« Home | מערכות אבטחת מידע בלי לוגים » | Secunia PSI Beta - ניתן להורדה » | XML Security - קצת מחשבות בנושא » | ההכרזה - טלדור » | XSS Translator - התרומה שלי לחודש XSS » | מאמר מצויין בנושא פגיעות אתרי אינטרנט » | Cisco.com XSS Vulnerability Found » | פרצת אבטחה במנוע החיפוש החדש של תפוז » | איך להקים שרת קבצים פשוט ובטוח על Linux » | PayPal פותחת את שעריה לישראל »

סקריפט קידי משחק = 20K לרשויות , 18 שנה בפנים.

אתם מוזמנים לקרוא את המאמר הבא שפורסם בThemarker.com ונמצא בקישור הבא, המספר אודות האקר צעיר בן 19 , אשר באמצעות כלים די פשוטים גרם לימ"מ של מחוז Orange County בארה"ב לפרוש פשיטה על בית של זוג , על ידי שיחה עם CALLER ID מזוייף בה הוא "הודה" ברצח .

הבחור עומד על האשמות וצפוי למאסר של עד 18 שנים בעקבות כך.

הסיבה שהתעניינתי בכתבה היא מאחר ואני מאמין שתופעת הPhreaking חוזרת ובגדול , בזכות עולם הVOIP בעיקר. אבל ללא כל קשר , נחמד לגלות שלמרות כל התחכום והטכנולוגיה , עדיין למערכת הטלפוניה המאובטחת של המשטרה - אין עדיין מערכת טריאנגולציה לזיהוי מקור וודאי לשיחה.

כמובן שמצאו בסופו של דבר את מקור השיחה, אבל זה דרש לא מעט פורנזיקה במערכות הטלפוניה ולאו דווקא של המשטרה. בכל אופן - אני שמח לדעת שיש מישהו עם היד על הדופק שבודק.

החלק היותר מעניין , הוא ההחמרה של הממשל האמריקני ( ובשאיפה יגרור מדינות נוספות בעולם ) מושפע רבות מטכנולוגיה , מערכת החקיקה אינה מקלה כבארצות אחרות - על עונשי פשעים קיברנטיים , מה שגורם לירידה מסויימת בכמות הפשיעה ולמודעות גבוהה של משמעות אבטחת מידע ( בעיקר דגש על המשמעות של שימור לוגים - ראו פוסט קודם - והיכולת לאתר תוקף בדיעבד באמצעותם ) . כמובן שזה גם מביא להתפתחות עולם הפשע הממוחשב ושיטות והטכנולוגיות לפריצה.

Labels: , , , ,

Syndication : Digg It  Add to Technorati Favorites  Stumble It  Worth Reading 

איפה אתה רואה בדיווח שהוא השתמש ב-CID מזוייף? אולי הוא סתם הטעה אותם ממספר חסוי ובהנדסה חברתית?
הפריקינג אגב מעולם לא נעלם, הוא רק לובש ופושט צורות חדשות. אמנם עידן הזהב של הקופסאות השחורות, הכחולות והאחרות נגמר מזמן, אבל באמצעות "עקוב אחרי" ושאר טריקים אפשר עדיין לבצע כל מיני מניפולציות גם במרכזיות מודרניות, לא חושב שדווקא ל-VOIP יש קשר לכך, אם כי כמובן מערכות VOIP שאינן מאובטחות הן חלום ליל קיץ למניפולציות (ורובן כידוע לא מאובטחות).
לגבי הסקת המסקנות שלך - לא הבנתי כלום. מאיפה אתה יודע שיש ירידה בפשיעה הקיברנטית בארה"ב? מאיפה אתה יודע שיש עליה במשמעת אבטחת המידע? כרגע כל מה שיש זו הכבדה של עוד ועוד רגולציות שבכלל לא ברור האם אכן תורמות לאבטחת המידע (וראה דוגמא המשרד לבטחון פנים בארה"ב שכל הזמן נכשל בביקורות אבטחת המידע שלו עצמו...).

לגבי הCID , קצת אינפורמציה שליקטתי דרך חבר בBT-COUNTERPANE.

לדעתי עשיתי פה טעות מסויימת ואני אתקן אותה עכשיו - כאשר אמרתי פשיעה קיברנטית , התכוונתי לזו שפועלת כנגד רשויות האדמיניסטרציה והבטחון הלאומיות של ארה"ב. ומפה אמשיך להגיב-

את הירידה בפשיעה קיברנטית אני מסיק באמצעות הסקה ישירה מהחקיקה . יכול להיות שאני טועה פה בענק - אבל עובדתית אם ניקח את כמות ההרשעות וחומרת העונש הנגזר על סרגל זמן של 10 שנים - ניתן לראות שככל שהענישה החמירה , אנחנו נתקלים בפחות ופחות פרסומים לגבי מעצרים חמורים בחדשות ( אך יותר מורכבים מבחינת היישום של אותו פשע ממוחשב ).

