כמה מילים על התקיפה המתוכננת ביום ראשון

אחת למספר שבועות, ארגון "אנונימוס" מוצא לו מטרה חדשה להתקיף. הסיבות שונות מתקיפה לתקיפה. חלק מהסיבות נראות לאנשים מסויימים מוצדקות. אישית אינני חושב ששום התקפה יכולה להיות מוצדקת. התקפות על אתרים כמובן שלא משנות מאומה מבחינת שינוי מדיניות של המותקף, אבל לך תסביר את זה לכמה אלפי משועממים.

ביום ראשון הקרוב (7/4) מתוכננת התקפה (שלמען האמת כבר החלה, כפי שניתן לראות כאן) על אתרים ישראלים. בפוסט זה אנסה לתת כמה שיותר מידע וטיפים בנידון.

בניגוד למה שרבים חושבים, התקפה של אנונימוס אינה רק התקפה מסוג DDoS אלא גם נסיונות פריצה או השחתה של אתרים. את החלק של DDoS בארץ סופגים ספקי האינטרנט הישראליים (שכבר החלו להיערך לכך מלפני שבועיים), וסביר להניח שאחד הדברים הראשונים שהם (הספקים) יעשו בחלק מהמקרים הוא חסימת התקשורת מחו"ל לישראל לשרתים מסויימים, כך שאם השרת (בין אם פיזי או וירטואלי) מותקף, ואתה מתארח אצל ספק קטן, אתה צריך להודיע לספק והוא יבקש מהספק הראשי (נטויז'ן/סלקום, 012/אורנג', 014/בזק-בינלאומי) לחסום זמנית תקשורת מחו"ל. לא נעים שגולשים מחו"ל לא יצליחו לגלוש לחלק מהאתרים, אבל אין הרבה ברירות.

הסוג השני של ההתקפה הוא כפי שציינתי, הם נסיונות פריצה או השחתה של אתרים. בחלק מהמקרים ינסו לתקוף אתר ספציפי, ובחלק מהמקרים סביר להניח שינסו לתקוף את השרת עצמו כך שאם יצליחו, כמעט כל האתרים באותו שרת יינזקו. 

רשימות של אתרים וכתובות IP המיועדים להיות מותקפים פורסמו באתרים כמו Pastebin ואחרים, אך כפי שציינתי לעיל, רשימה זו אינה רשימה מוחלטת, כלומר אם האתר שלך יושב על שרת שמארח אתר אחר שכן פורסם ברשימה, האתר שלך יהיה חשוף לנסיונות פריצה.

מה בוני אתרים ומתחזקי אתרים ושרתים יכולים לעשות? מספר דברים:

  1. גיבוי – צרו גיבוי מיידי ואל תסמכו על שרות הגיבוי של הספק שאתם נמצאים אצלו. ביום ההתקפה סביר להניח שידי הספק תהיינה מלאות (כבר יצא לי לשוחח עם כמה ספקים שהם אדישים לחלוטין למה שיקרה ביום א') ושחזור יכול לקחת זמן. "הפתעה" נוספת שיכולה לקרות היא גילוי שהספק מעוניין בתשלום עבור שחזור. לכן אני ממליץ להיכנס לפאנל ניהול של החשבון שלכם, ליצור גיבוי ולהוריד אותו אליכם כך שתוכלו לשחזר ביום א' אם יפרץ האתר/שרת שלכם.
  2. מעבר על הרשאות: אתרים שרצים על לינוקס, מומלץ להיכנס למנהל קבצים ולבדוק שההרשאות הן המינימום ההכרחי: 644 לקבצים, 755 לתיקיות (אפשר 701 לתיקיה אם אתם משתמשים ב-SuExec ודומיו). לא להשאיר תיקיות עם הרשאות כתיבה/קריאה/הרצה לכל העולם ואחותו (הרשאות 777). 
  3. עדכונים: עדכון גירסת האפליקציה/תוספים/עיצובים – ודאו כי יש ברשותכם גירסה אחרונה.
  4. עברו על ה-DB שלכם ווודאו כי אין משתמש בשם admin או User ID שהוא 1. כמו כן, הסתכלו ב-MD5 של הסיסמאות, ואם אותו מספר חוזר בכל המשתמשים, אז כנראה בעבר פרצו ל-DB שלכם, שנו את הסיסמאות. 
  5. בעלי שרתי VPS/שרתים פיזיים – התקינו חומת אש (בלינוקס: CSF מומלץ) פנימית, והגדירו אלו מדינות יהיו חסומות (רמז: השכנים שלנו ועוד כמה מדינות "חובבות" ישראל), כך תקטינו את הסיכוי שיפרצו אליכם.

הכי חשוב: להצטייד בסבלנות. אם האתר שלכם מותקף (ולא חשוב איזה סוג התקפה) הלקוחות יתקשרו עצבניים. אל תיקחו את זה אישית, הסבירו שמדובר בהתקפה כוללת.

לאחר יום א', מומלץ שוב לבדוק את ה-DB והקבצים לראות שלא החדירו לכם קבצים חדשים או לא שינו לכם את ה-DB.

עדכון אבטחה קריטי ל-Apache

לפני מס' ימים כתבתי כאן בקצרה על חור אבטחה שנתגלה באפאצ'י (כל הגרסאות עד 2.2.20). דרך פירצה זו אפשר לשלוח בקשות מיוחדות לאפאצ'י שגורמות לו לקחת יותר ויותר זכרון עד שהשרת נופל, וזאת עם כמות בקשות קטנה.

לצערי "חברינו" הטורקים החלו להשתמש בטריק הזה בימים האחרונים.

לכן, מי שמנהל שרתי Apache מומלץ כי יעשה את הדברים הבאים:

  • מי שמקמפל מקוד מקור, יכול להיכנס לאתר אפאצ'י ולהוריד את גירסה 2.2.20 הכוללת תיקון לפירצה.
  • שרתי אובונטו/דביאן – יש כבר תיקון בעדכונים. הריצו עדכון.
  • משתמשי CentOS … הממ, כאן קצת נכנסת פוליטיקה. אלו שבונים את CentOS טוענים ש"העדכון כבר ב-Repository". עבדכם הנאמן בדק והוא לא שם. בדקתי ליתר בטחון גם ב-Mirror של פייסבוק, וזה גם לא שם. מה עושים?
    • לוקחים מכונת סנטוס 64 ביט (לא על שרת פרודקשן!), מורידים את הקובץ הזה, זהו קובץ SRPM הכולל את הקוד מקור + תיקונים.
    • כ-root מריצים פקודת: rpmbuild –rebuild file (שימו לב, יש 2 מינוסים לפני ה rebuild) כאשר file הוא הקובץ שהורדתם מהקישור הנ"ל.
    • סביר להניח שנסיון הבניה ישר יזעק שחסרות לו תלויות. התקינו את התלויות עם yum (עניין של העתק והדבק) והריצו לאחר מכן את הפקודה מחדש.
    • בסוף הקימפול יהיו לכם בתוך תיקיית usr/srv/redhat/RPMS/i686/ מס' קבצי RPM. הקבצים שתצטרכו להתקין הם: httpd, mod_ssl, httpd-manual (את ה-manual אפשר להעיף אם לא התקנתם אותו מלכתחילה).
    • לאחר ההתקנה, הפעילו מחדש את שרות האפאצ'י ( service httpd restart ) ובדקו אם הכל פועל כמצופה.
    • במידה והכל פועל, אפשר להעתיק את קבצי ה-RPM לשאר השרתים.
  • משתמשי WHM/CPANEL – כנסו לתוך ה-whm, הפעילו את EasyApache וודאו כי הגירסה היא 3.6.1 לפחות. הפעילו build מחדש, הוא כבר יוריד אפאצ'י 2.2.20 ויקמפל.
  • משתמשי הפצות אחרות – שרותי העדכון שלכם אמורים לתת לכם אפאצ'י מעודכן.

