לומדים לתקוף

מה עושים ארגונים ביטחוניים וממשלתיים שצריכים להכשיר האקרים בזמן קצר? משתמשים בשירותי ההדרכה של המגזר הפרטי. סיקור מיוחד

השיעור של ההאקרים במכללת See Security ברמת גן מתנהל בצורה דומה לכל קורס טכנולוגי הנלמד במוסד לימודי. שולחנות ארוכים של מחשבים מסודרים בשורות, כל סטודנט יושב מול מחשב, ומולם עומד מדריך מאחורי פודיום ומעביר מצגת.

אבל בערך כאן, מסתיים הדמיון בין שיעור במקצועות התכנות או ניהול הרשת ללימוד מקצוע ההאקינג. מכללת See Security בר"ג היא בין המכללות הפרטיות הבודדות בארץ שמעבירה קורסים בלוחמת סייבר לאנשי כוחות הביטחון, ביניהם צה"ל, שב"כ וארגונים אחרים.

"הכול התחיל במקרה", מספר אבי וייסמן, המייסד והמנכ"ל של המכללה. "בשנת 2004 כאשר הקימו את הרשות לאבטחת מידע בשב"כ, שאלו אם יש לנו קורסים בהאקינג. בזמנו כל תחום הסייבר היה בחיתולים, ולא היו מכללות פרטיות או מוסדות אקדמאיים שלימדו איך להיות האקר. קפצנו למים, ובנינו את הקורס Hacking Defined Experts שרץ עד היום. מסלול זה נבנה לצרכים מיוחדים, והוא כולל פרקטיקות תקיפה מתקדמות, כגון Reverse Engineering, התקפות משולבות ושיטות נוספות המאפיינות את עולם לוחמת הסייבר של העידן הנוכחי".

בכיתה עם האקרים

"אתם נמצאים בסביבה מנותקת מרשת האינטרנט ויש לכם רק את הטלפון הנייד בכיס. איך הייתם מעבירים את הקובץ שאתם רוצים מהמחשב מולכם, למכשיר הנייד?", שואל יובל נתיב, המדריך, את הסטודנטים. מרביתם מגיעים מארגונים ביטחוניים, חלקם מהצבא, ויש גם כאלו שהגיעו במטרה לרכוש מקצוע ולהתקבל לעבודה בתור יועצים או בודקי חדירה (Pentest). הסטודנטים מקשיבים בריכוז ומנסים למצוא את התשובה (לא תמיד בהצלחה).

אם עד היום מישהו עוד חשב שהאקר זה מקצוע שצריך להיוולד אתו, הקורסים במכללת See Security מוכיחים את ההפך – כל אחד יכול להיות האקר עם מספיק רצון והכוונה נכונה. "נהוג לומר שהאקר מבריק מכיר את כל מערכות המחשב. אם כך, הוא צריך להכיר כ-36 מקצועות הכוללים 12 שפות תכנות, את כל בסיסי הנתונים הקיימים, CRM ,BI ועוד. מדובר בסדר גודל של עשרת אלפים שעות אדם", מסביר וייסמן.

"ואחרי שהוא לומד את כל המערכות הללו, הוא צריך לדעת איך להגן עליהן. זה מה שמבקשים היום מעסיקים, וזה לא קיים". וייסמן, שבזמנו הפנוי הוא גם יו"ר הפורום הישראלי לאבטחת מידע בישראל, טוען כי אחת הבעיות המרכזיות בתחום ההכשרות באבטחת מידע היא העדר הגדרות ורגולציה.

נכון לכתיבת שורות אלו, אין בישראל הגדרות ברורות למקצועות אבטחת המידע, אין פיקוח ממשלתי, וכל אחד יכול לעסוק במקצוע זה, גם ללא הכשרה מתאימה. מציאות זו משפיעה באופן ישיר על מערך ההגנה הממשלתי והעסקי בסייבר, היות ואין פיקוח על ההכשרות שעברו מנהלי אבטחת המידע בארגונים השונים.
 
"במשרדי הממשלה, למשל, מנהלי אבטחת המידע לא עוברים הכשרות מקצועיות בתחום אבטחת מידע. קיימת בנציבות המדינה דעה שאי אפשר ללמוד האקינג, ולכן לימודים בתחום לא יניבו תוצאות. ובכן, מי שאמר שאי אפשר ללמד האקינג, טועה", מדגיש וייסמן.

הקורס של See Security מורכב מ-100 שעות לימוד בכיתה המתפרסות על פני שלושה חודשים ועוד 400 שעות לימודי בית, והוא מיועד לכאלו שיש להם ידע בתחום התכנות והתקשורת. בנוסף, כל סטודנט עובר ראיון אישי עם וייסמן, היות ומדובר ברכישת ידע שיכול לשמש ככלי נשק קיברנטי.

עבור האקר בתחילת דרכו, המדריך בכיתה הוא מתווה דרך ולא מורה. את מרבית העבודה הוא יעשה בבית לבד, עם מנוע החיפוש של גוגל. הוא ילמד לעקוף, לתמרן, ולשנות את הסביבה הקיברנטית על מנת להגיע ליעד. "כדי להפוך להאקר מתחיל, יש צורך באלף שעות לימוד. אנחנו מספקים בקורס חצי מהן. בסוף הקורס הבוגרים יוצאים מכאן וצריכים להשלים את השעות בבית במהלך השנה הראשונה. אם הם לא יעשו זאת, הידע ילך לאיבוד. מדובר בהשקעה אישית גדולה של הסטודנט, אך בסופה, מי שהשקיע ואוהב את התחום יכול להתחיל לעבוד. יש טכניקות שמאפשרות לתלמידים לתקוף גם בכיתה וגם בבית.

לא חסר איפה להתאמן והם מקבלים הנחיות ברורות מה לעשות ומה לא", מסביר וייסמן. בשונה ממקצועות טכנולוגיים אחרים בהם לומדים פעם אחת וזה מספיק לכל החיים, בהאקינג מדובר על למידה יום יומית. צריך לזכור שהאקר לא מכיר את הארגון שהוא רוצה לתקוף, וכדי להצליח הוא חייב ללמוד את המטרה. את זה הוא צריך לעשות באמצעות כלי תקיפה (חולשות/פרצות) שמשתנים על בסיס יומי.
 
"השינויים בעולם אבטחת המידע ובמיוחד בתקיפה מאד מהירים ומי שלא לומד על בסיס יומי, יישאר בלי עבודה", אומר דודו ברדה, מומחה אבטחת מידע ומדריך במסלולי CISO ו-CISSP במכללה. חלק גדול מההאקרים המתחילים שמסיימים ללמוד אצל וייסמן, הולכים לעבוד בחברות ייעוץ או חברות שעושות מבדקי חדירה. למקומות רגישים – ביטחוניים מתקבלים האקרים יותר מנוסים.

"לרוב, במוסדות ביטחוניים לא מדובר בקליטת עובדים חדשים לתחום הסייבר. הסטודנטים שמגיעים אלינו הם בדרך כלל כאלו שעשו ניוד פנימי בתוך הארגון, וכאלו שבמסגרת התפקיד צריכים לדעת לתקוף בסייבר או לפתח חשיבה כזו. הם כבר שם מבחינת התפקיד, והמטרה היא לעשות להם הסבה מקצועית ברמה זו או אחרת", מסביר וייסמן.

"בישראל לא חזקים בהגנה"
 
הביקור בקורסים השונים במכללה והשיחות עם סטודנטים ומדריכים, מדגיש את הקשר שבין הגנה להתקפה בסייבר. אם מנהל אבטחת המידע לא יודע איך חושב התוקף, יהיה לו מאד קשה לבנות מערך הגנה ראוי. ולמרות זאת, כמות הסטודנטים ב-See Security הנחשבת לאחת המובילות בהכשרת האקרים, אינה תואמת את הטון המאיים הנגזר מהשיח הציבורי בארץ ובעולם סביב הסכנות הגלומות במרחב הקיברנטי.

אם אכן מדובר בסכנה ברורה ומידית, כיצד אפשר להסביר את הדרישה הקטנה באופן יחסי מצד המגזר הממשלתי והעסקי להכשרות מסוג זה?

על פניו, כל עסק בינוני וגדול בישראל וכל משרד ממשלתי היה צריך להכשיר את מנהל אבטחת המידע שלו לחשוב כמו האקר על מנת שיהיו לו את הכלים המתאימים לתכנן מערך הגנה. יתרה מכך, גם הסטטיסטיקה של מחזיקי ההסמכה הבינלאומית בתחום אבטחת המידע, CISSP, מראה כי ישראל אינה בין המדינות המובילות, גם ביחס לאוכלוסייה. נכון לתחילת חודש נובמבר, יש בישראל 254 מוסמכים, לעומת הולנד עם 1443 מוסמכים, סינגפור עם 1171, דנמרק עם 331 ואירלנד עם 298. מיותר לציין כי כל המדינות הללו קטנות יותר מישראל בהיבט האוכלוסייה, ואף אחת מהן אינה מוקפת אויבים ומאוימת כמו ישראל. אפילו בערב הסעודית ישנם 205 מוסמכים, ובאיחוד האמירויות הערביות 381.

"בפועל, אנחנו חלשים מאד בהגנה. יש מעט מאד בוגרי הכשרות CISSP או CISO ביחס למדינות מערביות אחרות", אומר וייסמן. "הצרה העיקרית של מדינת ישראל זה משרדי הממשלה. מנהלי אבטחת המידע במגזר הממשלתי לומדים אופיס, במקום קורסים באבטחת מידע וסייבר. בסופו של יום, לחיזבאללה או לאיראן לא אכפת מה קורה במקומות אחרים בעולם, אלא אצלנו.

"פנו אלינו לפני שנתיים מפרויקט תהיל"ה (תשתית הממשלה לעידן האינטרנט) לפתוח קורס Cyber Warfare מיוחד עבורם. התכנית הייתה להכשיר מעל 70 מנהלי אבטחת מידע. אתה יודע כמה הגיעו בפועל? שני חוקרים מרשות המיסים. וזה מתוך 51 חשבים שונים של הממשלה. זהו. נציבות המדינה לא חושבת שאפשר ללמוד סייבר. מבחינתם או שאתה נולד עם זה, או שלא. לעומת זאת, בחברות גדולות כמו אלתא למשל, החליטו שמי שמתעסק באבטחת מידע צריך ללמוד והם כן שולחים את האנשים שלהם לקורס".

וייסמן מסביר כי אותה בעיה קיימת גם במשרד הביטחון. בדרך כלל, מי שמזמין את הקורסים הם אנשי כספים של מנה"ר שמונעים משיקולי תקציב ולא איכות. לכן, נוצר מצב שגם אם הגורם המקצועי דורש ניקוד על איכות, במנה"ר הדגש הוא על התקציב ולכן הקורסים לא תמיד ברמה המספקת את כוחות הביטחון. "צריך לזכור כי מדובר באנשים שבסופו של דבר שומרים על המדינה במרחב הקיברנטי", מסכם וייסמן.

אולי יעניין אותך גם

נמרוד וקס. צילום: רועי שור

לא יודעים איפה המידע בארגון? חברת BigID הישראלית: ״הפתרון שלנו תומך ברגולציות פרטיות״ 

חברת BigID היא חברה אמריקאית-ישראלית שפיתחה פלטפורמה למיפוי המידע בארגון. לפי נמרוד וקס, שותף מייסד ומנהל המוצר בחברה, המוצר תורם ערך להתמודדות עם רגולציות פרטיות וכן עוזר להתמודד גם עם מתקפות כופר. ראיון מיוחד