כך לא אמורה להתנהל חברת אבטחה מהגדולות בעולם

ענקית אבטחת המידע והזהות הדיגיטלית סימנטק, שרכשה לפני כשנה וחצי חלקים מחברת VeriSign, גילתה בדיעבד כי קוד המקור של מוצריה מ-2006 נגנב עוד ב-2006.

מקור: תמונת מסך מעמוד הטוויטר של החברה, עיבוד תמונה

פרשת גניבת קוד המקור של מוצרי חברת סימנטק זוכה בימים האחרונים לעדכונים משמעותיים, כאשר דובר מטעם החברה מפרט כי סימנטק לא ידעה שב-2006 נפרצו מערכותיה ונגנב קוד המקור של חלק מהמוצרים. את המידע הזה היא גילתה ממש לאחרונה, והצליחה לבצע בדיקות מחדש שאישרו כי אכן הפריצה התרחשה ב-2006, והחברה לא ידעה זאת עד עתה.

נורטון לא יעיל נגד איומים?

תחילתה של הפרשה המדאיגה הזאת החלה כאשר קבוצת פורצים הודים פרסמה כי יש ביניהם את קוד המקור לחלק מתוכנות אבטחת המידע של חברת סימנטק, המפעילה את המותג הפופולארי “נורטון”. בתחילה שייכו הפורצים את המקור לקוד המקור כשרתים לא מאובטחים כראוי של הממשל ההודי, וטענו כי פרצו לשם ומשם גנבו את קוד המקור. חשיפת קוד המקור של המוצרים בעייתית ביותר, שכן מדובר במוצרי אבטחת מידע, אשר המשתמשים מתקינים ומשתמשים בהם כדי לוודא שיהיה קשה משמעותית לפגוע במידע שלהם, או להשיג אותו. כאשר גורמים זדוניים וצדדים שלישיים לא מפוקחים משיגים את קוד המקור של מוצרים אלה, הם יכולים לנתח ולהבין בדיוק כיצד הם פועלים, ומכך להסיק כיצד להתגבר עליהם ולגשת למידע של המשתמשים, כאילו מערכות הגנה אלו לא היו קיימות כלל.

מאז חשיפת הפרשה, התברר כי לא רק מוצרי אבטחת המידע של החברה נחשפו, אלא גם מוצר ה-PCAnywhere. בעקבות המידע החדש המליצה החברה, כי כל משתמשי המוצר יחדלו להשתמש בו במיידי, עד לפתרון הבעיה שתציג החברה. בסימנטק ללא ספק שוקדים על עדכון המוצר כדי לנטרל אפשרות שבמקום שרק לאנשים מורשים תהיה גישה למסופי מידע רגישים וחשובים, יש לכל פורץ בעל גישה לקוד המקור. החברה אמנם התייחסה ואמרה, כי לקוד המקור של התוכנה מ-2006 אין השפעה על אפקטיביות מוצרי האבטחה שלה, אך אין בכך כל התייחסות למצב שהיה ב-2006 ובשנים שלאחר מכן. בשנים אלו אנשים היו מצויידים במוצר אבטחת מידע, שקוד המקור שלו היה חשוף.

גילינו בדיעבד

במה שניתן לתאר כסיבוב נוסף בפרשה ההולכת ומסתבכת, מסתבר בדיעבד, ש-2006 היתה שנה גרועה מאוד עבור סימנטק. זאת, משום שלפי החברה, היא גילתה חדירה למערכותיה באותה שנה, אך לא שמה לב שמישהו גנב משם מידע, שלא לדבר על מידע רגיש. כעת, כמעט שש שנים לאחר מכן, החברה מוצאת את עצמה חוזרת אחורה לאותם נתונים של מערכותיה, השמורים עימה, ויודעת לומר לציבור, שבשנת 2006 אכן היתה חדירה למערכותיה, ואכן נגנב קוד המקור למוצרים מתוצרתה.

מקור: תמונת מסך מאתר החברה, עיבוד תמונה

אחד הדברים המקוממים ביותר של נציג החברה בראיון למגזין Wired, הוא התיאור כי לחברה אין בכלל זכרון ארגוני (“…There is no institutional memory…“), וכל הידע הנצבר יורד לטימיון בכל פעם שמתחלף הצוות. כך יצא שכל מי שעבד בסימנטק ב-2006 ואולי יודע מה בדיוק קרה סביב התקיפה, ומדוע החברה שידעה על התקיפה לא איתרה את העובדה שנגנב קוד המקור למוצריה. מבחינת החברה, לפי נציגה, מצטיירת תמונה כאילו מדובר בתירוץ לגיטימי לכשלונותיה. האמנם?