הכי חשוב: לעדכן במהירות, אם יש לכם שרתים חשופים החוצה לגולשים. ההתקפות כבר החלו. העבירו בבקשה לינק לפוסט לחברים שיש להם שרותים על מנת שגם הם יזכרו לעדכן את השרתים שלהם.

אשליית אבטחת מידע

זה מתחיל בעסקים קטנים, ממשיך בחברות קטנות ובינוניות ועד חברות גדולות וידועות. לכולם יש מכנה משותף אחד: יש להן מידע, והן לא מעוניינות לשתף אותו עם אחרים. מהצד השני יש מתחרים שמעוניינים באותו מידע על מנת להתחרות ו"לגנוב" לקוחות לאותן חברות. זה ממשיך בממשלות (סין לדוגמא) שמחפשות מידע על אינדיבידואלים על מנת לאיים/להפחיד וכו' – כלומר יש לא מעט גורמים שמחפשים איך לגנוב מידע.

רוב העסקים והחברות עובדים בדיוק באותה שיטה על מנת להגן על עצמם: חומת אש כלשהי בחברה, גישה מבחוץ (אם תינתן) רק דרך VPN, ובמחשבים עצמם מותקן אנטי-וירוס/"חומת אש" של ספק כלשהו (קספרסקי, סימנטק, ועוד), ואם מנהל הרשת לא עצלן הוא יעדכן אוטומטית את העדכונים שמיקרוסופט שולחת בשרתים ובתחנות. בחלק מהחברות ינתן למשתמשים האפשרות להשתמש ב-Admininistrator המקומי, ובחלק מהמקומות זה יאסר והרשאות יחולקו לפי צרכים. בחברות גדולות מבחינת דפדפן אינטרנט מותקן אקספלורר 6 או 7 והוא הדפדפן העיקרי שאיתו עובדים כדי לא לשבור את התאימות לאפליקציות Web הפנימיות (אם כי יותר ויותר חברות משתמשות באקספלורר 8, לא בגלל רצון עז לשדרג דפדפן, אלא בגלל הסיבה שזה מה שמגיע עם Windows 7).

אסתכן ואומר: ב-90% מהמקומות זו הקונפיגורציה פחות או יותר.

מעכשיו נעבור למצב סימולציה. אני לא חץ הנחמד בעל העסק לשרתי VPS, אלא אני פורץ לא-ממש-חוקי שנמצא בשטח של השגת מידע ללקוחות. לא חוקי, אבל מאוד מאוד רווחי.

אני צריך לפרוץ אליכם. אתם חברה משגשגת שמצליחה להשיג חוזים ולקוחות, ומי ששוכר אותי זו חברת "שמוליק קיפוד", מתחרה ישירה שלכם שלא-כל-כך מצליחה ושוברת את הראש איך אתם מצליחים להשיג לקוחות, והם מעוניינים ברשימת הלקוחות שלכם, חוזים מול אותם לקוחות, מחירים וכו', ו"שמוליק קיפוד" מוכנים לשלם הרבה מאוד. כמה הרבה? נאמר שהם מממנים לי מעבדת מחשבים עם כל התוכנות והשרתים והמחשבים שאני צריך וזה עוד לפני שקיבלו ממני בייט אחד של מידע.

אני צריך לפרוץ אליכם. יש לי מידע כללי מאוד עליכם ממה שהשגתי ברשת, ואני מצליח "לדוג" ברשת את שמות אנשי השיווק שלכם. אני מרים כמה טלפונים (מטלפון סלולרי עם טוקמן, שלא תוכלו לעקוב אחריי) ובוחן בעקיפין את הידע שיש לכם במחשבים, וגם תוך כדי השיחה הנחמדה עם הנציגים אני מוציא מהם מידע די טריוויאלי לגבי המחשבים של אותם נציגים: משתמשים באופיס? איזו גירסה? איזה אנטי וירוס יש לכם? איזו מערכת הפעלה יש לכם? דברים שכל נציג מוציא בלי לחשוב פעמיים.

כמובן שלא תמיד לנציגים יש את המידע (כמה מהם יודעים איזה אנטי וירוס יש? ברוב המקרים הם לא ידעו), ולכן אני מבקש את האימייל של הנציג ואני שולח לו אימייל פשוט (בלי טריקים) ומבקש שהוא יעשה reply. לאחר שהוא עושה לי reply אני מתחיל לעבוד.

ברוב מוחלט של המקרים, חברות קונות מספר מוצרים של חברת אנטי-וירוס אחת, כלומר התוסף ל-Exchange שמונע וירוסים ורוגלות הוא מאותה חברה שמייצרת אנטי-וירוס לתחנות עבודה. מהו? אותו אני יכול לדעת מה-Headers של המייל שאותו נציג שלח לי. באותם Headers גם מופיע לי איזה אופיס יש לנציג, וכתובת IP חיצונית של השרת מייל שלהם.

עכשיו ניגש לעבודה. ראשית נקים שרת Web כלשהו אצל אחת מספקי מחשוב ענן. אצל הספקים האלו לא בודקים אותך בשיניים וכל עוד הכנסת פרטים נכונים של מספר כרטיס אשראי והכרטיס עם כסף, הכל יעבוד. לשם כך שלחתי חבר לדואר לקנות לי כרטיס נטען ב-1000 שקל, כך שאם בעתיד יעקבו אחרי הכרטיס הנטען, יגיעו ל-Dead end.

עכשיו מגיע החלק המעניין: אני צריך למצוא פרצת אבטחה באופיס שעדיין לא תוקנה או שתוקנה לאחרונה ועדיין לא עודכנה. אני אהמר על קובץ אקסל ואני אבנה קובץ אקסל שבתוכו אכניס פרמטרים מסויימים שיתנו לי להוריד מאותו שרת Web אפליקציה קטנטנה. אם הסקריפט יצליח לרוץ, הוא יוריד אפליקציה קטנה שתשלח מיידית איתות "אני חי" לשרת Web ולאפליקציה קטנה שכתבתי שמאזינה לתשדורת הזו.

לפני שאני שולח את המייל, אני אבדוק את הקובץ מול שורת אנטי-וירוסים לראות מי מגלה משהו (החוכמה כמובן היא לכתוב קובץ אקסל או וורד שיודע להשתמש בפירצה אך לא להתגלות ע"י האנטי-וירוס ומנגנון ה-Heuristics שלו). הצלחתי? טוב מאוד. אני מוסיף לקובץ כמה שורות טקסט אבל לא את כל הטקסט, אלא חצי ממנו בערך, כאילו שלחתי את המייל מוקדם מדי.

המייל מוכן? נשלח אותו (דרך אותו שרת בענן כמובן) ונוודא שהנציג קיבל את הדואר. עכשיו נותר לי להמתין לראות מתי הסקריפט שלי ירוץ ושיאותת לשרת שלי "אני חי" (יש כמובן שיטות לגלות איך הנציג מחובר לרשת, עם או בלי פרוקסי וכו', אני מדלג על כך כרגע).

