כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בגליון ספטמבר-אוקטובר 2012.

בקצהו של עולם האינטרנט קיים עולם אפל של מלחמות, פשע וריגול – רק צריך לדעת היכן לחפש…

לחצו כאן לכתבה המקורית כפי שהופיעה במגזין המודפס 

אחת האימרות הנפוצות בעולם האינטרנט היא שאם משהו לא מופיע בתוצאות החיפוש של גוגל הוא לא באמת קיים. אולם המציאות שונה לחלוטין. מנועי החיפוש כמו גוגל ודומיו מצליחים לגרד רק את קצה קצהו של עולם האינטרנט כאשר בפועל ישנו בבטןהאינטרנט עושר עצום של תכנים מעניינים ומרתקים עד מאוד וגם עולם חבוי ואפל של תככים, מלחמות, פשע וריגול. במאמר זה נצלול אל בטן עולם האינטרנט דרך שכבותיו השונות ונגלה עולם מופלא שרובינו לא מכירים.

מקובל לחלק את עולם האינטרנט למספר שכבות. השכבה העליונה המוכרת לכולנו מכונה בשם ה-Surface Web. השכבות התחתונות מכונות בשם Deep Web והן מרכיבות את הצד האפל של האינטרנט.

שכבת ה-Surface Web, המכונה גם בשם Clearnet, מכילה את כל הדפים אליהם ניתן להגיע באמצעות מנועי החיפוש הנפוצים כמו Google, Yahoo ו-Bing. מנועים אלה סורקים באמצעות crawlers את רשת האינטרנט וכך הם מציירים מעין מפה או אינדקס של כל האתרים והדפים אליהם הם הגיעו. שיטה זו מאפשרת להם לכסות את כל עולם האינטרנט הנגיש למנועי החיפוש ואוסף כל הדפים האלה מהווה את השכבה הראשונה באינטרנט.

לפי מספר הערכות, שכבת ה-Surface Web מכילה כמה עשרות עד מאות Terabytes של מידע שנמצא בעשרות מיליארדי דפי אינטרנט אליהם ניתן להגיע באמצעות מנועי החיפוש. שכבה זו מכילה רק אחוז קטן מהמידע הקיים בעולם האינטרנט – על מנת להגיע אל שאר המידע יש לצלול מתחת ל-Surface Web ולהיכנס אל הצד האפל של האינטרנט.

שכבת ה-Deep Web, המכונה גם בשמות Invisible Web ו-Hidden Web, מכילה את כל החלקים באינטרנט שאינם נגישים למנועי החיפוש של השכבה הראשונה. לפי הערכות שונות, שכבת ה-Deep Web מכילה כמה עשרות אלפי Terabytes של מידע הנמצא במאות מיליארדי דפי אינטרנט. כלומר, הצד האפל של האינטרנט גדול באלפי אחוזים מה-Surface Web כאשר קצב גדילתו של ה-Deep Web גדול בהרבה מקצב הגדילה של ה-Surface Web.

מקובל לחלק את שכבת ה-Deep Web לשתים – Layer 1 ו-Layer 2.

Deep Web Layer 1 מהווה את החלק המרכזי והגדול ביותר של ה-Deep Web. שכבה זו מורכבת מסוגים שונים של אתרים, דפים ומידע. סוג אחד של דפים בשכבה זו הוא Unlisted pages. כלומר, דפים שאינם רשומים באינדקסים של מנועי החיפוש. ישנן מספר סיבות לכך כאשר הנפוצה ביותר הינה דפים המיוצרים באופן דינאמי עי שרת האינטרנט כתוצאה משאילתה מסויימת של משתמש. למשל, שאילתה המכילה מילת מפתח מסויימת שגורמת לשרת האינטרנט לשלוף באופן דינאמי מסמך מסויים מבסיס נתונים אליו הוא מקושר. על מנת שמנוע חיפוש מה-Surface Web יוכל לגשת אל כל המסמכים בשרת הזה, הוא צריך לדעת לבצע את אוסף כל השאילתות המכילות את כל מילות המפתח האפשריות שיגרמו לשליפה של כל אחד ואחד מהמסמכים המאוחסנים בבסיס הנתונים. ברוב המקרים משימה זו בלתי אפשרית ועל כן כל אותם מסמכים ודפים ישארו חבויים מפני מנועי החיפוש.

סיבה נוספת להיותו של עמוד Unlisted היא בקשתו המפורשת של בעל העמוד. לדוגמא, סרטים מסויימים ב-YouTube שהגולש שהעלה אותם לאתר ביקש שהם לא יופיעו במנועי החיפוש ורק מי שיש לו לינק ישיר אליהם יוכל לגשת אליהם. במקרה זה, YouTube תייצר לינק עבור הסירטון, ובעל הסירטון יכול לשלוח למכריו מייל המכיל את הלינק אולם רק מי שניגש דרך הלינק יוכל להגיע אליו. מכיוון שלמנועי החיפוש אין דרך להגיע אל הלינק, הם לא יכולים להוסיף את הסירטון לאינדקס שלהם והסירטון יישאר Unlisted ב-Deep Web.

הסוג השני של הדפים בשכבת ה-Deep Web Layer 1 הוא אותם דפים שלמנועי החיפוש אין הרשאה להגיע אליהם. דפים אלה מכילים תוכן שרק משתמשים מסויימים יכולים לראותו, לאחר שהרשאותיהם אומתו אל מול האתר. למשל, חשבונות ה-Gmail או חשבונות הבנק של המשתמשים מוגנים בסיסמא ורק בעל הסיסמא יכול להגיע אל התוכן שלהם. במקרה זה, מנועי החיפוש מודעים לקיום החשבונות אולם אין להם דרך להכנס אליהם ולהוסיף את התכנים שבהם לאינדקסים שלהם. דוגמא אחרת היא אתרים הדורשים Membership של המשתמשים על מנת לגשת לתכנים שבהם, כגון קבוצות דיון ופורומים פרטיים. במקרים אלה, רק גולש שנרשם לאתר וקיבל שם משתמש וסיסמא יוכל לצפות בתכנים ואילו מנועי החיפוש לא יוכלו לגשת אל התכנים ולהוסיף אותם לתוצאות החיפוש שלהם. תכנים אלה יישארו חבויים ממנועי החיפוש של ה-Surface Web והם מהווים חלק מרכזי מה-Deep Web.

 ישנם מספר מנועי חיפוש שנבנו במיוחד לחיפוש ב-Deep Web. למשל, אתר usa.gov מאפשר למשתמש להגיע לאלפי Terabyte של מידע ממשלתי שאינו נגיש דרך מנועי החיפוש הרגילים.

הפוטנציאל הטמון בחיפוש ב-Deep Web Layer 1 הוא אדיר. אוקיינוס המידע מכיל תוכן עצום שרוב הגולשים אינם חשופים אליו ולכן מי שישכיל לחפור במידע הטמון שם יוכל להשיג יתרון משמעותי, למשל במגזר העיסקי, המודיעיני וכו‘.

 בתחתית הצד האפל של האינטרנט נמצאת השכבה התחתונה ביותר של עולם האינטרנט, שהינה Layer 2 של ה-Deep Web. שכבה זו, המכונה גם בשם Anonymous Web, או הרשת האנונימית, הינה חלק קטן ביותר מה-Deep Web אך היא מהווה מקור רב ערך עבור ארגוני מודיעין, פשע וטרור. בניגוד לשכבות העליונות של האינטרנט, בהן ניתן ברוב המקרים לקשר את האתרים והתכנים שבהם לבעליהם ואת הגולשים הוירטואליים למשתמשים האמיתיים שמאחוריהם, בשכבה זו האנונימיות הינה ערך עליון. בעלי האתרים והגולשים בהם הינם אנונימיים לחלוטין ואפילו התשלומים הוירטואליים המתבצעים בשכבה זו הינם באמצעות מטבעות וירטואלים אנונימיים. כפי שניתן לתאר, במקום בו יש אנונימיות כמעט מוחלטת, ניתן למצוא מגוון משתמשים. החל מגורמי ממשלה, ביטחון וביון, דרך האקרים, מרגלים, מהפכנים וחוקרים ועד לסוחרי סמים, חוטפים, מתנקשים ואנשי מאפיה.

חשוב להבהיר שהכניסה ל-Anonymous web מיועדת רק לאנשים שבקיאים ברזי האינטרנט, מבינים לעומק את הסכנות הטמונות בו, שולטים לחלוטין בתחומים של אנונימיות, התקפות ואבטחה ברשת ומוכנים לקחת את הסיכונים הרבים שנמצאים כמעט בכל פינה ב-Anonymous web.

על מנת להכנס לשכבה זו, לא ניתן לגלוש באמצעות דפדפן סטנדרטי כמו בשכבות העליונות. דרך אחת להיכנס לתחתית האינטרנט הינה באמצעות מערכת ה-TOR. רשת ה-TOR, The Onion Routing או ניתוב בצל בעברית, מאפשרת לכל גולש באינטרנט לגלוש בצורה אנונימית לחלוטין כאשר הגלישה ממנו אל אתר האינטרנט אליו הוא רוצה להגיע עוברת באופן מוצפן דרך מספר שרתי TOR המפוזרים במקומות שונים בעולם. הגולש מעביר את בקשת הגלישה שלו אל אחד משרתי ה-TOR המהווים שער כניסה לרשת ה-TOR. משם הבקשה עוברת לשרתים אחרים ברשת ה-TOR ולבסוף הבקשה יוצאת מאחד משרתי היציאה של רשת ה-TOR אל היעד הסופי של הגלישה, שהוא האתר אליו רצה לגשת הגולש באופן אנונימי. גלישה דרך רשת ה-TOR מאפשרת לגולשים לגשת בביטחה לאתרי אינטרנט מבלי שזהותם (כתובת ה-IP שלהם) תיחשף הן עי בעלי האתרים אליהם הם גלשו והן עי גורמים המנטרים את תקשורת האינטרנט של הגולשים (כגון גורמי ממשלה המנטרים את ספקיות האינטרנט במדינה).

חלק גדול מהתכנים ב-Anonymous web מאוחסנים על גבי שרתי אינטרנט המסווים את מיקומם עי שימוש ברשת ה-TOR. כלומר, הן הגולשים והן בעלי האתרים משתמשים ברשת ה-TOR על מנת להישאר אנונימיים. על מנת לגשת לתכנים באתרים האנונימיים האלה ב-Deep Web, הגולש חייב להשתמש בתוכנת TOR המאפשרת לו לגלוש אליהם דרך רשת ה-TOR.

הנחת המוצא של הגולש הנכנס ל-Anonymous web צריכה להיות שבכל שלב הוא עלול להיות מותקף ללא ידיעתו עי מיטב ההאקרים והתוקפים המשתמשים בנשק סייבר מתוחכם ומתקדם ועל כן את הכניסה לרשת האנונימית יש לבצע מתוך מחשב ייעודי או מחשב וירטואלי המנותק לחלוטין מכל רשת מחשבים ומשמש אך ורק לצורך זה ולא לשום פעילות אחרת של הגולש. כמו כן, מומלץ לנתק את כל האמצעים החיצוניים המחוברים למחשב כגון BT, GPS, מיקרופון ומצלמת רשת.

לאחר שנכנסים ל-Anonymous web באמצעות ה-TOR, מתגלה בפני הגולש עולם שלם שבמבט ראשון נראה דומה לעולם האינטרנט המוכר אך בפועל חוקי המשחק בו שונים לחלוטין. בחלק זה של העולם אין צנזורה, אין כללים, אין אכיפה של החוק ולמעשה הכל מותר בו, אפילו אם הוא בלתי חוקי בעליל.

דרך טובה להתחיל את המסע כאן היא להשתמש באתרי Hidden Wiki המכילים לינקים למספר לא מבוטל של אתרים. אחד מאתרי ה-Hidden Wiki נמצא בכתובת הזאת http://3suaolltfj2xjksb.onion/hiddenwiki/index.php/Main_Page אליה ניתן להגיע רק מתוך הרשת האנונימית כמובן.

למשל, אתר ה-Silk Road מהווה פלטפורמה הדומה ל-e-bay דרכה ניתן למכור או לקנות כל דבר. החל מסמים, דרך ציוד ריגול ועד לכלי נשק. התשלום מתבצע באמצעות המטבע הוירטואלי BitCoin אשר הינו אנונימי לחלוטין כך שקניה באמצעותו מסווה את זהותם של הקונים והמוכרים. למשל, אקדח גלוק מוצע למכירה תמורת 200 bitcoins שהם בערך 2,400 דולר אמריקאי. לאחר ביצוע הקנייה, האקדח נשלח מפורק בשלושה משלוחים שונים, כאשר כל חלק מוסווה למניעת זיהויו עי גורמי מכס וביטחון.

בנוסף יש לא מעט אתרים המאפשרים יצירה של פורומים וקבוצות דיון אנונימיות לחלוטין. באתרים אלה אפשר למצוא מידע רב, החל מקבצי מקור של סוסים טרויאנים ועד למדריכים מפורטים להכנת פצצות.

בזכות האנונימיות וחופש הביטוי המוחלט בשכבה זו, היא מהווה באופן טבעי קרקע פוריה להפצה של מידע מודיעיני או ממשלתי רגיש שהודלף באופן חשאי, אם ע”י האקרים, עובדים ממורמרים או חושפי שחיתויות (Whistleblowers). למשל, אחת הסברות היא שמאות המסמכים האמריקאיים הסודיים הנוגעים למתקן המעצר בגואנטנמו שפורסמו עי WikiLeaks, מקורם היה ב-Deep Web ולמעשה WikiLeaks העלה אותם מתחתית האינטרנט אל ה-Surface Web. בעוד שתכנים הנמצאים ב-WikiLeaks אפשר לחסום או להוריד מהרשת, אתרי ה-Anonymous web חסינים מפני צנזורה מכל סוג שהוא.

הרשת האנונימית גם מהווה גן עדן אנונימי לפדופילים וניתן למצוא שם לא מעט אתרים אנונימיים המכילים פורנו מהסוג הגרוע ביותר. אותם אתרים שהיו נסגרים תוך זמן קצר ב-surface web ובעליהם היו נשלחים לכלא, יכולים לפרוח בעין מפריע בזכות האנונימיות באזור זה של האינטרנט.

אולם לפעמים יש יוצאים מן הכלל. בסוף שנת 2011 יצא לפועל Operation DarkNet עי קבוצה של האקרים המזוהה עם ארגון אנונימוס. הקבוצה ביצעה תקיפה של אתר פדופילים בשם Lolita city המאוחסן ברשת האנונימית. התוקפים הצליחו לפרוץ אל האתר ולהשיג רשימה של מעל 1,500 פדופילים שהשתמשו באתר לצפייה וסחר בתמונות. לאחר מכן הארגון פירסם את פרטי הגולשים, כאשר בחלק מהמקרים פורסמו זהויותיהם האמיתיות, כולל שמות, כתובות מגורים, מספרי טלפון וכתובות אי-מייל.

חשוב לציין שחלק מהמידע בשכבה זו מושתל באופן מכוון עי גורמים ממשלתיים ומהווה פיתיון עבור פושעים למיניהם. המטרה היא שאותם פושעים ייתפסו ברשת עת הם ניגשים למידע הלא חוקי, יחשפו את זהותם וייעצרו עי גורמי האכיפה. למשל, ניתן למצוא לא מעט מתנקשים להשכיר ב-Anonymous Web (תשלום ממוצע להתנקשות הינו כ-20,000$) והסברה היא שחלק גדול מהם הושתלו עי ה-FBI מתוך מטרה לתפוס את שוכרי השירותים האלה.

הרשת האנונימית מהווה קרקע פורייה למגוון פעילויות בטחוניות בתחום הסייבר, הן מהצד ההגנתי והן מהצד ההתקפי. רשת זו מציבה אתגרים משמעותיים בפני הגופים הבטחוניים המעוניינים להשתמש בה לצרכיהם. למשל, ישנה חשיבות רבה לניטור שוטף של אתרי ה-Deep Web האנונימיים על מנת לאתר מבעוד מועד פעילויות לא חוקיות של טרוריסטים, פושעים והאקרים, אולם אותם כלי ניטור קונבנציונליים בהם משתמשים ב-Surface web אינם תקפים בתחתית העמוקה של האינטרנט. ארגוני מודיעין שישכילו לחקור ולנטר את הרשת האנונימית יוכלו למצוא שם החל ממסמכים מסווגים ביותר שהודלפו מאירגונים ביטחוניים וממשלתיים בעולם, דרך התארגנויות של תאי טרור ועד לסחר בנשק סייבר מתוחכם ומתקדם. ברוב המקרים, מידע זה קיים אך ורק בשכבה הזאת של ה-Deep Web ולא בשכבות העליונות של האינטרנט. לא מן הנמנע שבעתיד תעבור חלק מזירת ה-Cyber Warfare אל ה-Anonymous Web, כאשר התקיפות תתבצענה מתוך הרשת האנונימית אל ה-Surface web וכן אתרי שליטה ובקרה של Botnets יסתתרו במעמקי ה-Anonymous web. במקרים אלה, זיהוי מקור התקיפה וחסימתו יהוו אתגר מורכב עבור מערכי ההגנה.

 

 

כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בגליון יולי-אוגוסט 2012.

לחצו כאן לכתבה המקורית כפי שהופיעה במגזין המודפס 

בחודש אפריל השנה התקיימה ועידת אבטחה במדינת ווירג’יניה שבארה”ב. בועידה השתתף גם נציג הבית הלבן לענייני cybersecurity ושם הוא הודיע לראשונה שממשלת ארה”ב עוברת שלב במלחמתה כנגד אחד האיומים הקיברנטיים שמתרחבים באופן מהיר ביותר: ה-botnets. עד עתה למעשה לא נקטה ארה”ב צד פעיל במיוחד במאבק כנגד ה-botnets ומפעיליהם אולם לאור הגילויים האחרונים שחשפו כי בכל חודש מודבקים ומצטרפים מעל 4 מיליון מחשבים לצבאות הוירטואלים של ה-botnets, הודיע נציג הבית הלבן כי ארה”ב מכריזה מלחמה כנגדם. הבית הלבן הבין שאנו נמצאים בשלב קריטי במלחמה כנגד ה-botnets ואם נאחר את הרכבת אנו עלולים למצוא את עצמנו במלחמת הסייבר הבאה מתמודדים כנגד צבאות וירטואליים המורכבים מעשרות ואף מאות מיליוני מחשבים.

