כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בשנתון הסייבר המיוחד ביוני 2012.

לחצו כאן לכתבה המקורית כפי שהופיעה בשנתון הסייבר

מערכות ההגנה מפני התקפות סייבר  על מחשבים ורשתות מבוססות רובן ככולן על הגנה פאסיבית. מערכות אלו משתמשות במנגנונים ושיטות לזיהוי פעילות פוגענית והתקפות כגון וירוסים, סוסים טרויאנים, תולעים ועוד. השיטות הן בדרך כלל פאסיביות, כלומר, מערכות ההגנה בוחנות את הפעילות התקשורתית ברשת המקומית או במחשב ומנסות לזהות את התקיפה ללא התערבות בפעילותו של התוקף או של כלי התקיפה. בעת גילוי הפעילות הזדונית, מערכות אלה יכולות לעבור לשלב האקטיבי בו הן חוסמות את התוקף או משמידות את כלי התקיפה (למשל, הוירוס). מעבר לכך, המערכות הפאסיביות הן בדרך כלל במצב תמידי של מגננה. הן לא יודעות מהיכן תגיע ההתקפה ובאיזה צורה אבל הן יודעות שבסוף היא תגיע – הן יושבות במחפורת ומחכות לבואה ומקוות שהן יצליחו לזהות אותה בזמן לפני שהיא מצליחה לחדור את קווי ההגנה הוירטואלים.

התפיסה המקובלת מאז ומעולם בעולם הסייבר הינה, שמטרת אמצעי ההגנה היא לזהות ולחסום את התוקף מהר ככל האפשר ולהפסיק את פעילותו הזדונית בהקדם האפשרי. התקווה של מערכות ההגנה היא שאפילו אם וירוס מתוחכם או תולעת חדשנית יצליחו לחדור, די מהר יתגלו עדויות לתקיפה וניתן יהיה לעדכן את אמצעי ההגנה כך שיוכלו לחסום אותם.

לאסטרטגיית הגנה זו יש מספר חסרונות עיקריים. מצד אחד, המגן מוגבל מבחינת יכולת הזיהוי הפאסיבית שלו ותמיד יהיו כלי תקיפה חדשים יותר שיידעו לחלוף על פניו. כלומר, המגן יודע להגן רק מפני מה שהוא מכיר או יודע לזהות באמצעות כליו. מצד שני, בעת גילויו של התוקף או כלי התקיפה, המגן חוסם אותו ואף משמידו במידת האפשר. בפעולה זאת, המגן מאבד מידע מודיעיני רב ערך שעשוי היה להועיל לו רבות לשם שיפור מערך ההגנה שלו ואף מעבר לכך.

במאמר זה נציג גישה שונה לאסטרטגיית ההגנה המקובלת. גישה זו משלבת אלמנטים של הגנה אקטיבית, בה המגן עובר ממצב פאסיבי של המתנה לתוקף (מתוך תקווה שלא יגיע) למצב אקטיבי בו המגן מחכה בקוצר רוח לתוקף ומשלב שיטות, שדווקא יגרמו לתוקף לבצע את התקיפה.

לשם ההמחשה, בואו נסתכל על דוגמא בידיונית  מעולם הביון. נניח שמדינה מסויימת מגלה שיש מרגל שהושתל במתקן רגיש כגון כור גרעיני. על פי אסטרטגיית ההגנה הפאסיבית, הגוף המגן מבצע תחקירים ביטחוניים לעובדיו וניטור של פעילותם על מנת לזהות גורמים עוינים בתוך האירגון. בהנחה שפעילות המרגל עוררה חשד והוא זוהה על ידי המגן,  מיד עם חשיפתו של המרגל, על פי ההגנה הפאסיבית הוא יחוסל. ברור שעם חיסולו תיפסק פעולת הריגול אותה הוא ביצע אך ברור עוד יותר שעם חיסולו מאבד המגן מידע חיוני כגון עבור מי הוא עבד, מה הנזק שהוא גרם לו עד כה, מה כוונות מפעיליו לעתיד וכו’. בנוסף, ייתכן שמרגל חי עדיף על מרגל מת וניתן היה להשתמש בו נגד מפעיליו.

