״בתקיפת הסייבר באיראן נגד חברת הרכבות - התוקף לא מפסיד יכולות״
בהמשך לפרסומים גלויים אודות התקיפה נגד תשתית הרכבות באיראן, מסביר אמיר לוינטל, מנכ״ל חברת Cylus הישראלית, מדוע התוקף לא מפסיד יכולות, מדוע כמעט בלתי אפשרי לעשות חקירה פורנזית במקרה כזה ומה יכולה המשמעות של תקיפה כזו
עמי רוחקס דומבה
| 13/07/2021
עמיר לוינטל. צילום: עומר הכהן
בימים האחרונים דווח באיראן על תקיפת סייבר נגד תשתיות רכבת במדינה ומשרדי ממשלה. לפי הדיווחים, חברת הרכבות של איראן עצרה את פעילות הרכבות במדינה. בעקבות פרסומים אלו, טוען עמיר לוינטל, מנכ״ל חברת Cylus הישראלית, בראיון לישראל דיפנס, כי מדובר בצעד חריג מאד. ״לעצור רכבות לכל המדינה זו עלות אסטרונומית לחברה המפעילה״, מסביר לוינטל.
עוד מסביר לוינטל כי לדעתו, מדובר במתקפה שפגעה באופן כלשהו בשכבת האיתות של הרכבות. לצורך הבהרה, את מערכות הרכבת ניתן לחלק לשתי שכבות לפחות. אחת, ניהולית (OCC) ואחת תפעולית (שכבת האיתות). השכבה הניהולית היא זו שעושה ניתוב לרכבות, איזו רכבת צריכה לצאת מאיפה לאן ובאיזו שעה (ראוטינג). שכבת האיתות היא זו שאחראית שהרכבות לא יתנגשו זו בזו בפועל. שכבת האיתות בנויה, בין היתר, על ממסרים סלולריים שבודקים בכל עת שאין בעיות בטיחות בפסי הרכבת בכל המדינה.
"בעוד שנהוג לחשוב כי תשתיות רכבות מאובטחות בשל היותן תשתית קריטית, המציאות אחרת״, מסביר לוינטל. ״אלו מוצרים שמותקנים בשביל לעבוד 30 שנים או יותר ואינם תוכננו למתקפות סייבר או מניפולציות מכוונות של גורם חיצוני. אלו מערכות שתוכננו בייעוד שלהן לפתור בעיות בטיחות בלבד.״
חקירה פורנזית? משימה כמעט בלתי אפשרית
ובכן, אחת השאלות העולות בכל מתקפה על תשתית קריטית של מדינה, היא מה השיג התוקף? במקרה דנן, נראה כי על פניו, פרט לכותרות, התוקף לא השיג משהו נוסף. יתרה מכך, עולה השאלה מהי משוואת העלות-תועלת במתקפה כזו? כלומר, התוקף חושף יכולות שיכולות , תיאורטית, ללכת לאיבוד בשל החקירה הפורנזית לאחר המתקפה.
״בעולם הרכבות, הסיכוי שתדע את מקור המתקפה או את הליך המתקפה - אפסי״, טוען לוינטל. והוא כנראה יודע משהו. חברת Cylus בניהולו היא אחת היחידות בעולם המספקת יכולות פורנזיקה לרשתות חברות רכבות בעולם. ״אנחנו מדברים על מוצרים שאפשר להוציא מהם לוגים, אבל בעיקר כאלו שרלוונטים לבטיחות.
״אם נניח תוקף התחזה למרכיב רשת, ושידר פקודות חוקיות לרכיב אחר, הרכיבים לא יאספו את הלוגים האלו. למה? כי הם יחשבו שמדובר בהליך חוקי ולגיטימי. ככה הם תוכננו במקור. זו אחת הסיבות שבמערכת שלנו אנחנו מקליטים הכל. אם לא תפסת מתקפה בזמן אמת, לפחות תוכל לעשות פורנזיקה מוצלחת ולשפר להבא.״
מדבריו של לוינטל עולה כי התוקף , מי שלא יהיה, במקרה דנן, לא ״בזבז״ יכולות. מדוע? כי ההסתברות שהאיראנים ידעו מה קרה ואיך קרה - אפסית. ולכן לא יוכלו לתקן לעתיד ולסגור פרצות או חולשות בהן השתמש התוקף. מכאן, שייתכן ובכל זאת מדובר במתקפה לצורך בדיקת יכולות. לפחות לא ניתן לשלול זאת.
