פוסט תגובה על המלצות מערך הסייבר (שירביט)

זזמערך הסייבר הלאומי, הגוף שאמור לרכז את כל עניין אבטחת המידע הממשלתית – פירסם מאמר ובו המלצות לציבור הישראלי בעקבות הפריצה לחברת שירביט.

מי שקורא את הבלוג הזה, יודע שאני לא ממש מחבב את מערך הסייבר ובמיוחד לא את המלצותיו שנראות כאילו הועתקו מהמלצות שפורסמו לפני יותר מעשור, מבלי להתחשב כלל בטכנולוגיות חדשות ובנהלים/המלצות חדשות שפורסמו מאז, ולכן החלטתי לטובת הציבור לעבור על ההמלצות שפורסמו, להגיב עליהם ולפרסם מספר נקודות נוספות עבור אלו שמחפשים לקבל אבטחה קצת יותר רצינית לגבי חשבונותיהם וכו'.

  1. סעיפים 1-3 – ההמלצה הראשונה של מערך הסייבר היא "ההמלצה למי שיודע שצילום תעודת הזהות שלו זלג היא ההמלצה למי שיודע שצילום תעודת הזהות שלו זלג היא להנפיק תעודת זהות חדשה חכמה". כפי הנראה במערך הנכבד שכחו שפרטי זהות כבר דלפו ממזמן עוד מאירוע של דליפת פנקס הבוחרים בגלל הליכוד (וכמובן שאף אחד לא נענש על כך, כנראה שרשות הגנת הפרטיות אינה אקטיבית), כך ששם פרטי, שם משפחה, תאריך לידה ומספר זהות של רוב (אם לא כל) האזרחים – כבר בחוץ. בממשלה, אגב, עדיין לא נתנו את הדעת על כך למרות שעברו 10 חודשים מאז האירוע.
    לגבי הנפקת תעודת זהות חלופית – יש לי 2 הערות:

    1. עדיין לא ידוע מה קורה לגבי טביעות האצבע והמאגר הביומטרי. בפעם האחרונה ששמענו על כך – הגיבוי שלו יושב לו בבזק בינלאומי, כך שכשמספרים לכם שהמאגר "מאובטח" – אני לא ממליץ להאמין לסיפורים הנ"ל.
    2. יש אחד, אולי שמעתם עליו – מבקר המדינה, ויש לו כמה מילים לאמר על התעודת זהות החכמה. ציטוט חלקי: ""התעודה לא מגשימה את תכליתה בנוגע לחיזוק תהליך האימות וההזדהות, ויש למשטרה אחוזי כישלון גבוהים בשימוש בה"". אפילו המשטרה, חסידה לא קטנה של התעודה, מציינת כי ישנם אחוזי כשלון גבוהים.אז תסלחו לי, ההמלצה הזו אינה רצינית. אינני חושב שפיתוח (עתידי) של אפליקציה כזו יעזור הרבה במובן הזה, ויקח זמן רב עד שמשרדי ממשלה, בנקים וגופים אחרים יאמצו את עניין האותנטיקציה העתידית החדשה. כבר היינו בסרט הזה בעבר. לא צריך ללכת רחוק – אתר GOV.IL לדוגמא – עדיין משתמש בעניין תאריך הנפקת תעודת זהות וההוראות לא להשתמש בתאריך ההנפקה כבר נמסרו בשנה שעברה. מישהו עשה עם זה משהו? לא.

שאר ההמלצות:

