יום רביעי, מאי 06, 2009

ביזיון ושמו אבטחת מידע

היום מפורסם דוח מבקר המדינה כאשר חלק מהסיעיפים מדברים על נושאי אבטחת מידע ,

תשובה שמאוד הפתיעה אותי איתה תשובת ביטוח לאומי :
"המערכת לא הופעלה משום שחטיבת אבטחת המידע לא נערכה מבחינת דרישות חומרה עבור המערכת שהחולט לרכוש - הכוננים הקשיחים לא היו מספיק גדולים."
האם ברור לכם שהמוסד שחולב מאיתמנו כסף לא מסוגל לרכוש כוננים או להחזיק אנשי IT שיודעים להשתמש ב gzip ?
מניסיון אישי תעבורה יומית של 1.2 ג"ב של טקסט יורדת ל120 מ"ב.
אני די בטוח ששוב פעם מדובר בדרג הניהולי ולא הטכני אבל התשובה פשוט לא מכבדת אף אחד.

ההבדל פה הוא שהמוסד היה צריך לרשום את השאילתות שהמשתמשים שלהם מריצים (כן כן שורות SQL פשוטה ) ,
אינני יודע כמה שאילתות מבצעים העוסקים אבל אני באמת לא מאמין כי מדובר ב10 מיליון שאילתות ביום.

כל זה בנוסף יש את דליפת הנתונים היומים ממאגר האכלוסין וכולנו מחכים למאגר הזיהוי הביומטרי ,
אתם באמת מאמינים כי תיהיה אבטחה ? שמשתמשים לא מורשים לא יתחברו למערכת (כדאי לקרוא את הדוח בשביל לראות כי היו חיבורים ממשתמשים מתים או כאלה שהיו בחו"ל).

בדרך האנשים אומרים מה יש לי כבר להסתיר ? האם יש מישהוא שמוכן שנפרסם עליו ועל משפחתו את הפרטים האישים שלו ?
האם אתם באמת מאמינים בצורה עיוורת לרשויות ? האם אתם מאמינים בטוב ליבם של העובדים ? או אולי שלא יהיו גניבות זהות , שימוש בפרטים לרע או אפילו מסירת פרטיכם לכל המרבה במחיר (או אפילו בחינם ?).
כל זה והמאגר הביומטרי באה עלינו לטובה...

מכיוון שלי אישית יש אהבה לתחום (אבטחת מידע) החלטתי לכתוב תקציר על מה שקורא באקדמיה ,
כזכור לכולם חוזקה של המערכת היא כחוזק הנקודה החלשה ביותר בה (לא זוכר של מי הציטוט).
לא צריך להיות מיטניק בשביל לדעת שהנדסה חברתית עובדת ושבישראל קיימת תרבות הסמוך (יהיה בסדר , אף אחד לא יעשה זאת).

המערכות שאיתן עבדתי הינן רק מערכות שהיו לי שמות משתמש וסיסמאות שלי (כלומר מלתחילה היתה לי הרשאה) -
ומה שעשיתי זה פשוט להציג מה כל משתמש כמעט ללא כל ידע יכול לקבל (כל המידע ניתן באמצעות אחת מהמערכות האקדמיות אני פשוט מרכז את המידע).

במערכת האקדמית בארץ יש שימוש במערכות הבאות :

משל"ס
תקשוב - High Learn
מכלול 2000

שלושת המערכות הללות הינן פתח לאיבוד הפרטיות ופתח לצרות :
מכיוון שהמערכות לא עובדות בצורה נורמלית אנשים נדרשים למצוא פתרונות תוכנה בשביל להתחבר למערכת ולהשתמש בה,
לא תשובתו של עובד מכללה שיש מחשבים אחרים שבהם מערכת עובדת לא תגרום לכך שאני אנהג מרחק של 20 ק"מ בשביל לבדוק אילו בקשות סטודנט אישרו ואילו לא , אני אחפש פתרונות באינטרנט או שאני אכתוב קוד שיפתור לי את הבעייה.

הכל נובע מהעובדה כי המערכות בנויות בצורה שמבזה את המשתמשים ודורשת מהם להשתמש בפתרונות עקומים בשביל לקבל שירות.

באמצעות קריאה (View Source) של הדפים ומעבר על הקישורים.
גיליתי כי ניתן לגלות את הפרטים הבאים על כל אדם הלומד במוסד :

שם פרטי ושם משפחה , שם משתמש , אימייל , תעודת זהות , כתובת , מצב משפחתי .
היסטוריות כתובת , מעברים כספיים למוסדות (כמה , מתי , באיזו צורה).

גיליון ציונים , כלל כל הבחינות שהאדם עשה (סריקות) , בקשות סטודנט , עבר רפואי (במידע והוגשו אישורים ) ,
היסטורית השאלות וחיפושים .

הקבצים האישים של כל סטודנט (התיקייה האישית של המשתמש) , התחברות בשמו למערכות המייל , גישה למייל האישי של כל סטודנט (ג'מייל לדוגמה) תודות לעובדה שמרבית האנשים משתמשים בסיסמאות זהות למספר מקומות , גישה למערכות האישיות חוץ אקדמיות (פייסבוק , לינדקין וכו') - הכול בעקבות שימוש באותה הסיסמה.
העובדה כי חלק מהסטודנטים משתמשים בשירותי המייל של המוסד ניתן בקלות להגיע להמון מידע אישי של כל סטודנט.

כל אדם בעל הרשאות סטודנט מקבל גם את פרטי כל המרצים :
מספרי זהות , שמות פרטיים ומשפחה , כתובת , אימייל , מוקומת בהם המרצה מלמד (קמפוסים).

לא צריך להיות גאון מחשבים או מתכנת תותח פשוט צריך לדעת פרל בסיסי (אני לא מכיר שפה יותר פשוטה שיודעת לעבוד עם מחרוזות בצורה פשוטה) ניתן לבצע זאת אפילו באמצעות סקריפט באש בסיסי.

אכשיו אדם שנפל שאיננו מבין דבר במחשבים ישאל נו אז היה לך שם משתמש וסיסמה מלתחילה אז מה ?

הבעיה היא שאין שום צורך להיות אדם מהמוסד האקדמי (סטודנט , עובד) באמצעות כלי המערכת הבסיסי tcpdump (או wireshark לעצלנים שבינכם) ניתן לחכות שמישהוא בתוך הרשת הפרטית יתחבר למערכת מכלול 2000 בשביל לשלוף את שם המשתמש שלו ושם הזהות שלו (תודות לעובדה שהכל נשלח ב plain text ) .

לאחר שהאדם קיבל גישה למערכת ניתן באמצעות ידע בסיסי ב ldap או הבנה פשוטה על איך להגדיר פנקס כתובות (Kadderssbook , Thunderbird,outlook ) יוכל לשלוף את כל המשתמשים הקיימים במערכת (אם מחפשים רווח הרשת מחזיר את כל הכתובות).

אוקי אז קיבלנו את כל המידע על כל הסטודנטים מה הלא ?

ייתכן ואדם ינסה להשתמש במערכת של העובדים האקדמים (עובדי המוסד) שוב פעם מדובר ששולח מידע בצורת plain text
אינני יודע אילו פעולות ניתן לבצע ע"י עובד במוסד אבל גם אם תיהיה גישה למערכת למזכירה או למנהל הרשת לשניהם קיימים הרשאות שבאמצעותם ניתן לשלוף מידע (לערוך ולשנות).

ולא זה שיש רשתות שונות זה לא פותר את הבעיה :
תודות לעובדה שברשתות הפנימיות אין הצפנה או שימוש בהזדהות לפני התחברות לרשת (אינני יודע עם זה אפשרי טכנית לחסום ברמת הethernet) אדם שיש לו כבל רשת פשוט ויתחבר לרשת יקבל את כל המידע שעובר עד הנתב הראשון.

