גיליון אבטחת מידע

חדשות אבטחת המידע 2 2 3 3 4 4 0 0 0 0 7 7 8 השבוע בגיליון: הטיפ השבועי רשתות חברתיות יש לוודא כי אינכם מפרסמים חומר או משתפים אנשים בנושאים הקשורים לעבודה. מומלץ לאמת את זהותם של הפונים אליכם. מומלץ למעט בחשיפת פרטים אישיים )כתובת דואר אלקטרוני, תאריך לידה וכו'( ע"מ לא להיות קורבן להונאה. ישראל: חשבונות הדוא"ל של עובדי "הארץ" הושבתו עקב פריצה... Twitter מודה: מתקפת האקרים הפילה 202,222 חשבונות... ישראל: שלי יחימוביץ' חשפה מייל ששלח לה נתן אשל בשוגג... סינים ניסו לגנוב סיסמאות של עובדי...New York Times ישראל: נגנבו פרטי Facebook של מעל 00,222 איש... בריטניה: הגנת נתונים בראש קדימויות האבטחה של ארגונים... האקר חשף נקודות תורפה בעשרות אתרים בטחוניים אמריקאיים... תרבות BYOD וסכנותיה... ארה"ב: מהימנות הפרטיות של האינטרנט ורשתות חברתיות בשפל... ארה"ב: זיהוי פנים הוא כבר עובדה קיימת... גרמניה: משחק ברלינאי חדש השמד את המצלמה... ארה"ב: הטרויאני 3 Gozi מפתחים, מיליון מחשבים, מיליוני דולרים... ישראל: פיתוח חדש לאכיפה מקומית של מדיניות אבטחה סלולארית... אין להפיץ, לשכפל או להעתיק את החומר הכלול בגיליון זה, בחלקו או בשלמותו, ללא אישור מפורש מחברת אורנסק

2 ישראל: חשבונות הדוא"ל של עובדי "הארץ" הושבתו עקב פריצה פרצת אבטחה קשה במערכת המחשבים של קבוצת "הארץ" הביאה להשבתת חשבונות הדוא"ל של כל עובדיה. בבוקר ה- 0 בפברואר קיבלו העובדים הודעה לכאורה מהמו"ל עמוס שוקן עם שורת הנושא "חשוב". בהודעה החמיא להם "שוקן" על סיקור המתקפה בסוריה וצירף "קישור" לאחת הכתבות. ביחידת המחשב מיהרו לזהות שמדובר בהודעה מתחזה שמקורה בפריצה לחשבונו של שוקן או למערכת הדוא"ל, והזהירו את תמונה: freedigitalphotos.net העובדים שלא לפתוח אותה. בעקבות ניסיון הדיוג הזה, חסמה יחידת המחשוב של הקבוצה את המערכת לכלל העובדים עד יום א' ה- 3 בפברואר. למחרת הפריצה פרסם "הארץ" ידיעה באתרו ולפיה "האקרים, ככל הנראה מסוריה, הצליחו לפרוץ למערכת הדוא"ל... וגרמו להשבתתה". עוד נכתב באותה ידיעה כי "הפצחנים פרסמו באינטרנט את כתובות המייל והסיסמאות שהשיגו. להמחשת הישגם הם גם פרסמו צילום מסך של אחד החשבונות הפרוצים". מהקבוצה נמסר כי כל הסיסמאות הוחלפו וכי רמת האבטחה תשודרג. עוד נמסר כי הגלישה באתרי הקבוצה לא נפגעה וכי "פרטיהם של גולשים לא נחשפו". העמוד אליו הועלו הפרטים שגנבו ההאקרים הכיל יותר מ- 82 שמות משתמש וסיסמאות של עובדים כולל בכירים כמו שוקן עצמו. עוד הוצגו שמות המשתמש והסיסמאות של "הארץ" בשירותים שונים בהם הוא משתמש. על העמוד חתום "הצבא הסורי האלקטרוני" )וואלה(. Twitter מודה: מתקפת האקרים הפילה 301,111 חשבונות פרטי ההתחברות של כרבע מיליון חשבונות Twitter נחשפו להאקרים. בהודעת החברה נמסר כי זיהתה דפוסי פעילות חשודים ובדיקה שערכה העלתה חשד שפרטים כגון שמות משתמש, סיסמאות וכתובות דוא"ל נחשפו ב"מתקפה מתוחכמת" של האקרים בלתי מזוהים. Twitter הדגישה כי מדובר בסיסמאות מוצפנות, אך ליתר בטחון איפסה את סיסמאות כל החשבונות האמורים. "המתקפה לא היתה עבודה של חובבנים, ואיננו מאמינים שמדובר בתקרית בודדת", מסר מנהל האבטחה של.Twitter בחברה חושדים שהתקיפה התאפשרה עקב פרצת אבטחה ב- Java, והמליצה למשתמשיה לחסום את תוספי ה- Java בדפדפנים, כיוון שאלה ידועים כבעלי אבטחה לקויה. עוד המליצה הרשת החברתית למנוייה להשתמש בסיסמאות חזקות במיוחד, בנות עשרה תווים לפחות. מתקפה זו באה בעקבות שורה של מתקפות נגד גופי תקשורת, כגון New York Times ו- Wall Street.Journal אחת ההשערות הן שהמתקפות הן ביזמת המשטר בסין )וואלה(.

