בימים אחרונים פרשת התוכנה ה״מתחכמת״ של קונצרן VW עושה גלים בתקשורת ובדעת הקהל העולמי. העניין כנראה יותר מסובך ממה שהיה נראה בהתחלה וממה שכותבים בעיתונים לא כלכך זר לתעשיית הרכב העולמית. זה אינו המקרה הראשון של ״תרמית״ בעולם של יצרני הרכב ושלא יהיה לכם ספק, לא מדובר בטעות או בעובד שסרח, אלא במחלקות שלמות ועובדות על ה״פרוייקט״ וכנראה שיש תאום (הרי אלו בד״כ ארגונים מסודרים עם נהלים ומסמכים) בין מחלקות שונות. בטוח התקיימו ישיבות גם על החלק השיווקי/תדמיתי/כספי כמו כן על החלק התפעולי/פיתוחי. בקיצור, זאת שיטה, לא טעות. אבל לא על זה אני רוצה לדבר.
אני רוצה להתייחס לנקודה שבה אנחנו קונים מיצרן מוצר/שירות ובד״כ סומכים על המוניטין שלו ועל אמינות שלו ובד״כ מתיחסים לציוד כ״מאומן״ (Trusted הלועזי נשמע הרבה יותר מוכר וטוב) מבלי לתת יוצר מידי חשיבות לעד כמה באמת אנו סומכים עליו.
למשל, אם היה מתגלה שאחת מחברות אבטחת מידע היתה מכניסה תוכנה דומה לזו של VW אשר יודעת לזהות כאשר המוצר נמצא בבדיקות קבלה/עומסים/סטנדרטיזציה ומשנה את הגדרות מערכת על מנת להציג תוצאות טובות יותר על חשבון בטיחות, אני מניח שזו היתה רעידת אדמה בתחום.
עכשיו, זה שעד עכשיו זה לא קרה זה לא אומר שאין כזה דבר, פשוט יכול להיות שעדיין לא תפסו אותם על חם, בנוסף, גם אם יש כזאת תוכנה והיא פועלת, לכם כמשתמש אין הרבה דרכים להתגונן בפני פגיעות כזאת מכיוון שמדובר בקוד שבד״כ נעול.
אבל, לא הכל שחור. דעתי בנושא היא ״In god we trust, everything else should be verified״. מילים כמו Vendor recommended,default security profile,admin,default services כתבותו IP שמוגדרות במכונה במפעל כמו שרתי dns ו ntp בד״כ חייבים לקבל התייחסות מיידית על ידי מתקין/מתפעל המערכת. תמיד חשוב לזכור שלך וליצרן שממנו רכשת את המוצר יש אג׳נדות וסדרי עדיפויות שונים.
הדוגמה הכי בולטת תמיד היא מדיניות הIPS - קנית IPS ואתה לא רוצה ״לבזבז״ זמן (וכסף לאינטגרטור), הרי יש לך default policy! יש שם כל מיני חתימות ומסומנים בכל מיני צ׳קבוקסים, ומה שנשאר הוא לשייך אותו למקום הנכון - פשוט וקל! ממש לא, בד״כ, החוקות/פרופילים הללו לא מגיעים לחצי מהיכולות אמיתיות של המוצר שרכשתם ומותאמות למצב של PoC או בדיקות ביצועים. כך שנוצר מצב מוזר של אתם שילמתם עבור דבר, וקיבלתם אותו במלואו, אך המשתמשים בחצי ממנו. מה שיותר חמור, הוא שאתם בד״כ חושבים שאתם מוגנים (הרי קניתם את המוצר הטוב בקטגוריה), כשבפועל אתם לא.
מומלץ להקצות יותר זמן לטובת הפעלת המוצר/פתרון ולהתאים את כל אותם דברים שציינתי, לא לסמוך על הקשחת הציוד ע״י היצרן, אלא לעבור בעצמכם על על אותם דברים כמו פורטים פתוחים,מדיניות משתמשים, החלפת תעודות self-signed (ואם אפשר גם תעודות שסופקו על הציוד) בתעודות שחתומות על ידי גורם מאומן,בדיקה ושינוי במידת הצורך של הגדרות הצפנה (ssl בפרט), שינוי כתובות שרתי dns וntp, להגביל הרשאות גישה של אותו מוצר/פתרון רק לשירותים נחוצים (כגון עדכני תוכן דינמי וגרסאות תוכנה) וכו׳...
זהו, כרגיל, להרבה אנשים אני לא מחדש פה הרבה, אבל יש כאלה שלא ידעו, וכאלה שידעו ושכחו או שככה, התעייפו בדרך (:, אבל עדיף לעבוד קצת יותר קשה בהתחלה, מאשר להתפס עם המכנסיים למטה...
זהו,
הרבה זמן לא כתבתי, וזאת בגלל כל מיני דברים שאכלו לי את הזמן, חלקם טובים, חלקם פחות.
אני בזמן אחרון מתעניין בעולם של זחלנים בשלט רחוק וכנראה שהפוסט הבא יהיה לא קשור לעולם אבטחת מידע, אלא בצעצועים וגאג׳טים (כמו שאני אוהב).
אני רוצה להתייחס לנקודה שבה אנחנו קונים מיצרן מוצר/שירות ובד״כ סומכים על המוניטין שלו ועל אמינות שלו ובד״כ מתיחסים לציוד כ״מאומן״ (Trusted הלועזי נשמע הרבה יותר מוכר וטוב) מבלי לתת יוצר מידי חשיבות לעד כמה באמת אנו סומכים עליו.
למשל, אם היה מתגלה שאחת מחברות אבטחת מידע היתה מכניסה תוכנה דומה לזו של VW אשר יודעת לזהות כאשר המוצר נמצא בבדיקות קבלה/עומסים/סטנדרטיזציה ומשנה את הגדרות מערכת על מנת להציג תוצאות טובות יותר על חשבון בטיחות, אני מניח שזו היתה רעידת אדמה בתחום.
עכשיו, זה שעד עכשיו זה לא קרה זה לא אומר שאין כזה דבר, פשוט יכול להיות שעדיין לא תפסו אותם על חם, בנוסף, גם אם יש כזאת תוכנה והיא פועלת, לכם כמשתמש אין הרבה דרכים להתגונן בפני פגיעות כזאת מכיוון שמדובר בקוד שבד״כ נעול.
אבל, לא הכל שחור. דעתי בנושא היא ״In god we trust, everything else should be verified״. מילים כמו Vendor recommended,default security profile,admin,default services כתבותו IP שמוגדרות במכונה במפעל כמו שרתי dns ו ntp בד״כ חייבים לקבל התייחסות מיידית על ידי מתקין/מתפעל המערכת. תמיד חשוב לזכור שלך וליצרן שממנו רכשת את המוצר יש אג׳נדות וסדרי עדיפויות שונים.
הדוגמה הכי בולטת תמיד היא מדיניות הIPS - קנית IPS ואתה לא רוצה ״לבזבז״ זמן (וכסף לאינטגרטור), הרי יש לך default policy! יש שם כל מיני חתימות ומסומנים בכל מיני צ׳קבוקסים, ומה שנשאר הוא לשייך אותו למקום הנכון - פשוט וקל! ממש לא, בד״כ, החוקות/פרופילים הללו לא מגיעים לחצי מהיכולות אמיתיות של המוצר שרכשתם ומותאמות למצב של PoC או בדיקות ביצועים. כך שנוצר מצב מוזר של אתם שילמתם עבור דבר, וקיבלתם אותו במלואו, אך המשתמשים בחצי ממנו. מה שיותר חמור, הוא שאתם בד״כ חושבים שאתם מוגנים (הרי קניתם את המוצר הטוב בקטגוריה), כשבפועל אתם לא.
מומלץ להקצות יותר זמן לטובת הפעלת המוצר/פתרון ולהתאים את כל אותם דברים שציינתי, לא לסמוך על הקשחת הציוד ע״י היצרן, אלא לעבור בעצמכם על על אותם דברים כמו פורטים פתוחים,מדיניות משתמשים, החלפת תעודות self-signed (ואם אפשר גם תעודות שסופקו על הציוד) בתעודות שחתומות על ידי גורם מאומן,בדיקה ושינוי במידת הצורך של הגדרות הצפנה (ssl בפרט), שינוי כתובות שרתי dns וntp, להגביל הרשאות גישה של אותו מוצר/פתרון רק לשירותים נחוצים (כגון עדכני תוכן דינמי וגרסאות תוכנה) וכו׳...
זהו, כרגיל, להרבה אנשים אני לא מחדש פה הרבה, אבל יש כאלה שלא ידעו, וכאלה שידעו ושכחו או שככה, התעייפו בדרך (:, אבל עדיף לעבוד קצת יותר קשה בהתחלה, מאשר להתפס עם המכנסיים למטה...
זהו,
הרבה זמן לא כתבתי, וזאת בגלל כל מיני דברים שאכלו לי את הזמן, חלקם טובים, חלקם פחות.
אני בזמן אחרון מתעניין בעולם של זחלנים בשלט רחוק וכנראה שהפוסט הבא יהיה לא קשור לעולם אבטחת מידע, אלא בצעצועים וגאג׳טים (כמו שאני אוהב).
אין תגובות:
הוסף רשומת תגובה