• החשיפה והחשד של ה FBI הם שמידע פנימי מציוד תקשורת של סיסקו זולג למערכות הביון בסין באמצעות ציוד תקשורת של סיסקו המיוצר בסין.סיסקו נוסדה ב 1984, בעיר סן פרנסיסקו, קליפורניה והיא אחת מיצרני ציוד התקשורת הגדולות בעולם, כאשר רוב רובו של ציוד הניתוב שנמצא כיום בשימוש ברשת האינטרנט ובחדרי המחשב של החברות הפרטיות והציבוריות הגדולות בעולם, כולל ממשלות, צבאות וגופי ביון בכל רחבי העולם הוא מתוצרת סיסקו.
• ה FBI גילה כי דרך ציוד התקשורת של ענק התקשורת האמריקאי סיסקו המותקן בחדרי המחשב והתקשורת של משרדי ממשלה, הביון והצבא האמריקאי דולף מידע להאקרים מסין. על פי חוקי הסחר האמריקני, כל ציוד טכנולוגי, כולל מחשב אישי, היוצא מהמכס האמריקני, חייב לשאת את פרטי הזיהוי של המשתמש הסופי בכל מדינה ומדינה. לעומת זאת החוק אינו מונע יבוא מקביל ואפור של ציוד זול לארה"ב דרך מדינות ידידותיות ודרך ערוצי השיווק באינטרנט. ה FBI חושד שציוד ורכיבי תקשורת המיוצרים בסין מכילים "דלתות אחוריות" המאפשרות חדירה של ה"אקרים" ואנשי ביון ללב מערכות המידע בארה"ב ויש להניח לעולם המערבי כולו. הציוד המזויף מיובא לארה"ב מסין ביבוא אפור דרך אנגליה, קנדה, הולנד, וגרמניה מדינות המורשות בסחר של ציוד תקשורת עם ארה"ב. כ"כ מגיע ציוד תקשורת לארה"ב דרך מערכות השיווק באינטרנט כמו e-Bay בדואר או באמצעות חברות שילוח ומגיע ל"מפיצים מורשים" של ציוד תקשורת. חברות אמריקאיות שחפצות לזכות במכרזים עושות זאת דרך היבוא האפור תוך הורדת מחיר אגרסיבית במכרזים ומחדירים בכך ציוד לא אמין למערכות הממשל בכל רחבי העולם. הפיתוי של ממשלות וארגונים לקבל דרך מכרזים מערכות תקשורת יקרות במחירים נמוכים במיוחד רווח מאוד במערכות ממשל דמוקרטיות בהן קיימים חוקי מכרזים, עובדה המאפשרת למערכות ביון פתח להשתלת ציוד זול המשמש לביון, מעקב וריגול, בדרך פיתוי קלה פשוטה ונוחה. רק לצורך המחשה, לפערי מחיר בין ציוד מקורי למזויף, המשאיר לספקים מרווחי ענק: נתב מקורי לדוגמה מדגם 1721 של סיסקו עולה בארה"ב 1375$ אותו דגם מסין יעלה 234$ פער של 587%. אין ספק שלמוכרי הציוד המזויף יש יתרון ענק בתמחיר וכשמדובר במכרז לציוד של סיסקו אין סיכוי לספקי הציוד המקורי להתחרות בפערי מחירים כאלו. המערכות המזויפות המיובאות מסין מסופקות ע"י "ספקים מורשים" למשרדי הביטחון כך שזיהוי וחשיפה של הזיוף הופכים לכמעט בלתי ישימים. הפיתוי הכספי העצום של ספקי המשנה הוא תוצר לוואי של רצון משותף של הספקים למכור ולזכות במכרזים וברווחים ורצון הרשויות למקסם את התקציב ולקנות ציוד בזול – מלכודת מצוינת של גופי ביון עוין - בייחוד כאשר אף אחד במערב לא ממש היה מודע לבעיית הביטחון ולזליגת מידע מציוד מזויף המאפשרת פריסה והחדרה לאורך זמן של ציוד "דליף" לכל המערכות הרגישות של הצבא והממשל המערביים וסביר להניח כעת לאחר החשיפה, יש מקום רב לדאגה לכל הגופים שקנו ציוד מוזל דרך "ערוצים אפורים" במחירים מוזלים. הציוד של סיסקו נחשב לאמין, איכותי, ומשתלם ללקוחות לאורך זמן בכל רחבי העולם, ומהווה סטנדרט עולמי לאיזון עומסים, העברת מידע בתקשורת ואכסון המידע של ספקי גישה, ממשלות, צבאות וגופי ביון בכל רחבי העולם. הגילוי שמידע זולג מציוד יהווה מכה קשה לסיסקו שאיבדה שליטה על המותג שלה המזוייף. חשוב לציין שהיצוא מארה"ב של ציוד כלשהו לא מוכיח את מקוריותו. וחשוב היום לחשוד ולהניח שציוד שיוצא מארה"ב אפילו דרך ערוצי הפצה מורשים, חשוד שהגיע למפיצים דרך ערוצי הפצה אפורים. היום כל משלוח צריך להיות מטופל כחשוד ו"דליף". כגע ע"פ הפרסומים קיימת פאניקה והיסטריה רק מהמחשבה שציוד החשוד כמזויף מותקן בכל מערכות המחשב הרגישות ביותר, דולף ונגיש לגופים זרים מזה חודשים ואפילו שנים. זיהוי הציוד המזויף לא יהיה קל כי הוא דומה מאוד לציוד המקור. סביר להניח שהרכיבים המשמשים ליצור של הציוד המקורי מיוצר גם הוא בסין:
•
• בתמונה הנ"ל ניתן לראות כמה דומה וקשה לזהות ציוד מזויף, ועין בלתי מיומנת של יצרן הציוד עצמו לא תזהה את ההבדלים, בעיקר בשל העובדה הפשוטה ששנוי במבנה של חומרה, מאוד שכיח בעולם הפיתוח ולא מצביע בהכרח על זיוף !!!. לא נכנס לפרטים אך נציין שהאיום המרכזי שעומד בפני העום הערבי כרגע הוא עצם החשיפה המוקדמת של גילוי הזליגה, שלא יאפשר זמן להתארגנות מחודשת, מחשש שהטיפול בבעיה יגרום למערכת כולה לקרוס כתוצאה מפעולת התגוננות עוינת. בעיה מרכזית נוספת היא עצם פעולת ההחלפה הפיזית של הציוד הפרוש בכל מערכות המחשב בארה"ב. מי יבצע את ההחלפה? המפיצים של הציוד המזויף? מי יערוב למהימנותו של השינוי?
