אבטחת מערכות

מתוך WikiBook

קפיצה אל: ניווט, חיפוש

אבטחת מידע- תחום פעילות העוסק בהגנה על מערכות מחשב מפני סיכונים המאיימים עליהן. גורמי הסיכון למערכות מידע מתחלקים לשלוש קבוצות עקריות: 1) בני אדם- בין אם בשוגג או במזיד, כגון גניבות. 2) גורמים תפעוליים-נפילות מתח וכד'. 3) נזקי טבע- שרפה, רעידת אדמה וכו', הגורמי נזק תפעולי.

חשיבותה של אבטחת מערכות מידע: בלי אבטחת מערכות מידע, ניתן יהיה לעשות שימוש עויין או לא חוקי במידע של מתחרה, וכך לפגוע בו. דוגמה לכך הינה פרשת שהסעירה את המדינה במאי 2005, שנתגלה ריגול תעשייתי גדול במשק הישראלי.


לרוב מקובל להתייחס לשלושה היבטים מרכזיים עליהם נדרש להגן בהקשר של מערכות מידע: חסיון המידע - יהיה נגיש לגורם שהורשה לו בלבד. זמינות המידע (והמערכת) - מערכת המידע והמידע האגור בה יהיו זמינים בהתאם לרמת הזמינות שהוגדרה על ידי לקוחות המערכת. שלמות ואמינות המידע - הגנה על כך שהמידע במערכת יכיל את כל שהוגדר מלכתחילה וכי הנתונים עצמם לא עברו שינוי על ידי גורם שאינו מורשה.

[עריכה] תוכן עניינים

1. הרשאות 2. הזדהות 3. שיטות פריצה 4. הגנה מפני תוכנה מזיקה 5. גיבוי 6. ראו גם 7. קישורים חיצוניים 8. נקודות למחשבה שיש לקחת בחשבון לפני הקמתה של תשתית אבטחת המידע באירגון 9. אוסף מושגים בתחום אבטחת מערכות


הרשאות מתן אפשרות למשתמש מסוים לבצע פעולה נתונה במערכת מידע. הפעולות עשויות להיות יצירה, כתיבה, מחיקה או שינוי של קובץ, הזנה של נתונים בטווח ערכים או כל פעולה אחרת שהמערכת תוכננה להכיל.

מערכת הרשאות מתבססת על הזדהות כתנאי מקדים, שכן המערכת נדרשת לקשר בין משתמש לפעולה. במערכות בהן אין הזדהות (כדוגמה, וויקיפדיה), ניתנות הרשאות למשתמשים לא מזוהים (כלומר, מנגנון ההזדהות מקשר ישות לא מזוהה עם משתמש אנונימי).

ויקיפדיה, היא דוגמה למערכת מידע פתוחה למדי, אך גם בה יש מערכת הרשאות. כל גולש רשאי לעיין בכל דף ולשנות אותו, אך דפים מסוימים מוגנים מפני שינוי, כך שרק מפעילי מערכת רשאים לשנותם. מחיקת דף ניתנת להעשות רק על ידי מפעילי מערכת, ולהם נתונה הסמכות לחסום כליל משתמש שמזיק למערכת.