סביר להניח שאחרי שאקבל את הודעת "אני חי" אני אקבל גם טלפון מהנציג שיאמר לי שהמייל שלי לא ברור. אני כמובן "אתנצל" ואבטיח שאני שולח לו את כל המייל. אני בהחלט הולך לקיים זאת, אבל מחר..

למה מחר? כי היום אני הולך לכתוב אפליקציה אחרת. מה האפליקציה? אותה אפליקציה הולכת קצת "לחפור" בשקט במחשב של הנציג ולעשות עוד כמה דברים. אני כמובן לא מצפה להרשאות Administrator, אבל גם ככה יש לי די והותר דברים שאני יכול להשתמש:

  • בוא נאמר שאני צריך להיכנס ל-Exchange של החברה (הרי המייל יושב בשרתים, הוא לא נמחק מהשרת). הרישום של השם משתמש וסיסמא נמצאים ב-Registry וקל מאוד למצוא היכן (לא צריך Administrator לקרוא את זה, לכל משתמש יש הרשאת Read Only, ומכיוון שאיני הולך לשנות את הערך, אני לא צריך לכתוב). הסיסמא כמובן מוצפנת, אבל ב-4 שורות קוד (ספרתי) אפשר להפוך אותה לטקסט פשוט. מכאן מה שצריך זה להתחבר לשרת דואר ולשאוב את הדואר, ולא חסר API לשם כך.
  • אין לי אפשרות להיכנס לשרת מייל? אוקיי. אני יכול ליצור ZIP לקובץ PST ולהתחיל להעביר אותו "בתשלומים" דרך ה-Web. אם אעביר אותו בפעם אחת, מנהל הרשת עלול לעלות על כך, ולכן אעביר כל 5 דקות חלק (נניח חצי מגה) של ה-ZIP דרך פורט 80 או דרך הפרוקסי של החברה (בהתאם ל-Registry של החיבור לאינטרנט) בצורה מספיק חכמה כדי שימשיך להעביר גם לאחר שהמחשב כובה והודלק למחרת.
  • אחרי שיש לי את הקובץ, אני יכול כמובן לפרוס ולהנות מהמיילים, אבל אני יכול להמשיך מכאן ולבנות לי מעין Client שיושב במחשבו של הנציג וסרבר שיושב בשרת Web במחשוב ענן. אני מעוניין לראות מה יש בכונן בתיקיה מסויימת? אוכל לשלוח פקודת dir, ה-client יקבל את הפקודה, יבצע וישלח לי אותה בחזרה דרך השרת Web.
  • ואפשר לעשות עוד הרבה דברים….

לאחר שכתבתי את האפליקציה ובדקתי אותה מול כל האנטיוירוס שהעתק זהה יושב בחברה (שאותו אני יודע מהמייל הראשון עם הסקריפט ששלחתי), אני "אשלים" את הטקסט של המייל ואצמיד את הסקריפט המיוחד להוריד את האפליקציה, וכל מה שנותר לי לעשות זה .. להמתין.

במקום כל עניין המייל וההחדרה דרך פירצה, אפשר לעשות משהו פשוט: הבה נקבע פגישה עם הנציג. אני כמובן לא יגיע, חבר שותף יגיע. בלי מחשב נייד. תוך כדי השיחה אבקש מהנציג את המחשב הנייד "להראות לו משהו". (כמה נציגים אתם מכירים שיסרבו מול לקוח פוטנציאלי להשאיל לו את המחשב לכמה שניות?). מהו אותו משהו? לינק ישירות לשרת Web שבה האפליקציה תיכנס, תירשם להתחלה דרך ה-startup ותהיה מספיק חכמה למצוא יציאת תקשורת החוצה מהמשרד ולשלוח לי את כל המידע שארצה. עבודה של דקה וחצי בזמן שהנציג לא מבין מאומה ממה שקורה.

לאחר כל התהליך הזה, הלקוח יכול לקבל את המידע שלשמו הוא שכר אותי, אני מקבל סכום מאוד יפה, ועד שאתם כחברות תעלו על כך, כל שבב-כיוון למצוא איך זה קרה – ימות. השרת Web ימחק, התוכנה תימחק מהמחשב הנייד ויהיה קשה מאוד להוכיח אשמה על מישהו מסויים.

סוף סימולציה.

אז איך אפשר להתגונן מהדברים האלו? אפשר לעשות כמה דברים:

  • לא סומכים רק על עדכונים. ישנם לא מעל אתרים המפרסמים Disclosure על פריצות חדשות בכל מערכות ההפעלה ואפליקציות. כל מה שצריך זה להירשם ולעקוב אחר העדכונים והכי חשוב ליישם את ה-Work-around שאותן חברות נותנות עד שיצא Patch תיקון. הערכה שלי: 90% מהחברות בארץ לא עושות זאת.
  • הטמעת פתרונות Packet Inspection שיודעות לעשות אנליזה לפאקטים שיוצאים (במיוחד שיוצאים). כלי כזה יכול לעצור משלוח חלקים מאותו קובץ ZIP שאני שולח כמו בסימולציה.
  • פתרון לא כל כך מקובל, אבל חברות גדולות יכולות להכתיב אותו: לקוח רוצה לשלוח חומר? הלקוח יכול לגשת לאתר החברה ו"להדביק" את החומר בדף מיוחד (לשם כך יש את TinyMCE ואחרים המאפשרים הדבקת טקסט עשיר). כך אפשר לשים קורות חיים, הצעות ועוד מבלי לתת לסקריפטים להיכנס פנימה.
  • יישום מנגנון שאינו מאפשר לשום סקריפט לרוץ מתוך קובץ שהתקבל מבחוץ. אל תסמכו על הכלים של מיקרוסופט שיעצרו את זה.
  • הסברה לעובדים: מקבלים מייל "חתוך", מייל מעמית לעבודה עם הצמדה בלי שום הסבר מלווה? שישלחו את המייל לצוות ה-IT שיבדקו אותו, וליתר בטחון תרימו טלפון לאותו עמית ושאלו אותו אם הוא שלח את אותו מייל. אם הוא לא שלח, מישהו מנסה לחדור אליכם.
  • כדאי להסביר לנציגים להיות חשדנים: לא לתת את המחשב למישהו שעכשיו פגשתם.
  • בנקים: בנק גדול מאוד חשוף לטריקים האלו, ואחד מהניתובים בתוך רשימת הניתוב ניתן לצאת דרכה לרשת גם מהמחשבים של הפקידים בבנק. תארו לכם אפליקציה כמו שתיארתי, רק במקום מייל, היא תעשה דברים אחרים, והיא יכולה להוציא ולהכניס מידע. חושבים שאני מדמיין? אני לא. אני רומז לבנק מסויים שדיברתי עליו בעבר שכדאי שיעברו מחדש על טבלת הניתוב שלהם.

אלו חלק מהצעדים שצריכים לעשות בחברות כדי להימנע מריגול תעשייתי והפסד דברים חשובים מאוד למתחרים. אל תצפו לאינטגריטי מהמתחרים, כי כשזה מגיע לכסף גדול, האינטגריטי נזרק מהר מאוד לפח, וחברות שהן לחוצות יסכימו לשים כמה אלפי שקלים למישהו ולעצום עיניים כדי לקבל חומר גנוב מהמתחרים.