  • לא ללחוץ על לינק אלא להעתיק אותו ידנית. המלצה לא ממש חכמה!. אם פורץ מאן דהוא שולח לינק למשתמש תמים לכתובת http://1.2.3.4/CrackYourPC.html והלינק לדוגמא נחסם על ידי תוכנת המיילים (כמו Outlook), העתקה של הלינק באופן ידני לדפדפן תפעיל אותו ולכן לא מומלץ להעתיק לינקים באופן ידני.
  • "אין לתת פרטים לגורם המחייג אליכם גם אם יש לו מידע שכביכול קיים בחברה כיוון וייתכן שמדובר במתחזה" – ובפעם המי יודע כמה: הן המשתמש הפרטי והן הארגון צריכים לצאת מתוך הנחה שפרטים ימסרו.
  • סיסמאות ארוכות/מורכבות – אולי כותב המאמר לא השתמש בדפדפן מעודכן זמן רב, אולם כל הדפדפנים המודרניים, כמו Firefox, Chrome, Edge כבר כוללים מנגנון הן ליצירת והן לשמירת סיסמאות מורכבות. עדיף לוותר על ה"יצירתיות" של סיסמאות מורכבות על ידי משתמשים.
  • עניין אמצעי אימות נוסף – אכתוב עליו בהמשך פוסט זה.
  • בדיקת חיובי אשראי: אתם מוזמנים לשוחח עם כל נציגת חברת אשראי שתשמח לספר לכם שרוב הישראלים מתקשים לגבי חיובי אשראי רק כשיש חיובים מבהילים ב-2/10/15 לחודש, עד אז, מי שגנב כסף מהכרטיס – כבר מזמן העביר את הסכום למקום מבטחים (אם כי חברת האשראי תחזיר את הכסף, לאחר תהליך מייגע).
    בעניין זה, אם כבר, לדעתי נחוצה התערבות מצד הרגולטור לחייב את הבנקים וחברות האשראי לשלוח כברירת מחדל (Opt Out) הודעות SMS/פוש על כל חיוב מעל 100 שקלים, גם אם הם נעשו בשקלים ובישראל.

בעניין אמצעי אימות נוסף: לא מעט אתרים מאפשרים אמצעי אימות נוסף כמו משלוח OTP דרך SMS, אולם דרך זו היא בעייתית הואיל ומסננים שונים (תוכנת True Caller לדוגמא) מעבירים הודעות כאלו ל-SPAM והלקוח שאינו מבין בטכנולוגיה סתם יתעצבן שאינו מקבל הודעות. בנוסף -בלא מעט מקרים ישנה בעיה עם מערכת העברת ה-SMS ולמשתמש כלל לא מגיעה ההודעה עם המספר, ולעניות דעתי – זהו פתרון די בעייתי שיש להעדיפו רק כאפשרות אחרונה.

פתרונות יותר טובים אך לא מסובכים יכולים להיות:

  • ברמה ההתחלתית (במקומות שאין מידע מסווג/אישי/פיננסי) – שימוש ב-TOTP כאשר המשתמש יתקין אפליקציית Authenticator (לגוגל, למיקרוסופט יש כאלו, ויש את Authy שמאפשר גישה הן מהטלפון והן מהדפדפן) ויזין את המספר כשהאפליקציה מבקשת זאת.
  • למקומות בהם יש צורך באבטחת תקשורת יותר גבוהה, שימוש במתודות שונות המכוסות תחת FIDO2 Alliance ושימוש במפתחות פיזיים כמו Yubikey המשתמשים ב-Challenge & Response ללא / בתוספת שימוש בסיסמאות בהקשה ידנית. כיום יש מפתחות שניתן להפעיל דרך NFC או חיבור USB באותו Dongle ובנוסף, חברת Yubico שחררה את אפליקציית Yubico Authenticator לכל מערכות ההפעלה לדסקטופ, כך שניתן להשתמש ב-TOTP עם הגנה נוספת של ה-Yubikey.

ארגונים, לדעתי, צריכים להגדיר את הדברים כבר "אתמול", אבל גם במערכת הפיננסית צריכים להכניס דברים כאלו לשימוש והם עדיין לא הוכנסו. כלקוח של בנק לאומי ובנק דיסקונט, אני עדיין יכול להיכנס לחשבונותיי ולעשות פעולות באמצעות סיסמא בהתחברות מבלי לבצע כל הזדהות נוספת במכשיר סלולרי או כל ציוד אחר וזהו דבר די חמור שלדעתי יש לטפל בו בדחיפות. למשתמשים הפרטיים, לעומת זאת – אני ממליץ לכל הפחות להתקין אפליקציות Authentication ולהגדיר איתה MFA לשרותים השונים ואם הבטחון חשוב לכם, לרכוש את המפתח הזה, וכך – גם אם פרטיך דלפו, הפורץ לא יוכל להשתמש בהם לביצוע פעולות.