מה מסתתר מאחורי החיוך של המונה ליזה?
ארגוני טרור וגורמי פשיעה עושים שימוש בכתיבה מוסתרת כדי להתחמק מהרשויות. בעקבות זאת, שיטות לזיהוי ערוצי תקשורת חשאיים הפכו לחלק אינטגרלי ממערך הגנת הסייבר
הגנה לישראל
| 19/05/2011
בשנתיים האחרונות שמענו על מספר מקרים של גופים מסחריים, בטחוניים וממשלות שהיו יעד ל-Advanced Persistent Threat – APT. לדוגמא, בשנת 2011 היתה רשת ה-Sony PlayStation יעד ל-APT.
ההתקפה בוצעה במשך מספר חודשים ובמהלכה נגנב מידע רגיש ממעל 70 מיליון חשבונות של משתמשים. Sony נאלצה להשבית את הרשת ולמנוע גישה ממיליוני משתמשיה ברחבי העולם. הנזק הכספי לחברת Sony הוערך בכ-200 מיליון דולר. גם RSA, חברת אבטחה מהגדולות בעולם, Lockheed Martin, חברת פיתוח הנשק הגדולה בעולם ואפילו Google היו יעד ל-APT. וכמובן, מתקני הגרעין של איראן שהיו ועדיין הינם יעד להתקפות אלה. APT מתייחס להתקפות המבוצעות לאורך זמן ממושך על ידי גוף בעל יכולות מתקדמות, מוטיבציה גבוהה ומשאבים רבים. APT שונה מ-malwares או botnets בכך שהוא מכוון כלפי מטרה מוגדרת (מחשב) בעוד שב malwares או botnets “סטנדרטיים", התוקף מעוניין לתקוף כמה שיותר מחשבים אך בצורה יותר שטחית.
ה-APT נבנה ספציפית עבור מטרה מסויימת בתוך האירגון, מתוך כוונה לחדור אל האירגון. לאחר ביצוע החדירה, התוקף ינסה בדר"כ להדביק מחשבים נוספים ובכך לבסס את אחיזתו באירגון. במקרה זה מדובר בהתקפה יותר מעמיקה ויסודית. לאחר ביצוע ההדבקה, התוקף משתמש במחשבים המותקפים למטרת גניבת מידע מהם או ממחשבים אחרים באירגון, ריגול, גרימת נזקים לנכסים באירגון ועוד. לאחר איסוף המודיעין, חדירה וביסוס האחיזה, התוקף עובר לשלב המרכזי והארוך ביותר והוא שלב העבודה. שלב זה מצריך מספר ערוצי תקשורת בין הגוף התוקף למחשבים המותקפים. למשל, ערוץ השליטה ובקרה (שו"ב), בו מועברות פקודות בין התוקף למחשב הנתקף בתוך האירגון.
דוגמא נוספת היא ערוץ ההזלגה המשמש לשידור חשאי של המידע שנאסף על ידי המחשב הנתקף אל התוקף המרוחק. המידע העובר בערוצי התקשורת האלה יהיה מוצפן ברוב המקרים והטעמים לכך ברורים. התוקף רוצה למנוע מהגוף הנתקף, או מכל מי שמנטר את התקשורת, לגלות את תוכן המידע החשאי המועבר בערוצי התקשורת המשמשים לתקיפה.
האם הצפנה מספיקה?
אחת משלושת הדרישות של APT הינה שההתקפה תהיה מתמדת. כלומר, התוקף צריך להבטיח שתהיה לו גישה ארוכת טווח למחשבים המותקפים ולמטרות בארגון. התוקף צריך למנוע בכל דרך את גילוי ערוצי התקשורת בינו לבין הארגון הנתקף, שכן עצם גילוי קיומו של הערוץ החשאי עלול להביא לחשיפתה של ההתקפה. לכן, אפילו אם המידע מוצפן בצורה החזקה ביותר, עצם גילויו של ערוץ התקשורת המוצפן, אפילו ללא היכולת לפענח אותו, יגרום לגוף המותקף להבין שהוא תחת התקפה ומכאן והלאה תחל חקירה שתביא ברוב המקרים לזיהוי ההתקפה. חשוב להדגיש כי לא מדובר בפיענוח של המידע המוצפן אלא בעצם הגילוי שעובר מידע מוצפן.