 לפי אסטרטגיית ההגנה האקטיבית, המגן לא מחפש את המרגל על ידי ניטור של פעילות עובדיו וחיפוש מאפיינים חריגים אלא הוא מנסה להערים על המרגל על מנת שזה יבצע טעות ויחשוף את עצמו. כלומר, המגן מטמין מלכודות ומנסה למשוך את המרגל על מנת שיפול באחת מהן. למשל, המגן יכול להשאיר את הדלת לאחד החדרים הרגישים ביותר בכור פתוחה במתכוון  ולבצע מעקב סמוי אחר הנכנסים מתוך כוונה שאחד האנשים הבלתי מורשים שיימשכו למלכודת וייכנסו לאזור הרגיש הינו מרגל. עם נפילתו של המרגל למלכודת וחשיפתו, המגן עובר לשלב הבא בו הוא מבצע מעקב רצוף אחר פעולותיו, ללא ידיעתו של המרגל. כלומר, המגן יודע מיהו המרגל אך הוא לא עוצר אותו או מפסיק את פעילותו. באופן זה, המגן יכול לדעת מהן כוונותיו של המרגל, איזה מידע הוא אוסף, מהן שיטות הפעולה שלו, מיהם מפעיליו, האם ישנם מרגלים אחרים עימם הוא נמצא בקשר וכו’. מדובר במידע שערכו לא יסולא בפז ולמעשה הוא מאפשר לתוקף ללמוד בצורה הטובה ביותר את שיטות הפעולה של המרגל ואת הנזק אותו הוא גרם. בשלב האחרון של ההגנה האקטיבית, המגן מבצע “הכפלה” של המרגל ללא ידיעתו. כלומר, המגן מאפשר למרגל להמשיך את פעולת הריגול אך המידע אותו גונב המרגל ומעביר למפעיליו איננו המידע האמיתי שקיים במתקן אלא כל מידע בדוי או מוטה אותו רוצה המגן להעביר למפעילי התוקף. למשל, המגן יכול להטעות בדרך זו את מפעילי המרגל כך שיחשבו שמועד הפיכתו של הכור הגרעיני למבצעי הינו רחוק במספר שנים מהמועד האמיתי.

כפי שניתן לראות, ההגנה האקטיבית  הופכת בשלב מסויימת לסוג של התקפה כנגד התוקף המקורי אפילו מבלי שהתוקף מודע לכך שהוא נמצא תחת מתקפה.

 הגנה אקטיבית בעולם הסייבר

באופן דומה לעולם הביון, גם בעולם הסייבר אנו עוסקים במרגלים וכלי ריגול למיניהם כגון תולעים, וירוסים וסוסים טרויאנים. גם כאן, הכלים הפוגעניים מבצעים מגוון פעולות ריגול. החל מאיסוף מידע רגיש, דרך לימוד הרשת כשלב מקדים לתקיפה עתידית ועד לביצוע פעולות הרסניות כגון השבתת צנטריפוגות וכיבוי מתקנים אסטרטגיים.

 כיצד ניתן ליישם הגנה אקטיבית בעולם הסייבר?

לצורך כך יש לשנות גישה ולתקוף את הבעיה מכיוון שונה לחלוטין בו נוקטת אסטרטגיית ההגנה הפאסיבית. לפי ההגנה האקטיבית, המגן יוזם פעולות אקטיביות שמטרתן הינה למשוך אליו את התוקף ולגרום לו לבצע את התקיפה בתנאים אותם מגדיר המגן ובסביבה הנוחה לו. המגן למעשה מייצר עבור התוקף פרצות באופן מכוון כדי למשוך אליהן את התוקף. מכיוון שהמגן מודע לפרצות האלה שכן הוא יצר אותן, הוא יכול לנטר אותן ולזהות מתי כלי מסויים מנסה לחדור דרכן. למשל, המגן יכול להשאיר פתוח שירות (port) מסויים במחשב ולאפשר לכל אחד לחדור דרכו. בדומה לדוגמא של המרגל והדלת שהושארה פתוחה, המגן מטמין לתוקף מלכודת ומקווה למשוך אותו בדרך זו וכך גם לחשוף אותו. מלכודות אלא נקראות בעולם הסייבר HoneyPots, מלכודות דבש. המגן יכול לייצר רשת שלמה של מלכודות דבש ובאופן הזה לדמות רשת שלמה באירגון ולא רק מחשב יחיד. רשת כזה מכונה HoneyNet, רשת דבש.

