מלחמת הסייבר בצוק איתן

לפי מספר מומחים, מתנהלת בחודש האחרון מאז תחילתו של מבצע "צוק איתן" מלחמה בסייבר בין מדינות תומכות חמאס לישראל. יחד עם זאת, המשק הישראלי עדיין לא הושפע ממלחמה זו, ומרבית הפגיעה היא באתרים שלא השקיעו באמצעי הגנה בפני התקפות DDoS. אותם מומחים טוענים כי מדובר במלחמת סייבר שיכולה לצאת משליטה אם וכאשר המדינות תומכות החמאס יחליטו להעלות את רף ההתקפות. אז, הם אומרים, ישראל תצטרך להחליט כיצד להגיב

מלחמת הסייבר בצוק איתן

Black Hat 2014

בעוד התותחים רועמים בגבול עזה, מתרחשת בממד הקיברנטי מלחמה של ממש בין מדינת ישראל למדינות תומכות חמאס, כך על פי דברים שאמר מייק רוג'רס, יו"ר ועדת המודיעין של הקונגרס בראיון לאתר cbsnews. חיזוקים לטענה זו השמיע גם ד"ר קנת גירס במהלך כנס אבטחת המידע Black Hat. גירס הוא מומחה סייבר שעד לאחרונה עבד בחברת FireEye ויש לו גם עבר ב-NSA.

גם אביעד דדון, מומחה ישראלי מחברת AdoreGroup גילה בראיון לאתר timesofisrael שקטאר השקיעה הרבה מאד כסף בתשתית ממוחשבת לירי רקטות ממנהרות החמאס אבל גם בתשתית שמאפשרת התקפות סייבר על ישראל במהלך עימות כמו "צוק איתן". לפי רוג'רס, שנמנע בזמן הראיון לציין את שם המדינות שעוזרות לחמאס בסייבר, מדובר בהתקפות DDoS נגד אתרים ישראלים.

"זה מראה שאתה יודע שהפרעות בסייבר ופעילויות טרור נמצאות בעלייה והם [ארגוני הטרור] יכולים לתקוף בכל מקום, בכל מדינה, בכל זמן, וזה בהחלט נתן לי סיבה לדאגה אמיתית",  אמר רוג'רס. "עד כה אני חושב שישראל עשתה עבודה נהדרת בהגנה מפני התקפות הסייבר האלה, אבל ככל שהנפח והעצמה שלהן גדלים, התקפות אלו יכולות להתפשט מעבר לסכסוך בין ישראל ועזה, וזו תמיד דאגה".

למרות שרוג'רס לא הפנה אצבע מאשימה לעבר מדינה מסוימת באזור, האפשרות הסבירה ביותר היא איראן, אשר מומחים אומרים שכבר החלו בבניית יכולות הלוחמה קיברנטית שלה. גורמים רשמיים בארה"ב הצביעו על איראן כמקור למתקפת סייבר נגד 2012 ארמקו, חברת הנפט הסעודית שפגעו ב-30,000 מחשבים במאמץ לסגור את ייצור הנפט והגז שלה.

ובכל זאת, כריס ברונק, מנהל התכנית אנרגיה וסייבר במכון בייקר למדיניות ציבורית של אוניברסיטת רייס , אמר כי איראן עדיין רחוקה מהיכולות של ישראל. "בסולם של אחד עד 10, שבו ארה"ב היא 10 ביכולות סייבר, אני שם את איראן שלוש או ארבע ואת ישראל סביב שמונה", הוא אמר לאתר. "אני לא רואה את חמאס מכבה את האורות מחר בתל אביב".

"כשהם [האיראנים] מנסים לפרוץ למטרות בישראל, הם תוקפים יעד מאוד מאוד קשה. הישראלים מאוד טובים בהגנה וטובים מאוד בהתקפה", הוא אמר. "בשלב זה, איראן אינה מסוגלת לעבור את הסף מעבר להטרדה [של ישראל]".

ההחלטה של איראן לתקוף בסייבר את ישראל תלויה במידה רבה בהחלטה אם היא רוצה להגדיל את תמיכתה החומרית לחמאס מעבר למה שהיא כבר עושה כעת, אמר חואן זאראטה, אנאליסט לביטחון לאומי לאתר CBS News.

"זה מעלה כמה חששות כבדים לגבי הסלמה", אמר זאראטה. "במקרה כזה, השאלה היא באיזו תגובה הישראלים יבחרו מול איראן. אם זה יתממש, יכולה להיות הסלמה בין המדינות בצורה שאולי לא הייתה בעבר". לעת עתה, כך מדווח האתר, חלק גדול מהפריצות מתרחש בקנה מידה קטן.

רוג'רס אמר לאתר כי האקרים בתוך עזה או פעילים פרו פלסטיניים כבר עובדים קשה בהתקפות שנעות מ-DDoS שנועדה להפיל אתרים, ועד לקמפייני מידע שגוי שבוצעו כדי ליצור פאניקה.

הוא ציטט, כדוגמא, פעילים פרו הפלסטיניים שפרצו לחשבון הטוויטר של דובר צה"ל ואמרו כי רקטה שנורתה מעזה פגעה בכור הגרעיני בישראל וגרמה לדליפה (הצבא מאוחר יותר אמר כי מדובר בדיווח שקרי). פעולות אלה "נועדו להפחיד את האוכלוסייה המקומית" הוא אמר. רוג'רס הוסיף כי הוא לא מאמין שמערכת כיפת ברזל הייתה תחת סיכון של התקפות סייבר מצד גורמים עוינים.

סיכון נוסף מגיע מהאקרים אחרים כמו אלה המזוהים עם אנונימוס. הקבוצה אמנם קראה להתקפה נגד ישראל במהלך המבצע, אך לא הצליחה לגרום לנזקים משמעותיים למשק הישראלי. "מידי פעם יש לאנונימוס 'יום טוב' שבו מגלים כשרון", אמר ברונק. "השאלה היא מה יקרה כאשר אותם אנשים בארה"ב או במערב אירופה שיש להם אהדה עם הפלסטינים ינקטו בפעולה ... אלה הם הבחורים והבחורות שיכולים לייצר אירוע בלתי צפוי".

התקפת סייבר כרמז לעימות מזוין

מחקר של חברת FireEye בנושא הפעלה תוכנות זדוניות ברשתות ארגוניות וממשלתיות, מצביע על כך שדפוסי התקשורת החוזרת של תוכנות אלה יכולים להתריע על קונפליקטים גדולים. חוקרים בחברת האבטחה FireEye מפקחים על מיליוני הודעות זדוניות שנשלחו ב-18 החודשים האחרונים, והם מצאו התפרצויות חריגות בתנועה הדו כיוונית בין רוסיה ואוקראינה כאשר המתח בין שתי המדינות עלה בתחילת השנה. דפוס דומה נצפה גם בתקשורת של תוכנות זדוניות לישראל עם תחילתו של מבצע "צוק איתן".

המחקר של FireEye הסתמך על נתונים שנאספו מלמעלה מ-5,000 לקוחות עסקיים וממשלתיים ברחבי העולם. התוכנה של FireEye לוכדת הודעות "תקשורת חוזרת" (Callback) שנשלחו על ידי תוכנות זדוניות בתוך הרשת כדי לדווח על מצבם למפעיל או לקבל פקודות חדשות. הודעות אלה שמשו כדי לקבוע את המיקום של מחשב השליטה על התוכנות הזדוניות.

הדפוסים ככל הנראה נגרמו על ידי גופים ממשלתיים שבונים מאמצים לאסוף מודיעין או לתקוף את היריב, אומר קנת גירס שעבד על הפרויקט. "לקראת המשבר בקרים, ראינו עליה בתקשורת החוזרת של התוכנות הזדוניות ברוסיה ובאוקראינה", הוא אמר בכנס אבטחת המידע Black Hat שהתקיים בשבוע שעבר. כמו כן, ייתכן שהפעילות הגיעה מהאקרים אוהדים, אבל לא נתמכים על ידי המדינות המעורבות. אבל מדינות רבות משתמשות כעת באופן שגרתי בהתקפות סייבר למודיעין ולמטרות צבאיות.