הזדהות תהליך בו משתמש (אדם או שירות ממוחשב) מספק למערכת מידע פריט מידע המזהה אותו ואמצעי לווידוא הזיהוי. האמצעי הנפוץ ביותר הנו השימוש בשם משתמש וסיסמה, אולם ישנן אפשרויות נוספות החל מכרטיס חכם (דומה לכרטיס אשראי) ועד זיהוי ביומטרי (לפי תכונות גופניות כמו טביעת אצבע). מקובל לחלק את אמצעי ההזדהות השונים לשלוש קבוצות: 1. משהו שהמשתמש יודע - בקבוצה זו נכללות סיסמאות ומספרים סודיים,אשר המשתמש מתבקש להזין כדי לקבל גישה למערכת,באמצעים אלו נשתמש לכניסה למערכות פשוטות כגון שרת דאר אלקטרוני, כניסה למחשב ביתי או לאתר אינטרנט מסוים..., בהן נדרשת אבטחה מינימלית. מנגנוני הסיסמאות המקובלים נקבעים על ידי תוכנת התשתית (מערכות ההפעלה,תוכנת התקשורת,מערכת לניהול מסדי נתונים וכו') הסיסמאות במערכות אלו ניתנות לחלןקה לשתי קטגוריות עיקריות : סיסמאות שניתנות לבחירה על ידי המשתמש (למשל כמו בכניסה לשרתי דואר אלקטרוני) וסיסמאות הנקבעות על ידי מערכת המחשוב (כמו בעת ההרשמה לאוניברסיטה) 2. משהו בבעלות המשתמש - בקבוצה זו נכללים מנגנוני ייצור סיסמה חד פעמים (OTP), רכיבי אחסון לסיסמאות (Token), כרטיסים חכמים. 3. משהו שהוא המשתמש - בקבוצה זו נכללים אמצעי הזיהוי הביומטרים. כאשר השימוש באמצעים שבקבוצות 2 ו 3 נעשה בעיקר בתוך רשתות פנימיות, בהן נידרש סיווג מסויים (לדג' כאשר נירצה למנוע מבן-אדם זר, שלא מתוך הארגון, את הכניסה למערכת), בהן נדרשת אבטחת מידע מעבר למינימלית. לדג' בנקים, חברות שמתעסקות עם חיובים של כסף( כרטיסי אשראי....).

הזדהות חזקה (כזו המאפשרת רמת וודאות גבוהה במיוחד בזיהוי) תכלול שילוב של שתיים מתוך שלוש השיטות. הדוגמא הקלאסית לכך הנה השימוש בכרטיסי אשראי. בכל ניסיון למשוך כסף מכספומט אנו נדרשים להזדהות באמצעות שני רכיבים - משהו שנמצא ברשותנו (כרטיס האשראי המכיל פרטי זיהוי) ומשהו שאנו יודעים (קוד סודי). ללא אחד מהשניים תהליך הזיהוי לא יושלם.

לרוב תהליך ההזדהות הוא החלק הבעייתי ביותר במערכת אבטחת המידע, במיוחד כאשר מדובר ברשת, וזאת בשל הצורך לטפל במספר בעיות פוטנציאליות:

אובדן יכולת התחברות (לרוב איבוד סיסמה) הצורך במשתמש בעל הרשאות בלתי מוגבלות הצורך בהזדהות המשותפת למספר מערכות ו/או מחשבים הנטייה של משתמשים לרשום את הסיסמה ו/או ללכת ולהשאיר את המחשב במצב שלאחר ההזדהות [עריכה] הגנה מפני תוכנה מזיקה הגנה של אנטי וירוס ואנטי ספאם על ה- MAIL ושימוש בשרת קרבה PROXY לאינטרנט החיצוני, החלפת כתובות איטרנט של ה PROXY כלפי חוץ והתקנת אנטי וירוס [תוכנה ייחודית שנכתבת להגנה על המחשב מפני פעילות של וירוסי מחשב. ברוב תוכנות האנטי וירוס ישנם מספר חלקים אופייניים: שומר בזמן אמת - שעומד על המשמר בכל זמן פעילות המחשב, ובודק ללא הרף דפוסים ועקבות של פעילות ויראלית, בזיכרון, בפעולות העיבוד ובגזרת ה-BOOT. סורק דואר אלקטרוני - שבודק בזמן קבלת דואר אלקטרוני או שליחתו, שהדואר האלקטרוני אינו נגוע בוירוס. סורק כללי - שבהתאם לבקשת המשתמש או על פי תזמון שנקבע מראש סורק את הכוננים ומדיות האיחסון של המחשב במטרה לזהות דפוסים ועקבות של וירוסים. ]על כל מחשב בחברה מעלה את עמידות המערכת מפני התקפות מבחוץ.


בעיות הקשורות להזדהות

ארגונים רבים מעוניינים ברמה גבוהה של ודאות לגבי זיהוי המשתמשים. לדוגמה: בנקים חייבים לודא את זהות המשתמש כדי למנוע רמאויות וגניבה. הבעיה היא שטכנולוגיות הזיהוי החזקות, המסתמכות על אמצעי זיהוי ביומטריים, יקרות ולא תמיד מדוייקות במאה אחוז. לדוגמה: זיהוי המסתמך על טביעת אצבעות מדוייק רק ברמות של 95%-98%, ולכן איננו יכול לשמש כאמצעי זיהוי יחיד. קיימת גם בעיית היחס של המשתמש לשיטות השונות. יש אנשים שאינם מרגישים נח מול מכשיר הסורק את רטינת העין שלהם. יש אנשים עם מוגבלויות שאינם יכולים לשים את האגודל (או אצבע אחרת) על הסורק.


"שיטות פריצה"בעבר הלא רחוק מירב הסכנות הסתכמו בוירוסי מחשב, גניבת סיסמאות ואולי החשש ממשתמשים בעלי רקע מועט במחשבים שעשויים להזיק לשרת המרכזי וגם להם באירגונים גדולים בדרך כלל הגישה לחדר מחשב הייתה מוגבלת. בעידן האינטרנט [הרשת של רשתות מחשבים. רשת המחשבים הבינלאומית הכוללת, דואר אלקטרוני, צ'ט, קבוצות דיון, פורומים, בלוגים ובעיקר את המארג הכל עולמי. האינטרנט מורכב מדפים "PAGES", אשר מרכיבים אתרים "WEB SITE". ניתן לעבור בין אתר לאתר ובין דף לדף באמצעות קישורים "LINK". ]והמסחר האלקטרוני הסיכונים העומדים בפני מנהלי מערכות המידע ובפני הארגון כולו יותר מגוונים ומסוכנים.

כחלק מתהליך האבטחה שאנו מעוניינים לבצע אנו צריכים להבין מול אילו איומים ושיטות פריצה אנו מתמודדים. ניתן לחלק את השיטות לשלוש דרכים עיקריות: -שיטה ראשונה, ובעצם גם הקלה והנפוצה ביותר, היא גילוי שם המשתמש והסיסמא. מעל לחמישים אחוז מהאנשים משתמשים בסיסמאות בנאליות (שם הילד,מספר הטלפון, תאריך לידה וכו), ואם כבר יש סיסמא שהיא קצת קשה לזכור אז תמיד מוצאים פתקים מודבקים למסך או בסביבת המחשב. -שיטה שניה היא דלת אחורית. בעצם זה לקחת תוכנות ולמצוא את נקודות החולשה והפרצות ולחדור למערכת. ישנה גם את תכנת הסוס הטרויאני שזו בעצם תוכנה שכאשר מותקנת במחשב יוצרת "דלת אחורית" ומאפשרת לכל בעלי הגישה לתוכנה אפשרות לחדור למחשב ולעשות כרצונם.(מידע נוסף על הסוס הטרויאני ניתן למצוא בפרקים הבאים). -שיטה שלישית נקראת(Dos-denile of service)זו בעצם שיטה של מומחי מחשבים/האקרים שכל מטרתם היא להעמיס על המערכת על ידי כניסות מרובות ולהביא לקריסתה, ברגע שקרסה המערכת ואיתה גם מערכות האבטחה יכולים אותם פורצים לבצע את זממם במערכת.

גיבוי כחלק מתהליך האבטחה יש לשמור גיבוי של המידע לפני השינויים ואחריהם על מנת לאפשר שחזור של המידע במקרה של כשל. כמו כן, נשמרת היסטורית השינויים שנעשו במידע בשביל לאתר שינויים בלתי מורשים.