מערכי ההגנה הקיימים כיום אינם נותנים מענה הולם לחשיפת ערוצי תקשורת מוצפנים בגופים עליהם הם מגנים. על מנת לשדרג את מערכי ההגנה יש לשלב מספר דרכים לזיהוי ערוצי תקשורת מוצפנים. למעשה, לא מדובר במשימה מורכבת מדי, שכן למידע מוצפן יש מאפיינים סטטיסטיים המבדילים אותו ממידע שאיננו מוצפן. הנחת העבודה של הגוף המגן צריכה להיות שעומד בפניו תוקף מתוחכם שאינו מסתפק בהצפנה בלבד, אלא נוקט באמצעים שיסתירו את עצם קיומם של ערוצי התקשורת. כלומר, מטרת התוקף הינה שגם אם יבוצע ניטור של התקשורת ובחינתה על ידי הארגון הנתקף, המידע העובר יראה לגיטימי לחלוטין ולא יעורר חשד מכל סוג שהוא. באופן הזה, ערוצי התקשורת החשאיים יאפשרו לו להמשיך את מתקפתו לאורך זמן רב.
לקרוא בין השורות
אחת הטכניקות הנפוצות ביותר היא על ידי שימוש בסטגנוגרפיה. סטגנוגרפיה, או כתיבה מוסתרת, הינה אומנות הסתרת מידע ומסרים כך שכלפי חוץ הם ייראו תמימים ורגילים אך רק מי שאמור לקבל את ההודעה הסודית יוכל לקלף את שיכבת ההסתרה ולגלות את המסר הסמוי. אפשרויות ההסתרה בסטגנוגרפיה הן כמעט בלתי מוגבלות. למעשה ניתן להסתיר מסרים חשאיים כמעט בתוך כל מידע דיגיטלי העובר באינטרנט: תמונות, סרטים, שירים, מסמכים, גלישות באינטרנט, שיחות וידאו, אתרי חדשות, אתרי פורנו, פרסומות, משחקי אינטרנט, ערוצי רדיו וטלוויזיה באינטרנט ועוד.
הטענה הרווחת בעולם המודיעין הינה שאירגון אל-קעידה העביר לסוכניו מאות מסרים סמויים, טרם ההתקפה על ארה"ב ב-2001, על ידי הסתרתם בתוך תמונות שהועלו לאתר ebay. ידוע שארגוני טרור, כגון הג'יהאד העולמי, מדריכים את סוכניהם להסתיר מידע בתמונות וכן שארגוני מאפיה משתמשים בדרכים דומות לתקשורת חשאית. ב-2010 גילה ה-FBI שהרוסים מעבירים מסרים סמויים למרגלים שלהם בחו"ל על ידי שימוש בסטגנוגרפיה.
הסתרת ערוצי תקשורת בעזרת סטגנוגרפיה מאפשרת את ביצוע התקשורת החשאית בין התוקף למטרות המותקפות בתוך הארגון הנתקף באופן כמעט בלתי ניתן לזיהוי. הסטגנוגרפיה משלימה את ההצפנה וביחד מתקבל ערוץ תקשורת חשאי, מוסתר ומוצפן בו ניתן להשתמש לאורך זמן רב, וברוב המקרים הגוף המותקף בכלל לא יהיה מודע להעברת המידע החשאית. רובם המוחלט של מערכי ההגנה אינם נותנים מענה לחשיפת ערוצי תקשורת מוסתרים וזיהוי סטגנוגרפיה בגופים עליהם הם מגנים. הרעיון המרכזי של סטגנוגרפיה הוא שניתן להסתיר את המסר החשאי על ידי ביצוע שינויים קטנים באמצעי הדיגיטלי (תמונה, סרט, שיר) כך שגם עין אנושית וגם אמצעי הגנה ממוחשב לא יוכלו להבחין בהם ולהבין שמדובר בסטגנוגרפיה.