אם בעבר נחשבו ה-botnets כנחלתם הבלעדית של הפושעים באינטרנט, אשר השתמשו בהם למטרות spam, גניבת זהויות, הונאה, גניבת מידע רגיש כגון סיסמאות ומספרי כרטיסי אשראי, היום מבינים שבעתיד הלא רחוק יקחו ה-botnets חלק בהתקפות הקטלניות ביותר כנגד מדינות, מתקנים חיוניים, מוסדות פיננסים ועוד. למשל, התקפה של מיליוני botnets כנגד אתרי הבורסה בארה”ב יכולה לשתק את מרכז הפעילות הכלכלית לחלוטין.

למעשה, ארוע כזה כבר קרה בעבר. בחודש אפריל בשנת 2007 החלה התקפת סייבר מתואמת כנגד אסטוניה. ההתקפה, המכונה בשם DDoS – Distributed Denial of Service , בה לקחו חלק מספר botnets גרמה להשבתה של המוסדות החיוניים במדינה: החל ממוסדות ממשלה, דרך מוסדות פיננסים ועד עיתונים ואתרי חדשות. מלחמת סייבר זו, שההערכות מדברות כי בוצעה ע”י רוסיה, סיפקה לנו טעימה קטנה לגבי הכח העצום של צבא ה-botnets והיכולת להפנותו מ-cybercrime מסורתי ל-cyberwarfare עתידני.

מהם botnets, איך הם נוצרים ומי מפעיל אותם?

Botnet הינו רשת מבוזרת של מחשבים הפרוסים ברחבי העולם כאשר המחשבים ה”חברים” בה, ה-bots (המכונים גם זומבים), הם למעשה מחשבים של משתמשים תמימים שהודבקו בתוכנה זדונית כגון סוס טרויאני. אותה תוכנה גרמה להם להצטרף בחשאי, ללא ידיעת המשתמש החוקי של המחשב, לשורות רשת ה-bots ובכך להגדיל את ה-botnet. בעוד המשתמש החוקי של המחשב משתמש בו כהרגלו, הוא איננו מודע לכך שמחשבו גוייס לצבא הוירטואלי.

על אוסף ה-bots שנאספו ממקומות שונים בעולם שולט ה-bot herder, הגירסא הוירטואלית של רועה הצאן המסורתי. תפקיד ה-bot herder הוא לארגן את ה-bots ברשת שלו, להעביר להם פקודות לביצוע, לקבל מהם דיווחים מהשטח וכמובן גם להרחיב את ה-botnet ולגייס אליו חיילים וירטואלים חדשים.

לרשות ה-bot herder עומדות שיטות מגוונות לביצוע תקשורת עם ה-bots. למשל, ה-bot herder יכול ליצור מספר “ספינות אם”, mother ships, שהן למעשה אתרי אינטרנט תמימים למראה המפוזרים במקומות שונים בעולם ובהם הוא משאיר את ההוראות ל-bots. אתרים אלה מכונים גם command & control servers שכן באמצעותם שולט ה-bot herder ב-botnet ודרכם הוא מעביר להם פקודות. ה-bots יודעים (כלומר התוכנה הזדונית שמותקנת בהם) שבכל פרק זמן מסויים עליהם לגלוש בצורה אוטומטית לאחד מה-mother ships ולבדוק אם מחכות להם הוראות לביצוע, כגון לגנוב סיסמאות ממחשב המשתמש. הם גם יכולים לדווח לספינת האם על תוצאות הפעולות שהם ביצעו, להעלות אליה מידע שהם גנבו וכו’.

על מנת לפגוע בפעילות ה-botnet, יש להוציא מכלל פעולה את אחת מהחוליות שמרכיבות את צבא ה-botnet: ה-bots, ה-bot herder או האמצעי דרכו מעביר ה-bot herder את הפקודות ל-bots.

מכיוון ש-botnet מורכב מעשרות אלפי ועד עשרות מיליוני מחשבים תמימים, קשה מאוד לאתר את כולם ולהסיר מהם את התוכנה הזדונית, ובכך לחלץ אותם מה-botnet. מדובר במחשבים של משתמשים שכתובות האינטרנט שלהם משתנות כל הזמן ומיקומם מתחלף בכל עת ועל כן דרך זו לא ישימה בדרך כלל.

לעומת זאת, ה-bot herder הוא יחיד (או מורכב מקבוצה קטנה של מפעילים) ועל כן הוא מטרה נוחה יותר לאיתור. אולם, ה-bot herders הינם שועלי אינטרנט וותיקים שמכירים שיטות רבות לשמור על האנונימיות שלהם ובכך למנוע את איתורם. הם נעים במהירות, מחליפים זהויות ומתחבאים במקומות האפלים ביותר באינטרנט.

על כן, הדרך שנראית הכי מבטיחה לפרק botnet הינה להוציא מכלל פעולה את ערוץ השליטה ובקרה של ה-bot herder דרכו הוא מתקשר עם ה-bots. למשל, במקרה של ספינות האם המוסוות באתרי אינטרנט, יש לנתק אותן מהאינטרנט כך שאף bot לא יוכל לגשת אליהן ואף bot herder לא יוכל לתקשר דרכן עם ה-bots שלו. אולם גם משימה זו איננה פשוטה בכלל. ראשית, ספינות האם מפוזרות בדר”כ במדינות שונות אשר חלקן לא תשתפנה פעולה עם אותו גוף שמנסה להשבית את השרתים. שנית, ה-bot herders פיתחו שיטות מתוחכמות ביותר שמונעות את איתורן של ספינות האם. לדוגמא, הם משתמשים ב-bots רנדומליים מתוך ה-botnet שיהוו מתווכים הין שאר ה-botnet לבין ספינות האם. כלומר, אף bot לא ניגש ישירות אל ספינת האם אלא הוא ניגש ל-bot מתווך שמקשר בינו לבין ספינת האם. באופן הזה, כתובת האינטרנט האמיתית של ספינת האם מוסווית מאחורי כתובת האינטרנט של ה-bot המתווך ואף אחד לא יכול להגיע אל מיקומה האמיתי של ספינת האם. בנוסף, ה-bot herder דואגים להחליף בכל כמה דקות את ה-bots המתווכים ב-bots אחרים מתוך הרשת ובכך למעשה הופכים את ספינת האם למטרה הנעה במהירות מקצה אחד של העולם לקצהו השני בכל מספר דקות, דבר שהופך את איתורה של ספינת האם למשימה כמעט בלתי אפשרית. רשת כזאת מכונה fast flux network והיא יושמה בהצלחה במספר botnets בעבר שאחד המפורסמים שבהם כונה בשם Storm.

ההתמודדות אל מול ה-botnets הינה משימה קשה ומסובכת הדורשת משאבים רבים וכן שיתוף פעולה בין מדינות. הדוגמא המרתקת הבאה תמחיש עד כמה מורכבת המשימה.

בשנת 2009 הוקם ברוסיה botnet בשם BredoLab. בשיאו הכיל BredoLab צבא וירטואלי של כ-30 מיליון bots, עם קצב גיוס של 3 מיליון bots חדשים בכל חודש, והוא עסק בעיקר בפעילות החביבה על ה-bot herders, הפצת מיליארדי הודעות ספאם דרך האי-מייל בכל יום. הנתון היותר מעניין הינו שה-bot herder נהג להשכיר חלק מה-bots ברשת שלו לצד שלישי. כלומר, ה-bot herder פיקד על צבא של חיילים וירטואלים שהורכב מחטיבות שונות אותן הוא שיווק כצבא וירטואלי להשכרה לכל דורש. ההערכות הן שה-bot herder הרוויח באופן הזה מאות אלפי דולרים בכל חודש והצבא השכיר שימש גורמים שונים למגוון מטרות כגון תקיפה של אתרי אינטרנט, הפצה של תוכנות זדוניות, ספאם ועוד. ה-bot herder תיקשר עם ה-botnet דרך מערך של מעל 140 ספינות אם אשר הוסוו באתרי אינטרנט שהושכרו מספק אינטרנט הולנדי. בשנת 2010, כאשר גודל ה-botnet  הגיע כבר למימדים מפחידים, פשט כח משימה מיוחד של משטרת הולנד על מתקני ספק האינטרנט ההולנדי והצליח לאתר את כל ספינות האם שעגנו שם, להשתלט עליהן ולנתק אותן מהאינטרנט. בשלב זה נראה היה שדינו של BredoLab נחרץ שכן ערוץ השליטה של ה-bot herder הושמד. אולם למרות זאת ה-bot herder  ניסה להשתמש במספר דרכים על מנת להחזיר את שליטתו ב-botnet אך כולן נכשלו. במהלך אחרון של ייאוש, ה-bot herder פתח במתקפה מבוזרת כנגד הספק ההולנדי שבה השתתפו מעל 200 אלף bots בהם הוא עדיין הצליח לשלוט. מספר ימים לאחר מכן נעצר בארמניה ה-bot herder הראשי של BredoLab, בחור בן 27 בשם Georgy Avanesov. בחודש מאי השנה נגזר דינו ל-4 שנים בכלא בעוון פשעי מחשב חמורים.

בכך למעשה תם סיפורו של ה-botnet מהמסוכנים ביותר שנראו עד כה ושל מפעילו הראשי אולם סיפורו איננו נשלם. קבוצה חדשה של bot herders השתלטה בצורה מתוחכמת ביותר על מה שנשאר מ-BredoLab, הקימה מערך חדש של ספינות אם ברוסיה ובקזאחסטן ולמעשה החזירה לחיים לפחות חלק מה-botnet האימתני שככל הנראה נמצא בשימוש גם בימים אלה.

 החשש הגדול של ממשלת ארה”ב, כפי שהתחוור מדבריו של נציג הבית הלבן, הינו מוצדק לחלוטין. מה שבעבר היה נחלתם של אירגוני מאפיה ופשיעה באינטרנט, הופך כעת לכלי רב עוצמה של טרוריסטים, ארגוני גרילה וגם מדינות. גופים אלה ישתמשו ב-botnets  לא למטרות ספאם או הונאות אלא למטרות לוחמה קיברנטית גרידא: תקיפה רבת עוצמה של מוסדות ממשלה, מוסדות פיננסים, גופי צבא ומודיעין ותשתיות קריטיות. לדוגמא, התקפות כנגד בנקים ובורסות עלולות להשבית את הפעילות הפיננסית במדינה, התקפות כנגד תשתיות תקשורת עלולות לפגוע קשות בשירותי הטלפון, הסלולר והאינטרנט במדינה והתקפות כנגד תשתיות תחבורה וחשמל עלולות לעצור את תנועת הרכבות ולהחשיך ערים שלמות.

כאשר צבא של עשרות מיליוני bots מכל קצוות האינטרנט פותח במלחמה חזיתית ומתואמת מראש כנגד כל תשתית המחוברת לאינטרנט, קשה מאוד להתמודד מולו.

אז איך בכל זאת ניתן להתכונן למלחמת הזומבים?

במלחמה כמו במלחמה, היצירתיות והחשיבה מחוץ לקופסא יכולה להפוך את הקערה על פיה ודווקא איום רציני כמו botnet יכול להוות יתרון משמעותי למדינה הנתקפת. למשל, על ידי השקעת משאבים טכנולוגיים ומודיעיניים ניתן לאתר צבאות של botnets ברחבי האינטרנט. לאחר איתורם ניתן ללמוד את דרכי הפעולה שלהם, להבין את דרכי התקשורת שלהם מול המפעיל, לנתח את התוכנה הזדונית שמפעילה אותם ולמצוא בה חולשות אותן ניתן לנצל. מכאן והלאה אפשר לנקוט בשיטות מעולם המודיעין. למשל, ניתן לשתול באופן מכוון bots כפולים ב-botnet. מפעיל ה-botnet יחשוב שהצבא שלו גדל אך למעשה הוא מכיל כעת מרגלים שיכולים לדווח על תנועת ה-botnet וכוונות המפעיל שלו. בנוסף, בעת איתור ספינות האם של התוקף, במקום לנסות להשמיד אותן ניתן לגייס אותן ללא ידיעת התוקף לצד של המגן. באופן הזה, הצד המגן יוכל להעביר דרכן פקודות ל-botnet כרצונו. כאשר הצד המגן משיג שליטה ב-botnet ללא ידיעת המפעיל, הוא משיג יתרון עצום במערכה הקיברנטית. ביום פקודה, עת מפעיל הצבא הוירטואלי יפתח במלחמת חורמה קיברנטית, יוכל הצד המגן להוציא לפועל את התחבולה שלו ולהפנות בחזרה את הצבא הוירטואלי שהופנה נגדו כנגד מפעיל את ה-botnet עצמו (המדינה התוקפת או ארגון הטרור) או פשוט לשלוח פקודה שתשמיד את הצבא הוירטואלי של התוקף.

 ההבנה ששיטות אלה ואחרות יכולות מצד אחד לשפר את מערך ההגנה של המדינות אך מצד שני גם להעצים את כוחן במערכה הקיברנטית, תגרום להפניית משאבים חיוניים לצורך הוצאתן אל הפועל.

 

כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בשנתון הסייבר המיוחד ביוני 2012.

לחצו כאן לכתבה המקורית כפי שהופיעה בשנתון הסייבר

מערכות ההגנה מפני התקפות סייבר  על מחשבים ורשתות מבוססות רובן ככולן על הגנה פאסיבית. מערכות אלו משתמשות במנגנונים ושיטות לזיהוי פעילות פוגענית והתקפות כגון וירוסים, סוסים טרויאנים, תולעים ועוד. השיטות הן בדרך כלל פאסיביות, כלומר, מערכות ההגנה בוחנות את הפעילות התקשורתית ברשת המקומית או במחשב ומנסות לזהות את התקיפה ללא התערבות בפעילותו של התוקף או של כלי התקיפה. בעת גילוי הפעילות הזדונית, מערכות אלה יכולות לעבור לשלב האקטיבי בו הן חוסמות את התוקף או משמידות את כלי התקיפה (למשל, הוירוס). מעבר לכך, המערכות הפאסיביות הן בדרך כלל במצב תמידי של מגננה. הן לא יודעות מהיכן תגיע ההתקפה ובאיזה צורה אבל הן יודעות שבסוף היא תגיע – הן יושבות במחפורת ומחכות לבואה ומקוות שהן יצליחו לזהות אותה בזמן לפני שהיא מצליחה לחדור את קווי ההגנה הוירטואלים.

התפיסה המקובלת מאז ומעולם בעולם הסייבר הינה, שמטרת אמצעי ההגנה היא לזהות ולחסום את התוקף מהר ככל האפשר ולהפסיק את פעילותו הזדונית בהקדם האפשרי. התקווה של מערכות ההגנה היא שאפילו אם וירוס מתוחכם או תולעת חדשנית יצליחו לחדור, די מהר יתגלו עדויות לתקיפה וניתן יהיה לעדכן את אמצעי ההגנה כך שיוכלו לחסום אותם.

לאסטרטגיית הגנה זו יש מספר חסרונות עיקריים. מצד אחד, המגן מוגבל מבחינת יכולת הזיהוי הפאסיבית שלו ותמיד יהיו כלי תקיפה חדשים יותר שיידעו לחלוף על פניו. כלומר, המגן יודע להגן רק מפני מה שהוא מכיר או יודע לזהות באמצעות כליו. מצד שני, בעת גילויו של התוקף או כלי התקיפה, המגן חוסם אותו ואף משמידו במידת האפשר. בפעולה זאת, המגן מאבד מידע מודיעיני רב ערך שעשוי היה להועיל לו רבות לשם שיפור מערך ההגנה שלו ואף מעבר לכך.

במאמר זה נציג גישה שונה לאסטרטגיית ההגנה המקובלת. גישה זו משלבת אלמנטים של הגנה אקטיבית, בה המגן עובר ממצב פאסיבי של המתנה לתוקף (מתוך תקווה שלא יגיע) למצב אקטיבי בו המגן מחכה בקוצר רוח לתוקף ומשלב שיטות, שדווקא יגרמו לתוקף לבצע את התקיפה.

לשם ההמחשה, בואו נסתכל על דוגמא בידיונית  מעולם הביון. נניח שמדינה מסויימת מגלה שיש מרגל שהושתל במתקן רגיש כגון כור גרעיני. על פי אסטרטגיית ההגנה הפאסיבית, הגוף המגן מבצע תחקירים ביטחוניים לעובדיו וניטור של פעילותם על מנת לזהות גורמים עוינים בתוך האירגון. בהנחה שפעילות המרגל עוררה חשד והוא זוהה על ידי המגן,  מיד עם חשיפתו של המרגל, על פי ההגנה הפאסיבית הוא יחוסל. ברור שעם חיסולו תיפסק פעולת הריגול אותה הוא ביצע אך ברור עוד יותר שעם חיסולו מאבד המגן מידע חיוני כגון עבור מי הוא עבד, מה הנזק שהוא גרם לו עד כה, מה כוונות מפעיליו לעתיד וכו’. בנוסף, ייתכן שמרגל חי עדיף על מרגל מת וניתן היה להשתמש בו נגד מפעיליו.

 לפי אסטרטגיית ההגנה האקטיבית, המגן לא מחפש את המרגל על ידי ניטור של פעילות עובדיו וחיפוש מאפיינים חריגים אלא הוא מנסה להערים על המרגל על מנת שזה יבצע טעות ויחשוף את עצמו. כלומר, המגן מטמין מלכודות ומנסה למשוך את המרגל על מנת שיפול באחת מהן. למשל, המגן יכול להשאיר את הדלת לאחד החדרים הרגישים ביותר בכור פתוחה במתכוון  ולבצע מעקב סמוי אחר הנכנסים מתוך כוונה שאחד האנשים הבלתי מורשים שיימשכו למלכודת וייכנסו לאזור הרגיש הינו מרגל. עם נפילתו של המרגל למלכודת וחשיפתו, המגן עובר לשלב הבא בו הוא מבצע מעקב רצוף אחר פעולותיו, ללא ידיעתו של המרגל. כלומר, המגן יודע מיהו המרגל אך הוא לא עוצר אותו או מפסיק את פעילותו. באופן זה, המגן יכול לדעת מהן כוונותיו של המרגל, איזה מידע הוא אוסף, מהן שיטות הפעולה שלו, מיהם מפעיליו, האם ישנם מרגלים אחרים עימם הוא נמצא בקשר וכו’. מדובר במידע שערכו לא יסולא בפז ולמעשה הוא מאפשר לתוקף ללמוד בצורה הטובה ביותר את שיטות הפעולה של המרגל ואת הנזק אותו הוא גרם. בשלב האחרון של ההגנה האקטיבית, המגן מבצע “הכפלה” של המרגל ללא ידיעתו. כלומר, המגן מאפשר למרגל להמשיך את פעולת הריגול אך המידע אותו גונב המרגל ומעביר למפעיליו איננו המידע האמיתי שקיים במתקן אלא כל מידע בדוי או מוטה אותו רוצה המגן להעביר למפעילי התוקף. למשל, המגן יכול להטעות בדרך זו את מפעילי המרגל כך שיחשבו שמועד הפיכתו של הכור הגרעיני למבצעי הינו רחוק במספר שנים מהמועד האמיתי.

כפי שניתן לראות, ההגנה האקטיבית  הופכת בשלב מסויימת לסוג של התקפה כנגד התוקף המקורי אפילו מבלי שהתוקף מודע לכך שהוא נמצא תחת מתקפה.

 הגנה אקטיבית בעולם הסייבר

באופן דומה לעולם הביון, גם בעולם הסייבר אנו עוסקים במרגלים וכלי ריגול למיניהם כגון תולעים, וירוסים וסוסים טרויאנים. גם כאן, הכלים הפוגעניים מבצעים מגוון פעולות ריגול. החל מאיסוף מידע רגיש, דרך לימוד הרשת כשלב מקדים לתקיפה עתידית ועד לביצוע פעולות הרסניות כגון השבתת צנטריפוגות וכיבוי מתקנים אסטרטגיים.

 כיצד ניתן ליישם הגנה אקטיבית בעולם הסייבר?

לצורך כך יש לשנות גישה ולתקוף את הבעיה מכיוון שונה לחלוטין בו נוקטת אסטרטגיית ההגנה הפאסיבית. לפי ההגנה האקטיבית, המגן יוזם פעולות אקטיביות שמטרתן הינה למשוך אליו את התוקף ולגרום לו לבצע את התקיפה בתנאים אותם מגדיר המגן ובסביבה הנוחה לו. המגן למעשה מייצר עבור התוקף פרצות באופן מכוון כדי למשוך אליהן את התוקף. מכיוון שהמגן מודע לפרצות האלה שכן הוא יצר אותן, הוא יכול לנטר אותן ולזהות מתי כלי מסויים מנסה לחדור דרכן. למשל, המגן יכול להשאיר פתוח שירות (port) מסויים במחשב ולאפשר לכל אחד לחדור דרכו. בדומה לדוגמא של המרגל והדלת שהושארה פתוחה, המגן מטמין לתוקף מלכודת ומקווה למשוך אותו בדרך זו וכך גם לחשוף אותו. מלכודות אלא נקראות בעולם הסייבר HoneyPots, מלכודות דבש. המגן יכול לייצר רשת שלמה של מלכודות דבש ובאופן הזה לדמות רשת שלמה באירגון ולא רק מחשב יחיד. רשת כזה מכונה HoneyNet, רשת דבש.

בדרך כלל, המלכודות יוטמנו באיזור נפרד מהרשת האמיתית של האירגון על מנת לצמצם את הנזק במידה והתוקף יחדור פנימה וינסה לפגוע ברשת האמיתית. למעשה, המגן מייצר עבור התוקף עולם וירטואלי המכיל רשתות, מחשבים ומשתמשים וירטואלים שכל מטרתו היא למשוך אליו את התוקף ולגרום לו ליפול למלכודת ולהיכנס לעולם מקביל זה ולא לרשת האמיתית של האירגון. עולם זה לא מכיל את המידע הרגיש הנמצא באירגון וכל פעילות פוגענית בו לא יכולה להשפיע על הרשת האמיתית של הארגון ולכן לא יכולה לפגוע בצד המגן בשום אופן.

בדרך זו המגן יכול לזהות ולחשוף את התוקף ללא שימוש באמצעי ההגנה המסורתיים (כגון אנטי-וירוס, חומות אש וכו’) אלא חשיפתו תתבצע עקב נפילתו למלכודת. אולם מעבר לגילויו של התוקף, השימוש במלכודות המייצרות פרצות עבור התוקף גורם לו לנסות לחדור אל האזור הפרוץ יותר, אליו קל לו לחדור (פירצה קוראת לגנב), ולא לאזור המוגן יותר, כגון הרשת האמיתית של הארגון. כתוצאה מכך, העולם הוירטואלי רווי המלכודות המפתות שיוצר עבור התוקף ירחיק אותו ללא ידיעתו מהרשת האמיתית ולמעשה יחזק באופן ניכר את מערך ההגנה המסורתי.

לאחר חשיפתו של הכלי הפוגעני, יכול המגן לעבור לשלב הבא בו הוא לומד את דרכי הפעולה של התוקף, דרכי ההתקשרות של הכלי התוקף עם מפעיליו המרוחקים (ובדרך זו הוא יכול לזהות את שרתי השליטה והפיקוד איתם הוא מתקשר), הדרכים בהם הוא משתמש להזליג מידע רגיש מחוץ לארגון, מהות המידע אותו הוא אוסף ומטרתו (למשל, מיפוי הרשת כשלב מקדים לתקיפה), האיזורים בתוך הארגון בהם הוא מתעניין (למשל, מסמכים מסויימים המאוחסנים בשרת קבצים מסויים), דרכי ההתפשטות שלו וההדבקה של מחשבים אחרים וכו’.

כתוצאה מכך, המגן יכול לבנות תמונה מודיעינית שלמה על התוקף ולאפיין את דרכי פעילותו באופן מדוייק. מהצד ההגנתי, המגן יכול להשתמש בנתונים אותם הוא אסף לגבי התוקף על מנת לזהות כלי תקיפה אחרים בעלי מאפיינים דומים. מהצד ההתקפתי, המגן יכול ללמוד דרכי תקיפה חדשות ולהשתמש בהן לצרכיו ובכך לשפר את מערך התקיפה שלו.

בשלב האחרון של ההגנה האקטיבית, שלב “הכפלת” הכלי התוקף, המגן יכול ליצור עבור התוקף עולם תוכן שלם כרצונו. כלומר, המגן יכול לשתול ברשת הדבש הוירטואלית מסמכים בדויים כראות עיניו כך שהכלי התוקף יעבירם למפעיליו שיאמינו שמדובר במידע מהימן המגיע מרשת רגישה. למשל, המגן יכול לגרום לתוקפים לחשוב שתאריך הפיכתו של הכור למבצעי הינו רחוק במספר שנים מהמועד האמיתי. בנוסף, המגן יכול לגרום לתוקף להאמין שכל המחשבים בארגון מודבקים בכלי הפוגעני וביום פקודה התוקף יוכל להשבית את המערכות ולגרום לנזק משמעותי. בפועל, מכיוון שמדובר בעולם וירטואלי שנוצר עבור התוקף, ולא ברשת האמיתית של הארגון, כאשר תתקבל פקודת התקיפה ביום הדין, תמשיך הרשת האמיתית לעבוד כסידרה שכן הפעילות הזדונית תישאר כלואה בעולם הוירטואלי.

 במאמר זה סקרנו גישה שונה לאסטרטגיית ההגנה בעולם הסייבר. לגישה זו ישנם יתרונות רבים, והיא יכולה להוות מצד אחד כלי משלים לגישת ההגנה המסורתית, אך מצד שני היא יכולה גם להפוך את תמונת הקרב על פיה ולהכריע את הכף במלחמות הסייבר הקרבות ובאות.

אסטרטגיית ההגנה האקטיבית משלבת אלמנטים חדשניים ולא שיגרתיים שבאופן עקיף גם יכולים לשפר באופן ניכר את מערך התקיפה של הגוף המגן וכך להילחם בתוקף בשיטותיו הוא ולפנות את כלי התקיפה שלו כנגדו.

בעזרת אסטרטגיית ההגנה האקטיבית יכול המגן להפוך התקפות סייבר משמעותיות ביותר לאיום ממשי דווקא על הצד התוקף כך שההתקפה תהיה למעשה חרב פיפיות עבור הצד התוקף. שילובן של שיטות אלה במערך ההגנה יכול להוות תשובה הולמת להתקפות להם אנו עדים לאחרונה ולחזק באופן ניכר הן את מערך ההגנה והן את מערך ההתקפה.

 

כתבה זו פורסמה על ידנו בגירסא הדיגיטלית של עיתון הארץ.

פיגועי 9/11 במגדלי התאומים ובוושינגטון, הצונאמי שהיכה ביפאן והמשבר הכלכלי של 2008 תוארו כולם כברבורים שחורים, וגם בעולם הסייבר לא חסרים כאלה

במאה ה-16, כשרצו לומר באירופה שמשהו הוא בלתי אפשרי, לא ייתכן, נהגו להשתמש בביטוי “ברבור שחור”. מטבע לשון זה תיאר אירוע שלא יכול להתרחש במציאות, בדיוק כמו שעד אותה תקופה היה ברור באירופה שיש רק ברבורים לבנים ולמעשה לא קיים בטבע ברבור שחור. כלומר, כל העדויות ההיסטוריות עד לאותה תקופה דיווחו כי לברבורים יש נוצות לבנות בלבד ולכן המסקנה היא שאין דבר כזה ברבור שחור. בשנת 1697 העולם המערבי הוכה בתדהמה – באוסטרליה הרחוקה התגלו ברבורים שחורים.

כלומר, ההנחה החד משמעית שאין ברבורים שחורים הופרכה ברגע אחד על ידי תצפית אחת שהוכיחה את ההפך המוחלט. למעשה, צריך רק תצפית אחת שתפריך מאות שנים של עדויות היסטוריות. במאה ה-17 השתנתה משמעותו של הביטוי “ברבור שחור” ומאז הוא מצביע על כך שאירוע הנתפס כבלתי אפשרי יכול להתגלות מאוחר יותר כאפשרי ביותר.

בשנת 2007 הציג הפילוסוף נאסים טאלב את תאוריית הברבור השחור אותה הוא גיבש במשך מספר שנים. לפי הגדרתו של טאלב, ברבור שחור הוא אירוע החורג מעבר לצפוי באותה סיטואציה ואותו יהיה מאוד קשה לצפות. אירועים המוגדרים כברבורים שחורים הם בדרך כלל אקראיים ובלתי ניתנים לצפייה.

לברבור שחור יש שלוש תכונות עיקריות; ראשית, אירוע זה הוא חריג באופן שכמעט איננו מתקבל על הדעת בהתבסס על אירועים שהתרחשו בעבר. אירוע כזה הינו הפתעה גמורה ומוחלטת לצופה בו שיוכה בתדהמה לנוכח התרחשותו. שנית, לאירוע יש השפעה קיצונית ביותר על העתיד. ושלישית, למתבונן באירוע לאחר התרחשותו ישנו הרושם או האמונה שניתן היה לצפות אירוע זה מבעוד מועד.

מתוך כרזת הסרט ברבור שחור

ברבור שחור הינו high impact low frequency event – כלומר, השפעתם של אירועים אלה על העתיד הינה קיצונית אך תדירות התרחשותם נמוכה.

תיאוריית הברבור השחור גורסת כי מספר קטן של ברבורים שחורים מסביר כמעט כל דבר המתרחש בעולמנו. החל מהצלחתם של רעיונות, דרך פריחתן של דתות, פריצתן של מלחמות ועד לעלייתן ונפילתן של מעצמות, מדינות וכלכלות. יתר על כן, אפילו האירועים המשמעותיים ביותר בחיינו האישיים והזוגיים הינם למעשה אוסף של ברבורים שחורים. כלומר, ברבור שחור איננו בהכרח אירוע בעל השפעה בקנה מידע עולמי וייתכן שהשפעתו הקיצונית הינה על אדם יחיד, שהוא הצופה המופתע.

יום עצמאות שמח. למי בדיוק?

לדוגמא, נניח שתרנגולת חביבה מטופלת ברכות ומואכלת בנדיבות יום יום על ידי הלולן שלה. ככל שהימים עוברים, התרנגולת משמינה יותר ויותר, ומרגישה יותר ויותר בטוחה בחיים שלה, ביציבות הסביבה שלה ובלולן שלה. בכל יום שעובר עולה רמת האמון של התרנגולת בלולן הנאמן והמסור וכעבור מספר חודשים היא מגיעה לשיאה. מבחינת התרנגולת, כאשר היא מביטה על רצף אירועי העבר, היא מסיקה שמכיוון שכל יום היה יותר טוב מהיום הקודם לו, גם מחר יהיה יותר טוב מהיום. תהליך זה מכונה במדע בשם אינדוקציה – הסקת מסקנות ממספר מקרים פרטיים ומעבר לקביעה כללית. אם כל יום בעבר היה טוב אז מחר חייב להיות טוב גם כן.

ומה קרה לתרנגולת שלנו? היא התעוררה בבוקרו של יום המחר וגילתה את האמת הנוראה. בניגוד לכל אירועי העבר, לטוב ליבו של הלולן, לסיפור חייה המופלא ולנסיונה העשיר,היום הוא ערב יום העצמאות ובעוד מספר שניות ייגדע באחת פתיל חייה וגופה יועלה לזבח על המנגל הקרוב…

כלומר, ערב יום העצמאות הוא ברבור שחור עבור התרנגולת שכן הוא עומד בשלושת התנאים: אירוע חריג שמהווה הפתעה מוחלטת לצופה בו (התרנגולת המסכנה), לאירוע יש השפעה קיצונית על העתיד (למעשה הוא כל כך קיצוני שהוע גודע את עתידה של התרנגולת) ורגע לפני מותה נוצר בה הרושם שניתן היה לצפות זאת (לא סתם נעלמו חברותיה בחול המועד פסח).

מצד שני, אירוע זה הוא ברבור לבן עבור הלולן שכן הוא זה שהפך אותה בכוונת תחילה לסטייק עוף…

הדוגמא המפורסמת ביותר המתארת ברבור שחור הינה אירועי ספטמבר 2001 בארה”ב, מתקפת המטוסים על מרכז הסחר העולמי והפנטגון. אירוע זה עומד גם כן בשלושת התנאים המגדירים ברבור שחור. ראשית, אין ספק שהוא היה חריג וכל מי שצפה בו בכל מקום בעולם הוכה בתדהמה. שנית, השפעתו על העתיד ניכרת היום בכל שדה תעופה בעולם. רמת האבטחה עלתה באופן ניכר וממשלות ממשיכות להעלות אותה יותר ויותר, דבר המשפיע באופן ניכר על התנהלות הנוסעים ועל המשאבים האדירים שהוקצו לשם כך. ושלישית, במבט לאחור התגלו ראיות חותכות להתחזוקתה של תנועת אל קאעדה וכוונתה ליזום אירוע משמעותי ואפילו ישנן עדויות שמסרים סמויים הועברו דרך האינטרנט ע”י פעילי הארגון טרם ביצוע ההתקפה.

איזה אירועים נוספים מוגדרים כברבורים שחורים?

כמעט כל אירוע משמעותי עליו שמעתם או חוויתם – מלחמת העולם הראשונה, מלחמת יום הכיפורים, הצונאמי באינדונזיה ב-2003, רעידות האדמה בפקיסטאן ב-2005 ובסין ב-2008, המשבר הפיננסי הגדול ב-2008 והנפילה של יותר מ-30% במחירי הבתים בארה”ב, רעידת האדמה בהאיטי ב-2010 בה נהרגו מעל 300 אלף איש, גל החום הקטלני ברוסיה ב-2010, דליפת הנפט במפרץ מקסיקו ב-2010 שגרמה נזק סביבתי אדיר ונזק כלכלי של עשרות מליארדי דולרים, קריסת הבזק של הבורסות בשנת 2010, רעידת האדמה והצונאמי ביפן ב-2011 והאסון הגרעיני שנגרם בעקבותיה ואפילו אי השקט והמהפכות במזרח התיכון בשנים האחרונות.

מה לגבי ברבורים שחורים בעולם הטכנולוגי?

גם כאן, כמעט כל אירוע הנתפס כיום כגדול ומשמעותי הינו למעשה ברבור שחור. החל מהמצאת המחשב האישי, דרך המצאת האינטרנט, עלייתן של חברות הענק מיקרוסופט, גוגל ופייסבוק, ואפילו הסמארטפונים וה-app stores למיניהן. כל אלה ועוד רבים וטובים אחרים הם למעשה אוסף של ברבורים שחורים שעיצבו את עולמנו הטכנולוגי וממשיכים להשפיע עליו בכל יום ויום.

ברבורים שחורים בשירות מלחמת הסייבר

רבות דובר על מלחמות הסייבר, מטות הסייבר, לוחמת הסייבר, נשק יום הדין של עולם הסייבר וכיוצא בזה. האם גם כאן האירועים המשמעותיים הם למעשה ברבורים שחורים?

בואו ניקח לדוגמא שניים מאירועי הסייבר הגדולים ביותר בעת האחרונה. הראשון הוא תולעת ה-Stuxnet והשני הוא וירוס ה-Flame שנחשף ממש בימים אלה.

על פי דיווחים שונים, תולעת ה-stuxnet פגעה באופן ניכר במאמץ הגרעיני של איראן. התולעת תקפה את הבקרים של הצנטריפוגות ושינתה בהם את ההוראות. התולעת יועדה לשנות את מהירות הסיבוב של הצנטריפוגות עד לסדיקתן והתפוצצותן. בנוסף, התולעת הכילה מספר מרכיבים שגרמו להטעיה של מפעילי הכור ושל חוקרי התקלות שארעו בו כך שאיתור התולעת ואופן פעולתה ארכו זמן רב. כלומר, התולעת השביתה הלכה למעשה את פעילותו של הכור הגרעיני.

