"מתקפת הסייבר" – או איך שוב פעם כושלת העיתונות הישראלית

ב7 באפריל היתה צריכה להיות "מתקפה" מקוונת על אתרים בישראל על מנת לפגוע בהם.

התקשורת בישראל עשתה Cybermanהמון רוח, רעש, וגרמה לאנשים לפחד הרבה מעבר לצורך, אבל שכחה כמעט כולה (למעט "צינור לילה" של ערוץ 10), לשאול שאלות מאוד קשות וחשובות – מצב אבטחת המידע בישראל.

ובכן, מצב אבטחת המידע בישראל, לפחות ממשלתי, והפיננסי כל כך מזהיר, שאי אפשר להגיד כי הוא קיים.

יש גוף שאמור להיות אמון על אבטחת המידע והתקשורת ממשלתית, אבל כבר ראיתי רשתות מסחריות של עסקים קטנים ללא תקציב שמאובטחים הרבה יותר טוב ממה שהוא מספק.

בישראל אין תקנים לאבטחת מידע, המידע הפיננסי עלינו לוקה ברשלנות, ואין ניסיון לשנות את המציאות הזו.

התקשורת יצרה באזז חדש בשם "מתקפת סייבר", אבל כאשר מדברים איתי על סייבר, אני מייד חושב על סייברמן מ"דוקטור הו", לפחות שם המונח "מתקפת סייבר" מתאים איכשהו …

אז גם כאן, שוב פעם נכשלה העיתונות הישראלית, ואח"כ זו בוכה על מצבה ועל כך שהיא מאבדת קהל וכסף …

12 מחשבות על “"מתקפת הסייבר" – או איך שוב פעם כושלת העיתונות הישראלית

  1. goldy10

    1. יש הבדל בין המגזר הציבורי לפרטי.
    2. "תיקשורת" זה משהו שהבעלים כותב בטופס כדי להרויח עכשיו עוד כסף.
    3. הקוף ספיאנס משגשג ע"י רצח מתחריו.
    4. מישהוא שילם על כל הפירסומות האלה.

    בשביל מה אתה צריך "תקן", אם הדפדפן שיוצר בחו"ל וגם השרת של הבנק מאשרים שהכל בסדר?

    1. ik_5 מאת

      1. איזה הבדל ? שגוף פרטי אכפת לו וגוף ממשלתי לא ?
      2. תקשורת זה כלי שאמור לדווח לך על דברים, בפועל יוצר לך דרמות.

      "תקן" אומר שיהיה אחידות בסיסית, נגיד – עדכון כל בעיית אבטחה ידועה לפחות פעם בחודש, חוסר הימצאות של בעיות ידועות כמו code execution, directory traversal וכיוב'
      תקן אומר שיש מינימום צעדים שחייבים לקחת בשביל שזה יהיה מאובטח, ומשם רק הלאה.
      בפועל רוב האתרים לא מוגנים, הם יותר מזה, מכילים הרבה מאוד "פרצות" כי ככה "קל" יותר לטפל באתר (למשל phpmysqladmin, webmin וכיוב).

      יש לך התקנות לינוקס לוקות בהמון בעיות שונות, התקנה של מערכות שלא צריך שרצות, רק בשביל נוחות, התקנה של דברים שאין לאחרים מושג ירוק מה הן אומרות, דלתות אחריות וכיוב' …

      1. eplaut

        תזכור שכיום תקשורת (ערוץ 2/10 עיתונות ונגזרותיה האינטרנטיות) = כסף. האימרה שהתקשורת היא "כלב השמירה" היא מס שפתיים בלבד, כלמעשה המטרה היא השגת אייטמים "חמים" וריצוי בעלי הממון והשררה.

  2. צפריר כהן

    1. אם מגנים את "העיתונות", ראוי לציין שלפחות מעריב לא השתתף במתקפת הטרור הזו נגד הקוראים.

    2. העיתונות נסחפה כאן במידה רבה גם אחרי ישראל הרשמית.

    3. אם מצב אבטחת המידע היה גרוע מאוד כפי שאתה מתאר, היה אולי נגרם נזק רציני מה"מתקפה" האמורה.

  3. ik_5 מאת

    3. מרבית ההתקפה היתה DDoS. והיו גם התקפות של defacement.
    מרבית ההגנה שהיתה זה לחסום כתובות ip לא מישראל, אבל יש המון בעיות אבטחה.

    העיתונות לא באה והתחילה לדרוש דין וחשבון ממדינת ישראל על הדברים, לעשותבדיקות, לחקות וכיוב'.. אלא הלכה אחרי עדר והחליטה להציג את עצמה כמנהיגה של זה.

    1. צפריר כהן

      מה שמפריע לי בכתיבתך הוא שאתה נופל בערך לאותה מלכודת שמפניה אתה מזהיר. נוח לך להיאחז בכותרת המפוצצת כדי להאשים את מי שאתה ממילא לא סובל.

      יש תקני אבטחה. הם עוזרים בכך שהם נותנים איזשהו בסיס (ומעצבנים). אל תצפה שהם ימנעו את כל הבעיות. תקני האבטחה גורמים לכך שנזקים של כל מיני חורי אבטחה הם הרבה יותר קטנים. מה שכתבתי כאן נכון לא רק לארץ אלא גם לשאר מדינות העולם. יכול להיות שאם היו תקני אבטחה מקיפים יותר, לא היית מצליח להקים אתר בעגלה ובזמן סביר.