שיטת הסטגנוגרפיה הידועה ביותר בעולם הינה הסתרת המסר החשאי בתמונה דיגיטלית הנשלחת באי-מייל, מוצגת ב-ebay, מפורסמת בפורומים או בפייסבוק. תמונה דיגיטלית מורכבת ממאות אלפים ואף מיליונים של נקודות קטנות, הנקראות פיקסלים. לכל פיקסל יש צבע משלו ואוסף כל הפיקסלים עם צבעיהם מרכיב את התמונה הדיגיטלית. בתמונה ממוצעת יכול כל פיקסל לקבל צבע מתוך מגוון של כמעט 17 מיליון צבעים וגוונים. העין האנושית לא באמת מסוגלת לקלוט את המגוון העצום הזה של הצבעים ולמשל לשני פיקסלים בשני גוונים כמעט זהים של אדום שנראים לעין האנושית בדיוק אותו הדבר יכול להיות ערך מספרי שונה. לכן, אם נחליף חלק מהפיקסלים האלה בפיקסלים בעלי ערך קצת שונה המייצג צבע כמעט זהה, העין האנושית לא תקלוט את ההבדל ומבחינתה שתי התמונות (לפני השינוי ואחריו) ייראו זהות לחלוטין.
הרעיון מאחורי סטגנוגרפיה בתמונות הוא להסתיר את המידע החשאי בתוך תמונה לגיטימית על ידי ביצוע סידרה של שינויים בערכיהם של חלק מהפיקסלים. סידרת השינויים היא למעשה קידוד המידע החשאי בגוונים השונים של הצבעים בתמונה. למרות שהשינויים הינם מזעריים, הצד המקבל את המסר החשאי (ורק הוא) יכול להבין את הקידוד ומתוכו לחלץ את המסר החשאי בעוד שכל גורם אחר המסתכל על התמונה יראה תמונה לגיטימית ותמימה. בדוגמא שהצגנו בעמוד הקודם לקחנו תמונה תמימה של המונה ליזה, הסתרנו בתוכה תצלום אוויר של מתקן גרעיני וקיבלנו תמונה של מונה ליזה שנראית בדיוק כמו התמונה המקורית אך רק מקבל המסר יכול לחלץ את התמונה המוסתרת מתוכה. את התמונה עם המסר החשאי נוכל לשלוח למשל באי-מייל אל היעד שלנו. מי שיבחן את התמונה לא יבחין בשום דבר מוזר או חשוד אך מקבל ההודעה שמכיר את שיטת ההסתרה שלנו יוכל לפענח את המסר החשאי. שיטות הסטגנוגרפיה שפותחו בשנים האחרונות הן מתוחכמות בהרבה ומערבות שימוש באלגוריתמים מתמטיים מורכבים המונעים כמעט כל זיהוי של ההסתרה. שיטות אלה מפותחות על ידי מיטב המתמטיקאים בעולם ובסופו של דבר מוצאות את דרכן הן לארגוני טרור והן לארגוני ביון. בין היתר מדובר בהסתרות חזקות בתוך סירטוני וידאו, קבצי מוזיקה ופרוטוקולי תקשורת.
מערך הגנת הסייבר
הנחת העבודה של כל ארגון רגיש צריכה להיות שבכל רגע נתון הוא יעד ל-APT. זיהוי התקפות APT אינו משימה קלה, ועל כן חשוב לשלב במערך ההגנה טכניקות שונות שמטרתן לזהות שלבים ואלמנטים שונים בהתקפה. באופן הזה, אפילו אם התוקף הצליח לחדור בחשאי לארגון המותקף מבלי שהתגלה על ידי מערכות האבטחה (וזו צריכה להיות הנחת המוצא בארגון), עדיין ניתן יהיה לזהות את ההתקפה על ידי גילוי ערוצי התקשורת של התוקף בשלב מאוחר יותר. לכן ישנה חשיבות רבה לשלב במערך ההגנה שיטות שונות לזיהוי מידע וערוצים מוצפנים ומוסתרים, שיעידו על ההתקפה ויסייעו לאתר ולבלום אותה.
