06/06/2012
ארז מטולה, AppSec Labs: "המכשירים אשר אנשים מביאים מהבית מהווים סיכון רציני על הארגון"
"מספיקה אפליקציה זדונית אחת שהצליחה למצוא את דרכה אל המכשיר של העובד ובכך הארגון פותח את דלתותיו אל העולם החיצון", אמר מטולה, מומחה אבטחת אפליקציות ומייסד AppSec Labs ● את הדברים אמר מטולה בראיון מיוחד לקראת קורס Web Application Hacking שייפתח בשבוע הבא ביום ב', ה-11.6.12 במכון מופ"ת בתל אביב
"לדעתי המכשירים אשר אנשים מביאים מהבית מהווים סיכון רציני על הארגון, במיוחד בארגונים אשר מאפשרים לעובדים להתחבר מרחוק אל הארגון (כגון שימוש ב VPN)", אמר ארז מטולה, מומחה אבטחת אפליקציות ומייסד AppSec Labs. לדבריו, "במצב שכזה, מספיקה אפליקציה זדונית אחת שהצליחה למצוא את דרכה אל המכשיר של העובד התמים, ובכך הארגון פותח את דלתותיו בפועל אל העולם החיצון, על כל המשתמע מכך".
כיצד אפשר להתמודד עם ריבוי האפליקציות וריבוי המפתחים לתחום המובייל? איך אני יכול לדעת שהאפליקציה היעילה שזה עתה הורדתי לא נמצאת בשימוש זדוני?
"זו באמת שאלה טובה, במיוחד לאור העובדה שמכשיר מובייל היום הינו מחשב לכל דבר, אך בפועל רמת האבטחה שלו נמוכה יותר. הרבה מאוד מפתחים למובייל לא באמת יודעים לפתח מאובטח, בהרבה מאוד מהמקרים אין להם בכלל גם את הזמן לכך (אפליקציות מובייל נוטות להשתחרר במהירות גבוהה יותר באפליקציות אחרות), כך שבפועל, מספר רב של אפליקציות מובייל בהם אנו עושים שימוש ממש מחוררות מבחינת אבטחת מידע. הדרך הכי טובה לדעת האם האפליקציה אינה זדונית הינה לנתח אותה, להתבונן באופן התקשורת שלה, בקוד וכדומה - אך זהו אינו תהליך פשוט. אנו כחברה המתמחה בתחום, שוקדים רבות על מנת לספק שירות שכזה ללקוחותינו".
כמרכז אקדמי בתחום אבטחת האפליקציות וה-Hacking כיצד ניתן לדעת במה להתמקד היום עם ריבוי האפליקציות והמכשירים?
"באופן כללי הסביבות השולטות כיום הינן אנדרואיד ו-iPhone. על הסביבות האלו, אנו כחברה נותנים דגש - הן במחקר שאנו מבצעים, בשירותי בדיקות החוסן שלנו, בייעוץ, הדרכות וכדומה. ספציפית, אנו אף פיתחנו מערכת חינמית בשם AppUse אשר מאפשרת למשתמש לבצע בדיקות אבטחה לאפליקציות מובייל בהן הוא חושד, או במקרה והוא מעוניין, לבצע עבורה בדיקת חוסן".
בהנחה שזה עתה סיימתי קורס Web Hacking, כיצד אני יכול להבטיח שאני נשאר מעודכן גם לאחר חצי שנה? מה ההמלצות שלך להתמודד עם "עולם שלם של פיתוח אפליקציות" שרק הולך ומתרבה?
"מטרתו העיקרית של קורס ה-web hacking שלנו הינה לספק למשתמש צורת חשיבה ועקרונות אשר ילכו איתו הלאה, וישרתו אותו בעולם הדינמי בו אנו נמצאים - בו הטכנולוגיה משתנה ומתעדכנת בקצב תדיר.
בשורה התחתונה, אחריות התלמיד (כמו כל בעל מקצוע המכבד את עצמו) הינה להישאר מעודכן ופעיל בתחום, בין אם זה באמצעות קורסי ההמשך שאנו מציעים (כגון קורס advanced hacking, mobile hacking וכו'), באמצעות השתתפות בכנסים, קריאת מאמרים וכדומה".
