כתבה זו פורסמה בגירסא הדיגיטלית של עיתון הארץ.

אתם קמים בבוקר, מסתכלים על האנשים שאתם מכירים כבר שנים, קוראים בעיתונים עליהם אתם מנויים, גולשים באתרי האינטרנט האהובים עליכם, צופים בסרטים ביו-טיוב, מאזינים למוזיקה האהובה עליכם באינטרנט ומסתכלים בפייסבוק על תמונות שלכם ושל אחרים. הכל נראה לכם כל כך מוכר, כל כך רגיל, כל כך תמים ולא מזיק. ומה אם לא כך הדבר? ומה אם בכל מקום ומקום יכול להיות מישהו שמסתיר מידע חשוב, מידע משמעותי שיכול להשפיע עליכם ועל סביבתכם בצורה כה קיצונית? האם באמת ניתן להסתיר מידע באופן כל כך טוב כך שאיש לא יחשוד במאומה? ובכן, זוהי אומנות הסתרת המידע.

לפני כאלפיים וחמש מאות שנה שלח היסטיאוס, השליט היווני של העיר מילטוס, הודעה חשובה לאחיינו אריסטגורס. ההודעה היתה כה חשובה וסודית וגילוייה ע”י גורמים זרים היה הרה אסון. היסטיאוס חכך בדעתו כיצד להעביר את ההודעה. הוא בחר את עבדו הנאמן ביותר בתור השליח אבל כיצד הוא יוכל להעביר את המסר הסודי ללא כל חשד. הרי הדרך לאריסטגורס ארוכה ואם העבד ייתפס יערכו עליו חיפוש ויתחקרו אותו. לכן אי אפשר להפקיד בידיו מכתב שעלול להתגלות וגם לא ניתן לספר לו מה ההודעה הסודית שכן הוא עלול להיבהל ולגלות אותה. לבסוף היסטיאוס מצא פיתרון ולאחר מספר שבועות יצא העבד הנאמן לדרך הארוכה, חלף על פני כל השומרים והחיילים והגיע ליעדו. כשפגש את אריסטגורס אמר לו משפט אחד: “יש בידי ידיעה חשובה ביותר מהיסטיאוס, אינני יודע מה ההודעה אך נתבקשתי למסור לך שעליך לגלח את שיער ראשי”. אריסטגורס המופתע עשה כן ולתדהמתו גילה על קרקפתו של העבד הודעה שקועקעה ע”י היסטיאוס והוסתרה לאחר מכן בעזרת שיערו של העבד שצמח בחזרה : “הגיע הזמן, צא לדרך, התחל את המרד בפרסים”.  זאת היתה יריית הפתיחה למרד הגדול של היוונים בפרסים. זאת גם הייתה ככל הנראה הפעם הראשונה בה השתמשו בסטגנוגרפיה להעברת מסרים סמויים.

מהי סטגנוגרפיה?
סטגנוגרפיה, בלטינית כתיבה מוסתרת, הינה אומנות הסתרת מידע ומסרים כך שכלפי חוץ הם ייראו תמימים ורגילים אך רק מי שאמור לקבל את ההודעה הסודית יוכל לקלף את שיכבת ההסתרה ולגלות את המסר הסמוי. השימוש בסטגנוגרפיה החל כפי שראינו לפני אלפי שנים ונמשך מאז לאורך כל ההיסטוריה ועד לימינו. מקובל לחלק את עולם הסטגנוגרפיה לשניים: הסתרה פיזית והסתרה דיגיטלית.

הראשונה היא בדיוק כמו בדוגמא של העבד שקועקע. הסתרה פיזית היתה נפוצה מאוד בכל המלחמות הגדולות, כולל מלחמות העולם הראשונה והשנייה והמלחמה הקרה. הקעקוע הוחלף בשיטות יותר מודרניות, נוחות ומהירות, כגון שימוש בדיו סתרים שהיה נפוץ בעולם הריגול לשם העברת מסרים ותקשורת חשאית מול מרגלים מעבר לקווי האויב.

בשנים האחרונות, עם ההתפתחות המהירה של העולם הדיגיטלי בכלל ועולם האינטרנט בפרט, הוחלפה הסטגנוגרפיה הפיזית בסטגנוגרפיה דיגיטלית. היתרונות הגדולים של השיטה הדיגיטלית הם שאפשר להסתיר הרבה מידע, בצורה טובה וחשאית, ולהעבירו תוך שניות מקצה אחד של העולם לקצהו השני באופן מוסתר ותמים לחלוטין. אם בשיטה הפיזית היינו מוגבלים לשימוש באמצעים פיזים בעזרתם מסתירים את ההודעה (כמו ראשו של השליח או מכתב עליו כותבים בדיו סתרים), בשיטה הדיגיטלית אפשרויות ההסתרה הן כמעט בלתי מוגבלות. למעשה ניתן להסתיר מסרים חשאיים כמעט בתוך כל מידע דיגיטלי העובר באינטרנט: תמונות, סרטים, שירים, מסמכים, גלישות באינטרנט, שיחות וידאו, אתרי חדשות, אתרי פורנו, פרסומות, משחקי אינטרנט, ערוצי רדיו וטלוויזיה באינטרנט ועוד ועוד.

הטענה הרווחת בעולם המודיעין הינה שאירגון אל-קעידה העביר לסוכניו מאות מסרים סמויים, טרם ההתקפה על ארה”ב ב-2001, ע”י הסתרתם בתוך תמונות שהועלו לאתר ebay. ידוע שארגוני טרור, כגון הג’יהאד, מדריכים את סוכניהם להסתיר מידע בתמונות וכן שארגוני מאפיה משתמשים בדרכים דומות לתקשורת חשאית. ב-2010 גילה ה-FBI שהרוסים מעבירים מסרים סמויים למרגלים שלהם בחו”ל ע”י שימוש בסטגנוגרפיה דיגיטלית.

