ב-Online
 
 
 
 
 
 
 
 
אבטחה אלקטרונית - חלק ב' 

אבטחה אלקטרונית - חלק ב'

 
 
מארק גזית

מארק גזית, אחראי אבטחה אלקטרונית בנטוויז'ן, ממשיך בסקירתו על שיטות אבטחה דיגיטליות

 
 
 
 
 
 
 
 
 
 
כפי שהוזכר בכתבה הקודמת בסדרה, המחסור באמצעי ביטחון דיגיטליים בשנים האחרונות גרם לכך שהאינטרנט שימש בעיקר כאמצעי פרסומי. העברת מידע על כרטיסי האשראי היתה מוגבלת. אמנם היו חברות שאפשרו הזמנות ע"י מסירת פרטי הכרטיס ללא כל אמצעי בטחון, אך בעקבות כמה פריצות ופרסומים על גניבה וזיוף של כרטיסי אשראי החלו הלקוחות הפוטנציאליים להיזהר יותר.

יצרניות תוכנה באינטרנט החלו לחפש פתרונות.
חברות NETSCAPE וMicrosoft הציגו את הSSL (Secure Socket Layer) , סטנדרט המאפשר הצפנה פשוטה של אינפורמציה העוברת בין מחשב הלקוח (בדרך כלל הקונה) לשרת המקבל את ההזמנה (בדרך כלל המוכר).

פתרון אחר הינו פרוטוקול הSET (Secure Electronic Transactions) שפותח ע"י חברת ויזה וחברת MASTERCARD. סטנדרט זה מונע את קבלת כרטיס האשראי ע"י המוכר, ולמעשה יוצר משולש בו שותפים הקונה, המוכר וחברת כרטיסי האשראי. חברת האשראי בודקת את זהות הקונה ואת פרטי אמצעי התשלום (כרטיס אשראי כמובן), ומספקת למוכר קוד אישור העיסקה.

אין ספק שסטנדרטיזציה בתחום סייעה רבות באבטחת המסחר באינטרנט, אך לצד ההצפנה שמאבטחת את תהליך הקניה, יש צורך באמצעים יותר כבדים בכדי להגן על מערכת המסחר כולה.
 
 
באופן כללי, כאשר מבצעים ניתוח אבטחה למערכת פיננסית, חשוב מאוד להגדיר על מי, מה, כמה ואיך יש להגן. לפעמים בלחץ הזמן או כתוצאה משיקול מוטעה, מגינים רק על חלק מהמערכת. טעות כזו עלולה לעלות כסף רב.

לדוגמה ניקח את שודדי הבנקים. בתחילת המאה הושקעה מחשבה רבה בפיתוח מנעולים מתוחכמים לכספות. השודדים פתרו את הבעיה בצורה פשוטה: הם החלו לפוצץ את הכספות. כיום, כאשר הכספות בבנקים חסינות לפריצה, שוב עוסקים שודדי הבנקים בחיפוש אחר מפתחות חדשים לפריצת הכספות.
הפורץ תמיד מחפש את המטרה שבה הרווח יהיה גדול יותר וההשקעה קטנה יותר. לכן יש צורך להגן על כל המרכיבים במערכת האבטחה.

ראשית, יש להגן על נקודת הקצה, ובעיקר על שרת הWWW של הספק. שרת זה בד"כ מבוסס על מחשב UNIX או NT. יש לציין שמחשב הספק מכיל, לעתים קרובות, בנוסף לאינפורמציה על מוצרים גם את מאגר המידע של הלקוחות, כולל פרטי כרטיסי האשראי. לעתים מאגר זה אפילו לא מוצפן, והוא מהווה "פירצה הקוראת לגנב".

גם על מחשב הלקוח יש להגן, כי אם יהיה אפשרי לפרוץ למחשב הלקוח, אפשר יהיה לבצע קניות בשם הלקוח גם כאשר כל שאר מרכיבי המערכת מוגנים.
נדרשת גם הגנה על החיבור בין הלקוח למוכר.

 
הפרוטוקולים בהם משתמשת רשת ה ,Internet קווי תקשורת בשיטת TCP/IP שמחברים את הלקוח לשרת, סובלים מחסרונות רבים. ניתן בקלות רבה להאזין לכל האינפורמציה העוברת באינטרנט, לזייף זיהוי וזהות, ולשנות את תוכנה של אינפורמציה חיונית.

שיטות הצפנה רבות פותחו כדי להגן על המידע בדרכו מהלקוח למוכר ומהמוכר ללקוח, אך מעטות מהן באמת הוכיחו את עצמן. קשה מאוד לפתח שיטת הצפנה יעילה באמת: ההיסטוריה מלאה בשיטות הצפנה "לא ניתנות פריצה", אשר נפרצו זמן קצר אחרי ההכרזה השחצנית. השיטות המקובלות כיום הנן DES (Data Encryption Standard האסור בחלקו לייצוא מארה"ב) IDEA , (International Data Encryption Algorithm) ושיטת RC5.

להצפנה יש שני צדדים: הצפנה ופיענוח, ממש כשם שכשסוגרים כספת עם מפתח, זקוקים לאותו המפתח בכדי לפתוח את הכספת. העברה בטוחה של מפתח סודי כזה בין שני אנשים שלא מכירים אחד את השני ולא סומכים האחד על השני מהווה בעיה קשה, ועל כך - בכתבה הבאה.

הכותב הוא סמנכ``ל הנדסה ואחראי אבטחה בנטוויז`ן
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by