אתר גאדג'טי מציג בפניכם פרוייקט מיוחד הכולל סדרת כתבות בנושא הסייבר ועולם אבטחת המידע. בעקבות הסוגיות הבוערות שתוקפות את המדינה שלנו בזמן האחרון ועם התעצמות הנושא וחדירתו לתודעה הכוללת, החלטתנו להביא לכם יחד עם צוות מומחים את סדרת הכתבות שתשפוך אור על תחום הסייבר המסקרן ותראה כיצד להתגונן מהצדדים האפלים שלו. קריאה מהנה!

על תרמית האשראי הגדולה (פרשת ההאקר הסעודי) שהתבצעה באחרונה כל המדינה שמעה, ובעבור אלו שקצת מנותקים נספר כי אלפי ישראלים נפלו קורבן לקבוצת האקרים סעודית שפרצה לאתרים בעלי מנגנוני אבטחה פשוטים שלא הקפידו על כל תקנות האבטחה הקיימות היום, מהם שלפה פרטי אשראי רבים. האם מדובר בתופעה חדשה ולא מוכרת? לא בטוח. תעצרו לרגע והתבוננו סביבכם, איפה אתם נמצאים עכשיו? חלקכם נמצאים בבית מול המחשב, חלקכם אולי אפילו נמצאים בעבודה או בלימודים וקוראים את הכתבה, אולי אתם בכלל נמצאים בקניון והוצאתם לרגע את המכשיר הנייד שלכם בשביל להתעדכן בחדשות. את אלו מכם היושבים בבית אשאל: האם נעלתם את הדלת כשנכנסתם הביתה? ואלו מכם שנמצאים עכשיו בלימודים, בעבודה או בקניון: האם השומר בכניסה נראה לכם אדם רציני שניתן לסמוך עליו? כשמדובר בביטחון הפיזי שלנו אנחנו דואגים תמיד להיות מוגנים תחת מנעולים או שומרים, אך האם שכחנו מרחב חשוב מאוד שחדירה אליו יכולה להסב לנו נזק חמור מאוד? מרחב בו נמצאים כל הפרטים שלנו, הזיכרונות שלנו ואפילו הדבר החשוב מכל – הזהות האמיתית שלנו. לכל מי שהלך לאיבוד, אני מדבר על מרחב הסייבר – מרחב בו כולנו נמצאים, אך האם אנו מודעים לסכנות הטמונות בו?

אז מה זה מרחב הסייבר, אתם בטח שואלים את עצמכם. על פי ויקיפידה ההגדרה של מרחב הסייבר היא: "המרחב הקיברנטי, מרחב מטפורי של מערכות מחשב ורשתות מחשב בו נאגרים נתונים אלקטרוניים ומתבצעת תקשורת מקוונת ואינטראקטיבית ללא תלות במיקום הגאוגרפי של המשתמשים בו". הכוונה היא שכל מרחב האינטרנט והמחשבים שאתם רק יכולים לדמיין שייכים למרחב הסייבר, והיום הודות לקדמה ולקצב ההתפתחות הגדול של עולם הטכנולוגיה אפשר לומר בזהירות שכמעט כל משתמש כלשהו במרחב הסייבר מקושר זה לזה בדרך כלשהי. גם עולם הסייבר כשלעצמו מתחלק לכמה קטגוריות משניות שנעסוק בחלקן בכתבה. הראשון הוא לוחמת סייבר שבדרך כלל מתייחסת למאבקים בעולם הרשת בעיקר בין מדינות כאלה ואחרות במטרה לאסוף מידע או להסב נזק האחת לאחרת. קטגוריה נוספת היא סייבר טרור, בו קבוצה מסוימת מבצעת פעולות טרור, משלל סיבות, במרחב הקיברנטי.

ברשותכם נתחיל עם החלק "האזרחי" שיהיה רלוונטי יותר לחיי היום יום שלנו, בו נתעמק ונלמד על אופיו המעניין של תחום זה. כולנו חיים בתוך עולם טכנולוגי שהולך ומתפתח בקצב מדהים ומהיר, מאוד מהיר. היום כמעט לא ניתן למצוא מערכת אחת שלא מחוברת בדרך כלשהי לרשת האינטרנט או שלא נשלטת מרחוק ע"י מחשב כלשהו. זה מתחיל במערכות הפשוטות ביותר כמו למשל מערכת רמזורים בכביש הסמוך לביתכם ועד לרשתות המחשבים של החברות הגדולות בעולם. בכל מה שקשור לתחום "האזרחי", נפריד בין לוחמת סייבר הנעשית כנגד חברות גדולות ממניעים כאלה או אחרים, ובין לוחמת סייבר כנגד האדם הפשוט שלעיתים אף לא מודע שהוא נפל קורבן לתקיפת סייבר. במטרה להסביר לכם בצורה טובה יותר את כל עולם הסייבר האזרחי ערכנו פגישה עם אמיר רסילבסקי, מנהל בכיר ומוביל תחום הסייבר ורגולציות ועם יוני דויטש, חוקר בכיר ומנהל בתחום הסייבר, שניהם עובדים במרכז אבטחת המידע המתקדם של Ernst & Young.

מייל קטן שהפיל חברה גדולה

תחילה, נעסוק בתחום שצובר תאוצה רבה בימים אלה – תקיפת חברות ענק ותאגידים עולמיים. כאשר אנו ניגשים לדבר על הנושא, אנחנו מזכירים בראש ובראשונה את המקרה המוכר בעולם אבטחת המידע שנעשה לסמל למלחמת הסייבר – הפריצה לחברת RSA. בעבור מי שלא מכיר – מדובר בחברת בת של התאגיד הגדול EMC, שתפקידה היה להעניק שירותי אבטחת מידע לחברות שונות שהשתמשו בשירותיה שנועדו ליצור מנגנון זיהוי מאובטח בעת התחברות לשרתי מידע. שירותי החברה עובדים בצורה כזאת שבנוסף לזיהוי הבסיסי שנדרש בעת כניסה למערכת, יצרה RSA אלוגריתם מיוחד משלה שהורכב ממספר פרמטרים כגון: מספר מיוחד אשר נקבע מראש, השעה המדויקת ופרמטרים נוספים שביחד הרכיבו מפתחות הצפנה שאחראים על מניעת חדירה למערכות עליהן היא מגנה. מי שפרץ לשרתיה של RSA (זהותו לא ידועה עד היום) בחר בטכניקת ה-APT (ר"ת Advanced Persistent Threat) הצוברת לאחרונה תאוצה – מדובר בהתקפה מתוחכמת מאוד הפונה בדיוק לנקודות הרגישות של המערכת ואף עשויה לערוך שבועות או חודשים בכדי שיהיה אפשר להניב ממנה פירות. חשוב לציין כי מדובר בדפוס פעילות שונה מימים עברו, בהם המטרה הייתה גניבת כסף או התהילה שהתלוותה לפריצה. הפעם מדובר על פריצה בעלת עומק מחשבתי רציני יותר שמטרתו להשיג הרבה יותר מיוקרה או כסף. אתם ודאי סקרנים לדעת איך הפריצה נעשתה בסופו של דבר, ובכן – תאמינו או לא, הפריצה לא התבססה על הטכנולוגיה המתקדמת בעולם או על מחשבים בעלי כוחות עיבוד מטורפים, אלא תקפה את אחת החוליות הפגיעות ביותר במערך אבטחת המידע של ארגונים שטרם הצליחו למצוא לה פתרון – סקרנות האדם.

הפריצה ל-RSA התרחשה כאשר הפורצים החלו לברר מידע ולאפיין את שגרת הפעילות של יעדי שמנת בחברה, אט-אט התחילו הפורצים לאסוף פרטים חיוניים במטרה להפיל בפח את אנשי החברה. לאחר זמן רב של איסוף מידע, הפורצים שלחו מייל לעובדים בחברת RSA שהותאם לתכנים שיעניינו אותם. רסילבסקי מסביר כי: "בתקיפות מסוג זה מבוצע השימוש בשיטה הנקראת Spear Fishing שבוחרת במכוון יעדים ספציפיים בעלי חשיבות ולאחר מכן התוקפים שולחים להם מיילים "מהונדסים" אשר נראים כמיילים שנשלחו ממקום העבודה (קרי: מכתובת דואר אשר מוכרות להם)". דויטש נותן דוגמה תאורטית – "אחד מעובדי הארגון קיבל מייל 'בטעות' אשר אליו מצורף קובץ אקסל שכותרתו היא 'רשימת המינויים לשנה הבאה'. מעטים העובדים שלא יפתחו את האוצר ש'בטעות' הגיע לתיבת הדואר הנכנס שלהם (על אף שתיבות המייל יודעות לעלות על כך שמדובר בהונאה ואף שולחות את המיילים הללו לתיבת הספאם). כאשר העובד פותח את המייל הוא רואה תוכן זהה באופן כמעט מדויק לזה שהיה מקבל לו היה מגיע מהחברה עצמה. הפונטים, מיקום הלוגו, שמות הבכירים, הכל זהה ונוצר במטרה לגרום לעובד ליפול בפח ולפתוח את המייל. זהו, אחרי שעובד פתח את המייל, ואיתו כמובן נפלו בתרמית מספר עובדים, הותקנה תוכנה קטנה וזדונית המאפשרת לפורץ לעשות כמעט כל העולה על רוחו במחשב של הנתקף ואף לנצל את הפרצה על מנת לדלות מידע ממחשבים אחרים באותה רשת ארגונית".

מה שחשוב להבין הוא שחברת RSA בכלל לא הייתה ליבה של התקיפה, אלא בכלל גשר קטן שמחבר בין הפורצים ובין המידע שהם באמת רוצים להשיג – מפתחות ההצפנה של RSA. איך אנחנו יודעים זאת אתם שואלים? ובכן, זמן לא רב לאחר מכן נפרצו שרתיה של קבלנית האמל"ח השנייה בגודלה בארה"ב – לוקהיד מרטיין, שבין היתר אחראית על מחקר, פיתוח ויצור של מטוסי ה-F35 שישראל עתידה לקבל ועוד מגוון רחב של מערכות ונשק המצוי במדינות רבות בעולם. לוקהיד מרטין היא רק חברה אחת מתוך אלפים שהשתמשה בשירותיה של RSA וייתכן שנמשיך לראות מתקפות מול ארגונים נוספים אשר יתבססו על שיטות דומות.

בכדי לנסות להבין מי היה אחראי על הפריצה צריך להבין את חוקי המשחק בעולם הסייבר, צריך תחכום והרבה משאבים בכדי ליצור תקיפה כל כך מתוחכמת. הראשונה שהואשמה בתקיפה היא סין, שלכולנו ברור איזה תועלת היא יכולה להפיק אם יהיו ברשותה כל התרשימים והתכנונים של כלי הנשק העוצמתיים והעתידניים של צבא ארה"ב. אגב, זמן לא רב לאחר הפריצה מקורות שונים דיווחו על השימוש המתוכנן של רוסיה בדגם MiG-35D אשר על פי פרסומים דומה במאפייניו למטוס ה-F35 , צירוף מקרים? ייתכן.

השוק השחור של ההאקרים והמאפיות המשודרגות

חשוב להבהיר כי על אף שאכן מדובר בפריצות מתוחכמות, דויטש ורסילבסקי מדגישים כי "במציאות הנוכחית בה אנו חיים לא צריך להיות מומחה גדול במחשבים במטרה להסב נזק חמור". דויטש מחדד כי את הדוגמא הטובה ביותר ניתן לתת באמצעות ZeroDay. דויטש מסביר כי "מדובר בעצם על מציאת פגיעות בתוך שורות הקוד של תוכנה מסוימת שטרם הוציאו לה טלאי מסודר, מה שיכולה להיות דרך מעולה לגרום לתוכנה לחוסר תפקוד ואף להשבית את כולה". אוקי, אתם בטח אומרים שצריך להיות גאון מחשבים בשביל לזהות את זה – נכון, אבל אם יש לכם די כסף, תוכלו לשכור מישהו אחר שיעשה זאת בעבורכם. רסילבסקי מפרט כי "כיום ישנו שוק שחור ענף של ZD שמוצעים למכירה ואף ניתן לפנות בפורומים מסוימים ולבקש ZD לתוכנה מסוימת, מערכת מסוימת או אפילו לארגון מסוים. עכשיו דמיינו לכם שאתם מבקשים ZD לתוכנה שמשתמשים בה מיליוני אנשים ברחבי העולם כגון Office Word המפורסמת של מיקרוסופט, מדובר על המוני בני אדם שיכולים ליפול לתרמית מאחר וכמעט כולנו משתמשים בה. הנזק אשר עשוי להיגרם בגין פרצות ZD יכול להגיע לסכומים של עשרות אלפי דולרים ואפילו לטפס למילוני דולרים, ביחס להשקעה יחסית מועטת".

מכאן השמים הם הגבול, תאגידים חזקים ובעלי ממון רב לא יהססו לשפוך "כסף קטן" במטרה לראות את המתחרות שלהן מפסידות כספים או במקרה הטובה יותר נעלמות מהנוף. אך לא רק חברות משתמשות ביכולות האלה, שני מומחי האבטחה אף מציינים כי ישנם גם ארגוני פשע שכבר שנכנסו למרחב הסייבר וממבצעים פעולות סחיטה מאתרים וחברות גדולות. כאשר החברה מודעת לפרצה שקיימת בשורות הקוד של התוכנה שלה, מתחיל מירוץ כנגד השעון בו היא צריכה לשחרר טלאי באופן מהיר כדי להבטיח שלא יוסב כל נזק ללקוחותיה. הדוגמא המעולה ביותר לכך היא מיקרוסופט, שרבים מנסים לתקוף את מערכת ההפעלה שלה ומרבית הוירוסים מפותחים עבור חלונות. מיקרוסופט מפרסמת מעת לעת עדכון שתפקידו לסגור פרצות כאלה או אחרות ובכך דואגת לספק הגנה למשתמשים באופן רציף. לעומתה, אפל משחררת על פי רוב עדכונים בתדירות נמוכה יותר על אף שהיא יודעת שגם היא עשויה להיות חשופה למתקפות. דויטש ורסילבסקי מסבירים: "אין כיום שום מערכת סגורה שאינה ניתנת לפריצה. הנחת העבודה היא שכבר נפרצת, השאלה היא מה עושים עם זה עכשיו".

התמונה המצטיירת כאן היא בהחלט בעייתית, כיום במרחק כמה קליקים גורמים מסוימים יכולים להשיג גישה מלאה לחשבונות הבנק שלנו, למאגר התמונות שלנו, לחשבונות משתמש באתרי מכירות שונים ואף לגנוב לנו את הזהות (מישהו אמר מאגר ביומטרי?). אך אחרי שהצגנו לכם את נבואות הזעם והוכחה למרחב הסייבר הבעייתי בו אנחנו נמצאים, אתם בוודאי שואלים את עצמכם "היכן הם, המנעולים והשומרים של עולם הסייבר?" ובכן, לא חשבתם שנשאיר אתכם ככה ללא תשובה, נכון? אז בכתבה השנייה בסדרה, בעזרת שני מומחי האבטחה המנוסים שלנו, נגבש עבורכם מספר טיפים ועצות כיצד להימנע מלהשאיר את הדלת פתוחה עבור אותם האקרים וכיצד לדאוג לכם, קוראנו היקרים, להישאר מוגנים ככל שניתן. ועוד דבר קטן, על פי שני המומחים, האנטי וירוס שלכם לא באמת יעזור…

תרם בהכנת הכתבה איתי דגן

*לחדשות נוספות בעולם הטכנולוגיה והגאדג'טי תנו לייק בעמוד הפייסבוק שלנו!