**
ד"ר גיל דוד הוא הבעלים והמנכ"ל של חברת Brainstorm Private Consulting לייעוץ בעולם הסייבר והמודיעין. הוא משמש כפרופסור אורח באוניברסיטה באירופה ומשתף פעולה עם גופים ביטחוניים, מסחריים ואקדמיים בארץ ובעולם. www.gostorm.net
הכתבה פורסמה לראשונה בגיליון 11 של המגזין ישראל דיפנס
בשנתיים האחרונות שמענו על מספר מקרים של גופים מסחריים, בטחוניים וממשלות שהיו יעד ל-Advanced Persistent Threat – APT. לדוגמא, בשנת 2011 היתה רשת ה-Sony PlayStation יעד ל-APT.
ההתקפה בוצעה במשך מספר חודשים ובמהלכה נגנב מידע רגיש ממעל 70 מיליון חשבונות של משתמשים. Sony נאלצה להשבית את הרשת ולמנוע גישה ממיליוני משתמשיה ברחבי העולם. הנזק הכספי לחברת Sony הוערך בכ-200 מיליון דולר. גם RSA, חברת אבטחה מהגדולות בעולם, Lockheed Martin, חברת פיתוח הנשק הגדולה בעולם ואפילו Google היו יעד ל-APT. וכמובן, מתקני הגרעין של איראן שהיו ועדיין הינם יעד להתקפות אלה. APT מתייחס להתקפות המבוצעות לאורך זמן ממושך על ידי גוף בעל יכולות מתקדמות, מוטיבציה גבוהה ומשאבים רבים. APT שונה מ-malwares או botnets בכך שהוא מכוון כלפי מטרה מוגדרת (מחשב) בעוד שב malwares או botnets “סטנדרטיים", התוקף מעוניין לתקוף כמה שיותר מחשבים אך בצורה יותר שטחית.
ה-APT נבנה ספציפית עבור מטרה מסויימת בתוך האירגון, מתוך כוונה לחדור אל האירגון. לאחר ביצוע החדירה, התוקף ינסה בדר"כ להדביק מחשבים נוספים ובכך לבסס את אחיזתו באירגון. במקרה זה מדובר בהתקפה יותר מעמיקה ויסודית. לאחר ביצוע ההדבקה, התוקף משתמש במחשבים המותקפים למטרת גניבת מידע מהם או ממחשבים אחרים באירגון, ריגול, גרימת נזקים לנכסים באירגון ועוד. לאחר איסוף המודיעין, חדירה וביסוס האחיזה, התוקף עובר לשלב המרכזי והארוך ביותר והוא שלב העבודה. שלב זה מצריך מספר ערוצי תקשורת בין הגוף התוקף למחשבים המותקפים. למשל, ערוץ השליטה ובקרה (שו"ב), בו מועברות פקודות בין התוקף למחשב הנתקף בתוך האירגון.
דוגמא נוספת היא ערוץ ההזלגה המשמש לשידור חשאי של המידע שנאסף על ידי המחשב הנתקף אל התוקף המרוחק. המידע העובר בערוצי התקשורת האלה יהיה מוצפן ברוב המקרים והטעמים לכך ברורים. התוקף רוצה למנוע מהגוף הנתקף, או מכל מי שמנטר את התקשורת, לגלות את תוכן המידע החשאי המועבר בערוצי התקשורת המשמשים לתקיפה.
האם הצפנה מספיקה?
אחת משלושת הדרישות של APT הינה שההתקפה תהיה מתמדת. כלומר, התוקף צריך להבטיח שתהיה לו גישה ארוכת טווח למחשבים המותקפים ולמטרות בארגון. התוקף צריך למנוע בכל דרך את גילוי ערוצי התקשורת בינו לבין הארגון הנתקף, שכן עצם גילוי קיומו של הערוץ החשאי עלול להביא לחשיפתה של ההתקפה. לכן, אפילו אם המידע מוצפן בצורה החזקה ביותר, עצם גילויו של ערוץ התקשורת המוצפן, אפילו ללא היכולת לפענח אותו, יגרום לגוף המותקף להבין שהוא תחת התקפה ומכאן והלאה תחל חקירה שתביא ברוב המקרים לזיהוי ההתקפה. חשוב להדגיש כי לא מדובר בפיענוח של המידע המוצפן אלא בעצם הגילוי שעובר מידע מוצפן.
