תגית: אבטחת מידע

שי אגסי, אחסון מבוסס פלאש ותותחים גרמניים

 רכבים אוטונומיים ומערכות אחסון מבוססות Flash

במסגרת תפקידי כאיש פריסייל בספקית האינטרנט 012, השתתפתי בכתיבת מענה למכרז תקשורת עבור חברה חדשה ומהפכנית בתחום הרכב, שבאותם ימים הייתה הבטחה גדולה בתחומה, בטר-פלייס. זה היה מכרז מרתק ובמסגרתו נחשפתי לאתגרים של פריסה ארצית של תחנות טעינה, ניהול ציי רכב, ניטור מערכות הרכב בזמן אמת או בהבזקים קצרים והזרמת תוכן בחזרה אל הרכבים. היזם שמאחורי החברה, שי אגסי, הבטיח מהפכה אמיתית בתחום הרכב, הצליח לרתום לפרויקט תמיכה של מדינות כמו ממשלת יפן שהתגייסה לתמוך בפיילוט של מוניות חשמליות בטוקיו, בנקים גדולים ואת חברת רנו העולמית שהייתה היצרנית הבלעדית של מכוניות בטר-פלייס.

לצערי החברה קרסה שנה אחת בלבד אחרי שהחלה לספק מכוניות ללקוחות פרטיים. האמנתי בחזון אותו הוביל אגסי. כולנו חכמים בדיעבד ונראה שחלקים מהמודל בו בחר אגסי, כמו חיוב טעינה בעמדות החברה בלבד ובחירה ברכב נטול סקס-אפיל לחלוטין, הביאו לכישלון וזאת בניגוד למשל להצלחה היחסית של חברת טסלה של אלון מאסק.

הפרק האחרון של הפודקסאט המצוין של הדסק הכלכלי של תאגיד השידור "כאן" עוסק בטכנולוגיה בעולם הרכב והוא זה שהזכיר לי את בטר-פלייס, בפרק מתראיין שי אגסי ובטר-פלייס שלו מוזכרת כמה פעמים במהלך הדיון. השאלה המרכזית בה עוסק אמסטרדמסקי שהנחה את הפרק היא האם בקרוב נפסיק בכלל לרכוש מכוניות פרטיות? האם הבשלת הטכנולוגיה של רכבים אוטונומיים, ידידותיים לסביבה, ביחד עם התרחבות מודל הצריכה השיתופי בסגנון אובר או ליפט תביא לכך שבקרוב פשוט לא נרצה להחזיק רכב משלנו? הדוברים בפרק בטוחים שכן. בסופו של דבר, נאמר פרק, בעתיד הקרוב מאד, שלוש, חמש או עשר שנים, לא נרכוש מכוניות פרטיות, ילדינו לא ילמדו לנהוג בעצמם ושוק הרכב יעבור תהליך מאד מואץ של התגבשות למספר מאד נמוך, ארבע או חמש, יצרניות ענק שיחלקו ביניהן את השוק.

הנקודה האחרונה, התגבשות השוק למספר קטן של יצרניות ענק, הוא הקישור שלי חזרה אל עולם התוכן שלנו כאן, עולם ה IT. לאחרונה, במסגרת דיון פנימי על השוק כולו, חבר שלי, עופר טל, שלח קישור לרשימה של מעל 100 יצרניות All Flash Storage ובמסגרת המאמר שהכיל את הרשימה, יש גם קישור לרשימה עתיקה של לא פחות מ 172 יצרניות SSD. 172 יצרניות SSD לעומת שלוש עד שבע יצרניות דיסקים, תלוי לרשימה של מי מאמינים. למעלה ממאה חברות מייצרות רק או גם מערכות All Flash.

