לקראת אירוע | מי אתה? וכמה זה עולה לי?
מאת אור יעקב, מהנדס Pre-Sale בכיר, F5 ישראל
כבר חודשים שאני עובד על הפעולה הזאת. לילות ללא שינה, מעקבים ולוגיסטיקה. אפילו את האשה והילד אין לי זמן לראות. סוף סוף זה קרה. גדעון, מנהל תיקי לקוחות אסטרטגיים בחברת השקעות גדולה, חיבר את הדיסק הנייד שקיבל מהדיילת שלנו, איב, בקמפיין "השקה של בגדי ים חדשים" ברחוב שממול למשרדים שלו.
איב רוכבת על גלגיליות (אבל זה לא קשור) ומיותר לציין מה יש במצגת… גדעון לא ניחש מה עוד. אתמול בלילה בזמן שגדעון התחבר לשרתי ניהול הלקוחות מביתו ופתח את המצגת, ה-Keylogger (תוכנה חביבה שמעתיקה את שם המשתמש והסיסמא) שפיתח מיכאל, ההאקר שלנו, הותקן על המחשב הנייד של גדעון, ננעל על שם המשתמש והסיסמא ושיגר לנו אותם לכתובת מייל זמנית על מנת לא להשאיר עקבות.
עוד דקה זה מתחיל… באמצעות הפרטים של גדעון, אני מקווה לעקוב אחרי תנועת הלקוחות של חברת ההשקעות ולדלות מידע עסקי אשר יעזור לי בהשקעות עתידיות ואחר כך, אם יישאר זמן, לשתול משהו שיעשה… כן. את זה אני משאיר לדמיונכם. בעוד צוות האבטחה עסוק בלהגן מפני התקפות הסייבר האחרונות והצקות של אנונימוס, אני הולך על הכסף הגדול. רק מהפדיחה הם לא יפרסמו את זה. מיכאל תתחיל, אני נותן את האות. חיבור ה-SSL VPN פשוט יחסית, כל הצוות מאחורי דרוכים… שם משתמש, סיסמא… את דף ה-Captcha אנחנו עוברים בקלי קלות. רגע מה זה, OTP? והכותרת 2-factor auth?
מיכאל מסביר לי שהתוכנה שפיתח תופסת אמנם הכל אבל סיסמא חד פעמית (OTP) כנראה נשלחה לסלולר או למייל של גדעון ולמעשה אפשר להגיד שנשרפנו. לא מענינים אותי תרוצים ואני קונה למיכאל כרטיס לכיוון אחד. חודשים של תכנון נשטפו באסלה.
בשורה התחתונה נדפקנו, המודיעין לא היה מדויק. היינו בטוחים שיש רק מערכת גישה מרחוק. בשום רשומה של בית ההשקעות לא מצאנו רכישה של מערכת OTP אשר מייצרת ססמא חד פעמית חזקה. מיכאל הסביר לי שאלו מערכות יקרות, אשר רוב הארגונים לא רוכשים בשל עלותן הרבה וגם התממשקות נוספת לבסיס נתונים (DB) חיצוני לא סטנדרטי עולה הרבה, אך התירוצים לא עבדו. זה כבר מאוחר מדי למיכאל ובטוח עבורי. הלאה, עוברים לנסות את הבנק שממול….
רוב המקרים האלה, בין אם מצליחים או לאו, לא ימצאו את דרכם לתקשורת. הדילמה עדיין קיימת – כמה עולה לי לאבטח אותך? האם זה באמת שווה ובאיזו רמה? מה שבטוח, הנזק הכלכלי והתדמיתי מתרחישים כגון אלו הוא אדיר. רוב המקרים לא לפרסום אך הם מתרחשים בתדירות גבוהה יותר מאשר נהוג לחשוב. למרות זאת, למה לי להשקיע כל כך הרבה כסף בשרותים נוספים – והאם זה כדאי? מדוע כאשר אני רוכש מערכת אני לא יכול פשוט לקבל הכל? ועם אינטגרציה קלה?
עמוס ההאקר החדש שגייסתי פשוט ייעץ לי – עזוב אותך, יש מערכות גישה שפשוט חבל על הזמן לנסות ולעקוף. בתחקיר שלאחר מעשה, עמוס טען שגורם מבפנים הודיע לו שמערכת ה-SSL VPN שהטמיע בית ההשקעות למעשה, היא זו שמספקת OTP, Captcha, 2-3 Factor Authentication הישר מתוך המערכת ולא היה צורך ברכישה נוספת של מערכות אבטחה מיצרנים נוספים להשלמת הגישה.
אכן טכנולוגיה חדשנית שלא היתה לנו תשובה עבורה. ה- F5 האלה…הייתי צריך להשקיע במניה שלהם במקום.