אני גם מסכים לחלוטין שיש עומס מיותר של רגולציות , אבל מצד שני - אפשר לראות שיפור במעמד אנשי אבטחת המידע בארגונים , המודעות הגוברת הביאה למצב שבו ישנן חברות , ולא מעט כאלה שאותו VP שאחראי בין היתר על מערכות המחשוב מחזיק בCISSP , מנהל הכספים מחזיק בCISM וכדומה - ולא מדובר כאן רק בעניין של הסמכה , כי לא ניגשים ללמוד למבחנים האלה בלי הרצון והמודעות שיש צורך לנקוט עמדה . זה אומר שבחברות מסויימות העלו את אחוז ההשקעה הפנימי הכלכלי באבטחת המידע ( מה שהיה נראה כמו חלום רטוב ובלתי מתגשם עד כה ) בנוסף ישנו טרנד מעניין בארה"ב לערוך כנסי הסברה על ידי מומחים בעלי שם עולמי - לכל עובדי החברה במהלך כנסי חברה ( הייתי מאוד שמח לראות את זה גם בארץ ) וזאת על מנת להעלות את המודעות.

אני אישית מכיר מספר ארגונים אשר הלכו והחמירו גם עם שיטת הענישה על עבירות מחשב פנימיות - מה שנחשב כBUZZWORD בדרך כלל , הרי פיטורים בגלל NMAP נשמע הזוי בעבר ... או בגלל ביצור FOLLOW-ME מטלפון לטלפון ואז יציאה החוצה ...

לגבי VOIP , בתור עובד לשעבר של ISP שבין היתר מעניק שירותי VOIP וטלפוניה , ובעקבות הנתונים שנצטברו דאז ( השנה אגב ) ניתן לראות שבשיחות VOIP בינלאומיות - ישנו אחוז של הונאה שעובר 72% . ככזה - בהחלט מדובר במשהו חריג ( TX1 = 20% אם זכרוני אינו מטעה אותי ).

סיסקו דרך אגב , עם הCall Manager 5 כבר מודעים לחלק גדול מההונאות הטלפוניות , ואחד הדברים שלמדתי לאהוב אצלם - הוא הכשרת צוותי הSE לבצע הסברה לגבי מניפולציות של מערכות הטלפוניה בעת העברת מצגות - ועל ידי כך הם מבצעים יותר ממכירה , אלא מעלים מודעות ( כמובן שלמטרת מכירה ) ועושים עבודה טובה בכך.

אגב , אני לא מודע לגבי משרד לביטחון פנים האמריקאי , מעולם לא התעניינתי בכיוון זה - אשמח אם תרחיב , כי זה בהחלט שופך אור נגדי על הטענות שהעליתי.

כתבתי תגובה ארוכה אבל משום מה היא לא נקלטה, לך סמוך על בלוגר...
שורה תחתונה כי אין לי כוח לכתוב שוב:
אתה מערבב מליון דברים וכותב על סמך השערות ולא על סמך ידע מבוסס. איזו האטה אתה מזהה בפשיעה המקוונת כאשר כל הסטטיסטיקות מדברות על עליה כמותית ובעיקר איכותית?
איפה ראית סמנכ"לי מערכות מידע עם הסמכת CISSP? בקושי לרוב מנהלי אבטחת המידע (בישראל) יש את ההסמכה וגם הם לרוב לא ממש מתחזקים אותה.
לגבי תקשורת - בזה אין לי ויכוח איתך מכיון שאני חושב שאתה איש תקשורת ברמה גבוהה מאד. למעשה, הבעיה שלך לדעתי היא, ואני אומר את זה בחברות ולא כביקורת, שאתה רואה כל דבר באבטחת מידע דרך עיני התקשורת והטכנולוגיה וזה לא נכון, אתה צריך לצאת קצת מהראש הזה...

לגבי ההומלנד סקיוריטי, זו סתם אנקדוטה שכל פעם מתפרסם שבביקורות אבטחת מידע תקופתיות של הגורמים המנחים בממשל, המשרד לבטחון פנים עצמו מקבל ציונים נמוכים מאד בשמירה על רמת האבטחה.
כך שבסופו של ענין אנחנו רואים המון טכנולוגיה, המון הסמכות, המון תקנים ורגולציות, אבל האם זה באמת משפר את רמת האבטחה הכללית בעולם? בכלל לא בטוח.

האמת היא שהצליבה די מגיעה לי :)
כמי שעוסק באבטחת מידע בתחום הטכנולוגי בעיקר , קל "להיכנס בי" ולהגיד לי שאני רואה את הכל מעיני טכנולוג ולא מעיני קונספטואיסט - וזה מקובל עליי.

אגב , אני מסכים שאבטחת מידע לא משתפרת בעקבות רגולציה בהכרח , אבל להגיד שהיא לא מעלה מודעות ? הרי תסכים איתי שבסופו של דבר - לחנך קשה , להגביר מודעות ניתן - ובסופו של דבר ( ואני לא מסכים עם הדעה אבל נכון להיום היא נכונה ) אנחנו פותרים כל חור עם קופסא יעודית

Post a Comment

About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites