לחשוב כמו האקרים
במפגש הרביעי של פורום הסייבר מבית ישראל דיפנס וסימנטק, דיברו מומחי אבטחת מידע על האתגרים ביישום הגנה מפני מתקפות סייבר. אחד האתגרים העיקריים שעלו מהדיונים הוא הקושי לחשוב כמו התוקפים
הגנה לישראל
| 06/12/2014
יותם גוטמן מחברת terrogence בפורום הסייבר של ישראל דיפנס וסימנטק (צילום: עמי רוחקס דומבה)
עשרות מומחי אבטחת מידע מהתעשיות המובילות ומארגונים ממשלתיים הגיעו היום (ה') למפגש הרביעי של פורום הסייבר מבית ישראל דיפנס וחברת סימנטק. בכנס דנו בדילמות המרכזיות בעולם הסייבר וכיצד ניתן להתמודד אתן. רם לוי, חוקר בכיר בסדנת יובל נאמן המתמחה במחקרים בתחום החלל והסייבר, אמר שהבעיה העיקרית של עולם המחשבים היום היא אמון. "מדובר על אמון במערכות מחשב. כיצד אני כמשתמש יודע שהנתונים שאני מקבל ממערכת המיחשוב נכונים. זו שאלה לא קלה", הסביר לוי.
"צריך לחשוב כמו תוקף"
הרעיון מאחורי שיבוש המידע הקיים במערכות מידע (הטעייה) אינו חדש וכבר יושם בעבר בהתקפות סייבר שונות. אחת הדוגמאות היא ההתקפה נגד דרום קוריאה באפריל 2012 בה נמחקו 48,000 מחשבים. התקפה דומה התרחשה נגד חברת RasGas באוגוסט 2012 בה נמחקו 12,000 אלף ברס גז. התקפה נוספת הייתה בדצמבר 2012 נגד חברת ארמקו הסעודית בה נמחקו 30,000 מחשבים. אין ספק כי היכולת למחוק מחשבים שקולה ליכולת לשנות את המידע שהם מציגים.
"פגיעה במחשבים היא פגיעה בתהליכים פיזיים כמו אספקת חשמל או מים. אם פעם היו צריכים להשתמש בכוח פיזי/קינטי כדי לעשות זאת, היום עושים זאת בוירוס במרחב הקיברנטי שפוגע ברכיב מיחשובי ששולט בתהליך. צריך לזכור כי הפקודה שניתנה למחשב ששולט על החשמל היא פקודה לגיטימית לכבות את החשמל. זו שאלה באבטחת מידע - איך יודעים מה לגיטימי ומה לא?", מוסיף לוי.
כאשר המטרה היא לשבש תפקוד של מערכת פיזית, ההתגוננות היא אחרת. אם התוקף רוצה לעכב למשל את כוחות הביטחון בדרכם למקום מסוים שבו מתרחש כרגע פיגוע, הוא יכול להשתלט על רשת המצלמות המותקנות בשטח ולהפעיל, בצורה לגיטימית, מערכות ביוב, השקייה, רמזורים ואחרות כדי לצור אנדרלמוסיה. שיטה נוספת היא להכניס לארגון מערכות תוכנה או חומרה 'מטופלות'. כלומר, כאלו שמכילות דלת אחורית, שיודעות להעביר מידע מחוץ לארגון או שיודעות להתקלקל ברגע המתאים.
"כל הארגונים הגדולים במשק מפרסמים מכרזים לתשתיות IT. זה מידע 'זהב' להאקרים שרוצים להכניס מערכות מטופלות. במכרזים הללו מפרטים את הדרישות ממערכות החומרה או התוכנה. התוקף צריך רק להכין את המוצר, להוריד לו את המחיר, ולחכות שיתקינו אותו בארגון אליו הוא רוצה לחדור. מרבית תוכנות האנטי וירוס או מערכת ההלבנה לא יוכלו לעלות על זה היות ומדובר במערכות לגיטימיות", מסביר לוי. "חלק גדול מהארגונים משתמש בשירותי התרעה סלולריים שמגובים במערכת דואר אלקטרוני. מדובר לרוב בערוצים לא מאובטחים שיכולים לתת לתוקף דלת כניסה. הם לא חושבים כמו תוקף" .
לפרוץ למחשב, זה מסובך?
בהמשך הכנס הדגים אנטוניו פורציירי מסימנטק כיצד ניתן בקלות לפרוץ לאתר, להטמין בו קוד זדוני שבאמצעותו אפשר להדביק את המחשבים של הגולשים שנכנסים לאותו אתר. "זה עד כדי כך פשוט", הוסיף פורציירי בסיום ההדגמה. אחריו הציג צחי זורנשטיין גם הוא מסימנטק, מערכת חדשנית של החברה שנמצאת עדיין בשלבי פיתוח בשם SGNET. מטרת המערכת היא לסווג איומים על פי דפוס התנהגות כדי למנוע הטעיות מצד התוקף.
זורנשטיין הסביר כי מדובר על אלגוריתם הלקוח מעולם הביו-אינפורמטיקה שעבר התאמה בסימנטק לעולם הסייבר, והוא יודע לסווג את סוג התקשורת לפי פרוטוקולים ידועים. "המערכת כוללת מצד אחד מערכות מחשוב מסוגים שונים שמטרתן למשוך את התוקף. אלו מערכות חכמות שיודעות 'לדבר' עם התוקף בהתאם לפרוטוקול שבו הוא פונה אליהן. המערכות האלו לא יודעות מה תוכן הפנייה, אלא הן יודעות אם היא נעשיית בהתאם לפרוטוקול. אם לא, הן מרימות דגל", מסביר זורנשטיין.
"מצד שני, כוללת המערכת סביבה וירטואלית לבדיקה של תקשורת לא ידועה. במידה והארגון משתמש בפרוטוקולים לא ידועים של תוכנות שונות, הסביבה הזו יודעת לנתח את התקשורת באמצעות מספר מנועים שיודעים בסופו של תהליך ללמוד את הפרוטוקול החדש ולהפיץ אותו למערכות הדמה בצד השני. בצורה כזו, המערכת לומדת את הארגון בצורה דינאמית ומסוגלת להתריע ברגע שהתוקף עושה שימוש בפניות שאינן לפי אחד הפרוטוקולים הידועים".
סוכני מודיעין וירטואלים
את הכנס סגר יותם גוטמן מחברת terrogence המתמחה במודיעין לעולם הסייבר. את המודיעין אוספים בחברה באמצעות סוכנים וירטואלים (אווטרים) המתופעלים על ידי אנליסטים אנושיים. השילוב בין מומחים אנושים המכירים את השפה והתרבות של קבוצות היעד ברשתות החברתיות ובפורומים, לבין סוכנים וירטואלים שיכולים ללבוש איזה מאפיין שהמפעיל רוצה, יוצר פלטפורמה לאיסוף 'יומינט וירטואלי'.
"המפעיל מכיר את עולם התוכן. את התרבות, השפה והמאפיינים המסוימים של אותה קבוצה", מסביר גוטמן. "המטרה היא להביא מודיעין לפני התקפה, מודעיין מלווה במקרה של התקפה מתמשכת, ולגלות טרנדים ומגמות לעתיד. כמו כן, אנחנו מצליחים גם לגלות כלי תקיפה חדשים. במקרים מסוימים אנחנו גם פונים לרשת החברתית במטרה לסגור קבוצות מסוימות וככה פוגעים ביכולת ההתארגנות של ההאקרים או האקטיביסטים".
עשרות מומחי אבטחת מידע מהתעשיות המובילות ומארגונים ממשלתיים הגיעו היום (ה') למפגש הרביעי של פורום הסייבר מבית ישראל דיפנס וחברת סימנטק. בכנס דנו בדילמות המרכזיות בעולם הסייבר וכיצד ניתן להתמודד אתן. רם לוי, חוקר בכיר בסדנת יובל נאמן המתמחה במחקרים בתחום החלל והסייבר, אמר שהבעיה העיקרית של עולם המחשבים היום היא אמון. "מדובר על אמון במערכות מחשב. כיצד אני כמשתמש יודע שהנתונים שאני מקבל ממערכת המיחשוב נכונים. זו שאלה לא קלה", הסביר לוי.
"צריך לחשוב כמו תוקף"
הרעיון מאחורי שיבוש המידע הקיים במערכות מידע (הטעייה) אינו חדש וכבר יושם בעבר בהתקפות סייבר שונות. אחת הדוגמאות היא ההתקפה נגד דרום קוריאה באפריל 2012 בה נמחקו 48,000 מחשבים. התקפה דומה התרחשה נגד חברת RasGas באוגוסט 2012 בה נמחקו 12,000 אלף ברס גז. התקפה נוספת הייתה בדצמבר 2012 נגד חברת ארמקו הסעודית בה נמחקו 30,000 מחשבים. אין ספק כי היכולת למחוק מחשבים שקולה ליכולת לשנות את המידע שהם מציגים.
"פגיעה במחשבים היא פגיעה בתהליכים פיזיים כמו אספקת חשמל או מים. אם פעם היו צריכים להשתמש בכוח פיזי/קינטי כדי לעשות זאת, היום עושים זאת בוירוס במרחב הקיברנטי שפוגע ברכיב מיחשובי ששולט בתהליך. צריך לזכור כי הפקודה שניתנה למחשב ששולט על החשמל היא פקודה לגיטימית לכבות את החשמל. זו שאלה באבטחת מידע - איך יודעים מה לגיטימי ומה לא?", מוסיף לוי.
כאשר המטרה היא לשבש תפקוד של מערכת פיזית, ההתגוננות היא אחרת. אם התוקף רוצה לעכב למשל את כוחות הביטחון בדרכם למקום מסוים שבו מתרחש כרגע פיגוע, הוא יכול להשתלט על רשת המצלמות המותקנות בשטח ולהפעיל, בצורה לגיטימית, מערכות ביוב, השקייה, רמזורים ואחרות כדי לצור אנדרלמוסיה. שיטה נוספת היא להכניס לארגון מערכות תוכנה או חומרה 'מטופלות'. כלומר, כאלו שמכילות דלת אחורית, שיודעות להעביר מידע מחוץ לארגון או שיודעות להתקלקל ברגע המתאים.
"כל הארגונים הגדולים במשק מפרסמים מכרזים לתשתיות IT. זה מידע 'זהב' להאקרים שרוצים להכניס מערכות מטופלות. במכרזים הללו מפרטים את הדרישות ממערכות החומרה או התוכנה. התוקף צריך רק להכין את המוצר, להוריד לו את המחיר, ולחכות שיתקינו אותו בארגון אליו הוא רוצה לחדור. מרבית תוכנות האנטי וירוס או מערכת ההלבנה לא יוכלו לעלות על זה היות ומדובר במערכות לגיטימיות", מסביר לוי. "חלק גדול מהארגונים משתמש בשירותי התרעה סלולריים שמגובים במערכת דואר אלקטרוני. מדובר לרוב בערוצים לא מאובטחים שיכולים לתת לתוקף דלת כניסה. הם לא חושבים כמו תוקף" .
לפרוץ למחשב, זה מסובך?
בהמשך הכנס הדגים אנטוניו פורציירי מסימנטק כיצד ניתן בקלות לפרוץ לאתר, להטמין בו קוד זדוני שבאמצעותו אפשר להדביק את המחשבים של הגולשים שנכנסים לאותו אתר. "זה עד כדי כך פשוט", הוסיף פורציירי בסיום ההדגמה. אחריו הציג צחי זורנשטיין גם הוא מסימנטק, מערכת חדשנית של החברה שנמצאת עדיין בשלבי פיתוח בשם SGNET. מטרת המערכת היא לסווג איומים על פי דפוס התנהגות כדי למנוע הטעיות מצד התוקף.
זורנשטיין הסביר כי מדובר על אלגוריתם הלקוח מעולם הביו-אינפורמטיקה שעבר התאמה בסימנטק לעולם הסייבר, והוא יודע לסווג את סוג התקשורת לפי פרוטוקולים ידועים. "המערכת כוללת מצד אחד מערכות מחשוב מסוגים שונים שמטרתן למשוך את התוקף. אלו מערכות חכמות שיודעות 'לדבר' עם התוקף בהתאם לפרוטוקול שבו הוא פונה אליהן. המערכות האלו לא יודעות מה תוכן הפנייה, אלא הן יודעות אם היא נעשיית בהתאם לפרוטוקול. אם לא, הן מרימות דגל", מסביר זורנשטיין.
"מצד שני, כוללת המערכת סביבה וירטואלית לבדיקה של תקשורת לא ידועה. במידה והארגון משתמש בפרוטוקולים לא ידועים של תוכנות שונות, הסביבה הזו יודעת לנתח את התקשורת באמצעות מספר מנועים שיודעים בסופו של תהליך ללמוד את הפרוטוקול החדש ולהפיץ אותו למערכות הדמה בצד השני. בצורה כזו, המערכת לומדת את הארגון בצורה דינאמית ומסוגלת להתריע ברגע שהתוקף עושה שימוש בפניות שאינן לפי אחד הפרוטוקולים הידועים".
סוכני מודיעין וירטואלים
את הכנס סגר יותם גוטמן מחברת terrogence המתמחה במודיעין לעולם הסייבר. את המודיעין אוספים בחברה באמצעות סוכנים וירטואלים (אווטרים) המתופעלים על ידי אנליסטים אנושיים. השילוב בין מומחים אנושים המכירים את השפה והתרבות של קבוצות היעד ברשתות החברתיות ובפורומים, לבין סוכנים וירטואלים שיכולים ללבוש איזה מאפיין שהמפעיל רוצה, יוצר פלטפורמה לאיסוף 'יומינט וירטואלי'.
"המפעיל מכיר את עולם התוכן. את התרבות, השפה והמאפיינים המסוימים של אותה קבוצה", מסביר גוטמן. "המטרה היא להביא מודיעין לפני התקפה, מודעיין מלווה במקרה של התקפה מתמשכת, ולגלות טרנדים ומגמות לעתיד. כמו כן, אנחנו מצליחים גם לגלות כלי תקיפה חדשים. במקרים מסוימים אנחנו גם פונים לרשת החברתית במטרה לסגור קבוצות מסוימות וככה פוגעים ביכולת ההתארגנות של ההאקרים או האקטיביסטים".