ברור שלא לכולן יש עתיד. ברור כי על רוב היצרניות הקטנות, אלו המתמחות ב All Flash ואלו שמייצרות "גם" All Flash, על רובן לא שמעתם ולא תשמעו. גם המצליחות יחסית, מתקשות לייצר רווח, Pure היא אחת החברות המצליחות בעולם ה All Flash והיא מדווחת על הפסד של 41.6 מיליון דולר ברבעון האחרון וזה עוד שיפור מהפסד של 78.8 מיליון דולר ברבעון המקביל בשנה שעברה.

מה מייחד כל אחת מאותן מאה פלוס חברות All Flash? האמת היא פשוטה ואת רובן לא מייחד שום דבר וזו הסיבה שרובן תעלמנה. לחלקן יש משהו מיוחד, NetApp למשל מקדמת די בהצלחה את חזון ה DataFabric שלה ומערכות ה All Flash הן רק חלק מהמכלול שם. לנימבל, שנרכשה על ידי HPE, היה ה InfoSite, מערכת האנליטיקה המתקדמת שלה. השורה התחתונה, מי שמתמקד במדיה, בחומרה מהירה, פשוט מיישר קו עם העדר.

הערת אגב על זמינות ותשיעיות

בימים הקרובים אמור להתפרסם whitepaper חדש של IDC שמדבר על החשיבות של זמינות מערכות ברמה גבוה ומציין אותנו לטובה כיצרן היחיד שמתחייב לרמת זמינות של שבע תשיעיות.

כמאמר המשוררת, התשעיות לא מעניינות אף אחד אם הלקוח לא מרוצה אבל אני לא מודאג, יש לנו עוד כמה דברים מגניבים מעבר לרמת זמינות המערכת.

nines dont matter

https://www.zazzle.com/nines_dont_matter_t_shirt-235118578582589495

הערת אגב לגבי חמש תשיעיות, מי שעושה חיפוש על המושג five nines יכול ליפול גם על תותחים גרמניים ממלחמת העולם הראשונה, תותחים בקוטר 15 סנטימטר או 5.9 אינטש. לפי ויקיפדיה תותחים אלו, כמו תותחים גרמנים אחרים מאותה תקופה, הוטבעו במילים Ultima Ratio Regum, בתרגום חופשי מלטינית – הטיעון האחרון של המלך. ככל הנראה מסורת שהתחיל המלך לואי הארבעה עשר לציין שהמלחמה היא המשך הוויכוח.

By Kadin2048 (Own work) [GFDL (http://www.gnu.org/copyleft/fdl.html), CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/) or CC BY-SA 2.5 (https://creativecommons.org/licenses/by-sa/2.5)%5D, via Wikimedia Commons

מילה על אבטחת מידע לסיום

הידיעה הבאה הכניסה בי יאוש מסוים, איש ה NSA הורשע בבית המשפט על פי הודעתו. מידע מסווג שלקח הביתה, נגנב על ידי שירותי המודיעין הרוסים תוך שימוש בתוכנת האנטי-וירוס של קספרסקי שהותקנה על המחשב שלו. למה זה מכניס בי ייאוש? כי כמו שנכתב כבר בבלוג שלי כאן וכאן, חינוך עובדים להתנהגות מודעת הוא חלק משמעותי במערך אבטחת המידע של הארגון ואם אפילו עובדי NSA לוקחים חומר מסווג הביתה סם כך, מה יגידו אזובי הקיר?

זה הכל להפעם,

אשמח לשמוע מה דעתכם!

שלכם,

ניר מליק

 

WannaCry and Dell EMC world

It my party and i'll #WannaCry if I want to

מתקפת הסייבר הענקית בסופ"ש האחרון הזכירה לי סיפור על חברת תיירות ישראלית גדולה שהיתה בזמנו לקוחה שלי. בשבוע שלפני פסח כלומר באחד השבועות הכי עמוסים בעולם התיירות הישראלי, הוצפנו מספר תיקיות בארגון בעקבות חדירה של כופרה לארגון (ransomware) ובין התיקיות המוצפנות היתה תיקיה אחת חשובה במיוחד לפעילות הארגון ואנשי הIT היו תחת לחץ נוראי למצוא פתרון מהיר לבעיה.

השתלשלות האירועים תישמע מוכרת להרבה מאד אנשי IT, לחברה היה פתרון גיבוי מיושן שלא נבדק כמו שצריך כי הוא התבסס על NDMP ושחזור מדגמי של NDMP  הוא לא תענוג גדול, מערכת האחסון שלהם עמדה בפני שדרוג ולא נשאר להם מקום כדי לשמור עומק משמעותי של snapshots, כמו גופי IT רבים בעולם הם עבדו קשה עם מעט מאד כוח אדם ולא היה להם זמן לכתוב נהלים ולתרגל "מקרים ותגובות" לאירועים סייבר שונים כי הם היו עסוקים עד מעל לראש בחיי היום-יום, בקיצור, לא היה שם שום דבר מיוחד, הם היו גוף IT סטנדרטי.

ביום האירוע, מרוב לחץ, במקום לבצע שחזור מתוך snapshot כלומר, במקום להציג את snapshot הצידה ולהעתיק מתוכו את המידע הנדרש, הם ביצעו revert to snap לעותק הנקי היחיד שהיה להם. התהליך היה פשוט ונוח, לקח להם שעה להחליט לבצע את זה וחצי דקה לבצע את זה בפועל וזהו, הם חזרו חצי יום אחורה בזמן לתיקיה נקיה מווירוסים והכל עבד ואושר גדול ו… הם לא מצאו את patient zero, הם לא ניתקו את התחנות המזוהמות מהרשת, התיקייה הקריטית הוצפנה מחדש ועכשיו בלי גיבוי תקין ובלי סנפשוט לחזור אליו, לא הייתה להם שום ברירה אחרת מלבד לשלם את דמי הכופר.  אמא שלי היתה אומרת "היה שמח".

כמו שאני מדגיש לא פעם כשאני כותב על נושאי אבטחת מידע, זה לא תחום ההתמחות שלי אבל יש כמה דגשים שכל איש תשתיות אמור להכיר:

  1. יש להקפיד ולעדכן את כלל המערכות באופן קבוע
  2. יש לגבות ולבדוק את תקינות הגיבוי
  3. יש לחנך את העובדים שלנו
  4. יש לכתוב נהלי חירום ולתרגל אותם באופן קבוע

כמובן שזה המקום להשוויץ שבמערכות Infinidat אפשר להריץ 100,000 snapshots בלי לפגוע בביצועים וכמעט בלי לצרוך נפח וכל אחד מהסנפשוטים ניתן להפוך ל read/write ככה שאפשר ליצור עומק מאד משמעותי של נקודות שחזור אפשריות וממש אין צורך לבצע revert ולוותר עליהן במקרה שחזור.

DellEMC world

בשבוע שעבר נערך כנס Dell EMC world השנתי בוגאס, לראשונה במתכונת המאוחדת לאחר הרכישה הענקית. אלו ההכרזות המרכזיות בעולם האחסון ולטעמי יותר מעניין מה לא נכלל בהן מאשר מה שכן.

VMAX – הוכרזה גרסאת High-End חדשה, 950F, שאמורה לספק שדרוג ביצועים משמעותי בעיקר בגלל שימוש במעבדים עדכניים יותר ותוספת זיכרון. מעניין לציין שנעדרה כל התיחסות לדגמי VMAX שאינם מבוססי All Flash, לאן הם נעלמו מהרדאר? DellEMC  טוענים כאן ל6 תשעיות זמינות ו the register מזכירים נכון שאנחנו באינפינידט כבר מזמן מדברים על 7 תשעיות אז כולכם מוזמנים לבדוק אותנו במבחן השוואתי.

