תודה מיוחדת למבקרים שפגשו אותנו במהלך תערוכת Computax 2005, על נוכחותם, התעניינותם הגדולה, והוקרתם החמה.

בילושים
 

Emile Locard היה פסיכיאטר משטרתי וקרימינולוג צרפתי. הוא טען כי כל אדם העובר דרך חדר ישאיר בו משהו, וגם ייקח משהו עמו. עקרון החלופה של לוקארד מתקיים גם לגבי כוח אדם בארגונים: כל עובד מביא עמו או יוצר משהו שהוא משאיר - חיובי או שלילי, ערכים, מנהגים, אמרות, תוצרת, לקוחות... הוא גם לוקח משהו ממקום העבודה - ניסיון, קשרים, תמורה, חוויות... הלא כך בכל המישורים של חיי האדם?
במחשוב הפורנזי, אנו מחפשים אחר הסימנים שמשאיר מי שיצר מידע, מי שנכנס למחשב, לתיבת דואר, ספריה או קובץ. אין כמעט אפשרות לבצע כל פעולה על גבי מערכת מחשב מבלי להשאיר סימנים נסתרים מן העין אך רשומים בביטים. מה לוקחים איתם המבקרים הבלתי רצויים? - בעקר מידע, וגם במערכות של הפורצים נוצר תיעוד  של הפעילות החודרנית.
במהלך בדיקה פורנזית של מדיה אלקטרונית יש חשיבות רבה לאבחנה בין ראיה  אוֹרְגִּינָלִית לארטיפאקט, ממצא מלאכותי שהוא מעשה ידי אדם. בבדיקת משטח דם, למשל, בועית אוויר יכולה להיות ארטיפאקט שמבלבל את הבודק. במחשוב פורנזי גם סימנים שנוצרו על ידי צוות החוקרים -והם בגדר ארטיפאקטים לצורך החקירה- חייבים תשומת לב ותיעוד.
במקרה מסוים שנחקר בבריטניה, למשל, התגלה כי אחד מחברי צוות החקירה המשטרתי שתל ראיה בכך שכתב אל הדיסק "בשם" הקורבן.
אחד מן האתגרים הגדולים ביותר לכל חוקר הוא לאמת את הארטיפאקטים שנמצאו. גם לאחר מאמץ רב לשחזור מסר דואל או מסמך אחר, עלינו לשאול אם הוא חוקי, או אם יתכן והתוכן שלו שונה בין זמן התרחשות הפשע לרגע בו נמסר המחשב למשמרת במעבדה.

"To write the history of identification is to write the history of criminology". Emile Locard (1877-1966)
 

מבצע הלבנה עד סוף יולי
(הקלק בלבן של העין)

ה-BOS מסתכל לכם
בלבן של העין

תודות ל-Mikhail Yurasov והצוות של Acidfiles, אשר העניקו באתרם
ציון 5 מתוך 5 לתוכנת BOS 

השורות של עמית

מדיניות אבטחה של שדות תעופה בישראל

תמיד חשבתי שיש חוק במדינת ישראל, ותמיד האמנתי שניתן לשמור על רמת בטיחות ואבטחה גבוהה גם מבלי לפגוע בפרטיות או בכבוד האדם.
לפני כשלוש שנים בשדה התעופה בבנגקוק הובהר לי שהביטחון של אל-על לא חושב כמוני. מצאתי את עצמי מגונן על מתכנתת טיוואנית שהייתה בדרך לישראל. איש הביטחון הכריח אותה להדליק את המחשב (עד כאן הכול בסדר, המחשב לא התפוצץ) ואחר כך פקד עליה להפעיל תכניות וקבצים. כאן כבר עלה לי הדם לראש (אולי בגלל שזה עיכב אותי). מה לעזאזל נותן למישהו את הזכות לפשפש בקבצי המחשב של הבחורה, שאגב נסעה לארץ על מנת לעבוד עבור אמדוקס, והיה לה מכתב מהחברה שאישר זאת.
בשבועות האחרונים למדתי שמה שראיתי אז הוא בעצם בדיחה. ידידה שלי הינה כתבת רדיו צרפת בישראל. היות והיא מוגדרת ככתבת מלחמה (War Correspondant) הרי שדרכונה מלא חותמות ממדינות רבות ומשונות (אלג'יר, עירק, טוניסיה, אפגניסטאן ועוד...). היא מצוידת במכתב של משרד הפנים המאשר זאת. הבעיה היא שהיא ילידת אלג'יר (כמו צרפתים רבים), רווקה, ללא ילדים. כל הפרטים הללו תואמים פרופיל אידיוטי שנבנה על ידי שירותי הביטחון, ולמרות שאין לה בתיק דבר מסוכן (איפור, אולי?) ולמרות האישורים, ולמרות הכל, בכל פעם היא מוצאת את עצמה מחדש מופשטת עירום ועריה (וזה איננו דימוי!), מושפלת ונרמסת בשדה התעופה בבן-גוריון. ניסו להחרים לה את הפאלם שלה, שמכיל את כל מספרי הטלפון שלה, וכשסרבה אסרו עליה לעלות למטוס. היא החמיצה לא מעט טיסות, והטקס הנ"ל חוזר בכל פעם שהיא נוסעת מחוץ לישראל. תאמינו או לא, היא הכתבת הצרפתית היחידה שדווקא בעד ישראל...