"נקודות למחשבה לפני הקמתה של תשתית אבטחת המידע באירגון": -מהן נקודות התורפה של האירגון? -איזה מידע מוגדר כרגיש? -איזה מידע אנו מעוניניים לחשוף ואיזה לא? -האם שינוי של המידע עשוי לפגוע בעיסקי החברה או במוניטין? -איזה מידע יהיה קשה לנו לשחזר? -איזה מידע חשוב שיהיה זמין לציבור או לעובדי האירגון ומתי? איזה מידע לקוחותינו לא היו מעוניינים שיפורסם לשאר הציבור?ועוד

"אוסף מושגים" מקדם הבטיחות של סיסמא הינו תוחלת הזמן לפיצוח הסיסמא בחיפוש שיטתי. צופן הוא פונקציה המקבלת כתב גלוי P ומפתח סודי K ומוציאה כפלט כתב סתר C. צופן שטף הוא צופן בו כתב הסתר Ci יכול להיות תלוי ב Mi אותו מצפינים, מפתח ההצפנה K, מספר הבלוק i ובלוקים קודמים של כתב הסתר והכתב הגלוי. צפני שטף הינם בעלי זיכרון. דוגמא לצופן שטף:RC4 צופן בלוקים הוא ופן בו כתב הסתר Ci תלוי בMi אותו מצפינים ובמפתח ההצפנה K בלבד. דוגמאות לצפני בלוקים:AES ,DES REPLAY ATTACK-התקפה על ידי הקלטת שידור שנערך בעבר ושידורו שוב. צופן מושלם:צופן שעבורו לא ניתן להסיק מידע מכתב הסתר בנוגע לכתב הגלוי.ניתן להוכיח:בצופן מושלם אורך המפתח חייב להיות גדול או שווה לאורך ההודעה.כמו כן כל מפתח יכול לשמש של לכל היותר הודעה אחת. צופן קיסר: "הזז בK מקומות את האלף בית" כאשר ל הוא המפתח הסודי.צופן זה אינו מושלם. צפנים סימטריים:צפנים צפנים המבוססים על פעולות שנחשבות בטוחות,ולרוב אינם תלויים בהנחות סיבוכיות כלשהן.צפנים סימטריים הם צפנים בהם לשני הצדדים מפתח משותף בו הם משתמשים. עקרון קרכהוף:הצופן ידוע ופיסת המידע היחידה שחסרה למתקיף היא המפתח בו השתמשו להצפנה. צפנים אסימטריים:צפנים המבוססים לרוב על בעיןת שחושדים שהן קשות, אך אין הוכחה לכך.צפנים אסימטרים למשל הם צפנים מבוססים על PUBLIC KEY כאשר לכל צד יש מפתח פרטי משלו. שימוש בצפנים סימטרים מהיר יותר מצפנים אסימטרים. חתימה דיגיטלית:מתבצעת באמצעות מפתח ציבורי ומפתח פרטי. הודעה חתומה מעידה כי:החותם אכן כתב את ההודעה,ההודעה לא שנתה מאז שנשלחה(שלמות),וכן השולח לא יכול להכחיש את השליחה. בקרת כניסה:אימות זהותו של המשתמש ובדיקה האם המשתמש מורשה להשתמש או לגשת אל המשאבים אליהם הוא מנסה לגשת. פרוטוקולי CHALLENGE RESPONSE: בכל נסיון כניסה של משתמש למערכת,המערכת שולחת לו CHALLENGE חדש. המשתמש מחזיר RESPONSE ובך מוכיח שהוא יודע את הסיסמא.מימוש נכון מוגן מפני התקפת שידור חוזר. LOCAL EXPLOIT: פירצה שניתנת לניצול על ידי משתמש לגיטימי של המערכת. REMOTE EXPLOIT: פירצה הניתנת לניצול על ידי אדם שאינו במערכת.

