אבטחה מביכה - קופסה שחורה - הבלוג של לביא לזרוביץ - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

אבטחה מביכה

הפאדיחות הכי גדולות של ענקיות כמו אפל ומיקרוסופט בתחום אבטחת המידע מעלות חששות רציניים אודות העובדה שמחדלים כאלו מתרחשים בחברות כל כך גדולות שבידיהן כמויות עצומות של מידע אישי ויקר ערך כמו כרטיסי אשראי, תמונות וכו'

בור שנפער בשכונת מגורים בלוס אנג'לס,  אתמול
MARK RALSTON/אי־אף־פי

יש רגעים שבמקום לבכות או לנהל את המשבר, אתה פשוט מתחיל לצחוק. זה קורה לכולם. וזה בעיקר קורה כאשר זה לא אתה ששבר את הוואזה בבית של החבר, כשזה לא אתה שעשה drop בטעות למסד הנתונים בפרודקשן או זה שהעלה את כל הקוד של המוצר לריפוזיטורי פתוח בגיט-האב.

העניין הוא, שלטעויות, קטנות ומצחיקות ככל שיהיו, יש מחיר כבד כאשר הטעויות הן קשורות בצורה כזו או אחרת לאבטחה של נתונים או מערכות. ובכל זאת, אחרי שהתעשתנו, הבאנו מטאטא ואספנו את כל הרסיסים של הוואזה או שחזרנו את מסד הנתונים, אפשר וצריך לשבת להרהר, לתחקר וקצת לצחוק כל עוד כולם יצאו בריאים מהאירוע הטראומתי. זה תהליך בריא שמאפשר לנו (או לפחות לי באופן אישי) להתמודד עם הטראומה וללמוד ממנה. האמת היא, שמאירועים טראומתיים שיצאנו מהם בשלום ואפילו עם חיוך אנחנו לומדים אפילו יותר. לכן, עם שלל התובנות לעיל החלטתי לקבץ מספר אירועים מהתקופה האחרונה הקשורים באבטחת מידע, שניתן לומר שהיו טראומתיים ואתם תחליטו אם הם מעלים על שפתותיכם צחוק, חיוך קל או גיחוך גיקי.

תפוח ללא סיסמה

ב-28 בנובמבר 2017, משתמש של אפל צייץ הודעה די תמימה שהציתה אש בקרב משתמשי החברה ובשדה הקוצים שהוא כמובן השדה בו מתעמתים משתמשי אפל וווינדוס, בין היתר על איכות ואבטחת מערכת ההפעלה.

ציוץ - דלג

בחור הקורא לעצמו בטוויטר lemiorhan, הבחין שכאשר הוא נדרש לבצע פעולה שדורשת הרשאות גבוהות על מחשב ה-Mac שלו, הוא פשוט יכול להקליד את שם המשתמש - root בשדה המתאים וללא סיסמה ללחוץ Enter והוא מקבל את ההרשאות הנדרשות. בציוץ, התמים למראה, שאל @lemiorhan את התמיכה של אפל אם הם שמו לב לבאג הקטן הזה, שמאפשר בעצם לכל אדם עם גישה פיזית ובמקרים מסוימים עם גישה מרחוק (APPLE REMOTE DESKTOP) לקבל הרשאות root ולהשתלט על ה-Mac הפגיע.

איור 1 - כל מה שצריך לעשות כדי לקבל הרשאות זה רק ללחוץ unlock
צילום מסך. לביא לזרוביץ

אפל מצדם הגיבו במהירות והוציאו עדכון תוכנה לגרסת מערכת ההפעלה הפגיעה (MacOS High Sierra) ביום שלמחרת (29.11.17), שמתקן את השגיאה הלוגית שמצא lemiorhan. "עכשיו מה מצחיק פה?!", הפגיעות עצמה זה מה שמצחיק. אפל עצמה וכמובן כל ענקיות הטכנולוגיה מציגות פיתוחים חדשים לתהליכי הזדהות מבוססי זיהוי פנים ומנגנונים מתקדמים להגן על זהות המשתמש והפרטיות שלו. ובסוף, מספיק להקליד root בלי סיסמה כדי לעקוף את כל הפיתוחים הטכנולוגים המרשימים האלו. זה כנראה גם מה שעבר בראשו של lemiorhan, שבחר לצייץ בטוויטר את מה שהתברר אחר כך כחור אבטחה ענקי במערכת ההפעלה macOS. הוא ככל הנראה לא האמין שהמקרה המוזר הזה של "תפוח ללא סיסמה" הוא אכן באג שחושף מיליוני מכשירים ברחבי העולם. אחרת, אני רוצה להאמין, הוא היה מודיע על כך לאפל בצורה חשאית, או באמצעות Bug Bounty Program ומאפשר להם לעדכן את מערכת ההפעלה טרם הפרסום.

