מכיוון שפוסט זה נכתב עבור פורום אבטחת מידע, אני רוצה להתחיל בנקודה ששותפים לה רבים (ורבות) כאן: כיצד הגעתם לתחום אבטחת מידע? חלק קטן הגיעו דרך קורסים בגלל ששמעו שבתחום מרוויחים לא רע, אולם חלק גדול מהמשתתפים החל את דרכו בתחום כ"פורץ" (Hacker) וליתר דיוק "מאתגר מערכות": ישנה מערכת X ואותו בחור מעוניין לדעת איך היא עובדת, מה החלקים השונים עושים, אם משנים כל מיני הגדרות ופרמטרים – מה קורה? כך לומדים, מתנסים ומתקדמים ובמיוחד – יודעים בדרך זו להגן על דברים. (יש כמובן חלק מהאנשים שלוקחים את זה לכיוון ה-Black Hat).
אתרים רבים בארץ, גדולים כקטנים, מוגנים בצורות שונות ע"י האנשים, המחלקות והטכנולוגיות השונות שקיימות. אתרים קטנים בד"כ יסמכו על חומת אש תוכנתית פשוטה ואולי שרות CDN ש"ימסך" חלק מההתקפות, בשעה שבאתרים גדולים בד"כ משקיעים יותר בתשתיות, פתרונות יקרים ומתוחכמים יותר ועוד, אולם לצערי אתרים רבים בארץ (כולל אתרים מסחריים) לוקים בחסר בכל מה שקשור לפרסום Section של אבטחת מידע. אינני מתכוון לפרסום כיצד האתר מוגן, אלא למי לפנות אם מוצאים פריצה. אתרים שונים, לדוגמא, מחביאים זאת אי שם במסמך הענק של תנאי השימוש ולך תעבור על ערימת סעיפים כדי לדעת איך בכלל ליצור קשר. באתרים אחרים יש איזה טופס למלא שדרכו אי אפשר לשלוח כמעט שום מידע טכני (כי הגדירו כמות קטנה של אותיות ב-FORM או שדף ה-FORM אפילו לא מצליח להיות מרונדר בצורה נורמלית בדפדפן עדכני).
ומה קורה שמצליחים לשלוח מידע על פריצה שקיימת? זה משתנה. בחלק מהמקרים אולי יתייחסו להתרעה ואולי אפילו יחזירו "תודה" במייל, בחלק מהמקרים זה יתגלגל אי שם לאיזה תומך שאין לו מושג ירוק מה עושים עם זה ולבסוף הוא יתעלם ולא יעביר הלאה, ובחלק מהמקרים (שאפשר למצוא אותם בפורומים בתפוז) חברות מעדיפות "לשסות" עו"ד בפונה ולאיים עליו בצורה מרומזת.
מכאן נעבור לנושא אחר שרבים מעדיפים לא לדבר עליו למרות שהוא חי ותוסס גם במדינתנו: ריגול עסקי.
חברה X שיש לה אחיזה רצינית בשוק מימים ימימה מתכוננת לקראת כניסת מתחרה חדש. חברת X תשמח "להציץ" בתוכניות השיווקיות של המתחרה, והם ימצאו את הדרך לרמוז למישהו בחברה שירמוז לחבר שלו שישיג את המידע. הכל ברמיזות וקריצות, ללא שום תיעוד ואם אותו "חבר" ישיג מידע – הכסף יועבר בצורה סיבובית. אם הדברים יסתבכו, תמיד יהיה אפשר להעיף מישהו בדרג הזוטר החוצה תוך הכחשה גורפת שחברה X ניסתה לרגל. חס ושלום! (וכמובן, אם זה יעבור דרך המחלקה המשפטית, מישהו כבר יוסיף איום מרומז לעיתונאי החטטן שאם משהו יפורסם, החברה "תעשה חושבים" בקשר לתקציבי הפרסום בעיתון שבו עובד אותו עיתונאי).
הבה נסתכל על אותו "חבר" שרוצה לפרוץ. איך הוא בעצם יעשה זאת? לא, סביר להניח שהוא לא יחפש פורטים פתוחים (זה בין כה סגור ע"י חומת האש), הוא לא יחפש להתקיף את השרת ב-DDOS (אנחנו בישראל, קל מאוד לנתק תקשורת של DDOS שמגיעה מחו"ל ועוד יותר קל לנתק נקודות שמשתתפות ב-DDOS ישראלי). הוא יחפש איך להשתמש בשרתים שלכם שפתוחים לציבור (אלו השרתים שנמצאים ב-DMZ) ובשרותים שרצים עליו – בין אם זה IIS או NGINX או Apache או כל שרת Web אחר. הוא יחפש לבדוק מה ה-Application Server שאתם משתמשים וינסה את חורי האבטחה הידועים לגבי אותם שרותים – על השרתים שלכם. הוא ינסה לבצע SQL Injection, ינסה לשחק עם פרמטרים ב-URL וינסה עוד שיטות רבות. אם הוא חכם, הוא כמובן לא יבצע זאת מהמחשב האישי שלו, אלא ישכור אצל אחד הספקים בארץ או בחו"ל VPS וינסה זאת משם, אולי הוא גם ישתמש בשרותי PROXY שונים כדי להחביא את כתובת ה-IP שלו. הוא מבחינתו רוצה להשיג מידע וכמה שיותר – כי בשבילו זה כסף. הוא ה-Black Hat הקלאסי.