סטגנוגרפיה ומערך הסייבר
בתקופה האחרונה אנו שומעים רבות על מלחמות הסייבר. אנו שומעים על הכלים המתוחכמים שמפותחים, על ההתקפות החדשניות, הסוסים הטרויאנים  והתולעים שגורמים נזקים בכל מקום. אנחנו שומעים על מטות סייבר שמוקמים ועל מערכי הגנה שנפרשים. אולם מה לגבי סטגנוגרפיה? האם גם לה יש קשר להתפתחויות האחרונות ולהערכויות העתידיות? כן, ועוד איך יש קשר.

ארגוני טרור וארגוני ביון המבצעים התקפות סייבר חשאיות נגד מערכות ממשלתיות, צבאיות ואזרחיות לשם גניבת מידע רגיש (מסמכים צבאיים, תרשימים מסווגים, זהויות, כרטיסי אשראי) או לשם התקפה קטלנית זקוקים לדרכים חשאיות להעברת מידע ופקודות. במקרה זה, התקשורת החשאית יכולה להתבצע מול המרגל האנושי שנמצא בתוך משרד ממשלתי או בתוך בסיס מודיעין או מול סוס טרויאני דיגיטלי שהושתל בתחנת כח. תקשורת מוסתרת בעזרת סטגנוגרפיה דיגיטלית מאפשרת את ביצוע התקשורת החשאית באופן כמעט בלתי ניתן לזיהוי ומהווה סיכון ממשי לביטחון הלאומי. ועל כן יש חשיבות עצומה לפתח ולשלב בתוך מערך הסייבר  שיטות לגילוי הערוצים החשאיים.

איך מתבצעת סטגנוגרפיה דיגיטלית?
הרעיון המרכזי של סטגנוגרפיה דיגיטלית הוא שניתן להסתיר את המסר החשאי ע”י ביצוע שינויים קטנים באמצעי הדיגיטלי (תמונה, סרט, שיר) כך שגם עין אנושית וגם אמצעי הגנה ממוחשב לא יוכלו להבחין בהם ולהבין שמדובר סטגנוגרפיה. שיטת הסטגנוגרפיה הדיגיטלית הידועה ביותר בעולם הינה הסתרת המסר החשאי בתמונה דיגיטלית הנשלחת באי-מייל, מוצגת ב-ebay, מפורסמת בפורומים או בפייסבוק.

מהי תמונה דיגיטלית?
תמונה דיגיטלית מורכבת ממאות אלפים ואף מליונים של נקודות קטנות, הנקראות פיקסלים. לכל פיקסל יש צבע משלו ואוסף כל הפיקסלים עם צבעיהם מרכיב את התמונות הדיגיטליות שאנו רואים בכל מקום באינטרנט. בתמונה ממוצעת יכול כל פיקסל לקבל צבע מתוך מגוון של כמעט 17 מיליון צבעים וגוונים. הצבע מתורגם למספר כך שכל פיקסל מיוצג באופן דיגיטלי ע”י מספר בין 0 לכ-17 מיליון. העין האנושית לא באמת מסוגלת לקלוט את המגוון העצום הזה של הצבעים ולשני פיקסלים בצבע אדום שנראים לעין האנושית בדיוק אותו הדבר יכול להיות ערך מספרי שונה. לדוגמא, בתמונה הבאה מופיעים שני ריבועים (פיקסלים) בצבע אדום, שניים בצבע שחור ושניים בכחול. לעין האנושית נראים שני הריבועים האדומים זהים אחד לשני, כמו גם השחורים והכחולים. בפועל יש הבדל קטן בגוונים והערכים המספריים של הריבועים שנראים בצבע זהה הינם שונים.

Different colors that look similar

לשם הפשטות, בואו ניקח את זוג הפיקסלים השחורים שנראים זהים אך ערכיהם המספריים שונים במקצת. נניח שהערך של הפיקסל השחור הימני הוא 1 ושל השמאלי הוא 2. כעת, נניח שיש לנו תמונה שחורה לגמריי, שמורכבת מפיקסלים שחורים בעלי הערך1, כמו הפיקסל הימני שלנו.  אם נחליף חלק מהפיקסלים האלה בפיקסלים בעלי הערך 2, כמו הפיקסל השמאלי שלנו, העין האנושית לא תקלוט את ההבדל ומבחינתה שתי התמונות (לפני השינוי ואחריו) ייראו זהות לחלוטין. כלומר, ביצענו שינוי מזערי בערך של פיקסלים מסויימים והחלפנו אותם בפיקסלים שנראים לעין בדיוק אותו הדבר אך בפועל התמונה השתנתה.

איך מסתירים את המסר החשאי?
נמשיך עם הדוגמא של התמונה השחורה. נניח שתמונה זאת מורכבת ממיליון פיקסלים שלכולם אותו צבע המיוצג ע”י המספר 2. כפי שראינו, נוכל להחליף כל פיקסל בתמונה בצבע המיוצג ע”י המספר 1  ואף אחד לא יוכל להבחין בכך. כלומר נוכל לבחור כרצוננו האם לפיקסל יהיה ערך אי-זוגי (1) או זוגי (2). נניח שאנחנו רוצים להסתיר בתוך התמונה מסר כתוב. בדומה לקוד מורס, נקודד כל אות ע”י רצף של חמישה מספרים זוגיים או אי-זוגיים. למשל, את האות A נייצג ע”י רצף של חמישה מספרים זוגיים: מספר זוגי ואחריו זוגי ואחריו זוגי ואחריו זוגי ואחריו זוגי. את האות B נייצג ע”י אי-זוגי, זוגי, זוגי, זוגי, זוגי. את האות C נייצג ע”י זוגי, אי-זוגי, זוגי, זוגי וכן הלאה את כל האותיות. באופן הזה כל אות מיוצגת ע”י רצף ייחודי של חמישה ערכים זוגיים או אי-זוגיים. על מנת להסתיר את המסר “Trust no one” אנחנו צריכים לשנות בתמונה 60 פיקסלים – חמישה עבור כל אות או רווח במסר החשאי. תחילה ניקח את חמשת הפיקסלים הראשונים בתמונה ונזכור שלכולם יש את הערך המקורי 2. האות T מיוצגת בקוד שיצרנו ע”י רצף של חמישה מספרים: אי-זוגי, אי-זוגי ,זוגי,זוגי,אי-זוגי. כלומר עלינו לשנות את הפיקסל הראשון, שני וחמישי בתמונה מזוגי (2) לאי-זוגי (1). בצורה זו נמשיך לשנות את הפיקסלים בהתאם לקידוד הרצוי, כפי שמתואר בתמונה הבאה.

Encoding of the secret message

מכיוון שבתמונה שלנו יש מיליון פיקסלים וכל חמישה פיקסלים מייצגים אות אחת מהמסר החשאי, ניתן להסתיר כ-200,000 אותיות בתמונה. את התמונה עם המסר החשאי נוכל לשלוח למשל באי-מייל אל היעד שלנו. מי שיבחן את התמונה לא יבחין בשום דבר מוזר או חשוד אך מקבל ההודעה שמכיר את שיטת ההסתרה שלנו יוכל לפענח את המסר החשאי. כל שעליו לעשות הוא לעבור על הפיקסלים מההתחלה ועד הסוף ולהחליף כל חמישה פיקסלים באות אחת לפי טבלת הקידוד שהגדרנו בהתאם לזוגיות/אי-זוגיות של ערכו המספרי של כל פיקסל.  בדוגמא הבאה הסתרנו מסר חשאי, סודי ואישי ביותר המכיל עשרות משפטים. התמונה העליונה הינה התמונה המקורית והתמונה התחתונה הינה התמונה המכילה את המסר החשאי – הן נראות זהות לחלוטין.

Original and hidden

אם אתם רוצים להתנסות בהסתרת מידע בתמונות, כנסו לאתר זה, בחרו תמונה בה אתם מעוניינים להסתיר מידע, כיתבו את המסר החשאי והאתר יבצע את ההסתרה עבורכם. לאחר מכן עקבו אחר ההוראות באתר המסבירות כיצד לחלץ אץ המסר המוסתר מתוך התמונה.

שיטות סטגנוגרפיה מתקדמות 
השיטה שהדגמנו להסתרת מסרים בתמונה הינה פשוטה וקלה למימוש אך ע”י שימוש בניתוח סטטיסטי של ערכי הפיקסלים בתמונה ניתן להבין כי היא לא כל כך תמימה כפי שהיא נראית לעין וככל הנראה בוצעו בה שינויים לשם הסתרת מידע. שיטות הסטגנוגרפיה שפותחו בשנים האחרונות הן מתוחכמות בהרבה ומערבות שימוש באלגוריתמים מתמטיים מורכבים המונעים כמעט כל זיהוי. שיטות אלה מפותחות ע”י מיטב המתמטיקאים בעולם ובסופו של דבר מוצאות את דרכן הן לארגוני טרור והן לארגוני ביון. בין היתר מדובר בהסתרות חזקות בתוך סירטוני וידאו, קבצי מוזיקה ופרוטוקולי תקשורת. שיטת סטגנוגרפיה טובה הינה נשק סייבר לכל דבר שבסופו של יום יכול לחרוץ גורלות של אנשים, אירגונים ומדינות.

הסתכלו ימינה, הסתכלו שמאלה, האם אתם עדיין בטוחים שהעולם סביבכם הוא כמו שהוא נראה או שמא מסרים חשאיים וסודיים מוסתרים בכל עבר? אכן, זוהי אומנות הסתרת המידע.

 

Jan 122012
 

במה מדובר ?

כל מי שצפה אי פעם בספורט מכיר ביטויים כמו “יד חמה”, “הוא רותח”, “נכנס לאזור”, “המומנטום איתם”, וכן הלאה, אבל למה באמת הכוונה? בשנת 1985 כאשר תומס גילוביץ, רוברט ולונה ועמוס טברסקי חקרו את התופעה הזאת בפעם הראשונה, הם הגדירו אותה כ: “… ביטויים אלה מבטאים את האמונה כי ביצועים של שחקן בתקופה מסוימת הם משמעותית טובים יותר מהצפוי על בסיס תוצאותיו של השחקן לאורך זמן”. המסקנה שלהם הייתה כי מה שאנשים נוטים לפרש כמו “יד חמה” הוא למעשה אשליה קוגניטיבית הנגרמת על ידי תפיסה שגויה של סדרות אקראיות. עד לאחרונה, היו ראיות מועטות, אם בכלל, היכולות לשלול את המסקנה שלהם. עם זאת, תור הזהב של המידע הזמין וכוח המחשוב הצית מחדש את הוויכוח הזה וסיפק הוכחות מפתיעות התומכות בקיומה של תופעה זו בענפי ספורט שונים.

יד חמה - תמונה: גור יערי

כדי להבין מה זה “צפוי”, נגביל את הדיון הנוכחי לתוצאות שניתן להגדיר באופן בינארי, כלומר הצלחות וכישלונות. הכוונה היא שבכל נסיון, התוצאה מוגרלת באופן אקראי עם סיכויי הצלחה כלשהם. עם ההגדרה הזאת, את המילים “…מהצפוי על בסיס תוצאותיו של השחקן לאורך זמן” ניתן לפרש כ: ההסתברות להצלחה בכל ניסיון היא בלתי תלויה בתוצאות הקודמות וסיכויי ההצלחה קבועים לאורך זמן.

 גילוביץ ולונה וטברסקי טענו כי סדרת תוצאות קליעות בכדורסל אינה נבדלת מסדרה שנובעת מהטלה חוזרת של מטבע לא מאוזן (ייתכן ולמטבע הסתברות ההצלחה שונה מ % 50). למרות השפעתו הרבה של מאמר זה בקהילה המדעית, מסקנות אלו נותרו שנויות במחלוקת. הרוב המכריע של אוהדי הספורט עדיין מאמינים כי לפעמים השחקנים אכן “בוערים”. עמוס טברסקי, תיאר את המצב ואמר: “השתתפתי כבר באלף ויכוחים על הנושא הזה, זכיתי בכולם, אבל לא שכנעתי אף אחד”. סטיבן ג’יי גולד כתב “כולם מכירים את ה”יד החמה”. הבעיה היחידה היא כי לא קיימת תופעה כזו. “

הייתכן כי האוהדים צדקו אחרי הכל? התשובה היא קצת מורכבת ותלויה במשימה הספציפית, אך הנתונים מרמזים כי היד חמה אכן קיימת ולא רק בדמיון.

כאשר חוקרים תופעה זו, אחד מגורמי הסיבוך העיקריים הוא נוכחות היריב. ההסתברות להצלחה של המשימה אינה תלויה יותר ביכולת השחקן בלבד, אלא גם בביצועים ובאסטרטגיה של שחקני הקבוצה היריבה. שחקן ש”נכנס לאזור” צפוי לשנות את אסטרטגיית ההגנה של הקבוצה היריבה, מה שיגרור משימות קשות יותר עבורו. יתר על כן, ליריבים שונים יש כישורים שונים הגוררים משימות בדרגות קושי משתנות. גורמים אלו הופכים את משימת זיהוי היד החמה לקשה הדורשת מודלים מורכבים יותר. כדי להקל על משימה זו, ניתן ללמוד משימות עם הפרעות חיצוניות מינימליות.

אז איך אפשר להבחין בין “סדרה אקראית טהורה” (למעשה, הטלות חוזרות של מטבע) ומשהו אחר? לצורך זה, קיימת הסטטיסטיקה. מבלי להיכנס לפרטים טכניים של מבחנים סטטיסטיים שונים, נציין רק נקודה חשובה ביותר: העובדה כי מבחן סטטיסטי אינו מזהה תופעה, אינה אומרת כי תופעה זו איננה קיימת! מבחנים סטטיסטיים רבים נועדו לדחות את השערת האפס – העובדה שלא ניתן לדחותה אינה מעידה כי השערת האפס נכונה. ייתכן ובמקרה זה המבחן סטטיסטי אינו רגיש מספיק עבור סוג הנתונים והתופעה. ייתכן גם כי במקרה זה הנתונים אינה מספיקים כדי להניב תשובה החלטית. במקרה של תופעת היד החמה, התברר כי שתי האפשרויות התקיימו: מבחנים סטטיסטים ששימשו רבים מחוקרי תופעה זו לא היו רגישים מספיק. כמו כן במקרים רבים לא היו די נתונים כדי לקבל תשובה וודאית (ראו מצגת נפלאה של חתן פרס נובל בריאן ג’וזפסון על סוג זה של שגיאה חוזרת במדע ושני מאמרים על מבחנים לא מספיק רגישים שנעשה בם שימוש על מנת לזהות את תופעת היד החמה).

אז מה חדש?

עד לאחרונה, לא היו כמעט שום עדויות לנוכחות של תופעת “היד החמה” בספורט (ראו סקירה). עם זאת, לאחרונה, שיטות כריית נתונים ומבחנים סטטיסטים מסוימים השתפרו באופן דרמטי, ותופעת “היד החמה” קיבלה תמיכה בתחומים שונים. כמה דוגמאות הן (ראו גם כאן):
- זריקות עונשין בכדורסל (ראו מאמר קודם שלנו שמסוקר גם כאן)
- סטרייקים באולינג (המאמר האחרון שלנו והפרסום הקודם).
- סיכויי חבטה בבייסבול
- כדורעף
מקיום תופעת היד החמה נובע שלא, אי אפשר למדל סדרה של תוצאות ספורט של ספורטאי עם הטלה חוזרת של מטבע. התנודות שנצפו בין תקופות טובות ורעות היו גדולות מהצפוי על ידי תהליך אקראי בלתי תלוי.

דוגמה מעניינת נוספת הסותרת את קיום התופעה הוראתה בזריקות לשלוש בכדורסל – שם הודגם כי הנתונים מרמזים על “אנטי יד חמה”. אבל כאמור במסגרת כזו האסטרטגיה ההגנתית חשובה והיא צפויה להשפיע על הביצועים של השחקן – שחקן שיש לו “יד חמה” ימשוך יותר תשומת לב מההגנה – מה שיכול לשנות את דרגת הקושי של זריקות עתידיות.

דוגמאות אלו מראות למעשה קורלציה בין התוצאות הנוכחיות והתוצאות הקודמות, כך שביצועיו של הספורטאי הם לא רק תהליך אקראי בלתי תלוי. האם זה אומר כי “הצלחה מולידה הצלחה” ו”כישלון מוליד כישלון” או שזה משהו אחר?

מתאם (קורלציה) מול סיבתיות (קוזליות)

רוב האנשים יסכימו כי קיים קשר מובהק בין תנאי מזג האוויר ומספר האנשים שנושאים מטריות פתוחות – מספר זה גדל באופן משמעותי בימים גשומים. האם זה אומר כי מטריות נפתחו גורמות לגשם? האם מצאנו כרגע את הפתרון למשבר המים בארץ ולבצורת בכלל ?

 מתאם וסיבתיות מעורבבים תכופות יחדיו. מנקודת מבט סטטיסטית, זו שאלה קשה. המוח האנושי מחפש לעתים קרובות אחר “הסברים” ולכן נוטים רבים לפרש מתאם כסיבתיות. כדי להוכיח שמשהו גורם למשהו אחר, יש לבצע מחקרים מפורטים יותר ולא להסתמך על קשר סטטיסטי בלבד. מתאם הוא חיוני לסיבתיות, אבל לא מספיק.

למרות ההגדרה הנ”ל, חוקרים רבים מתייחסים לתופעת “היד החמה” כסוג של מנגנון “משוב” פסיכולוגי, אשר גורם לשינוי ביצועי ספורטאים כתוצאה מתוצאות העבר שלהם (סיבתיות). מה שאנחנו וחוקרים אחרים הראו לאחרונה הוא כי קיים מתאם בין התוצאות הנוכחיות והקודמות – אבל האם זה אומר כי התוצאות הקודמות משפיעות על ביצועי השחקנים בניסיונות הבא שלהם (סיבתיות)? במאמר שפורסם ב PLoS ONE, אנו (גור יערי וגיל דוד) מציגים ניתוח של תופעת “היד החמה” בנתוני באולינג. ניתחנו כ50,000 משחקי באולינג, שנלקחו מאתר האינטרנט של האגודה לבאולינג מקצועני (PBA). כל משחק היה מיוצג כסדרת מסגרות של אפסים ואחדות. אם יש “סטרייק” במסגרת מסוימת, זה נרשם כהצלחה (1), אחרת ככישלון (0).

הצלחנו לספק ראיות שמראות כי שחקנים חוו משחקים “טובים” ומשחקים “רעים”, שלא יכולים להיות מוסברים אך ורק על ידי אקראיות טהורה: כלומר, הסדרה לא יכולה להיות ממודלת כהטלה חוזרת של מטבע. תצפית זו מאמתת את קיומה של ה”יד חמה” בבאולינג, בדומה למחקרים קודמים בתחום זה. בנוסף, הראינו כי בתוך כל משחק, ההצלחות והכישלונות (כלומר, סטרייקים ולא סטרייקים) לא מקובצים יחד בצפיפות – להפך, הם מפוזרים באקראי בתוך כל משחק. לפיכך הראינו, כי תוצאה של מסגרת אחת אינה משפיעה על התוצאה של המסגרת הבאה באופן סיבתי – אם לשחקן הייתה הצלחה במסגרת הרביעית, זה כשלעצמו אינו משפיע על ביצועי השחקן במסגרת החמישית.

מצד שני הראינו, כי ניתן להשתמש בתצפית הראשונה של משחקים “טובים” ומשחקים “רעים” (מתאם) כדי לשפר את תחזית התוצאות של המסגרות האחרונות במשחק, בהתבסס על סדרת כל המסגרות הקודמות . במילים אחרות, העובדה כי שחקן השיג תוצאות טובות במהלך 8 מסגרות הראשונות מרמז כי מדובר במשחק “טוב” שלו/שלה ולכן ההסתברות ההצלחה במסגרות הנותרות תהיה גבוהה יותר.

אנלוגיה אשר עשויה לסייע להבין את התוצאות הללו היא לדמיין שני מטבעות:
המטבע הראשון הוא מטבע הוגן עם סיכוי של 50% לראש וסיכויי של 50% לזנב בכל הטלה.
תוצאות המטבע השני היא ראש בהסתברות של 99% עבור 50 הטלות (יום אחד), ואז זנב בהסתברות של 99% עבור 50 ההטלות הבאות וכן הלאה (ניתן לחשוב על זה כעל שחקן עם ימים מאוד טובים וימים מאוד רעים לסירוגין).
אם עכשיו, ניתנו בידכם שתי תוצאות רצופות של שני המטבעות: עבור המטבע הראשון, תוצאת ההטלה הראשונה לא משנה את העובדה כי התוצאה בהטלה השנייה תהיה ראש בהסתברות של 50%.
מצד שני, עבור המטבע השני (זה עם “יד חמה”), אם ההטלה הראשונה הייתה ראש – זה אומר כי ככל הנראה יש לו יום טוב ולכן, ההסתברות קבלת ראש בהטלה השנייה תהיה ~ 98% . לעומת זאת אם ההטלה הראשונה הייתה זנב, ככל הנראה זהו יום רע והסתברות קבלת ראש בהטלה השנייה תעמוד על ~98% .

 כפי שניתן לראות לשני המטבעות הסתברות של 50% להציג ראש בטווח הארוך ולשניהם ימים טובים וימים רעים. עם זאת, רק בתוצאות המטבע השני ניתן לזהות “יד חמה” – וזאת בגלל גודל התנודות בין ימים טובים ורעים (ימים טובים הם ממש טובים וימים רעים הם ממש רעים!).

 יתר על כן, תוצאות המטבע השני לא נובעות מסיבתיות – כלומר, התוצאה היא ראש (לדוגמה) כי ככל הנראה זהו יום טוב ולא מפני שההטלה הקודמת הייתה ראש.

תוצאות מחקר זה והאחרים שהוזכרו כאן מראים כי הביצועים של השחקן אינם מושפעים מתוצאות הניסויים הקודמים, אלא מגורמים אחרים הגורמים לסדרת התוצאות להיות מורכבת יותר מאשר סדרה פשוטה של הטלות מטבע חוזרות. למרות שאולי לחלקכם זה נשמע מובן מאיליו, זה לא היה מוסכם על הקהילה המדעית עד לאחרונה. תוצאות אלו פותחות את הדלת עבור מחקרים עתידיים שינסו לענות על שאלה חשובה יותר: מה באמת גורם לספורטאים לבצע טוב יותר את המשימה שלהם וכיצד הם יכולים להשתמש זה סוג של ידע כדי לשפר את הביצועים שלהם בעתיד.

 

כתבה זו פורסמה בגירסא הדיגיטלית של עיתון הארץ.

בתקופה האחרונה אנו עדים להתקפות רבות ומגוונות בעולם הסייבר. אנו שומעים על אתרי מסחר שנפרצים ומספרי כרטיסי אשראי של לקוחותיהם נגנבים, תולעים המתפשטות בעולם ומשתקות כורים גרעיניים, אתרי אינטרנט ממשלתיים שקורסים תחת התקפות וסוסים טרויאנים שגונבים מידע פיננסי רגיש מבנקים. כיצד ייתכן שעם כל המשאבים הרבים המושקעים (או לא?) בהגנת עולם הסייבר, עדיין ניתן לפרוץ כמעט לכל מערכת בעולם – בין אם היא באירן, ישראל או ארה”ב?

בעולם הסייבר מקובל לסווג את שיטות ההגנה לשתי קטגוריות עיקריות. הראשונה הינה הגנה המבוססת על זיהוי עפ”י חתימות והשניה מבוססת על זיהוי עפ”י אנומליות (חריגות, יוצאי דופן).

מה ההבדל בין חתימות לאנומליות?
בוא נקפוץ רגע החוצה מהעולם הוירטואלי לעולם האמיתי, אל הקניון הקרוב לביתכם.

בכניסה לקניון עומד מאבטח, שבוחן את מאות הנכנסים לקניון ומחפש ביניהם את אותו אחד שעלול לבצע פיגוע. טרם הצבתו בעמדה, המאבטח עבר הכשרה שבמסגרתה ניתנו לו מספר קווים מנחים לאיתור חשודים אפשריים. למשל, אם אנחנו בקיץ וחם מאוד בחוץ ופתאום נכנס לקניון מישהו עם מעיל פוך נפוח אז כדאי מאוד שתעצור אותו. או אם מתקרב לשער הכניסה מישהו המחזיק רימון ביד אחת, אקדח ביד השניה וחגורת נפץ סביב מותניו, זה סימן שהגיע הזמן לשלוף את האקדח שלך. בנוסף, הוא גם קיבל רשימה של קלסתרונים של חשודים אותם יש לעכב באופן מיידי ולמנוע מהם בכל מחיר מלהיכנס לקניון. למעשה, מה שהגדרנו כאן זו רשימה של חוקים או חתימות. אם אתה רואה כך וכך אז זה סימן שהגיע הזמן לפעול. כאשר המאבטח עוקב אחר הנכנסים לקניון ומשווה אותם (מראם החיצוני, פעילותם, התנהגותם) אחד לאחד לרשימת החוקים שהוכנה לו מראש הוא יכול לזהות ולעצור 100% מהאנשים העונים באופן מלא לאחד מהחוקים לאיתור חשודים. באופן הזה אנו משיגים הגנה מוחלטת ומלאה מפני איומים אותם ידענו לאפיין מראש ולתרגם אותם לסט של חוקים ברורים וחד משמעיים.

 אולם, מה קורה אם מגיעה לקניון אישה קשישה הנראית בשנות השמונים לחייה אשר נושאת על גבה צ’ימידן ולמותניה מחובר מנשא תינוק? המאבטח הנאמן שלנו מביט ברשימת החוקים שלו ולא מוצא אף חוק העונה לתרחיש הקשישה. למעשה אפילו ייתכן שמוגדר לו לא לעכב קשישים וקשישות לבדיקה. האם מערך ההגנה נפרץ לרווחה והמחבל שהתחפש לקשישה הצליח בקלות להערים על המאבטח ולהחדיר לקניון תיק עמוס חומרי נפץ?

Anomaly

לא, מערך ההגנה לא כשל והמאבטח העירני זיהה את האיום. אומנם המאבטח מודע לכך שהקשישה לא עונה לאף אחד מהחוקים שהוגדרו לו אבל השילוב של קשישה בת שמונים, צ’ימידן כבד על גבה ומנשא תינוק המחובר למותניה מוגדר באופן מיידי במוחו של המאבטח כמשהו חריג, לא הגיוני. זו אנומליה. משהו שאינו מתחבר בצורה הגיונית לכל מה שהוא ראה וחווה בעבר. משהו שמצריך עיכוב, בדיקה מעמיקה ווידוא שלא מדובר בנסיון התקפה מוסווה תחת מעטה נורמלי ורגיל. זאב בעור של כבש.

בעוד שמערכת החוקים הוגדרה באופן קשיח מראש, המערכת לזיהוי אנומליות הינה מובנית במוחו של המאבטח. היא מתבססת על כל מה שהוא מכיר עד כה, על כל מה שהוא למד במשך השנים, על השכל הישר וההגיון הפשוט. המוח הינו מנגנון משוכלל שיודע להתאים תרחישים לתבניות ולאתר באופן אוטומטי את החריג, את מה שלא מסתדר. את האנומליות. מנגנון זיהוי האנומליות הוא זה שמאפשר לו לאתר איומים חדשים עליהם לא שמע בעבר ולשפר לעין שיעור את מערך ההגנה.

הגנה בעולם הסייבר
כמעט כל מערכות ההגנה הוירטואליות המוכרות לכם הן מערכות המבוססות על חוקים וחתימות. החל מחומות אש, דרך מערכות רשתיות לזיהוי התקפות ועד למערכות ביתיות לזיהוי התקפות (כמו אנטי-וירוסים, אנטי-ספאם, אנטי-פישינג ועוד).