בדרך כלל, המלכודות יוטמנו באיזור נפרד מהרשת האמיתית של האירגון על מנת לצמצם את הנזק במידה והתוקף יחדור פנימה וינסה לפגוע ברשת האמיתית. למעשה, המגן מייצר עבור התוקף עולם וירטואלי המכיל רשתות, מחשבים ומשתמשים וירטואלים שכל מטרתו היא למשוך אליו את התוקף ולגרום לו ליפול למלכודת ולהיכנס לעולם מקביל זה ולא לרשת האמיתית של האירגון. עולם זה לא מכיל את המידע הרגיש הנמצא באירגון וכל פעילות פוגענית בו לא יכולה להשפיע על הרשת האמיתית של הארגון ולכן לא יכולה לפגוע בצד המגן בשום אופן.

בדרך זו המגן יכול לזהות ולחשוף את התוקף ללא שימוש באמצעי ההגנה המסורתיים (כגון אנטי-וירוס, חומות אש וכו’) אלא חשיפתו תתבצע עקב נפילתו למלכודת. אולם מעבר לגילויו של התוקף, השימוש במלכודות המייצרות פרצות עבור התוקף גורם לו לנסות לחדור אל האזור הפרוץ יותר, אליו קל לו לחדור (פירצה קוראת לגנב), ולא לאזור המוגן יותר, כגון הרשת האמיתית של הארגון. כתוצאה מכך, העולם הוירטואלי רווי המלכודות המפתות שיוצר עבור התוקף ירחיק אותו ללא ידיעתו מהרשת האמיתית ולמעשה יחזק באופן ניכר את מערך ההגנה המסורתי.

לאחר חשיפתו של הכלי הפוגעני, יכול המגן לעבור לשלב הבא בו הוא לומד את דרכי הפעולה של התוקף, דרכי ההתקשרות של הכלי התוקף עם מפעיליו המרוחקים (ובדרך זו הוא יכול לזהות את שרתי השליטה והפיקוד איתם הוא מתקשר), הדרכים בהם הוא משתמש להזליג מידע רגיש מחוץ לארגון, מהות המידע אותו הוא אוסף ומטרתו (למשל, מיפוי הרשת כשלב מקדים לתקיפה), האיזורים בתוך הארגון בהם הוא מתעניין (למשל, מסמכים מסויימים המאוחסנים בשרת קבצים מסויים), דרכי ההתפשטות שלו וההדבקה של מחשבים אחרים וכו’.

כתוצאה מכך, המגן יכול לבנות תמונה מודיעינית שלמה על התוקף ולאפיין את דרכי פעילותו באופן מדוייק. מהצד ההגנתי, המגן יכול להשתמש בנתונים אותם הוא אסף לגבי התוקף על מנת לזהות כלי תקיפה אחרים בעלי מאפיינים דומים. מהצד ההתקפתי, המגן יכול ללמוד דרכי תקיפה חדשות ולהשתמש בהן לצרכיו ובכך לשפר את מערך התקיפה שלו.

בשלב האחרון של ההגנה האקטיבית, שלב “הכפלת” הכלי התוקף, המגן יכול ליצור עבור התוקף עולם תוכן שלם כרצונו. כלומר, המגן יכול לשתול ברשת הדבש הוירטואלית מסמכים בדויים כראות עיניו כך שהכלי התוקף יעבירם למפעיליו שיאמינו שמדובר במידע מהימן המגיע מרשת רגישה. למשל, המגן יכול לגרום לתוקפים לחשוב שתאריך הפיכתו של הכור למבצעי הינו רחוק במספר שנים מהמועד האמיתי. בנוסף, המגן יכול לגרום לתוקף להאמין שכל המחשבים בארגון מודבקים בכלי הפוגעני וביום פקודה התוקף יוכל להשבית את המערכות ולגרום לנזק משמעותי. בפועל, מכיוון שמדובר בעולם וירטואלי שנוצר עבור התוקף, ולא ברשת האמיתית של הארגון, כאשר תתקבל פקודת התקיפה ביום הדין, תמשיך הרשת האמיתית לעבוד כסידרה שכן הפעילות הזדונית תישאר כלואה בעולם הוירטואלי.

 במאמר זה סקרנו גישה שונה לאסטרטגיית ההגנה בעולם הסייבר. לגישה זו ישנם יתרונות רבים, והיא יכולה להוות מצד אחד כלי משלים לגישת ההגנה המסורתית, אך מצד שני היא יכולה גם להפוך את תמונת הקרב על פיה ולהכריע את הכף במלחמות הסייבר הקרבות ובאות.

אסטרטגיית ההגנה האקטיבית משלבת אלמנטים חדשניים ולא שיגרתיים שבאופן עקיף גם יכולים לשפר באופן ניכר את מערך התקיפה של הגוף המגן וכך להילחם בתוקף בשיטותיו הוא ולפנות את כלי התקיפה שלו כנגדו.

בעזרת אסטרטגיית ההגנה האקטיבית יכול המגן להפוך התקפות סייבר משמעותיות ביותר לאיום ממשי דווקא על הצד התוקף כך שההתקפה תהיה למעשה חרב פיפיות עבור הצד התוקף. שילובן של שיטות אלה במערך ההגנה יכול להוות תשובה הולמת להתקפות להם אנו עדים לאחרונה ולחזק באופן ניכר הן את מערך ההגנה והן את מערך ההתקפה.

 

כתבה זו פורסמה על ידנו בגירסא הדיגיטלית של עיתון הארץ.

פיגועי 9/11 במגדלי התאומים ובוושינגטון, הצונאמי שהיכה ביפאן והמשבר הכלכלי של 2008 תוארו כולם כברבורים שחורים, וגם בעולם הסייבר לא חסרים כאלה

במאה ה-16, כשרצו לומר באירופה שמשהו הוא בלתי אפשרי, לא ייתכן, נהגו להשתמש בביטוי “ברבור שחור”. מטבע לשון זה תיאר אירוע שלא יכול להתרחש במציאות, בדיוק כמו שעד אותה תקופה היה ברור באירופה שיש רק ברבורים לבנים ולמעשה לא קיים בטבע ברבור שחור. כלומר, כל העדויות ההיסטוריות עד לאותה תקופה דיווחו כי לברבורים יש נוצות לבנות בלבד ולכן המסקנה היא שאין דבר כזה ברבור שחור. בשנת 1697 העולם המערבי הוכה בתדהמה – באוסטרליה הרחוקה התגלו ברבורים שחורים.

כלומר, ההנחה החד משמעית שאין ברבורים שחורים הופרכה ברגע אחד על ידי תצפית אחת שהוכיחה את ההפך המוחלט. למעשה, צריך רק תצפית אחת שתפריך מאות שנים של עדויות היסטוריות. במאה ה-17 השתנתה משמעותו של הביטוי “ברבור שחור” ומאז הוא מצביע על כך שאירוע הנתפס כבלתי אפשרי יכול להתגלות מאוחר יותר כאפשרי ביותר.

בשנת 2007 הציג הפילוסוף נאסים טאלב את תאוריית הברבור השחור אותה הוא גיבש במשך מספר שנים. לפי הגדרתו של טאלב, ברבור שחור הוא אירוע החורג מעבר לצפוי באותה סיטואציה ואותו יהיה מאוד קשה לצפות. אירועים המוגדרים כברבורים שחורים הם בדרך כלל אקראיים ובלתי ניתנים לצפייה.