3 ישראל: שלי יחימוביץ' חשפה מייל ששלח לה נתן אשל בשוגג נתן אשל, איש סודו של רה"מ בנימין נתניהו, התבקש על ידו לעמוד בראש צוות המו"מ הקואליציוני, כך טען בהודעת דוא"ל ששלח לפני קרוב לחודשיים ליועצת המשפטית של משרד רה"מ, עו"ד שלומית ברנע- פרגו ובטעות גם לשלי יחימוביץ', בגלל הדמיון בין השמות. הדברים עומדים בסתירה להצהרות רשמיות ולפיהן לא היתה כל כוונה לצרף את אשל לצוות הרשמי. "האם התחייבותי לא לעבוד בשירות הממשלתי )לא כולל הציבורי או הפוליטי( יוצרים ]כך[ בעיה או שזה בסדר?", שאל אשל את היועצת. את ההודעה המרשיעה פרסמה ב- 28 בינואר יו"ר מפלגת העבודה שלי יחימוביץ' בעמוד Facebook שלה. "איך לאשל יש את כתובת המייל האישי שלי?", שאלה יחימוביץ'. "הוא השיג אותו בשעתו כדי לשגר אליי שורה של מיילים מביכים של נאצה, אחרי שדרשתי שיפסיק לנהל את ענייני המדינה... וגם אחרי שביקשתי לגונן על חושפי הפרשה מנחת זרועו של נתניהו. המייל הזה הגיע אליי בתקופת מערכת הבחירות. לא חשפתי אותו כי זה היה בגדר ביצה שלא נולדה. עכשיו כשנתן אשל חזר לחיינו, ומנגד גם מכחיש מעורבות... שפטו בעצמכם". בימים האחרונים התעוררה מחאה ציבורית סביב השתתפותו של אשל בצוות המו"מ. מספר פעילות פמיניסטיות פתחו בקמפיין נגד מעורבותו זו משום שהודה בהתנהגות לא הולמת כלפי עובדת לשכת רה"מ בעת שהשניים עבדו יחד. בעקבות אותו מקרה, התפטר אשל מתפקידו והתחייב לא לעבוד יותר בשירות הציבורי )הארץ(. סינים ניסו לגנוב סיסמאות של עובדי New York Times האקרים סינים פרצו למחשבי העיתון New York Times וניסו לגנוב מהם מידע במשך ארבעה חודשים. התקיפה החלה בשעה שהעיתון עבד על כתבה שעסקה בהון שצברו בני משפחת ראש ממשלת סין, וון ג'יאבאו. הפורצים חדרו לחשבונותיהם של 03 כתבים ועובדים, רובם בחדר החדשות, כדי לחפש מידע הקשור לכתבה על וון. בין היתר, הם פרצו לחשבון הדוא"ל של ראש הסניף בשנחאי שחיבר את הכתבה וראש הסניף בהודו שניהל קודם לכן את סניף בייג'ין. מומחי אבטחה ששכר העיתון גילו שהפורצים השתמשו בשיטות שיוחסו בעבר לכוחות המזוינים של סין. כך למשל הם ניסו להסוות את ניסיון הפריצה על ידי חדירה מוקדמת לאוניברסיטאות בארה"ב וביצוע הפרצה משם. יחד עם זאת מהעיתון נמסר כי לא נגנב או הועתק כל מידע רגיש. ההאקרים יצרו לפחות שלוש דלתות אחוריות במחשבי משתמשים, בהן השתמשו כדי לחדור למחשבים נוספים, ובעיקר כדי לגלות את השרת המרכזי ובו שמות המשתמשים וסיסמאותיהם המוצפנות. במשך שלושה חודשים, התקינו התוקפים במערכות העיתון לא פחות מ- 40 רושעות, מתוכן זיהו תוכנות האבטחה של Symantec שנועדו להגן על העיתון, רק אחת )הארץ(.

דה-) 4 ישראל: נגנבו פרטי Facebook של מעל 00,111 איש רשת הרובוטים PokerAgent התגלתה ב- 2202 בידי.ESET מדובר בסוס טרויאני שנועד ללקט פרטי התחברות ל- Facebook, כמו גם פרטי אשראי הקשורים לחשבונות.Zynga Poker ונתונים סטטיסטיים של שחקני Facebook הבוטנט הפעילה עדיין בעיקר בישראל פגעה ב- 822 מחשבים וגנבה פרטי Facebook תמונה: freedigitalphotos.net של יותר מ- 00,222 משתמשים. כשניתנת לו הוראה, הסוס הטרויאני מתחבר לחשבון Facebook של הקורבן ואוסף את נתוני Zynga Poker ופרטי האשראי השמורים בחשבון. לאחר מכן, הוא שולח את הפרטים לשרת השליטה והבקרה אליו מחוברת הרשת הרובוטית. ESET ממליצה בחום "להפעיל שיקול דעת זהיר לפני שאתם מתירים לדפדפן או לכל יישום אחר "לזכור" סיסמאות לשירותים רגישים ולפני שאתם שומרים פרטי אשראי בכל יישום שהוא )ולא רק ")!Facebook האקר-ניוז(. בריטניה: הגנת נתונים בראש קדימויות האבטחה של ארגונים הגנת נתונים עומדת השנה בראש סדר עדיפויות אבטחת המידע של יותר ממחצית הארגונים הבריטיים. מהותית, נתון זה לא השתנה מאשתקד, אלא ששיעור החברות הרלוונטיות עלה מ- 43% ל- 02% מהמשתתפות בסקר. בנוסף, אבטחת נקודות קצה ניידות עלתה מהמקום הרביעי ב- 2202 למקום השני השנה, דבר המשקף שימוש גובר בטכנולוגיות ניידות ואת הצורך לאבטח את המכשירים הללו. קרוב למחצית מהמנמ"רים שהשתתפו בסקר אמרו שארגוניהם יתירו לעובדים לרכוש סמרטפונים משל עצמם, ו- 22% יתירו להם לרכוש מחשבי לוח משל עצמם, לשימוש בארגון. ניהול זהות ונגישות עלה מהמקום השביעי למקום השלישי, מה שמעיד על התמקדות רבה יותר בנגישות לנתונים על בסיס תפקיד. במקום השלישי, לאחר ירידה מהמקום השני אשתקד, מדורגת אבטחת רשתות. לבסוף, אבטחת וירטואליזציה עלתה מהמקום השישי לרביעי. ארגונים רבים יותר ויותר משתמשים בווירטואליזציה כדי לצמצם את מספר השרתים הפיסיים שהם מתחזקים כדי לקצץ בהוצאות ולהיערך למעבר למחשוב ענן. יותר משליש החברות כבר מתכננות ליישם וירטואליזציה של מחשבי שולחן, וקרוב לחמישית מתכננות וירטואליזציה אפליקטיבית. יחד עם זאת, אבטחת ענן מדורגת במקום נמוך, מה שמעיד על כך שבעוד שיותר ממחצית החברות מתחילות להשתמש בענן, הרי שרק מעט יחסית העבירו נתונים רגישים לסביבות מעוננות )קומפיוטר-ויקלי(.

5 האקר חשף נקודות תורפה בעשרות אתרים בטחוניים אמריקאיים SQL האקר המתכנה (~!White!~) ומשרד ההגנה. חשף פגיעויות להזרקת בעשרות דומיינים של צבא ארה"ב, האו"ם הזרקת SQL היא טכניקת פריצה המנסה להעביר פקודות SQL דרך יישום רשת, לביצוע על ידי מסד הנתונים התומך. אם אינם מתוחזקים כראוי, יישומי רשת עלולים להיחשף למתקפות הזרקת SQL שמאפשרות להאקרים לצפות במידע ממסד הנתונים או אף למחקו. ההאקר העלה ל- Pastebin דגימה קטנה לנתונים שחשף מהאתרים, שכללו את אתר,pentagon.mil את לשכת הסמנכ"ל האחראי לתוכניות מדעיות, את אתר בסיס הצבא האמריקאי בוויסבאדן, גרמניה, אתר הבסיס דארבי באיטליה, ועוד )דה-האקר-ניוז(. תרבות BYOD וסכנותיה לוקחים את ה- ipad הפרטי לפגישות וישיבות מחוץ למשרד? מורידים קבצים מהסמרטפון למחשב בעבודה? מנהלים את כל יומן הפגישות על מחשב הלוח? מתברר שלא כולם יכולים לעשות זאת. מקומות עבודה רבים מגבילים באחרונה את השימוש של עובדים תמונה: freedigitalphotos.net במכשיריהם האישיים לצרכי עבודה, מחשש לדליפת מידע עסקי. העלייה המתמדת בשימוש במכשירים חכמים גרמה למקומות עבודה רבים בעולם לאמץ את גישת BYOD )"הבא מכשירך מהבית"(. מצד אחד הדבר משרת את בית העסק ומאפשר זמינות תמידית של העובד, ומצד שני הסיכון לזליגת מידע רגיש עולה, בין אם עקב אבדן המכשיר ובין אם עקב ניצולו לשתילת רוגלות שיעברו לרשת הארגונית. ספק אם ניתן יהיה לבלום את המגמה לגמרי, וזאת לאור הצורך של העובד בנגישות תמידית למידע, גם מחוץ למשרד. כדי לנסות להתמודד עם הבעיה, מקומות עבודה רבים מגבילים את השימוש במכשיר האישי, עד כדי איסור שימוש בזמן העבודה ולצרכיה. עפ"י חברת מחקרי השוק,Gartner עד 2200 לפחות רבע מהעובדים באירופה ובצפון אמריקה לא יורשו להביא לעבודה מכשירים ניידים שרכשו בעצמם. בישראל, אוסרים גופים בטחוניים כמו רפא"ל והתעשייה האווירית להכניס ניידים לאזורים ממודרים. גם ארגונים אחרים כמו בנקים וחברות ביטוח מטילים הגבלות שונות כגון מניעת גישה למערכות הארגוניות באמצעות הניידים ואיסור להכניסם לדיונים מסוימים. ואמנם, האיומים תופחים במהירות. ברבעון האחרון, למשל, חל זינוק של יותר מ- 3,222% בכמות הווירוסים בטלפונים סלולאריים, וזאת בשעה שפחות משישית מהמשתמשים מגנים על עצמם בצורה כלשהי. בתרבות, BYOD חדירה למכשיר הנייד משולה לחדירה לארגון )וואי-נט(.