האיגוד הישראלי לביקורת ואבטחת מערכות מידע

Information Systems Audit and Control Association

אתר האיגוד http://www.isaca.org.il

האיגוד הוקם בשנת 1979 ע"י קבוצת חברים "משוגעים לדבר", שחזו מראש את חשיבותו העצומה של מקצוע: ביקורת מערכות ממוחשבות, במציאות הישראלית. רק מספר שנים לאחר מכן קלט האיגוד לתוכו גם את העוסקים באבטחת מערכות מידע ותיקן את שמו , מטרותיו ועיסוקו – בהתאם. האיגוד תומך בפיתרון המקצועי המיידי שאפשר וצריך להפעיל בכל אירגון, והוא ביצוע ביקורות במערכות המידע באמצעות מומחים בתחום כגון: מבקרי מערכות מידע, פנימיים או חיצוניים,רואי חשבון , אנשים העוסקים באבטחת מחשבים ומערכות מידע . מומחים אלו יפעלו באירגון מטעם הביקורת הפנימית ובמסגרתה. האיגוד קובע תקנים ורמה מקצועית בינלאומית לעבודות ביקורת, בקרה ואבטחה בתחום המחשבים. האיגוד מעניק תארי הסמכה: מבקר מערכות מידע מוסמך – CISA מנהל אבטחת מערכות מידע מוסמך – CISM

ניתן להרחיב את הביקורת החיצונית באירגון ולא להסתפק בביקורת חשבונאית אלא לדרוש ולבצע ביקורת מערכות מידע שתקיף את מיכלול הנושאים הרלוונטיים למערך המיחשוב ומערכות המידע של האירגון. יש לקבוע את רשימת הנושאים לביקורת והקדימויות לביצוע בהתאמה לאירגון , הפעילות, מערך המיחשוב, הפריסה, הגורם האנושי המעורב ועוד. בנפרד מפעילות הביקורת יש לבצע באופן שיטתי וקבוע פעילות של בקרה. שלב הבקרה הראשוני יתבצע ע"י המנהלים השונים , כל מנהל במסגרת אחריותו המקצועית. הבקרה המקצועית המרכזית תתבצע באירגון ע"י גורמי הביקורת. מניעה, גילוי נסיונות או ביצוע פעילות חורגת וההרתעה הנובעת מפעילות זו תורמת משמעותית , בולמת ומקטינה את הסיכונים.


13.09.2005 שירלי יום-טוב

אלדין: הנזק הנגרם מגניבת פרטי זיהוי אישיים ממחשבים בישראל עולה על מיליארד שקל בשנה בכנס אבטחת מידע שמתקיים היום בת"א אמר נשיא מיקרוסופט ישראל, אריה סקופ, ש"מיקרוסופט הבינה שאם היא לא תטפל בסוגיות אבטחה - הציבור יפנה למערכות הפעלה חדשות"

ערך זה מבוסס על ויקיפדיה העברית

ב26.01.2006 נערכה תוכנית בעובדה עם אילנה דיין על הפרשה שהסעירה את המדינה לפני שנה וחצי, הפרשה שכונתה "הסוס הטרויאני" ,לכל מי שלא מכיר את המושג מדובר במין טכניקה מבריקה לגלות מידע אינטימי ביותר בתקשורת מחשבים, הגוף העבריין שולח לך קובץ קטן ובאמצעותו הוא יכול לראות כל מה שקורה אצלך במחשב, בין גופים עסקיים זוהי נקודת תורפה רצינית ביותר. לפני כמה שבועות פורסמה כתבה במוסף שבת של מעריב בשם: "המטכליסיטים עשו מכה", המדובר הוא ב4 חבר'ה יוצאי סיירת מטכ"ל שפיתחו START-UP מתוחכם המאפשר לאבטח מידע, השיטות פותחו בעיקר לארגוני כספים כמו בנקים, בורסות וכדומה, אולי בעתיד הם יאפשרו גם לעסק קטן להיות מוגן. תגידו משהו לא נמאס לכם להיות במלחמה וירטואלית שכזו, זה נראה כמו גן ילדים! פרקי ספר הלימוד


מקור: http://www.wsefer.com/Book/index.php/%D7%90%D7%91%D7%98%D7%97%D7%AA_%D7%9E%D7%A2%D7%A8%D7%9B%D7%95%D7%AA
כלים אישיים