מה הוא חוק בעולם הוירטואלי ומי מגדיר אותו?
בשנת 2000 נשלח מהפיליפינים אי-מייל למספר משתמשים בעולם. בשורת הנושא נכתבה מילה אחת, ILOVEYOU, ולאי-מייל צורף קובץ אחד, LOVE-LETTER-FOR-YOU.txt.vbs. זו היתה יריית הפתיחה לאחת התולעים ההרסניות ביותר בהיסטוריה של עולם האינטרנט. כאשר משתמש קיבל את אי-מייל האהבה ופתח את מכתב האהבה המצורף, התולעת פגעה קשות במחשבו, לא לפני ששיכפלה את עצמה ושלחה מיילים דומים ל-50 אנשי הקשר המופיעים ראשונים ברשימת אנשי הקשר של המשתמש המותקף. אף מערכת אבטחה לא זיהתה את התולעת, ולכן גם לא מנעה מהמשתמש לפתוח את הקובץ המצורף. אולם חמור מכך, אף מערכת אבטחה לא מנעה את הפצתו הויראלית של המייל מהמחשב המותקף ל-50 אנשי הקשר שלו ועל כן לא נעצרה התפשטותה של התולעת הזדונית. לאחר עשרה ימים מאז ההפצה הראשונית של התולעת נדבקו מעל 50 מיליון מחשבים בעולם והנזק העולמי נאמד בכ- 6 מיליראד דולר!

Worm infection rate

כיצד ניתן לייצר (בדיעבד) חוק שיזהה את התולעת?
דוגמא לחוק אפשרי: אם מגיע אי-מייל שבכותרת מופיעה המילה ILOVEYOU ומצורף לו קובץ יחיד ששמו LOVE-LETTER-FOR-YOU.txt.vbs אז השמד את האי-מייל במיידי (בפועל, החוק גם יכיל חלק מהטקסט המופיע בתוך הקובץ המצורף). את החוק הזה תגדיר חברת האנטי-וירוס, שחקרה את התולעת והבינה איך לאפיין אותה ולייצר את החתימה שכרגע הגדרנו. כעת חברת האנטי-וירוס תשלח עדכון לכל תוכנות האנטי-וירוס של לקוחותיה, התוכנות יוסיפו לרשימת החוקים שלהן את החוק החדש, וכאשר יגיע אי-מייל העונה לחוק זה, תוכנת האנטי-וירוס תשמיד אותו לפני שהמשתמש יוכל לפתוח אותו ולהיפגע.
כלומר, תוכנות האבטחה מחזיקות מאגרים של חוקים וחתימות של תולעים, סוסים טרויאנים ווירוסים ובצורה זו הן יכולות להגן על משתמשים, אתרי אינטרנט ורשתות, בדיוק כמו המאבטח שלנו בקניון שהשווה כל אדם לרשימת החוקים לאיתור חשודים שהוגדרה לו מראש.

אולם, מה קורה אם מישהו מייצר גירסא חדשה של וירוס ILOVEYOU שהכותרת שלו היא Message from your lover ומצורף אליו קובץ בשם PICS-OF-YOUR-LOVER.pdf? החוק שהגדרנו לאפיון תולעת ה-ILOVEYOU לא תקף במקרה הזה, תוכנות האנטי-וירוס לא ימצאו התאמה למאגר החוקים שלהן והטרוריסט המחופש לגברת הקשישה יעבור בחופשיות אל תוך הקניון. בעולם האבטחה אנו קוראים להתקפה מסוג זה Zero day attacks – התקפה שלא נראתה בעבר ואף אמצעי הגנה לא מכיר אותה עדיין ולכן גם אין חוקים שיכולים לזהות אותה. מה שנדרש במקרה הזה הוא מערכת לזיהוי אנומליות.

מהי אנומליה באולם הוירטואלי וכיצד ניתן לזהות אותה?
הנה דוגמא למנגנון לזיהוי אנומליות, שיכול היה למנוע את התפשטות תולעת ILOVEYOU ודומיה. מנגנון זה לומד ומאפיין את הדרך בה שולח המשתמש אי-מיילים. הוא בונה לעצמו פרופילים שונים של התנהגויות המאפיינות שליחת אי-מיילים ע”י המשתמש. למשל, כאשר אני מפעיל מנגנון זה אצלי הוא בוחן את המיילים אותם אני שולח, בודק לאן אני שולח אותם ומתוך זה מאפיין באופן אוטומטי את קבוצות האנשים אליהם אני שולח מיילים. למעשה הוא בונה עבורי פרופילים שונים של התנהגויות אותן הוא ראה אצלי. לדוגמא, בשעות הבוקר אני שולח מיילים בעיקר לעובדים במשרד או ללקוחות, בשעות הערב אני שולח מיילים בעיקר לחברים, בסופי שבוע בעיקר למשפחה וקצת לחברים אבל לא ללקוחות ולעיתים רחוקות אני שולח לאנשי מקצוע (מוסך, אינסטלטור, חשמלאי). כל הלימוד מתבצע באופן אוטומטי והפרופילים המאפיינים את ההתנהגות המיילית שלי מתעדכנים כל הזמן. נדגיש כי בדוגמא הזאת פישטנו בהרבה את האופן שבו עובד מנגנון לזיהוי אנומליות ובפועל הוא בונה פרופילים מורכבים המתחשבים באלפי משתנים ופרמטרים.

כעת, נניח שאותה תולעת ILOVEYOU תקפה אותי והיא מנסה להתפשט ממני ולהדביק אחרים. זיכרו שתולעת זו משכפלת את המייל הזדוני ל-50 האנשים הראשונים המופיעים ברשימת אנשי הקשר שלי. אני מזמין אתכם לבצע תרגיל פשוט – פיתחו את רשימת אנשי הקשר שלכם והסתכלו על 50 האנשים הראשונים המופיעים ברשימה. מה משותף להם? האם יש קשר ביניהם? האם אי פעם בעבר שלחתם אל כולם את אותו המייל באותו הזמן? מה הסבירות שמייל שלכם יישלח אל כל ה-50 הראשונים באותו הרגע?