סליקת כרטיסים והאבטחה – שלא קיימת

בשבוע שעבר חתמתי חוזה במסגרת העסק שלי לקבל כרטיסי אשראי ללקוחות, והוספתי גם שיפור ללקוחות לגבי תאריכי החיוב (אפשר לקרוא על כך בהרחבה כאן).

עד כאן הכל טוב ויפה, אך מה לעשות שעבדכם הנאמן Geek בנשמתו, ואני אוהב לבדוק איך דברים עובדים. יום שבת הגיע, היה משעמם אז… בוא נבדוק קצת את התוכנה שהתקנתי עבור סליקת כרטיסים של חברה מסויימת (לא אציין פרטים של החברה, אני לא כל כך מחפש תביעות).

התחלתי להסתכל על התוכנה ולבדוק תלויות שלה וגיליתי שהיא עובדת עם MDB, כלומר זו תוכנה שנכתבה עם מיקרוסופט אקסס. נו טוב, גם זה קורה.

לקחתי קובץ MDB והחלטתי לפתוח אותו ב-Hex Editor. הקובץ נפתח בלי בעיה. אוקיי, בוא נריץ חיפוש מחרוזות טקסט. כל מספרי האשראי של ויזה בארץ מתחילים ב-4580 אז בוא נחפש 4580 ונראה אם נמצא משהו.

המממ….. (לחצו על התמונה לקבלת גירסה מוגדלת)

card details-in-hex-editor

מה אתם יודעים! המספר נמצא גלוי לכל, כולל תוקף ושם מלא של המנוי! (במקרה הזה אני הכנסתי למערכת מספר כרטיס פיקטיבי על שם .. החתולה שלי, את השם תראו שם).

עכשיו מבינים שיש פה חור אבטחה ענק! התוכנה מבצעת את הסליקה עם מערכת של שב”א דרך האינטרנט וכך תאורתית אפשר לפרוץ למכונת ה-Windows (כולנו יודעים כמה Windows “מאובטח”!). כל מה שהפורץ צריך לעשות זה לפרוץ למכונה, להוריד את קובץ ה-MDB (לא צריך לחפש אותו יותר מדי, הוא נמצא בתיקיה תחת שם התוכנה שנמצאת ישירות על ה- :C).

לאחר גילוי זה, התקשרתי הבוקר לאותה חברה ודיברתי עם הנציגה. שאלתי אותה אם יש להם באמת תקן PCI כמו שמופיע באתר שלהם. תשובתה “זה בדרך”. סיפרתי לה מה גיליתי והיא אוטומטית הכחישה שזה יכול להיות “מה פתאום! הכל מוצפן!”. אחלה הצפנה, לא?

הכל מוצפן הא? חיברתי אותה ל-VNC, פתחתי מולה את עורך ה-HEX והראתי לה מה שאתם רואים. תגובתה? “אני לא מכירה את התוכנה שאתה מראה לי כרגע”. אה, בגלל שהיא לא מכירה מה זה עורך HEX, הטיעון שלי לא נכון.

החלטתי ליצור קשר עם חברת שב”א, שדרכה אותה חברה סולקת. ענה לי בחור שאפשר לתמצת את תשובתו ל”זו לא בעיה שלנו, פנה לחברות אשראי”. פניתי לחברת ישראכרט, וכבר אחרי 30 דקות שחזרתי 10 פעמים על הסבר פשוט של מה שאני מנסה לאמר, הצליחו להעביר אותי למישהי במחלקת הבטחון. שלחתי אליה אימייל עם כל הפרטים, כולל שם החברה.

תמהני, אם זו אבטחת המידע של אותה חברת סליקה, אני מפחד לדמיין מה קורה אצלם בשרתים ומה יקרה אם יפרצו לשם מחר. מה שמפתיע אותי זו האדישות של כל הגורמים כמו שב”א וישראכרט (לאומי קארד ו-ויזה כא”ל אמרו שיחזרו אליי. הם עדיין לא חזרו).

מה ההמלצות שלי? 2 המלצות פשוטות:

  • חברה טוענת שיש לה PCI? בקשו מסמך המראה את ה-PCI שלהם.
  • אם יש לכם לקוח שעובד עם מערכת סליקה שמתחברת למודם או סולקת לאינטרנט (לא דרך API וובי אלא ממש תוכנה מותקנת במחשב), בדקו אם היא משתמשת ב-Access, ובדקו את קבצי ה-MDB שלה עם חיפוש כמו 4580. אם מצאתם מספרים גלוים, כדאי שתחשבו במהירות על אלטרנטיבה.

עצוב למצוא שבשנת 2011 גם אבטחה של כרטיסי אשראי נעשית בשיטת ה”יהיה בסדר”.

באשר לעסק שלי, כמו שציינתי בעבר: ההגינות היא הדבר הכי חשוב לי. יכלתי לכתוב את הפוסט הזה (או לא לכתוב), להבטיח ללקוחות ש”הכל בסדר” ולהשתמש במערכת הזו, אבל אני מעדיף להיות הגון ולספר על המערכת הזו וכשליה (אגב, אף מספר כרטיס אשראי של לקוח לא הוכנס אליה והתוכנה הוסרה) ולעבור ל-Paypal. אינני יודע מה המתחרים עושים, ולכן כדאי לבדוק (אם יש לך מנוי אצל המתחרים) מי הסולק שלהם ולספר להם על העניין.

בקצרה, כמה עדכונים

לא יצא לי לכתוב פה כמה ימים, עקב כתיבה בבלוג העסקי. חלק מהדברים אולי יעניינו את הקוראים פה, אז הנה לינקים:

  • כתבתי שאלון לאלו המעוניינים לשכור שרת פיזי/וירטואלי ואני ממליץ לשאול כמה שאלות שלא שואלים כדי שלא תקבלו חתול בשק. מומלץ לעיין. (קבצים מצורפים PDF ו-Word)
  • שרות חדש שאני מפעיל בימים הקרובים שמיועד ללקוחות "חץ ביז" וגם ללקוחות של מתחרים: אבטחה נגד כל מיני חולירות (XSS, SQL Injection, פריצות ב-JS ועוד) + שרות CDN, מבלי שתצטרך לשנות כמעט מאומה באתר שלך. מתאים לבעלי אתרים ולחברות סטארט אפ. המחיר יהיה זול מאוד (צריך לסגור מחיר סופי, אז יקח עוד מס' ימים, אני כן יכול להבטיח שזה יהיה בזול). הפרטים העיקריים אפשר לקרוא אותם כאן.
  • לפני מס' ימים כתבתי פוסט על גיבוי חיצוני ברשת, ואז במהלך מייל שפרסמתי שם אנשים פרסמו כמה רעיונות, הצעות ועוד. תודות לכל האנשים, אני מעלה שרות גיבוי חדש שיתן לא רק FTP, אלא תכונות נוספות, כולל תכונות שאהובות על חובבי לינוקס (אני בתוכם). פרטים יפורסמו בימים הקרובים.
  • ויש גם פורום חדש לאלו המתעניינים בפתרונות VPS ושם כולם מוזמנים לפרסם הצעות, לשאול שאלות, להגיב ולהשתתף.

פריצת אבטחה "מעניינת"

walla לפניכם תמונה. כפי שאתם יכולים לראות בתמונה, אתם רואים מסך עם Windows XP, וחלון מלא של אקספלורר ובתוכו רואים את אתר "וואלה" (אפשר ללחוץ על התמונה ולקבל גירסה מוגדלת של התמונה). מה בדיוק פרוץ פה? אה, הסיפור הולך כך..

הלכתי עם ידידתי הנחמדה לבנק דיסקונט לסניף שבו היא מנהלת את חשבון הבנק שלה והיא היתה צריכה מס' שרותים מהפקידים שיושבים בקידמת הסניף. לי לא היה מה לעשות. הסתובבתי קצת בלובי ואז ראיתי את המסוף של טלבנק דיסקונט. החלטתי קצת "לחטט", ולקח לי בערך 10 שניות (טוב, שורת ה-Address Bar היתה גלויה) לגלוש החוצה, לאתר של "וואלה". למי שעוד לא הבין, הצלחתי לגלוש החוצה במסוף שלא אמור לתת גלישה חופשית בלי שום בעיה מתוך המערכת הפנימית של בנק דיסקונט.

חקרתי קצת יותר לעומק את המחשב (בכל זאת, הפקידים היו עסוקים…). איזה פתרון אבטחה ה-XP מריץ? הופתעתי: Symantec Antivirus Corporate Edition, הגוויה הצפה הזו אמורה להגן על המחשב. ניחא.

אז אוקיי, אפשר לגלוש, לא ביג דיל, נכון? זהו, שזה כן. ברשותכם אעשה סוויץ' ואהיה איזה Black Hat Hacker (אני לא, אבל נניח). כל מה שאצטרך לעשות הוא פשוט לגלוש לאתר מסוים שפשוט "יסרוק" את האקספלורר לפריצות שלא נחסמו לאחרונה, ומי שלא יודע, מיקרוסופט אין לה רקורד זוהר בסגירת פריצות (שלא לדבר על פריצות שיש בפלאש) וימצא פריצה מסויימת. מהרגע שהוא מוצא, אני אתן לו להוריד קובץ Loader קטן ותמים שירוץ ושיוריד "בתשלומים" (כדי לעקוף מערכות פילטרים או פיירוולים) תוכנת Key Logger ולאחר ההורדה, ה-Loader ירכיב את החלקים ביחד, יכניס את ההפעלה ל-Registry של ה-XP (יש לא מעט דרכים לכך, תשאלו כל בחור עם תעודת MCSE) ופשוט ישב ברקע ויאזין להקלקות של הלקוחות  הבאים שבבטחון גמור יכניסו את מס' הזהות שלהם, סיסמא וגם קוד, ואחרי זה ה-Key Logger הנחמד ישלח את הפרטים החוצה אליי ותנחשו מה אני יכול לעשות עם הפרטים…

הבה נהיה יותר רשעים: אינני רוצה לגנוב כספים מלקוחות הבנק (למרות שרבים מהלקוחות חותמים על אישורים להעברת כספים דרך מערכת הטלבנק!), אני רק רוצה לעשות אנדרלמוסיה קטנה: תוכנת ה-Key Logger תוריד גם תוכנה אחרת, שתדע לפתוח חלון אקספלורר ב-Minimize (מה הלקוחות מבינים בחלונות minimized?) או חלון נסתר של אקספלורר, תזין את הפרטים שהיא לקחה מלקוח תמים מלפני שעה, ופשוט תעביר כספים (אחרי הכל, זה רק עניין של parsing, שליחת POST, אין שום captcha להגן) אל הלקוח שנכנס לפני 20 דקות. (אפשר להעביר עד 10000 ש"ח). הלקוח של לפני 40 דקות אם ירגיש בכך ויתלונן, כספו יוחזר רק אחרי המון ויכוחים, כי אין כאן פריצה קלאסית: הלקוח היה במסוף, ומבחינת המערכת הוא העביר מאותו מסוף ללקוח לפני 20 דקות את הכסף. תארו לכם את אותו טריק חוזר כמה עשרות פעמים במשך חודש, כפול מספר סניפים שאני "מתקין" את 2 התוכנות בביקור תמים באותם סניפים, ולבנק יש סיוט לא קטן.

את הסיוט הזה אפשר לגמור עוד היום, אם הבנק יעשה את הצעדים הבאים:

  • יעיף החוצה גלישה. המסוף אמור לתת את אתר הבנק? אז את אתר הבנק בלבד
  • ירד מאקספלורר: לאינטרנט אקספלורר לא חסרים פריצות גם כיום שמיקרוסופט עדיין לא טיפלה בהם.
  • אם הבנק רוצה לתת גלישה מוגבלת מאוד לאתרים חיצוניים, כדאי שהבנק ירד מ-XP ואקספלורר ויחפש פתרונות אחרים יותר מאובטחים ויותר נעולים (לא חסרות שיטות להריץ פקודות ב-XP גם אם מבטלים את כפתור ה"התחל"). לינוקס עם מנהל גרפי מינימלי (לא GNOME או KDE) ו-FireFox במצב Kiosk נעול לגמרי יציג את הדברים בצורה מצוינת.

ולבסוף, אשאיר אתכם עם תמיהה: אני בטוח שאני לא היחיד שגיליתי את עניין הגלישה החוצה ממסופי טלבנק. לי אין כמובן שום כוונה לנצל את אותו "גילוי" לרווח/רמייה של הבנק, אך אולי מישהו אחר ברחבי הארץ גילה זאת והתקין דברים מזיקים באותם מסופים?

אני נדהם שבנק גדול כמו בנק דיסקונט שכסף לא חסר לו, נכשל ברמת אבטחת מידע בצורה כזו מביכה.

מוגש כחומר למחשבה.

עדכון: שלחתי הודעה "דחופה" למחלקת אבטחת מידע של הבנק לפני שהתחלתי לכתוב את הטקסט (בסביבות 7 וחצי בערב) עם פרטיי המלאים וביקשתי שיחזרו בדחיפות. עד לרגע זה (20:54) איש לא חזר.

וירוס ללינוקס?

יצא לי לקרוא לפני מס' ימים את כתבתו של ניב ליליאן על סוס טרויאני שנמצא בתוכנת שרת IRC (בשם UnrealIRCd) ותהייתו האמנם ללינוקס אין וירוסים.

נתחיל בעובדה פשוטה אחת: האם אפשר לכתוב וירוס שירוץ על לינוקס? התשובה היא חד משמעית: כן. תמיד אפשר לכתוב סקריפט שיעשה נזקים גדולים, שידע לטעון דברים אחרים (אם יש תקשורת החוצה) ואם הסקריפט ינצל פרצות קיימות ידועות שלא נסגרו, יהיה אפשר עם הסקריפט לתת למשתמש רגיל הרשאות root ומכאן והלאה הנזק שניתן לגרום יהיה ממשי ומבעית. אפשר יהיה לגרום לוירוס לרוץ כל פעם שמשתמש מתחבר לשרת ב-ssh לדוגמא ע"י הוספת שורה אחת ב-bashrc / bash_profile (תלוי בנסיבות), אפשר יהיה לגרום לסקריפט להשתמש להשתמש במפתחות שנמצאות בתיקית ssh. כדי לחדור למחשבים אחרים ו"להדביק" אותם.

כל הדברים האלו ידועים לכל אחד שמבין באבטחה בלינוקס ובניהול של רשתות לינוקס, ובכל זאת, כמות הוירוסים ללינוקס קטנה לחלוטין. מדוע? לכך יש מספר סיבות:

  • תוכניות שנכתבות ב-bash/tcsh או ב-perl או python וכו' כשהן מורדות דרך דפדפן אינן מסוגלות לרוץ לאחר ההורדה. בשביל שקובץ יוכל לרוץ, חייב להיות לאותו קובץ ביט דלוק בהרשאות שלו ואות ביט נקרא Executable (או בקיצור: x). בלי הביט הזה, אם ננסה לפתוח אותו דרך מנהלי הקבצים של KDE או GNOME, יפתח עורך טקסטים עם תוכן הקובץ. הוא פשוט לא ירוץ, ובשביל להריץ אותו יש צורך בהרצאה ידנית: או להפעיל את הביט של executable לגבי הקובץ ואז להפעיל, או להשתמש ב-sh (או בפקודה שצריך, בהתאם לשפה שבה נכתבה התוכנה, כמו perl או python או php וכו'), כלומר אין אפשרות שאדם שלא מכיר לינוקס יוריד סקריפט, ילחץ עליו והסקריפט ירוץ אחרי הקלקה.
  • קיימים קבצי "חבילות" בינאריות כמו RPM או DEB להפצות לינוקס שונות, אולם גם כאן ישנם אמצעי מניעה ואזהרה. רוב המשתמשים מתקינים תוכנות אך ורק דרך מאגרים רשמיים (repositories) וכל מאגר חתום בחתימה מיוחדת שאותה יש לייבא לפני שימוש במאגר חיצוני. אמצעי מניעה נוסף הוא הצורך בסיסמת root על מנת להתקין קבצים בינאריים אלו. אין סיסמא, אין התקנה.
  • המאגרים שהזכרתי בסעיף הקודם מנוהלים ע"י אנשים אחראים ובמקרים רבים אותם מנהלים הם הם אלו שבונים את החבילות הבינאריות ולא כל טלאי קוד עלום מוכנס כך סתם לתוך החבילות הבינאריות, כך שהסיכוי לכך שחבילה בינארית תצא עם קוד זדוני הוא די קטן.
  • מודעות לאבטחה: בניגוד ליצרניות מערכות הפעלה אחרות שלוקחות את עניין אבטחה המידע כאקט שיווקי ורק לאחר מכן יישומי, יצרני ההפצות לוקחים את עניין האבטחה מאוד ברצינות ומיישמים זאת בהפצות השונות של לינוקס. התקנת CentOS או Fedora לדוגמא ישאלו לאחר סיום ההתקנה איזה שרותים הינך רוצה להריץ ועל איזה יציאת רשת הינך "סומך", כדי שהמערכת תכתוב אוטומטית חוקים לחסום את השאר. בניגוד למיקרוסופט שמציגים חלון השואל אם לפתוח פורט לאפליקציה (והמשתמשים, גם כשאין להם מושג מה החלון אומר, לוחצים "yes"), בלינוקס אתה צריך לפתוח פורט ידנית בחומת האש לאפליקציה אם היא צריכה תקשורת מבחוץ פנימה, ובמקרים מסויימים גם צריך לשנות את חומת האש לשם התקשרות מבפנים החוצה.

שום הפצת לינוקס אינה חסינה מוירוסים וטריקים שונים, אולם המודעות לעניין אבטחה ועדכוני אבטחה היא הרבה יותר גבוהה ממה שקורה בעולם של מיקרוסופט. הדוגמא הכי פשוטה להתנהגות גרועה היא דווקא מהצד של מיקרוסופט: אנשים רבים מפחדים להתקין עדכוני אבטחה כשהמערכת שלהם אינה חוקית והם חוששים שמיקרוסופט יכניסו להם "בסיבוב" איזה "עדכון אבטחה" שישבית להם את מערכת ההפעלה, ולכן הם מתעלמים מכל אזהרת אבטחה. התוצאה? מאות אלפי מחשבים בעולם הם לא יותר ממחשבים "זומבי" המשמשים כ"עבדים" לרשתות בוטנט שונות הזורעות הרס בכל מיני כיוונים (התקפות DDOS, הפצת דואר זבל, וירוסים ושאר מרעין בישין). ב-לינוקס אף אחד לא יחסום אותך עם טריקים כאלו וכל מה שלוקח להתקין עדכוני אבטחה הם 2-3 קליקים. כל זה מוביל לכך שבלינוקס מאוד נדיר למצוא וירוס כלשהו וחברות המייצרות אנטי וירוסים מייצרות תוכנה גם עבור לינוקס, אך השימוש שלה הוא בד"כ כדי להתממשק לשרת הדואר הארגוני ולסרוק מיילים יוצאים ונכנסים.

אותו עניין שהיה עם תוכנת UnrealIRCd הוא דבר שיכול לקרות, אך מכל דבר לומדים וגם הקהילות לינוקס השונות ילמדו ויפיקו לקחים. אותו אדם שהוסיף את הקוד הזדוני "נשרף" מבחינת פרוייקטים אחרים אם ירצה להתנדב בהם, וגם כשהוא ירצה להוסיף קוד לכל מיני מוצרים בקוד פתוח, במקרים רבים הקוד שלו יבדק לפני שיכנס לתוך המאגר קוד המרכזי.

טיפים לאבטחת אתרים (חלק 1 מתוך 2)

(אני מפרסם כאן מאמר ב-2 חלקים: בחלק הראשון אני מתייחס לאבטחת מידע מבחינת Hosting לאלו שיש להם אתרים על שרתים משותפים (Shared). החלק השני מדבר על שרתים וירטואליים ופיזיים וזה גם החלק המיועד לאנשים היותר מקצועיים)

כיום, בעידן האינטרנט, אנשים רבים, ארגונים, חברות, עמותות וכו' רוצים ומעוניינים בייצוג באינטרנט. אתר שישקף את הפעילות של אותה חברה/עמותה/ארגון ויש גם אנשים רבים המעוניינים לשתף תחושות, תמונות, וידאו וכו' באינטרנט. לשם כך כמובן קיים האינטרנט ורבים מחפשים (ומוצאים) אנשים שיבנו עבורם את האתר שהם רוצים. הם מוצאים להם חברת אחסון אתרים (בחלק מהמקרים בונה האתר הוא גם זה שמאחסן את האתר, שזה בהתחלה נשמע מפתה, עד שמבינים שאם מחר יש לך סכסוך עסקי עם בונה האתר, האתר שלך הוא "בן ערובה", אם לא סגרת את העניין בחוזה ביניכם), וכך תוך זמן קצר (יחסית) יש להם אתר באינטרנט, כאשר מרבית האתרים הקטנים נמצאים על שרתים משותפים.

לצערי, אחד החלקים הכי קריטיים בבניית אתר נשכח אצל אנשים וחברות רבות והוא עניין אבטחת המידע. אנשים וחברות סבורים במקרים רבים כי מי שבונה את האתר הוא מי שיאבטח אותו וזו טעות רצינית. בוני אתרים רבים אינם מבינים כמעט כלום בכל הנוגע לאבטחת מידע, שהוא תחום לא קטן, מסובך להפליא לעיתים ומחייב עדכון ידע מתמיד מבחינת שפות תכנות, אפליקציות, מערכות הפעלה, טכנולוגיות וכו'.