סוף סוף, מערכת אבטחה אחרת

מצחיק כמה מילים נשפכו אחרי שהסוס (הטרויאני) ברח מהאורווה. אני מוכן להתערב, שליועצי האבטחה הגדולים ששפכו כל כך הרבה מילים במאמרים שאחרי ובמוספים הנלווים... לכל אחד ואחד מהם יש לו לפחות לקוח אחד המעורב באירוע המפורסם.
למרות שאני יורד עליהם קבוע, אני יודע שרוב הנזק איננו באשמתם. בניית מערכת אבטחת מידע יעילה דורשת קשיחות כלפי הלקוח ואי מתן אופציות רבות למשתמשים מעבר לאלו המוגדרות מראש. אני יודע היטב שרבים מיועצי האבטחה מתוסכלים מהטיפשות של הלקוחות שמתעקשים להגמיש עמדות במקום בו הם, היועצים דורשים הקשחה. והרי בעל המאה הוא בעל הדעה. עד היום ראיתי רק מוצר אחד שמיישם את תפיסת ההגנה האולטימטיבית ולהלן סיפורו.

מערכת האבטחה של קוברדור שנחשפת כאן רשמית לראשונה בישראל אחרי שעברה מסע תלאות אמיתי ברחבי גרמניה ויפאן – צריך להעריץ את עופר אקרמן (היזם) ומשה פלדמן (בעל רוב המניות בחברה) על האומץ להתחיל את מסע ההיכרות עם השוק דווקא בשווקים כל כך חמורי סבר וקשוחים. ה- Bouncer (זורק החוצה – שומר בארים) של קוברדור מגיע באיחור של מספר שנים לישראל, אחרי שעבר כל פארסה אפשרית עם משקיעים חמדנים עד שהגיע לידיו של משה פלדמן, שאיזן את המערכת הפיננסית והכניס את החברה לשוק היפאני. על מנת להיות הוגן הרי שה-Bouncer איננו זר לי שכן היית ארכיטקט המערכת המקורית, אלא ששלוש השנים בהם נדד היזם, עופר אקרמן, ופיתח את המוצר הרחק מעיניהם הפקוחה וידם המושטת (זה לכיסו של זה) של משקיעיו המקוריים עשו את שלהם והמוצר, שאמנם מיישם את העקרונות עליהם דיברתי בכתבות קודמות, נראה ועושה הרבה יותר וטוב יותר.
ה- Bouncer של קוברדור נבדק על ידי במשך תקופה לא קצרה, אבל כדי לתאר את נפלאותיו יהיה צורך בחוברת ולא כתבה, לכן אנסה לתאר את תכונותיו הייחודיות.

ה-Bouncer הינה מערכת פתוחה ודינאמית המאפשרת גמישות מלאה בהתאמתה לתהליכי הליבה ונוהלי האבטחה הארגוניים, דבר מתאפשר בעזרת השימוש בטכנולוגיה מתקדמת המבוססת על מודלי אבטחה (Modals). מודלים אלו הינם רכיבי מערכת המבצעים מגוון פעולות אבטחה.
הגדרה פרטנית (ע"פ צרכי האבטחה בארגון) של מודלים אלו ושירשורם בצורה ויזואלית, לוגית וברורה, מאפשרת הקמת חוקי אבטחה (Policies) ייעודים להגנה על נכסי המידע הארגוניים.
אגב, מודלים אלו נכתבים בשפת דור רביעי (4GL) לפיתוח רכיבי אבטחה מתקדמים. המהווה תוספת מקצועית להגנה על נכסי מידע ייעודיים בארגון, שפותחה במיוחד על ידי קוברדור והיא זמינה להורדה חינם לכל דורש. תכנת שבדק אותה הצהיר בפני כי היא יעילה במיוחד וביומיים בנה עמה יישום אבטחה שיכול היה לגזול לו חודשים בתנאים אחרים.
ל-Bouncer מערכות ניטור ובקרה מתקדמות המאפשרות הערכה כללית על מצב האבטחה בארגון ומשם כניסה לפרטים בהתאם לצורך ולרצון מנהל האבטחה בארגון. המערכת מנטרת הן מידע נכנס והן מידע יוצא ומנתחת אותו באופן קבוע.
למערכת מנוע לשמירת רישומים (logs) מתקדם ויחיד מסוגו המאפשר התמקדות רק בתעבורה הרלוונטית תוך סינון המיותר או המובן מאליו.
יכולת ניהול רשימות דינאמיות המאפשרות מעקב אחר התפתחות ההתקפה על הארגון, איסוף מידע בזמן אמת על התוקף ומניעת ההתקפה באמצעים שונים כהגבלת רוחב הפס העומד לרשות התוקף או חסימת התוקף בצורה שקטה הינן תכונות מרשימות וחיוניות וייחודיות ל- Bouncer. שימוש ברשימות דינאמיות אלו מאפשר קבלת החלטות לפעולה באמצעות ניתוח המידע המגיע ממספר חוקי אבטחה בו זמנית. דבר המאפשר מעקב מדויק אחר ההתקפה ומונע מצבים של התראות שווא.

ה-Bouncer הינו פלטפורמת האבטחה היחידה בעולם אשר מסוגלת לקבל לרכיבי אבטחת מידע נוספים גם לאחר התקנה והפעלה של המערכת - וזאת ללא התקנה מחדש, אתחול או השבתה.

במלחמה כמו במלחמה נחוץ מערך מודיעיני ול- Bouncer יש אפשרויות מתקדמות לחקירת אירועים והתקפות. מערכת המודיעין שלו תוכננה לאסוף מידע על התוקף בצורה יעילה ומדויקת ב"חלון זמן" מצומצם בעת ביצוע ההתקפה. האטת ההתקפה (ולאו דווקא חסימתה) מאפשרת לנטר את פעולותיו של התוקף, לבצע איסוף בזמן אמת של מידע על התוקף עצמו וכן על תחנות הנמצאות בתווך שבין התוקף למערכת (באמצעות תכונה זאת ניתן לגלות תחנות אשר משמשות את התוקף בתהליך ההתקפה ללא ידיעתן). הפעלת איסוף הנתונים בזמן אמת, מאפשר לקבל מידע אמין ושימושי על התוקף ותהליך ההתקפה, דבר שיהיה כמעט בלתי אפשרי באיסוף החומר לאחר שהסתימה ההתקפה.

כחלק ממניעת התקפות משולבות, ולמניעת "אפקט הדומינו" בתהליך ההתקפה (נכון בעיקר בהתקפות משולבות על ארגונים בעלי סניפים ואפילו ברמת מדינות), ל-Bouncer מערכות איסוף של "רשימות שחורות" (Black Lists), אשר מתעדכנות באופן שוטף ממקורות חיצוניים ופנימיים. הדבר מאפשר הפצת מידע על התוקף בזמן אמת למערכות נוספות הקיימות בארגון ובזאת למנוע ניסיונות תקיפה נוספים על הארגון בידי אותו תוקף.

בקיצור לא מדובר בגולם הפותח וסוגר דלתות, ורושם את הנכנסים. מדובר במערכת אחרת, שונה וחכמה, עם שליטה מוחלטת על תעבורת הרשת אבל בחוכמה, תוך הסקת מסקנות ואיסוף נתונים רלוונטיים. מערכת זו זכתה להצלחה אדירה ביפאן, ובגרמניה ונבדקת על ידי סוכנויות הביטחון האמריקאיות.

החברה הטילה עלי כתנאי לבדיקה ושימוש במערכת לאסוף 10 יועצי אבטחת מידע, לסיבוב הראשון, שילמדו אותה בקורס מיוחד. לקחתי עלי את המשימה גם מסקרנות וגם כצ'ופר לקוראי מגזין צ'יף, לכן כל המעוניין מוזמן לכתוב לי.
 

