אבטחת מידע באסטריסק (ובכלל במערכות VoIP)

ניר סמיונוביץ' מנכ"ל חברת GreenfieldTech התראיין לאבי ויס מ The com על אבטחת מידע בכל הנוגע לאסטריסק ושירותי VoIP. ניר מדבר על אסטריסק היות וזו המרכזייה איתה הוא מתעסק קרוב לעשור, אך מרבית הדברים שהוא כתב, דווקא תקפים לכל מערכות הטלפוניה בכלל, ה VoIP בפרט, לינוקס ומערכות מחשב בכלל, כמו שניסיתי להציג במאמר ב Digital Whispers .

אינני הולך להיכנס למה שנאמר בכתבה, בלי דבר ראשון להגיד בצורה גלויה כי אני מכיר את ניר, ושמח להגיד שהוא חבר, ואני מאמין לכך שהרבה מהדברים באמת הוצאו מהקשרם בזכות הכירותי עם ניר מזה מספר שנים.

דבר ראשון כמות ההתקפות שיש על שירותי VoIP ללא קשר על אסטריסק קיימים הרבה יותר מ4 חודשים. הבעיה קיימת 24-7 במשך 365 ימים בשנה מכמעט היום הראשון ששירותי ה VoIP נכנסו לאוויר העולם. לא מאמינם ? אז הנה מסמך של ה NSA האמריקאי מ2005 שמסביר איך להגן על שרתי VoIP. אל תגידו לי שזה מדבר על אסטריסק (אין ולו הזכר אחד למרכזייה שם, ועדיין זה מדבר על אבטחת מידע בנושא VoIP)…

דבר שני, ניסיון לגלות סיסמאות באמצעות Brute Force אינן קיימות רק באסטריסק, אלא קיימות בכלל בעולם האבטחה. מה זה Brute Force ? ובכן זה לנסות צירופי סימנים כסיסמאות עד אשר מוצאים את הסיסמה. יש כלים כמו Jack המרטש, אשר עובדים עם מילונים, אבל זה לא מחייב, זה פשוט גורם לריצה להיות יעילה יותר (לא בהכרח אבל מהירה). בניגוד להוליווד בד"כ לא ניתן לדעת תו תו מה הוא הצירוף, אלא רק הצירוף המלא, אלא אם מי שבנה את המערכת ממש לא מבין מה הוא עשה ברמות שאי אפשר להסביר אותן אפילו.

כאשר מדובר ב CallerID, שוב פעם הבעיה היא לא באסטריסק אלא בטלפוניה. הבעיה היא כל כך חמורה, שאפילו הממשל הפדרלי בארה"ב הבין אותה, וחוקק לאחרונה חוק המחייב ספקיות טלפון לאכוף את הבעיה. זה אפילו לא בעיה של VoIP, זו בעיה של טלפוניה נקודה.

כאשר יש חאפרים בכל תחום ותחום, אז הם יעשו הרבה מאוד שטויות ולא יהיו הגנות שונות על המערכת. יש כאלו שיקחו מחיר כאילו הם עושים עבודה מצויינת, ויש כאלו שיקחו מחיר מאוד זול, אבל עבודה לא מקצועית קיימת בכל מקום ובכל תחום. הדבר היחיד שאני מסכים איתו הוא שקל יותר להיכנס לאסטריסק כהיותה קוד פתוח, גם קל יותר להיכנס ללינוקס בגלל זה. אבל כמה אנשי #C למשל יש שלמדו 4 דברים בקורס שעלה 10,000 ש"ח במכללה חושבים שהם יודעים משהו ? כך שאיכות של אנשים אינה קשורה לאסטריסק בפרט, אלא לשוק החופשי בכלל.

חוסר ידע באבטחת מידע (שהרבה מאוד נוטים לזלזל בתחום משום מה, חושבים ש Firewall ו/או IPS הם התשובה לכל צרות העולם), יגרום בכל מצב להרבה בעיות. לפעמים גם אנשי IT בחברה יחיבו לעבוד בצורה שאינה מתאימה למה שצריך, ולא יהיו מוכנים להקשיב לאנשים, ולכן יהיו בעיות אבטחת מידע. כבר הצלחתי לפתוח מרכזיית פנסוניק אחת שמישהו נעל עם סיסמה של סדר ספרות עולה (ואני בכלל לא יודע לעבוד על מרכזייה כזו), האם זה אומר שמרכזיות פנסוניק אולי לא מאובטחות ?

האם באמת נראה לכם שכל הבעיות שניר העלה קיימות רק עבור אסטריסק ? אם כן, ואתם מגדירים את עצמכם אנשים טכניים, תחשבו שוב, במידה ואתם לא אנשים טכניים תתחילו לשאול אנשים טכניים לא קשורים לנושא והם כבר יתנו לכם את אותה התשובה שסיפקתי כאן.

כתיבת תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s