27-07-2007, 11:58
|
|
|
|
חבר מתאריך: 03.01.02
הודעות: 2,577
|
|
|
"סודי ביותר"? לא ממש-דיון על אבטחת המידע בצה"ל
לאחרונה נתקלתי בכתבה הבאה:
http://news.walla.co.il/?w=/4/1143524
היייתי רוצה לפתח דיון על הנושא, יש לזכור כי יש להקפיד על נהלי ביטחון שדה.
דעתי האישית בהתייחס לכתבה הנ"ל:
תחילה, אל תשכחו שמדובר בארגון בסדר גדול עצום וככל שהרשת גדולה יותר קשה יותר לאבטח אותה אבל זה לא פותר את הצבא להתחמק מאחריות!
למרבית האירוניה הצבא שלנו מצטיין בלכתוב מסמכים הקשורים ל-Security Policy ותקני אבטחה ופחות בליישם ולאכוף.
אז נכון שיש הפרדה פיזית ולוגית בן דומיינים ורשתות בסיווד "סודי" ,
סודי ביותר" וכו' , ונכון שיש מחלקות שלמות של אבטחת מידע בממר"מ ובח"א ומרכזי ניטור ובקרה אבל זה הכל טוב ויפה תאורטית.
א.נתחיל בזה שאחת הטעויות הגדולות של הצבא כארגון זה כוח אדם בלתי מיומן או לא מוכשר מספיק.
במרבית המקרים מנהלי רשת יחידתיים עוברים
"חפיפה" בחלקם הגדול לא התעסקו במחשבים לעולם או במקרה הטוב בקושי יודעים מה זה-BIOS .
גם כאשר הם עוברים הכשרה בבסמ"ח הפרק של אבטחת מידע נלמד כאחרון ובאופן מאוד בסיסי , מהצד זה נראה כי לא באמת מייחסים את החשיבות הראויה לתחום כ"כ חשוב.
ב.אין שום בדיקות Penetration Testing רציניות לתחנות עבודה,שרתים וציוד תקשורת וכן אפליקציות ERP (לדעתי אחד הדברים היותר קריטים במיוחד בצבא שהכל עובד על דטה בייסים).
הבדיקות היחידות שמבצעים בצבא הן בדיקות במ"מ מטומטמות שגם על משק"י מחשוב \במ"מ ניתן להערים מרוב שהבדיקות כה בסיסיות.
שירותים רבים פרוצים וכן חולשות רבות בפרוטוקולים, אף פעם חבילות שירות Service Pack ו-Hotfixes אינם מותקנים בזמן .
ג.אין חינוך משתמשים אמיתי בצבא בכל הקשור לנהלי ביטחון שדה הדוגמה הקלאסית היא הנדסה אנושית(Social engineering )- כנראה שלא כולם יודעים מה זה בצבא ושהצבא לא הפנים את סיפור מיטניק.
מעבר לכך, הרבה פעמים סיסמאות מודבקות על מחשבים,חיילים וקצינים משאירים את ה- Session שלהם פתוח , לפעמים גם את כרטיס ההזדהות שלהם.
משתמשים עוקפים הקשחות,מתקינים דברים כאילו זה המחשב הבייתי שלהם...
ענישה-היא לא המצב הרצוי ולא פיתרון לאבטחת מידע .
אבטחת מידע זהו תחום הבא להקדים תרופה למכה ולא להיפך אם כי קיים תחום באבטחת מידע הנקרא .Incident Handling
ד.אבטחה לעומת נוחות? כל מנהל אבטחת מידע מכיר את זה,בצבא הנוחות באה הרבה יותר על חשבון אבטחה.
החל ממתן משימוש בסיסמאות default ובסיסמאות קלות.
והקטנת ראש בכל מה שקשור לאבטחת שירותי רשת.
יותר נוח וקל להתעלם מאשר באמת לטפל בבעיות אבטחה שלא לדבר על לחפש אותן.
מרבית מן אנשי הסדיר העוסקים בתחום בעלי מוטיבציה נמוכה להגדיל ראש, הם לחוצי בית והמשכורת העלובה לא מוסיפה לזה.
למה שחייל בסדיר יתחיל עכשיו לכתוב Exploit ולחפש פרצות במערכות שונות?
מבחינתם הם דוגלים במרפי "כל עוד זה עובד על תיגע".
הצבא מעדיף מקסימום נוחות למול אבטחת מידע בסיסית.
זה שיש הגנת סיסמה ל-ERP מסוימת זה יפה אבל זה לא עוזר למשל שאין הגנה אמיתית מול Keylogers ותקשורת מוצפנת.
ה.הצפנה-פה אחלק את זה ל -2 :
-הצפנת מידע
-הצפנת תקשורת
על הראשון, אני אפילו לא מדבר מרוב שזה עצוב,אין מערכת הרשאות אמיתית בצבא, אין בקרה ואכיפה מקצועית,אין ניטור על כל דבר הרבה פעמים מסמכים מסווגים ביותר למשל נשמרים על מחשבים בסיסים(מה קורה עם המש"ק מחשוב לוקח HD לבית?).
למה מחשב נישא חייב לעבוד עם כרטיס PKI ומחשב רגיל לא?
בנוגע להצפנת תקשורת-הצבא משתמש בזה רק בדומיינים ורשתות מאוד ספציפיות, פשוט חבל.
ו.מידור- נכון שיש מקומות עם מידור כמו שצריך עם אבטחה פיזית ושימוש בקרוסלות,מצלמות,חיישנים,כרטיסים מגנטים ואמצעים ביומטרים אחרים, אבל לא כל המקומות ככה.
לפעמים ניתן להכנס לחדרי בקרה\שרתים באופן חופשי.
ז. שימוש במוצרי אבטחה לא אפקטיבים אשר נקנים ב"שיטת המכרזים" – לפי שיטה זו צה"ל אינו מברר אילו מוצרים לקנות , מבחינתו לקנות אנטיוירוס פרוץ וכן מוצרים פחות מאובטחים לאבטחת את הרשת, כל זבל שדוחפים לו הוא לוקח וזאת אחת הנקודות הכי קריטיות.
העיקר להראות שהוא עושה משהו...
ח.גיבויים ו DRP – לא כל דבר באמת מגובה ולפעמים הנזק חמור מאוד ..מנסיון..
ט.הצבא לא משתמש במוצרים אשר באמת נותנים מענה מקיף למול סיכוני האבטחה בארגון שלו.
חסרים עוד המון כלים לאבטחת הרשת..
GPO כמה סקריפטים ואנטיוירוס זה לא אבטחת מידע.
על CITRIX שמעתם? למה כל משתמש עם ידע בסיסי ברשתות ואבטחה יכול לעקוף את מערכת הניטור של הצבא ולהחדיר למחשבים חומר זר?למה אמורות להיות לו נגישות להתקני USB ברמה הפיזית בכלל?
צהל עושה את המינימום שבמינימום לאבטחת מידע....
וזה רק חלק קטן.
נערך לאחרונה ע"י sniffer בתאריך 27-07-2007 בשעה 12:03.
|
ראשי
צ'אט
עצוב מאוד.
מצב כלאיים
