האמת היא, שחודש מאי היה יכול להיות “יחסית חודש שקט” (אנחנו לוקחים את זה ש-eBay נפרץ על כל לקוחותיו ומאגריו, ואירועים בסגנון כעניין שבשגרה, כן?). למה “היה יכול להיות?” בגלל שממש לקראת סוף החודש, ב-28/05/2014, החבר’ה שהביאו לנו את TrueCrypt פרסמו את השורה שמופיעה עכשיו כמעט בכל אתר חדשות הקשור לאבטחת מידע:
"Using TrueCrypt is not secure as it may contain unfixed security issues"
והעמוד של TrueCrypt ב-SourceForge כעת כולל הוראות כיצד ניתן להגר נתונים שהוצפנו בעזרת התוכנה כך שיהיה ניתן לעבוד איתם תחת BitLocker של Microsoft.
כאן כנראה המקום לציין, שמי שלא אוהב קונספירציות (אז מה לעזאזל הוא עושה בתחום הזה? :)) יכול לדלג לסוף דבר העורכים.
כל בחור בר-דעת שיכנס לעמוד ישאל את עצמו “מה לעזאזל?”, הסיבה שהמפתחים כותבים באתר היא:
"The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP, Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images."
והטענה היא שכל עוד מיקרוסופט תמכו ב-XP היה היתרון ל-TrueCrypt על פני הצפנות הכוננים מבוססות מערכת ההפעלה, כעת, כשמיקרוסופט כבר לא תומכת ב-XP, יש עדיפות להשתמש באותן מערכות ולא ב-TrueCrypt. לא יודע איך זה נשמע לכם, אבל לי זה נשמע הזוי, ומסתבר, ככה אמרו לי, שכשאנשים עושים דברים שמהצד נראים הזוי - כנראה שיש כאן דברים שלא מספרים לנו.
כבר עלו לא מעט טענות בנוגע ל-TrueCrypt- טענות כגון זה שאף אחד לא פגש אף פעם את המפתחים של התוכנה, וטענות כמו שקשה בצורה מאוד מחשידה להגיע למצב שבו ניתן לקמפל את קוד המקור של התוכנה, או שבפורום של TrueCrypt (שנסגר) יש משטר טרור בנוגע לכל מה שקשור ללדבר על תוכנות אחרות או Fork-ים של אותה התוכנה או זה שבגרסה האחרונה שקוד המקור בגרסה האחרונה שפורסמה (7.2) הורידו הרבה מאוד קוד שנוגע למנגנוני ההצפנה. אני מודה- אני לא כמו הבחור מ-privacylover, שמנהל כבר לא מעט זמן את הפוסט הנ”ל, אבל אני בהחלט מרים גבה.
בעבר פורסם כי גופים שונים כגון ה-FBI לא הצליחו להתמודד עם כוננים שהוצפנו בעזרת TrueCrypt, כמו במקרה עם הבנקאי הברזילאי. מה האינטרס לפרסם אירוע כזה? אני לא באמת יודע, הרי מובן שאם נתון כזה יפורסם - כל עבריין שעיניו בראשו יצפין את הכוננים שלו בעזרת התוכנה, אבל אם תשאלו את הצד הקונספירטיבי שבי, הוא יענה לכם שמדובר כאן בפסיכולוגיה הפוכה - גופים כגון ה-FBI יודעים להתמודד עם TrueCrypt ומעוניינים לפרסם את ההפך (נכון שלא ה-FBI הוא זה שפרסם את האירוע וסיבת הכישלון, אך זה הגיע משם בסופו של דבר) - וכך להגדיל את הסיכוי שבפשע הבא שאותו הם ידרשו לפתור, הם יתקלו בכונן המוצפן באמצעות TrueCrypt.
