ממש היום מתפוצצת הפרשה הנוספת על אלקטור – שבמסגרתה נעם רותם ועומר כביר חשפו בכלכליסט ששוב היתה באלקטור פרצה נוספת. עשיתי גם פולואפ בהארץ. בגילוי הזה הסתבר שהיה עוד API חשוף שהביא את הkeys וה-secrets של אלקטור ומשם הדרך לקבל את הסנאפשוטים של מסד הנתונים היתה קצרה.
אני לא רוצה להכנס לפרטי הפירצה כי כבר כתבו עליה וגם אני חפרתי בפייסבוק ואין לי משהו טכני נוסף לציין – אבל כן יש לי משהו לכתוב על supply chain לאור שאלות רבות שעלו בפיד שלי גם בהקשר של הפרצה הקודמת. שאלות שלמשל ניר אלקבץ שאל בטוויטר ומתי הורוביץ שאל בפייסבוק.
בפרצה הקודמת וגם בזו, כללתי בהאשמות לא רק את חברת אלקטור אלא גם את מפלגת הליכוד. וזה נראה מאוד לא הוגן. למה? למה בדיוק הליכוד אשם בפריצה ודליפת מידע עצומה מהספק הקקמייקה שלו? הרי אם יפרצו למשל לחברת גוגל ויקחו משם מידע שכתבתי בג׳ימייל שלי – האם אפשר להאשים אותי? גוגל זה הספק – האחריות היא של גוגל, לא?
זהו שלא. שניה, לא לקפוץ. אני אסביר.
הספקים השונים שאנו משתמשים בהם הם חלק מ״שרשרת האספקה״ – חוליות רבות שנמצאות בדרך מחומרי ״הגלם״ עד ל״מוצר״ שהלקוח מקבל. הרבה פעמים יש פרצות/חולשות בשרשרת הזו. הדוגמה הקלאסית היא הפרצה שארעה ב-nagich שהפילה כמיליון דפים. בגדול הפרצה הזו היתה בתוסף נגישות שהמון אתרים השתמשו בו ושהאקרים פרצו אליו ודרכו הצליחו לעשות התקפת XSS על כל מי שהשתמש בתוסף הנגישות. מי אשם? גם nagich אבל גם האתרים עצמם שלא הטמיעו CSP מסודר שהיה מונע טעינה של התוסף במקרה של שינוי.
דוגמה קלאסית נוספת היא הדוגמה של הפריצה ל-copay, שבה השתמשו הפורצים ב-package מורעל. מי אשם בפירצה הזו? בת׳כלס? copay, שלא וידאו שבבילד שלהם אין שינויי גרסאות.
וזו הסיבה שבפיתוח מאובטח אנו מקפידים גם על הספקים שלנו. אם זה תוסף וורדפרס, אנו נוודא שמדובר בתוסף מוכר היטב ונעדכן אותו כל הזמן. אם זה מודול של npm, גם נבדוק שהוא פופולרי וגם נריץ עליו את סניק (למשל) או npm audit.
ואם אתם צריכים אסמכתא מקצועית נוספת – אז הנה, מערך הסייבר, שאני מעריך מבחינה מקצועית, קובע באופן חד משמעי בתורת ההגנה הארגונית שלו שארגונים צריכים לבצע אבטחה של שרשרת האספקה:
פעילותם של ארגונים רבים תלויה בשירותים שהם רוכשים מספקים חיצוניים. שירותים אלו יכולים להיות קבלני משנה שמייצרים רכיבים ממוחשבים, ספקים של שירותי מחשוב שונים, אפליקציות שבשירות הארגון וכו'. שירותים אלו יכולים להיות בעלי קישוריות אל מערכות הארגון, ועל כן עלולים להוות ערוץ תקיפה כנגד הארגון. בהתאם לכך, על הארגון להגן על עצמו מפני פגיעה העשויה להגיע מצד ספקיו. הוא עושה זאת באמצעות דרישות משפטיות וחוזיות להגנה בסייבר מספק השירות, באמצעות סקרי ספקים לבחינת מנגנוני ההגנה בסייבר שלהם, באמצעות נוהלי עבודה מול הספק וכו'.
אבל איך??? איך למען השם אני יכול לעשות את זה לספק? מה, ללכת ולדרוש מגוגל להסתכל על הקוד? לסרוק כל שורה של גוגל קלאוד?
אז לא. אבל כפי שמערך הסייבר קובע – יש צורך בנהלי עבודה. למשל:
1. בדיקה שלספק יש מומחה אבטחה מטעמו שמלווה את הפרוייקטים שלו.
2. הערכת סיכונים פנימית מתועדת בארגון על כל מוצר שמשתמשים בו.
3. ביקורת על מה מעבירים לספק ומה לא.
אם זו חברה עצומה שאין סיכוי שמישהו יתייחס אליכם שם, מספיק תיעוד של קבלת ההחלטות הזו ותיעוד של איזה מידע מעבירים לספק הזה ואיך מגינים עליו. למשל, אם החלטתי כן להשתמש בגוגל אקסל – אני יכול לקבל החלטה שאני לא מכניס לשם פרטים רפואיים רגישים, או שאני מאפשר את השיתוף רק לעוד שני אנשים. אם זה ספק קטן, אפשר וצריך להעביר אליו שאלון מפורט. גם פה מערך הסייבר נחלץ לעזרתנו ומסייע לנו עם שאלון שאפשר להעביר לספק שלנו. זה מקובל מאוד במיוחד אם אתם ארגון גדול שיש לו הרבה מידע..