XtremeIO – גם כאן כלול שדרוג חומרה שמספק שיפור ביצועים אבל נסיגה מוחלטת מהכרזת יכולות NAS ובשעה טובה הוכרזה יכולת מובנית לרפליקציה אבל וזה אבל גדול, זו הכרזה על יכולת עתידית כלומר גם עכשיו אחרי ההכרזה הזו לקוחות XtremeIO צריכים כלי חיצוני לרפליקציה. Xterme היו מהחלוצים בעולם ה All Flash  , מהחלוצים לספר לנו עד כמה מערכות All Flash יותר יעילות ממערכות היברידיות אבל אם יורדים לפרטים הקטנים אז העיסק נעשה קצת יותר מורכב, בשביל לקיים קלאסטר מלא של 8 בריקים צריך זו מתגי אינפיניבנד אז זו לא מערכת זולה ופשוטה במיוחד, בשביל לספק 2.8PB של נפח אחסון, בקלאסטר מלא של 8 בריקים, הם צריכים להתבסס על יחס של 3:1 וגם צורכים כפול מכמות חשמל שצורכת מערכת מלאה של אינפינידט שמספקת 2.8PB לפני דחיסה אז מה בדיוק כל כך יעיל וזול כאן? שימו לב שלא מדובר כאן על סתם FUD או לכלוך כי אני עובד אצל יצרן מתחרה אלא הכל אחד לאחד מדף המוצר שלהם עצמם

Isilon – גם בגזרה זו אין רבולוציה אלא אבולוציה, שוב מדובר על שיפור ביצועים, בעיקר באמצעות שדרוגי חומרה וגם כאן אין למשל איזכור לנסיגה מיכולות ה iSCSI.

Unity – מרגיש כמו תקליט שבור, שוב שדרוג חומרה קל בגרסאות All Flash בלי שינוי משמעותי בתוכנה. העובדה שעדיין, ב 2017, בדור רביעי של מערכות "unified" עדיין ניתן לבצע דחיסה רק לשירותי קבצים ולא לשירות Block מזכירה לנו כי בקרביים, ה Unity עדיין נשענת על ארכיטקטורה נפרדת של קלריון וסלרה לשירותים השונים, האריזה נוצצת והולכת ומתהדקת מדור לדור אבל זו עדיין לא באמת מערכת Unified  אלא רק "Unified" או כמו שאבי דיכטר קורא לזה, מערכת "יעני" Unified.

Faster Than All Flash

אם אתם זוכרים אז בפעם הקודמת סיפרתי לכם על מבצע ה Faster Than All Flash שלנו שבו אנחנו מציעים ללקוחות לבחון אותנו בשטח, בתנאי אמת, עם real live hand grenades ולהציב אותנו ראש בראש מול מוצרי All Flash, במידה ולא נעמוד בתחרות ולא נספק ביצועים טובים מהם תחת עומסי עבודה אמיתיים ולא איזה בנצ'מארק סינטטי, אנחנו נתרום 10,000$ לארגון צדקה לבחירתו של הלקוח.

מי שרוצה מוזמן להקשיב לבריאן סטובר שלנו מדבר על העובדה של All Flash הוא לא הפתרון היחיד לאתגרי האחסון שלכם ולמה אנחנו חושבים שהפתרון שלנו יותר נכון:

זה הכל להפעם חברים,

בפעם הבאה סיכום של IDC storage transformation בפרנקפורט, סיכום של VeeamON בניו אורלינס ומסלול טיול מומלץ בטרנסילבניה (לא צוחק!)

