בשבוע שעבר הופיעה בעיתונים הידיעה על מתכנת ששתל (לכאורה?) backdoor בשירות הקולי של בנק לאומי. האיש כנראה יתן על כך את הדין וכולם ישכחו את העניין (עד לתחקיר הבא של דנה וייס).

 

השאלה המעניינת היא - איך הוא הצליח לעשות זאת? האם יש אמון כל כך עיוור בין מנהלי ה-IT של בנקים לקבלנים החיצוניים שלהם, עד שכל עובד קבלן יכול לעבוד בלי מגבלה על המערכות החיות של הבנק? (ולדעתי היחס לעובדי הבנק צריך להיות חשדני לא פחות).

 

ועכשיו לשאלה היותר המעניינת - מה אפשר לעשות בשביל למנוע מקרים כאלה. אפשר לבקש מהעובדים לא לכתוב backdoors. ומה חוץ מזה? מה אתם הייתם עושים?

 

נ.ב. אהבתי את הכתוב בסוף הכתבה: "בחיפוש בביתו נתפס חומר מחשב רב". המממ... ממש חשוד. (ובחיפוש בביתו של עובד רשות השידור נמצאה טלוויזיה)

"האם יש אמון כל כך עיוור" התשובה היא כנראה כן.

אף מערכת בדיקות לא יכולה לכסות 100% מהאפשרויות במערכת, בנוסף לbackdoors הוא נושא שלא נבדק ב mainstream של הבדיקות ומאד קשה לטיפול- לכן האפשרות לbackdoors תמיד קיימת.

 

אני הייתי מצפה לפחות ל-code review.

backdoor פשוט כזה היה מתגלה בקלות. לא מדובר פה בפרצה מתוחכמת.

בחברות ה outsourcing והפרויקטים (נס ודומיה) המשכירות מתכנתים למשרדי ממשלה וחברות גדולות לאעושים Code review וגם לא בקרת איכות מסודרת - עבודה על פרויקט ad hoc שמיועד למערכת יחודית ללקוח יחיד היא שונה מעבודה על מוצר שבו להסתכלות רחבת טווח יש ערך, מנהלי פרויקטים בחברות אלו מבינים יותר בכתיבת הצעה למכרז ובדרך כלל לא מבינים ולא מתענינים בצד הטכני.

בצד הלקוח (הבנק במיקרה הזה) מחלקת מערכות מידע מנוונת מצד אחד ועמוסה מידי מצד שני תלויה לגמרי בספקים וחסרה את היכולת לפקח על איכות המערכות.

המתכנתים המועסקים בפרויקטים מסוג זה מקבלים יחס מזלזל ולא ראוי - מתכנת מתוסכל יכול בקלות להזיק.

אחריות אבטחת המידע מחייבת את הלקוח (הבנק) לעקוב ולנטר פעילות פנימית בכל המערכות ולבודד מערכות כך שנזקים ופריצות יתגלו וימוזערו.

לא התכוונתי לכתוב פירסומת אבל ככה זה יצא

http://guardium.com 

אולי יש מקום לחברה שתספק שירותי בקרת איכות לקוד שכזה. אני לא ממש יודע עם יש תקנות של פיקוח על הבנקים בנושא, אבל אולי יש מקום שיהיו תקנות כאלה.

 

לגבי guardium - זה בהחלט יכול להיות חלק מהפתרון, אם כי יהיה קשה (אני צודק?) לזהות פעולה זדונית שבוצעה אולי בשם של עובד/לקוח תמים.

 

אגב, אני זוכר שיש גם חברת sentrigo מכפר סבא שמפתחת משהו דומה, נכון?

לשאלתך האם יש נאמנות עיוורת, התשובה היא כן, ברובם המוחלט של המקרים. אם אותה סדרת הכתבות "מישהו עוקב אחריך" של דנה וייס בערוץ 2 היתה חושפת את תהליכי ותרבות העבודה בכל הנוגע לפרוייקטים טכנולוגיים במערכות בנקאיות ופיננסיות מעבר לחשיפה של הפריצה האקראית לבנק, אמון הציבור במערכות אלה סביר להניח היה נפגע.

 

 לשאלה הבאמת יותר מעניינת, מה ניתן לעשות בנדון, אספר כי נתקלתי לפני זמן לא רב בפרוטוקול ישיבת ועדת המדע והטכנולוגיה משנת 2004 ואשר עסק בין היתר בנושא הזה או ליתר דיוק "הפריצה למחשבי הבנקים - סכנה לחשבונות הציבור".

 

כל נציג בנק שהיה באותה הישיבה השתדל להתרברב בכסף הרב שמושקע במנגנונים שונים לאבטחת מידע בבנק אותו הוא מייצג, הייתה התייחסות רבה למנגנונים הפיזיים והלוגיים אך התייחסות מועטה למנגנונים שפותחו כמענה לגורמים האנושיים והרי כשמדובר בגורם אנושי ולעניין הדיון בעובד של קבלן משנה אשר מוסיף Backdoor הרי שמדובר במעין מעילה או הונאה טכנולוגית והטיפול בה לדעתי צריך להיות כבכל מעילה והונאה.

 

בהנחה שקיימת הלימה בין אופייה של מעילה קלאסית לאופייה של מעילה טכנולוגית אזי הדרך להתמודד עמה היא בדרך של הערכת סיכונים ותוכנית למניעת מעילות טכנולוגיות. מצגת זו אשר נושאה "ניהול סיכונים בקרנות פנסיה - מעילות והונאות" בהתמרה פשוטה יכולה לשמש בקלות כבסיס לפיתוח תוכנית מתאימה בכל סוגי הארגונים ובמיוחד בארגונים רגישים כגון בנקים למניעת מעילות והונאות טכנולוגיות.

 

 

 

מצגת מעניינת וממצה, מקומם של האמצעים הטכנולוגיים הוא בהקטנת ההזדמנות ע"י הידוק הבקרה.
במערכות פיננסיות גדולות יש בעיה לגבי פטרונות הגנה כאשר המחיר של False Positive - חסימה שגויה של טרנזקציה לגיטימית עלול להיות גבוה בעוד שנזקים של גניבות ומעילות נלקחים בחשבון ואולי אף מכוסים ע"י ביטוח.
הגורם העיקרי המביא חברות וגופים לפעולה הוא אכן חקיקה - מאז פרשת אנרון נחקקו בארה"ב חוקים מחמירים המחייבים חברות לשמור תעוד לכל תנועה ומחילים אחריות אישית על מנהלים, לאחרונה נוסף גורם משמעותי כאשר חברת TJX שממחשביה נגנבו פרטי לקוחות דיווחה על פגיעה משמעותית בתוצאות הכספיות כתוצאה מהפרשה (ומפרסומה).
אבטחת מידע היא נושא אסטרטגי באירגון ומחייבת תפישה רחבה - מערכות בקרה והגנה צריכות להיות משולבות ברמות שונות - קימות חברות רבות הפועלות בתחום, אני לא מכיר את sentrigo (שמעתי את השם) והאתר שלהם מחרבש לי את Firefox.
לגבי השאלה של גנאדי על Guardium -
א. כל תנועה בבסיס הנתונים מתועדת לצורך ביקורת עתידית.
ב. מערכת המוגדרת נכון יכולה להתריע ואף לחסום פעולות החורגות מהנורמה - אם משתמש מורשה ניגש למערכת מתחנה שונה, מחוץ לשעות הרגילות, דרך אפליקציה שונה או אפילו פועל בערכים חריגים המערכת תזהה ותתריע - גם מפתח מתוסכל או עובד מושחת שיודע סיסמאות גישה יתקשה לעקוף את כל החוקים.
למען גילוי נאות אני מועסק ע"י Guardium מ 2003, אני איש פיתוח לא איש שיווק ואין לי את כל התשובות שיש לאנשי שיווק, ניסיתי לשתף קצת מההכרות שלי בתחום