יומן אבטחה

הבחור המסכן בסך הכל רצה להשתמש בשרתי מערכת המים כבסיס להפצת דואר זבל (כנראה, הלשכה הפדרלית לחקירות (יענו FBI) עדיין חוקרת). זו הפעם הרביעית בארבע השנים האחרונות שהייתה חדירה למערכות SCADA בארצות הברית (כלומר, הפעם הרביעית שפורסמה).

מדברים הרבה על אבטחת מערכות SCADA (ראשי תיבות של Supervisory Control And Data Acquisition, מערכות שליטה ובקרה לתשתיות מים, חשמל, גז וכדומה) בשנתיים שלוש האחרונות. בהחלט נושא חם. אבל איכשהו נראה לי שכשתקרה תקלה בתשתית קריטית המופעלת על ידי מערכות שכאלה זה לא יהיה בגלל איזה ארגון טרור. יותר בגלל שעובד הביא את הבן שלו לעבודה באיזה חופש מבצפר והילד בסך הכל יחבר לשרת כרטיס רשת אלחוטי סלולרי (ב-USB) כדי להוריד כמה משחקים ובדרך יכניס איזה רעה חולה לתוך הרשת הזו.

מקור: abcnews

כיצד מאבטחים תעשיות כימיות? (עשוי להיות רלוונטי גם לתעשיות אחרות). אפשרות אחת היא לעשות שימוש בכל המנגנונים המוכרים. אפשרות אחרת היא לשנות את התהליכים העסקיים. שימוש בתהליכי ייצור שונים, בחומרים בטוחים יותר, אחסון מלאים קטן יותר (מה שמחייב מערכת ייצור יעילה יותר וגמישה יותר) וכן הלאה. זה מה שכרגע הקונגרס האמריקאים מנסה לחייב את התעשיות הכימיות בארה"ב לעשות. הן מצידן מתנגדות כמובן, כי אין להן ממש תמריץ כלכלי לעשות את זה (יש כ-100 אתרים שנזק בהם עלול להרוג כמיליון איש, אבל זה לא תמריץ כלכלי). בארץ נראה לי שהמצב הרבה פחות נורא. הרי גם ככה התעשיות הכימיות ברמת חובב הורגות אנשים כל שנה והזיהום בחיפה כל כך עצום שנזק לתעשיות שם ושם לא יהרוג יותר אנשים, הוא רק יהרוג אותם יותר מהר.

בכל מקרה, זו הדגמה יפה כיצד ניתן להשפיע על רמת האבטחה באמצעות התהליך העסקי ולא באמצעות כלי האבטחה המוכרים. למה הדבר דומה? זוכרים את הרשימה על הונאות במנגנון הפרסומות בגוגל? שם פתרון האבטחה נמצא כנראה בשינוי המודל העסקי ומעבר מתשלום על לחיצה על פרסומת לתשלום על רכישה בפועל.

מקור: Technology Review

נתקלתי בכתבה הזו ב-Security Focus, שמתארת מחלוקת עמוקה שהתגלתה בין יצרני תוכנה בתחום מערכות השליטה ובקרה התעשייתיות (SCADA: Supervisory Control And Data Aquisition) לבין מומחי אבטחה. המחלוקת צפה בכנס שנקרא PCSF (Process Control System Forum), עקב גילוי פומבי של מפגע אבטחה במוצר של חברת LiveData שמאפשר להשבית שרתים המריצים את התוכנה הפגועה.

בתחום מערכות השו"ב התעשיתיות הנושא של איתור מפגעים וחשיפתם בפומבי, כפי שאנו מכירים ממערכות ארגוניות אחרות, אינו כל כך נפוץ. בעיקר כי מערכות אלה אינן כה נפוצות ופחות נגישות לחוקרים (ולפורצים). מערכות שו"ב תעשיתיות הנן המערכות המשמשות לשליטה על תשתיות לאומיות ותשתיות אחרות, כמו מפעלי חשמל, תשתיות הולכת גז, בתי זיקוק, סכרים, מפעלים כימיים וכדומה. מדובר במערכות קריטיות, מערכות זמן אמת שתקלה בהן באמת ובתמים יכולה לעלות בחיי אדם.

המחלוקת הייתה סביב השאלה האם זה ראוי לפרסם מפגעים למערכות אלה כתמריץ לחברות התוכנה לתקן ליקויים, או שעקב רגישות המערכות יש להשאיר את העניינים סמויים מהעין.

אני חסיד של הגישה האומרת "היכן שאין שקיפות סימן שהמים עכורים". הדרך היחידה שלנו כאזרחים לוודא את רמת האבטחה של תשתיות לאומיות (אני כותב כאילו שיש לי קשר למחקר או לכנס) היא על ידי חשיפת מחדלים באופן פומבי. מרגע שמחליטים שבשם "הבטחון הלאומי" לא כדאי לחשוף כשלי אבטחה כיוון שאלה עלולים להיות מנוצלים לרעה, הרי שרוב הסיכויים שהכשלים האלו יישארו כמות שהם ויום אחד מישהו גם ינצל אותם לרעה.

ומשהו קטן לסיום. מהו תרחיש האיום? אם מדובר בהגנה על תשתיות לאומיות, הרי הנחת היסוד היא שהיריב אינו ילדון שמריץ סקריפטים שהוריד מהאינטרנט אלא גוף במימון מדינתי (אירן?) שמבצע ממש מחקר עומק. גוף כזה יעלה על מפגעים שכאלה בעצמו ולא יחכה עד שמישהו יספר לו כיצד לפרוץ למערכות, כך שהטיעון של חשיפה פומבית כמגביר פוטנציאל נזק הוא קלוש.

ועוד משהו קטנטן - שווה לקרוא בהקשר זה את עקרון קרקהוף בוויקיפדיה