רגע לפני הפריצה- המפתח לאבטחה הוא השכלה
לאחרונה פורסמה ידיעה על נסיון "phishing" על משתמשי רד־האט, באמצעות התחזות להודעת אבטחה ונסיון לגרום למשתמשים להתקין קוד זדוני אצלם במחשב.
לצערי, חלק מהתגובות לפרשה היו צפויות, וחלק אחר סתם קומם אותי. אני חושבת שהמקרה הזה, כמו המקרה שקרה לא מזמן עם בעיית האבטחה של השועל, נותנים לנו התרעה מראש לבעיות אפשריות שיהיו כשלינוקס (במקרה הזה, מוזילה במקרה הקודם) יהיו בתפוצה רחבה ממש, והזדמנות להתארגן בשביל למנוע (או לפחות לצמצם) את הבעיות הללו. זו הזדמנות פז שחבל לנו לפספס. אני לא מצטטת כאן את שמות הכותבים, כי אין לי עניין להתנגח בהם אישית, אלא להצביע על התגובות הלא נדירות הללו, שלדעתי הן מוטעות.
"אז מה אנחנו מקבלים? בדיוק מה שקורה היום למייקרוסופט, מקבלים מאות מיילים הכוללים כל-טוב, ותמיד יש אחוז מסויים שנופל בפח. אז מי מועד ליפול בפח בנושא המדובר? כל משתמשי הקצה (בעוד 5 שנים) שעובדים עם לינוקס הגראפי ואין להם מושג מלבד לחיצת קליק עם העכבר. הנה זה מגיע ... גם ללינוקס."
נו? הנדסה חברתית (social engineering) זה אחד הדברים שהכי קשה להגן בפניהם, והגנה מפני הנדסה חברתית באמצעים טכנולוגיים לא מאוד יעילה. זה לא חדש.
השאלה היא כפולה:
* כמה קל להשתמש בהנדסה חברתית על משתמשים של מערכת מסויימת?
* כמה מוגנת המערכת כברירת מחדל מסיטואציות של הרצת קוד זדוני, ללא הנדסה חברתית?
אף אחד לא טוען שלינוקס מושלמת, במיוחד כשזה מגיע להנדסה חברתית (וסה"כ, phishing כמעט תמיד מבוסס הנדסה חברתית). הטענה היא שיותר קשה לנצל לרעה את לינוקס, בגלל המבנה שלה.
והפתרון הטוב ביותר להנדסה חברתית, על כל מערכת, היא השכלת המשתמשים. וכאן בדיוק יש לנו הזדמנות פז ללמד את העוברים ללינוקס לא רק את השימוש בלינוקס עצמה, אלא גם כמה כללי זהב שיצמצמו אפשרויות הנדסה חברתית.
"טיפשות מגיעה לכל מקום, אין מנוס"
זו לא בעייה של טפשות- אלא יותר נאיביות/בורות.
לכן חשוב כ"כ ללמד משתמשים חדשים כללי זהירות בעבודה על מחשב, כגון לא לתת את הסיסמא לאף אחד ולא משנה מי מבקש אותה(ולא, הבנק לא ישלח דואר שמבקש את הפרטים), להשתמש תמיד במנהל החבילות להורדת והתקנת תוכנות (רצוי עם אפשרות ווידוא החתימה מופעלת), לגבות את המידע האישי בצורה סדירה וכו'.
לטעמי, אחד מסוגי האחריות שלנו בתור משתמשים וותיקים שמדריכים משתמשים חדשים, הוא להסביר גם על האפקטים הללו של עבודה מול המחשב. כך יהיה אפשר לצמצם מאוד את הפגיעות של המשתמשים.
"בסופו של דבר משתמשים כמו אמא שלי יהיו גם על לינוקס. בעולם הגדול הרבה סבתות עובדות על מק. וכרגע ההצלה היחידה שלהן היא שיש רק חצי וירוס למק, ושבלינוקס הנכד לא נתן להן את סיסמת הרוט..."
וכאן נמצאת הנקודה: הפתרון תלוי בשילוב: מערכת פגיעה פחות מצד אחד (לא עובדים כרוט, צריך הרשאות הרצה בשביל להפעיל קובץ וכו') ובחינוך משתמשים בצד שני.
אז בחלק הטכנולוגי כרגע לינוקס נמצאת בעמדה טובה (אם כי היא יכולה להשתפר, כגון חיוב מנהל חבילות לבדוק חתימות קבצים לפני התקנה). נשאר רק החלק החברתי- וגם כאן אנחנו בעמדה טובה יחסית, כי המאסות עדיין לא כאן, ואפשר ללמד אנשים לאט-לאט.
תקחי למשל את המצב בחלונות- הוא כבר די אבוד: "רוב המשתמשים נגועים בפרזיטים". וזה למה? בגלל השילוב של מערכת שקל למדי לפרוץ אותה טכנית (ולהתקין תוכנה ללא אישור) ומשתמשים לא מודעים לסכנות.
אם נסמוך רק על החלק הטכני של לינוקס, שעדיף על פני חלונות, אנחנו נהיה אמנם במצב טוב יותר כשיהיו מאסות של משתמשי לינוקס "פשוטים", אבל לא טוב בהרבה- ההגנה של מערכת טובה רק כמו החלק החלש ביותר שלה, ואלו המשתמשים. אם אנחנו רוצים לשמור את המצב המצויין של לינוקס גם כשתהיה לו תפוצה רחבה, אנחנו חייבים לדאוג להשכלת המשתמשים. לא, הם לא צריכים להבין איך עץ הקבצים עובד (סבתא שלי כבר עובדת עם מחשבים כמה שנים, ובדיוק השבוע היא שאלה את אמא שלי "מה זה קובץ?"). הם כן צריכים להבין התנהגויות בסיסיות במחשב
0 הפניות
Listed below are links to blogs that reference this entry: רגע לפני הפריצה- המפתח לאבטחה הוא השכלה.
TrackBack URL for this entry: http://www.xslf.com/mt/xslf-tb.cgi/92
עושה רושם שאוונס דטה מסכימים איתך. על פי הסקר שלהם, רוב המפתחים חושבים שהרשלנות של המשתמשים הוא הגורם העיקרי לבעיות אבטחה בכל פלטפורמה.
http://linmagazine.co.il/node/view/3059
בורות ונאביות קיימים בכל מקום הבעיה היא שמשתמשי לינוקס מגדילים לעשות בכך שהם מפיצים גוזמאות ושקרים על מידת האבטחה בלינוקס כך שיוצא שאפילו משתמש שהקפיד ,פחות או יותר ,על עבודה בטוחה תחת חלונות ,פורק עול תחת לינוקס ומרשה לעצמו לבצע דברים מסוכנים מאוד (כמו למשל להשתמש בחשבון Root כדרך קבע) . משתמשי לינוקס חופרים לעצמם את הקבר שלהם , במקום ללמוד מהטעויות של משתמשי חלונות .
בברכה
רתם