אבטחת מידע ב"ראיה הוליסטית"

ביום יום, במקצועי האישי, אינני איש אבטחת מידע למרות שזהו תחום שאני מאוד מחבב (במסגרת עבודה זה כאב ראש בלתי נגמר, תודה – לא תודה) ולפעמים אני רואה פתרונות שלעניות דעתי לוקים בבעיות רציניות בהסתכלות הכללית על אבטחת מידע, ב"ראיה ההוליסטית" (מושג שלצערי "נכבש" בגוגל על ידי שרלטני הניו אייג'/מיסטיקה) הפתרונות שמוצעים לא מספקים, לא יספקו, והם אינם מסתכלים על אספקטים אחרים.

אחת מנקודות התורפה הידועות, הן שאנשי אבטחת מידע שונים תמיד חושבים על Windows כנקודות קצה. נכון, ב-Corporate הישראלי Windows בהחלט "שולט", אבל הוא בפירוש אינו היחיד. זה היה נכון פעם, בתחילת שנות ה-2000, אך מאז יש עוד פלטפורמות רבות שגם אם הן אינן בשימוש, הן שם, ליד משתמש הקצה.

אחד הטרנדטים שנכנסו לאחרונה לחברות רבות, הוא מנהג ה-BYOD (ר"ת של Bring Your Own Device) כך שהחברה לא צריכה לממן מכשירים סלולריים מצד אחד, אך היא יכולה להטמיע במכשירים אלו בצורה מאובטחת (כמה שניתן לקרוא לזה "מאובטחת") אפליקציות שונות שקשורות לתשתית החברה, החל ב-Mail, גלישה פנימית בשרתי החברה (Intranet), גישת VPN, גישה לקבצים בתוך הארגון וכו' וכו'.

לשם הפוסט, נניח תיאורתית שאני פורץ מטעם המתחרים של הארגון שלכם. ארגון מתחרה החליט שהוא מעוניין לדעת מה אתם מתכננים, זוממים, מה באמת המצב הפיננסי שלכם, מי הלקוחות שלכם וכו'. בשבילי, כפורץ כזה, ה-BYOD אומר IBMT (ר"ת I Bring My Tools).

בוא נסתכל על מצב המכשירים הסלולריים שיש כיום, ולא חשוב אם מדובר באייפון או במכשיר מבוסס אנדרואיד. מבחינת הקושי לפרוץ את המכשיר, יקח לי בין שניות ספורות למספר דקות. בשבילי, כפורץ, עדיף לי לפרוץ למכשיר של אחד (או יותר) מעובדי החברה. חושבים שעדכוני אבטחה יגנו על המכשיר מפריצה? תחשבו שוב. לא כולם מקבלים עדכוני אבטחה (המצב חמור ביותר בכל מכשירי סמסונג, שם אם בוצע root למכשיר – לא תקבל אפילו עדכון אחד יותר אי פעם, טמטום של סמסונג, ומה לעשות – מכשירים רבים שנמכרים שלא דרך היבואן הרשמי ובמחיר זול יותר מהיבואן הרשמי – נפרצים ע"י החנויות כדי לאפשר SIM זר), ואם אני פורץ מטעם המתחרה שלכם, יש מספיק תקציב לרכוש פריצות שלא נסגרו עדיין. הפריצה עצמה יכולה להתבצע במגוון דרכים – החל בפגישה עם הקורבן ועד לפריצה מרחוק (תלוי במכשיר ובפרמטרים אחרים).

מהרגע שהמכשיר פרוץ, אני "חוגג". אני root על המכשיר של הקורבן ויש לי גישה אל המכשיר מרחוק דרך ה-3G, ושום דבר לא חוסם אותי. חושבים שזה שסמסונג (לדוגמא) משתמשים ב-KNOX ימנע ממני משהו? לוקח 7 שניות לבטל את ה-KNOX (מנסיון – ביצעתי את זה על ה-Galaxy Note 4 שלי), ומהרגע שאני מתחבר למכשיר של הקורבן אני יכול להעלות למכשיר כל כלי שאני מעוניין, בין אם לסרוק את הרשת, לשנות MAC במכשיר, לנסות כלים שונים על כתובות שונות (הנה רמז: מתי עדכנתם לאחרונה את הקושחה של המדפסות הפשוטות שמחוברת ל-LAN ושיש לה גם WIFI?), ובמיוחד לעבוד על ה-WIFI שלכם ולגלות מה הדגם ומה החולשות שלו. אני לא לחוץ בזמן, אף אחד מאנשי ה-IT לא יכול לזהות אותי, בעל הטלפון שברוב מוחלט של המקרים לא יודע שאני "מתארח" על המכשיר שלו, וכל מה שאני צריך זה פשוט לחכות שאותו בעל מכשיר יגיע לעבודה ומשם אני אמשיך הלאה. אני כמובן לא אתחיל להריץ NMAP כי אני בטוח שכלי כלשהו בתשתית כבר יחסום אותי, אני אעבור למצב "ידני". רוב כלי ההגנה הולכים על תבניות (Patterns).

