#36 פירצה קוראת ל… חוקר אבטחת מידע

למה רק חוקרי אבטחת מידע נקראים "חוקרים" בהייטק? מהי הדרך היחידה לנצח אותם? והקשר לשיעורי הבית במתמטיקה של הבת שלי

פירצת אבטחה, ועוד פירצה. כל יום או יומיים אפשר לקרוא על עוד פירצת אבטחה שנמצאה. מרוב פרצות כבר לא רואים את הגדר. והדמיון כבר עובד שעות נוספות על אותה מלחמה חשאית בין ההאקרים המרושעים למומחי הסייבר וחוקרי הסקיוריטי  ששומרים ומגינים עלינו, ומונעים במו מקלדותיהם אסון אדיר, משל היו גיבורי על.

אין על הבאזז הזה. מספיק רק לכתוב בקורות החיים שפעם ישבת ליד מישהו שהוא חוקר אבטחת מידע, וכבר קיבלת שדרוג במשכורת. הכרתי פעם מישהו שעבד בלוגיסטיקה של חברת המיץ סיידר הגליל, ובעקבות טעות הקלדה מצערת/משמחת היום הוא אחראי השיווק של סטארטאפ בתחום אבטחת התוכנה.

כבר יצא לי לכתוב מה דעתי על כל מיני מומחים (למשל בפוסט "הכה את המומחה", שקראתי אותו עכשיו שוב, ולהפתעתי הרבה הוא יצא לא רע בכלל). אבל הפעם אני רוצה להתרכז בחוקרי אבטחת המידע. איזה כיף זה להיות מומחה אבטחת תוכנה, או כמו שהם אוהבים לקרוא לעצמם: "Security Researchers". כולם בהייטק הם מהנדסים או מפתחים, אבל רק החבר'ה האלה הם חוקרים. הם תמיד ידעו לשים את עצמם מעל כולם.

זה לא שאני מקנא בהם. להיפך, אני מאוד מקנא בהם. יש להם אחלה תפקיד שבעולם. הם במצב של Win-Win תמידי, הם פשוט לא יכולים להפסיד. כל פעם שהם מגלים איזו פירצת אבטחה, הם מיד יוצאים מלכי העולם, ותותחים וסופר מומחים. ולא רק זה, אלה כל בעיה שהם מגלים מיד גורמת לנו, לאוכלוסיית ה"לא-חוקרים", להיראות הרבה פחות טוב. ככה שהם מרוויחים פעמיים. גם הם נראים יותר טוב, וגם אנחנו נראים יותר גרוע.

ואם הם לא מוצאים שום פירצה או תקלה, אז גם הכל בסדר, כי אין שום בעיה. וכמובן שגם זה נזקף לזכותם, כי הם דאגו להעלות את רמת המודעות ואת האיכות של הקוד כך שאין בו פרצות אבטחה.

עכשיו תבוא הקוראת המתוחכמת (חייבים להיות פוליטקלי קורקט) ותשאל ומה קורה כשהם מפספסים? כלומר שמישהו מבחוץ מגלה שיש פירצת אבטחה במוצר שלנו שהחוקרים הפרטיים שלנו לא מצאו?

נו באמת. הרי ודאי שזה לא באשמתם. הרי הם כבר התריעו מתחילת הפרוייקט שאין להם זמן לעבור על כל הקוד, ובטוח הם לא יוכלו לכסות את כל האיזורים הבעייתיים, וגם ככה הקוד פה במצב על הפנים, ואל תאשימו אותנו אם עוד ימצאו פה פירצת אבטחה.

אז לך תנצח אותם. גם כשהם כבר מוצאים משהו, זה תמיד איזו מן פירצה מוזרה כזו, שהשד יודע מי יחשוב עליה וינסה לתקוף דרכה. אבל מילא זה שאתה לא מבין את הפירצה במערכת ואיך אפשר לתקוף דרכה. עכשיו הם גם מכריחים אותך לסתום את הפירצה. ואז אתה מוצא את עצמך דופק את המוצר היפה שבנית במו ידיך. עכשיו צריך לעקם את כל הארכיטקטורה של המערכת בשביל לסגור איזו פירצה קטנה. שלא לדבר על זה שהתוכנה כבר בקושי זזה מרוב הגנות ושריונים, ממש כמו איזה אביר מימי הביניים שקורס תחת משקל השריון ולא מסוגל לזוז. תוכנה שפעם הייתה עולה בצ'יק ומגיבה באלפית שנייה, פתאום זוחלת כמו צב עם פאנצ'ר.

לפעמים נראה לי שהם נהנים מלהמציא כל מיני התקפות מוזרות, עם ראשי תיבות שאף אחד לא מבין, רק בשביל שהם יוכלו להמציא פתרונות עוד יותר מוזרים, עם ראשי תיבות ארוכים אפילו יותר, בשביל להתעלל בנו עוד ועוד.

