שיחות פרטיות בIM - הצפנה בSimp
מזה מספר שנים ( מאז תחילת הBuzz עם ICQ ) אנו חווים עליה משמעותית בשימוש בIM כאשר אני חושב שבארץ - הנפוצים מכולם הם MSN Messanger והSkype. כשאני אומר נפוצים מכולם אני מתכוון בשוק העסקי. זאת מכיוון שכלי הIM כבר מזמן הפכו לכלי עבודה לכל דבר . לקוחות ונותני שירותים עובדים אחד מול השני בדרך זו , עבודה מול גורמים בארצות אחרות וכדומה.
אך יש לנו כאן מספר בעיות אבטחתיות . אתחיל בבעיה ופתרונה , ואקנח בבעיה שנובעת מהפיתרון.
ובכן , כאשר אנו משתמשים בכלי מסרים מיידיים כלשהם , המידע עובר בתעבורה לא מוצפנת ובדרך כל עובר לתירגום בינארי אשר די פשוט לבצע לו פתיחה בכלי HEXA למיניהם ( פרט לסקייפ אשר מוצפן SSL ). ולכן כאשר אנו משוחחים עם אדם על נושא מסויים , ומסיבה מסויימת רוצים להעביר לו סיסמה שלנו דרך הIM, יכול גורם עויין ליירט את ההודעה , ומעתה הסיסמה שלנו בידו. זוהי רק דוגמא קטנה כמובן , כי הרי אנחנו עושים הרבה יותר מזה, אנחנו מספרים על הריבים עם המשפחה , מדברים על חיפוש עבודה במקום אחר ואפילו העתק\הדבק למידע סודי מתוך מסמכים סודיים בחברה.
הפיתרון יכול להיות פשוט - חברת Secway הצרפתית מפתחת מוצר בשם Simp אשר מתלבש על תוכנות הIM שלנו , ומצפין את המידע בהן על גבי פרוטוקול הצפנה RSA. ובכך בעצם יוצר כמו VPCN ( המצאתי עכשיו - Virtual Private Chatting Network ) בין שני הצדדים ( או ריבוי הצדדים ) כמובן שמדובר בהצפנה אסטימטרית , אז אין צורך בהחלפת מפתחות ידנית אלא שימוש באלגוריתם Diffie Helman או דומים לו, לצורך החלפת המפתח. כמובן שבכדי להצפין שיחה כזו יש צורך שלשני הצדדים יהיה מותקן הSimp ( אשר קיים גם בגרסאת חינם ).
הבעיה פה היא יותר של מנהלי אבטחת מידע , שכן ברגע שהם בוחרים לאפשר שירות כמו מסנג'ר מתוך הנחה שהם יכולים לנטר את השיחות עצמן על ידי כלים שונים, יכול משתמש להתקין Simp ובעצם להצפין את כל השיחה ובכך למנוע מצוותי אבטחת המידע בארגון לדעת האם נגנב מידע מהארגון. או האם בוצעה הפרה של מדיניות כזו או אחרת בנוגע להעברת מידע על גבי מדית רשת. מה שמתגלה ברוב הפעמים כבעיה העיקרית להטמעת הפיתרון מסוג זה. שימו לב שארגונים רבים מפחדים להטמיע פתרונות כמו SKYPE מהסיבה הזו ממש.
אחד הפתרונות שאני מיישם לכך הוא בניית חתימה בIPS אשר מזהה החלפת מפתחות בין משתמשים שפתוח ביניהם תווך של IM לעולם, ובכך למנוע הפעלת התוכנה למשתמשים לא מורשים לכך.
אך יש לנו כאן מספר בעיות אבטחתיות . אתחיל בבעיה ופתרונה , ואקנח בבעיה שנובעת מהפיתרון.
ובכן , כאשר אנו משתמשים בכלי מסרים מיידיים כלשהם , המידע עובר בתעבורה לא מוצפנת ובדרך כל עובר לתירגום בינארי אשר די פשוט לבצע לו פתיחה בכלי HEXA למיניהם ( פרט לסקייפ אשר מוצפן SSL ). ולכן כאשר אנו משוחחים עם אדם על נושא מסויים , ומסיבה מסויימת רוצים להעביר לו סיסמה שלנו דרך הIM, יכול גורם עויין ליירט את ההודעה , ומעתה הסיסמה שלנו בידו. זוהי רק דוגמא קטנה כמובן , כי הרי אנחנו עושים הרבה יותר מזה, אנחנו מספרים על הריבים עם המשפחה , מדברים על חיפוש עבודה במקום אחר ואפילו העתק\הדבק למידע סודי מתוך מסמכים סודיים בחברה.
הפיתרון יכול להיות פשוט - חברת Secway הצרפתית מפתחת מוצר בשם Simp אשר מתלבש על תוכנות הIM שלנו , ומצפין את המידע בהן על גבי פרוטוקול הצפנה RSA. ובכך בעצם יוצר כמו VPCN ( המצאתי עכשיו - Virtual Private Chatting Network ) בין שני הצדדים ( או ריבוי הצדדים ) כמובן שמדובר בהצפנה אסטימטרית , אז אין צורך בהחלפת מפתחות ידנית אלא שימוש באלגוריתם Diffie Helman או דומים לו, לצורך החלפת המפתח. כמובן שבכדי להצפין שיחה כזו יש צורך שלשני הצדדים יהיה מותקן הSimp ( אשר קיים גם בגרסאת חינם ).
הבעיה פה היא יותר של מנהלי אבטחת מידע , שכן ברגע שהם בוחרים לאפשר שירות כמו מסנג'ר מתוך הנחה שהם יכולים לנטר את השיחות עצמן על ידי כלים שונים, יכול משתמש להתקין Simp ובעצם להצפין את כל השיחה ובכך למנוע מצוותי אבטחת המידע בארגון לדעת האם נגנב מידע מהארגון. או האם בוצעה הפרה של מדיניות כזו או אחרת בנוגע להעברת מידע על גבי מדית רשת. מה שמתגלה ברוב הפעמים כבעיה העיקרית להטמעת הפיתרון מסוג זה. שימו לב שארגונים רבים מפחדים להטמיע פתרונות כמו SKYPE מהסיבה הזו ממש.
אחד הפתרונות שאני מיישם לכך הוא בניית חתימה בIPS אשר מזהה החלפת מפתחות בין משתמשים שפתוח ביניהם תווך של IM לעולם, ובכך למנוע הפעלת התוכנה למשתמשים לא מורשים לכך.
Labels: encryption, privacy
| Link 