נעזוב לרגע את אותו "חבר" ונסתכל על התשתית שלכם מבפנים. כמה חברות שוכרות שרותי Auditing לבצע בדיקת קוד מבחינת אבטחה? לא הרבה. הרוב סומכים על המתכנתים שלהם שיכתבו קוד מוגן. בוא ננסה לבצע תרגיל פשוט בחברתכם: יש לכם מספר חומות אש? בצעו login לחומת אש שלא נכנסתם אליה מספר חודשים. יש סיכוי לא רע שתמצאו חוק או 2 שיגרמו לכם להרים גבה. עתה, פנו לאיש היוניקס/לינוקס שלכם או לאנשי הסיסטם מיקרוסופט שלכם ובקשו שיכתבו סקריפט קטן שיחפש בלינוקס קבצים עם הרשאות 777 (או ב-Windows הרשאות Full Control ל-Everyone). יש מצב שהסקריפטים שלהם יפלטו רשימת תיקיות וקבצים כאלו. מדוע? כי בדיוק כמו החוקים המפתיעים שאולי גיליתם, לעיתים מפתחים או מטמיעים (גם אנשי סיסטם) מנסים לקצר תהליכים, לפתור במהירות. הבוס לוחץ, מחלקת השיווק לוחצת, כולם על הראש שלו אז הוא לא הגדיר הרשאות ספציפיות והוא שם Full Control/777 – העיקר שיעבוד. מה לגבי השלכות של אבטחת מידע? שאלה מצוינת. אותו דבר קורה עם חומות אש כשמישהו שם "ל-2 דקות" חוק שמאפשר כניסה מה-DMZ ל-LAN "להעתיק לרגע קובץ מאוד חשוב", והרגע הזה נמתח (כי ההעתקה בוצעה אבל מה שציפו לא קרה/לא עבד) ולבסוף שכחו להעיף את החוק הזה.
זה מה שבדיוק אותו "חבר" מחפש, וכשהוא ימצא – הוא בהחלט ישתמש גם ישתמש בכך לשאוב מידע, מה שבא – ברוך הבא.
נחזור לאותו בחור White Hat שמצא פירצה באתר שלכם. זוכרים את הריגול התעשייתי? אם אתם חברה מסחרית, סביר להניח שיש גם יש מי שיתעניין במידע שלא פרסמתם (כולל אלו שמעוניינים "לדפוק קופה" על מידע פנימי, מניות בבורסה וכו'). אם יהיה לכם באתר חלק שהוא קל לקריאה, מעוצב בצורה נוחה וקלה לשימוש – והכי חשוב: שהמידע יגיע ישירות לאדם הנכון/המחלקה הנכונה (ולא ל"תמיכה") – המידע הזה יהיה שווה עבורכם הרבה, ואפשר כאות תודה לתת לאותו White Hat איזו תשורה קטנה, אולי איזה שובר רכישה של כמה מאות שקלים כמתנה (החברה לא תיפול מזה). כך תקבלו גם מידע שיעזור לכם להגן בצורה יותר טובה על המידע שלכם מצד אחד, ומצד שני תכירו בחור שאולי יוכל לעזור לכם בעתיד (נניח לבדוק גירסה חדשה של אתר/מוצר). שתי הצדדים מרוצים, דבר מעולה, לא?
גוגל, פייסבוק, אמזון, אפל, HP, IBM וחברות רבות מוכנים לשלם אלפי דולרים תמורת גילויי פריצות אבטחה (יאהו קמצנים – כשמישהו לאחרונה העביר להם מידע על בעיית אבטחה – הם נתנו לו שובר .. של 18$!). אני מתקשה להאמין שחברות בארץ יאמצו את הרעיון אבל לדעתי משהו כמו שוברים דווקא יכול להצליח. אם מישהו נותן לכם מידע על בעיית אבטחה, אפשר לקחת את זה בצורה טובה ובונה. ההשקעה מצד החברה בבניית Section כזה היא השקעה קטנה, אבל בטווח הארוך היא שווה לחברה כספים רבים.