6 ארה"ב: מהימנות הפרטיות של האינטרנט ורשתות חברתיות בשפל סקר חדש מדרג את האינטרנט, והרשתות החברתיות בתחתית רשימת הענפים המהימנים בתחום הפרטיות. המשתתפים בסקר יותר מ- 0,722 בוגרים בארה"ב התבקשו לדרג את חמש החברות שהם סומכים עליהן להגן על פרטיות המידע האישי שלהם. לראשונה בארבע שנים, Apple לא נכללה ברשימת עשרים הראשונות של 2202. גם,Google נעלמו מהרשימה לאחר שקיבלו ציונים ו- AOL Dell,Yahoo,Facebook,Best Buy טובים או סבירים בעבר. לא פחות מ- 02% מהמשתתפים בסקר ביטאו תחושה כי זכויות הפרטיות שלהם פוחתות או נשחקות על ידי רשתות חברתיות, טלפונים חכמים וכלי מעקב גיאוגרפי. כמעט מחציתם דיווחו כי קיבלו לפחות הודעה אחת על דליפת נתונים בשנתיים האחרונות, ו- 77% טענו כי הודעות כאלו פגעו באמונם בארגונים שדיווחו על הפרצה. רוב הנשאלים הודו כי חלקו מידע אישי עם ארגון שלא היה מוכר להם ושלא נתנו בו אמון, ורובם עשו זאת לצורך הנוחות של קניות באינטרנט. רק כשליש ביטאו תחושה שיש להם שליטה במידע האישי שלהם, שיעור שיורד בהתמדה בשבע השנים האחרונות. בראש הרשימה העדכנית דורגו,Amazon,Hewlett-Packard,American Express ו- IBM. Microsoft ו- Mozilla נכנסו לרשימה בפעם הראשונה, במקומות ה- 07 וה- 22 בהתאמה. חברות טכנולוגיה נוספות הנכללות בעשרים הראשונות הן AT&T,Verizon ו- WebMD )סי-נט(. ארה"ב: זיהוי פנים הוא כבר עובדה קיימת טכנולוגיית זיהוי הפנים כבר הגיעה לרמת התפתחות גבוהה וניתן כבר ליישמה לצרכי בטחון פנים. הגורם המוביל בתחום הוא ה- FBI, אך גם גורמי בטחון ישראלים מגלים עניין. מערכת "דור הזיהוי הבא" תכלול מסד נתונים ארצי של פרצופים ונתונים ביומטריים אחרים של עבריינים, במשולב עם מסד נתוני טביעות האצבע הקיים. בין היתר, ייכללו במערכת סריקות רשתית, נתונים גנטיים וזיהוי קולי. המערכת צפויה לעבור ליישום מלא בתחילת השנה הבאה. ה- FBI שואף שהמערכת תוכל לנהל מעקב אחר חשוד על ידי זיהוי פניו בקהל. בדיקות שנערכו ב- 2202 הוכיחו כי מיטב האלגוריתמים יכולים לזהות פנים של חשוד בקהל מתוך מאגר של 0.0 מיליון תמונות מעצר בשיעור הצלחה של 22%. לכשיושלם פיתוחה, המערכת גם תאפשר התאמה בין תמונת מעצר לתמונתו של אדם שאינו מביט הישר במצלמה )איי אייץ'-אל- אס(.

7 גרמניה: משחק ברלינאי חדש השמד את המצלמה גברים לבושי שחורים ועוטי מסכה נכנסים לרכבת התחתית של ברלין. הם לא רוצים לכייס אתכם יש להם מלחמה במצלמות האבטחה. למשחק הזה קוראים Camover )הכלאה בין Camera ל- Over )Game ומטרתו ברורה: מחאה אגרסיבית נגד התפשטות אמצעי המעקב בבירת גרמניה. מי שרוצה להשתתף במשחק צריך להקים קבוצה קטנה ולתת לה שם שמתחיל במלים כמו "תא" או "בריגדה" ומסתיים בשמה של דמות הסטורית )כמו למשל הקומוניסט ההולנדי מרינוס ואן דר לובה שהצית את הרייכסטג ב- 0233 (. אחר כך על הקבוצה להרוס כמה שיותר מצלמות אבטחה. אמנם אין חובה ללבוש מסכה, אבל זה מאד מומלץ. לבסוף, יש להעלות את סרטון הפעולה לאתר המשחק, אתגר בפני עצמו כיוון שהרשויות מסירות את האתר מהרשת כל העת. הניקוד ניתן לפי מספר המצלמות ההרוסות, וכן היצירתיות שבה נהרסו. לדברי יוזמי המשחק, מצלמות מעקב אינן מורידות את רמת הפשיעה ורק מעלות את מפלס החרדה באוכלוסיה. השימוש בהן אמנם שנוי מאד במחלוקת