לעומת זאת, על פי הדיווחים האחרונים בכלי התקשורת, וירוס ה-Flame גנב מידע רגיש ממחשבים ואירגונים שונים במזרח התיכון כאשר רוב התקיפות היו באיראן. הווירוס אסף מסמכים מסווגים ומידע רגיש, הקלטות אודיו וצילומי מסך של המחשבים והעביר אותם לשרתים מרוחקים. כלומר, בניגוד לתולעת ה-Stuxnet שגרמה לנזק ישיר (השבתת הכור הגרעיני), נראה שה-Flame נועד להיות בעיקר כלי איסוף מודיעיני.

האם תולעת ה-stuxnet ווירוס ה-Flame הם ברבורים שחורים עבור איראן?

ראשית, אלמנט ההפתעה ביחס לתולעת ה-stuxnet. על פי דיווחים זרים, מתקני הגרעין באיראן מאובטחים ומוגנים הן מפני איומים פיזיים והם מפני איומים וירטואליים ואיומי סייבר. רשתות התקשורת במתקני הגרעין הינן מבודדות מהאינטרנט, וקבורות כמה מטרים טובים מתחת לאדמה. בנוסף, רשת הייצור במתקני הגרעין עובדת בפרוטוקול SCADA ועד לאותה התקפה כמעט ולא היו עדויות להתקפות המיועדות ספציפית לפרוטוקול זה.

למרות כל אמצעי האבטחה וההפרדה בין רשתות הייצור המאובטחות היטב לרשתות החיצוניות, הצליחה התולעת לחדור פנימה ולפגוע בלב ליבו של המתקן הגרעיני בצורה כה מתוחכמת אותה איש לא חזה. יתר על כן, על פי הפירסומים התולעת השתמשה במספר תחבולות שנראה כאילו נלקחו מסרטי המתח הטובים ביותר. למעשה, מה שנראה היה כמשימה בלתי אפשרית התבצע בחוכמה ובערמומיות מעוררת השתאות, דבר שללא ספק השאיר את האיראנים פעורי פה.

לעומת זאת, נכון לרגע זה, לא ברור מהו אלמנט ההפתעה ביחס לוירוס ה-flame. כרגע איראן ממלאת פיה מים ועל כן לא ניתן לדעת אילו מחשבים הותקפו, מה המידע שנגנב, האם היה נזק נוסף ומה היתה מידת ההפתעה של האיראנים בעת גילוי הוירוס. אומנם איראן הודתה כי הוירוס הצליח לחדור למספר ארגונים ולגנוב מידע אך נראה שכמו במקרה של stuxnet, רק בעוד מספר ימים או שבועות תתגלה התמונה המלאה יותר ואיתה גם תתבהר מידת ההפתעה של האיראנים. במידה ויתברר למשל שהוירוס אכן היה היה פעיל במחשבים האיראנים במשך שנים רבות ללא ידיעתם, או שהוירוס אכן גרם להשבתת מסופי הנפט באיראן ולזליגתו של מידע מודיעיני רב ערך שהיה קבור במעמקי האדמה או במחשבים מסווגים ביותר, ניתן יהיה לומר שגם במקרה של Flame, אלמנט ההפתעה הינו משמעותי עבור האיראנים.

שנית, אלמנט ההשפעה על העתיד ביחס לתולעת ה-stuxnet. השפעת התולעת על תוכנית הגרעין האיראנית היתה עצומה, הן מבחינה מוראלית והן מבחינה מעשית. ישנן עדויות כי התקפה זו עיכבה את תוכנית הגרעין של איראן במספר חודשים ואף שנים. בנוסף, בעקבות ההתקפה החליטו האיראנים לבסס את התוכנות שלהם במתקני הגרעין על קוד המפותח על ידם בלבד ולא להשתמש בקוד חיצוני שעלול להכיל תולעים נוספות. דבר זה מצריך הערכות מיוחדת, הכשרה של מהנדסים והקצאת משאבים לא מעטים, כמו גם עיכוב של תוכניות הפיתוח. ברמה העולמית, השפעת תולעת ה-Stuxnet על עולם אבטחת הסייבר היתה משמעותית ביותר וגרמה להפניית משאבים רבים לטובת התמודדות מול איומים דומים בעתיד. היא הוכיחה שהבלתי אפשרי הוא למעשה מציאותי ועל כן גרמה לשינוי בתפיסת האבטחה של מדינות וממשלות והצריכה שינוי משמעותי בהערכת האיומים בעולם הסייבר.

לעומת זאת, כרגע לא ברור מהו אלמנט ההשפעה על העתיד ביחס לוירוס ה-flame. ברור כי העולם (או לפחות אמצעי התקשורת ) נמצא בסוג של פאניקה וייתכן שרמת הפראנויה באיראן אף עלתה בעקבות החשיפה אולם ימים יגידו כיצד השפיע הווירוס על עולם האבטחה באופן כללי ועל איראן בפרט. במידה ואיראן תנקוט באמצעים קיצוניים, כגון החלפת מערכות המיחשוב בכל הארגונים הרגישים, ניתוק כללי מרשת האינטרנט של ארגונים שלמים, השבתת רשתות המחשב באירגונים ומוסדות ממשל, כיבוי מתקנים רגישים וחיוניים וכו’, ניתן יהיה לומר שגם ההשפעה על העתיד היתה משמעותית. גם כאן, יש לחכות עד שלהבות הווירוס תדעכנה והעשן יתפזר במעט על מנת שניתן יהיה לבנות תמונת מצב ברורה יותר.

שלישית, עדויות רטרוספקטיביות להתקפה על איראן. לאורך כל השנים האחרונות ישנן עדויות לא מעטות לשימוש בסוסים טרויאנים, zero-day attacks, דלתות אחוריות ושאר התוכנות הפוגעניות לביצוע התקפות ממוקדות על ארגונים ומתקנים. בנוסף, החדרת תולעים לרשת ע”י שימוש בהדבקה חיצונית (כגון, disk-on-key שמוכנס למחשב הנתקף) תוך עקיפת כל אמצעי ההגנה הינה טכניקה ידועה כבר מספר שנים. השימוש בסוכנים אנושיים המסייעים בביצוע ההתקפה (למשל בשלב החדרת התולעת לרשת או בעידכונה) הינו ידוע ומוכר לאורך ההיסטוריה, כמו גם עקיפת מנגנוני האבטחה המתוחכמים ביותר ע”י שימוש בהנדסה חברתית (social engineering). בנוסף, העולם המערבי היה ועודו נחוש לעכב את תוכנית הגרעין האיראנית כמעט בכל מחיר וגם להשיג מידע מודיעני רב ערך מתוך ארגונים מסווגים ביותר באיראן. גם stuxnet וגם flame עומדים בתנאי השלישי בצורה מלאה.

קיום שלושת התנאים האלה עבור תולעת ה-stuxnet מראה שהתולעת אכן היתה ברבור שחור, וככל הנראה הברבור השחור המשמעותי הראשון שראינו בשמי הסייבר.
לגבי וירוס ה-flame, עדיין מוקדם לקבוע האם הוא ברבור שחור נוסף עבור איראן. לפי הנתונים שנחשפו כרגע הוא עדיין איננו ברבור שחור אך ייתכן מאוד שבעתיד הקרוב, עת תתבהר התמונה, ניווכח לדעת שאיראן אכן נפגעה ע”י ברבור שחור נוסף.

ניתן לומר בוודאות שברבורים שחורים אלה ואחרים מבשרים את העתיד ועוד נראה ברבורים שחורים רבים בעולם הסייבר. החוכמה היא להימנע מלהיות תרנגול יום העצמאות על ידי זיהוי איזורי החולשה והכנת תוכניות מגירה להתמודדות מול התרחשותם של האירועים החמורים ביותר על מנת להפוך את הברבור השחור ללבן. רק כך נוכל להגן על המערכות הרגישות ביותר שלנו ולהיות מוכנים למלחמת עולם הסייבר הממשמשת ובאה.

 

כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בגליון מאי-יוני 2012.

כיצד ניתן לזהות אירועים פתאומיים ובעלי השלכות מרחיקות לכת בעולם הסייבר? ד”ר גיל דוד על ה”ברבורים השחורים” במרחב הקיברנטי שמלמדים כי יש להיערך לכל תרחיש קיצוני.

במאה ה-16, כשרצו לומר באירופה שמשהו הוא בלתי אפשרי נהגו להשתמש בביטוי “ברבור שחור”. מטבע לשון זה תיאר אירוע שלא יכול להתרחש במציאות, שהרי כל העדויות ההיסטוריות עד לאותה תקופה דיווחו כי לברבורים יש נוצות לבנות בלבד ולכן המסקנה היא שאין דבר כזה ברבור שחור. במאה ה-17 העולם הוכה בתדהמה – באוסטרליה הרחוקה התגלו ברבורים שחורים. ההנחה החד משמעית שאין ברבורים שחורים הופרכה ברגע אחד.

בשנת 2007 הציג הפילוסוף נאסים טאלב את תאוריית הברבור השחור אותה הוא גיבש במשך מספר שנים. לפי הגדרתו של טאלב, ברבור שחור הוא ארוע החורג מעבר לצפוי באותה סיטואציה ואותו יהיה מאוד קשה לצפות. אירועים המוגדרים כברבורים שחורים הם בדרך כלל אקראיים ובלתי ניתנים לצפייה. ברבור שחור הינו high impact low frequency event – כלומר, השפעתם של אירועים אלה על העתיד הינה קיצונית אך תדירות התרחשותם נמוכה.

תאוריית הברבור השחור גורסת כי מספר קטן של ברבורים שחורים מסביר כמעט כל דבר המתרחש בעולמנו. החל מהצלחתם של רעיונות, דרך פריחתן של דתות, פריצתן של מלחמות ועד לעלייתן ונפילתן של מעצמות, מדינות וכלכלות. הדוגמא המפורסמת ביותר, בימינו, המתארת ברבור שחור הינה אירועי ספטמבר 2001 בארה”ב, מתקפת המטוסים על מרכז הסחר העולמי והפנטגון. ארוע זה עומד בכל הקריטריונים המגדירים ברבור שחור. ראשית, אין ספק שהוא היה חריג וכל מי שצפה בו בכל מקום בעולם הוכה בתדהמה. שנית, השפעתו על העתיד ניכרת היום בכל שדה תעופה בעולם. רמת האבטחה עלתה באופן ניכר וממשלות ממשיכות להעלות אותה יותר ויותר, דבר המשפיע באופן ניכר על התנהלות הנוסעים ועל המשאבים האדירים שהוקצו לשם כך. ושלישית, במבט לאחור התגלו ראיות חותכות להתחזקותה של תנועת אל קאעידה וכוונתה ליזום אירוע משמעותי ואפילו ישנן עדויות שמסרים סמויים הועברו דרך האינטרנט ע”י פעילי הארגון טרם ביצוע ההתקפה.

על תולעים וברבורים

רבות דובר על מלחמות הסייבר, מטות הסייבר, לוחמת הסייבר, נשק יום הדין של עולם הסייבר וכיוצא בזה. אך האם ניתן למצוא ברבורים שחורים המסתתרים בתוך הרשת? אחד האירועים הגדולים ביותר שהתרחשו בתחום לוחמת הסייבר בשנים האחרונות, היה החדרת תולעת ה-stuxnet למתקנים הגרעיניים באיראן. על פי דיווחיהם של מומחי אבטחה שונים בעולם, התולעת תקפה את הבקרים של הצנטריפוגות ושינתה בהם את ההוראות. התולעת יועדה לשנות את מהירות הסיבוב של הצנטריפוגות עד לסדיקתן והתפוצצותן. בנוסף, היא הכילה מספר מרכיבים שגרמו להטעיה של מפעילי הכור ושל חוקרי התקלות שארעו בו כך שאיתור התולעת ואופן פעולתה ארכו זמן רב.

על פי פרסומים זרים, התולעת השביתה הלכה למעשה את פעילותו של הכור הגרעיני. ניתן להגדיר את ה-stuxnet כברבור שחור מכמה סיבות: ראשית, אלמנט ההפתעה. מתקני הגרעין מאובטחים ומוגנים הן מפני איומים פיזיים והן מפני איומים וירטואליים ואיומי סייבר. רשתות התקשורת במתקני הגרעין הינן מבודדות מהאינטרנט, וקבורות כמה מטרים טובים מתחת לאדמה. בנוסף, רשת הייצור במתקני הגרעין עובדת בפרוטוקול SCADA ועד לאותה התקפה כמעט ולא היו עדויות להתקפות המיועדות ספציפית לפרוטוקול זה. למרות כל אמצעי האבטחה וההפרדה בין רשתות הייצור המאובטחות היטב לרשתות החיצוניות, הצליחה התולעת לחדור פנימה ולפגוע בלב ליבו של המתקן הגרעיני בצורה כה מתוחכמת אותה איש לא חזה.

למעשה, מה שנראה היה כמשימה בלתי אפשרית התבצע בחוכמה ובערמומיות מעוררת השתאות, דבר שללא ספק השאיר את האיראנים פעורי פה. שנית, השפעת התולעת על תוכנית הגרעין האיראנית היתה עצומה, הן מבחינה מוראלית והן מבחינה מעשית. ישנן עדויות כי התקפה זו עיכבה את תוכנית הגרעין של איראן במספר חודשים ואף שנים. בנוסף, בעקבות ההתקפה החליטו האיראנים לבסס את התוכנות שלהם במתקני הגרעין על קוד המפותח על ידם בלבד ולא להשתמש בקוד חיצוני שעלול להכיל תולעים נוספות. דבר זה מצריך הערכות מיוחדת, הכשרה של מהנדסים והקצאת משאבים לא מעטים, כמו גם עיכוב של תוכניות הפיתוח.

ברמה העולמית, השפעת תולעת ה-Stuxnet על עולם אבטחת הסייבר היתה משמעותית ביותר וגרמה להפניית משאבים רבים לטובת התמודדות מול איומים דומים בעתיד ועל כן גרמה לשינוי בתפיסת האבטחה של מדינות וממשלות והצריכה שינוי משמעותי בהערכת האיומים בעולם הסייבר. שלישית, לאורך כל השנים האחרונות ישנן עדויות לא מעטות לשימוש בסוסים טרויאנים, zero-day attacks, דלתות אחוריות ושאר התוכנות הפוגעניות לביצוע התקפות ממוקדות על ארגונים ומתקנים.

בנוסף, החדרת תולעים לרשת על ידי שימוש בהדבקה חיצונית כגון disk-on-key שמוכנס למחשב הנתקף (תוך עקיפת כל אמצעי ההגנה) הינה טכניקה ידועה כבר מספר שנים. השימוש בסוכנים אנושיים המסייעים בביצוע ההתקפה, למשל בשלב החדרת התולעת לרשת או בעידכונה הינו ידוע ומוכר לאורך ההיסטוריה, כמו גם עקיפת מנגנוני האבטחה המתוחכמים ביותר ע”י שימוש בהנדסה חברתית (social engineering). ואפילו היו מספר עדויות (אומנם לא רבות) לכך שניתן לבצע התקפה על מערכות המבוססות פרוטוקול SCADA. ברמה העולמית, העולם המערבי היה נחוש לעכב את תוכנית הגרעין האיראנית כמעט בכל מחיר. קיום שלושת התנאים האלה מראה שתולעת ה-Stuxnet אכן היתה ברבור שחור, וככל הנראה הברבור השחור המשמעותי הראשון שראינו בשמי הסייבר.

ניתן לומר בוודאות שברבור שחור זה מבשר את העתיד ועוד נראה ברבורים שחורים רבים בעולם הסייבר. החוכמה היא להימנע מלהיות הצד הנפגע באירועים אלו על ידי זיהוי איזורי החולשות על מנת להפוך את הברבור השחור ללבן. רק כך נוכל להגן על המערכות הרגישות ביותר שלנו ולהיות מוכנים למלחמת עולם הסייבר הממשמשת ובאה.

זו הגירסא המקורית כפי שפורסמה במגזין – יש להקליק על הכתבה לשם הגדלתה.

 

כתבה זו פורסמה על ידנו בגירסא הדיגיטלית של עיתון הארץ.

נניח שהחלטתם לפנק את עצמכם בארוחה רומנטית במסעדה יוקרתית. חיפוש קצר באינטרנט העלה מספר אפשרויות אטרקטיביות וכעת נותר רק לבחור מביניהן את המתאימה ביותר. נשמע פשוט? לא בהכרח. מבחינת רמת המחירים הן דומות מאוד, מבחינת המיקום, גם כן דומות. בכולן התפריטים נראים מעולים (אף כי לעתים לא ממש מובנים).

אז איך בכל זאת אפשר להחליט במי לבחור? זה השלב שבו רובנו עוברים לקרוא את הביקורות. ואם עד עכשיו היינו לא החלטיים, עיון בביקורות יבלבל אותנו לחלוטין. איך ייתכן שאותה מסעדה מקבלת באותו חודש  מצד אחד ביקורות מעולות ותשבחות לרוב ומצד שני ביקורות איומות והשמצות נוראיות? על איזה ביקורות ניתן לסמוך ומאלה כדאי להתעלם? בהנחה שחלק מהביקורות מזוייפות ולא אמינות, איך ניתן לזהות ולסנן אותן?

ישנם לא מעט אתרי אינטרנט שמרכזים ביקורות של משתמשים על כל דבר שהוא. מלונות, בתי אירוח, מסעדות, מוצרים וכו’. הרעיון בכל האתרים האלה, הן בארץ והן בעולם, הוא דומה – הצגת ביקורות שנכתבו ע”י משתמשים.

כל אחד יכול לכתוב ביקורת על כל מקום, בין אם הוא היה בו או לא. בעל מסעדה יכול לכתוב ביקורת המהללת את עצמו וגם ביקורת המשמיצה את המתחרה שמעבר לכביש. בעל צימר יכול לפאר ולשבח את חדרי הצימר ולהדגיש כמה הם מודרניים למרות שבפועל הם לא חודשו כבר יותר מ-15 שנה. המקלדת סופגת הכל והאנונימיות מאפשרת לכל אחד לכתוב כל דבר תחת כל שם.

האם בכלל ניתן לזהות תכנים מזיויפים רק על ידי קריאת הביקורת עצמה, בלי לדעת דבר וחצי דבר על הכותב עצמו?

תלוי. אם אתה בן אדם ואתה מנסה להסיק מתוך קריאת הביקורת האם היא אמיתית או מזוייפת, סיכויי ההצלחה שלך הם סביב ה-50%. כלומר, חבל לך להשקיע זמן ומחשבה בקריאת הביקורת, ניתוחה וקבלת החלטה לגבי מהימנותה. יותר פשוט ומהיר יהיה להטיל מטבע ובממוצע לך ולמטבע יש אותם סיכויי הצלחה…

ואם אתה מכונה? באופן מפתיע, מסתבר שהמחשב יכול להגיע למסקנות ותובנות בצורה די מדוייקת על סמך ניתוח התוכן בלבד. סיכויי הצלחתו של המחשב גדולים בעשרות אחוזים מסיכויי הצלחתו של בן האנוש.

אז איך בכל זאת ניתן לזהות האם ביקורת היא מזוייפת או אמיתית?

בטוח שחלק מהקוראים מהנהנים כרגע בראשם ואומרים לעצמם שבמבט חטוף הם יודעים לזהות ביקורות מזוייפות, עמוסות שקרים. אבל כפי שכבר אמרנו, מחקרים מראים שהאדם לא הרבה יותר מוצלח בכך מהמטבע שבכיסו – 50% הצלחה…

לא מאמינים? הנה דוגמה. לפניכם שתי ביקורות – אחת אמיתית ולגיטימית ואחת מזוייפת. ביקורות אלה נלקחו מאחד מהאתרים המציגים ביקורות של משתמשים על בתי מלון.

הראשונה: “מיטות מעולות, חדרים נקיים, אמבטיה מדהימה, נוף מדהים, שירות מעולה, צ’ק אין וצ’ק אאוט מהירים. מאוד אירופאי מבחינת הגינונים אבל עם מיזוג אוויר!”

השניה: ”מלון מעולה עם נוף יפה. הצוות היה נפלא והחדרים נוחים ומרווחים. אפילו היה בחדר התקן לאיי-פוד שלי”.

מה התשובה הנכונה? מה מזוייף ומה אמיתי? החלטתם? בואו נחכה עם התשובה הנכונה לסוף הכתבה ובינתיים נבין איך המחשב מנתח את המידע ומגיע להחלטה הנכונה ברובם המוחלט של המקרים.

בכתבה הקודמת דיברנו על שימוש בשיטות לזיהוי אנומליות על מנת לשפר את מערך הגנת הסייבר. באופן מפתיע, אותן השיטות בהן השתמשנו לזיהוי של סוסים טרויאנים, תולעים ושאר מזיקים שימשו אותנו גם לזיהוי הביקורות המזוייפות. האמת שזה לא כל כך מפתיע. השיטות לזיהוי אנומליות בסייבר מזהות את אותן פעולות שמתבצעות ברשת או במחשב אבל מקומן הוא לא באמת שם. כלומר, מישהו שתל אצלנו וירוס או סוס טרויאני ועכשיו התוכנות הזדוניות האלה מבצעות פעולות שלא ממש עולות בקנה אחד עם הפעולות הרגילות שאנו מבצעים בשיגרה. במילים אחרות, המנגנונים לזיהוי אנומליות שהצגנו יודעים לזהות את אותן תוכנות שמזייפות פעולות כך שתיראנה לגיטימיות לכל אמצעי אבטחה שייבחן אותן ובאופן הזה הן עוקפות את אמצעי האבטחה. בפועל, תחת הזיוף המוצלח מתבצעת הפעולה הזדונית שפוגעת ברשת או במחשב. אבל הזיופים האלה מזוהים בצורה טובה ע”י המנגנונים לזיהוי אנומליות שלמעשה נבנו ותוכננו בדיוק על מנת לזהות התחכמויות כאלה.

ואיך זה מתקשר לביקורות המזויפות? גם כאן מדובר בפעולות לגיטימיות (ביקורות אמיתיות) שבוצעו (נכתבו) ע”י משתמשים לגיטימיים וברקע גורם זדוני ביצע פעולות זדוניות (ביקורות מזויפות). כל שנותר הוא להפעיל את אותן השיטות מעולם הסייבר על עולם הביקורות ולצפות בפליאה בתוצאות.

איך מתבצע ניתוח הביקורות ע”י המנגנונים לזיהוי אנומליות?

ביקורת מורכבת מאוסף של משפטים ומילים. השיטות לזיהוי אנומליות לא יכולות לעבוד באופן ישיר על הביקורת עצמה ועל הטקסט המרכיב אותה. שיטות אלה עובדות על הייצוג הסטטיסטי (מספרי) של הביקורת. כלומר, על מנת להשתמש בשיטות לזיהוי הזיופים יש להמיר כל ביקורת מאוסף של מילים לרשימה של מספרים המייצגת את הסטטיסטיקה של המשפטים והמילים בביקורת.

בכתבה זו נציג שתי שיטות לניתוח הביקורות ולהמרתן מייצוג טקסטואלי לייצוג סטטיסטי. לצורך ההסבר נפעיל אותן על הביקורת הבאה: “החדר היה נהדר, הצוות היה נפלא, הבריכה היתה מצחינה, האוכל היה זוועה ופחדתי מהרעלה”.

הניתוח הראשון יתבצע ע”י פירוק הביקורת לאוסף של מילים וחלוקת המילים לקטגוריות שונות המתארות אותן. לדוגמא, נניח שהגדרנו 10 קטגוריות של מילים (בפועל מגדירים כמה עשרות קטגוריות): חיובי, שלילי, רגשות, קללות, השמצות, שמות עצם, פעלים, זמן עבר, זמן הווה וזמן עתיד. כל מילה יכולה להיות שייכת לקטגוריה אחת או יותר. למשל, התמונה הבאה מציגה את חלוקת המילים בדוגמא שלנו לקטגוריות השונות:

ניתן לראות שהמילה “פחדתי”, למשל, שייכת לשלוש קטגוריות שונות: רגשות, פעלים וזמן עבר.

כעת אנו סוכמים את מספר המילים המופיעות בכל קטגוריה, כפי שניתן לראות בתמונה הבאה:

מה שקיבלנו כאן זה ייצוג סטטיסטי המהווה קידוד של הביקורת שלנו ע”י רשימה של עשרה מספרים המתאימים לעשר הקטגוריות שהגדרנו. כלומר, הביקורת שלנו מיוצגת (מקודדת) ע”י רצף המספרים הבא: 2,2,1,0,1,0,5,5,0,1

תהליך זה מתבצע עבור כל ביקורת וביקורת כך שבסופו של דבר כל ביקורת מומרת באופן זה מאוסף של מילים ומשפטים לרשימה של 10 מספרים (בפועל, כמו שצוין, התוצאה הסופית תכיל כ-100 מספרים המתאימים לכ-100 קטגוריות שונות ולא רק ל-10 שהודגמו כאן).

הניתוח השני יתבצע ע”י פירוק הטקסט בביקורת לרצפים של אותיות באורכים שונים. למשל, רצפים באורך אחד, באורך שתים, אורך שלוש וכו’. כלומר, אנו סוכמים את מספר הפעמים בו הופיע כל רצף של אותיות בביקורת.

לדוגמה, עבור רצפים באורך אחד, נבדוק כמה פעמים הופיעה כל אות באלף-בית בביקורת. לשם פשטות ההמחשה נדגים שיטה זו רק על שלוש המילים הראשונות בדוגמה שלנו (“החדר היה נהדר”), כפי שניתן לראות בתמונה הבאה:

באותו אופן נבדוק עבור רצפים באורך שתים כמה פעמים הופיע רצף של כל שתי אותיות באלף-בית בביקורת. למשל, עבור שלוש המילים הראשונות בביקורת שלנו יתבצע הפירוק לרצפים כפי שמראה התמונה הבאה:

ניתן לראות שרצף האותיות “הח” מופיע פעם אחת ואילו הרצף “דר” מופיע פעמיים. לעומתם, הרבה רצפים (כגון, “אא”, “אב”, “אג” וכו’) בכלל לא מופיעים.

באותו אופן אפשר להמשיך ולבדוק את שכיחות הרצפים באורך שלוש, ארבע וכו’.

מה שקיבלנו כאן זה ייצוג סטטיסטי המהווה קידוד של הביקורת שלנו ע”י רשימה ארוכה של  מספרים המתאימים לכל הקומבינציות של הרצפים שהגדרנו. עבור רצפים באורך אחד יש לנו 27 מספרים (כמספר האותיות באלף-בית העברי). עבור רצפים באורך שתיים יש לנו 27*27=729 מספרים (כמספר כל הקומבינציות של הזוגות השונים של האותיות). עבור רצפים באורך שלוש יש לנו 27*27*27=19,683 מספרים (כמספר כל הקומבינציות של השלשות השונות של האותיות) וכו’. כלומר, אם אנו רוצים לקודד ביקורת עפ”י רצפים באורך אחד, שתיים ושלוש של האותיות שמרכיבות אותה נקבל רשימה של 20,439 מספרים המייצגים אותה (רובם יהיו מן הסתם אפסים).

תהליך זה מתבצע עבור כל ביקורת וביקורת כך שבסופו של דבר כל ביקורת מומרת  מאוסף של מילים ומשפטים לרשימה של מעל 20,000 מספרים.

שתי השיטות שתארנו לניתוח הביקורת ממירות את הביקורת מטקסט המורכב ממילים ומשפטים לרשימה ארוכה של מספרים המייצגת את הסטטיסטיקה של הביקורת. השיטות לזיהוי אנומליות משתמשות בסטטיסטיקה הזאת על מנת להבין איזו ביקורת הינה לגיטימית ואיזו מזוייפת. הרעיון הבסיסי של שיטות אלה הוא שאם ניקח כמה מאות דוגמאות של ביקורות ונלמד את המבנים השונים שלהן, את הסטטיסטיקות שלהן (כפי שהגדרנו בשלב הקודם), נוכל להגדיר סוגים שונים של ביקורות לגיטימיות. כאשר תגיע ביקורת מזוייפת, הסטטיסטיקה שלה תחרוג מהסוגים הלגיטימיים שהמערכת מכירה ולכן תוגדר על ידה כאנומליה. בדרך זו תגלה המערכת לזיהוי אנומליות את הביקורות המזויפות.

על מנת לבחון את דרך התמודדות השיטות לזיהוי אנומליות אל מול הביקורות הטקסטואליות, ביצענו ניסוי בו לקחנו כמה מאות ביקורות לגיטימיות וכמה עשרות ביקורות מזויפות, פרקנו כל ביקורת לגורמים וייצגנו אותה ע”י אלפי המאפיינים הסטטיסטיים השונים (כפי שהגדרנו בשתי שיטות הניתוח). כעת נתנו למנגנוני זיהוי האנומליות ללמוד את ההתנהגות הטבעית של הביקורות (ע”י ניתוח הסטטיסטיקות שמייצגות כל ביקורת), להבין מהי קשת הביקורות הלגיטימיות ולסווג כל ביקורת כלגיטימית או מזוייפת. להזכירכם, אחוזי ההצלחה של בני אדם הם סביב ה-50%. אחוזי ההצלחה של השיטות שהפעלנו הגיעו לכ-90% – כלומר ב-9 מתוך 10 החלטות, המערכת צדקה וסיווגה באופן נכון את הביקורת כלגיטימית או מזוייפת. ההחלטה של המחשב היא ב-80% יותר מדוייקת מהחלטתו של האדם…

התמונה הבאה ממחישה כיצד הניתוח הסטטיסטי ועיבודו ע”י השיטות המתמטיות לזיהוי אנומליות מאפשר לזהות את הביקורות המזויפות. כל נקודה מייצגת ביקורת יחידה וניתן לראות שהביקורות הלגיטימיות מפוזרות במספר קבוצות וחלקים בתמונה ואילו הביקורות המזויפות הינן חריגות באופן ברור ולא קרובות לאף קבוצה של ביקורות לגיטימיות.

איך ייתכן כזה פער עצום בין האדם למכונה? ההסבר הוא די פשוט. כפי שהסברנו, כל ביקורת מיוצגת בסופו של דבר ע”י אלפי מאפיינים סטטיסטיים. כלומר, המימד (מספר המשתנים) של הבעיה שאותה אנו מנסים לפתור הוא מאוד גבוה (כמה אלפים). למחשב אין בעיה לעבד ולנתח (אם מסבירים לו איך) בעיות כאלה במימד כזה גבוה ולהגיע למסקנות במהירות בעוד שהאדם קצת יותר מוגבל. המחשב יכול לכרות ביעילות מידע רב ולנתח הררים של מידע דיגיטלי תוך הפעלת אלגוריתמים מתמטיים מסובכים ומורכבים בעוד שהאדם ירגיש שם די מהר אבוד בתוך ים המידע האינסופי. המחשב יכול לחשב ביעילות ולקחת בחשבון את הקומבינציות השונות של המילים והאותיות ואילו האדם לא ממש מסוגל לכך.

מנגנונים ושיטות לזיהוי אנומליות הינם שימושיים כמעט בכל היבט בחיינו בכלל ובעולם הדיגיטלי והאינטרנט בפרט. מצד אחד הם עוזרים לממשלות וארגונים לשפר ללא היכר את מערך ההגנה ולמנוע התקפות קטלניות והרסניות אך מצד שני הם יכולים להיות שימושיים בחיי היומיום עבור כל אחד מאיתנו, לעזור לנו להבין טוב יותר את המידע הרב באינטרנט ולזהות עבורנו מי ידיד ומי אויב.

ואם אתם תוהים איזו ביקורת היתה מזוייפת בדוגמה שנתנו אז התשובה היא שהראשונה היתה אמיתית והשניה מזוייפת…

 

כתבה זו פורסמה בגירסא הדיגיטלית של עיתון הארץ.

אתם קמים בבוקר, מסתכלים על האנשים שאתם מכירים כבר שנים, קוראים בעיתונים עליהם אתם מנויים, גולשים באתרי האינטרנט האהובים עליכם, צופים בסרטים ביו-טיוב, מאזינים למוזיקה האהובה עליכם באינטרנט ומסתכלים בפייסבוק על תמונות שלכם ושל אחרים. הכל נראה לכם כל כך מוכר, כל כך רגיל, כל כך תמים ולא מזיק. ומה אם לא כך הדבר? ומה אם בכל מקום ומקום יכול להיות מישהו שמסתיר מידע חשוב, מידע משמעותי שיכול להשפיע עליכם ועל סביבתכם בצורה כה קיצונית? האם באמת ניתן להסתיר מידע באופן כל כך טוב כך שאיש לא יחשוד במאומה? ובכן, זוהי אומנות הסתרת המידע.

לפני כאלפיים וחמש מאות שנה שלח היסטיאוס, השליט היווני של העיר מילטוס, הודעה חשובה לאחיינו אריסטגורס. ההודעה היתה כה חשובה וסודית וגילוייה ע”י גורמים זרים היה הרה אסון. היסטיאוס חכך בדעתו כיצד להעביר את ההודעה. הוא בחר את עבדו הנאמן ביותר בתור השליח אבל כיצד הוא יוכל להעביר את המסר הסודי ללא כל חשד. הרי הדרך לאריסטגורס ארוכה ואם העבד ייתפס יערכו עליו חיפוש ויתחקרו אותו. לכן אי אפשר להפקיד בידיו מכתב שעלול להתגלות וגם לא ניתן לספר לו מה ההודעה הסודית שכן הוא עלול להיבהל ולגלות אותה. לבסוף היסטיאוס מצא פיתרון ולאחר מספר שבועות יצא העבד הנאמן לדרך הארוכה, חלף על פני כל השומרים והחיילים והגיע ליעדו. כשפגש את אריסטגורס אמר לו משפט אחד: “יש בידי ידיעה חשובה ביותר מהיסטיאוס, אינני יודע מה ההודעה אך נתבקשתי למסור לך שעליך לגלח את שיער ראשי”. אריסטגורס המופתע עשה כן ולתדהמתו גילה על קרקפתו של העבד הודעה שקועקעה ע”י היסטיאוס והוסתרה לאחר מכן בעזרת שיערו של העבד שצמח בחזרה : “הגיע הזמן, צא לדרך, התחל את המרד בפרסים”.  זאת היתה יריית הפתיחה למרד הגדול של היוונים בפרסים. זאת גם הייתה ככל הנראה הפעם הראשונה בה השתמשו בסטגנוגרפיה להעברת מסרים סמויים.

מהי סטגנוגרפיה?
סטגנוגרפיה, בלטינית כתיבה מוסתרת, הינה אומנות הסתרת מידע ומסרים כך שכלפי חוץ הם ייראו תמימים ורגילים אך רק מי שאמור לקבל את ההודעה הסודית יוכל לקלף את שיכבת ההסתרה ולגלות את המסר הסמוי. השימוש בסטגנוגרפיה החל כפי שראינו לפני אלפי שנים ונמשך מאז לאורך כל ההיסטוריה ועד לימינו. מקובל לחלק את עולם הסטגנוגרפיה לשניים: הסתרה פיזית והסתרה דיגיטלית.

הראשונה היא בדיוק כמו בדוגמא של העבד שקועקע. הסתרה פיזית היתה נפוצה מאוד בכל המלחמות הגדולות, כולל מלחמות העולם הראשונה והשנייה והמלחמה הקרה. הקעקוע הוחלף בשיטות יותר מודרניות, נוחות ומהירות, כגון שימוש בדיו סתרים שהיה נפוץ בעולם הריגול לשם העברת מסרים ותקשורת חשאית מול מרגלים מעבר לקווי האויב.

בשנים האחרונות, עם ההתפתחות המהירה של העולם הדיגיטלי בכלל ועולם האינטרנט בפרט, הוחלפה הסטגנוגרפיה הפיזית בסטגנוגרפיה דיגיטלית. היתרונות הגדולים של השיטה הדיגיטלית הם שאפשר להסתיר הרבה מידע, בצורה טובה וחשאית, ולהעבירו תוך שניות מקצה אחד של העולם לקצהו השני באופן מוסתר ותמים לחלוטין. אם בשיטה הפיזית היינו מוגבלים לשימוש באמצעים פיזים בעזרתם מסתירים את ההודעה (כמו ראשו של השליח או מכתב עליו כותבים בדיו סתרים), בשיטה הדיגיטלית אפשרויות ההסתרה הן כמעט בלתי מוגבלות. למעשה ניתן להסתיר מסרים חשאיים כמעט בתוך כל מידע דיגיטלי העובר באינטרנט: תמונות, סרטים, שירים, מסמכים, גלישות באינטרנט, שיחות וידאו, אתרי חדשות, אתרי פורנו, פרסומות, משחקי אינטרנט, ערוצי רדיו וטלוויזיה באינטרנט ועוד ועוד.

הטענה הרווחת בעולם המודיעין הינה שאירגון אל-קעידה העביר לסוכניו מאות מסרים סמויים, טרם ההתקפה על ארה”ב ב-2001, ע”י הסתרתם בתוך תמונות שהועלו לאתר ebay. ידוע שארגוני טרור, כגון הג’יהאד, מדריכים את סוכניהם להסתיר מידע בתמונות וכן שארגוני מאפיה משתמשים בדרכים דומות לתקשורת חשאית. ב-2010 גילה ה-FBI שהרוסים מעבירים מסרים סמויים למרגלים שלהם בחו”ל ע”י שימוש בסטגנוגרפיה דיגיטלית.

סטגנוגרפיה ומערך הסייבר
בתקופה האחרונה אנו שומעים רבות על מלחמות הסייבר. אנו שומעים על הכלים המתוחכמים שמפותחים, על ההתקפות החדשניות, הסוסים הטרויאנים  והתולעים שגורמים נזקים בכל מקום. אנחנו שומעים על מטות סייבר שמוקמים ועל מערכי הגנה שנפרשים. אולם מה לגבי סטגנוגרפיה? האם גם לה יש קשר להתפתחויות האחרונות ולהערכויות העתידיות? כן, ועוד איך יש קשר.

ארגוני טרור וארגוני ביון המבצעים התקפות סייבר חשאיות נגד מערכות ממשלתיות, צבאיות ואזרחיות לשם גניבת מידע רגיש (מסמכים צבאיים, תרשימים מסווגים, זהויות, כרטיסי אשראי) או לשם התקפה קטלנית זקוקים לדרכים חשאיות להעברת מידע ופקודות. במקרה זה, התקשורת החשאית יכולה להתבצע מול המרגל האנושי שנמצא בתוך משרד ממשלתי או בתוך בסיס מודיעין או מול סוס טרויאני דיגיטלי שהושתל בתחנת כח. תקשורת מוסתרת בעזרת סטגנוגרפיה דיגיטלית מאפשרת את ביצוע התקשורת החשאית באופן כמעט בלתי ניתן לזיהוי ומהווה סיכון ממשי לביטחון הלאומי. ועל כן יש חשיבות עצומה לפתח ולשלב בתוך מערך הסייבר  שיטות לגילוי הערוצים החשאיים.

איך מתבצעת סטגנוגרפיה דיגיטלית?
הרעיון המרכזי של סטגנוגרפיה דיגיטלית הוא שניתן להסתיר את המסר החשאי ע”י ביצוע שינויים קטנים באמצעי הדיגיטלי (תמונה, סרט, שיר) כך שגם עין אנושית וגם אמצעי הגנה ממוחשב לא יוכלו להבחין בהם ולהבין שמדובר סטגנוגרפיה. שיטת הסטגנוגרפיה הדיגיטלית הידועה ביותר בעולם הינה הסתרת המסר החשאי בתמונה דיגיטלית הנשלחת באי-מייל, מוצגת ב-ebay, מפורסמת בפורומים או בפייסבוק.

מהי תמונה דיגיטלית?
תמונה דיגיטלית מורכבת ממאות אלפים ואף מליונים של נקודות קטנות, הנקראות פיקסלים. לכל פיקסל יש צבע משלו ואוסף כל הפיקסלים עם צבעיהם מרכיב את התמונות הדיגיטליות שאנו רואים בכל מקום באינטרנט. בתמונה ממוצעת יכול כל פיקסל לקבל צבע מתוך מגוון של כמעט 17 מיליון צבעים וגוונים. הצבע מתורגם למספר כך שכל פיקסל מיוצג באופן דיגיטלי ע”י מספר בין 0 לכ-17 מיליון. העין האנושית לא באמת מסוגלת לקלוט את המגוון העצום הזה של הצבעים ולשני פיקסלים בצבע אדום שנראים לעין האנושית בדיוק אותו הדבר יכול להיות ערך מספרי שונה. לדוגמא, בתמונה הבאה מופיעים שני ריבועים (פיקסלים) בצבע אדום, שניים בצבע שחור ושניים בכחול. לעין האנושית נראים שני הריבועים האדומים זהים אחד לשני, כמו גם השחורים והכחולים. בפועל יש הבדל קטן בגוונים והערכים המספריים של הריבועים שנראים בצבע זהה הינם שונים.

Different colors that look similar

לשם הפשטות, בואו ניקח את זוג הפיקסלים השחורים שנראים זהים אך ערכיהם המספריים שונים במקצת. נניח שהערך של הפיקסל השחור הימני הוא 1 ושל השמאלי הוא 2. כעת, נניח שיש לנו תמונה שחורה לגמריי, שמורכבת מפיקסלים שחורים בעלי הערך1, כמו הפיקסל הימני שלנו.  אם נחליף חלק מהפיקסלים האלה בפיקסלים בעלי הערך 2, כמו הפיקסל השמאלי שלנו, העין האנושית לא תקלוט את ההבדל ומבחינתה שתי התמונות (לפני השינוי ואחריו) ייראו זהות לחלוטין. כלומר, ביצענו שינוי מזערי בערך של פיקסלים מסויימים והחלפנו אותם בפיקסלים שנראים לעין בדיוק אותו הדבר אך בפועל התמונה השתנתה.

איך מסתירים את המסר החשאי?
נמשיך עם הדוגמא של התמונה השחורה. נניח שתמונה זאת מורכבת ממיליון פיקסלים שלכולם אותו צבע המיוצג ע”י המספר 2. כפי שראינו, נוכל להחליף כל פיקסל בתמונה בצבע המיוצג ע”י המספר 1  ואף אחד לא יוכל להבחין בכך. כלומר נוכל לבחור כרצוננו האם לפיקסל יהיה ערך אי-זוגי (1) או זוגי (2). נניח שאנחנו רוצים להסתיר בתוך התמונה מסר כתוב. בדומה לקוד מורס, נקודד כל אות ע”י רצף של חמישה מספרים זוגיים או אי-זוגיים. למשל, את האות A נייצג ע”י רצף של חמישה מספרים זוגיים: מספר זוגי ואחריו זוגי ואחריו זוגי ואחריו זוגי ואחריו זוגי. את האות B נייצג ע”י אי-זוגי, זוגי, זוגי, זוגי, זוגי. את האות C נייצג ע”י זוגי, אי-זוגי, זוגי, זוגי וכן הלאה את כל האותיות. באופן הזה כל אות מיוצגת ע”י רצף ייחודי של חמישה ערכים זוגיים או אי-זוגיים. על מנת להסתיר את המסר “Trust no one” אנחנו צריכים לשנות בתמונה 60 פיקסלים – חמישה עבור כל אות או רווח במסר החשאי. תחילה ניקח את חמשת הפיקסלים הראשונים בתמונה ונזכור שלכולם יש את הערך המקורי 2. האות T מיוצגת בקוד שיצרנו ע”י רצף של חמישה מספרים: אי-זוגי, אי-זוגי ,זוגי,זוגי,אי-זוגי. כלומר עלינו לשנות את הפיקסל הראשון, שני וחמישי בתמונה מזוגי (2) לאי-זוגי (1). בצורה זו נמשיך לשנות את הפיקסלים בהתאם לקידוד הרצוי, כפי שמתואר בתמונה הבאה.

Encoding of the secret message

מכיוון שבתמונה שלנו יש מיליון פיקסלים וכל חמישה פיקסלים מייצגים אות אחת מהמסר החשאי, ניתן להסתיר כ-200,000 אותיות בתמונה. את התמונה עם המסר החשאי נוכל לשלוח למשל באי-מייל אל היעד שלנו. מי שיבחן את התמונה לא יבחין בשום דבר מוזר או חשוד אך מקבל ההודעה שמכיר את שיטת ההסתרה שלנו יוכל לפענח את המסר החשאי. כל שעליו לעשות הוא לעבור על הפיקסלים מההתחלה ועד הסוף ולהחליף כל חמישה פיקסלים באות אחת לפי טבלת הקידוד שהגדרנו בהתאם לזוגיות/אי-זוגיות של ערכו המספרי של כל פיקסל.  בדוגמא הבאה הסתרנו מסר חשאי, סודי ואישי ביותר המכיל עשרות משפטים. התמונה העליונה הינה התמונה המקורית והתמונה התחתונה הינה התמונה המכילה את המסר החשאי – הן נראות זהות לחלוטין.

Original and hidden

אם אתם רוצים להתנסות בהסתרת מידע בתמונות, כנסו לאתר זה, בחרו תמונה בה אתם מעוניינים להסתיר מידע, כיתבו את המסר החשאי והאתר יבצע את ההסתרה עבורכם. לאחר מכן עקבו אחר ההוראות באתר המסבירות כיצד לחלץ אץ המסר המוסתר מתוך התמונה.

שיטות סטגנוגרפיה מתקדמות 
השיטה שהדגמנו להסתרת מסרים בתמונה הינה פשוטה וקלה למימוש אך ע”י שימוש בניתוח סטטיסטי של ערכי הפיקסלים בתמונה ניתן להבין כי היא לא כל כך תמימה כפי שהיא נראית לעין וככל הנראה בוצעו בה שינויים לשם הסתרת מידע. שיטות הסטגנוגרפיה שפותחו בשנים האחרונות הן מתוחכמות בהרבה ומערבות שימוש באלגוריתמים מתמטיים מורכבים המונעים כמעט כל זיהוי. שיטות אלה מפותחות ע”י מיטב המתמטיקאים בעולם ובסופו של דבר מוצאות את דרכן הן לארגוני טרור והן לארגוני ביון. בין היתר מדובר בהסתרות חזקות בתוך סירטוני וידאו, קבצי מוזיקה ופרוטוקולי תקשורת. שיטת סטגנוגרפיה טובה הינה נשק סייבר לכל דבר שבסופו של יום יכול לחרוץ גורלות של אנשים, אירגונים ומדינות.

הסתכלו ימינה, הסתכלו שמאלה, האם אתם עדיין בטוחים שהעולם סביבכם הוא כמו שהוא נראה או שמא מסרים חשאיים וסודיים מוסתרים בכל עבר? אכן, זוהי אומנות הסתרת המידע.

 

Jan 122012
 

במה מדובר ?

כל מי שצפה אי פעם בספורט מכיר ביטויים כמו “יד חמה”, “הוא רותח”, “נכנס לאזור”, “המומנטום איתם”, וכן הלאה, אבל למה באמת הכוונה? בשנת 1985 כאשר תומס גילוביץ, רוברט ולונה ועמוס טברסקי חקרו את התופעה הזאת בפעם הראשונה, הם הגדירו אותה כ: “… ביטויים אלה מבטאים את האמונה כי ביצועים של שחקן בתקופה מסוימת הם משמעותית טובים יותר מהצפוי על בסיס תוצאותיו של השחקן לאורך זמן”. המסקנה שלהם הייתה כי מה שאנשים נוטים לפרש כמו “יד חמה” הוא למעשה אשליה קוגניטיבית הנגרמת על ידי תפיסה שגויה של סדרות אקראיות. עד לאחרונה, היו ראיות מועטות, אם בכלל, היכולות לשלול את המסקנה שלהם. עם זאת, תור הזהב של המידע הזמין וכוח המחשוב הצית מחדש את הוויכוח הזה וסיפק הוכחות מפתיעות התומכות בקיומה של תופעה זו בענפי ספורט שונים.

יד חמה - תמונה: גור יערי

כדי להבין מה זה “צפוי”, נגביל את הדיון הנוכחי לתוצאות שניתן להגדיר באופן בינארי, כלומר הצלחות וכישלונות. הכוונה היא שבכל נסיון, התוצאה מוגרלת באופן אקראי עם סיכויי הצלחה כלשהם. עם ההגדרה הזאת, את המילים “…מהצפוי על בסיס תוצאותיו של השחקן לאורך זמן” ניתן לפרש כ: ההסתברות להצלחה בכל ניסיון היא בלתי תלויה בתוצאות הקודמות וסיכויי ההצלחה קבועים לאורך זמן.

 גילוביץ ולונה וטברסקי טענו כי סדרת תוצאות קליעות בכדורסל אינה נבדלת מסדרה שנובעת מהטלה חוזרת של מטבע לא מאוזן (ייתכן ולמטבע הסתברות ההצלחה שונה מ % 50). למרות השפעתו הרבה של מאמר זה בקהילה המדעית, מסקנות אלו נותרו שנויות במחלוקת. הרוב המכריע של אוהדי הספורט עדיין מאמינים כי לפעמים השחקנים אכן “בוערים”. עמוס טברסקי, תיאר את המצב ואמר: “השתתפתי כבר באלף ויכוחים על הנושא הזה, זכיתי בכולם, אבל לא שכנעתי אף אחד”. סטיבן ג’יי גולד כתב “כולם מכירים את ה”יד החמה”. הבעיה היחידה היא כי לא קיימת תופעה כזו. “

הייתכן כי האוהדים צדקו אחרי הכל? התשובה היא קצת מורכבת ותלויה במשימה הספציפית, אך הנתונים מרמזים כי היד חמה אכן קיימת ולא רק בדמיון.

כאשר חוקרים תופעה זו, אחד מגורמי הסיבוך העיקריים הוא נוכחות היריב. ההסתברות להצלחה של המשימה אינה תלויה יותר ביכולת השחקן בלבד, אלא גם בביצועים ובאסטרטגיה של שחקני הקבוצה היריבה. שחקן ש”נכנס לאזור” צפוי לשנות את אסטרטגיית ההגנה של הקבוצה היריבה, מה שיגרור משימות קשות יותר עבורו. יתר על כן, ליריבים שונים יש כישורים שונים הגוררים משימות בדרגות קושי משתנות. גורמים אלו הופכים את משימת זיהוי היד החמה לקשה הדורשת מודלים מורכבים יותר. כדי להקל על משימה זו, ניתן ללמוד משימות עם הפרעות חיצוניות מינימליות.

אז איך אפשר להבחין בין “סדרה אקראית טהורה” (למעשה, הטלות חוזרות של מטבע) ומשהו אחר? לצורך זה, קיימת הסטטיסטיקה. מבלי להיכנס לפרטים טכניים של מבחנים סטטיסטיים שונים, נציין רק נקודה חשובה ביותר: העובדה כי מבחן סטטיסטי אינו מזהה תופעה, אינה אומרת כי תופעה זו איננה קיימת! מבחנים סטטיסטיים רבים נועדו לדחות את השערת האפס – העובדה שלא ניתן לדחותה אינה מעידה כי השערת האפס נכונה. ייתכן ובמקרה זה המבחן סטטיסטי אינו רגיש מספיק עבור סוג הנתונים והתופעה. ייתכן גם כי במקרה זה הנתונים אינה מספיקים כדי להניב תשובה החלטית. במקרה של תופעת היד החמה, התברר כי שתי האפשרויות התקיימו: מבחנים סטטיסטים ששימשו רבים מחוקרי תופעה זו לא היו רגישים מספיק. כמו כן במקרים רבים לא היו די נתונים כדי לקבל תשובה וודאית (ראו מצגת נפלאה של חתן פרס נובל בריאן ג’וזפסון על סוג זה של שגיאה חוזרת במדע ושני מאמרים על מבחנים לא מספיק רגישים שנעשה בם שימוש על מנת לזהות את תופעת היד החמה).

אז מה חדש?

עד לאחרונה, לא היו כמעט שום עדויות לנוכחות של תופעת “היד החמה” בספורט (ראו סקירה). עם זאת, לאחרונה, שיטות כריית נתונים ומבחנים סטטיסטים מסוימים השתפרו באופן דרמטי, ותופעת “היד החמה” קיבלה תמיכה בתחומים שונים. כמה דוגמאות הן (ראו גם כאן):
- זריקות עונשין בכדורסל (ראו מאמר קודם שלנו שמסוקר גם כאן)
- סטרייקים באולינג (המאמר האחרון שלנו והפרסום הקודם).
- סיכויי חבטה בבייסבול
- כדורעף
מקיום תופעת היד החמה נובע שלא, אי אפשר למדל סדרה של תוצאות ספורט של ספורטאי עם הטלה חוזרת של מטבע. התנודות שנצפו בין תקופות טובות ורעות היו גדולות מהצפוי על ידי תהליך אקראי בלתי תלוי.

דוגמה מעניינת נוספת הסותרת את קיום התופעה הוראתה בזריקות לשלוש בכדורסל – שם הודגם כי הנתונים מרמזים על “אנטי יד חמה”. אבל כאמור במסגרת כזו האסטרטגיה ההגנתית חשובה והיא צפויה להשפיע על הביצועים של השחקן – שחקן שיש לו “יד חמה” ימשוך יותר תשומת לב מההגנה – מה שיכול לשנות את דרגת הקושי של זריקות עתידיות.

דוגמאות אלו מראות למעשה קורלציה בין התוצאות הנוכחיות והתוצאות הקודמות, כך שביצועיו של הספורטאי הם לא רק תהליך אקראי בלתי תלוי. האם זה אומר כי “הצלחה מולידה הצלחה” ו”כישלון מוליד כישלון” או שזה משהו אחר?

מתאם (קורלציה) מול סיבתיות (קוזליות)

רוב האנשים יסכימו כי קיים קשר מובהק בין תנאי מזג האוויר ומספר האנשים שנושאים מטריות פתוחות – מספר זה גדל באופן משמעותי בימים גשומים. האם זה אומר כי מטריות נפתחו גורמות לגשם? האם מצאנו כרגע את הפתרון למשבר המים בארץ ולבצורת בכלל ?

 מתאם וסיבתיות מעורבבים תכופות יחדיו. מנקודת מבט סטטיסטית, זו שאלה קשה. המוח האנושי מחפש לעתים קרובות אחר “הסברים” ולכן נוטים רבים לפרש מתאם כסיבתיות. כדי להוכיח שמשהו גורם למשהו אחר, יש לבצע מחקרים מפורטים יותר ולא להסתמך על קשר סטטיסטי בלבד. מתאם הוא חיוני לסיבתיות, אבל לא מספיק.

למרות ההגדרה הנ”ל, חוקרים רבים מתייחסים לתופעת “היד החמה” כסוג של מנגנון “משוב” פסיכולוגי, אשר גורם לשינוי ביצועי ספורטאים כתוצאה מתוצאות העבר שלהם (סיבתיות). מה שאנחנו וחוקרים אחרים הראו לאחרונה הוא כי קיים מתאם בין התוצאות הנוכחיות והקודמות – אבל האם זה אומר כי התוצאות הקודמות משפיעות על ביצועי השחקנים בניסיונות הבא שלהם (סיבתיות)? במאמר שפורסם ב PLoS ONE, אנו (גור יערי וגיל דוד) מציגים ניתוח של תופעת “היד החמה” בנתוני באולינג. ניתחנו כ50,000 משחקי באולינג, שנלקחו מאתר האינטרנט של האגודה לבאולינג מקצועני (PBA). כל משחק היה מיוצג כסדרת מסגרות של אפסים ואחדות. אם יש “סטרייק” במסגרת מסוימת, זה נרשם כהצלחה (1), אחרת ככישלון (0).

הצלחנו לספק ראיות שמראות כי שחקנים חוו משחקים “טובים” ומשחקים “רעים”, שלא יכולים להיות מוסברים אך ורק על ידי אקראיות טהורה: כלומר, הסדרה לא יכולה להיות ממודלת כהטלה חוזרת של מטבע. תצפית זו מאמתת את קיומה של ה”יד חמה” בבאולינג, בדומה למחקרים קודמים בתחום זה. בנוסף, הראינו כי בתוך כל משחק, ההצלחות והכישלונות (כלומר, סטרייקים ולא סטרייקים) לא מקובצים יחד בצפיפות – להפך, הם מפוזרים באקראי בתוך כל משחק. לפיכך הראינו, כי תוצאה של מסגרת אחת אינה משפיעה על התוצאה של המסגרת הבאה באופן סיבתי – אם לשחקן הייתה הצלחה במסגרת הרביעית, זה כשלעצמו אינו משפיע על ביצועי השחקן במסגרת החמישית.

מצד שני הראינו, כי ניתן להשתמש בתצפית הראשונה של משחקים “טובים” ומשחקים “רעים” (מתאם) כדי לשפר את תחזית התוצאות של המסגרות האחרונות במשחק, בהתבסס על סדרת כל המסגרות הקודמות . במילים אחרות, העובדה כי שחקן השיג תוצאות טובות במהלך 8 מסגרות הראשונות מרמז כי מדובר במשחק “טוב” שלו/שלה ולכן ההסתברות ההצלחה במסגרות הנותרות תהיה גבוהה יותר.

אנלוגיה אשר עשויה לסייע להבין את התוצאות הללו היא לדמיין שני מטבעות:
המטבע הראשון הוא מטבע הוגן עם סיכוי של 50% לראש וסיכויי של 50% לזנב בכל הטלה.
תוצאות המטבע השני היא ראש בהסתברות של 99% עבור 50 הטלות (יום אחד), ואז זנב בהסתברות של 99% עבור 50 ההטלות הבאות וכן הלאה (ניתן לחשוב על זה כעל שחקן עם ימים מאוד טובים וימים מאוד רעים לסירוגין).
אם עכשיו, ניתנו בידכם שתי תוצאות רצופות של שני המטבעות: עבור המטבע הראשון, תוצאת ההטלה הראשונה לא משנה את העובדה כי התוצאה בהטלה השנייה תהיה ראש בהסתברות של 50%.
מצד שני, עבור המטבע השני (זה עם “יד חמה”), אם ההטלה הראשונה הייתה ראש – זה אומר כי ככל הנראה יש לו יום טוב ולכן, ההסתברות קבלת ראש בהטלה השנייה תהיה ~ 98% . לעומת זאת אם ההטלה הראשונה הייתה זנב, ככל הנראה זהו יום רע והסתברות קבלת ראש בהטלה השנייה תעמוד על ~98% .

 כפי שניתן לראות לשני המטבעות הסתברות של 50% להציג ראש בטווח הארוך ולשניהם ימים טובים וימים רעים. עם זאת, רק בתוצאות המטבע השני ניתן לזהות “יד חמה” – וזאת בגלל גודל התנודות בין ימים טובים ורעים (ימים טובים הם ממש טובים וימים רעים הם ממש רעים!).

 יתר על כן, תוצאות המטבע השני לא נובעות מסיבתיות – כלומר, התוצאה היא ראש (לדוגמה) כי ככל הנראה זהו יום טוב ולא מפני שההטלה הקודמת הייתה ראש.

תוצאות מחקר זה והאחרים שהוזכרו כאן מראים כי הביצועים של השחקן אינם מושפעים מתוצאות הניסויים הקודמים, אלא מגורמים אחרים הגורמים לסדרת התוצאות להיות מורכבת יותר מאשר סדרה פשוטה של הטלות מטבע חוזרות. למרות שאולי לחלקכם זה נשמע מובן מאיליו, זה לא היה מוסכם על הקהילה המדעית עד לאחרונה. תוצאות אלו פותחות את הדלת עבור מחקרים עתידיים שינסו לענות על שאלה חשובה יותר: מה באמת גורם לספורטאים לבצע טוב יותר את המשימה שלהם וכיצד הם יכולים להשתמש זה סוג של ידע כדי לשפר את הביצועים שלהם בעתיד.

 

כתבה זו פורסמה בגירסא הדיגיטלית של עיתון הארץ.

בתקופה האחרונה אנו עדים להתקפות רבות ומגוונות בעולם הסייבר. אנו שומעים על אתרי מסחר שנפרצים ומספרי כרטיסי אשראי של לקוחותיהם נגנבים, תולעים המתפשטות בעולם ומשתקות כורים גרעיניים, אתרי אינטרנט ממשלתיים שקורסים תחת התקפות וסוסים טרויאנים שגונבים מידע פיננסי רגיש מבנקים. כיצד ייתכן שעם כל המשאבים הרבים המושקעים (או לא?) בהגנת עולם הסייבר, עדיין ניתן לפרוץ כמעט לכל מערכת בעולם – בין אם היא באירן, ישראל או ארה”ב?

בעולם הסייבר מקובל לסווג את שיטות ההגנה לשתי קטגוריות עיקריות. הראשונה הינה הגנה המבוססת על זיהוי עפ”י חתימות והשניה מבוססת על זיהוי עפ”י אנומליות (חריגות, יוצאי דופן).

מה ההבדל בין חתימות לאנומליות?
בוא נקפוץ רגע החוצה מהעולם הוירטואלי לעולם האמיתי, אל הקניון הקרוב לביתכם.

בכניסה לקניון עומד מאבטח, שבוחן את מאות הנכנסים לקניון ומחפש ביניהם את אותו אחד שעלול לבצע פיגוע. טרם הצבתו בעמדה, המאבטח עבר הכשרה שבמסגרתה ניתנו לו מספר קווים מנחים לאיתור חשודים אפשריים. למשל, אם אנחנו בקיץ וחם מאוד בחוץ ופתאום נכנס לקניון מישהו עם מעיל פוך נפוח אז כדאי מאוד שתעצור אותו. או אם מתקרב לשער הכניסה מישהו המחזיק רימון ביד אחת, אקדח ביד השניה וחגורת נפץ סביב מותניו, זה סימן שהגיע הזמן לשלוף את האקדח שלך. בנוסף, הוא גם קיבל רשימה של קלסתרונים של חשודים אותם יש לעכב באופן מיידי ולמנוע מהם בכל מחיר מלהיכנס לקניון. למעשה, מה שהגדרנו כאן זו רשימה של חוקים או חתימות. אם אתה רואה כך וכך אז זה סימן שהגיע הזמן לפעול. כאשר המאבטח עוקב אחר הנכנסים לקניון ומשווה אותם (מראם החיצוני, פעילותם, התנהגותם) אחד לאחד לרשימת החוקים שהוכנה לו מראש הוא יכול לזהות ולעצור 100% מהאנשים העונים באופן מלא לאחד מהחוקים לאיתור חשודים. באופן הזה אנו משיגים הגנה מוחלטת ומלאה מפני איומים אותם ידענו לאפיין מראש ולתרגם אותם לסט של חוקים ברורים וחד משמעיים.

 אולם, מה קורה אם מגיעה לקניון אישה קשישה הנראית בשנות השמונים לחייה אשר נושאת על גבה צ’ימידן ולמותניה מחובר מנשא תינוק? המאבטח הנאמן שלנו מביט ברשימת החוקים שלו ולא מוצא אף חוק העונה לתרחיש הקשישה. למעשה אפילו ייתכן שמוגדר לו לא לעכב קשישים וקשישות לבדיקה. האם מערך ההגנה נפרץ לרווחה והמחבל שהתחפש לקשישה הצליח בקלות להערים על המאבטח ולהחדיר לקניון תיק עמוס חומרי נפץ?

Anomaly

לא, מערך ההגנה לא כשל והמאבטח העירני זיהה את האיום. אומנם המאבטח מודע לכך שהקשישה לא עונה לאף אחד מהחוקים שהוגדרו לו אבל השילוב של קשישה בת שמונים, צ’ימידן כבד על גבה ומנשא תינוק המחובר למותניה מוגדר באופן מיידי במוחו של המאבטח כמשהו חריג, לא הגיוני. זו אנומליה. משהו שאינו מתחבר בצורה הגיונית לכל מה שהוא ראה וחווה בעבר. משהו שמצריך עיכוב, בדיקה מעמיקה ווידוא שלא מדובר בנסיון התקפה מוסווה תחת מעטה נורמלי ורגיל. זאב בעור של כבש.

בעוד שמערכת החוקים הוגדרה באופן קשיח מראש, המערכת לזיהוי אנומליות הינה מובנית במוחו של המאבטח. היא מתבססת על כל מה שהוא מכיר עד כה, על כל מה שהוא למד במשך השנים, על השכל הישר וההגיון הפשוט. המוח הינו מנגנון משוכלל שיודע להתאים תרחישים לתבניות ולאתר באופן אוטומטי את החריג, את מה שלא מסתדר. את האנומליות. מנגנון זיהוי האנומליות הוא זה שמאפשר לו לאתר איומים חדשים עליהם לא שמע בעבר ולשפר לעין שיעור את מערך ההגנה.

הגנה בעולם הסייבר
כמעט כל מערכות ההגנה הוירטואליות המוכרות לכם הן מערכות המבוססות על חוקים וחתימות. החל מחומות אש, דרך מערכות רשתיות לזיהוי התקפות ועד למערכות ביתיות לזיהוי התקפות (כמו אנטי-וירוסים, אנטי-ספאם, אנטי-פישינג ועוד).

מה הוא חוק בעולם הוירטואלי ומי מגדיר אותו?
בשנת 2000 נשלח מהפיליפינים אי-מייל למספר משתמשים בעולם. בשורת הנושא נכתבה מילה אחת, ILOVEYOU, ולאי-מייל צורף קובץ אחד, LOVE-LETTER-FOR-YOU.txt.vbs. זו היתה יריית הפתיחה לאחת התולעים ההרסניות ביותר בהיסטוריה של עולם האינטרנט. כאשר משתמש קיבל את אי-מייל האהבה ופתח את מכתב האהבה המצורף, התולעת פגעה קשות במחשבו, לא לפני ששיכפלה את עצמה ושלחה מיילים דומים ל-50 אנשי הקשר המופיעים ראשונים ברשימת אנשי הקשר של המשתמש המותקף. אף מערכת אבטחה לא זיהתה את התולעת, ולכן גם לא מנעה מהמשתמש לפתוח את הקובץ המצורף. אולם חמור מכך, אף מערכת אבטחה לא מנעה את הפצתו הויראלית של המייל מהמחשב המותקף ל-50 אנשי הקשר שלו ועל כן לא נעצרה התפשטותה של התולעת הזדונית. לאחר עשרה ימים מאז ההפצה הראשונית של התולעת נדבקו מעל 50 מיליון מחשבים בעולם והנזק העולמי נאמד בכ- 6 מיליראד דולר!

Worm infection rate

כיצד ניתן לייצר (בדיעבד) חוק שיזהה את התולעת?
דוגמא לחוק אפשרי: אם מגיע אי-מייל שבכותרת מופיעה המילה ILOVEYOU ומצורף לו קובץ יחיד ששמו LOVE-LETTER-FOR-YOU.txt.vbs אז השמד את האי-מייל במיידי (בפועל, החוק גם יכיל חלק מהטקסט המופיע בתוך הקובץ המצורף). את החוק הזה תגדיר חברת האנטי-וירוס, שחקרה את התולעת והבינה איך לאפיין אותה ולייצר את החתימה שכרגע הגדרנו. כעת חברת האנטי-וירוס תשלח עדכון לכל תוכנות האנטי-וירוס של לקוחותיה, התוכנות יוסיפו לרשימת החוקים שלהן את החוק החדש, וכאשר יגיע אי-מייל העונה לחוק זה, תוכנת האנטי-וירוס תשמיד אותו לפני שהמשתמש יוכל לפתוח אותו ולהיפגע.
כלומר, תוכנות האבטחה מחזיקות מאגרים של חוקים וחתימות של תולעים, סוסים טרויאנים ווירוסים ובצורה זו הן יכולות להגן על משתמשים, אתרי אינטרנט ורשתות, בדיוק כמו המאבטח שלנו בקניון שהשווה כל אדם לרשימת החוקים לאיתור חשודים שהוגדרה לו מראש.

אולם, מה קורה אם מישהו מייצר גירסא חדשה של וירוס ILOVEYOU שהכותרת שלו היא Message from your lover ומצורף אליו קובץ בשם PICS-OF-YOUR-LOVER.pdf? החוק שהגדרנו לאפיון תולעת ה-ILOVEYOU לא תקף במקרה הזה, תוכנות האנטי-וירוס לא ימצאו התאמה למאגר החוקים שלהן והטרוריסט המחופש לגברת הקשישה יעבור בחופשיות אל תוך הקניון. בעולם האבטחה אנו קוראים להתקפה מסוג זה Zero day attacks – התקפה שלא נראתה בעבר ואף אמצעי הגנה לא מכיר אותה עדיין ולכן גם אין חוקים שיכולים לזהות אותה. מה שנדרש במקרה הזה הוא מערכת לזיהוי אנומליות.

מהי אנומליה באולם הוירטואלי וכיצד ניתן לזהות אותה?
הנה דוגמא למנגנון לזיהוי אנומליות, שיכול היה למנוע את התפשטות תולעת ILOVEYOU ודומיה. מנגנון זה לומד ומאפיין את הדרך בה שולח המשתמש אי-מיילים. הוא בונה לעצמו פרופילים שונים של התנהגויות המאפיינות שליחת אי-מיילים ע”י המשתמש. למשל, כאשר אני מפעיל מנגנון זה אצלי הוא בוחן את המיילים אותם אני שולח, בודק לאן אני שולח אותם ומתוך זה מאפיין באופן אוטומטי את קבוצות האנשים אליהם אני שולח מיילים. למעשה הוא בונה עבורי פרופילים שונים של התנהגויות אותן הוא ראה אצלי. לדוגמא, בשעות הבוקר אני שולח מיילים בעיקר לעובדים במשרד או ללקוחות, בשעות הערב אני שולח מיילים בעיקר לחברים, בסופי שבוע בעיקר למשפחה וקצת לחברים אבל לא ללקוחות ולעיתים רחוקות אני שולח לאנשי מקצוע (מוסך, אינסטלטור, חשמלאי). כל הלימוד מתבצע באופן אוטומטי והפרופילים המאפיינים את ההתנהגות המיילית שלי מתעדכנים כל הזמן. נדגיש כי בדוגמא הזאת פישטנו בהרבה את האופן שבו עובד מנגנון לזיהוי אנומליות ובפועל הוא בונה פרופילים מורכבים המתחשבים באלפי משתנים ופרמטרים.

כעת, נניח שאותה תולעת ILOVEYOU תקפה אותי והיא מנסה להתפשט ממני ולהדביק אחרים. זיכרו שתולעת זו משכפלת את המייל הזדוני ל-50 האנשים הראשונים המופיעים ברשימת אנשי הקשר שלי. אני מזמין אתכם לבצע תרגיל פשוט – פיתחו את רשימת אנשי הקשר שלכם והסתכלו על 50 האנשים הראשונים המופיעים ברשימה. מה משותף להם? האם יש קשר ביניהם? האם אי פעם בעבר שלחתם אל כולם את אותו המייל באותו הזמן? מה הסבירות שמייל שלכם יישלח אל כל ה-50 הראשונים באותו הרגע?

אצלי למשל מופיעים ברשימה 7 חברים (קשר יומיומי), 8 אנשים מהעבודה (קשר במשך היום), 8 לקוחות, 6 בני משפחה, 3 חברים לריצה (סופי שבוע), 4 חברים מהמילואים (פעמיים בשנה), סוכנת הנסיעות (פעמיים בחודש), המוסכניק (פעם בשנה), 5 חברים מהאוניברסיטה (לא בקשר) ועוד 5 (קשר מזדמן) ועוד שני אנשי קשר שאין לי מושג מי הם ואיך הם הגיעו לפנקס הכתובות שלי. שום דבר לא מקשר בין 50 האנשים האלה כקבוצה, מעולם לא שלחתי אליהם את אותו המייל באותו הזמן ואפילו לא שלחתי להם מיילים שונים באותו הזמן. אני מניח שאצל רובכם המוחלט המצב הוא דומה, ו-50 האנשים הראשונים שייכים לקבוצות שונות הנבדלות באופן מובהק אחת מהשניה.

