על אבטחת מידע בקצרה

מבוא – The World Wide Web ‏(WWW‎) מאז שנולדה רשת האינטרנט, בתחילת שנות ה- 80 היא הפכה לרשת הגדולה בעולם, ואפשר לומר, גם היחידה שאינה מצנזרת את חופש הדיבור, הכתיבה, היצירה והביקורת. לטוב וכמובן שגם לרע.

רשת האינטרנט המכונה גם כאוטוסטרדת המידע מפרסמת לרשות הרבים כמויות אינפורמציה אדירות שלא פעם עוברות בצורה גסה על חוקים ומשפט במדינות רבות כגון: חוק הגנת יוצרים, חוק הגנת הפרטיות ועוד.

ברשת האינטרנט ניתן למצוא מידע אינפורמטיבי, גרפי, תצלומי, מקטעי וידאו ואודיו. ניתן ללמוד אסטרונומיה, פילוסופיה, אומנויות לחימה ואף כיצד לבנות פצצות אטום וכל זאת כמעט בטרם הספקתם ללחוץ על העכבר או המקלדת.

עם ההתחברות לאינטרנט כל אחד יכול להיות כל אדם הגולש באינטרנט, משוחח ב- AOL, Messenger או IRC (Internet Relay Chat). כל אחד יכול לבחור את זהותו ולהתחזות למי שרק ירצה ולרשויות החוק המקומיות די קשה לגלות את זהותם האמיתית של מפרי חוק רק על פי כתובתם באינטרנט (כתובת IP).

התפתחות מדית האינטרנט הפכה לכלי יעיל ואף נוח גם לארגוני טרור שמעבירים מסרים באופן חסוי למשטרה או לעיתונות וגם לנערים ונדליסטים שמעוניינים להזיק לאתרי אינטרנט של חברות לא אהודות.

פורצי המחשבים או מי שמכונים על פי רוב האקרים (שעל סוגיהם נדון בהמשך)
עתירים בידע כגון: תקשורת נתונים, שפות פיתוח, מאגרי מידע, חולשות של מערכות שונות וכדומה, ואינם בוחלים באמצעים כדי לתפוס שליטה מרחוק על המערכות שאותם הם תוקפים.

על מנת להסתיר את זהותם, האקרים רבים יטשטשו את עקבותיהם לאחר שהשיגו שליטה על המערכת ע"י מחיקת קבצי התראות (Log Files), שתילת דלתות אחוריות (Backdoors) ושינוי הגדרות של השרתים המותקפים כגון שרתי Proxy.

איור 1: בכל יום מותקפת המטרה העיקרית ע"י מחשב ביניים בכדי לטשטש את עקבות הפורץ.

עולם המחשבים השתנה באופן דרמטי בשלושים השנים האחרונות, בשלבי שנות ה- 70 רוב המחשבים היו מרוכזים ומנוהלים במקום אחד תוך הקפדה על נעילת חדרי המחשוב.

הקישוריות לאתרים אחרים מעבר לאותו מרכז מחשוב הייתה יוצאת דופן והסכנות שהיו מצויות באותה תקופה על מערכות המחשב היו ידועות וקלות יחסית להתמודדות.

עולם המחשבים של היום, מאז שנות ה- 90, מתנהל אחרת ומתמודד עם איומים רבים וקשים יותר מבעבר. הפתרונות מורכבים ודורשים ידע רב ביישום והבנה של טכנולוגיות מורכבות. מערכות רבות מקושרות לאינטרנט ולרשתות נוספות כגון: חברות בת, ספקים וסניפים הפרושים ביבשות מרוחקות ולמעשה כל העולם מקושר מארה"ב, אירופה אסיה ואוסטרליה.

המלצות בעבר היו להקפיד לא לרשום את סיסמאת הכניסה למערכת על נייר ולהניח אותו על השולחן או המחשב בכדי למנוע מקרים של גניבת סיסמא ע"י עובד הנקיון או עובד אחר בארגון, אולם היום פורץ מחשבים יכול לתקוף את המערכת מקצהו השני של הגלובוס.

