ארכיון עבור אפריל, 2010

19
אפר
10

על אנונימיות ואבטחת מידע בעידן Web 2.0

אני לא בטוח כמה אנונימיות קשורה לאבטחת מידע. בטח לא קשר חזק, למעט מקרים מסוימים עליהם ארחיב בהמשך. תקראו לי זקן או לא מחובר, אני לא מצליח להבין איך אנשים מפרסמים על עצמם פרטים רבים באתרים כגון Facebook ורשתות חברתיות אחרות. אפילו באתרים כגון LinkedIn.

היכן טמונה, לדעתי, הבעיה? פעמים רבות, אנשים לא חושבים על השלכות בעתיד של פרסום פרטים מזהים בהווה. על אחת כמה וכמה כאשר מדובר בפרטים רגישים. חלק מהפרטים הרגישים ברורים מאליו. חלק לא נראים רגישים, אך בקונטקסט מסוים הם רגישים.

לא מזמן פוטר מורה (גבר) מבית ספרו בגלל שהוא פרסם תמונות עירום שלו ושל אשתו ההרה. חובב צילום יבחן בתמונות אלה את נתוני החשיפה של הצילום, איכות תאורה ועוד. הורים לילדים בכיתת המורה יבחנו את מידת החשיפה והתערטלות. (יצא לי אפילו כפל משמעות עם החשיפה…). אם אתה רוצה לשתף חברים בתמונות, תשלח במייל, למה להציג את חמוקיה של אשתך לכל העולם?

לפני מספר חודשים שאלה אותי מישהי שיודעת שאני מתעסק באבטחת מידע האם יש דרך למחוק מהאינטרנט רשימת טלפונים. היא העלתה בטעות את הרשימה לאתר מסוים ולאחר מכן מחקה אותו. עד היום ניתן למצוא דרך גוגל את רשימת הטלפונים והכתובות.

אנשים מפרסמים על כוונתם לצאת לטיול בחו"ל בתאריכים מסוימים. ראו תמונה.

 facebook.jpg

גנבים מתוחכמים מאתרים היכן הם גרים ופורצים לביתם בלי חשש להיתפס.

משתמשים שומרים קובץ אקסל עם שמות משתמש וסיסמאות על המחשב שלהם כאשר הוא מחובר ל – eMule ומוגדר Share ללא הגבלה. חשבתם פעם לחפש את המחרוזת: "Password" או "סיסמא" ב – eMule? שמישהו מכם יעשה לי טובה ויבדוק (כיוון שאני לא מחובר לחמורים) ויכתוב כאן כמה קבצים כאלה הוא מצא.

בגל"צ יש קמפיין (חשוב) הקורא לחיילים לא לפרסם בפייסבוק פרטים על היחידות שלהם, מבצעים שהם יוצאים אליהם וכדומה. כמה קל לאויב לדלות מידע יקר על הצבא שלנו (מי צריך את ענת קם כשיש Facebook)?

לא מזמן שמעתי ברדיו ראיון עם מעסיק שבודק בגוגל פרטים על כל מרואיין שמגיע אליו לראיון עבודה. הוא פסל כך מועמדים רבים שהיו עליהם פרטים מאוד לא מחמיאים. 

בארגון שלי אני חוזר ואומר שלא חייבים לקפוץ על כל טכנולוגיה חדשה ולאמץ אותה. למרות שזה קרב אבוד, אני חושב שצריך לחנך אנשים להשאר אנונימיים באינטרנט, או לפחות להיזהר עם המידע שמפרסמים.

מודעות פרסומת
13
אפר
10

מניעת זליגת מסמכים – ענת קם

גיא כתב פוסט יפה בנושא ענת קם וציין מספר אמצעים שרציתי לציין. כיוון שכך, אני אשלים בפוסט זה קצת פרטים על אופן הפעולה של מערכת DLP (כלשהי), המגבלות שלה, ואיזה אמצעים נוספים נדרשים (בצבא) כדי לצמצם את האפשרות שמסמכים סודיים ייגנבו.

אפתח בכך שבמקום שבו נהלי אבטחת מידע לא נאכפים (או אולי לא קיימים), הסיכוי שטכנולוגיה תמנע זליגת מסמכים רגישים הוא נמוך. זה מאוד מפתיע (או שלא) שבמקום כמו בצבא, לא מקפידים על נהלים.

מערכת DLP מספקת מספר יכולות:

  1. היכולת הראשונה מאפשרת לחסום או לאפשר שימוש במדיה נתיקה (כגון DOK או צורב DVD). המערכות כיום מאוד גרנולריות וניתן להגדיר איזה משתמשים ו/או באיזה מחשבים ניתן יהיה לחבר מדיה נתיקה. יותר מזה, ישנן מערכות שמאפשרות לקרוא מהמדיה אך לא לשמור עליה קבצים.
  2. היכולת השניה מאפשרת חסימת שמירת קבצים רגישים על מדיה נתיקה (או במקרה של ארגונים אזרחיים, למנוע שליחת קבצים רגישים במייל אל מחוץ לארגון). ניתן לחסום עפ"י מיקום ברשת (ספריות רגישות), ביטויים רגישים (למשל מסמכים המכילים "סיווג: סודי ביותר"), או מאפליקציות רגישות (למשל פורטלים ארגוניים/צהליים).

האם מערכת DLP היתה מונעת את מקרה ענת קם? לא בטוח. נניח שלפושעת הזו (אין דרך אחרת לתאר את מה שהיא עשתה), אין הרשאה לחבר מדיה נתיקה (DLP חוסם אותה). מה היא עושה? הולכת לפקידה ומורה לה לצרוב תוכן של ספריה על CD. לפקידה כמובן יש הרשאה ב – DLP לשימוש בצורב, הרי היא פקידה של אלוף. נראה מישהו אומר לא לאלוף (זה נכון גם בארגונים אזרחיים). הנהלים תמיד מתייחסים לעובדים זוטרים, לא לבוסים.

לאלה ששוקלים DLP, הקישור הזה מומלץ.

אז מה עושים? במקרה של ארגון כמו צה"ל, יש פתרון נוסף שעליו לשקול. שימוש ב – RMS. מסמכים סודיים חייבים להיות מוגנים ב – RMS. מסמך מוגן ב – RMS שייצרב על CD ויישלח לעיתונאי, יהיה חסר שימוש. העיתונאי לא יוכל לפתוח את הקובץ. כבר כתבתי כאן בבלוג על RMS. זה מאוד קשה ליישום. אבל חייבים לשים על כף המאזניים את RMS על צד אחד ותוכניות מבצעיות בעזה על הצד השני.

כמובן שאם הפקידה היתה מדפיסה את המסמכים על נייר ונותנת אותם ביד לענת קם, שום RMS לא היה עוזר. אבל לסחוב 2000 מסמכים זה לא פשוט.

מה שמחזיר אותי לנושא נהלים. חייבים להגדיר נהלים ולהטמיע אותם. פקידה (וכל משתמש אחר בכל ארגון) שלא עמד בנוהל, ישלם על כך. אחרי כמה פעמים שמשתמשים ייענשו, רוב הארגון יקפיד לעמוד בנהלים.

13
אפר
10

לוח זמנים ליישום תקן PCI-DSS

הרבה אנשים שואלים מה הלו"ז ליישום תקן PCI. מסתבר שמי שקובע את הלו"ז זה לא ארגון ה – PCI, אלא חברות האשראי (ויזה, מאסטרקארד). ראו כאן.

יש קצת אי בהירות והבדלים בין דרישות חברות האשראי לגבי המועדים. למיטב ידיעתי:

  • עבור חברות שהן Level 1 אין כרגע לו"ז.

  • עבור חברות שהן Level 2, המועד כנראה הוא סוף 2010 (לחברות שסולקות מול ויזה כדאי לוודא שזה המועד, מול מאסטרקארד זה בטוח המועד).

לחברות האשראי חשוב לראות התקדמות ביישום הדרישות. הן כנראה מבינות שקשה לעמוד בלו"ז, ולכן מתמקדות כרגע בבחינת ההתקדמות מול אבני הדרך המוגדרים ב – Prioritized Approach. 




אפריל 2010
א ב ג ד ה ו ש
« מרץ   מאי »
 123
45678910
11121314151617
18192021222324
252627282930