שלכם,

ניר מליק

חדשות חול המועד- vSAN, Pure וחרושת שמועות

VMware vSAN 6.6

מרגיש כאילו רק לפני רגע דיברנו על 6.5 והנה VMware הכריזו השבוע על גרסה 6.6 של vSAN. מדובר בהכרזה הכי גדולה שלהם מעולם מבחינת כמות החידושים הכלולים בה. אחד החידושים הכי מעניינים לדעתי הוא מנגנון ההצפנה המובנה ל Data at rest. לא, אני לא סתם מתחנף אל אשת אבטחת המידע שלי, אני אוהב את הפיצ'ר הזה כי יש בו טריק. יש הרבה פתרונות להצפנת מידע במערכות אחסון, אנחנו ב Infinidat למשל משתמשים בדיסקים בעלי מנגנון הצפנה חומרתי מובנה. vSAN הוא פתרון תוכנה בלבד ולכן כמובן לא יכול להשתמש בדיסקים כאלו ולכן חייב לבצע הצפנה ברמת התוכנה. נקודה חשובה שצריך לתת אליה את הדעת – מידע מוצפן במקור הוא בדיוק כמו מידע דחוס במקור, למערכת האחסון אין דרך אפקטיבית לבצע dedup או דחיסה למידע מוצפן ולכן מדגישים ב VMware שסדר הפעולות ב vSAN הוא שקודם הבלוקים מחולקים ליחידות של 4K ואז לפי הסדר יוצרים להם checksum, מבצעים dedup, מבצעים דחיסה ורק אז מצפינים. זה משמעותי מאד אל מול היכולת המובנית ב 6.5 למשל בה אם הפעלנו את יכולת ה VM encryption איבדנו את כלל יכולות ה storage efficiency ומאד מגניב כי גם יכולות ה dedup והדחיסה שופרו בגרסה הזו.

בשעה טובה גרסה 6.6 כבר לא דורשת multicast ככה שמבנה התקשורת נהיה נוח וקל יותר לשימוש. שיפור משמעותי נוסף מדבר על היכולת להתגונן גם מפני כשל מקומי וגם מפני כשל של אתר מלא, עד גרסה זו, אם השתמשנו ביכולת stretch cluster נאלצנו לעשות פשרה בעצם, כל אובייקט היה מוגדר בתצורת raid-1, עותק אחד בכל אתר, ככה שאם הייתה בעיה באתר אחד היינו נשארים רק עם העתק יחיד באתר השני ואז היינו לא מוגנים מפני כשל נוסף. עכשיו יש בעצם שתי הגדרות נפרדות, אחת שמגדירה אם האובייקט מרופלק לאתר המרוחק או לא והשני קובעת את הרמת ההגנה שלו באתר המקומי (riad 1, 5,6).

יש עוד כל מני חידושים אבל הם פחות מעניינים בעיני, כל חידוש ברמת ההתקנה הראשונית למשל הוא בעיני קוסמטיקה שנועדה למצגות ולכנסים, אני זוכר בזמנו את ההשקה הראשונית של VNX שהעלו ילד עם 10 לבמה להראות כמה קל ופשוט זה להתקין את המערכת, כולנו יודעים כמה קל ופשוט היה להשתמש בה אחר כך.

Pure NVMe X blade

גם החברים מ Pure השיקו מוצר חדש השבוע, תמיד כיף לפרגן למתחרים והם הראשונים להשיק מערך אחסון מבוסס NVMe. חלק מההכרזה מתרכז כמובן במסרים שיווקיים לחלוטין כמו 1PB ב 3U (רלוונטי רק אם מצליחים בפועל לספק יחס efficiency של כמעט 1:6) אבל חלק מדבר על המשך שינוי הכיוון של Pure מפתרון מבוסס תוכנה לפתרון מבוסס חומרה. בתחילת הדרך Pure היו יצרן תוכנה שהשתמש ב consumer grade SSD כדי לספק פתרון All Flash במחיר מאד תחרותי, הדגש שלהם בהכרזה הקודמת הולך ומעמיק בהכרזה הזו על פתרון שהוא פתרון חומרה טהור עם קצת טוויקים של התוכנה כדי להסיר שכבות מיותרות. זה לא רק שינוי כיוון משמעותי מהכיוון המקורי שלהם אלא גם כיוון שנוגד לחלוטין את הכיוון שלנו באינפינידט ככה שמאד מסקרן לראות לאן הם יצליחו להגיע עם זה. המספרים שפרסמו EMC בתחרות מול הדור הקודם של Pure (//M) היו, אם נגיד בנימוס, לא מאד מחמיאים ל Pure ככה שאני מאד סקרן לראות את הבנצ'מרקים של הדור החדש.