כאשר בונה אתרים בונה אתר, המחשבה שלו (ברוב המקרים לפחות) היא לבנות ללקוח את מה שהלקוח מבקש. הלקוח מבקש דף כזה, גרפיקה כזו, בסיסי נתונים וכו', ובונה האתרים יושב ובונה (או מעתיק… מדהים כמה העתקות יש) את מה שהלקוח רוצה, כאשר עניין האבטחה לא תמיד נמצא בעדיפות הראשית(אם זה כתוצאה של חוסר ידע באבטחה או בגלל סיבות אחרות). הלקוח מאשר את האתר, האתר עולה לאוויר, בונה האתרים מוסיף שינויים שהלקוח מבקש וכולם מרוצים בסופו של דבר.

…עד שפורצים לאתר של הלקוח, וכשהלקוח רואה דברים כמו Defacement הוא לא ירגע כל כך מהר. סביר להניח שהוא יקח את הפריצה באופן אישי ואי אפשר לדעת מה אותו לקוח יחליט לעשות. נכון, במקרים רבים יש גיבוי ואפשר לשחזר ואין ממש נזק מבחינת תוכן, אבל בכל זאת, זה לא נעים. במקרים אחרים יש פריצות יותר חמורות כאשר מישהו מבחוץ קורא את כל בסיס הנתונים או משנה אותו, וגם אז המצב לא נעים, במיוחד אם יש נזק.

אז מה מומלץ לעשות? הפתרון פשוט אך לפעמים יקר: למצוא מישהו שמבין טוב באבטחת מידע כדי לסרוק את האתר שלך ולתת לך טיפים. אם האתר שלך נכתב "ידנית" ע"י בונה אתרים, אפשר למצוא אנשים ו/או חברות שיעשו עבורך "סריקה" על הקוד של האתר שלך, מה שנקרא בעגה המקצועית Code Audit. אם בונה האתר משתמש בפלטפורמת בניית/ניהול תוכן כמו Joomla/Drupal/WordPress או ניהול חנות וירטואלית עם אפליקציות כמו oSCommerce או Magneto לדוגמא, אז צריך לבדוק שגרסאות האפליקציה הם האחרונות, שהדטהבייס מוגדר להרשאות שצריך בלבד (ולא לתת לכל העולם ואחותו אפשרות יצירה/עריכה/שינוי/מחיקה/grant וכו', טעות שרבים עושים), שההרשאות בתוכנה נכונות וגם בקבצים עצמם. אלו דברים שחשוב מאוד שיבדקו, כי ברגע שהאתר של הלקוח באוויר, יהיו המון נסיונות פריצה.

נקודה נוספת וחשובה מאוד שבעלי אתרים לא מודעים אליה היא עניין העדכונים: זה שהאתר פועל כיום והוא יחסית מאובטח, זה טוב, אך פריצות חדשות מתגלות כמעט בכל יום, וחייבים לעדכן את הפלטפורמה של האתר ולבדוק כי דברים לא השתנו מרגע שפורסם שיש עדכון אבטחה לפלטפורמה שהלקוח משתמש בה עד העדכון. זו אחת הסיבות העיקריות מדוע אתרים רבים נפרצים: איש לא עידכן את הפלטפורמה, פורץ ניסה את הפירצה שפורסמה (הן תמיד מתפרסמות) והופס – יש לו גישה לאתר, מכאן והלאה הכל תלוי בפורץ ובתחכום שלו.

בעלי אתרים רבים (המאחסנים את האתר בשרתים משותפים) מצפים שחברת אחסון האתרים תגן עליהם במקרה של פריצה לאתר שלהם אולם חברות אחסון האתרים לא יכולות לאבטח. הן יכולות לאבטח את השרתים הפיזיים, אך חברות האחסון לא יקחו שום אחריות לאתר של הלקוח עצמו. זה לא שווה להם מבחינה כלכלית, ואין להם את המשאבים לבדוק מה כל לקוח מכניס לאתר שלו, איזה קוד וכו'. יש להם מערכות שיגנו במידה מסויימת אם האתר של הלקוח "משתולל" מבחינת צריכת משאבים, אך בכך מסתכמת בד"כ ה"הגנה" בשרתים משותפים.

לסיכום: אם אתה בעל אתר והאתר מאוד חשוב לך, בין אם האתר פרטי או מסחרי, כדאי לחשוב גם על עניין אבטחת מידע ועל כך שאחת לתקופה שאותו אחד שיתן לכם את אבטחת המידע יעדכן את הפלטפורמה ויבדוק שהכל תקין ומאובטח.

החלק הבא: על אבטחת שרתים.

כמה מילים לגבי פרשת ענת קם

יצא לי בימים האחרונים לקרוא מה שיונתן כתב על פרשת ענת קם והעיתונאי אורי בלאו. גם ב-YNET הקדישו מספר מאמרים בנושא. רון בן ישי מציג כמה דברים נכונים: כולם יוצאים רע מהסיפור: גם השב"כ שניסה עם צו פרסום להסתיר את כל למה שהעולם ואחותו יודעים על הפרשה כבר מס' חודשים, "הארץ" שלא החזירו את המסמכים ולך תדע מי עיין/מעיין בהם..

וענת קם…

אני בהחלט יכול להבין מנקודה עיתונאית חשיפת דברים מרעישים: הנה מקרה בו צה"ל מתעלם מהחלטות בג"צ ומחליט לחסל מבוקשים במקום לעצור אותם (יהונתן כתב על כך למכביר). עוד נקודה עיתונאית חשובה היא שבצה"ל אבטחת מידע היא כנראה ברמה כזו ירודה, שחיילת יכולה להיכנס, ולהתחיל להוריד מסמכים בחופשיות, לצרוב אותם ולהציג אותם על מחשבים אזרחיים בלי שום בעיה. (אגב, למרות שצה"ל די שפוט של מיקרוסופט, יש גם בשרתים של מיקרוסופט, החל מ-Windows Server ועד Share Point כלים לחסום העתקת קבצים, להגביל גישת צפיה, הדפסה או שמירה גם לפי כתובות IP, אבל מצד שני למעט ביחידות כמו 8200, עובדה ידועה היא אבטחת המידע היא בדיחה).

אבל בשביל להוכיח נקודות מסויימות, אין צורך באלפי מסמכים. מסמך או שתיים או שלוש יכולים בהחלט להדגים שצה"ל, לכאורה, "עוקף" את החלטות בג"צ, או שאבטחת המידע היא ברמה ירודה. עיתונאי טוב יכול לכתוב כתבה ארוכה על הנושא ואפשר להוסיף צילומי מסמכים לכתבה והנקודה תהיה ברורה לכל קוראי העיתון. דבר זה נעשה בעבר אלפי פעמים וזהו בסיס העיתונאות: חשיפת שערוריות.