ואם כבר בהתעללות עסקינן, לא נשכח שמומחי הסייבר האלה הם גם הסמכות היחידה והעליונה שעוברת על כל הקוד במערכת ומחליטה אם הוא ראוי ובטוח מספיק או שמא לא. כבר יצא לי לראות כמה מפתחי תוכנה צעירים שרועדים מפחד לפני שהם נכנסים ל Security Code Review אצל חוקרי תוכנה בכירים. רק אז נפל לי האסימון למה הם קוראים לעצמם "חוקרים". הייתם צריכים לראות איך הם הם צלבו את המתכנתת האומללה, בדיוק כמו בחקירה משטרתית. ואפילו על זכות השתיקה אי אפשר לשמור. שלוש שעות הם עברו איתה שורה אחרי שורה ופונקציה אחרי פונקציה. מצאתי בזה דמיון מבהיל לשיעורי הבית של הבת שלי במתמטיקה – חקירת פונקציה. ומי שקצת זוכר איך עושים את זה, יודע שמדובר בשני שלבים: גוזרים ומשווים לאפס. זה בדיוק מה שה"חוקרים" האלה עושים לנו. גוזרים עלינו גזרות ומשווים אותנו לאפס.

עוד תוצאה ביזארית של התופעה הזו היא שכבר אי אפשר בכלל לדבג את המערכת. שהרי כל חוקר אבטחה מתחיל יודע שדבר ראשון צריך להקטין את מספר הממשקים החיצוניים של המערכת למינימום, ואם אפשר אז בלי ממשקים בכלל. הכי טוב. אנחנו נבנה פה את הכספת הכי מבוצרת בעולם. כל כך מבוצרת שאף אף לא יוכל לפרוץ אליה ולגנוב את הסודות. למעשה גם מי שהסודות שייכים לו יכול לשכוח מהם. ככה הכי בטוח.

בקיצור יצא לנו מוצר סופר בטוח, חסין מכל שביבון של פירצה, אבל שאף אחד כבר לא רוצה להשתמש בו מרוב שהוא איטי ומסורבל. אז מה? איטיות, נוחות שימוש, וזמני פיתוח זה בכלל לא בעיה שלהם, לך תפתור את הבעיות האלה בעצמך.

אבל מה שבאמת הכי מעצבן, שאת הבעיות הכי מסובכות, אלו שהכי קשה לפתור הם תמיד מוצאים ברגע האחרון, או ליתר דיוק, כמה רגעים אחרי הרגע האחרון. תמיד תצוץ איזו בעיית סקיוריטי סופר דחופה שחייבים, אבל ממש חייבים לתקן אותה לפני שיוצאים לפרודקשן. ואז, מי נשאר עד ארבע בבוקר ובסופי שבוע בשביל לשנות חצי מהתוכנה ולהריץ סבב בדיקות שלם? כמובן, צוותי הפיתוח והבדיקות.

ואיפה מחלקת החקירות אתם שואלים? הם בכנס. הם תמיד באיזה כנס כזה או אחר. כובע שחור, חולצה צהובה, לא משנה, העיקר שאפשר ללמוד על עוד כמה דרכים לאמלל אותנו ועל הדרך גם קצת לראות עולם.

בקיצור נמאס. נראה שחוקרי האבטחה הקימו מסביבם מעטפת הגנה מושלמת, שכל תוכנה הייתה מתגאה בה. אבל לאחרונה אני חושב שמצאתי דרך להתמודד איתם. אם הם נקראים "חוקרי אבטחה" אז אני מציע לעשות להם חקירה נגדית. מעכשיו כל פעם כשהם באים עם איזו פירצה חדשה שחייבים לפתור אתמול, אז אני אומר: בבקשה, צודקים, חייבים לתקן. אז הנה הקוד, הנה סביבת הפיתוח והבדיקות, ויאללה תאכלו גם אתם מהדייסה שבישלתם. סוף סוף גם אני מצאתי פירצה.

והמהנדס החכם אומר: מומחי אבטחת תוכנה עסוקים בלמצוא פתרונות לבעיות שלא יקרו אף פעם. הבעיה היא שהפתרונות האלו יוצרים בעיות שקורות כל הזמן. (אם זה נשמע לכם מוכר, קראו פה)

באנגלית זה נשמע יותר טוב:

Security architects are busy solving issues that happen only in theory, the problem is that those solutions creates issues that happens in reality

2 תגובות בנושא “#36 פירצה קוראת ל… חוקר אבטחת מידע

  1. "בדיוק מה שה"חוקרים" האלה עושים לנו. גוזרים עלינו גזרות ומשווים אותנו לאפס."
    זה גדול!! 😂😂

    אהבתי

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s