לברבור שחור יש שלוש תכונות עיקריות; ראשית, אירוע זה הוא חריג באופן שכמעט איננו מתקבל על הדעת בהתבסס על אירועים שהתרחשו בעבר. אירוע כזה הינו הפתעה גמורה ומוחלטת לצופה בו שיוכה בתדהמה לנוכח התרחשותו. שנית, לאירוע יש השפעה קיצונית ביותר על העתיד. ושלישית, למתבונן באירוע לאחר התרחשותו ישנו הרושם או האמונה שניתן היה לצפות אירוע זה מבעוד מועד.

מתוך כרזת הסרט ברבור שחור

ברבור שחור הינו high impact low frequency event – כלומר, השפעתם של אירועים אלה על העתיד הינה קיצונית אך תדירות התרחשותם נמוכה.

תיאוריית הברבור השחור גורסת כי מספר קטן של ברבורים שחורים מסביר כמעט כל דבר המתרחש בעולמנו. החל מהצלחתם של רעיונות, דרך פריחתן של דתות, פריצתן של מלחמות ועד לעלייתן ונפילתן של מעצמות, מדינות וכלכלות. יתר על כן, אפילו האירועים המשמעותיים ביותר בחיינו האישיים והזוגיים הינם למעשה אוסף של ברבורים שחורים. כלומר, ברבור שחור איננו בהכרח אירוע בעל השפעה בקנה מידע עולמי וייתכן שהשפעתו הקיצונית הינה על אדם יחיד, שהוא הצופה המופתע.

יום עצמאות שמח. למי בדיוק?

לדוגמא, נניח שתרנגולת חביבה מטופלת ברכות ומואכלת בנדיבות יום יום על ידי הלולן שלה. ככל שהימים עוברים, התרנגולת משמינה יותר ויותר, ומרגישה יותר ויותר בטוחה בחיים שלה, ביציבות הסביבה שלה ובלולן שלה. בכל יום שעובר עולה רמת האמון של התרנגולת בלולן הנאמן והמסור וכעבור מספר חודשים היא מגיעה לשיאה. מבחינת התרנגולת, כאשר היא מביטה על רצף אירועי העבר, היא מסיקה שמכיוון שכל יום היה יותר טוב מהיום הקודם לו, גם מחר יהיה יותר טוב מהיום. תהליך זה מכונה במדע בשם אינדוקציה – הסקת מסקנות ממספר מקרים פרטיים ומעבר לקביעה כללית. אם כל יום בעבר היה טוב אז מחר חייב להיות טוב גם כן.

ומה קרה לתרנגולת שלנו? היא התעוררה בבוקרו של יום המחר וגילתה את האמת הנוראה. בניגוד לכל אירועי העבר, לטוב ליבו של הלולן, לסיפור חייה המופלא ולנסיונה העשיר,היום הוא ערב יום העצמאות ובעוד מספר שניות ייגדע באחת פתיל חייה וגופה יועלה לזבח על המנגל הקרוב…

כלומר, ערב יום העצמאות הוא ברבור שחור עבור התרנגולת שכן הוא עומד בשלושת התנאים: אירוע חריג שמהווה הפתעה מוחלטת לצופה בו (התרנגולת המסכנה), לאירוע יש השפעה קיצונית על העתיד (למעשה הוא כל כך קיצוני שהוע גודע את עתידה של התרנגולת) ורגע לפני מותה נוצר בה הרושם שניתן היה לצפות זאת (לא סתם נעלמו חברותיה בחול המועד פסח).

מצד שני, אירוע זה הוא ברבור לבן עבור הלולן שכן הוא זה שהפך אותה בכוונת תחילה לסטייק עוף…

הדוגמא המפורסמת ביותר המתארת ברבור שחור הינה אירועי ספטמבר 2001 בארה”ב, מתקפת המטוסים על מרכז הסחר העולמי והפנטגון. אירוע זה עומד גם כן בשלושת התנאים המגדירים ברבור שחור. ראשית, אין ספק שהוא היה חריג וכל מי שצפה בו בכל מקום בעולם הוכה בתדהמה. שנית, השפעתו על העתיד ניכרת היום בכל שדה תעופה בעולם. רמת האבטחה עלתה באופן ניכר וממשלות ממשיכות להעלות אותה יותר ויותר, דבר המשפיע באופן ניכר על התנהלות הנוסעים ועל המשאבים האדירים שהוקצו לשם כך. ושלישית, במבט לאחור התגלו ראיות חותכות להתחזוקתה של תנועת אל קאעדה וכוונתה ליזום אירוע משמעותי ואפילו ישנן עדויות שמסרים סמויים הועברו דרך האינטרנט ע”י פעילי הארגון טרם ביצוע ההתקפה.

איזה אירועים נוספים מוגדרים כברבורים שחורים?

כמעט כל אירוע משמעותי עליו שמעתם או חוויתם – מלחמת העולם הראשונה, מלחמת יום הכיפורים, הצונאמי באינדונזיה ב-2003, רעידות האדמה בפקיסטאן ב-2005 ובסין ב-2008, המשבר הפיננסי הגדול ב-2008 והנפילה של יותר מ-30% במחירי הבתים בארה”ב, רעידת האדמה בהאיטי ב-2010 בה נהרגו מעל 300 אלף איש, גל החום הקטלני ברוסיה ב-2010, דליפת הנפט במפרץ מקסיקו ב-2010 שגרמה נזק סביבתי אדיר ונזק כלכלי של עשרות מליארדי דולרים, קריסת הבזק של הבורסות בשנת 2010, רעידת האדמה והצונאמי ביפן ב-2011 והאסון הגרעיני שנגרם בעקבותיה ואפילו אי השקט והמהפכות במזרח התיכון בשנים האחרונות.

מה לגבי ברבורים שחורים בעולם הטכנולוגי?

גם כאן, כמעט כל אירוע הנתפס כיום כגדול ומשמעותי הינו למעשה ברבור שחור. החל מהמצאת המחשב האישי, דרך המצאת האינטרנט, עלייתן של חברות הענק מיקרוסופט, גוגל ופייסבוק, ואפילו הסמארטפונים וה-app stores למיניהן. כל אלה ועוד רבים וטובים אחרים הם למעשה אוסף של ברבורים שחורים שעיצבו את עולמנו הטכנולוגי וממשיכים להשפיע עליו בכל יום ויום.

ברבורים שחורים בשירות מלחמת הסייבר

רבות דובר על מלחמות הסייבר, מטות הסייבר, לוחמת הסייבר, נשק יום הדין של עולם הסייבר וכיוצא בזה. האם גם כאן האירועים המשמעותיים הם למעשה ברבורים שחורים?

בואו ניקח לדוגמא שניים מאירועי הסייבר הגדולים ביותר בעת האחרונה. הראשון הוא תולעת ה-Stuxnet והשני הוא וירוס ה-Flame שנחשף ממש בימים אלה.

על פי דיווחים שונים, תולעת ה-stuxnet פגעה באופן ניכר במאמץ הגרעיני של איראן. התולעת תקפה את הבקרים של הצנטריפוגות ושינתה בהם את ההוראות. התולעת יועדה לשנות את מהירות הסיבוב של הצנטריפוגות עד לסדיקתן והתפוצצותן. בנוסף, התולעת הכילה מספר מרכיבים שגרמו להטעיה של מפעילי הכור ושל חוקרי התקלות שארעו בו כך שאיתור התולעת ואופן פעולתה ארכו זמן רב. כלומר, התולעת השביתה הלכה למעשה את פעילותו של הכור הגרעיני.