• דילמה מרכזית תהיה, האם להמשיך ולהתקין ציוד של סיסקו הנתון לזיוף (מכאן נובע החשש העיקרי של חברת הענק והרצון שלה להשתיק את הפרשה מוקדם ככל האפשר). בדיקה של המערכות להמצאות של "גלולת רעל" (החדרה של "סוסים טרויאניים" ופצצות זמן למערכות אחרות כדי להסוות ולהסתיר את הפרצות) כנראה מאוחרת מדי למערכות המחשב והתקשורת המקושרות לרשת, במהלך הזמן הנוכחי בו המערכת חשופה. הפתרון ההגיוני היחידי הוא להיערך מיידית למעבר למערכות גיבוי (יש להניח שגם מערכות הגיבוי נגועות) ולתקן את המערכת הקיימת כאשר היא מנותקת מהרשת.
• כתבות נוספות:
• FBI Fears Chinese Hackers Have Back Door Into US Government & Military
• http://www.abovetopsecret.com/forum/thread350381/pg1
• http://alwayson.goingon.com/permalink/post/26605
• http://www.donkeyonawaffle.org/OMB%20briefing%202008%2001%2011%20a.ppt
• Whistle-Blower: Feds Have a Backdoor Into Wireless Carrier -- Congress Reacts
• http://blog.wired.com/27bstroke6/2008/03/whistleblower-f.html
• Made in China, a security risk?
• http://www.hardwareanalysis.com/content/article/1874/made-in-china-security-risk/
• US, Canadian agencies seize counterfeit Cisco gear
• http://www.thestandard.com/news/2008/02/29/us-canadian-agencies-seize-counterfeit-cisco-gear
• נכתב ע"י מיכאל (מיכה) שפיר - טכנולוג ראשי ומייסד אינוויה מחקר ופיתוח.
•
• שיטות לזיהוי חד משמעי של אדם המציג תעודה או אמצעי תשלום הפך בשנים האחרונות למשימה בלתי אפשרית כמעט. הבעיה המרכזית בחיבור בין אדם ומחשב היא העדר יכולת לזהות בוודאות מי למעשה עומד מול המכונה. למערכת מחשב אין כלים אמיתיים לאמת מי עומד או מזדהה מולו. לדוגמה, אדם המבצע פעולת תשלום באינטרנט או מושך כסף מכספומט. למערכת אין יכולת להוכיח את זהות העומד מולה. למחשב אין כלים אמיתיים לזהות אם מספר כרטיס אשראי לדוגמא, בעת התשלום הועתק מכרטיס אשראי אמיתי, או ממקור אחר. או אם למשתמש מחשב יש קוד כניסה וסיסמא תקינים של אדם אחר, למחשב אין יכולת הפרדה בין קוד משתמש תקין למקיש אותו. ביומטריה יכולה לתת מענה לבעיה, אך אין דרך מעשית כיום להשתמש בביומטריה ללא איסוף תחילה של מידע ביומטרי לצורכי השוואה בגלל אותה בעיה לוגית בו צריך לתת למכונה נקודת מוצא להשוואה. היכן ישמר המידע הזה? ואיך למנוע מצב בו גורם אחר יעשה שימוש באותו מידע ביומטרי אגור למטרות אחרות?, כמו נניח שימוש במידע ביומטרי של לקוח בנק שמסר את המידע לטובת חשבון בנק ולקשור אותו לאירוע פלילי שאינו קשור לבנק. הדרך היחידה היא להשתמש בביומטריה היא ללא איכסון מידע כמו השתקפות הבואה במראה שיטה שפיתחה אינוויה לזיהוי ביומטרי ללא עקבות וללא צורך בחתימות ביומטריות אגורות גם לא בכרטיס אישי לצורכי השוואה כדי למנוע זליגה.
• Innovya traceless Biometrics By Michael (Micha) Shafir:
• http://video.google.com/videoplay?docid=-4199817486890973566
מיכאל (מיכה) שפיר משמש כטכנולוג מדען ראשי ויזם במספר רב של חברות היי טק העוסקות בעיקר ברשתות תקשורת, אבטחת מידע, ציוד רפואי, ומחקרים ביו טכנולוגים.
Michael (Micha) Shafir - CTO, founder, seasoned entrepreneur (RadWare, MagniFire, PonsEye, Pons - Technology GreenHouse , CrossID, Innovations'Center), Inventor
Email: micha@Innovya.com
Direct: +972 54 4837900
Michael (Micha) Shafir - CTO, founder, seasoned entrepreneur (RadWare, MagniFire, PonsEye, Pons - Technology GreenHouse , CrossID, Innovations'Center), Inventor
Email: micha@Innovya.com
Direct: +972 54 4837900
