PEBKAC: הבעיה של רמה 8

(של מרקו רוטיני)
11 / 08 / 21

PEBKAC. מעולם לא שמעתי את המילה הזו, ממוצא חנון אבל מה מייצג את אחת הבעיות הגדולות והקשות ביותר לפתרון בעיות אבטחת המחשב?

זה ראשי תיבות, זה אומר הבעיה קיימת בין המקלדת והכיסא - כלומר, שהבעיה נעוצה בין המקלדת והכיסא.

אחרים קוראים לזה HF כדי לציין זאת גורם אנושי - הגורם האנושי; עדיין אחרים משתמשים בחיבה בשם דייב, המבוסס על קריקטורה ידועה לשנת 2006 בנושא אבטחת נתונים, שציירה הקריקטוריסט ג'ון קלוסנר.

הכל כדי להצביע על משהו מסוכן, לכאורה לא מזיק, אבל זה לא יכול להיות - או לפחות לא נוח - לחסל: המשתמש הלא מודע.

לפיכך מטרתו של מאמר זה היא לתאר את הסיכונים של חוסר מודעות זה, בתקווה לעורר אצל כל קורא השתקפות המגבירה את המודעות לסיכון.

אז תארו לעצמכם את דייב שלנו - עובד משאבי אנוש ב- Acme Farmaceutici SpA - בזמן שהוא בודק את הדוא"ל שלו בבוקר ומקבל בקשת יצירת קשר מ- LinkedIN מאחד מפיאמטה קנסטראלי, שאומר: "דייב, כמה שנים היית בתיכון? אני בהחלט זוכר אותך היטב והייתי רוצה אותך ברשת המקצועית שלי ".

דייב לא זוכר היטב את פיאמטה - מוזר כי עם שם מסוים כזה - אבל אם היא זוכרת אותו למה שלא תתקרב?
לפיכך, דייב מוצא כי הזמנה בלתי ניתנת לעמוד בפניה - אולי הודות לתמונתה של ברונטית עיניים כחולות הבולטות בדף הפרופיל שאליו - לחץ על קישור הדוא"ל - הוא ניגש לאישור הקשר ... בוודאי שלא שם לב לאמצע הביניים האתר שממנו עובר החיבור לאחר לחיצה על הקישור.

אתר שכתובת האתר שלו הוצגה פחות משנייה בשורת המצב של הדפדפן, אך ששימשה מערכת ליירט מידע רב על החיבור, לפני הפניה לאתר הרשמי של LinkedIN.

אם דייב היה מנסה לחפש את זוג העיניים הכחולות והיפות האלה במנוע חיפוש תמונות הוא היה מוצא עשרות תוצאות בנוסף לפרופיל המקצועי של פיאמטה: מודעות אייליינר, סוכנויות ליהוק דוגמניות, הדרכות לעריכת תמונות מקוונות ... אף אחת מהן Fiammetta מוּזְכָּר.

במקום זאת, כשהוא מבקר בפרופיל, הוא מגלה כי לחברו לשעבר לכאורה יש ניסיון מכובד מאוד בתחום אבטחת הסייבר, עם שנים שהו בחברות החשובות ביותר ושני מאסטרים באוניברסיטה בארצות הברית; הוא כמעט שמח שהיה חבר שלו לבית הספר.

אושר שהוא מוצא כעבור כמה ימים כשהוא רואה את הבקשות באמצעות פייסבוק ואינסטגרם, שבזכותן מתרבות התמונות של פיאמטה בהקשרים אחרים: ערבים במועדונים, דיוקנאות בתחפושת ליד הים, יש גם את התמונה בחליפת גוף מלא מ שהוא כנראה לקח את זה של הפרופיל המקצועי ... ילדה ממש נחמדה, חושב דייב.

כך שכאשר באמצעות מסנג'ר אתה מקבל את הקישור לביקור בבלוג של פיאמטה עם מאמרים רבים אודות הכנת לחם ומוצרי חמץ נהדרים, לחץ עליו בלי לחשוב פעמיים.

מה שדייב אינו יודע הוא ששילוב פעולותיו הוביל לזוג עיניים אחר, לא כחול ואפילו לא של הילדה, בעל נראות מצוינת במחשב האישי הארגוני שלו המחובר מרחוק - בגלל מגיפה - למערכות משאבי האנוש. של החברה. Acme Farmaceutici SpA.

הודות לתוכנה שהורדה באופן לא מתבקש ושקוף מהבלוג, שתי ידיים מיומנות רצות על מקלדת - מונחות על ידי מוח מאומן בפשרות מחשב. חיבור שמתחיל ממזרח אירופה מחליק לרשתות בלתי ניתנות למעקב עד המחשב הנייד של דייב, מכאן באמצעות VPN הוא נוחת על האפליקציה איתה מנהלת ACME נתוני עובדים. ההפעלה לא מיידית הודות לשימוש בסיסמאות מורכבות ש- ACME מטילה על עובדי משאבי האנוש שלה ... מלבד אלה שהם משתמשים בהם לשימוש אישי כגון: רשת חברתית.

אבל הקל מאוד על ידי דייב, ששונא את הנוהג הזה ושינן את הסיסמה כדי להיכנס למערכת ישירות בדפדפן, כך שהוא לא צריך לזכור ולהקליד את הרצף המורכב של 15 התווים כל הזמן.

ותודה לאל שעל הגישה ל- VPN, ה- IT של ACME אינו דורש סיסמה חד פעמית, מכיוון שהערוץ בטוח!

בחודש שלאחר מכן, CISO של ACME מקבל את אחד המיילים הגרועים ביותר בקריירה שלו. "יש לנו את מאגר העובדים המלא: נתונים אישיים, מצב בריאותי, היסטוריית עבודה ופרטי שכר, בונוסים ובני משפחה שאפשר לפנות אליהם במקרה חירום.
תוך 48 שעות המידע הזה יפורסם לציבור, אם לא נקבל את סכום 20BTC
(כיום יותר מ 666 אלף יורו, NdA)"

לאחר שהתאושש מההלם, CISO מזמן את יחידת המשבר של החברה ומתכונן להסביר כיצד לעזאזל תאונה בחומרה זו עלולה לקרות. למרות ההשקעה המופקעת בטכנולוגיית האבטחה שהחברה ביצעה לאורך השנים.

השקעה שסיפקה את חיזוק ההגנה על מיילים ארגוניים, נגד תוכנות זדוניות מערכות הגנה על אימות חדישות, VPNs לחיבור עובדים מרוחקים (נבדקו קשות על ידי המגיפה), אפילו בדיקות חדירה ובדיקות ללא פשרה מתבצעות פעמיים בשנה - האחרונה בחודש שעבר.

הגנה שכיסתה את כל שבע הרמות של מודל ההתייחסות ISO / OSI לחיבור ותקשורת בין מערכות הטרוגניות: פיזית, קישור נתונים, רשת, תחבורה, הפעלה, מצגת ויישום.

את כל!

למעט פגם אחד קטן אך חשוב ברמה 8: דייב.

הגנת rheinmetal