במילים אחרות גם חלוקה לרשתות לא ממש תעזור בגלל שאדם בעל ידע בסיסי לא ישתמש ברשת במעבדה במקרה שהוא לא מצליח לקבל נתונים אלא ישתמש ברשת הפיזית של הדיקאנט / מנהל / משרדים ההסיבה היא שיש הפרדה פיזית בן הרשתות פשוט יחברו כבל רשת או שימוש בhub בסיסי מאחורי אחת ממדפסות הרשת / מזכירות / אנשי ניהול וכן הלא ,
בצורה הזאת איש גם לא יעלה עליו.

המסודות הבאים סובלים מהבעיה : (חיפשתי בגוגל את מכלול 2000) סמי שמעון , מכללת צפת , מכללת לוינסקי , מכללת אוהלו , מכללת רופין , מכללת שנקר , מכללת גורדון , המכללה האקדמית נתיניה , , מכללת הגליל המערבי , מכון לנדר ירושלים , מכללת בצלאל , מכון מופת הרשימה עוד ארוכה פשוט אין לי כוח לרשום יותר.

לכולם פרט לסמי שמעון לא התחברתי (כי אין לי סיסמה וזה לא יהיה בסדר מצידי).

אם אתם לומדים באחד המוסדות הללו תיידעו אותם או תתחילו להזהר באיזה מידע אתם מוסרים למוסד האקדמי שלכם ,
ולא מסירת פרטים כלשהם לאגודת הסטודנטים , מנהל הסטודנטים לא באמת מוגן הכל אבל הכל חשוף (מספרי רשיונות , מספרי רכב וכן הלאה) כל מה שמאוכסן חשוף.

נ.ב.
1) ייתכן ופיספסתי עוד פרטים שניתן לשלוף אתם מוזמנים לצרף , כל נתון שהסטודנט רואה זה נתון שניתן לשלוף.

לא Active Directory ו FireWall לא יעזרו לכם כי אלו פשוט פתרונות אחרים לדברים אחרים ,
אם לא ברורים לכם הבעיה בלהחזיק שרתי telnet למשתמשים שמתחברים למכונות unix על תופתעו כשיש בעיות ,
אם אתם לא יודעים איך לעבוד עם ldap או samba או אפילו משהוא פשוט כמו למה משתמש מבצע view source זה הבעיה האישית שלכם פשוט הגיע הזמן שתלמדו על
security by obscurity.

4 תגובות:

  1. כתיבה לעניין בוריס.
    אבל, אני לא חושב שזה ישנה שם משהו.
    המערכות האלו נכתבו כלאחר יד במקרה הטוב.

    השבמחק
  2. בוריס,

    יותר ויותר, הדרישות הנמוכות שיש לבתי-התוכנה מעצמם, גורמות לי להתבייש.

    כישראלים, אנחנו מייצאים טכנולוגיה לכל העולם. בתור אחד היעדים המועדפים על ילדי סקריפטים וכל פנאט שמאלני ברחבי העולם, היינו אמורים להיות הרבה מעבר לשטויות האלה.

    האם יש סיכוי שתעביר את הפרטים האלה אל החברות, כך שאולי הן תחלטנה לתקן את הקוד. ולו-רק בשביל הגאווה הלאומית שהולכת פייפן?

    תודה על הכתיבה, ושבת שלום!
    דותן

    השבמחק
  3. שלחתי לחברה ולמוסד האקדמי את הפרטים - והתקיימה פגישה שגרמה לי להבין שפשות אין עם מי לדבר.

    החברה (ואני מבין אותם) טוענת כי האשם הוא המוסד והמוסד טוען כי אלו מוצרי מדף ולא ניתן לשנות אותם.

    השבמחק
  4. בוריס,
    תתקן את שגיאות הכתיב בפוסט.

    קורא = קורה
    וכו'

    השבמחק