האינטרנט איפשר אתגר אלקטרוני לגנבים שתרים אחר דלתות וירטואליות פתוחות. מנהלי מערכות מידע נדרשים להבין את האיומים העומדים בפניהם, מה הסיכון והמחיר של האיומים הללו ובאילו פעולות עליהם לנקוט על מנת להקטין ככל הניתן את רמת הסיכון לדליפה, זמינות או שינוי מידע השמור על המדיות המגנטיות של ארגונם.

אבטחת מידע הינו נושא מורכב ובעייתי. אחת הבעיות המרכזיות בתחום זה היא שככל שאנו נגביר את רמת האבטחה של הארגון כך גם נקשה על המשתמש הפשוט (העובד) לבצע את מטלותיו הכרוכות בעבודה מול מחשב(ראה ציור 1.1) עם זאת, תוך הבנה ברורה שאין דרך לספק את כל מאה האחוזים של ביטחון מפני פריצה ועל כן, יש לשקול את צעדינו ולתכנן היטב את מבנה המערכת וההגנה עליה.

לא פעם נתקלתי בחברות שהעמיסו על שרתי האינטרנט שלהם כמות אדירה של חומות הגנה המבוססים על טכנולוגיות שונות שהאטו באופן משמעותי את הביצועים של אותן מערכות ואף גרמו לכריסת מערכות מיחשוב ע"י הגזמה בסגירת שירותים במערכות ההפעלה וזאת ללא תועלת ברורה.

אחראים על תחום אבטחת המידע מצויים בפאניקה תמידית ולא פעם נוקטים בצעדים מיותרים כגון רכישת כמות מוגזמת של מערכות אבטחה כדי להגן על עמדתם בארגון וכך מבזבזים את כספי החברה. באחד מהפרוייקטים הגדולים בתחום המסחר האלקטרוני בהם השתתפתי נלקחה חברת יעוץ חיצונית שתסייע בהקמת תשתית מאובטחת לזירת המסחר הוירטואלית. חברת הייעוץ הקימה תשתית מאובטחת ו"דחפה" עשרות מוצרי אבטחה לפרויקט. מנהלי מערכות המידע של זירת המסחר "קנו" כמובן את כל המלצות היועצים וכשאלו נשאלו מדוע בחרו להטמיע מוצר אבטחה דווקא היכן שבחרו, השיבו היועצים "אז איפה לשים?", והמוצר המיותר שב למדף משווקיו מאחר שהיה מיותר לארגון ולפרוייקט המדובר.

דוגמאות כאילו ואחרות מאוד פופולאריות כשמדובר בתחום אפור שבו אין גבולות ברורים ואין וודאות מוחלטת. על כן, אבטחת מידע בארגון חייבת להיות מתוכננת היטב ומכוונת לצרכי הארגון.

איור 2: היחס בין רמת הנוחות לרמת האבטחה.

נקודות למחשבה שיש לקחת בחשבון לפני הקמתה של תשתית אבטחת המידע בארגון:
• מהן נקודות התורפה של הארגון?
• איזה מידע מוגדר כרגיש?
• איזה מידע אנו מעוניינים לחשוף ואיזה לא?
• האם שינוי של המידע עשוי לפגוע בעסקי החברה או במוניטין?
• איזה מידע יהיה לנו קשה לשחזר?
• איזה מידע חשוב שיהיה זמין לציבור או לעובדי הארגון ומתי?
• איזה מידע לקוחותינו לא היו מעוניינים שיפורסם לשאר הציבור? ועוד.

רק לאחר שקילה ממושכת ומדוייקת שבה נבין שזמינות ושלמות הנתונים/המידע המקורי הם אכן מה שאנו צריכים ולגבי איזה חלקי מידע, נוכל לתפור פתרון אבטחה הולם.