אם אתם מנהלי ארגון או חברה, תעדו את כל הספקים החיצוניים שלכם: מי שאפשר, העבירו אליו שאלון ודירשו מענה. מי שאי אפשר – קיימו דיון מסודר ותעדו אותו.
אז בדוגמה שלנו עם גוגל: אם פרצו לגוגל והארגון שלך יכול להראות שבוצעה הערכת סיכונים, תהליך מסודר, הערכה ובדיקה של המידע שאנחנו מעבירים לגוגל. אז הארגון יכול להיות נקי מאשמה. אם הוא השתמש במוצר כמו שצריך כמובן ובהתאם לרשיון. אבל אם השתמשת בגוגל על הדרך ואחסנת פרטים סופר חשובים שלא אמורים להיות שם – זו אשמת הארגון.
במקרה של הפרצות האחרונות של אלקטור – לליכוד אין אחראי אבטחת מידע שיכול לבוא ולענות על שאלות, ובטח ובטח שהוא לא ציין שום הליך כזה והראה את הפרוטוקול ואת ההחלטות שהתקבלו. למה? כי הליכוד הוא ארגון מעולה בדיגיטל אבל מאוד גרוע באבטחת מידע. והשילוב הזה גרם לנזק מהחשיפה להיות כבד מאוד. אל תעמדו במקום שלו – תעדו היטב כל שימוש של ספק צד שלישי באתר שלכם, במערכת שלכם או בכל דבר הקשור למידע שלכם.
גם אם אתם בעלי עסק קטן, כדאי מאוד להשקיע שעה שעתיים מהחיים שלכם ולתעד כל ספק שלכם בצירוף פסקה קטנה על למה החלטתם לבחור בו. זה גם יעזור לכם להבין בכמה ספקים אתם משתמשים.
הערה קטנה אך קריטית: החשיפות האחרונות נעו בתפר העדין שבין פוליטיקה לטכנולוגיה. אני לא אדם מפלגתי ונדיר שאני מתייחס למפלגות או להליך פוליטי. אין מפלגה שאני תומך בה ואני נטול בית פוליטי וגם הדעות שלי משתנות כל הזמן. אני אשמח אם התגובות יהיו מנותקות מההקשר הפוליטי כי חלאס.
6 תגובות
לפי איך שזה נשמע אני כבר מחכה לסקנדל הבא והמסכם מאת אלקטור. נשאר מחובר.
יש תקלה בעדכונים למייל? כבר השבוע השני שאני לא מקבל עדכון למייל על פוסט חדש
כנל
לדעתי כאשר מדובר במידע כזה סופר רגיש,
הליכוד היה צריך למנות מומחה אבטחה מטעמו שיפקח על הספק שלהם
אי אפשר להעביר לחברה חיצונית כזה מידע סופר רגיש ולטמון את הראש בחול שהספק אחראי.
חוץ מזה אני חושב שהמדינה צריכה להפסיק להעביר למפלגות את ספר הבוחרים,
ובמקום זה להקים מערכת ניהול בוחרים בעצמה עם אפליקציות תואמות וכל הפיצ'רים הדרושים ולתת למפלגות גישה לשם.
כשנותנים חומר כל כך רגיש לכ"כ הרבה מפלגות אין חיה כזו שזה לא ידלוף
אפ' רן בר זיק לא יעזור
במוקדם או במאוחר זה ידלוף
בטח כשיש בחירות כל יומיים
זה לא בושה להיות פוליטי…
רן שלום.
יישר כוח על החשיפה השיטתית.
לנושא הפוסט ועניין אלקטור:
לדעתי שורש הבעיה נעוץ בארכיטקטורה של מערכות כאלו.
צריך לשאול מדוע בכלל צריך להפיץ ספר בוחרים?
האם ספר הבוחרים חייב להכיל פרטים אישיים כמו שם, מספר תעודת זיהוי, כתובת ומספרי טלפון?
הלא אם רוצים להמריץ מצביעים די לספק להם אפליקציה שמתקשרת למצביע פוטנציאלי בלי לחשוף שום פרט עליו.
ואת הפרטים כמו מספר זיהוי, כתובת וטלפון אפשר לשמור מוצפנים בהצפנה חזקה בבסיס נתונים מאובטח מרכזי. את הפענוח תעשה פונקציית פענוח באמצעות שרת מאובטח.
כך שלא הפעילים ולא מהנדסי המערכת לא ידעו פרטים ב clear case ולא תהיה לאף אחד יכולת להוריד db שלם ב Clear Case ללא כל הצפנה. גם אם ייגנב בסיס הנתונים יצטרכו מיליוני שנים או יכולת מעצמתית מתקדמת במיוחד לפצח את בסיס הנתונים.
מספרי זהות למשל אפשר להצפין בהצפנה חד כיוונית חזקה באמצעות פונקציית הצפנה חד חד ערכית וחד כיוונית כך שצורכי ניהול מצביעים לא ישתמשו במספרי זיהוי אמיתיים אלא במספרים מלאכותיים( surrogate keys).אין צורך לשמור ספר בוחרים בפורמט גלוי.