לעומת זאת, על פי הדיווחים האחרונים בכלי התקשורת, וירוס ה-Flame גנב מידע רגיש ממחשבים ואירגונים שונים במזרח התיכון כאשר רוב התקיפות היו באיראן. הווירוס אסף מסמכים מסווגים ומידע רגיש, הקלטות אודיו וצילומי מסך של המחשבים והעביר אותם לשרתים מרוחקים. כלומר, בניגוד לתולעת ה-Stuxnet שגרמה לנזק ישיר (השבתת הכור הגרעיני), נראה שה-Flame נועד להיות בעיקר כלי איסוף מודיעיני.

האם תולעת ה-stuxnet ווירוס ה-Flame הם ברבורים שחורים עבור איראן?

ראשית, אלמנט ההפתעה ביחס לתולעת ה-stuxnet. על פי דיווחים זרים, מתקני הגרעין באיראן מאובטחים ומוגנים הן מפני איומים פיזיים והם מפני איומים וירטואליים ואיומי סייבר. רשתות התקשורת במתקני הגרעין הינן מבודדות מהאינטרנט, וקבורות כמה מטרים טובים מתחת לאדמה. בנוסף, רשת הייצור במתקני הגרעין עובדת בפרוטוקול SCADA ועד לאותה התקפה כמעט ולא היו עדויות להתקפות המיועדות ספציפית לפרוטוקול זה.

למרות כל אמצעי האבטחה וההפרדה בין רשתות הייצור המאובטחות היטב לרשתות החיצוניות, הצליחה התולעת לחדור פנימה ולפגוע בלב ליבו של המתקן הגרעיני בצורה כה מתוחכמת אותה איש לא חזה. יתר על כן, על פי הפירסומים התולעת השתמשה במספר תחבולות שנראה כאילו נלקחו מסרטי המתח הטובים ביותר. למעשה, מה שנראה היה כמשימה בלתי אפשרית התבצע בחוכמה ובערמומיות מעוררת השתאות, דבר שללא ספק השאיר את האיראנים פעורי פה.

לעומת זאת, נכון לרגע זה, לא ברור מהו אלמנט ההפתעה ביחס לוירוס ה-flame. כרגע איראן ממלאת פיה מים ועל כן לא ניתן לדעת אילו מחשבים הותקפו, מה המידע שנגנב, האם היה נזק נוסף ומה היתה מידת ההפתעה של האיראנים בעת גילוי הוירוס. אומנם איראן הודתה כי הוירוס הצליח לחדור למספר ארגונים ולגנוב מידע אך נראה שכמו במקרה של stuxnet, רק בעוד מספר ימים או שבועות תתגלה התמונה המלאה יותר ואיתה גם תתבהר מידת ההפתעה של האיראנים. במידה ויתברר למשל שהוירוס אכן היה היה פעיל במחשבים האיראנים במשך שנים רבות ללא ידיעתם, או שהוירוס אכן גרם להשבתת מסופי הנפט באיראן ולזליגתו של מידע מודיעיני רב ערך שהיה קבור במעמקי האדמה או במחשבים מסווגים ביותר, ניתן יהיה לומר שגם במקרה של Flame, אלמנט ההפתעה הינו משמעותי עבור האיראנים.

שנית, אלמנט ההשפעה על העתיד ביחס לתולעת ה-stuxnet. השפעת התולעת על תוכנית הגרעין האיראנית היתה עצומה, הן מבחינה מוראלית והן מבחינה מעשית. ישנן עדויות כי התקפה זו עיכבה את תוכנית הגרעין של איראן במספר חודשים ואף שנים. בנוסף, בעקבות ההתקפה החליטו האיראנים לבסס את התוכנות שלהם במתקני הגרעין על קוד המפותח על ידם בלבד ולא להשתמש בקוד חיצוני שעלול להכיל תולעים נוספות. דבר זה מצריך הערכות מיוחדת, הכשרה של מהנדסים והקצאת משאבים לא מעטים, כמו גם עיכוב של תוכניות הפיתוח. ברמה העולמית, השפעת תולעת ה-Stuxnet על עולם אבטחת הסייבר היתה משמעותית ביותר וגרמה להפניית משאבים רבים לטובת התמודדות מול איומים דומים בעתיד. היא הוכיחה שהבלתי אפשרי הוא למעשה מציאותי ועל כן גרמה לשינוי בתפיסת האבטחה של מדינות וממשלות והצריכה שינוי משמעותי בהערכת האיומים בעולם הסייבר.

לעומת זאת, כרגע לא ברור מהו אלמנט ההשפעה על העתיד ביחס לוירוס ה-flame. ברור כי העולם (או לפחות אמצעי התקשורת ) נמצא בסוג של פאניקה וייתכן שרמת הפראנויה באיראן אף עלתה בעקבות החשיפה אולם ימים יגידו כיצד השפיע הווירוס על עולם האבטחה באופן כללי ועל איראן בפרט. במידה ואיראן תנקוט באמצעים קיצוניים, כגון החלפת מערכות המיחשוב בכל הארגונים הרגישים, ניתוק כללי מרשת האינטרנט של ארגונים שלמים, השבתת רשתות המחשב באירגונים ומוסדות ממשל, כיבוי מתקנים רגישים וחיוניים וכו’, ניתן יהיה לומר שגם ההשפעה על העתיד היתה משמעותית. גם כאן, יש לחכות עד שלהבות הווירוס תדעכנה והעשן יתפזר במעט על מנת שניתן יהיה לבנות תמונת מצב ברורה יותר.

שלישית, עדויות רטרוספקטיביות להתקפה על איראן. לאורך כל השנים האחרונות ישנן עדויות לא מעטות לשימוש בסוסים טרויאנים, zero-day attacks, דלתות אחוריות ושאר התוכנות הפוגעניות לביצוע התקפות ממוקדות על ארגונים ומתקנים. בנוסף, החדרת תולעים לרשת ע”י שימוש בהדבקה חיצונית (כגון, disk-on-key שמוכנס למחשב הנתקף) תוך עקיפת כל אמצעי ההגנה הינה טכניקה ידועה כבר מספר שנים. השימוש בסוכנים אנושיים המסייעים בביצוע ההתקפה (למשל בשלב החדרת התולעת לרשת או בעידכונה) הינו ידוע ומוכר לאורך ההיסטוריה, כמו גם עקיפת מנגנוני האבטחה המתוחכמים ביותר ע”י שימוש בהנדסה חברתית (social engineering). בנוסף, העולם המערבי היה ועודו נחוש לעכב את תוכנית הגרעין האיראנית כמעט בכל מחיר וגם להשיג מידע מודיעני רב ערך מתוך ארגונים מסווגים ביותר באיראן. גם stuxnet וגם flame עומדים בתנאי השלישי בצורה מלאה.

קיום שלושת התנאים האלה עבור תולעת ה-stuxnet מראה שהתולעת אכן היתה ברבור שחור, וככל הנראה הברבור השחור המשמעותי הראשון שראינו בשמי הסייבר.
לגבי וירוס ה-flame, עדיין מוקדם לקבוע האם הוא ברבור שחור נוסף עבור איראן. לפי הנתונים שנחשפו כרגע הוא עדיין איננו ברבור שחור אך ייתכן מאוד שבעתיד הקרוב, עת תתבהר התמונה, ניווכח לדעת שאיראן אכן נפגעה ע”י ברבור שחור נוסף.

ניתן לומר בוודאות שברבורים שחורים אלה ואחרים מבשרים את העתיד ועוד נראה ברבורים שחורים רבים בעולם הסייבר. החוכמה היא להימנע מלהיות תרנגול יום העצמאות על ידי זיהוי איזורי החולשה והכנת תוכניות מגירה להתמודדות מול התרחשותם של האירועים החמורים ביותר על מנת להפוך את הברבור השחור ללבן. רק כך נוכל להגן על המערכות הרגישות ביותר שלנו ולהיות מוכנים למלחמת עולם הסייבר הממשמשת ובאה.

© 2017 Brainstorm Private Consulting Blog Suffusion theme by Sayontan Sinha