אחד הדברים הכי קשים באבטחת מידע הוא ניתוח איומים למערכת. כל אחד יודע לתת את הנאום הקבוע של ההאקר שינצל פרצת אבטחה, או יאזין לתעבורה, או יעשה כל מיני דברים אחרים. אך לתת ניתוח איומים אמיתי שמצליח לזהות את הכשלים בטכנולוגיה ובאינטראקציה של הטכנולוגיה עם האדם (להיפך) באמת קשה ואני אישית מכיר מעט אנשים שלדעתי האישית (והלא מקצועית בהכרח) יודעים לעשות זאת מעבר לשימוש במתווי האיומים המוכרים (והשחוקים).
אתנחתא. לפני מספר שבועות הגעתי למשרד בתל אביב שמוגן באמצעות מנעול קומבינציה אלקטרוני. כאיש אבטחת מידע ניסיתי לפצח את הקומבינציה והצלחתי בניסיון הראשון. איך? ברוב המקרים אנשים יבחרו צירוף קל לזכירה. רצף לוגי או רצף ויזואלי. ברוב המקרים הם גם לא יחליפו את הצירוף כמעט אף פעם. התוצאה היא שכאשר אתם מגיעים ללוח מקשים כזה כל שאתם צריכים לעשות הוא לחפש את המקשים המשופשפים/שמנוניים (אלה שאין עליהם אפרוריות של חוסר שימוש). מצאתם את ארבעת המקשים? זה הזמן לחפש צירופים הגיוניים. במקרה שלי זה היה 2580 (הטור האמצעי מלמעלה למטה). אגב, מנעולים עם כפתורים קשיחים (לוח מקשים שטוח) חסינים יותר, אך לא לגמרי.
בחזרה לעניינו. הבריטים רוצים ליישם מנגנון הזדהות מאובטח לאתרי בנקים על מנת למנוע מתקפות פישינג. המנגנון יתבסס על כרטיסי האשראי של המשתמשים בעלי כרטיס חכם. המשתמש הביתי יקבל (או ירכוש) מחשבון קטן שיידע לקרוא את הכרטיס החכם ולנפק סיסמא חד פעמית (לאחר הזנת PIN כמובן). רוס אנדרסון מציין שתי מתקפות מעניינות:
- במקרה שמחשבון שכזה ייגנב עם הכרטיס ניתן יהיה בקלות רבה יחסית לזהות את המקשים המרכיבים את ה-PIN (הם יהיו משופשפים יותר) ולהוריד את סבירות הניחוש מאחד ל-3000 לבערך אחד ל-10.
- גנבים יוכלו לעשות שימוש במכשירי Point Of Sale מזויפים על מנת לייצר סיסמת זיהוי לאתר הבנק (בעת שהמשתמש קונה בחנות שהתעסקו עם רכיב ה-POS שלה).
אלו האיומים שבדרך כלל מפספסים, כיוון שהם לא כתובים בשום ספר הדרכה.
בבלוג זה
בכל הבלוגים
