על Hacking, פריצת מערכות ועל Paula Januszkiewicz

15 באפריל 2013

Paula-Januszkiewicz

פאולה עוסקת בתחום של פריצה למערכות מחשב. זה תחום שה perception שלו בקהל הרחב שונה מאד מאיך שהוא נתפס על ידי מי שנמצא בתחום. אצל הקהל הרחב להיות האקר זה Cool. בסרטים זה בכלל מישהו חתיך כמו רוברט רדפורד בסניקרס או פאנקית החיה בשולי החברה כמו בנערה עם קעקוע של דרקון. מצד שני אצל הזכרים בעיקר, אם זה לא הגיבור הראשי, זה יהיה מישהו שמן, דחוי חברתית, עם משקפיים עבות, כאילו כדי לומר לנו, שרק מי שמנותק מהעולם יכול להיות מקצוען בתחום של חדירה למערכות מחשב. עד כאן החיים בסרט.

הקהל הרחב לא תמיד מקשר בין התדמית ההירואית של ההאקר, לבין המציאות, שבה האקרים הם כלי שרת בידי ארגוני פשע הגונבים כספים מחשבונות הבנק שלנו, או מבצעים סחיטה של דמי חסות מגופים ומאנשים פרטיים. אם אתה בצד הקורבן אתה תחת האיום של הפלת מערכות המחשב שלך או פרסום חומר מביך עליך או שמישהו ישתלט על חשבון הבנק שלך.  ועוד לא נגענו בכלל בתפקידם של ההאקרים בהורדת רמת חיי האינטרנט שלנו, על ידי גניבת רוחב הפס של כולנו לביצוע תקיפות פוליטיות ו/או לשיגור דואר זבל. האינטרנט הוא עולם ללא חוקים מוסדרים. החוזק שלו, זה שהוא פתוח לכולם וחופשי ממגבלות, הוא גם החולשה שלו, שכן מי שלא מתנהג לפי הכללים פוגע בכולנו.

נושא של פריצה למערכת מחשב בארגון הוא בסופו של דבר עניין של ניתוח סיכונים. ככל שהנזק שנגרם לך מהפריצה גדול יותר, סביר להניח שכך תשקיע יותר כסף בהגנה. אבל כפי שפרופסור דניאל כהנמן הסביר לכולנו, האדם אינו יצור תבוני, וההחלטות שלו לא תמיד נובעות מהגיון צרוף. להיפך, הרבה פעמים ההחלטות ה"הגיוניות" שלנו נובעות מתחושת בטן או אפילו מפחות מזה. ואני אוכיח לכם שזה נכון גם בתחום האבטחה תוך כמה שניות.

שאלו את עצמכם מה הנזק שיגרם לכם ו/או לארגון שלכם מחדירה למערכת המחשב שלכם או של הארגון שלכם. האם אתם יכולים לכמת את הנזק הזה בכסף ? אם התשובה היא אני לא יודע ו/או אני לא יכול להעריך (שזה כבר אומר משהו) נסו לפחות לתת סדר גודל.

ועכשיו לשאלה השנייה, היא מה הסיכוי שיפרצו אליכם. כאן אם לא אכפת לכם אני אתן את התשובה, ככל שאתם מוגנים פחות, זה כבר לא סיכוי אלא וודאות. וככל שיש למישהו אינטרס לחדור אליכם, זה שוב כבר לא סיכוי אלא וודאות. וחשוב להבין שגם אם אתה לא "מטרה אטרקטיבית", אם אתה לא מוגן מישהו כבר יפרוץ אליך.

מאחר והסיכון זה מכפלה של הסיכוי בנזק, אז קחו כהנחת ייסוד שמישהו כבר פרץ אליכם ולכן הנזק כבר שם. ושלא תגידו שלא אמרתי לכם. אבל אם נחזור לשאלה המקורית, כמה אחוז מהנזק הצפוי השקעתם באבטחה ? מבלי להכיר אתכם אצל רובכם, רוב הסיכויים שלא השקעתם באבטחה את הסכום המתבקש מהמשוואה.

ולמה אני מספר לכם את כל זה, בגלל תובנה אחת ברורה שנשמעת ברורה מאליה, והיא שככל שהמערכת שלכם מוגנת יותר, ככה הסיכוי שיפרצו אליכם קטן יותר. הבעיה היא שבפועל, ברוב הארגונים וגם בעסקים הקטנים ובבתים הפרטיים, מערכות המחשב לא באמת מוגנות, ולא בגלל שלא רוצים, אלא בגלל מה שאני מכנה "טעויות של מתחילים".

אז בואו נחזור לפאולה, ולמקצוע שלה. פאולה פורצת למערכות, אבל היא לא עושה את זה כחלק מהכנה לפשע כלשהו, אלא לפי בקשה מפורשת של הלקוחות שלה. והמטרה שלה היא לאתר נקודות חולשה ונקודות פגיעות ולחסום אותם. עד היום אין לה לקוח שהיא לא הצליחה לפרוץ למערכת שלו. ולאחר שהיא מכינה את הדו"ח שלה, דבר אחד בטוח, המערכת שהיא בודקת תהיה מוגנת הרבה יותר טוב ממה שהיא הייתה מוגנת קודם. התוצאה היא שהסיכוי שיפרצו אותה נהיה קטן יותר.

פאולה תגיע לארצנו בסוף חודש יולי להעביר סדנה בת שלושה ימים שנקראת Advanced Windows Security Master Class. הסדנה מיועדת למנהלי מערכות מחשוב, מנהלי תשתיות, מנהלי אבטחת נתונים, ולכל מי שהגנת מערכות בפני פריצה מעניין אותו. מי שמעוניין בפרטים נוספים על הסדנה מוזמן לפנות לחברת האם שלי.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *