עוצרים את החפרפרת: הפיתוח הישראלי נגד הדלפה פנימית
פרשת ענת קם, מסמך גלנט וההדלפות לוויקיליקס גרמו לעולם האבטחה להבין שהאקרים חיצוניים הם כבר לא הסכנה היחידה. "מעתה יש צורך להתמודד עם איומים מבפנים", מסביר גיא רייזמן, ממפתחי מערכת מיוחדת שחוסמת הצגת קבצים חסויים במחשבים זרים. כשהציג את הפיתוח בכנס האבטחה "בלאק האט" - גילה עוד כמה מחדלי אבטחה שערורייתיים
כך קורה שבעוד הצבא משקיע, מן הסתם, משאבים רבים בהגנה מפני פריצות אבטחה עוינות מבחוץ - נקודת התורפה החמורה במערך האבטחה התגלתה דווקא כשמדובר היה במדליף פנימי, שהשתייך למערכת עצמה.
פרסום מסמך גלנט- אלא אם יתברר לבסוף כזיוף - והסערה הפוליטית בעקבותיו הוכיחו את ההשלכות שעלולות להיות להדלפת חומרים חסויים גם מתוך ארגון לא צבאי.
הפרשות הללו הולידו פיתוח טכנולוגי חדש, שמיועד להגן על מסמכים מסווגים. מערכת תוכנה זו, עליה שקדו מומחים מישראל ומארה"ב, הוצגה לאחרונה בוועידת הפסגה השנתית של ההאקרים, ,Black Hat and Defcon שנערכה בלאס-וגאס.
גיא רייזמן, סמנכ"ל פיתוח במיטב מוחות, העוסקת באבטחת מידע ממוחשב, שדרוג מערכות מחשבים ואנטי-האקינג, מספר שבתחילה התקשה לשכנע את שותפיו שמקרה ענת קם עשוי לשכפל את עצמו במערכות אחרות - ושיש צורך להתגונן גם מפני דליפות.
"בסופו של דבר הם שוכנעו", אומר רייזמן למעריב אונליין. "התוצאה: מערכת תוכנה המגינה על מידע ממוחשב לא רק מפני היכולת לתקוף אותו מבחוץ על ידי חדירה למחשב המאחסן אותו - אלא גם ובעיקר מפני האפשרות שמידע יועתק לדיסק-און-קי, תקליטור או כונן. לא ניתן יהיה לצפות במידע הזה, אלא רק על גבי מחשב המורשה לכך", הוא מסביר.
רייזמן מדגיש שהמערכת אף מונעת הדלפה של הקבצים השמורים במחשב מאובטח החוצה דרך הרשת: "תישלל האפשרות לחבר טלפון למחשב בו המידע מאוחסן ולשדר דרכו החוצה, או לשלוח קבצים מסווגים אלו בדואר אלקטרוני אל מחוץ למשרד בו נשמרו".
חברת מיטב מוחות ממוקמת בראשון לציון ומייצגת בישראל גם את החברה ,ZInstall עמה פותחה המערכת החדשה להגנה על מסמכים מסווגים. הם הציגו את המערכת בכנס במועד נוח במיוחד מבחינתם: "היה לנו תזמון מדהים", מספר רייזמן. "בדיוק ביום בו הצגנו את הטכנולוגיה שלנו, נחשפה ברעש תקשורתי גדול דליפת 90 אלף מסמכים סופר-מסווגים של צבא ארה"ב לאתר 'ויקיליקס' וממנו לתקשורת הארצית, בהם נחשפו פעילויות חשאיות שונות באפגניסטן. במובנים רבים, יש דמיון בין שתי הפרשיות".
"הפרשה הבהירה לכל העוסקים באבטחת מידע שבעולם מסתמנים עתה שינויי מגמה מהותיים: בעוד שעד כה המיקוד היה בהתגוננות מפני פורצים למחשבים הפועלים מחוץ לארגון שסומן כמטרה, מעתה יש צורך להתמודד בתחכום גדול עם איומים מבפנים", מציין רייזמן.
"הנושא רגיש לא רק לצבא ולמערכות ביטחון", הוא מדגיש, "זה נכון גם לגבי עסקים ובנקים - כאשר קיים חשש מגניבות מידע פנימי או סודות עסקיים שניתן לעשות בהם שימושים זדוניים רבים".
טובי המוחות בעולם בתחום התכנסו יחדיו במשך 5 ימים בכנס - ההאקרים הפורצים לצד אלו שאמורים להתגונן מפניהם. כל צד הציג את פרצות האבטחה, חולשות מערכות ההגנה והפריצות המתוחכמות ביותר בהן נתקל, וכיצד ניתן היה להתמודד עמן.
רייזמן מספר כי הזווית הישראלית, דווקא לא גנבה את ההצגה. "ה'שוס' הגדול היה של ההאקר בארנבי ג'ק. הקהל נפל מהכיסאות. שאגות צחוק ליוו את ההדגמה המדהימה שלו". ג'ק חשף חורי אבטחה חמורים ביותר בכספומטים. בעזרת תוכנת תקיפה מרחוק שפיתח, אילץ כספומט לפלוט כסף בקצב מסחרר, מבלי להשתמש בכרטיס מגנטי או קוד זיהוי.
רייזמן מספר איך הצליח ההאקר לעשות זאת: "בארנבי סיפר שהזמין מיצרנית כספומטים ידועה כספומט לשימוש בביתו. זה בלבד עורר פרץ של צחוק. צריך להיות גאון מחשבים אמיתי כדי להתנהג בחוצפה שכזאת". שנתיים
"ההאקר גילה שהמנעול האוטם פיזית את מחשב הכספומט הוא פשוט, ובכל חנות אלקטרוניקה בארה"ב ניתן לרכוש את מפתח המאסטר עבורו", מחייך רייזמן. "כשהשיג את המפתח, הגישה למחשב הכספומט היתה חלקה: הוא בדק את את המעבד ואת התוכנה, וכן כיצד ניתן להתחבר אליו מרחוק, לתת לו פקודות, ואילו סיסמאות נדרשות", הוא מסביר.
באמצעות המידע שצבר, הצליח ההאקר לפרוץ כל כספומט: "במחשב הביתי שלו בנה בארנבי תוכנה שבלחיצת כפתור נתנה פקודה מרחוק לכספומט לפלוט שטרות ולהציג על המחשב אפשרויות לביצוע עיסקאות", מספר רייזמן.
ג'ק, מנהל חברת המחקר IOActive מסיאטל המתמחה בנושאי אבטחה, חשף את מערומיהם של יצרני הכספומטים. "הוא הראה שניתן להשתלט עליהם מרחוק ולא צריך לפרוץ אותם פיזית, וגם לא צריך להתקין בהם מצלמות זעירות כדי לגנוב בחשאי מספרי כרטיסים וקודים אישיים או להדפיס כרטיסים מזויפים", מתפעל רייזמן.
ההצגה של ג'ק בכנס לא נעלמה מעיניהן של יצרניות הכספומטים והמערכת הבנקאית האמריקאית, שהזדרזו להודיע כי יטפלו מיידית בחורי האבטחה.
הדלפת מסמכים מסווגים וחורי אבטחה בכספומטים לא היו המחדלים היחידים שנחשפו בכנס ההאקרים בלאס וגאס. בין השאר הודגם כיצד באמצעות ציוד זול וזמין ניתן ליצור "תא סלולרי" מדומה, המתחזה לתא של חברת סלולר רגילה, ולגרום לכל טלפון הפועל בסביבה להתחבר אליו.
רייזמן מסביר: "מרגע שהושגה ההתחברות, כל התקשורת עוברת דרך התא הזדוני. באמצעות מחשב ביתי ניתן לצותת לכל שיחה המתנהלת ברשת ה,GSM- כולל שיחות מוצפנות. האזנה לצד אחד יכולה להתבצע ממרחק של קילומטר אחד מהמחשב המצותת, ולשיחה דו-כיוונית ניתן להאזין ממרחק של עד 300 מטר".
רייזמן מוסיף כי "אמנם רוב הטלפונים פועלים כיום ברשת דור ,3 אבל ידוע שעקב בעיות תשתית בלא מעט מדינות, התקשורת מתנהלת בפועל עדיין בטכנולוגיית דור .2 האזנות סתר כאלו מאפשרות לגורם עוין לצותת לגורמי אכיפת חוק, ביטחון, מודיעין וביון - שלא לדבר על כך שהמאזין יכול לגנוב זהות, תכנים ונתוני מחשב (DATA) המועברים טלפונית".
דוגמה נוספת לסכנות שצופנים בחובם טלפונים סלולריים, היא שלל ההורדות הנפוצות לסמארטפונים. רקעים או שומרי מסך, למשל, שמשתמשים מורידים מאתרי אינטרנט, עלולים להתגלות כתוכנות זדוניות, שמעבירות בחשאי לשרת חיצוני הודעות טקסט, יומני שיחות, רשימות אנשי קשר ואף את מיקומו הגיאוגרפי של המשתמש התמים.
פרצת האבטחה, שנחשפה על ידי שני האקרים בכנס, בולטת במכשירי האנדרואיד של גוגל. "מדובר בגניבת מידע פרטי עשיר", מזהיר רייזמן. התברר כי גורם אלמוני בסין הוא שקולט את המידע - והחשד הוא שממשלת סין עומדת מאחוריו.
"מה בדיוק משיגים בגניבת המידע הזה עדיין לא ברור", טוען רייזמן. "החשד הוא שגורמי מודיעין סינים מתחקים כך אחרי אנשי ממשל בארה"ב. עובדה היא שכאשר נחשף חור האבטחה הזה, מיהרה ממשלת גרמניה להורות לעובדיה הבכירים לחדול להשתמש בסמארטפונים עד לפתרון הבעיה".
איום בקנה מידה גדול הרבה יותר מהווה חור אבטחה המאפשר לגורם עוין לבצע החשכה יזומה ולנתק את חשמל מרחוק לעיר שלמה באמצעות ציוד רדיו זול ופשוט. הפרצה נעוצה ברשת חכמה, שאותה נערכות חברות החשמל להפעיל ומיועדת לשלוט על חלוקת משאבי החשמל בצורה יעילה וחסכונית יותר.
בין השאר יותקנו על הרשת מונים חכמים ודו-כיווניים, והשליטה בהם תיעשה דרך האינטרנט או ברשת סלולרית פרטית. חור האבטחה יאפשר לפורץ להשתלט על רשת החשמל הזו, ואין צורך להרחיב לגבי ההשלכות שעלולות להיות לאקט שכזה. "נראה שהחור הוא מחדל משמעותי של חברות החשמל", אומר רייזמן. "כל הגורמים שקלונם נחשף בכנס הבטיחו לתקן את הליקויים בדחיפות - ומבחינתם זה אפילו אתגר מקצועי".
נא להמתין לטעינת התגובות
