תקיפה קיברנטית: כך עושים זאת נכון
כולם מדברים על הגנה, אבל תא”ל (מיל’) אמנון סופרין סבור כי המרחב הקיברנטי כבר משמש זירה אפקטיבית למתקפות צבאיות. מאמר מיוחד מתוך גיליון הסייבר החדש של ישראל דיפנס
הגנה לישראל
| 19/05/2011
כוחות רוסיים תוקפים בגיאורגיה (צילום: AP)
תפתחות המרחב הקיברנטי מאפשרת לתקוף מערכות תשתית חיוניות, ללא צורך להגיע פיסית למקום ולבצע בו פעולת חבלה.
אם במאה שעברה נדרש כוח צבאי כדי להגיע פיסית לאתר חיוני ולבצע בו פעולה שתשבש מערכות או להעביר מסר להנהגה, הרי שכיום, עם “השתלטות” מערכות המחשוב על כלל המערכות החיוניות והאסטרטגיות, בעזרת תכנון מוקדם והכנות מתאימות, ניתן לבצע תקיפה מנגד של מערכות המחשוב השולטות על מערכות חיוניות ולגרום בהן לשיבוש משמעותי.
על מנת להגיע ל”בשלות מבצעית” אשר תאפשר תקיפה אפקטיבית, יש צורך בלימוד יסודי של מבנה מערכת התשתית אותה רוצים לתקוף, כמו מערכת החשמל או מערכת אספקת המים במדינת אויב. לדוגמא: באפריל 2009 נפוצו שמועות לפיהן רוסיה - ויתכן אף סין - חדרו למערכות השליטה והבקרה של מערכת החשמל האמריקאית. הממשל האמריקני הודה באותה תקופה כי רשת החשמל נמצאת תחת מתקפה קיברנטית.
בנוסף למבנה מערכת התשתית עצמה, יש ללמוד את מבנה מערכת המחשוב – מערכת השליטה והבקרה - השולטת על מערכת התשתית המתוכננת לתקיפה.
לימוד זה צריך לכלול גם ניתוח של נקודות התורפה ואיתור הדרך “לחדור” למערכת השליטה והבקרה על מנת לאפשר תקיפה אפקטיבית.
יש להגדיר את האפקט הנדרש לתקיפה – מהו האפקט אותו רוצים המתכננים להשיג על ידי תקיפת מערכת התשתית המסוימת בעת מלחמה? האם רוצים לפגוע רק באזור מסוים? האם הכוונה היא לפגיעה רחבה וכוללת?
לאחר שבוצע הלימוד הרחב והמפורט, הוגדרו התכלית לביצוע התקיפה והיעדים להשגה, בוצע תכנון מפורט של אופן “החדירה” לרשת השליטה והבקרה, מוכנת תכנית פעולה מבצעית. תכנית כזו חייבת להישמר ברמת עדכון שוטפת, על מנת להבין ולדעת כי התכנית והכלים אשר פותחו אכן ממשיכים להיות רלבנטיים להפעלה בהינתן החלטה.
נבחן תרחיש בו מתפתח עימות מזוין בין שתי מדינות ומתקבלת החלטה על ידי מדינה אחת לבצע תקיפה של רשת הבקרה והשליטה של מערכת תשתית חיונית במדינה השניה. על הגורם המנחה (דרג מדיני, מטה כללי) להגדיר מה הוא האפקט הנדרש לתקיפה.
נניח, שהגדיר הגורם המנחה כי הוא רוצה לעכב מעבר כוחות עתודה מהעומק לעבר החזית. צירי התנועה של כוחות אלה נותחו על ידי הגורמים המתאימים, “צווארי הבקבוק” שבהם אובחנו והובלטו. עתה, בוחנים “לוחמי הסייבר” את המערכת אותה למדו וניתחו עוד קודם לכן, את מערכת השליטה והבקרה, ומציעים לנטרל קטע מסוים, אשר יגרום להפסקת חשמל באזור נתון זה. פעולה זו תשבש ותעכב את תנועת כוחות העתודה לעבר החזית. עתה, נדרש מעקב אחר קצב התקדמות הכוחות על מנת להפעיל את “מתקפת הסייבר” בעיתוי הנכון, כאשר ראשוני כוחות העתודה כבר נמצאים במרחב האמור. בהינתן אינדיקציה על הגעת ראשוני הכוחות לאזור, מבוצעת “תקיפה” של מערכת השליטה והבקרה של מערכת החשמל לאזור זה, משתררת במקום חשיכה ותנועת הכוחות מתעכבת.