מערכי ההגנה הקיימים כיום אינם נותנים מענה הולם לחשיפת ערוצי תקשורת מוצפנים בגופים עליהם הם מגנים. על מנת לשדרג את מערכי ההגנה יש לשלב מספר דרכים לזיהוי ערוצי תקשורת מוצפנים. למעשה, לא מדובר במשימה מורכבת מדי, שכן למידע מוצפן יש מאפיינים סטטיסטיים המבדילים אותו ממידע שאיננו מוצפן. הנחת העבודה של הגוף המגן צריכה להיות שעומד בפניו תוקף מתוחכם שאינו מסתפק בהצפנה בלבד, אלא נוקט באמצעים שיסתירו את עצם קיומם של ערוצי התקשורת. כלומר, מטרת התוקף הינה שגם אם יבוצע ניטור של התקשורת ובחינתה על ידי הארגון הנתקף, המידע העובר יראה לגיטימי לחלוטין ולא יעורר חשד מכל סוג שהוא. באופן הזה, ערוצי התקשורת החשאיים יאפשרו לו להמשיך את מתקפתו לאורך זמן רב.
לקרוא בין השורות
אחת הטכניקות הנפוצות ביותר היא על ידי שימוש בסטגנוגרפיה. סטגנוגרפיה, או כתיבה מוסתרת, הינה אומנות הסתרת מידע ומסרים כך שכלפי חוץ הם ייראו תמימים ורגילים אך רק מי שאמור לקבל את ההודעה הסודית יוכל לקלף את שיכבת ההסתרה ולגלות את המסר הסמוי. אפשרויות ההסתרה בסטגנוגרפיה הן כמעט בלתי מוגבלות. למעשה ניתן להסתיר מסרים חשאיים כמעט בתוך כל מידע דיגיטלי העובר באינטרנט: תמונות, סרטים, שירים, מסמכים, גלישות באינטרנט, שיחות וידאו, אתרי חדשות, אתרי פורנו, פרסומות, משחקי אינטרנט, ערוצי רדיו וטלוויזיה באינטרנט ועוד.
הטענה הרווחת בעולם המודיעין הינה שאירגון אל-קעידה העביר לסוכניו מאות מסרים סמויים, טרם ההתקפה על ארה"ב ב-2001, על ידי הסתרתם בתוך תמונות שהועלו לאתר ebay. ידוע שארגוני טרור, כגון הג'יהאד העולמי, מדריכים את סוכניהם להסתיר מידע בתמונות וכן שארגוני מאפיה משתמשים בדרכים דומות לתקשורת חשאית. ב-2010 גילה ה-FBI שהרוסים מעבירים מסרים סמויים למרגלים שלהם בחו"ל על ידי שימוש בסטגנוגרפיה.
הסתרת ערוצי תקשורת בעזרת סטגנוגרפיה מאפשרת את ביצוע התקשורת החשאית בין התוקף למטרות המותקפות בתוך הארגון הנתקף באופן כמעט בלתי ניתן לזיהוי. הסטגנוגרפיה משלימה את ההצפנה וביחד מתקבל ערוץ תקשורת חשאי, מוסתר ומוצפן בו ניתן להשתמש לאורך זמן רב, וברוב המקרים הגוף המותקף בכלל לא יהיה מודע להעברת המידע החשאית. רובם המוחלט של מערכי ההגנה אינם נותנים מענה לחשיפת ערוצי תקשורת מוסתרים וזיהוי סטגנוגרפיה בגופים עליהם הם מגנים. הרעיון המרכזי של סטגנוגרפיה הוא שניתן להסתיר את המסר החשאי על ידי ביצוע שינויים קטנים באמצעי הדיגיטלי (תמונה, סרט, שיר) כך שגם עין אנושית וגם אמצעי הגנה ממוחשב לא יוכלו להבחין בהם ולהבין שמדובר בסטגנוגרפיה.