מפתח פרטי ציבורי

סוף הסיפור הבא הסתיים בכך שנחשפו 23 אלף תעודות הצפנה (certificates) המשמשות לאבטח בין היתר את התקשורת עם אתרים ושירותים ברחבי הרשת. כתוצאה מחשיפה זו, אולצו אותם אתרים ושירותים שתעודות ההצפנה שלהן נחשפו, להחליף את התעודות תוך 24 שעות. אחרת במקרה הרע, תעבורת הרשת בין משתמשי האתרים והאתרים עצמם היו יכולים להיחשף ועל ידי כך לחשוף מידע אישי, מספרי כרטיסי אשראי וכו'. ובמקרה הטוב, בעת הגישה לאתר המשתמשים היו מקבלים הודעת אזהרה, שככל הנראה היתה מבריחה גם את מי שאינו בקיא ברזי הודעות האזהרה והשגיאה של הדפדפנים.

איור 2 - הודעת אזהרה על תעודת הצפנה מבוטלת בדפדפן ספארי
צילום מסך. לביא לזרוביץ

בתחילתו של הסיפור הזה, גוגל החליטה שהדפדפן כרום לא יסמוך יותר על תעודות הצפנה שהונפקו על ידי Symantec (אותם 23 אלף שלבסוף נחשפו) ויציג הודעה הדומה להודעת האזהרה באיור 2 במידה ותעודה כזו מזוהה. בגוגל טענו שניהול ויצירת התעודות נעשה בצורה לא בטוחה או ראויה. וכאן החל מאבק בין שני ארגונים: DigiCert – רשות תעודות הצפנה (CA - Certificate Authority) הרשאית להנפיק תעודות הצפנה ו-Trustico – מפיץ של תעודות הצפנה. Trustico מכרה תעודות הצפנה של Symantec, ולאחר שגוגל הצהירה שדפדפן כרום לא יתמוך יותר בתעודות אלו, ב-Trustico הוחלט להפיץ תעודות המונפקות על ידי CA אחר – Comodo. לכן, ל-Trustico היה מניע לכך שתעודות ההצפנה של Symantec יבוטלו, דבר שיחייב את החלפת התעודות. DigiCert מצידה, שבינתיים רכשה את התשתית של Symantec לייצור תעודות ומפתחות הצפנה, העדיפה כמובן שמשתמשיה לא יחליפו את התעודות וימשיכו להיות לקוחות של DigiCert.

אז מה כל כך מצחיק בכל סבך הקשרים הזה? הדבר המצחיק והקצת מדאיג הוא שהמנכ"ל של Trustico שלח דואר אלקטרוני ל-DigiCert בו ציין כי 23 אלף תעודות ככל הנראה נחשפו ויש צורך לבטלן במהירות. כאשר ב-DigiCert ביקשו הוכחה לזה, אנשי Trustico שלחו אליהם את המפתחות הפרטיים השייכים לאותן תעודות, שאמורים להיות בחזקת האתרים עצמם בלבד. לאחר שקבלו את המפתחות ב-DigiCert, לא היתה להם ברירה אלה לבטל את המפתחות כי במידה ועד עכשיו אותם מפתחות לא נחשפו, שליחתם באימייל כבר חשפה אותם.

בין אם Trustico פעלו מתוך דאגה כנה ללקוחותיהם ובין אם מתוך אינטרס עסקי, עצם העבודה ש-Trustico החזיקו במפתחות הפרטיים היא הזויה. אני לפחות הייתי מזדעזע אם היה נודע לי שהמנעולן שהתקין את המנעול אצלי בבית, שומר לעצמו עותק של המפתח ושולח אותו בדואר למנעולן אחר...בכל אופן, אחרי שנאספו רסיסי הפרטיות ואבטחת המידע שהתנפצו עם פרסום הסיפור הזה, אפשר לשבת ולהרהר כמה המידע שלנו באמת מוגן ועד כמה ההגנה על המידע והפרטיות שלנו תלויה בקליק אחד מיותר שנלחץ ברגע של "אופס".