״במקרה האיראני, על פי פרסומים גלויים, הושבתו כלל הרכבות - אזרחיות וצבאיות. המשמעות היא, שתוקף פוטנציאלי יכול, בשעת חירום, לפגוע בתהליכי גיוס מילואים, שינוע סחורות ועוד. לאור זאת, ייתכן והמתקפה הייתה איתות של מישהו לאיראנים״, מסביר לוינטל.
״היות וקשה מאד עד בלתי אפשרי בתצורת רשת של חברת רכבות לדעת מה קרה, בספק אם האיראנים יוכלו לסגור את הפרצות שאפשרו את האירוע מלכתחילה. מכאן, שהתוקף לא מסכן כמעט כלום בהיבט טכנו-מבצעי.״
עוד היבט טכני למתקפה כזו היא השאלה מה קורה אם , נניח, תוקף פועל רק נגד קו רכבות אחד. לוינטל מסביר כי תצורת הרשת בעולם הרכבות היא כזו שכל אנומליה עוצרת מיידית את הרכבת. ״שיקולי בטיחות מעל הכל״, אומר לוינטל. ״אם נניח תוקף שיבש תקשורת סלולרית במקטע מסוים, הרכבת המסוימת תעצור. אבל לא כל רשת הרכבות הארצית. וזו גם מתקפה שיחסית קל לעלות עליה, כי היא נקודתית.״
לסיכום, לוינטל מסביר כי אבטחת מידע בעולם הרכבות הינה מלאכת מאתגרת. בלשון המעטה. בטח באיראן שנמצאת תחת סנקציות כבר שנים המונעות ממנה לרכוש מוצרים מערביים על מנת לשדרג את רשת המחשוב והתקשורת של מערך הרכבות.
תצורת רשת בחברת רכבות, באופן כללי, כך לפי לוינטל, שטוחה במרבית הפעמים (ללא סגמנטציה בכלל) ובנויה ממוצרים שאינם מתוכננים לאגור לוגים או להתמודד עם מניפולציה חיצונית. לזה יש להוסיף עלויות תחזוקה גבוהות המחייבות את המפעיל להמשיך ולהפעיל את הרכבות, כמעט בכל עת. למעט אירועים חריגים, כמו זה, שככל הנראה, התרחש באיראן בימים האחרונים.
בהמשך לפרסומים גלויים אודות התקיפה נגד תשתית הרכבות באיראן, מסביר אמיר לוינטל, מנכ״ל חברת Cylus הישראלית, מדוע התוקף לא מפסיד יכולות, מדוע כמעט בלתי אפשרי לעשות חקירה פורנזית במקרה כזה ומה יכולה המשמעות של תקיפה כזו
עמיר לוינטל. צילום: עומר הכהן
בימים האחרונים דווח באיראן על תקיפת סייבר נגד תשתיות רכבת במדינה ומשרדי ממשלה. לפי הדיווחים, חברת הרכבות של איראן עצרה את פעילות הרכבות במדינה. בעקבות פרסומים אלו, טוען עמיר לוינטל, מנכ״ל חברת Cylus הישראלית, בראיון לישראל דיפנס, כי מדובר בצעד חריג מאד. ״לעצור רכבות לכל המדינה זו עלות אסטרונומית לחברה המפעילה״, מסביר לוינטל.
עוד מסביר לוינטל כי לדעתו, מדובר במתקפה שפגעה באופן כלשהו בשכבת האיתות של הרכבות. לצורך הבהרה, את מערכות הרכבת ניתן לחלק לשתי שכבות לפחות. אחת, ניהולית (OCC) ואחת תפעולית (שכבת האיתות). השכבה הניהולית היא זו שעושה ניתוב לרכבות, איזו רכבת צריכה לצאת מאיפה לאן ובאיזו שעה (ראוטינג). שכבת האיתות היא זו שאחראית שהרכבות לא יתנגשו זו בזו בפועל. שכבת האיתות בנויה, בין היתר, על ממסרים סלולריים שבודקים בכל עת שאין בעיות בטיחות בפסי הרכבת בכל המדינה.