בגרמניה. מצד אחד הן מסייעות בחקירת אירועים פליליים וביטחוניים, ומצד שני הן פוגעות פגיעה קשה בפרטיות. המשחק יסתיים ב- 02 בפברואר, מועד כינוסו של קונגרס המשטרה האירופי בברלין. הפרס למנצחים הוא השתתפות בפעולת מחאה שמיועדת להתקיים שלושה ימים קודם לכן, במהלכו... יושמדו עוד מצלמות אבטחה )וואי-נט(. ארה"ב: הטרויאני - Gozi 3 מפתחים, מיליון מחשבים, מיליוני דולרים הרשויות בארה"ב מאשימות שלושה חשודים במתקפת מחשבים חסרת תקדים נגד עולם הבנקאות; הסוס הטרויאני שפיתחו זיהם לפחות מיליון מחשבים וגנב מיליוני דולרים. בארה"ב לבדה הותקפו כ- 42,222 מחשבים, כולל בנאס"א. ניקיטה קוזמין הרוסי )20(, דניס קאלובסקיס הלטווי )27( ומיכאי פאונסקו הרומני )28( הם האחראים להפצת הסוס הטרויאני,Gozi הנחשב בעיני משרד המשפטים ל"אחד מווירוסי המחשבים ההרסניים ביותר בהיסטוריה של מערכות פיננסיות". Gozi הופיע לראשונה ב- 2227, והופץ מאז בעיקר באמצעות משלוח מסמך PDF נגוע לקורבן. העבריינים היו מאורגנים מאד: קוזמין וקאלובסקיס )ה"מוח"( פיתחו את Gozi ופאונסקו היה אחראי לשירות "אירוח מאובטח" של הרושעות השונות שהפיצו, כולל.ZeuS העבריינים לא הסתפקו בהפצת הטרויאני במישרין, אלא גם הציעו אותו בפורומים מחתרתיים כשירות להשכרה על בסיס שבועי. המודל המסחרי שלהם כלל פיתוח גרסאות שונות של הרושעה כמענה לצרכים ספציפיים של הקונים )סקיוריטי-אפרז(.

8 ישראל: פיתוח חדש לאכיפה מקומית של מדיניות אבטחה סלולארית עובדים רשלנים, אינספור אפליקציות והקרב האינסופי בין ספקי אנטי-וירוס למפתחי וירוסים מסבים נזק לארגונים, ובעקבות זאת מוטלות הגבלות שונות ומשונות על עובדיהם והמכשירים שהם מביאים מהבית. כדי להתגבר על אתגר זה, פיתחה חברת WiseSec טכנולוגיה חדשה המאפשרת למנהל האבטחה לאכוף מדיניות אבטחה מקומית על טלפונים חכמים לפי מקום תמונה: freedigitalphotos.net המצאם. מייסד החברה ומנכ"לה, ואדים מאור, מסביר: "בניגוד לטכנולוגיות אחרות בשוק האבטחה הסלולארית, הטכנולוגיה שלנו אינה משתמשת בתוכנות מקובלות כמו אנטי-וירוס, ניהול מכשירים ניידים )MDM( או ריבוי זהויות במכשיר יחיד, אלא אוכפת מדיניות דינאמית מקומית למניעת דליפת נתונים רגישים, מוגבלים או מסווגים. הדבר נעשה ללא צורך בשינוי הגדרות היסוד של מערכת ההפעלה, ותוך צריכה מזערית של הסוללה". עוד הוסיף מאור כי הטכנולוגיה אינה מסתמכת על רשת סלולארית או שירותי, GPS פועלת הן בתוך משרדים והן במרחב הפתוח, ויכולה לסכל סוגים שונים של הונאה ומתקפות קיברנטיות. מדיניות האבטחה של,WiseSec המכונה,CelluSec יכולה להגביל או להשבית פונקציה אחת או כמה פונקציות הנחשבות לרוב לסיכוני אבטחה כולל מצלמה, מיקרופון, רשת נתונים, חיבור,WiFi חיבור,GPS,Bluetooth שיחות ומסרונים בשני הכיוונים, וכל אפליקציה שהיא. לדברי מאור, "מדובר בטכנולוגיה מבוססת לקוח שהמשתמש צריך להתקינו אם ברצונו לקחת את הסמרטפון איתו לאזורים ממודרים. מרגע שהותקן, לקוח המכשיר אוכף באופן דינאמי את המדיניות הרצויה, בכפוף למיקומו, ומסיר את המדיניות עם היציאה מהמרחב המוגן. המשתמש אינו יכול לסגור או להסיר את האפליקציה בלי אישור מאחראי האבטחה שלו, וכשנעשה ניסיון למחוק את המכשיר, מקבל אחראי האבטחה הודעה על פריצה אפשרית" )איי אייץ'-אל-אס(.