יומן אבטחה

המאמר why crypto systems fail הוא לטעמי אחד המאמרים הקלאסיים באבטחת מידע. גם לאחר שנים (המאמר מ-93 ואני קראתי אותו לראשונה לפני מספר שנים) הוא ממשיך להיות מבחינתי המקור המוביל ללימוד כיצד יש לבחון אבטחה. אני ממליץ בחום לקרוא את המאמר, למרות שהוא באנגלית. המאמר סוקר בעיקר מתקפות על כספומטים, אך זה לא משנה, כיוון שתרגילי ההונאה מציפים בעיות תכנון, בעיות מימוש הצפנה, בעיות בתהליכי ניטור ובקרה וכדומה (לדוגמא, אחת הדוגמאות הראשונות היא של בנקאי שהזמין לעצמו כרטיס אשראי נוסף על חשבון אחת הלקוחות. המערכת תוכננה כך שכאשר מוציאים תדפיס פעולות, בהוצאה הבאה של תדפיס פעולות הפעולות בתדפיס הנוכחי לא מוצגות. כך שהבנקאי היה מוציא תדפיס פעולות לאחר כל משיכה וכשהלקוחה הייתה מוציאה תדפיס פעולות המשיכות שלו לא היו מופיעות ולא הייתה לה כל יכולת בקרה, עד אשר נשמכו סכומים גבוהים מאוד שהשתקפו ביתרה הכוללת. זו בעיית תכנון שנוגעת להיבטים שכמעט לא חושבים עליהם. דוגמא אחרת שהוא מציג במאמר היא שרוב מערכות הכספומטים אינן מקבלות פקודות מוצפנות או חתומות. כך שגנבים היו מתחברים לתקשורת ומשדרים לכספומט כל הזמן פקודת הנפקת כסף. הטכניקה נקראת jackpotting.)

בקיצור, שווה קריאה. באמת.