני האבטחה ירדו.




לא משנה במה הארגון שלך עוסק, החשיבה על אבטחת המידע והמשאבים ברשת הארגונית צריכה להיות במקום חשוב בסדר העדיפויות, אין הרבה מקומות שמבינים שבמקרה של חשיפת מידע של לקוחותיהם או זליגת מידע פנימי למתחרה עסקי יכולה למוטט את הארגון. לא רבים המקומות שהגעתי אליהם ומיהרו לאשר תקציבים לאבטחת המידע בארגון, לרוב התשובה היא בנוסח: "השקענו הון על חומת האש זה מספיק" חומת אש זה לא קסם זה רק מעגל האבטחה החיצוני והראשוני, מה קורה בפנים?הרי זה ידוע שרוב הפריצות בארגונים נעשות מבפנים על ידי עובדים ממורמרים או כאלה שנשלחו מלכתחילה למטרה זו.




מתי לאחרונה בדקת עד כמה העסק\הארגון שלך מוגן?




אבטחת מידע היא הרבה יותר מחומת אש.