אני כבר מניח שחלק מהקוראים אולי יזלזלו בנקודה, יאמרו שה-WIFI בין כה פתוח רק לאורחים בלי שום תשתית. להזכיר לכם שבמכשיר הסלולרי יש לי גישה ל-MAIL ושאר דברים? ומה בדבר אפשרות שלי מהטלפון לפרוץ למחשבים אחרים בחברה? הם כמובן לא מתחברים למערכת "אורח" ולכן ההשקעה הראשונה שלי תהיה בפיצוח מערכת ה-WIFI שלכם ושוב.. מתי עדכנתם אותה לאחרונה? לא רק את השרת שנותן תקשורת ל-AP, אלא גם את ה-AP.

"ראיה הוליסטית" נכונה מצריכה יותר מאשר כלי כזה או אחר על מנת לחסום אותי. היא מצריכה דברים יותר עמוקים, כמו אבטחה הרבה יותר רצינית על מכשירי הסלולר לדוגמא. אם אני עשיתי root למכשיר סלולרי, המכשיר הזה לא אמור לקבל אפילו ביט אחד יותר מהחברה עד שהדבר יטופל. השרתים הפנימיים אמורים להיות סגורים לכניסה אלא אך ורק עם מפתחות + סיסמא ושינוי פורט כניסה (במקרה של SSH, אני בטוח של-Windows יש פתרון מקביל). עדכוני תוכנה לעולם אינם מספקים (טעות שהרבה ארגונים עושים) ויש להקשיח גם את השרתים הפנימיים שאף אחד מבחוץ לא מגיע אליהם, כי כשהם לא מוגנים, אני כפורץ תאורתי – "חוגג" עליכם. גם בעניין כתובות MAC – אפשר תמיד לזייף ולכן צריך לעבוד עם White List (לינוקסים – אפשר להתחיל עם זה, ול-Windows אפשר להתחיל עם זה).

נקודה נוספת שקשורה ל"ראיה הוליסטית" היא טעות שאנשי אבטחת מידע רבים עושים (ולעיתים, להגנתם אציין, ההחלטה מגיעה מלמעלה): הם מחליטים לחסום שרותים שונים. אין גישה מהבית, אין גישה ליוטיוב, אין גישה לפייסבוק, אין גישה ל-1001 שרותים שונים. למה? לא בא להם, הם בטוחים שזה חור אבטחה, הם בטוחים שאין צורך בכך – תהיה הסיבה אשר תהיה.

huawei-E2130-UltraStick-Wireless-3G-21Mbps-SD-modemללכת ב"ראש" הזה, תמיד יגרום למשתמשים מסויימים לחפש פתרונות עוקפים. חושבים לחסום Add Ons של כרום? אהלן וסהלן, עם כרומיום ניתן לעקוף את זה ב-2 דקות. חוסמים אפשרות של חיבור מהבית? תכירו את ה-UltraStick דגם E2131 של Huawei לדוגמא. קצת יקר (בסביבות 160$) אבל הוא נכנס לתוך כל כניסת קורא כרטיסי SD ואליו מכניסים NANO-SIM. עם זה כל מה שהמשתמש צריך לעשות זה להגדיר את פורט ההאזנה של תוכנת השליטה (ויש ערימות כאלו) לחיבור 3G ושלום על ישראל, הוא עקף את ה-Firewall שלכם. עכשיו לכו תחפשו את זה אם בכלל תדעו על כך.

כלומר לעקוף את אבטחת המידע תמיד אפשר, לא חשוב כמה איש אבטחת מידע הוא חכם, תמיד יהיה מישהו חכם ממנו.

לכן, החלטות כאלו חייבות הידברות ולהגיע לפתרונות. פוחדים מפריצה? סדרו פתרון שיתן גישה כלשהי לדסקטופ (גם למצבים שהעובד חולה/בחופשה, אם צריך. אין לי כח לספור כמה פעמים הייתי צריך להגיע ללקוחות כדי לסדר תקלה פעוטה רק כי איש אבטחת המידע חסם הכל, אבל בדרך גם השאיר פריצות בדברים אחרים שנושאת מטוסים היתה יכולה להיכנס דרכם!). בעיות רוחב פס בגלל יוטיוב/מוסיקה? תנתב את זה ל-ADSL, היום זה זול לאללה.

לסיכום: אני ממליץ לצאת מהראש של קופסאות/תוכנות/סקריפטים. אלו הם כלים ותכנון נכון ומתחשב יכול להוביל לאבטחת מידע טובה ורצינית. מומלץ לחשוב יותר על הראש של הפורץ מאשר לזרוק פה ושם פתרון והכי חשוב – להגיע להסכמות עם המשתמשים. אם תלכו רק לפי נוהלים שהוכתבו מראש, ו"ראש בראש" מול המשתמשים – תהיו בטוחים שתהיו חשופים.