לפי דרישת הקהל - Pocket PC

בהמשך לכתבה על הפוקט פי סי משבוע שעבר, להלן דף לינקים למספר מובחר של תכנות למכשירם הללו. כל התכנות נבדקו ורצות על הצעצוע שלי.
Http://www.amitm.com/ppcsoft.html

להלן מספר כללים חשוב לגבי המכשירים הללו:
1. על תתקינו תכנות על זיכרון ברירת המחדל אלה בזיכרון מיועד לאחסון הקבצים, או בכרטיס הזיכרון.
2. אם יש ברשותכם מכשיר משולב עם מצלמה, שנו את מיקום ספרית ברירת המחדל לזיכרון מיועד לאחסון הקבצים, או בכרטיס הזיכרון.
3. השתמשו בתכנת ניקוי על מנת להיפתר מקבצים מיותרים (למה שלא יהיו אחרי הכול גם החלונות CE היא מוצר של מיקרוסופט).

כל הללו נועדו להשאיר כמה שיותר זיכרון להריץ יישומים ועכשיו:

1. עדכנו את היחס בין הזיכרון המוקצה לתכניות רצות ולאחסון, אין צורך ביותר מ- 3 מגה בייט לאחסון וכל השאר יכול להיות מוקצה להרצת תכניות.
2. השתמשו ב- Vbar – או כל מנהל משימות אחר שיאפשר סגירת יישום, אחרי הכול החלונות CE במצב ברירת מחדל איננו סוגר את היישומים וכל אותם יישומים הרצים ברקע יוצרים בעיה בשלב מאוחר יותר.

חשוב לזכור:
לא להשתמש בתוכנית האצה (booster) למעבד! סיכוי לא רע שתבכו ארוכות אחר כך.
אני מודע לכך שהאקספלורר עבור הפוקט פי סי עלוב, אבל כל מאמץ למצוא תחליף כרגע העלה חרס וה- MINIMO של מוזילה עדיין בגרסת ביטא ממש ממש ראשונית.
 

תגובה לשורות של עמית

תפישת האבטחה
 

ריגוש או שעמום
מנסים למכור לנו רעיונות מרגשים: "אנטי וירוס חדש נכנס לשוק". "לאנטי וירוס הוותיק יצאה תוספת חדשה". מרגש? התפיסה שאבטחה הוא נושא מרגש, או מאידך משעמם, מפריעה להתנהלות התקינה של הארגון. אבטחה הוא תקן, מסגרת, גישה ממוקדת תהליך לכל תשתית בקרה.
איש הביטחון ואיש האבטחה, המכריחים אותנו לשמור על הנהלים אינם השוטרים הרעים, וגם לא הפיות הטובות. הנהלים שיגנו עלינו הם חלק משגרה הקובעת: לעשות את הדברים הנכונים לאורך זמן.

בלימה
האיש המעכב אותנו לבדיקה ביטחונית בכניסה לקניון (לצערנו, בזלזול הולך וגובר...), ותוכנות אבטחה מסורבלות המצריכות משאבי מחשוב רבים, תוקעים אותנו בתפיסה שאבטחה בולמת את התקדמותנו. זה נכון את עבודתן אפשר לייעל בהרבה. אבל בעצם, הנחלה נכונה של נהלי אבטחה תספק את הסביבה המבוקרת כדי שנתקדם ללא חשש, כדי שניישם יישומים חדשים, וכדי שנצליח.

לא קרה כלום
האבטחה מצליחה ללא צלצולים וחצוצרות. בחירה והטמעה נכונות של מערך אבטחה פירושן מניעת זליגות ופריצות עתידיות. בעת הבחירה העיניים נשואות מתוך אי הוודאות של היום לסכנות של מחר. עוד יום שעובר ברוגע הוא הצלחה שקטה. קחו לדוגמא את Y2K - למרות שהרחוב ניפח את הסכנה בצורה מוגזמת, מתכנתים באמת שינו שורות קוד בתוכנות כדי למנוע את התקלה. התוצאה: לא קרה כלום.
 

תקנים ואבטחת מידע

התקנים הבינלאומיים (מסוג ה- ISO 9001) שנכנסו לנו כטסונאמי לארגונים לפני עשור היו דרך לעשות סדר, להשיג אחידות, להבטיח איכות. כעט, שני תקנים שכובשים את יבשת אירופה ומחלחלים גם לאט אבל בטוח אל צפון אמריקה: ISO 17799 הבינלאומי ו-7799-2 BS הבריטי, הפונים לאבטחת המידע הארגונית. הם משתמשים באותה פילוסופיה של שיפור מתמיד כמו ה- ISO 9001. ארגונים שהחלו ליישם אותם ביחד רואים בהם דרך להגיע לניהול תקין של מערך מידע מאובטח בצורה טובה ואמינה.
בנוסף למטרות הכלליות של התקנים המוקדמים, ושל אטימת החומות, אימוץ התקנים הללו מעמיק את אמון ההנהלה בחברה עצמה ובמחלקת מערכות המידע בפרט, ויכול להוות יתרון תחרותי בשיווק חברה או מניותיה.
תקן BS 7799-2 מדגיש את תהליך ניהול הסיכונים, המשפיע על כל תחומי העסק.
תקן ISO 17799 יוצר קוד עבודה לניהול אבטחת המידע. שילוב בין שני התקנים נותן לארגון בסיס איתן לבניית מערכת מידע מאובטחת.
ISO 17799 מתייחס לאיומים העומדים בפני ארגונים, רשתותיהם ומערכות המידע שלהם, כגון הונאות באמצעות מחשב, ריגול, חבלה, וונדליזם, אש או שיטפון, והסכנות הטמונות במחשוב הפזור, שאינו נתון בבקרה מרכזית של בעלי מומחיות.
התקנים לא מתמקדים רק במידע ממוחשב , אלה בצורות רבות אחרות של מידע. למשל, לעובדים המדברים על נושאים הקשורים לחברה במקומות פומביים, או אל הטלפון הנייד שלהם במקומות בהם זרים עשויים להקשיב להם.
לפני שנים רבות אדם אחד היה מספיק כדי לנהל את מחלקת המחשוב. היום, אנשים רבים -כל אחד מומחה בתחומו- מבקר במחלקות IT הארגוניות. עד כמה יכול הארגון לסמוך על מומחים-אורחים אלו? התקנים קובעים תהליך סִיכוּךְ לספקי פתרונות ושירותי IT. ניתוח סיכונים יכול להיות דבר מועיל מאוד לחברה, כדי לקבוע עד כמה מערכות המידע שלה אטומות. מחלקות שונות בד"כ זקוקות לרמות שונות של אבטחה. למשל, יש הבדל ברמות הסודיות של המידע בין מחלקת שיווק ומחלקת הנהלת החשבונות. כחלק מתהליך ההטמעה של התקנים ISO ו- BS, החברות מחליטות אילו רמות אבטחה ואילו מגננות (הצפנה, פיירוולים, וכו') מתאימות לכל מחלקה. מחשבי ההנהלה הבכירה יכולים לדרוש גיבוי נפרד, בהנהלת החשבונות יתכן צורך במספר רמות הגנה של סיסמא או זיהוי ביומטרי, בזמן שבמחלקת השיווק יתאים השימוש בבקרת סיסמאות בלבד.

התקינה מסתכלת גם על נושאים רבים אחרים חשובים, כמו למשל הפגיעות של רשתות המחשוב והטלפוניה למים (מי גשם או מי מערכת ההגנה נגד אש); מצבים בחיים הפרטיים של עובדי מפתח העלולים להגביל תגובה מידית במקרה חרום (הורה יחיד, עובדים התלויים בתחבורה ציבורית, וכו'). מדברים בעלי חשיבות בעיני כל, עד למפתח הרזרבי לדלת של יציאת החרום. האמת, ארגונים המנוהלים עם הגיון בריא והקפדה לא זקוקים לאקדח ברקה שיכולה להיות התקינה. אבל התקנים בעולם הקונסנסוס מקבלים היום את תפקיד חותמת  הכשרות...ויש כאלה שמחפשים את החותמת.
 

אבלים במות הרב שמואל אבידור הכהן ז"ל,
לשעבר רב הקהילה של עדת שלום עמנואל ברחובות.
יהיה זכרו ברוך

"The greater the number of laws and enactments,
 the more thieves and robbers there will be."
B.C. Lao-tzu (c604-531BC), Chinese philosopher:

אנו מברכים את גיא קאופמן מנס ציונה - ראשל"צ
בהצטרפותו כסוכן למוצרי BOS

הצהרת אחריות
למרות שכל המידע בידיעון זה מובא תוך רצון טוב, אין חברת צ'יף אחראית על שגיאות בגין אי הבנה או הַשְׁמָטָה, או בגין השימוש העסקי או האישי שיעשה בו.