המפץ הגדול

ציוץ - דלג

באלו המילים חשף Tavis Ormandy יחד עם Natalie Silvanovich, חוקרי אבטחת מידע בפרויקט Google Zero, בעיית אבטחה חמורה במערכת ההפעלה ווינדוס ובמנוע של Windows Defender המשולב במערכת ההפעלה.

בעיית האבטחה אותה Tavis כינה כ-"crazy bad", מאפשרת הרצת קוד על מחשב שמריץ Windows בגרסותיו הפגיעות – 8, 8.1 ו-10 (מיקרוסופט שחררו עדכון גרסה מאז שפותר את בעיית האבטחה), מבלי שהקורבן יעשה דבר. כל שנדרש מצדו של התוקף המנצל את החולשה שנחשפה, זה פשוט לשלוח דואר אלקטרוני עם קובץ מסוים ולחכות ש-Windows Defender יפתח את הקובץ וינסה לסרוק אותו; בעצם כדי לחפש קוד עוין. התהליך האוטומטי שבעצם אמור להגן על המחשב ומערכת ההפעלה על ידי בדיקה של קבצים טרם שמירתם על הכונן הקשיח או הרצתם, בעצם איפשר הרצת קוד אוטומטית ולא מבוקרת.

בעיית האבטחה הזו חשפה מיליוני מחשבים ברחבי העולם להשתלטות עוינת מידית מרחוק ועל כן החוקרים פנו למיקרוסופט ועדכנו אותם לגבי הפרצה ה"משוגעת" והמביכה. כאן מגיע הקטע המעט קומי בסיפור. כדי להוכיח את הבעיה, שלחו החוקרים מייל למיקרוסופט (secure@microsoft.com) עם הפרטים והקובץ המדגים את הבעיה. אך כאשר הגיע האימייל לשרתיה של מיקרוסופט, הקובץ המצורף ככל הנראה גרם לקריסתו של שרת הדוא"ל ועל כן המהנדסים במיקרוסופט לא יכלו אפילו לקרוא את פרטי הבעיה. לאחר שהתברר הפלונטר, החוקרים הצפינו את הקובץ הבעייתי ושלחו אותו מוצפן יחד עם המפתח לפענוח למיקרוסופט בשנית. לאחר שקיבלו את פרטי הבעיה, המהנדסים במיקרוסופט שחזרו את הבעיה ולאחר מספר ימים שחררו עדכון גרסה שסתם את הגולל על הפרצה שהתגלתה.

במבט לאחור צריך לומר, האירועים האלו היו יותר מדאיגים ממצחיקים. כל אחד מהאירועים האלו חשף בצורה כזו או אחרת את השבריריות של המערכות עליהם אנחנו נסמכים כשאנחנו עושים פעולות באתר של הבנק, או אפילו סתם מעירים את המחשב ממצבו המנומנם. וכמובן שאפשר ללמוד הרבה מהאירועים האלו. בין היתר על הדרך בה ארגונים צריכים, או יותר נכון חייבים, לנהל ולהגיב על גילוי פגיעות חדשה שעלולה לחשוף נתונים או מכשירים של משתמשים רבים. באירועים המתוארים כאן, למרות הבעיות הדי קולוסאליות שנחשפו במערכות ההפעלה של אפל ומיקרוסופט, הניהול והתגובה לגילויים היו יעילים ומהירים. ולבסוף, אחרי שהעדכון שוחרר, המפתח הוחלף והסערה שקטה, זה תמיד תענוג לעבור על הציוצים הציניים, על הטוקבקים (יש לומר תגוביות) הביקורתיים והעוקצניים וכמובן הממים שמציפים את הפורומים השונים בביקורת בונה וחיובית.

הרשמה לניוזלטר

כל הסקירות בזירת הניתוחים של TheMarker - בתיבת המייל שלכם

ברצוני לקבל ניוזלטרים, מידע שיווקי והטבות


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות שאולי פיספסתם

*#