גירס אמר כי דפוסים בתקשורת תוכנות זדוניות יכולים לשמש כדי לנבא מתי מדינות מתכוננות לעימות: "אם ארה"ב, קוריאה או יפן עומדת לצאת למלחמה, היית רואה חריגה בתקשורת חוזרת - זה פשוט חלק בלתי נפרד מהפעולות של הביטחון הלאומי היום", אמר גירס שעזב לאחרונה את FireEye לעבוד כיועץ עצמאי. בעברו הוא עבד ב-NSA ונאט"ו.

מפעילי תוכנות זדוניות לעתים מסתירים את המיקום שלהם על ידי כך שההודעות החוזרות קופצות בין מחשבים במדינות שונות והמחקר של FireEye יכול לחשוף רק את הקפיצה הראשונה. עם זאת, כותבים של תוכנות זדוניות לא תמיד טורחים להתקין מערכת של ממסרים, אמר גירס. וכך, הוא אמר, עם סט נתונים גדול מספיק, צצים דפוסים גיאוגרפיים מדויקים.

לפי גירס, חלק גדול מהתקשורת החוזרת לישראל מאז "צוק איתן" הגיע מתוכנות זדוניות המותקנות במחשבים בקנדה ובארה"ב. "יש לך אינדיקציה לכך שארגוני ביטחון לאומיים, אולי ישראליים, ממנפים תשתית בקנדה ובארצות הברית", אמר גירס. הסבר לטענה של גירס: הטענה היא שתוכנות זדוניות שמפעילים שירותים ישראלים מותקנות בתשתיות בצפון אמריקה. התוכנות הללו מופעלות נגד יעדים שונים בעולם על פי החלטת ישראל. כדי לקבל פקודות, התוכנות הללו פונות למפעילים שלהן בישראל ולכן רואים את התקשורת החוזרת לישראל.

[הערה: הטענה של גירס קצת מוזרה. למה ששירות ביטחון ישראלי 'ישרוף' את עצמו עם תקשורת חוזרת לישראל? תזה חלופית יכולה להיות שצד שלישי רוצה להפליל את ישראל. לכן הוא יצר תשתית בצפון אמריקה ובישראל שמציירת תמונה כאילו ישראל משתמשת בתשתית בארה"ב וקנדה במטרה לצור אירוע דיפלומטי בין המדינות].

הבעיה: אין הרתעה בסייבר

התאמת תנועת תוכנות זדוניות לאירועים בעולם האמיתי עשויה גם לספק דרך לחשוף כלים בשימוש על ידי מדינות. חלק מהתנועה שמגיעה מקנדה, למשל, הגיעה מתוכנות זדוניות שמעולם לא נראו לפני כן, ואותם FireEye חוקרת כעת.

FireEye מתכננת להמשיך את המחקר. "אנחנו יכולים לראות את המקבילה הדיגיטלית של כוחות על הגבול", אמר קווין תומפסון, אנליסט בחברה, ל-MIT Technology Review. "אנחנו רוצים להביט אחורה על שנה שלמה של נתונים, ולנסות לתאם את הנתונים עם כל האירועים בעולם באותה תקופה".

שימוש של ממשלה בתוכנות זדוניות הופך לנפוץ יותר, על פי מיקו היפונן, מנהל מחקר ראשי ב-F-Secure, שחוקר תוכנות זדוניות שפותחו על ידי מדינות. מדינות בכל הגדלים משתמשות בתוכנות זדוניות כי זה זול יחסית ומקבלים תוצאות, הוא אמר במהלך הרצאה ב-Black Hat. "יש הקבלות כאן למרוץ חימוש גרעיני", הוא אמר. "[אבל] כוחו של הנשק הגרעיני היה בהרתעה, ואין לנו את זה בכלי נשק בסייבר".

וכמו שגירס ציין, יש קונפליקט בין ההתלהבות של הממשלות לכלי נשק החדשים אלה וחובתם להבטיח את הביטחון באינטרנט. "הבעיה של תוכנות זדוניות ברחבי העולם היא קשה מאוד לפתרון. השאלה היא האם ממשלות בעולם בכלל רוצות לפתור אותה?", הוא אמר. "ממשלות מרוויחות די הרבה מהגנה על ריבונות והקרנת עוצמה באמצעות התקפות רשת".

אולי יעניין אותך גם