חרושת שמועות

גם שוק השמועות ממשיך להתפרע, the register הכריזו ב30 במרץ שHPE רוצה לרכוש את Veeam ולמרות שכרטיס מלור נוטה לפגוע בתחזיות שלו, מהלך כזה לדעתי לא יעשה הרבה הגיון עבור HPE שמפצלת את נכסי התוכנה שלה. אולי זו הייתה מתיחת האחד באפריל שלהם שפורסמה בטעות יום אחד מוקדם מדי?

שמועה נוספת היא השמועה, שוב, ש Cisco רוצה לרכוש את Nutanix. נראה לי ששוב מדובר על שמועה שנועדה סתם למלא מילים בבלוגים והיא מתבססת על פוסט מתחילת השנה שמקשר את הרכישה של HPE את Simplivity לרצון של Cisco לרכוש את Nutanix לפני שנתיים. הדבר היחיד שמעניין כאן זה המספר הנמוך יחסית שמיוחס לשווי הרכישה. לפני שנתיים דיברו על כך שCisco הציעו 4 מיליארד דולר עבור רכישת נוטניקס ואילו עכשיו, אולי לאור הרכישה הנמוכה יחסית של Simplivity וגם של Nimble המספרים יורדים לשכונה של מיליארד יחיד, עדיין מספרי unicorn אבל כבר לא עדר אלא חד קרן יחיד, קצת עייף.

זה הכל להיום, חג שמח לכולם וכמו תמיד אני פתוח לביקורת הצעות ותגובות,

שלכם,

ניר מליק

פוסט אורח: "הצד שלה" וקצת על אבטחת המידע בארגון‎

שלום לקוראי הבלוג,

אני הדס, רעייתו האוהבת של כותב בלוג זה, ואשת אבטחת מידע ותיקה (היום כבר לא אומרים "אבטחת מידע" אלא "הגנת סייבר", למרות שברוב המקרים אומרים אחד ומתכוונים לשני ולהפך). בזמן שבעלי מכלה צ'פאטי ודהל-בהט במומבאי (ראו פוסט קודם), אני התפניתי לספר לכם על "הצד שלה", וגם לחלוק איתכם קצת תובנות, ממעוף הציפור, בנושא אבטחת המידע הארגונית.

נושא ה"טיסות לחו"ל מטעם העבודה" אינו זר לנו. בעבר בעלי נסע לכנסים בחו"ל ואף זכה בטיולי פנאי מטעם החברה במקומות שונים בעולם אך זו הפעם הראשונה שהוא נוסע, ממש, לעבוד בחו"ל. התחושה מעורבת- מצד אחד גאווה גדולה ופרגון עצום, ומצד שני הימים הארוכים וההתמודדות עם כל המטלות בבית בלי עזרה היא לא פשוטה. משימות שהן בדרך כלל נחלתו הבלעדית כמו הר הכלים בכיור או מיתון עליצותה המוגזמת של הכלבה מצטרפות למשימות השגרתיות של ההורות ותפעול הבית והופכות, יחד עם הגעגועים, למעמסה שהיא לא רק רגשית. יש לנסיעות האלה גם צדדים חיוביים, כך למדתי. למשל, אתמול הלכתי לישון בשמונה בערב בלי שום רגשות אשם, גם הררי הכביסה צומצמו בחצי, והילדה ואני אוכלות רק מה שאני אוהבת לארוחת הערב, מבלי להתחשב בהעדפותיו הקולינריות של אדם נוסף.

בדרך כלל תחומי העיסוק של בעלי ושלי לא מצטלבים. אנחנו מבינים היטב זה את זה אבל עדיין, מערכות גיבוי ואחסון גדולות כמו NetApp, ועכשיו גם Infinidat, לא סובלות מאותו סוג איומי סייבר שיש, למשל, למערכות הפעלה.