אבל ענת קם לא הסתפקה בכך, ואם נלך לפי המאמר ב-YNET לדוגמא, נגלה מס' נקודות שערורייתיות מאוד:

  1. במהלך שרותה של ענת בפיקוד מרכז מ-2005 עד 2007, היא העתיקה מסמכים  ובסיום שירותה היא צרבה את כל המסמכים ל-CD שאותו לקחה לביתה.
  2. מה ענת עשתה עם ה-CD לפי הכתבה? העתיקה אותו למחשב שלה. אני מניח שהמחשב שלה הוא Windows ואני גם מניח שהיא לא מומחית גדולה באבטחת מידע עם פיירוול עצבני ואני לא כל כך בטוח שלגברת יש עדכוני אבטחה אחרונים ממיקרוסופט, כלומר מישהו עם כוונות זדוניות שהיה יכול לדעת על מעשיה של הגב' היה יכול לחדור בנקל לתוך המחשב ולהעתיק את הקבצים החוצה מבלי שהיא תרגיש בכלל.
  3. מה קרה לאחר מכן? ענת ניסתה לעניין עיתונאים שונים לגבי החומר שברשותה עד שיצרה קשר עם אורי בלאו והעבירה לו את המסמכים כולם. מה עם ה-CD? משום מה, קשה לי להאמין שענת גרסה אותו (רק לידיעה: אפשר לשחזר נתונים מ-CD גם אם ישברו אותו ל-3-4 חתיכות או ישרטו אותו, הכל עניין של כסף, ציוד מתקדם והשקעה בשיחזור).
  4. מה היה במסמכים? מתוך הכתבה: "המסמכים, ברמות סיווג שונות, כללו בין השאר תוכניות מבצעיות של צה"ל (לרבות כאלו שעדיין לא מומשו), פקודות מבצעיות של המטכ"ל, סיכומי הערכות מצב ופגישות בין גורמים מבצעיים בכירים, סדרי כוחות של הצבא, ידיעות מודיעין רגישות, סיכומי תרגילים, מסמכים לגבי תורת לחימה ואמצעי לחימה, תפיסות הפעלה של הצבא, תוכניות מגננה של פיקוד המרכז ותוכניות להתמודדות עם התלקחות בשטחים", כלומר כל מה שחמאס, חיזבאללה ושלל גורמים אחרים היו משלמים הון עתק להשיג בכל דרך שהיא, ישב כך על CD ללא כל הצפנה. קח, תפעיל וורד, תפתח, תקרא.

גם אורי בלאו לא בדיוק יוצא טלית שכולה תכלת: מסתבר שאורי היקר השאיר את המסמכים במחשב שלו. הוא הצהיר שיש לו 50 מסמכים, ובחקירה שחקרו את ענת התברר שיש לו 2000 מסמכים. להחזיר אותם? לא, הוא לא החזיר. הם יושבים שם בלתי מוצפנים, ואם זה מחשב נייד, אני לא רוצה לחשוב על הסכנה…

אז כן, השב"כ בהחלט יצא מטומטם עם צו איסור הפרסום. צה"ל יצא יותר מטומטם עם חורים שאפשר להעביר דרכם מטוסים כשזה מגיע לנוהלי אבטחת מידע (הקטע שצה"ל עוקף בג"צ כבר כולם שכחו, אבל החמאס נזכר היום לסחוט את הלימון הזה עוד קצת לטובתו)

גם ב"וואלה" וגם ב"הארץ" הופיעו כתבות המראות כאילו ענת קם היא "שעיר לעזאזל", "קדושה מעונה" ושלל סופרלטיבים, אבל היא לא כזו. אחת שגונבת 2000 מסמכים סודיים ביותר רק בשביל לנקנק לצה"ל את הצורה, היא האחרונה שאפשר לרחם עליה. הבחורה עשתה זאת מתוך מודעות ואולי מתוך נקמה בצה"ל, אך כעומק רצון הנקמה (אללק חשיפה עיתונאית. חה!), היא הצליחה לדפוק לעצמה מחסנית ברגל ואל יתפלא איש אם בית המשפט יזרוק את ענת לכלא לכמה שנים טובות, ותהיה הגנתה אשר תהיה.

אם יש אחת היום שאני ממש לא מרחם עליה ובז לה – זו ענת קם, ובמידה מסויימת גם לאורי בלאו.

חלונות 7 ו..”אבטחה”

image כידוע לקוראים, מאז שמיקרוסופט שחררה את חלונות 7 (ב-22 לאוקטובר), “מפמפמים” אנשי המכירות של מיקרוסופט את חלונות 7 כ”הדבר” הבא: מערכת הפעלה מהירה כ-שד ויציבה עם ממשק משתמש משופר, מאובטחת מאוד חזק וגם כוללת מנגנונים שלא מאפשרים חדירה בלתי מורשית. מיקרוסופט ממש יוצאת מכליה להדגיש כמה המערכת מאובטחת הן לחברות (שעדיין מסרבות לשדרג מ-XP הן בגלל הסיוט שנקרא “ויסטה” והן בגלל המצב הכלכלי כיום) והן למשתמשים הביתיים.

החבר’ה ב-Sophos החליטו לבדוק כמה אמינות יש לאבטחה של חלונות 7 ולשם כך הם התקינו את חלונות 7 בהתקנת ברירת מחדל, בלי שום תוספות ושום דבר, ולאחר מכן הם זרקו על המחשב עם חלונות 7 כ-10 סוגי וירוסים, תולעים ושאר מרעין בישין. התוצאה? 7 מתוך 10 וירוסים ותולעים נכנסו חופשי למערכת, 1 נעצר ע”י ה-UAC, ו-2 לא הצליחו לחדור. מסקנה: גם עם חלונות 7 אתה צריך איזה אנטי וירוס טוב ולהגנתה של מיקרוסופט יאמר כי הם מציינים זאת.

מצד שני, מיקרוסופט שחררה לאחרונה חבילת אנטי וירוס שלהם הנקראת Microsoft Security Essentials שקיבלה דווקא תוצאות יפות מאוד מבחינת זיהוי וירוסים, ובבחינות של av-test.org (גוף עצמאי הבודק תוכנות אנטי וירוסים), הם נותנים לתוכנה ציון טוב מאוד.

אז מה? לזרוק את קספרסקי, AVG, נורטון והחברים? לא כל כך מהר..

הסיפור הולך כך: עבדכם הנאמן התקין את חלונות 7 וגם את הפתרון אנטי וירוס שיש למיקרוסופט על הנטבוק (1000HE של ASUS) ואחרי מס’ ימים נתקלתי בהתנהגות מוזרה: המחשב “קופא” כל כמה דקות למשך מס’ שניות וממשיך. מבט מהיר ב-Task Manager מראה שיש איזה תהליך בשם msmpeng.exe והבעיה הזו איך אומרים אצלנו.. כבר גידלה זקן ופיאות עוד מהימים שהתוכנה בגלגול הקודם היתה נקראת “One Care”, ולמיקרוסופט, כמו תמיד: כשזה מגיע לתוכנה חינמית, אין קול ואין עונה בתמיכה. המקסימום שהם מוכנים לאמר: “התהליך מתנגש בתהליך אחר”. וואלה? באמת? שיו אני בהלם! אוקיי, במה התוכנה מתנגשת? את זה במיקרוסופט לא אומרים. בתכל’ס אני יכול להרוג תהליך תהליך (או שרותים) ולבדוק ובכך לשרוף כמה שעות טובות, אבל מה יעשה המשתמש הממוצע שאין לו ידע מעמיק בחלונות? חוץ מלהתלונן, לא הרבה.

לפיכך, אותן תוכנת אנטי וירוס (הן כאנטי וירוס עצמאיים או כחבילת הגנה) עדיין יש בהן צורך. מה שמיקרוסופט נותנת הן ברמה הבסיסית שבבסיסית, ואלו לא ממש יגנו על מחשבכם מכל מיני חולירות. עדיף לרכוש חבילת הגנה טובה (אישית אני מוצא את חבילת ההגנה של קספרסקי מעולה) במחיר של כמה עשרות דולרים לשנה ולא לסמוך על הפתרונות שמיקרוסופט שלסמוך עליהן אינו פתרון טוב.