מסמך זה הנו קצה הקרחון לעולם אבטחת המידע. אין בכוונתי להעמיק ולהתמודד עם כל מגוון תחומי האבטחה ואף לא לסקור את כולם. אולם לתת דגש על נקודות קריטיות לארגונים ולהבין את מהות החשיבות באבטחה יעילה, ובכדי לעשות זאת אדון בנושאים בסיסיים וחשובים כגון: מי הם התוקפים ומהם השיטות הנפוצות לתקיפה, מה הם הסיכונים שעומדים בפנינו כאשר אנו מעוניינים להגן על מערכות המחשוב בארגונינו, ואילו טכנולוגיות עשויות להקשות על ההאקרים כאשר הם מעוניינים לחדור למידע רגיש לנו.

מסמך זה לא ידון במוצרים ספציפים ולא יערוך סקירה השוואתית בין מוצרים מאחר שמוצרים וטכנולוגיות משתנים כל הזמן. במסמך יינתנו דוגמאות טכניות מעטות תוך התייחסות לפלטפורמות מיקרוסופטיות המסייעות בהגנה על הבעיות שעולות מתוך המסמך.

בעבר הלא רחוק מירב הסכנות הסתכמו בוירוסי מחשב, גניבת סיסמאות ואולי החשש ממשתמשים בעלי רקע מועט במחשבים שעשויים להזיק לשרת המרכזי וגם להם בארגונים גדולים בדרך כלל הגישה לחדר מחשב הייתה מוגבלת. אני זוכרת שבמקום העבודה הראשון שלי השרת המרכזי הייה מלא אבק והונח ליד חלון המשקיף לים, כשממש לצידו השיר עלעליו עציץ ירקרק לתפארת. מאיזו סיבה שעד היום לא ממש ברורה לי היה לי דחף לא מוסבר להזיז את הגרוטאה שמכערת את הפינה הירוקה במשרד ועל כן פשוט נתקתי את המחשב מהחשמל והנחתי אותו במחסן.

במשך יום שלם ניסינו להבין מדוע אף אחד בארגון לא יכול לבצע את עבודתו מול המחשב. כמובן שכשהשרת המאובק נמצא במחסן התעלומה נפתרה (כולנו מתחילים באיזו נקודה…). בארגונים ממוחשבים רבים בעיקר בסדרי גודל קטן עד בינוני לא היו חדרי מחשב והשרתים המרכזים שלהם היו מונחים במקומות פינתיים ונגישים לכל עובד.

בעידן האינטרנט והמסחר האלקטרוני הסיכונים העומדים בפני מנהלי מערכות המידע ובפני הארגון כולו יותר מגוונים ומסוכנים. ההדבקות בוירוסי מחשב גדולה בהרבה מבעבר. בשנות ה- 80 החשש העיקרי מוירוסי מחשב התבטא בעיקר בהעתקת קבצים באמצעות דיסקט או דרך רשת . LAN בתחילת שנות ה- 90 חלקנו כבר נחשפנו ל- BBS ולרשתות WAN.

כשבסוף שנות ה- 90 ועד היום אחוז המנויים לספקי ISPs (אחוז מתחברים לאינטרנט) גדלה בצורה ניכרת הן כמות הצרכנים הפרטיים והן ארגונים שהחתברו לאינטרנט או לרשתות נוספות. כעת הסבירות להדבק בוירוס מחשב גדלה במאות אחוזים, אולם גם הערנות והמודעות של הפרט גדלה. כמובן שכיום בשנות ה- 2000 וירוסי המחשב מהווים רק אחוז מכלל הסכנות העורבות למאגר הנתונים שלנו.

בכל יום יותר ויותר אנשים נעשים תלויים במידת מה במחשב האישי שלהם ומנהלים את סדר יומם דרכו אם באמצעות דואר אלקטרוני, יומן אלקטרוני, מסמכים הנשמרים על המחשב ועוד. וניתן להדבק בוירוסים על ידי גלישה באינטרנט, העתקת קבצים מכל מדיה, קבלת קובץ המצורף לדואר אלקטרוני, הורדת קבצים מהאינטרנט ולא פעם גם משחקים.

ניתן לחלק את הסיכונים שאורבים לנו באינטרנט למספר קטגוריות מרכזיות (כמובן שרשימה זו הנה חלקית ביותר).