"בעוד שנהוג לחשוב כי תשתיות רכבות מאובטחות בשל היותן תשתית קריטית, המציאות אחרת״, מסביר לוינטל. ״אלו מוצרים שמותקנים בשביל לעבוד 30 שנים או יותר ואינם תוכננו למתקפות סייבר או מניפולציות מכוונות של גורם חיצוני. אלו מערכות שתוכננו בייעוד שלהן לפתור בעיות בטיחות בלבד.״
חקירה פורנזית? משימה כמעט בלתי אפשרית
ובכן, אחת השאלות העולות בכל מתקפה על תשתית קריטית של מדינה, היא מה השיג התוקף? במקרה דנן, נראה כי על פניו, פרט לכותרות, התוקף לא השיג משהו נוסף. יתרה מכך, עולה השאלה מהי משוואת העלות-תועלת במתקפה כזו? כלומר, התוקף חושף יכולות שיכולות , תיאורטית, ללכת לאיבוד בשל החקירה הפורנזית לאחר המתקפה.
״בעולם הרכבות, הסיכוי שתדע את מקור המתקפה או את הליך המתקפה - אפסי״, טוען לוינטל. והוא כנראה יודע משהו. חברת Cylus בניהולו היא אחת היחידות בעולם המספקת יכולות פורנזיקה לרשתות חברות רכבות בעולם. ״אנחנו מדברים על מוצרים שאפשר להוציא מהם לוגים, אבל בעיקר כאלו שרלוונטים לבטיחות.
״אם נניח תוקף התחזה למרכיב רשת, ושידר פקודות חוקיות לרכיב אחר, הרכיבים לא יאספו את הלוגים האלו. למה? כי הם יחשבו שמדובר בהליך חוקי ולגיטימי. ככה הם תוכננו במקור. זו אחת הסיבות שבמערכת שלנו אנחנו מקליטים הכל. אם לא תפסת מתקפה בזמן אמת, לפחות תוכל לעשות פורנזיקה מוצלחת ולשפר להבא.״
מדבריו של לוינטל עולה כי התוקף , מי שלא יהיה, במקרה דנן, לא ״בזבז״ יכולות. מדוע? כי ההסתברות שהאיראנים ידעו מה קרה ואיך קרה - אפסית. ולכן לא יוכלו לתקן לעתיד ולסגור פרצות או חולשות בהן השתמש התוקף. מכאן, שייתכן ובכל זאת מדובר במתקפה לצורך בדיקת יכולות. לפחות לא ניתן לשלול זאת.
״במקרה האיראני, על פי פרסומים גלויים, הושבתו כלל הרכבות - אזרחיות וצבאיות. המשמעות היא, שתוקף פוטנציאלי יכול, בשעת חירום, לפגוע בתהליכי גיוס מילואים, שינוע סחורות ועוד. לאור זאת, ייתכן והמתקפה הייתה איתות של מישהו לאיראנים״, מסביר לוינטל.
״היות וקשה מאד עד בלתי אפשרי בתצורת רשת של חברת רכבות לדעת מה קרה, בספק אם האיראנים יוכלו לסגור את הפרצות שאפשרו את האירוע מלכתחילה. מכאן, שהתוקף לא מסכן כמעט כלום בהיבט טכנו-מבצעי.״
עוד היבט טכני למתקפה כזו היא השאלה מה קורה אם , נניח, תוקף פועל רק נגד קו רכבות אחד. לוינטל מסביר כי תצורת הרשת בעולם הרכבות היא כזו שכל אנומליה עוצרת מיידית את הרכבת. ״שיקולי בטיחות מעל הכל״, אומר לוינטל. ״אם נניח תוקף שיבש תקשורת סלולרית במקטע מסוים, הרכבת המסוימת תעצור. אבל לא כל רשת הרכבות הארצית. וזו גם מתקפה שיחסית קל לעלות עליה, כי היא נקודתית.״
לסיכום, לוינטל מסביר כי אבטחת מידע בעולם הרכבות הינה מלאכת מאתגרת. בלשון המעטה. בטח באיראן שנמצאת תחת סנקציות כבר שנים המונעות ממנה לרכוש מוצרים מערביים על מנת לשדרג את רשת המחשוב והתקשורת של מערך הרכבות.
תצורת רשת בחברת רכבות, באופן כללי, כך לפי לוינטל, שטוחה במרבית הפעמים (ללא סגמנטציה בכלל) ובנויה ממוצרים שאינם מתוכננים לאגור לוגים או להתמודד עם מניפולציה חיצונית. לזה יש להוסיף עלויות תחזוקה גבוהות המחייבות את המפעיל להמשיך ולהפעיל את הרכבות, כמעט בכל עת. למעט אירועים חריגים, כמו זה, שככל הנראה, התרחש באיראן בימים האחרונים.