אין לסימנטק זכרון ארגוני

ניתן לפרוט את הסוגיה כאן לשני חלקים, החלק של הזיכרון הארגוני והחלק של המקצועיות. החלק הראשון, של זיכרון ארגוני, הוא דבר שכל חברה מתמודדת איתו, בין אם היא חברה בעלת עובדים רבים, ובין אם היא חברה בעלת עובדים מעטים אך עם וותק. ככל שעובר הזמן או ככל שיש יותר עובדים, נצבר יותר ידע ועל החברה מוטלת החובה לנהל אותו בחוכמה.

בהקשר הזה, אמנם יש לסימנטק את הלוגים להסתכל אחורה ולגלות בדיעבד (שש שנים בדיעבד) שאכן נגנבו החומרים, אך כאן נכנס בדיוק החלק המקצועי – מדוע לא ידעו בסימנטק כבר ב-2006 שמוצרים שהם מוכרים אינם רלוונטים כמוצרי אבטחה, שכן קוד המקור שלהם נגנב. האם מדובר בחוסר מקצועיות, בהקטנת ראש של אחד הדרגים בחברה, או סיבה אחרת?

הריאיון עם נציג החברה, כפי שהתפרסם ב-Wired מותיר המון שאלות פתוחות, ומי שמתעניין באבטחת מידע וניהול IT יתעניין לקרוא אותו. בעולם ההולך ומסתמך יותר ויותר על ערוצי המידע הדיגיטליים שלו, ועל אבטחתם, האם יש עוד מקום להתנהלות שכזאת? יש להניח, כי בעקבות החשיפות האחרונות לקוחות רבים של סימנטק מבצעים בדיקה מחדש של פריצות שהיו להם במהלך שש השנים שעברו מאז שנחשף קוד המקור של החברה, ועד היום.

חלק מ-VeriSign הוא היום סימנטק

במקביל, יש לזכור, כי סימנטק רכשה חלקים מחברת VeriSign, האחראיים לתעודות ה-SSL, ורכיבים הקשורים למפתח הפומבי (public key infrastructure), ושירות ההגנה על הזהות הדיגיטלית ואימותה, עוד במאי 2010 (ראו סיקור ניוזגיק).

הגילויים החדשים מטילים צל כבד על יעילותם של כלל שירותי החברה, המבוססים על אמון, ובמיוחד עד שהחברה תתייחס אליהם בצורה מפורשת ותציין מי מהם לא היה לא יעיל ולמשך כמה זמן. האם ייתכן ופרצו לכם למחשב, לקחו לכם חומרים, ולא ידעתם על כך? אם זה קרה לסימנטק, כנראה שזה יכול לקרות גם לכם.

וידאו: פרסומת של סימנטק

תגובת סימנטק

בפנייה של ניוזגיק לחברת סימנטק, העבירה האחרונה את התגובה הנ”ל:

“בעקבות חקירת הטענות של אנונימוס כי יש בידיהם קוד מקור, סימנטק מאמינה שחשיפת קוד המקור היתה תוצאה של גניבת קוד מקור שהתרחשה ב-2006.

אנחנו מאמינים שקוד מקור של גרסאות מתקופת 2006 של המוצרים הבאים נחשף: Norton Antivirus Corporate Edition; Norton Internet Security; Norton SystemWorks (Norton Utilities and Norton GoBack); and pcAnywhere.

לאור גילויו של קוד המקור שנחשף, למעט כמפורט להלן, לקוחות סימנטק – כולל כאלה המשתמשים במוצרי נורטון – אינם אמורים להיות בסכנה מוגברת לתקיפות קיברנטיות כתוצאה מהגניבה. לקוחות המשתמשים במוצר סימנטק pcAnywhere עשוים להיות בסכנה מעט מוגברת יותר כתוצאה מחשיפת קוד המקור אם אינם נוהגים לפעול בהתאם לכללים הנהוגים בתעשייה (general best practices). סימנטק נמצאת בתהליך של פנייה ללקוחתיה המשתמשים ב-pcAnywhere, במטרה ליידע אותם על המצב ולהציע מספר צעדים לתיקון המצב ולוודא שרמת ההגנה של מערכותיהם והמידע שלהם אינה קטנה. מאז 2006, סימנטק הפעילה מספר כללים ונהלים שנועדו למנוע התרחשות של אירוע שכזה בעתיד.” (ההדגשה במקור).

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

1 תגובה על "כך לא אמורה להתנהל חברת אבטחה מהגדולות בעולם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
עובד לשעבר
Guest
wpDiscuz

תגיות לכתבה: