האקר הוא לא בהכרח גורם שלילי
הסיכוי שתוכנת האנטי וירוס או כל תוכנה אחרת יתנו מענה מלא לתקיפות האקרים על מערכות החברה הוא נמוך במיוחד. הפתרון טמון בבדיקות חדירות שמבוצעות על ידי האקרים ותוכנות רובוטיות
הגנה לישראל
| 19/05/2011
(shutterstock.com)
פרסומים בתקשורת על האקרים שפורצים למערכות ומזיקים, הטביעו במושג ה"האקר" חותם שלילי. "האקר" נתפס כיום כאדם הממציא דרכים חדשות להתנכל לאנשים, להונות תאגידים, לגנוב מידע ואולי אפילו להרוס את הכלכלה או לפתוח במלחמה על ידי פריצת מערכות מחשוב צבאיות. אך כדאי לזכור שקיימים גם האקרים שמכונים "האקרים אתיים" ( Ethical Hackers) שיכולים לסייע לארגון להתמודד מול תקיפות אלו.
להאקר יש "ארגז הכלים" רחב להסתמך עליו. קיימות תוכנות רבות בהן הוא יכול להשתמש כדי לחקור מחשבים ורשתות בעולם הווירטואלי ולאסוף מידע על משתמשים וארגונים חפים מפשע. ברגע שהאקר מיומן יודע כיצד מערכת מסוימת עובדת, הוא יכול לתכנן תקיפה ממוקדת ולנצל את הפגיעויות הללו בתוך חברה או בתוך מחשב מסויים.
דרכי התקיפה הן רבות ומגוונות. אם האקר צבר מספיק מידע על החברה, הסיכוי שתוכנת האנטי וירוס או כל תוכנה אחרת יתנו מענה מלא לתקיפות שלו על מערכות החברה, נמוך במיוחד. הסיבות לכך מגוונות. לדוגמא: ההאקר יכול לשנות חתימות של וירוס כדי שהאנטי וירוס לא יזהה את המוצר; הוא יכול להשתמש בהנדסה חברתית (Social Engineering) ולגרום לאחד העובדים ללחוץ על קובץ מצורף שיחדיר קוד זדוני לארגון.
מאחר וכמות המחשבים שההאקר מנסה לתקוף היא מזערית ביחס למספר המערכות בעולם, שום חברה שמייצרת אנטי וירוס לא תספק פתרון ברמה מידית. אם כך המצב, אז כיצד הארגון יכול להתמודד עם תקיפות אלו? במאמר זה נתמקד בנושא בדיקות חדירות (Penetration Testing). את התחום נהוג לחלק לשתי גישות: בדיקות בעזרת תוכנות רובוטיות ובדיקות בעזרת האקר מקצועי.
בדיקות בעזרת תוכנות רובוטיות - בשיטה זו המשתמש מריץ תוכנה המכילה סט מוגדר וקבוע של חולשות שיש לאתר במערכות הארגון. לשיטה זו מספר יתרונות. נדרשת רמת ידע נמוכה מצד המפעיל ויש יכולת לביצוע סט בדיקות נרחב בפרק זמן קצר. כמו כן, חברות בינלאומיות מעוניינות לעיתים לבצע בדיקה בעזרת כלי אחיד בכל סניפי החברה בעולם. אך המגרעות עולות משמעותית על היתרונות. התוכנה הרובוטית לא יכולה לאלתר ולעקוף בעיות לוגיות - אין לה את התחכום שיש להאקר אנושי שהוא תוצאה של שילוב ידע בתחום הפריצה עם הכרת אופן פעולת המערכות.
בדיקות בעזרת האקר מקצועי - בשיטה זו הבדיקה מתבצעת על ידי האקר אנושי המפעיל קו מחשבה שונה מזה של המתכנת או מנהל הרשת ומנסה לאתר באופן מתוחכם את נקודות התורפה של המערכת. לפחות בחלק מהמוצרים, השימוש בהאקר מקצועי מתגלה כזול יותר ביחס לחלופה הרובוטית. השימוש בהאקר כרוך בסיוע אנשי מקצוע בעלי כישורים ייחודיים והוא דורש הקצאת פרק זמן ארוך יותר לפעילות, אך לעיתים קרובות מתגלה כמשתלם יותר.
אם כך, מה עדיף? הנוסחה המושלמת היא שילוב נכון בין שתי הגישות. האקר מקצועי משתמש בשתי תוכנות רובוטיות לפחות בכדי לדעת לסנן את הממצאים האמתיים מתוך מרחב הממצאים שרובם בעלי חשיבות מועטה אם בכלל, ובמקביל הוא מפעיל תחכום רב בכדי לאתר פגיעויות נוספות של המערכת.
על מנהל המערכת לשאול את עצמו שתי שאלות מנחות: האם החברה שהזמנתי מתמחה בבדיקות אבטחה, או מדובר על חברה המוכרת ומטמיעה ציוד אבטחה בלבד? שנית, ולא פחות חשוב - האם לאחר הבדיקות אוכל להתייעץ עם ההאקר ולקבל ממנו הנחיות ברורות לקראת הבדיקה החוזרת?
ניר אמקייס הוא סמנכ"ל חברת מדסק ודורון סיון הוא מנכ"ל חברת מדסק
פרסומים בתקשורת על האקרים שפורצים למערכות ומזיקים, הטביעו במושג ה"האקר" חותם שלילי. "האקר" נתפס כיום כאדם הממציא דרכים חדשות להתנכל לאנשים, להונות תאגידים, לגנוב מידע ואולי אפילו להרוס את הכלכלה או לפתוח במלחמה על ידי פריצת מערכות מחשוב צבאיות. אך כדאי לזכור שקיימים גם האקרים שמכונים "האקרים אתיים" ( Ethical Hackers) שיכולים לסייע לארגון להתמודד מול תקיפות אלו.
להאקר יש "ארגז הכלים" רחב להסתמך עליו. קיימות תוכנות רבות בהן הוא יכול להשתמש כדי לחקור מחשבים ורשתות בעולם הווירטואלי ולאסוף מידע על משתמשים וארגונים חפים מפשע. ברגע שהאקר מיומן יודע כיצד מערכת מסוימת עובדת, הוא יכול לתכנן תקיפה ממוקדת ולנצל את הפגיעויות הללו בתוך חברה או בתוך מחשב מסויים.
דרכי התקיפה הן רבות ומגוונות. אם האקר צבר מספיק מידע על החברה, הסיכוי שתוכנת האנטי וירוס או כל תוכנה אחרת יתנו מענה מלא לתקיפות שלו על מערכות החברה, נמוך במיוחד. הסיבות לכך מגוונות. לדוגמא: ההאקר יכול לשנות חתימות של וירוס כדי שהאנטי וירוס לא יזהה את המוצר; הוא יכול להשתמש בהנדסה חברתית (Social Engineering) ולגרום לאחד העובדים ללחוץ על קובץ מצורף שיחדיר קוד זדוני לארגון.
מאחר וכמות המחשבים שההאקר מנסה לתקוף היא מזערית ביחס למספר המערכות בעולם, שום חברה שמייצרת אנטי וירוס לא תספק פתרון ברמה מידית. אם כך המצב, אז כיצד הארגון יכול להתמודד עם תקיפות אלו? במאמר זה נתמקד בנושא בדיקות חדירות (Penetration Testing). את התחום נהוג לחלק לשתי גישות: בדיקות בעזרת תוכנות רובוטיות ובדיקות בעזרת האקר מקצועי.
בדיקות בעזרת תוכנות רובוטיות - בשיטה זו המשתמש מריץ תוכנה המכילה סט מוגדר וקבוע של חולשות שיש לאתר במערכות הארגון. לשיטה זו מספר יתרונות. נדרשת רמת ידע נמוכה מצד המפעיל ויש יכולת לביצוע סט בדיקות נרחב בפרק זמן קצר. כמו כן, חברות בינלאומיות מעוניינות לעיתים לבצע בדיקה בעזרת כלי אחיד בכל סניפי החברה בעולם. אך המגרעות עולות משמעותית על היתרונות. התוכנה הרובוטית לא יכולה לאלתר ולעקוף בעיות לוגיות - אין לה את התחכום שיש להאקר אנושי שהוא תוצאה של שילוב ידע בתחום הפריצה עם הכרת אופן פעולת המערכות.
בדיקות בעזרת האקר מקצועי - בשיטה זו הבדיקה מתבצעת על ידי האקר אנושי המפעיל קו מחשבה שונה מזה של המתכנת או מנהל הרשת ומנסה לאתר באופן מתוחכם את נקודות התורפה של המערכת. לפחות בחלק מהמוצרים, השימוש בהאקר מקצועי מתגלה כזול יותר ביחס לחלופה הרובוטית. השימוש בהאקר כרוך בסיוע אנשי מקצוע בעלי כישורים ייחודיים והוא דורש הקצאת פרק זמן ארוך יותר לפעילות, אך לעיתים קרובות מתגלה כמשתלם יותר.
אם כך, מה עדיף? הנוסחה המושלמת היא שילוב נכון בין שתי הגישות. האקר מקצועי משתמש בשתי תוכנות רובוטיות לפחות בכדי לדעת לסנן את הממצאים האמתיים מתוך מרחב הממצאים שרובם בעלי חשיבות מועטה אם בכלל, ובמקביל הוא מפעיל תחכום רב בכדי לאתר פגיעויות נוספות של המערכת.
על מנהל המערכת לשאול את עצמו שתי שאלות מנחות: האם החברה שהזמנתי מתמחה בבדיקות אבטחה, או מדובר על חברה המוכרת ומטמיעה ציוד אבטחה בלבד? שנית, ולא פחות חשוב - האם לאחר הבדיקות אוכל להתייעץ עם ההאקר ולקבל ממנו הנחיות ברורות לקראת הבדיקה החוזרת?
ניר אמקייס הוא סמנכ"ל חברת מדסק ודורון סיון הוא מנכ"ל חברת מדסק