      לדוגמה: האם זה בטוח לאפשר גישת ssh מרוחקת לשרת, או שמא מותר להשתמש רק בחיבור IPSEC תקני? מותר לך בכלל להשתמש במוצר שלא קיבל את אישור מכון התקנים?

      הסיקור שהייתי מצפה למצוא בעיתון הוא מה שהיה במעריב: אין כאן חדשות. כצפוי לא מעט גורמים חברו ליצירת אירוע: חברות אבטחה שונות הכינו, מן הסתם, כתבות מוכנות לנושא והעבירו אותם לכתבים. הכתבים אמתו אותם עם מקורות שונים.

      ככלל נראה שרצוי להתייחס לכל חברות האבטחה שהוזכרו בכתבות טרור על המתקפה הזו כמו לחברות שמקדמות את עצמם בעזרת דואר זבל: אל תשתמשו בשירותיהם: הם משתמשות בפרסום באמצעים פסולים.

      1. ik_5 מאת

        כמו שהצגתי בבלוג כאן בעבר (יותר מפעם), יש בעיות אבטחה בישראל. כאן קישרתי לפוסט שמדבר על כך שחנויות מקוונות ברשת חושפות מידע רגיש עלייך כי הן בנויות רע.
        זה ד"א פורסם מספר חודשים *לפני* פרשיית פרסום מספרי כרטיסי האשראי על ידי איראן.

        העיתונות לא מתעסקת בזה. היא לא באה ומציגה בעיות שונות, ומצביעה על בעיות. היא פשוט נגררת.
        הביקורת שלי על העיתונות היא על זה. אם העיתונות היתה מה שהיא אומרת שהיא, אז לא היתה לי ביקורת עליה (לפחות לא הביקורת הזו).

        תקנים הם לא הפתרון לכל בעיות העולם, אלא בסיס מסויים שצריך להגיד איך המערכת צריכה להגיב לנסיונות התקפה שונים. התקן גם צריך כל הזמן להתעדכן בהתאם, ולא להישאר זהה.

        אם יש לך תקן שאומר שאסור לבצע מסחר במידה ומוצאים הזרקת קוד אצלך.
        יותר מזה, במידה וכן יהיה מסחר, אתה תקבל קנסות גבוהים מאוד, פלוס תשלום לכל דורש גם ללא הוכחת נזק.
        תקנים כאלו, חוקים כאלו, יעודדו כתיבה בטוחה יותר, יורידו בעיות אבטחה, וכיוב' …

        וכמו שאמרתי, זה היסוד, לא התקרה.

        1. צפריר כהן

          רעיון מעניין. אתה מוכן להצביע על מקום בעולם שבו הוא מיושם?

          בהנחה שהחומר האנושי בארץ הוא כמו שאתה חושב שהוא, מהן התוצאות הסבירות מההצעה?

          1. כמו במקרה של רשלנות רפואית, מי שלא עושה לא טועה. לכן מי שישלם בסופו של דבר יהיה הביטוח.
          2. אבל כל אחד יצטרך לקנות ביטוח (או להסתכן בתביעה יקרה. אתה באמת יכול להבטיח שלא תעצבן מישהו והוא ינטרל את האתר שלך בעזרת מתקפת DDoS? או שתיחשף פרצה חדשה שתנוצל חצי שעה לפני שתתקן אותה?)
          3. לכן התוצאה תהיה שכולם ישלמו יותר.
          4. כמו במקרה של רשלנות רפואית, חברות הביטוח יעבדו עם רשימת בדיקות דבילית ומעצבנת (הזכרתי כבר את הדרישה ל־IPSEC?) אנשים כמוך, שעובדים קצת אחרת יהיו הראשונים שיפגעו מהגישה הזו.
          5. זה רק יגביר את התהליך של סילוק משתתפים קטנים שלא יכולים לעמוד בתהליכי הרישוי. לחברות גדולות (מהסוג של מיקרוסופט) זה יהיה יותר נוח. אם יהיה מזל: גם לרד־האט. אבל אפילו לקנוניקאל יהיה קושי להכניס את הרגל בדלת. אני לא יודע עד כמה פשוט יהיה לך לשים שרת דביאן (מישהו יטרח להעביר אותו את תהליך האישור של ת.י. 12345 (מערכת שרת מאובטחת)?
          5. אני לא בטוח עד כמה באמת האבטחה תשתפר בסופו של דבר.
          6. זה יעודד גם ניסיונות סחיטה: תחשוב מה תהיה המשמעות הכלכלית של defacement דבילי.

  4. צפריר כהן

    כתבתי את דברי בין השאר מהכרות שטחית של PCI. אתה רוצה עוד דברים כמוהו? ושים לב שתקן PCI נוצר בדיוק בתחום שבו יש משמעות כספית לפריצות. אם שם זה לא נותן תוצאות מספיק מועילות, אתה רוצה בכוח להרחיב את זה לתחומים אחרים?

כתיבת תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s