הכעת, אם תשאלו את אותו צד קונספירטיבי לגבי האירוע הנ”ל, הוא יענה לכם שה-NSA לא מסתדרים עם הצפנות של TrueCrypt (איך זה הגיוני? פשוט מאוד, באחת הגרסאות הקודמות של TrueCrypt הייתה חולשה / דלת אחורית, וכעת, בגרסאות החדשות - היא הוסרה מהקוד / תוקנה) ולכן הם מנסים לסנדל את הפרויקט ובעזרת דרכים-לא-דרכים מצליחים גם כנראה מצליחים לעשות את זה. אותו צד גם יגיד לכם שאין ל-NSA בעיה להתמודד עם הצפנת הכוננים של BitLocker (בסופו של דבר, Microsoft זאת חברה אמריקאית, שנחשדה לא פעם בביצוע שת”פים עם ה-NSA וכאן גם הקוד של ההצפנה ומימושה הוא קוד סגור…) ולכן לשם הם מפנים את המשתמשים.
זאת המציאות? האם אפשר להמשיך להשתמש ב-TrueCrypt? לכו תדעו, אבל כמו שאמרתי בדיוק לפני חודש, בדברי הפתיחה של הגיליון הקודם, TrueCrypt או BitLocker, כל זה לא משנה, אם אתם לא מעוניינים שהמידע שיש ברשותכם יגיע לידיים הלא נכונות - פשוט אל תשמרו אותו על המחשב שלכם, ולא משנה מה אורך המפתח או אלגוריתם ההצפנה שבה השתמשתם.
וכמובן, לפני שנגש לתכנים, נרצה להגיד תודה לכל מי שהשקיע מזמנו וכתב מאמר לגיליון, תודה רבה לתומי שלו, תודה רבה לחץ בן חמו, תודה רבה לעמי קאופמן ותודה רבה לשילה ספרה מלר.
החודש, הגליון כולל את המאמרים הבאים:
על סוגיות אבטחה ב-DHCP (נכתב ע”י תומי שלו)
מנגנון DHCP - Dynamic Host Configuration Protocol הינו מנגנון דינאמי להקצאת פרמטרי רשת שונים בציודי קצה / רשת. פרוטוקול זה מייעל ומפשט תהליכי הקצאת משאבי IP ברשת ונוח מאוד לשימוש והגדרה, אך יחד עם זאת הוא טומן בחובו פירצות אבטחה ב-L3. במאמר זה, מציג תומי את הפרוטוקול, כיצד הוא פועל, ומספר מנגנוני אבטחה הקיימים כיום, שניתן ליישם על מנת להקשות על גורמים עויינים להשתמש בו לרעה.
על אבטחת מידע, עבר, הווה ועתיד (נכתב ע”י חץ בן חמו):
תחום אבטחת המידע עובר טלטלה בשנים האחרונות, ומנהלים רבים עדיין לא מבינים זאת. תחושת ה”יש לנו חומת אש יקרה ומעולה” אופפת אותם, בו בזמן שחומת אש, כמה שתהיה משוכללת אינה רלוונטית במקרי פריצה רבים. במאמר זה, מציג חץ את מקרי הפריצה בהם שום Firewall, שום Antivirus ושם מנגנון IDS לא יוכל לעזור לכם, מקרי ה”מתקפה הממוקדת” - כאשר אדם בעל יכולות נשכר ספציפית על מנת לפרוץ לארגונכם.
iBanking מבצרת עמדות (נכתב ע”י עמי קאופמן):
בעולם פשעי הסייבר צריך תמיד להזהר. הגנבים עושים מאמצים כבירים כדי לחמוק מעיניהם הבוחנות של אנליסטים ורשויות החוק, זאת כדי למנוע את סגירת המיזם שלהם או גרוע יותר - מעצר. המפתחים של הסוס הטרויאני iBanking - אפליקציה זדונית הפוגעת במכשירי אנדרואיד - אינם יוצאים מן הכלל. בדומה לתוכנות דומות הפוגעות במחשבים האישיים ומיישמות מנגנוני הגנה כגון ערפול קוד (Obfuscation) ושימוש בהצפנה חזקה, גם בגרסאות האחרונות של iBanking נלקחו צעדים להקשחת התשתית של התוכנה הזדונית והפעלתה. במאמר זה מציג עמי את אותם צעדים שמפתחי ה-iBanking נקטו על מנת להגן ולהקשות על חוקרי הוירוסים.
קריאה מהנה!
ניר אדר ואפיק קסטיאל.