בדיקת חדירות
היא “תהליך לשיפור אבטחת מידע ע”י דימוי ניסיונות תקיפה”. המטרה היא תמיד שיפור אבטחת המידע, והדרך היא תמיד דימוי תקיפה, כל השאר משתנה. גם השם משתנה, לפעמים יקראו לבדיקה “מבדק חוסן”, “בדיקת פריצה” או “פריצה אתית”. השם האחרון הוא עברות של המונח “Ethical Hacking”, שנפוץ כמעט כמו “Penetration Testing”.
הדגש על היות הבדיקה “אתית” הוא מאד חשוב. מדי פעם אני שומע אנשים שטוענים ש”בדיקת חדירה אתית” היא אוקסימורון, אבל עוד לא קיבלתי הסבר למה (נשמח לתגובות בעניין הזה). האתיקה נובעת מהחצי הראשון בהגדרה: “תהליך לשיפור אבטחת מידע”. כל מה שאנחנו עושים בבדיקה צריך להימדד לאור היכולת שלה לשפר את אבטחת המידע אצל הלקוח.
בדיקות חדירות – מכאן גם ההבדלים הגדולים בין פריצה אמיתית לפריצה מדומה:
- פורץ צריך להתחבא.
- פורץ צריך למצוא רק חולשה אחת.
- פורץ יכול להמשיך לתקוף עד שנמאס לו, או לחילופין לנסות חולשה אחת ולעבור לקורבן הבא.
לעומתו האקר אתי צריך לנהל את הזמן שלו בצורה מדויקת. לפעמים צריך להפסיק “לחפור” למרות שאנחנו קרובים למצוא חולשה, ולעבור לדבר הבא. לפעמים צריך להפסיק לנצל חולשה שמצאנו ולעבור לחפש את החולשה הבא. המטרה תמיד תהיה למצוא את מקסימום החולשות, את מירב תובנות האבטחה, במסגרת המשאבים שנתונה לנו. גם המשאבים משתנים. בדרך כלל זמננו יהיה קצר, לפעמים יהיו לנו כלים ייחודיים, לפעמים נצטרך לפתח כלים ושיטות. לפעמים נתחיל כל כך קרוב ליעד שאחרי שעתיים נגרד קצת בראש ונשאל “מה עכשיו?”
הדרישה (העצמית, אני מקווה) לרמה אתית גבוהה תתבטא בכל שלבי הפרויקט, מהסבר מקיף ללקוח על התהליך ועד למסמך מסכם שיאפשר לו לאבטח את עצמו. דגש מיוחד נשים על הגנת המידע של הלקוח. אם נרצה להוכיח חולשת Local File Inclusion נשתמש בקובץ תמים, למשל c:\boot.ini ולא בקובץ רגיש. נמנע מעצמנו חשיפת מידע אישי של החברה או עובדיה, ככל שהדבר ניתן, ואם חרגנו מהמנדט שניתן לנו נתריע מיד. את המידע שנאסוף על הלקוח נשמור בצורה מוגנת, ואת המסקנות נעביר בצורה מאובטחת. לשלוח מייל עם קובץ Word זה ממש לא מספיק טוב.
אחת הדירקטיבות האתיות, בכל תחום, מהיפוקרטס (רפואה) ועד גוגל (שליטה עולמית) היא: “אל תעשה רע”. זו אמירה מורכבת: כדי לדעת האם מהפעולה שאני עושה יצא רע אני צריך לחזות את כל ההשלכות העתידיות שלה, והנבואה הרי היא לשוטים (וגם קצת לנביאים יהודיים, קדושים נוצריים ונוסטרדמוס, אבל אף אחד מהם לא הכיר TCP/IP). מכאן משתמע שהדרישה “לא לעשות רע” מכריחה אותנו להיות מקצועיים, להתעדכן, להבין מה אנחנו עושים ולא רק איך להפעיל כלים.
לבסוף נצטרך לחזור ולהיזכר שמטרת הפרויקט היא להגביר אבטחה. לצורך זה מעניין פחות באיזה חולשה השתמשנו, ויותר איך לפתור אותה. כדי להצביע על סוג הפתרון, לא כל שכן על הפתרון שהכי מתאים ללקוח, נצטרך ללמוד לא מעט על המוצרים בשוק. איזה מוצר פותר איזו בעיה, את מי מהמוצרים ניתן לשלב ועם מה, אילו יתרונות וחסרונות יש לכל מוצר (למען הסר ספק, גם כלי חינמי ופתוח הוא “מוצר” בהקשר זה). ברור, זה עולה לנו בהרבה זמן ומאמץ, אבל זה חלק מהמשחק. בלי הידע הזה אי אפשר להתאים ללקוח את הפתרון הנכון, ובעצם בשביל זה באנו.
הבחירה בין ביצוע עבודה “קלה וגרועה” ל-“טובה וקשה” היא לא ייחודית למקצועות התקיפה. תבחרו נכון.
יונתן בוקובזה, סגל Kernelios.
לעוד מידע על אבטחת סייבר ועל לימוד סייבר באינטרנט התקשרו כעת או השאירו הודעתכם ונחזור אליכם.