שיטת הסטגנוגרפיה הידועה ביותר בעולם הינה הסתרת המסר החשאי בתמונה דיגיטלית הנשלחת באי-מייל, מוצגת ב-ebay, מפורסמת בפורומים או בפייסבוק. תמונה דיגיטלית מורכבת ממאות אלפים ואף מיליונים של נקודות קטנות, הנקראות פיקסלים. לכל פיקסל יש צבע משלו ואוסף כל הפיקסלים עם צבעיהם מרכיב את התמונה הדיגיטלית. בתמונה ממוצעת יכול כל פיקסל לקבל צבע מתוך מגוון של כמעט 17 מיליון צבעים וגוונים. העין האנושית לא באמת מסוגלת לקלוט את המגוון העצום הזה של הצבעים ולמשל לשני פיקסלים בשני גוונים כמעט זהים של אדום שנראים לעין האנושית בדיוק אותו הדבר יכול להיות ערך מספרי שונה. לכן, אם נחליף חלק מהפיקסלים האלה בפיקסלים בעלי ערך קצת שונה המייצג צבע כמעט זהה, העין האנושית לא תקלוט את ההבדל ומבחינתה שתי התמונות (לפני השינוי ואחריו) ייראו זהות לחלוטין.
הרעיון מאחורי סטגנוגרפיה בתמונות הוא להסתיר את המידע החשאי בתוך תמונה לגיטימית על ידי ביצוע סידרה של שינויים בערכיהם של חלק מהפיקסלים. סידרת השינויים היא למעשה קידוד המידע החשאי בגוונים השונים של הצבעים בתמונה. למרות שהשינויים הינם מזעריים, הצד המקבל את המסר החשאי (ורק הוא) יכול להבין את הקידוד ומתוכו לחלץ את המסר החשאי בעוד שכל גורם אחר המסתכל על התמונה יראה תמונה לגיטימית ותמימה. בדוגמא שהצגנו בעמוד הקודם לקחנו תמונה תמימה של המונה ליזה, הסתרנו בתוכה תצלום אוויר של מתקן גרעיני וקיבלנו תמונה של מונה ליזה שנראית בדיוק כמו התמונה המקורית אך רק מקבל המסר יכול לחלץ את התמונה המוסתרת מתוכה. את התמונה עם המסר החשאי נוכל לשלוח למשל באי-מייל אל היעד שלנו. מי שיבחן את התמונה לא יבחין בשום דבר מוזר או חשוד אך מקבל ההודעה שמכיר את שיטת ההסתרה שלנו יוכל לפענח את המסר החשאי. שיטות הסטגנוגרפיה שפותחו בשנים האחרונות הן מתוחכמות בהרבה ומערבות שימוש באלגוריתמים מתמטיים מורכבים המונעים כמעט כל זיהוי של ההסתרה. שיטות אלה מפותחות על ידי מיטב המתמטיקאים בעולם ובסופו של דבר מוצאות את דרכן הן לארגוני טרור והן לארגוני ביון. בין היתר מדובר בהסתרות חזקות בתוך סירטוני וידאו, קבצי מוזיקה ופרוטוקולי תקשורת.
מערך הגנת הסייבר
הנחת העבודה של כל ארגון רגיש צריכה להיות שבכל רגע נתון הוא יעד ל-APT. זיהוי התקפות APT אינו משימה קלה, ועל כן חשוב לשלב במערך ההגנה טכניקות שונות שמטרתן לזהות שלבים ואלמנטים שונים בהתקפה. באופן הזה, אפילו אם התוקף הצליח לחדור בחשאי לארגון המותקף מבלי שהתגלה על ידי מערכות האבטחה (וזו צריכה להיות הנחת המוצא בארגון), עדיין ניתן יהיה לזהות את ההתקפה על ידי גילוי ערוצי התקשורת של התוקף בשלב מאוחר יותר. לכן ישנה חשיבות רבה לשלב במערך ההגנה שיטות שונות לזיהוי מידע וערוצים מוצפנים ומוסתרים, שיעידו על ההתקפה ויסייעו לאתר ולבלום אותה.
**
ד"ר גיל דוד הוא הבעלים והמנכ"ל של חברת Brainstorm Private Consulting לייעוץ בעולם הסייבר והמודיעין. הוא משמש כפרופסור אורח באוניברסיטה באירופה ומשתף פעולה עם גופים ביטחוניים, מסחריים ואקדמיים בארץ ובעולם. www.gostorm.net
הכתבה פורסמה לראשונה בגיליון 11 של המגזין ישראל דיפנס
