גם ב-Bitlocker – החוליה החלשה היא המשתמש

לפני מספר ימים הודיעו חוקרי מכון Fraunhofer SIT הגרמני כי הצליחו למצוא מספר שיטות לפריצת מנגנון אבטחת הדיסק, Bitlocker, המובנה בגרסאות ה-Enterprise וה-Ultimate של חלונות 7 וחלונות ויסטה. באופן לא מפתיע, כל הפריצות היו כרוכות בהתערבות אנושית בתהליך ובטעות משתמש, מה שהוכיח שוב שהחוליה החלשה בשרשרת אבטחת המידע, היא הגורם האנושי.

bitlocker_drive_encryptionאחת האמרות הנפוצות בתחום אבטחת המידע היא שחוזק השרשרת נעוץ בחוליה החלשה ביותר שלה. לפני מספר ימים הודיע מכון Fraunhofer SIT הגרמני כי חוקריו הצליחו למצוא מספר שיטות לפריצת מנגנון אבטחת הדיסק, Bitlocker, המובנה בגרסאות ה-Enterprise וה-Ultimate של חלונות 7 וחלונות ויסטה. המנגנון המדובר הוא אחת מנקודות הדגל של מערכת ההפעלה החדשה של מיקרוסופט בכל הקשור לאבטחת מידע ארגונית אך כאשר הודיעו הגרמנים על הפרצה החדשה, מיקרוסופט לא התרגשה במיוחד. הסיבה לכך נעוצה בכך שהחוקרים הציגו מספר שיטות "לפרוץ" את מנגנון ההצפנה של Bitlocker, אך כל אחת מהשיטות הללו הייתה תלויה בצורה כזו או אחרת ב"טעות" של גורם אנוש במיקום כלשהו בתהליך.

במסמך המפרט את המחקר,  המתאר את תהליך ההצפנה של Bitlocker ומסביר על היכולות השונות מציינים החוקרים מספר שיטות לשבירת מנגנון ההצפנה. בכל אחת מהשיטות קיימת התערבות של בעל המחשב או מישהו בעל הרשאות ניהול (Administrator) אשר יקיש את קוד ה-PIN הדרוש על-מנת לפתוח את מנגנון ההצפנה. אחת השיטות המתוארות במאמר צורכת התחברות פיזית למחשב לצורך שתילת מנגנון הזדהות מזויף מעבר ל-Bitlocker, אשר יצרוך מהמשתמש להקיש את קוד ההצפנה פעם נוספת. שיטה אחרת כוללת "התעסקות" עם רכיב ה-TPM (רכיב חומרה המובנה במחשבים ניידים השומר על מפתח ההצפנה) יחד עם שתילה של "רכיב האזנה" (Sniffing) על המערכת. פעולה מסוג זה, תוביל לחסימת מנגנון ההצפנה ולצורך לבצע פעולת Recovery אשר במהלך יוכנס קוד מנהל שיעקוף את ה-Bitlocker ואותו רכיב האזנה, יקליט את הקוד המדובר וידע להעביר אותו באמצעות חיבור לרשת גם אל הפורץ המרוחק. בסרטון קצר שפרסמו החוקרים יחד עם המחקר, תוכלו להתרשם מהדגמה חלקית של תהליכי הפריצה השונים.

הנקודה המהותית בכל הסיפור היא שאף על פי שהצפנת ה-Bitlocker אכן נפרצה והמידע המוגן בדיסק עלול, בסופו של דבר, להיחשף לאותו "פורץ זדוני" שמנסה לגנוב את המידע, כל אחד מתסריטי הפריצה שתוארו עדיין דורשים התערבות של בעל המחשב, שיצטרך להכניס את קוד ה-PIN או קוד ה-Recovery על-מנת שה"פורץ" יוכל להעתיק אותו ולהשתמש בו במועד יותר מאוחר על-מנת להיכנס למחשב ולגנוב מידע. אותה נקודה היא זאת שמובילה אותנו לאותה מסקנה המוכרת לכל איש אבטחת מידע מצוי: הגורם האנושי היה ותמיד יהיה ה"חוליה החלשה" בכל תהליך אבטחת מידע. ההתקדמות הטכנולוגית של השנים האחרונות, הביאה אותנו היום למצב שבו ל"פורץ" לא משתלם להשקיע בנסיונות "לפרוץ" מנגנוני הגנה והצפנה, מכיוון שהרבה יותר "פשוט וקל" לנצל את הגורם האנושי בתור אותה "חוליה חלשה" בתהליך להגיע לאותה מטרה.

אז מה עושים בכל זאת?

הדרך היחידה להתמודד עם בעיית ה"חוליה החלשה" של הגורם האנושי היא על-ידי חינוך ויידוע המשתמשים בסכנות השונות. כחלק מתהליך הטמעת Bitlocker ובכלל כחלק מהעבודה השוטפת, יש להסביר למשתמשים על חשיבות המידע שנמצא על המחשב, להרגיל אותם לתהליכי העבודה התקינים של המערכת ו"לחייב" אותם במידת האפשר לפנות לגורם הארגוני המתאים במקרה של כל שינוי בלתי-צפוי, כך שכאשר יקרה דוגמת אחד מהתסריטים המתוארים במחקר, המשתמש יהיה מספיק "חכם" בשביל להבחין בשימוש ולהביא אותו לידיעת איש אבטחת המידע או מומחה אחר בארגון שידע לבדוק ולטפל בבעייה.

חשוב לציין כי ארגונים רבים מתייחסים לנושא חינוך המשתמשים לאבטחת מידע בביטול יחסי. זאת, בעיקר עקב העובדה שחינוך המשתמשים לפנות לגורמי ה-IT בארגון בכל שינוי לא ברור, הכי קטן שלא יהיה, יגדיל משמעותית את כמות הפניות ואת כמות העבודה של הגורמים המדוברים בארגון. הנקודה שחשוב להבין מכאן, היא שלעיתים קרובות אותה עלות של התעסקות בפניות "מטופשות" יחסית, עלולה לחסוך גניבה של מידע יקר שאם היה נופל לידי מתחרים, היה "עולה" לארגון סכום הגבוה באופן משמעותי מאותה עלות השקעה בחינוך המשתמשים.

יניב פלדמן

צ'יף-גיק ועורך ראשי. יזם, סטטיסטיקאי חובב, טכנולוג בדם, בעל תואר ראשון במנהל עסקים ו-Microsoft MVP בתחום אבטחת מידע. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

1 תגובה on "גם ב-Bitlocker – החוליה החלשה היא המשתמש"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
trackback

[…] באמת עונה על התנאים, אבל בדיוק כמו במקרים אחרים (דוגמת חלונות 7 ו-Bitlocker), גם כאן החוליה החלשה היא המשתמש. אפשר להאשים את המכשיר […]

wpDiscuz

תגיות לכתבה: