ראיון עם האקר

"קשה מאד לבוא ולהגיד 'ככה ההאקרים יפעלו וככה הם ינצלו את הרשת'. זה משהו שנצטרך לראות, ללמוד ולעשות התאמות כדי להתמודד איתו", אומר יוז בראיון לישראל דיפנס טק

Marc "van Hauser" Heuse

במסגרת הוועידה הבינ"ל השנתית לסייבר טרור שהתקיימה שלשום (ה') במלון לאונרדו שברמת גן, יצא לי לפגוש לשיחה של אחד על אחד את האקר שנחשב לאחד האייקונים בקהילה הבינלאומית בשם מרק יוז (Mark Heuse), או בכינויו הידוע יותר Van Hauser. יוז הוא האקר גרמני עם ניסיון של 15 שנים בתחום אבטחת מידע שעבד בעבר בחברות כמו KPMG , דוייטשה בנק ובשנים האחרונות הוא עובד כיועץ עצמאי בתחום אבטחת מידע. בנוסף, הוא ממייסדי קבוצת ההאקרים THC והיה ממקימי צוות אבטחת המידע של חברת SuSE מפתחת מערכת ההפעלה SUSE Linux Enterprise. "אני מגיע מכיוונים שונים בתחום אבטחת המידע”, מסביר יוז.

ההרצאה שלו בוועידה התמקדה בהיבטי אבטחת מידע של המעבר מתצורת IPv4 ל-IPv6 לאור ההכרזה העולמית על השקת הפרוטוקול החדש שהתקיימה ביום ד' השבוע (6.6.2012). במסגרת הראיון נשאל יוז גם לגבי וירוס הפליים, תופעת ההאקטיביזם ולגבי היזמה החדשה של אוניברסיטת תל אביב להתחיל ללמד תואר ראשון בהגנת הסייבר.

האם המעבר מIPv4 ל-IPv6 מהווה בעיה אמיתית?

יש לי תחושה שהרבה אנשים חושבים שזה משהו שיבוא בעתיד, אז למה לדאוג עכשיו. זה לא ממש נכון. בקיץ הזה יגמרו לארגון ה-RIPE, זה שאחראי על חלוקת כתובות IP באירופה הטווחים ונצטרך לחיות על מה שקיים. אז בתור ספק אינטרנט, אם לא נשארו לך מספיק כתובות לא יהיה לך מה לחלק ואם יש לך עודפים, אתה יכול להיות רגוע לכמה שנים. אז אלו שאין להם כתובות עובדים היום קשה כדי לעבור ל- IPv6 ואחרים ינוחו כמה שנים.

אני חוקר את תחום אבטחת המידע סביב פרוטוקול IPv6 משנת 2004 כבר שמונה שנים. כאשר התחלתי, אף אחד לא דיבר על אבטחת מידע בכלל בהקשר זה ובכל השנים הללו אני יכול לומר לך שלא היה לי אפילו פרויקט אחד. השנה יש לי שלושה ועוד כמה בקנה. זה רק מראה שחברות משקיעות בנושא ואלו בעיקר ספקי אינטרנט, חברות טלקום ואחסון אתרים.

האם מדובר על שדרוג או על רשת חדשה לגמרי?

לא מדובר בשדרוג. שני הפרוטוקולים יכולים אמנם לחיות יחד באותה רשת , אבל הם שונים מאד.

האם אנשי אבטחת מידע יצטרכו ללמוד את הנושא מהתחלה?

במבט ראשון IPv6 נראה אותו דבר ופשוט יותר. אבל זה רק במבט ראשון. הכל קטן יותר, פשוט יותר ועושה יותר הגיון. יחד עם זאת, בחינה מעמיקה מראה שיש מורכבות והרבה יותר עומק למרכיבים החדשים בפרוטוקול ולכן הוא מאד קשה להבנה. אנשים למדו IPv4 ומנסים להתנהג בצורה דומה עם IPv6 ואז הם עושים טעויות. מדובר על פרוטוקול שונה מאד.

למשל, אם בעולם של IPv4 אתה מתחבר לרשת והמחשב שלך קיבל כתובת IP בצורה אוטומטית מהנתב באמצעות מנגנון ה-DHCP, ב-IPv6 זה לא עובד כך. אתה עדיין יכול להשתמש בDHCP , אתה תקבל כתובת IP ונתונים לגבי שרת הDNS, אבל לא תקבל שום נתונים לגבי הנתב. בשביל זה יש מנגנון אחר שהוא חדש ב- IPv6 ולא היה קיים ב-IPv4.

אלו לא רק אנשי אבטחת מידע שצריכים ללמוד, אלא גם מנהלי הרשת. ובגלל שמדובר על נושא מורכב, אתה לא יכול פשוט לתת להם ספר ולצפות שהם ילמדו לבד. כדי להכשיר מישהו ל IPv6 אתה צריך לתת לו הרבה הכשרה. חייבים להבין את הפילוסופיה השונה מאחרי הפרוטוקול ואת העובדה שדברים עובדים אחרת ב-IPv6 וכדי לבנות רשתות בצורה טובה אתה צריך להבין את השינוי בחשיבה.

האם ארגון ביטחוני שמפריד רשתות בצורה פיזית פטור ממעבר לפרוטוקול החדש?

אם יש לך שתי רשתות מופרדות, אתה יכול להשתמש בפרוטוקולים ישנים והם יעבדו בצורה טובה עבורך. הבעיה במערכות ביטחוניות וגם אחרות היא שיש לך מערכות SCADA שפועלות במשך הרבה מאד שנים ואז יכול להיווצר מצב בו המערכות הללו עובדות על IPv4 , אבל כל העולם מסביבן עובד על IPv6. וזה לא רעיון טוב.

אם בוחנים מה עושות היום תעשיות כמו תעשיית הרכב, המטוסים או הטלקום, הן עוברות לתשתית IPv6. זאת, משום שבעוד עשר שנים שימוש ב IPv4 יהווה בעיה ולכן הן מתכוננות כבר היום.

מדברים היום על מעבר לתשתיות תקשורת וירטואליות, כיצד זה ישפיע לדעתך?

שימוש ברשתות תקשורת וירטואליות הוא לא כל כך הגיוני. הנתבים שם בגלל שיש רשתות פיזיות נפרדות שאתה רוצה לחבר. מכשיר אחד נמצא כאן ואחד שם, איך תחבר אותם עם רשת וירטואלית? זה אפשרי רק אם כל התשתיות הפיזיות שלך נמצאות באותו מקום (כמו Data Center למשל). כמו כן, אם יש לך תשתית וירטואלית שנפלה, הכל נפל כי הכל יושב על אותה תשתית פיזית. אז בהיבטים של אמינות ובטיחות, עדיף רשתות פיזיות.

האם בעידן ה IPv6 ההתמודדות עם מתקפות DDoS תהיה יותר קשה?

הבעיה העיקרית היא כמות הנתונים העצומה. מצד אחד הקווים של ספקי התקשורת נהיים רחבים יותר ומצד שני יש גם גידול ברוחב הפס של קווי הDSL אצל כל אחד בבית. אני חושב שבמשוואה הזו ספקי התקשורת לא יכולים לנצח. אז אם יש לך bot network שנהיית גדולה ומהירה יותר , זה יהיה מאד קשה לחברות התקשורת להתמודד עם אתן. אני חושב שיצטרכו להיות טכנולוגיות שיעזרו להן בכך, אבל זה קרב אבוד.

אנחנו מדברים על סיכון ואני בטוח שזה יהיה עניין באבטחת מידע. אבל קשה מאד לבוא ולהגיד 'ככה ההאקרים יפעלו וככה הם ינצלו את הרשת'. זה משהו שנצטרך לראות, ללמוד ולעשות התאמות כדי להתמודד איתו. אפשר לייצר תרחישים ברמת המאקרו, אבל אי אפשר לייצר מזה משהו פרקטי שיעבוד בוודאות. יש לנו מושג חלקי איך התוקפים יעבדו, אבל אנחנו לא באמת יודעים.

גם אם בוחנים את יצרני ציוד אבטחת המידע שיש היום, ככה הם עובדים. הם בונים את המוצרים שלהם על בסיס האיומים הקיימים. הם לא יכולים להגן על איומים עתידיים כי אף אחד לא יודע איך הם יראו. אתה יכול לעשות ניחושים, אבל לא כולם יעבדו. אתה מוכרח להבין שחלק מההנחות שלך יהיו שגויות .

אחת הגישות להגנה בסייבר היא לצאת להתקפת נגד מיד עם גילוי המתקפה. האם זה יעיל לדעתך?

זו כנראה שיטה ישראלית. אם תבחן למשל התקפת DDoS, מדובר על התקפה של מאה אלף מחשבים, שהבעלים שלהם אפילו לא יודעים שהם משמשים ככלי נשק. איך קבוצת אנשי אבטחת מידע מצומצמת של חברה יכולה להתמודד עם מתקפה כזו? זה לא עובד בגדלים כאלו.

נקודה נוספת קשורה לעובדה שגם אם קבוצה קטנה של האקרים תוקפת אותך, היא לא עושה זאת באמצעות המחשבים שלהם. אלא, מדובר על מתקפה שכדי לבצע אותה משתמשים בכמה מעגלים של מחשבים מתווכים (Proxy), כך שאתה לא יודע מי מתקיף אותך. אז אתה צריך לפרוץ חזרה לכל מחשב כזה בנתיב התקיפה כדי להגיע למקור וזה לא חוקי. חלק מהמחשבים הללו יכולים להיות שייכים לאנשים פרטיים או חברות מסחריות והם יכולים לתבוע אותך בשל כך.

התרחיש היחיד ששיטה כזו יכולה להיות הגיונית הוא במקרה של מתקפת פישינג (Phishing). אם אתה מקבל דואר אלקטרוני מזוהם שכתוב בו 'החשבון שלך בסיטי בנק צריך אישור מחדש, אנא הכנס את השם והסיסמא שלך', הגיוני שתאתר את המקור ותרצה לפרוץ אליו כדי להפסיק את ההתקפה. במקרים כאלו התוקף לא יתבע אותך כי הוא לא רוצה להיחשף ואני יודע על מקרים בעולם שזה נעשה בדרך זו.

איך מתמודדים עם בעיית איתור מקור התקיפה בסייבר?

באיומי סייבר, אחד האתגרים הוא לדעת מי אחראי להתקפה, אתה יכול לעשות הנחות אבל זה מאד קשה לדעת . אם מישהו פורץ לך לבית אתה יכול לתפוס את הפורץ ולחקור אותו בשאלות כמו מי שלח אותו וכו'. עם האקר אתה לא יכול לעשות זאת.

עם וירוס הפליים למשל, אתה יכול לעשות הנחות מי עומד מאחריו. אתה יכול להניח כי ארה"ב עומדת מאחרי הווירוס ולא ישראל. אם אתה בודק זאת לפי האינטרסים , אז יש רק שתי מדינות שאתה מגיע אליהן – ארה"ב וישראל. אם רואים איך הווירוס עובד, מבינים שזו לא ישראל כי גם היא הותקפה. הווירוס תוקף כל מי שנמצא באזור זמן מסוים שכולל גם את ישראל. אם אתרים בישראל מותקפים גם , לא אכפת להם.

זה לא משהו שנעשה על ידי צוות מומחים פנימי, משהו שישראל הייתה עושה. אלא זה נראה כמו משהו שנכתב על בסיס מכרז שמישהו כתב לקבלני משנה ביטחוניים שאמרו 'טוב, הם רוצים לשחזר בסיסי נתונים וכמה יכולות ריגול. אנחנו יכולים לעשות זאת'. ואז אתה מקבל חתיכת תוכנה ענקית שאף אחד לא דמיין שתגיע לממדים כאלו.

אם הפליים לא התגלה במשך חמש שנים על אף תוכנות האבטחה, אז למה צריך אותן?

השאלה היא תמיד בפני מה אתה מנסה להגן. אם ההאקר מתכוון לתקוף רק אותך ויש לו מספיק משאבים, אין סיכוי שאנטי וירוס יעזור לך. מדוע? כי ההאקר יכול לבדוק את הקוד הזדוני שלו מול כל אחד ממנועי האנטי וירוס שאתה משתמש בהם ולדאוג שהקוד שלו לא יזוהה.

יתרה מכך, בגלל שהוא התכוון לתקוף רק אותך, התוכנה שלו מותקנת על מעט מאד מחשבים בעולם ולכן תוכנות האבטחה המסחריות לא מייחסות לזה חשיבות. במקרה של הפליים, צריך להוסיף לזה את העובדה שמדובר בקוד מאד גדול וגם את העובדה שהוא הזדהה כתוכנה של מיקרוסופט. אף אחד לא חשב שמדובר על וירוס. את האנטי וירוס אתה צריך לטיפול באיומים הגדולים והידועים, אבל הוא לא יעזור לך מול האקרים מקצועיים שמאחריהם יש הרבה מימון.

אם תוכנות האבטחה המסורתיות לא עובדות, אז מה כן צריך לעשות?

אחד הפתרונות למשל, הוא ליישם גלישה מבוססת מחשב (Remote Computer browsing). זאת אומרת שיש לך חלון של דפדפן במחשב שלך , אבל הוא העתק של חלון שפועל על מחשב אחר. אתה יכול לגלוש באינטרנט, אבל זו לא המכונה שלך שגולשת ואז אין בעיה אם פורצים למכונה שמריצה את הדפדפן. זה מה שעושים היום למשל במשרדי הממשלה בגרמניה בגלל שהם נפגעו מהאקרים סיניים. המערכות שמריצות את הדפדפן נמצאות בסביבה סגורה ומבוקרת ולכן אין בעיה אם פורצים אותן.

הבעיה היא שחווית המשתמש נפגעת. אתה גולש לאט יותר ואי אפשר להוריד ולשמור קבצים. המשתמשים צריכים לקבל זאת. הם צריכים להבין כי מדובר בסביבת עבודה מאובטחת מאד ואלו האמצעים שצריך להשתמש בהם.

אחת הפתרונות שמדברים עליהם היא מערכת הפעלה בטוחה, האם זה אפשרי?

כבר ניסו זאת עם Multics ונכשלו. מדובר על מערכת הפעלה שפותחה על ידי משרד ההגנה האמריקאי בשנות ה-60 ומהכשלון נוצרה מערכת UNIX. היא הייתה מסובכת מידי. הרי בשביל מה אתה צריך מחשב? בשביל להריץ יישומים. אם אתה בונה מערכת הפעלה ייחודית, מה תריץ עליה? אתה עדיין צריך PDF, אופיס, דפדפן וכו'. ברור שבעולם אידאלי אפשר לבנות הכל מחדש, אבל זה לא הולך לקרות.

כדי להגן בפני האקרים עם הרבה מימון, צריך להפריד רשתות בצורה פיזית ולאבטח את נקודות הממשק ביניהן. אפשרות נוספת היא שחברות האנטי וירוס יטמיעו בתוכנות שלהן מספר מנגנוני גילוי ויפעילו שילוב שלהם בצורה רנדומלית על מחשבי הלקוחות. כלומר, פעם המנגנון יפעל ופעם לא. כמובן שבחלק מהמקרים יכנס קוד זדוני למחשב הלקוח, אבל זה הסיכון שצריך לקחת.