לצורך ההשוואה – במלחמת “שלום הגליל” (1982) תקפו מטוסי חיל האוויר כוח שריון סורי אשר היה בתנועה מצפונה של סוריה לעבר בקעת הלבנון על מנת להשתתף בלחימה כנגד כוחות צה”ל. בתקיפה נפגעו חלק מכלי הרכב של כוח השריון, שאר הכוח המשיך לנוע ומאוחר יותר הגיע לזירת הלחימה. תקיפה מוצלחת זו חייבה מעקב אחר תנועת הכוח והפעלה פיסית של מטוסים לתקיפה, תוך סיכון למטוסים מירי נ”מ.
אפקט דומה, של עיכוב תנועת הכוח לעבר זירת הלחימה, יכול להיות מושג על ידי מתקפת סייבר על רשתות שליטה ובקרה. אמנם, האפקט של פגיעה פיסית בכלי רק”מ לא יושג, אך מאידך – לא יהיה כל סיכון ל”כוח התוקף”, הפעולה תהיה חשאית, מפתיעה ובעלת יכול הרתעה גבוהה.
סייבר ככל נשק
השימוש בסייבר כאמצעי לחימה אינו תאורטי. זה כבר קרה. בחודש יוני 2010 התגלתה באיראן תולעת ה”סטוקסנט” ובספטמבר 2010 התברר כי היא “הושתלה” במתקן ההעשרה בצנטריפוגות בנתנז, איראן. בחודש נובמבר 2010 הודה נשיא איראן, מחמוד אחמדינג’אד כי הייתה תולעת אשר גרמה לבעיות רבות, אשר תוקנו.
דו”חות של הסוכנות הבינלאומית לאנרגיה אטומית (סבא”א) מלמדים כי ייתכן והתולעת הייתה אמורה לגרום להתבלות מוקדמת של כ-10 אחוז מהצנטריפוגות אשר בידי איראן, ולפיכך גרמה לעיכוב בן מספר חודשים בתכנית הגרעין האיראנית. אישים אחרים טענו (בינואר 2011) כי העיכוב הוא של כמה שנים.
הפעלתה של “תולעת” לתקיפת מערכת הנשלטת על ידי מחשב העלתה לסדר היום הציבורי את נושא הפגיעות של מערכות מורכבות הנשלטות על ידי מערכות ממוחשבות, מחד גיסא – ומאידך גיסא את היכולת המתפתחת לפגוע במערכות חיוניות.
התפתחות מערכות המיחשוב ו”השתלטותן” על מרבית תחומי החיים יוצרת תלות גבוהה במערכות אלה ובמרבית המקרים אין כל גיבוי משמעותי למערכות השליטה הממוכנות.
עובדה זו מאפשרת “לתקוף” מערכות אלה בשני אופנים: לצורך השגת מודיעין ערכי ולצורך ביצוע תקיפות בהינתן החלטה.
איסוף המודיעין יכול להתבצע על ידי חדירות סמויות לשרתים – או לכתובת IP ממוקדת של גורם בעל חשיבות רבה, על מנת לעקוב אחר תכתובות שיכולות להיות להן ערך מודיעיני גבוה, או לצורך “שאיבת” מידע ערכי. בנוסף למידע ממוקד אשר ניתן להפיק ממערכת המחשבים, ניתן לאסוף, במקביל מידע תשתיתי על מערכות שליטה ממוכנות השולטות על מערכות תשתית, במטרה להבין את מבנה המערכת, לאתר את נקודות התורפה שבה, כדי שניתן יהיה לבצע תקיפה של מערכת זו, בהינתן החלטה.
במהלך העשור האחרון בוצעו, במספר מקרים תקיפות של מערכות שליטה ממוכנות, אך המדובר בתקיפות של אתרים רשמיים (כמו: אתרי ממשלה) ובנסיבות מסוימות.
כך, בסכסוך אשר התפתח בין רוסיה לאסטוניה באביב 2007, בוצעו תקיפות (ככל הנראה על ידי הרוסים) על שרתים של אתרי הממשלה, על אתרי מידע תשתיתיים חיוניים ועל מערכת התקשורת הממשלתית המבוססת אינטרנט.
בקיץ 2008, החליט הפרלמנט בליטא לאסור על השימוש בסמלים נאציים וסובייטים (כמו הפטיש והמגל) ולאסור על נגינת ההמנון הרוסי באירועים ציבוריים. בתגובה,” הוצפו” אתרי הממשלה בסמלים רוסיים וב”סיסמאות אלקטרוניות”. פעולה זו גרמה ל”נפילתם” של מספר אתרי ממשלה חיוניים.
ערב הפלישה הרוסית לגיאורגיה (אוגוסט 2008), בוצעה תקיפה מאסיבית על אתרי האינטרנט של הממשלה, בהם אתר משרד החוץ ואתר משרד הביטחון, אשר גרמו לנפילתם. מומחים אשר בחנו את הנושא טענו כי ההתקפה הייתה יותר מתואמת, יותר מקצועית ויותר מתוחכמת מאשר ההתקפה אשר בוצעה על ליטא חודשיים לפני כן. מומחים צבאיים טוענים כי במלחמה זו הופעל לראשונה “כלי הנשק” של המלחמות העתידיות: האינטרנט. אותם מומחים רואים במלחמה זו כמלחמת הסייבר הראשונה בעולם. גם העימות בין ישראל לפלשתינים החל לבוא לידי ביטוי במתקפות סייבר הדדיות: “האקרים” ישראלים תקפו אתרי אינטרנט של “הרשות” הפלסטינית.
במהלך מבצע “עופרת יצוקה” בעזה (ינואר 2009) בוצעה התקפה מאסיבית על אתרי האינטרנט של ממשלת ישראל. בהתקפה השתתפו כחצי מיליון מחשבים, אשר על פי הערכות (וחשדות) נשלטו על ידי ארגון פשע בברית המועצות לשעבר, כשהמימון הגיע מגורם המקורב לחמאס, או לחיזבאללה. תקיפה זו דומה לתקיפה אשר בוצעה על אתרי האינטרנט בגיאורגיה, אך כאן הצליח ארגון תהיל”ה (אבטחת אתרי האינטרנט הממשלתיים) להגן על התשתית הממשלתית, והאתרים הושבתו לתקופות קצרות בלבד.
בעולם נערכים
לאור הכרת מרבית המדינות המפותחות בעולם בחשיבות הלחימה הקיברנטית, החלה התארגנות למתן מענה לאיום זה.
בארה”ב, הכריז (יוני 2009) סגן מזכיר ההגנה, ויליאם לין כי “הפנטגון הכיר זה מכבר בזירת לוחמה זו כחלק אינטגרלי מתורת הלחימה החיונית למבצע צבאי בדיוק כמו ים, אוויר, יבשה וחלל”. במאי 2010 הקים הפנטגון “מפקדת לוחמה קיברנטית”, הכפופה לסוכנות לביטחון לאומי (NSA), ותפקידה הגנה על רשתות המחשבים הצבאיות האמריקניות.
בבריטניה, הוקם “חדר מצב” לאבטחת מידע, באחריותו של “מרכז התקשורת הממשלתית”. תחום הסמכויות שלו נרחב והוא אחראי על הגנת התשתית הצבאית והאזרחית.
בישראל, הודיע ראש הממשלה, בנימין נתניהו (19 מאי 2011) על הקמת “מטה סייבר לאומי” והגדיר כי ייעודו העיקרי יהיה להרחיב את יכולת ההגנה על מערכות התשתית החיוניות מפני התקפות טרור קיברנטי.
תא”ל (מיל’) אמנון סופרין היה קצין מודיעין שדה ראשי בצה”ל וראש אגף המודיעין במוסד. כיום, הוא יועץ בכיר בתעשייה האווירית, בתחום הסייבר וה-HLS
***
פורסם במקור ב- Israel Defense Cyber - סקירה חצי שנתית בשיתוף סדנת יובל נאמן. להזמת הגיליון המיוחד, התקשרו לטלפון: 074-7031211
תפתחות המרחב הקיברנטי מאפשרת לתקוף מערכות תשתית חיוניות, ללא צורך להגיע פיסית למקום ולבצע בו פעולת חבלה.
אם במאה שעברה נדרש כוח צבאי כדי להגיע פיסית לאתר חיוני ולבצע בו פעולה שתשבש מערכות או להעביר מסר להנהגה, הרי שכיום, עם “השתלטות” מערכות המחשוב על כלל המערכות החיוניות והאסטרטגיות, בעזרת תכנון מוקדם והכנות מתאימות, ניתן לבצע תקיפה מנגד של מערכות המחשוב השולטות על מערכות חיוניות ולגרום בהן לשיבוש משמעותי.
על מנת להגיע ל”בשלות מבצעית” אשר תאפשר תקיפה אפקטיבית, יש צורך בלימוד יסודי של מבנה מערכת התשתית אותה רוצים לתקוף, כמו מערכת החשמל או מערכת אספקת המים במדינת אויב. לדוגמא: באפריל 2009 נפוצו שמועות לפיהן רוסיה - ויתכן אף סין - חדרו למערכות השליטה והבקרה של מערכת החשמל האמריקאית. הממשל האמריקני הודה באותה תקופה כי רשת החשמל נמצאת תחת מתקפה קיברנטית.
בנוסף למבנה מערכת התשתית עצמה, יש ללמוד את מבנה מערכת המחשוב – מערכת השליטה והבקרה - השולטת על מערכת התשתית המתוכננת לתקיפה.
לימוד זה צריך לכלול גם ניתוח של נקודות התורפה ואיתור הדרך “לחדור” למערכת השליטה והבקרה על מנת לאפשר תקיפה אפקטיבית.
יש להגדיר את האפקט הנדרש לתקיפה – מהו האפקט אותו רוצים המתכננים להשיג על ידי תקיפת מערכת התשתית המסוימת בעת מלחמה? האם רוצים לפגוע רק באזור מסוים? האם הכוונה היא לפגיעה רחבה וכוללת?
לאחר שבוצע הלימוד הרחב והמפורט, הוגדרו התכלית לביצוע התקיפה והיעדים להשגה, בוצע תכנון מפורט של אופן “החדירה” לרשת השליטה והבקרה, מוכנת תכנית פעולה מבצעית. תכנית כזו חייבת להישמר ברמת עדכון שוטפת, על מנת להבין ולדעת כי התכנית והכלים אשר פותחו אכן ממשיכים להיות רלבנטיים להפעלה בהינתן החלטה.
נבחן תרחיש בו מתפתח עימות מזוין בין שתי מדינות ומתקבלת החלטה על ידי מדינה אחת לבצע תקיפה של רשת הבקרה והשליטה של מערכת תשתית חיונית במדינה השניה. על הגורם המנחה (דרג מדיני, מטה כללי) להגדיר מה הוא האפקט הנדרש לתקיפה.
נניח, שהגדיר הגורם המנחה כי הוא רוצה לעכב מעבר כוחות עתודה מהעומק לעבר החזית. צירי התנועה של כוחות אלה נותחו על ידי הגורמים המתאימים, “צווארי הבקבוק” שבהם אובחנו והובלטו. עתה, בוחנים “לוחמי הסייבר” את המערכת אותה למדו וניתחו עוד קודם לכן, את מערכת השליטה והבקרה, ומציעים לנטרל קטע מסוים, אשר יגרום להפסקת חשמל באזור נתון זה. פעולה זו תשבש ותעכב את תנועת כוחות העתודה לעבר החזית. עתה, נדרש מעקב אחר קצב התקדמות הכוחות על מנת להפעיל את “מתקפת הסייבר” בעיתוי הנכון, כאשר ראשוני כוחות העתודה כבר נמצאים במרחב האמור. בהינתן אינדיקציה על הגעת ראשוני הכוחות לאזור, מבוצעת “תקיפה” של מערכת השליטה והבקרה של מערכת החשמל לאזור זה, משתררת במקום חשיכה ותנועת הכוחות מתעכבת.
לצורך ההשוואה – במלחמת “שלום הגליל” (1982) תקפו מטוסי חיל האוויר כוח שריון סורי אשר היה בתנועה מצפונה של סוריה לעבר בקעת הלבנון על מנת להשתתף בלחימה כנגד כוחות צה”ל. בתקיפה נפגעו חלק מכלי הרכב של כוח השריון, שאר הכוח המשיך לנוע ומאוחר יותר הגיע לזירת הלחימה. תקיפה מוצלחת זו חייבה מעקב אחר תנועת הכוח והפעלה פיסית של מטוסים לתקיפה, תוך סיכון למטוסים מירי נ”מ.
אפקט דומה, של עיכוב תנועת הכוח לעבר זירת הלחימה, יכול להיות מושג על ידי מתקפת סייבר על רשתות שליטה ובקרה. אמנם, האפקט של פגיעה פיסית בכלי רק”מ לא יושג, אך מאידך – לא יהיה כל סיכון ל”כוח התוקף”, הפעולה תהיה חשאית, מפתיעה ובעלת יכול הרתעה גבוהה.
סייבר ככל נשק
השימוש בסייבר כאמצעי לחימה אינו תאורטי. זה כבר קרה. בחודש יוני 2010 התגלתה באיראן תולעת ה”סטוקסנט” ובספטמבר 2010 התברר כי היא “הושתלה” במתקן ההעשרה בצנטריפוגות בנתנז, איראן. בחודש נובמבר 2010 הודה נשיא איראן, מחמוד אחמדינג’אד כי הייתה תולעת אשר גרמה לבעיות רבות, אשר תוקנו.
דו”חות של הסוכנות הבינלאומית לאנרגיה אטומית (סבא”א) מלמדים כי ייתכן והתולעת הייתה אמורה לגרום להתבלות מוקדמת של כ-10 אחוז מהצנטריפוגות אשר בידי איראן, ולפיכך גרמה לעיכוב בן מספר חודשים בתכנית הגרעין האיראנית. אישים אחרים טענו (בינואר 2011) כי העיכוב הוא של כמה שנים.
הפעלתה של “תולעת” לתקיפת מערכת הנשלטת על ידי מחשב העלתה לסדר היום הציבורי את נושא הפגיעות של מערכות מורכבות הנשלטות על ידי מערכות ממוחשבות, מחד גיסא – ומאידך גיסא את היכולת המתפתחת לפגוע במערכות חיוניות.
התפתחות מערכות המיחשוב ו”השתלטותן” על מרבית תחומי החיים יוצרת תלות גבוהה במערכות אלה ובמרבית המקרים אין כל גיבוי משמעותי למערכות השליטה הממוכנות.
עובדה זו מאפשרת “לתקוף” מערכות אלה בשני אופנים: לצורך השגת מודיעין ערכי ולצורך ביצוע תקיפות בהינתן החלטה.
איסוף המודיעין יכול להתבצע על ידי חדירות סמויות לשרתים – או לכתובת IP ממוקדת של גורם בעל חשיבות רבה, על מנת לעקוב אחר תכתובות שיכולות להיות להן ערך מודיעיני גבוה, או לצורך “שאיבת” מידע ערכי. בנוסף למידע ממוקד אשר ניתן להפיק ממערכת המחשבים, ניתן לאסוף, במקביל מידע תשתיתי על מערכות שליטה ממוכנות השולטות על מערכות תשתית, במטרה להבין את מבנה המערכת, לאתר את נקודות התורפה שבה, כדי שניתן יהיה לבצע תקיפה של מערכת זו, בהינתן החלטה.
במהלך העשור האחרון בוצעו, במספר מקרים תקיפות של מערכות שליטה ממוכנות, אך המדובר בתקיפות של אתרים רשמיים (כמו: אתרי ממשלה) ובנסיבות מסוימות.
כך, בסכסוך אשר התפתח בין רוסיה לאסטוניה באביב 2007, בוצעו תקיפות (ככל הנראה על ידי הרוסים) על שרתים של אתרי הממשלה, על אתרי מידע תשתיתיים חיוניים ועל מערכת התקשורת הממשלתית המבוססת אינטרנט.
בקיץ 2008, החליט הפרלמנט בליטא לאסור על השימוש בסמלים נאציים וסובייטים (כמו הפטיש והמגל) ולאסור על נגינת ההמנון הרוסי באירועים ציבוריים. בתגובה,” הוצפו” אתרי הממשלה בסמלים רוסיים וב”סיסמאות אלקטרוניות”. פעולה זו גרמה ל”נפילתם” של מספר אתרי ממשלה חיוניים.
ערב הפלישה הרוסית לגיאורגיה (אוגוסט 2008), בוצעה תקיפה מאסיבית על אתרי האינטרנט של הממשלה, בהם אתר משרד החוץ ואתר משרד הביטחון, אשר גרמו לנפילתם. מומחים אשר בחנו את הנושא טענו כי ההתקפה הייתה יותר מתואמת, יותר מקצועית ויותר מתוחכמת מאשר ההתקפה אשר בוצעה על ליטא חודשיים לפני כן. מומחים צבאיים טוענים כי במלחמה זו הופעל לראשונה “כלי הנשק” של המלחמות העתידיות: האינטרנט. אותם מומחים רואים במלחמה זו כמלחמת הסייבר הראשונה בעולם. גם העימות בין ישראל לפלשתינים החל לבוא לידי ביטוי במתקפות סייבר הדדיות: “האקרים” ישראלים תקפו אתרי אינטרנט של “הרשות” הפלסטינית.
במהלך מבצע “עופרת יצוקה” בעזה (ינואר 2009) בוצעה התקפה מאסיבית על אתרי האינטרנט של ממשלת ישראל. בהתקפה השתתפו כחצי מיליון מחשבים, אשר על פי הערכות (וחשדות) נשלטו על ידי ארגון פשע בברית המועצות לשעבר, כשהמימון הגיע מגורם המקורב לחמאס, או לחיזבאללה. תקיפה זו דומה לתקיפה אשר בוצעה על אתרי האינטרנט בגיאורגיה, אך כאן הצליח ארגון תהיל”ה (אבטחת אתרי האינטרנט הממשלתיים) להגן על התשתית הממשלתית, והאתרים הושבתו לתקופות קצרות בלבד.
בעולם נערכים
לאור הכרת מרבית המדינות המפותחות בעולם בחשיבות הלחימה הקיברנטית, החלה התארגנות למתן מענה לאיום זה.
בארה”ב, הכריז (יוני 2009) סגן מזכיר ההגנה, ויליאם לין כי “הפנטגון הכיר זה מכבר בזירת לוחמה זו כחלק אינטגרלי מתורת הלחימה החיונית למבצע צבאי בדיוק כמו ים, אוויר, יבשה וחלל”. במאי 2010 הקים הפנטגון “מפקדת לוחמה קיברנטית”, הכפופה לסוכנות לביטחון לאומי (NSA), ותפקידה הגנה על רשתות המחשבים הצבאיות האמריקניות.
בבריטניה, הוקם “חדר מצב” לאבטחת מידע, באחריותו של “מרכז התקשורת הממשלתית”. תחום הסמכויות שלו נרחב והוא אחראי על הגנת התשתית הצבאית והאזרחית.
בישראל, הודיע ראש הממשלה, בנימין נתניהו (19 מאי 2011) על הקמת “מטה סייבר לאומי” והגדיר כי ייעודו העיקרי יהיה להרחיב את יכולת ההגנה על מערכות התשתית החיוניות מפני התקפות טרור קיברנטי.
תא”ל (מיל’) אמנון סופרין היה קצין מודיעין שדה ראשי בצה”ל וראש אגף המודיעין במוסד. כיום, הוא יועץ בכיר בתעשייה האווירית, בתחום הסייבר וה-HLS
***
פורסם במקור ב- Israel Defense Cyber - סקירה חצי שנתית בשיתוף סדנת יובל נאמן. להזמת הגיליון המיוחד, התקשרו לטלפון: 074-7031211