אצלי למשל מופיעים ברשימה 7 חברים (קשר יומיומי), 8 אנשים מהעבודה (קשר במשך היום), 8 לקוחות, 6 בני משפחה, 3 חברים לריצה (סופי שבוע), 4 חברים מהמילואים (פעמיים בשנה), סוכנת הנסיעות (פעמיים בחודש), המוסכניק (פעם בשנה), 5 חברים מהאוניברסיטה (לא בקשר) ועוד 5 (קשר מזדמן) ועוד שני אנשי קשר שאין לי מושג מי הם ואיך הם הגיעו לפנקס הכתובות שלי. שום דבר לא מקשר בין 50 האנשים האלה כקבוצה, מעולם לא שלחתי אליהם את אותו המייל באותו הזמן ואפילו לא שלחתי להם מיילים שונים באותו הזמן. אני מניח שאצל רובכם המוחלט המצב הוא דומה, ו-50 האנשים הראשונים שייכים לקבוצות שונות הנבדלות באופן מובהק אחת מהשניה.

כלומר, המייל הזה שתוכנת הדואר שלי מנסה לשלוח ל-50 האנשים הראשונים ברשימה הוא חריג, יוצא דופן, אנומליה. מנגנון הלימוד וזיהוי האנומליות שלנו יזהה זאת באופן מיידי שכן הפרופיל שלו חריג מאוד ולא דומה לשום דבר שהמנגנון ראה או למד בעבר. למרות שהתולעת שינתה את פניה, החליפה כיסוי, שינתה את הכותרת ואת התוכן, והיא איננה עונה על אף חוק שאופיין עבור ה-ILOVEYOU המקורי, מנגנון זיהוי האנומליות זיהה אותה באופן מיידי שכן ההתנהגות שלה (ולא רק התוכן) היתה חריגה ולא תאמה את המוכר והנורמלי.

בתמונה הבאה מוצג אוסף של מאות מיילים שנשלחו מהמחשב שלי. כל נקודה מייצגת אי-מייל אחד שנשלח. התמונה המתקבלת היא ענן של נקודות הנראות אקראיות לגמרי.

A random organization of the e-mails

מכיוון שכל אי-מייל מורכב ממאות משתנים המורכבים מיעד השליחה, תאריך ושעה, כותרת, תוכן, טקסט ומסמכים מצורפים, התמונה הכוללת חסרת סדר לחלוטין ולא ניתן להבין ממנה מה נורמלי ומה חריג.

כעת נראה מה מעלה הניתוח של המנגנון לזיהוי אנומליות. מנגנון זה יודע לנתח בצורה חכמה את מאות המשתנים המרכיבים כל אי-מייל, לאפיין אותם ולארגן אותם במבנים גיאומטריים בעלי משמעות. מבנים אלה הם כל כך ברורים שאפילו מישהו שאיננו מהתחום יכול לזהות את האנומליות בקלות.

בתמונה הבאה מוצג אותו אוסף של מאות מיילים לאחר שנותח ואורגן מחדש ע”י מנגנון זיהוי האנומליות. כל נקודה מציינת א-מייל שנשלח על ידי. ניתן לראות שהאי-מיילים מסודרים במבנה גיאומטרי ברור בצורת בננה. יש מיילים באיזור הכחול במרכז (מיילים לחברים), יש מיילים באיזור הצהוב מצד ימין (מיילים למשפחה) ומיילים באיזור הצהוב מצד שמאל (מיילים ללקוחות) ולמעשה כל ה”בננה” הגדולה מסמלת את האיזור הנורמלי שאופיין ע”י מנגנון האנומליות.

לעומת זאת, במרכז התמונה יש מספר נקודות בודדות בצבע אדום. נקודות אלה רחוקות מכל שאר הנקודות (בבננה הגדולה) והן מוגדרות באופן אוטומטי ע”י המנגנון כאנומליות – חריגות שאינן קשורות לאיזור הנורמלי. ואכן, כל הנקודות האדומות הן מיילים שהתולעת ניסתה לשלוח מהמחשב שלי על מנת להתפשט למשתמשים אחרים. מנגנון זיהוי האנומליות זיהה אותם בהצלחה והצליח לעצור את המיילים הזדוניים מבעוד מועד.

Detection of the worms

מכיוון שמנגנון זיהוי האנומליות של המאבטח מהקניון כמעט ולא קיים במוצרי האבטחה הקיימים היום בעולם הסייבר, אנו ממשיכים להיות עדים להתקפות, פריצות, חדירות וגניבות מידע. אומנם מנגנונים לזיהוי אנומליות אינם מספקים הגנה של 100% וגם להם יש מספר חסרונות אולם תרומתם למערך ההגנה הינה מכרעת. עד שלא ישולבו מנגנוני הגנה אלה באופן משמעותי ונרחב במערך הסייבר, ימשיכו כל מערכות המחשב למיניהן להיות פגיעות וחשופות להתקפות ההרסניות ביותר. ועדיין לא הזכרנו את הסוסים הטרויאנים שחודרים למערכות דרך אמצעי ההגנה ומחכים ליום הדין בו תינתן להם הפקודה לבצע השמדה כוללת ואז גם נגלה שגניבת מספרי כרטיסי האשראי היא הדאגה הקטנה ביותר שלנו…

מטה הסייבר, לתשומת לבך!

© 2017 Brainstorm Private Consulting Blog Suffusion theme by Sayontan Sinha