ברור, מערכות שמחזיקות את כל המידע הארגוני, גם הרגיש ביותר, הן יעד מועדף על תוקפים, אולם ברוב המקרים הן ייחודיות ופחות נגישות ממערכות אחרות, מוחצנות יותר, כגון תחנות הקצה הארגוניות, שרת הדוא"ל, שרת הweb ודומיהן.

בהקשר קרוב, בשבוע שעבר התקיימה תחרות ההאקינג Pwn2Own השנתית, בה לוקחים חלק משתתפים מכל העולם ויכולים לזכות בפרסים של מאות אלפי דולרים. המשימה העיקרית בתחרות השנה הייתה "התחמקות ממכונות וירטואליות", המתחרים קיבלו מכונה וירטואלית של VMware או Hyper-V והיו צריכים להשיג שליטה בשרת המארח ("guest to host"). הקבוצה שזכתה בפרס הראשון, אנשי אבטחת מידע מחברת Qihoo360 הסינית, הצליחו להשלים את האתגר באמצעות שימוש בחולשת heap overflow  בדפדפן Edge, שהובילה לחשיפת באג type confusion בקרנל ווינדוס שהובילה לניצול uninitialized buffer ב- VMware.

על אף הייחודיות של מערכות הגיבוי והאחסון, מידי פעם אפשר לפגוש בחולשה סוררת במוצרים ספציפיים. חולשות כאלה עלולות אפילו לאפשר גישה מרוחקת לממשק הניהול או הרצת קוד, ולכן כדאי לבצע מעקב אחר החולשות המתפרסמות באתר CveDetails לפי שם היצרן, ולוודא שהמערכת בה אתם משתמשים לא חשופה לחולשות (או לפחות שיש לכם את הגרסא העדכנית ביותר). יש המון דוגמאות לחולשות כאלו, אני אבחר שתיים שמוגדרות קריטיות: חולשה CVE-2017-5600 ב- OnCommand Insight Data Warehouse של NetApp שפורסמה לפני חודש בדיוק, העלולה לאפשר לתוקף מרוחק גישה לממשק וביצוע פעולות, או חולשה CVE-2016-9871 במערכת ההפעלה EMC Isilon OneFS שפורסמה גם היא בחודש שעבר והתעדכנה לפני כשבוע, ומאפשרת למשתמש בעל הרשאות ISI_PRIV_LOGIN_PAPI ו- ISI_PRIV_SYS_SUPPORT לקבל גישת root. אגב, כשהיצרן עצמו מדווח על חולשות במוצרים שלו, הוא ברוב המקרים לא יציג PoC או את אופן הניצול הספציפי של החולשה. ככה הם יצרנים, לא אוהבים לירות לעצמם ברגל.

אז איך מתגוננים? כמובן הטמעת עדכוני אבטחה / שדרוג גרסא ברגע שהם מתפרסמים, בהנחה שאפשר לעשות את זה בלי, או במינימום, פגיעה בשירות. כמובן, גם עצות כלליות כמו שמירת הערנות והזהירות של עובדי הארגון בשילוב עם מערכות הגנה סבירות ומעלה הן טובות בכל הקשר, גם כאן.

ברוב המקרים ההתייחסות ברשת היא רק לאיומים הניצבים בפני משתמשי הגיבוי בענן, בדר"כ שירותי אחסון ציבוריים כמו Google Drive, Azure וכאלה, מכיוון שמערכות הגיבוי ה"גדולות" שלכם מגיעות עם הגדרות אבטחה מומלצות, הן יקרות מכדי שתוקף (שהוא לא מדינה) ירכוש אותן רק לצרכי חיפוש פרצות אבטחה והן מוגנות ע"י שלל מערכות ההגנה הארגוניות שה- CISO המוכשר שלכם כבר אפיין ותכנן ודאג שיטמיעו על הצד הטוב ביותר. ככה לפחות אני מקווה.

שלכם,

רעייתו