01-04-2007, 00:04
|
|
חסום
|
|
חבר מתאריך: 13.03.04
הודעות: 1,502
|
|
אתה שואל שאלות טובות... ויש עליהם תשובות - אנשים בוחרים דברים ש"פשוט עובדים",
ומסתכלים על השכן.
סיבה נוספת היא שדברים עשויים היטב דורשים השקעה גדולה יותר, בכל ההיבטים, וזה
אומר צורך להשקיע יותר כסף.
נכון להיום אין שום חוק שיקנוס חברות בכל מקרה של "רשלנות פושעת" בכל הנוגע בטיפול
במידע רגיש כמו מספרי כרטיסי האשראי, מספרי זהות וכדומה.
בהעדר פחד לעונש רציני כתוצאה מגניבת הנתונים הרגישים מעדיפים הרבה מאוד חברות
ללכת בדרך הפשוטה והזולה ביותר בכל הנוגע לשמירת מידע רגיש. בהרבה מאוד מקרים
חברות לא מגלות לציבור את דבר הגניבה ומנסות בכל דרך אפשרית להסתיר את הדבר,
ובהרבה מאוד מקרים הם עצמם כלל לא מגלים את הפריצה או שמגלים אותה אחרי שנים
כמו במקרה הזה.
ד"א אם תקראו על המקרה הזה בעיון תראו שהפריצה התגלתה במקרה, אחרי שהעובדים
שמו לב ליישום חדש שהותקן בשרת, שהם לא יידעו מהו. החברה טוענת שנגנבו נתונים
ישנים מלפני 4 שנים, אבל מי יכול באמת להיות בטוח שכך הדבר?
אבל מה שהכי חשוב ללמוד מהמקרה הוא שאנו רואים שהפריצה לא ממש הזיזה להנהלת
החברה - הם ממשיכים בעסקים כרגיל, ככל הנראה עם אותו שרת מייקרוסופט.
לגבי הצפנת בסיס הנתונים - הוא לא שווה כלום ברשת לא מאובטחת, כי אין פתרונות קסם.
אחרי הכל העמדות חייבות לגשת לבסיס הנתונים וזה אומר שהן חייבות לקבל גישה למפתח.
אז מה בדיוק שווה ההצפנה החזקה ביותר אם "פורץ" יכול להחדיר סוס טרוייני לאותה עמדת
חלונות דרך IE, OUTLOOK, MS OFFICE (או בעוד אלף דרכים אחרות) ולמשוך את הנתונים?
ורק להזכירך שגם שרת הנתונים של מייקרוסופט MSSQL סבל, ואני די בטוח שעוד סובל
מבעיות אבטחה, כאלה ואחרות, כמו רוב מוצרי מייקרוסופט האחרים.
סיבה נוספת היא רמה נמוכה של מנהלי רשתות בסביבה המייקרוסופטית, דבר שמשווק
תחת מותג "קלות הניהול". תגידו כמה מורי ספורט ובעלי מקצועות אחרים שלא קשורים
למחשבים אתם מכירים שעשו קורס והפכו ל"מקצוענים מדופלמים" לסביבת מייקרוסופט?
אני בטוח שאם תחפשו תמצאו בשפע. עכשיו תבדקו כמה חברים כאלה תמצאו שפתאום
הפכו למקצוענים בסביבת GNU/LINUX או UNIX? אני עוד לא מצאתי אפילו אחד.
ההבדל ברמת הידע בתחום מחשבים עושה את כל ההבדל. מחשבים לא לומדים בקורס
ערב של שנה או אפילו שנתיים, ולא כל אחד מתאים להיות מנהל רשת או מומחה לאבטחת
המידע.
אני בטוח שעם חקיקה מתאימה חברות שלא ישאר בידם אלא להגן על הלקוחות, לא יחפשו
דרכים לחסוך על חשבון ביטחון הלקוח, כי זה ממש לא ישתלם להם וגם לא אמור להישתלם.
אז אנו נראה מערכות מאובטחות באמת, ונשמע פחות על המקרים כאלו של גניבת מידע
על הלקוחות, ואני בטוח שגם יהיה הרבה פחות מקרי גניבה כאלה.
ובינתיים כל עוד אין חקיקה מתאימה בנושא נמשיך לסבול מזה. והנה סיפור אמיתי לסיום:
לא מזמן הייתי אצל אחד הלקוחות של החברה, משרד עורכי דין מנתניה. התבקשתי
להתקין תוכנה לשליטה מרחוק כדי שחברת תוכנה תוכל לתת תמיכה טכנית מרחוק.
התקנתי את התוכנה, כולל מודול הצפנה חזקה, פורט אקראי וסיסמא אקראית.
אלא ש... בחברת התוכנה דרשו להסיר את ההצפנה, כי הם לא מוכנים להחזיק מפתחות
הצפנה נפרדים לכל לקוח והתלוננו על הסיסמא האקראית ודרשו להחזיר את הפורט התיקני,
כך שהם לא יצטרכו להתאמץ - וגם לא אנשים שירצו לפרוץ.
בסוף סיכמנו שתוכנה לשליטה מרחוק לא תפעל באופון קבוע אלא רק לפי בקשת החברה,
ותיסגר מיד לאחר מכן, וזאת רק כי לא הייתי מוכן לשום דבר פחות מזה, אבל בחברת התוכנה
נשארו מאוד לא מרוצים מזה, "כי אצל כל הלקוחות שלהם עובדים בצורה כזאת והכל בסדר".
נזכיר שמדובר בחברה שעובדת מול משרדי עורכי דין.
במקרה מדובר בשרת שכולל בתוכו את כל תיקי הלקוחות שלהם, אבל הדבר לא היה ממש
שונה גם אם היה מדובר בכל מחשב אחר ברשת שלהם - כי ניתן לגשת לכל המסמכים מכל
מחשב ומחשב.
ואחרי זה אתם מתפלאים איך מידע רגיש אודותכם מוצא את דרכו לכל אחד... תוסיפו לזה גם
שתומך טכני פשוט יכול בלי שום בעיה לגשת למידע במחשבי הלקוחות של החברה, כך במקרה
הזה כל תיקי הלקוחות בלי כלל להתאמץ ותבינו את גודל הבעיה.
|
ראשי
צ'אט
מצב כלאיים