החתימות ומגנוני לימוד ההתנהגות לא עובדים. אם מסתכלים למשל על דוקו, סטוקסנט, הפליים ועל עוד צורות של קוד זדוני רואים שהם לא מתגלים. מדוע? כי הם שונים מידי וזה מראה שהמנגנונים לא עובדים. אלו שבנו אותם יכולים לבדוק את הקוד הזדוני מול כל מנועי האנטי וירוס הידועים.

אם נוסיף לאנטי וירוס מנגנון של הסתברות. כלומר, שכל פעם תבוצע בדיקה בצורה שונה, אז אפשר יהיה להקשות על ההאקרים. הבעיה שמנגנון כזה יוריד את אחוז הגילוי של האנטי וירוס והלקוחות לא יקבלו את זה. לכן זה נושא מאד קשה ומורכב.

האם אתה חושב שאנו בפני תרחיש אימים שישנה את העולם?

מאד קשה להעריך זאת. קודם כל, בוא נבין שהפליים למשל לא חדש והוא קיים על פי השמועות כבר כמה שנים. זה מראה שאיומים מסוגו לא חדשים, אלא הם רק עכשיו מתגלים. הרבה מדינות מנסות לבנות לעצמם פרופיל איומים אז הן ממפות את מקורות האנרגיה או המים ומנסות להבין מה הסיכונים. אבל כולנו יודעים ממגזר הבנקאות למשל, שכולם ברי פריצה ולבנקים יש אמצעי אבטחת מידע טובים מאד.

אפשר לומר כי זו בהחלט בעיה, אבל אי אפשר לדעת מה עד כמה היא חמורה. יכול להיות שכולנו נמות ויכול להיות שזה יסתיים בכמה ימים שמשאבות המים לא יעבדו ונשתה מים מבקבוקים שנקנה בסופרמרקט.

האם אתה חושב שאפשר ללמד מישהו להיות האקר באוניברסיטה?

אני מחלק את התשובה לשני חלקים. בגרמניה למשל יש כבר כמה שנים קורסים מסוג כזה. אם אתה לומד תואר במדעי המחשב יש לך קורסים של האקינג בהם שתי קבוצות צריכות לנסות לפרוץ למחשבים אחת של השנייה. החלק השני הוא צורת החשיבה. יש הרבה פילוסופיה מאחרי האקינג ולרוב האקרים מעמידים בספק את מקור הסמכות. אם אתה מאמין לסמכות, אתה לא תנסה לפרוץ. אתה יכול להיות האקר ממוצע אם תלמד את הכלים הטכניים, אבל כדי להיות ממש טוב אתה צריך לסגל צורת חשיבה.

האם לדעתך כל טרנד ההאקטיביזם מסוכן?

תלוי מי עושה זאת. אני חושב שהאקטיביזם חשוב לדמוקרטיה. כמו שיש מדינות דמוקרטיות שעושות הרבה דברים לא דמוקרטיים שלא נחשפים, כך יש האקטיביסטים שעושים זאת. גם בהאקטיביזם וגם בממשלות זה עובד לשני הכיוונים. השאלה לאיזו מטרה אתה עושה זאת.

לסיום, האם אתה אופטימי לגבי העתיד?

אני מאד אופטימי לגבי המחשבה שיהיו לי הרבה פרויקטים והרבה כסף בשנים הבאות.

אולי יעניין אותך גם

צילום: חיל האוויר, דו"צ

"מאמנים אותך קדימה"

עולם הסימולטרים הולך ומשתכלל ככל שהטכנולוגיה מאפשרת זאת. בטייסת 320 בפלמחים גם מפקדי טייסות חייבים להישמע להוראות המאמנת, ובתעשיות הביטחוניות כבר חושבים על דור העתיד