כלומר, המייל הזה שתוכנת הדואר שלי מנסה לשלוח ל-50 האנשים הראשונים ברשימה הוא חריג, יוצא דופן, אנומליה. מנגנון הלימוד וזיהוי האנומליות שלנו יזהה זאת באופן מיידי שכן הפרופיל שלו חריג מאוד ולא דומה לשום דבר שהמנגנון ראה או למד בעבר. למרות שהתולעת שינתה את פניה, החליפה כיסוי, שינתה את הכותרת ואת התוכן, והיא איננה עונה על אף חוק שאופיין עבור ה-ILOVEYOU המקורי, מנגנון זיהוי האנומליות זיהה אותה באופן מיידי שכן ההתנהגות שלה (ולא רק התוכן) היתה חריגה ולא תאמה את המוכר והנורמלי.

בתמונה הבאה מוצג אוסף של מאות מיילים שנשלחו מהמחשב שלי. כל נקודה מייצגת אי-מייל אחד שנשלח. התמונה המתקבלת היא ענן של נקודות הנראות אקראיות לגמרי.

A random organization of the e-mails

מכיוון שכל אי-מייל מורכב ממאות משתנים המורכבים מיעד השליחה, תאריך ושעה, כותרת, תוכן, טקסט ומסמכים מצורפים, התמונה הכוללת חסרת סדר לחלוטין ולא ניתן להבין ממנה מה נורמלי ומה חריג.

כעת נראה מה מעלה הניתוח של המנגנון לזיהוי אנומליות. מנגנון זה יודע לנתח בצורה חכמה את מאות המשתנים המרכיבים כל אי-מייל, לאפיין אותם ולארגן אותם במבנים גיאומטריים בעלי משמעות. מבנים אלה הם כל כך ברורים שאפילו מישהו שאיננו מהתחום יכול לזהות את האנומליות בקלות.

בתמונה הבאה מוצג אותו אוסף של מאות מיילים לאחר שנותח ואורגן מחדש ע”י מנגנון זיהוי האנומליות. כל נקודה מציינת א-מייל שנשלח על ידי. ניתן לראות שהאי-מיילים מסודרים במבנה גיאומטרי ברור בצורת בננה. יש מיילים באיזור הכחול במרכז (מיילים לחברים), יש מיילים באיזור הצהוב מצד ימין (מיילים למשפחה) ומיילים באיזור הצהוב מצד שמאל (מיילים ללקוחות) ולמעשה כל ה”בננה” הגדולה מסמלת את האיזור הנורמלי שאופיין ע”י מנגנון האנומליות.

לעומת זאת, במרכז התמונה יש מספר נקודות בודדות בצבע אדום. נקודות אלה רחוקות מכל שאר הנקודות (בבננה הגדולה) והן מוגדרות באופן אוטומטי ע”י המנגנון כאנומליות – חריגות שאינן קשורות לאיזור הנורמלי. ואכן, כל הנקודות האדומות הן מיילים שהתולעת ניסתה לשלוח מהמחשב שלי על מנת להתפשט למשתמשים אחרים. מנגנון זיהוי האנומליות זיהה אותם בהצלחה והצליח לעצור את המיילים הזדוניים מבעוד מועד.

Detection of the worms

מכיוון שמנגנון זיהוי האנומליות של המאבטח מהקניון כמעט ולא קיים במוצרי האבטחה הקיימים היום בעולם הסייבר, אנו ממשיכים להיות עדים להתקפות, פריצות, חדירות וגניבות מידע. אומנם מנגנונים לזיהוי אנומליות אינם מספקים הגנה של 100% וגם להם יש מספר חסרונות אולם תרומתם למערך ההגנה הינה מכרעת. עד שלא ישולבו מנגנוני הגנה אלה באופן משמעותי ונרחב במערך הסייבר, ימשיכו כל מערכות המחשב למיניהן להיות פגיעות וחשופות להתקפות ההרסניות ביותר. ועדיין לא הזכרנו את הסוסים הטרויאנים שחודרים למערכות דרך אמצעי ההגנה ומחכים ליום הדין בו תינתן להם הפקודה לבצע השמדה כוללת ואז גם נגלה שגניבת מספרי כרטיסי האשראי היא הדאגה הקטנה ביותר שלנו…

מטה הסייבר, לתשומת לבך!

 

כתבה זו פורסמה בגירסא הדיגיטלית של עיתון הארץ.

מי רוצה להיות אנונימי באינטרנט?
האינטרנט איננו אנונימי. ברוב המקרים ניתן לקשר משתמשים וירטואלים (והפעילות אותה הם מבצעים באינטרנט) אל זהותם האמיתית. עבור המשתמש הממוצע, חוסר האנונימיות אינו מהווה בעיה אבל לפעמים משתמשים כן מעוניינים לשמור על אנונימיות מוחלטת באינטרנט. לדוגמא, עיתונאי המעוניין לתקשר בצורה אנונימית עם מקורותיו, משתמשים שרוצים לעקוף את הצנזורה אותה מטילה ממשלתם על האינטרנט בארצם, ארגוני ביון המעונינים להשתתף בפורומים אפלים אך רוצים להסתיר את זהותם האמיתית ובלוגרים שרוצים לפרסם כתבות נשכניות באופן אנונימי.

נניח שאתם רוצים להשאיר תגובה לכתבה שפורסמה באתר חדשות כלשהו. בעת כתיבת התגובה אתם נדרשים למלא את פרטיכם (שם וכתובת אי-מייל). נניח שאתם לא רוצים שיקשרו את התגובה לזהותכם האמיתית. במקרה כזה את משאירים פרטים (שם וכתובת אי-מייל) בדויים.  האם הצלחתם לשמור על אנונימיות? לא ממש. האם למרות שלא השתמשתם בפרטים האמיתיים שלכם ניתן יהיה לקשר את התגובה לזהותכם האמיתית ולהגיע אפילו עד לביתכם? התשובה היא כן. עבור גורמים מסויימים יהיה מאוד קל לגלות את זהותכם האמיתית.  כל ניסיון דומה לזייף את פרטיכם ולהסתיר את זהותכם האמיתית נידון לכשלון, ואם אתר החדשות מאוד ירצה להגיע אליכם זה בהחלט אפשרי. ברוב המקרים, עם עזרה מרשויות החוק זה גם מאוד קל. לא, אתם בהחלט לא אנונימים באינטרנט.

על אנונימיות בעולם האמיתי
בואו נעזוב לרגע את העולם הוירטואלי ונביט על דוגמא מהעולם האמיתי.
אליס, שגרה בזכרון יעקב, מעוניינת לשלוח חבילה בדואר לבוב, שגר בירושלים. לאליס יש תיבת דואר על שמה ובעת שליחת החבילה היא מציינת את פרטי השולחת (אליס, ת”ד 1111, זיכרון יעקב) ואת פרטי המקבל (בוב, ת”ד 2222, ירושלים).

סניף הדואר המקומי בזיכרון מעביר את החבילה לדואר בירושלים שמעביר את החבילה לתיבת הדואר של בוב. בעת קבלת החבילה, בוב רואה את פרטי השולח. למעשה, הוא רואה את השם, תיבת הדואר והישוב אבל לא את כתובת הבית המדויקת של השולחת. נניח שמסיבה מסויימת, בוב רוצה לאתר את הכתובת והפרטים המדוייקים של השולחת, אליס. בוב יכול להתקשר לסניף הדואר בזיכרון יעקב, לספק להם את פרטי השולחת (שם, ת”ד) ולבקש את פרטיה המלאים. מכיוון שסניף הדואר מכר לאליס את תיבת הדואר, הוא גם מכיר את פרטיה האמיתיים. אולם, על מנת לשמור על פרטיות לקוחותיו, סניף הדואר לא יספק פרטים אלה לבוב. אבל מה יקרה אם החבילה מכילה למשל פצצה מתקתקת, והמשטרה מבקשת מהדואר לקבל את הפרטים המלאים? כפי שניחשתם, סניף הדואר יעביר את פרטיה של אליס וזהותה האמיתית תיחשף.

על אנונימיות בעולם הוירטואלי
בואו נחזור לעולם האינטרנט. בתאריך ה-1.1.11 בשעה 11:11 אליס רוצה להשאיר באתר החדשות של בוב תגובה לכתבה שפורסמה שם. כשאליס מתחברת לאינטרנט, ספק האינטרנט שלה (סניף הדואר המקומי) מקצה לה כתובת IP (לדוגמא, 1.1.1.1). כתובת ה-IP מקבילה למספר תיבת הדואר מהדוגמא שראינו בעולם האמיתי – זוהי הכתובת של אליס בעולם הוירטואלי. לבוב (במקרה זה, לאתר האינטרנט של בוב) גם יש כתובת IP משלו (נניח, 2.2.2.2). כעת, כל פעילות אינטרנטית שאליס תבצע תהיה מזוהה עם כתובת ה-IP שלה. כשאליס משאירה תגובה באתר של בוב, המחשב של אליס מכין הודעה, ממלא בפרטי ההודעה את פרטי השולח (כתובת ה-IP של אליס) ואת פרטי המקבל (כתובת ה-IP של בוב) ובגוף ההודעה הוא מכניס את התגובה אותה אליס רוצה לשלוח.

כמו בעולם האמיתי, ניתן לאתר את פרטיה האמיתיים של אליס (שם, כתובת פיסית וכו’) בהתבסס על כתובת ה-IP הוירטואלית שלה. כתובת זו (1.1.1.1) שהוקצתה לה ע”י ספק האינטרנט שלה שייכת לספק ורשומה על שמו. מידע זה הוא פומבי באינטרנט וכל אחד יכול לבדוק על שם מי רשומה כל כתובת IP. לדוגמא, בדיקה פשוטה באינטרנט (באתר כמו www.ipaddresslocation.org) מעלה כי כתובת ה-IP ממנה אני גולש כעת (79.181.205.194), רשומה על שם בזק בינלאומי, רחוב השחם 40, פ”ת, טלפון 1800014014.

אם בוב רוצה לאתר את פרטיו של משאיר התגובה, הוא יכול לאתר בקלות את פרטיו של ספק האינטרנט של משאיר התגובה ואז לפנות לספק ולבקש את הפרטים המלאים של המשתמש שגלש בתאריך 1.1.11 בשעה 11:11 מכתובת IP זו (1.1.1.1). כל ספק אינטרנט מחוייב לשמור את היסטוריית ההקצאות אותן ביצע לכתובות ה-IP הרשומות על שמו ולכן ספק האינטרנט של אליס יכול למצוא בקלות שאליס גלשה בתאריך זה בשעה זו עם כתובת IP זו. מכיוון שאליס היא לקוחה שלו, ספק האינטרנט מחזיק גם את פרטיה האמיתיים (שם, כתובת פיסית, פרטי חיוב וכו’). מכיוון שספק האינטרנט מחוייב לפרטיות משתמשיו סביר להניח כי הוא לא ימסור פרטים אלה לבוב אבל אם גופי החוק יבקשו זאת ממנו הוא מחוייב לספקם.

כמו שראינו, הן בעולם האמיתי והן בעולם הוירטואלי, האנונימיות של השולח הינה מאוד מוגבלת. כעת נראה כיצד ניתן לשפרה בעשרות מונים.

איך להיות אנונימים בעולם האמיתי
על מנת לשפר בצורה דרמטית את האנונימיות שלה בעולם האמיתי, אליס תשלח את חבילתה לבוב דרך מספר מתווכים שיעזרו לה להסתיר את זהותה האמיתית מבוב. אליס בוחרת באופן אקראי 3 אנשים, כל אחד מיבשת אחרת. הראשון, פרנק מפריס, צרפת (תיבת דואר 333). השניה, דבי ממלבורן, אוסטרליה (ת”ד 444). השלישי, עלי מרבט, מרוקו (ת”ד 555). כעת, אליס שולחת את החבילה לפרנק שישלח אותה לדבי שתשלח אותה לעלי שישלח אותה ליעדה הסופי, בוב. כל תחנה במסלול זה מכירה את כתובת התחנה שלפניה במסלול ואת כתובת התחנה שאחריה במסלול, ולא יותר. מאחר והחבילה מטיילת בין מספר תחנות ברחבי כדור הארץ, לבוב יהיה מאוד קשה לפרום את השרשרת ולהבין שמקור החבילה הוא אליס.

עיקרון זה צריך להיות מוכר לצופי סדרת הטלוויזיה “הבורר”. באחת מהסצינות הטובות ביותר בסידרה, פארוקי מסביר לאחים קובלובה איך שומרים על אנונימיות בבחירת הבלדר לחבילת הסמים אותה הם רוצים להעביר: “תמצא לי מישהו שימצא לך מישהו שיארגן לך מישהו. אל תפספס, שלושה מישהו. אני אכלתי אותה 12 שנים כי הורדתי מישהו אחד בדרך”. אז גם אנחנו שומרים על עיקרון זה ובוחרים 3 מישהו שיעזרו לנו לשמור על זהותה של אליס מפני בוב.
איך זה יתבצע בפועל? כמו בובת מטריושקה…
אליס מכינה את החבילה למשלוח. תחת פרטי השולח היא כותבת את פרטיו של עלי (ת”ד 555, רבט, מרוקו) ותחת פרטי המקבל היא כותבת את פרטיו של בוב (ת”ד 222, ירושלים, ישראל). אז היא לוקחת את החבילה ושמה אותה בתוך קופסא גדולה יותר. על קופסא זו היא כותבת את פרטיה של דבי (ת”ד 444, מלבורן, אוסטרליה) תחת פרטי השולח ואת פרטיו של עלי תחת פרטי המקבל. בנוסף היא נועלת את החבילה עם מנעול שרק עלי מכיר את הקוד שלו. כעת אליס לוקחת את החבילה הכפולה ושמה אותה בתוך קופסא גדולה יותר. היא כותבת את פרטיו של פרנק (ת”ד 333, פריס, צרפת) תחת פרטי השולח ואת פרטיה של דבי תחת פרטי המקבל. אליס גם נועלת חבילה זאת במנעול שקוד פתיחתו ידוע רק לדבי. לבסוף אליס לוקחת את החבילה המשולשת ושמה אותה בתוך חבילה גדולה יותר. הפעם היא משתמשת בפרטיה (ת”ד 111, זיכרון יעקב, ישראל) תחת פרטי השולח ואת פרטיו של פרנק תחת פרטי המקבל. כמו מקודם, חבילה זו ננעלת במנעול שקוד פתיחתו ידוע אך ורק לפרנק. התמונה הבאה ממחישה כיצד תיראה חבילה רב-שכבתית זו. לכל שכבה יש שולח, מקבל ומנעול.

החבילה של אליס יוצאת לדרך כאשר היעד הראשון הוא פרנק. בעת קבלתה, פרנק פותח את החבילה (רק לו יש את הקוד המתאים) ורואה בפנים חבילה נוספת. הוא לא יכול לפתוח אותה (רק דבי מכירה את הקוד) אבל הוא רואה שהיעד הבא הוא דבי. אז פרנק שולח את החבילה הפנימית לדבי שמקבלת, פותחת ורואה בפנים חבילה נוספת (נעולה) שמיועדת לעלי. דבי שולחת את החבילה הפנימית לעלי שפותח ומוצא בפנים חבילה נוספת. הפעם עלי רואה שהיעד הסופי הוא בוב והוא מעביר לו את החבילה הפנימית ביותר. השימוש במנעולים מבטיח, כי כל מתווך בדרך יוכל לדעת מה היעד הבא אחריו ולא יותר מזה. באופן זה, לכל תחנה במסלול (מלבד אליס) יש ידע חלקי לגבי המסלול אותו עוברת החבילה.

אם בוב רוצה לפרום את המסלול ולהגיע לשולח המקורי, עליו להתחיל במתווך האחרון במסלול ממנו הגיעה החבילה (עלי). בוב צריך לפנות לסניף הדואר של עלי במרוקו, לתת להם את פרטיו של עלי, כפי שהופיעו על החבילה ולבקש מהם את פרטיו האמיתיים. רק אז הוא יכול לגשת לעלי ולשאול אותו מהיכן הגיעה החבילה. עלי לא יודע מי היה המקור של החבילה אבל הוא יודע שהתחנה לפניו במסלול היתה דבי. כעת בוב צריך לחזור על תהליך זה מול דבי והרשויות באוסטרליה וגם אם הוא יזכה לשיתוף פעולה הוא יוכל לקבל רק את פרטיו של מי שקדם לדבי במסלול (פרנק). ושוב בוב צריך לחזור על התרגיל מול פרנק והרשויות בצרפת, ורק אם מהלך זה יהיה מוצלח הוא יוכל להגיע לתחנה שלפני פרנק – אליס היקרה. כעת בוב צריך לפנות לרשויות במדינתה של אליס על מנת לקבל את פרטיה המלאים.

כפי שאתם רואים, כדי לפרום את מסלול הבידול הזה, בוב צריך לקבל עזרה רבה מהרשויות הישראליות, המרוקאיות, האוסטרליות והצרפתיות. שיתוף פעולה מסובך זה בין מספר מדינות גוזל משאבים ודורש בדרך כלל גם מהלכים דיפלומטיים והסיכוי לכך הוא נמוך. מאוד נמוך. התהליך שתיארנו הגביר בצורה משמעותית ביותר את האנונימיות של אליס וברוב המקרים (אם המסלול והמתווכים נבחרים בקפידה) יהיה כמעט בלתי אפשרי להגיע מבוב בחזרה אל אליס.
בואו נחזור לעולם הוירטואלי.

איך לשמור על אנונימיות בעולם הוירטואלי
העיקרון שהצגנו לגבי העולם האמיתי (3 מתווכים אקראיים) מיושם בעולם הוירטואלי ע”י מערכת שנקראת TOR, the onion routing, או ניתוב הבצל בעברית. מערכת TOR יכולה לעזור לכל משתמש באינטרנט לשמור על האנונימיות שלו.
כיצד זה פועל?
ראשית, על אליס להתקין במחשב שלה מערכת TOR. כעת, כאשר אליס רוצה לגלוש באינטרנט בצורה אנונימית, מערכת ה-TOR המותקנת אצלה תבחר באופן אקראי 3 מתווכים ברשת ה-TOR (כמו פרנק, דבי ועלי מדוגמת העולם האמיתי). המתווכים ברשת ה-TOR הם משתמשים רגילים שלמען חופש הביטוי וזכויות האדם התנדבו להתקין תוכנה שתעביר תעבורת אינטרנט אנונימית עבור משתמשי TOR. כשאליס רוצה להשאיר תגובה באתר של בוב, תוכנת ה-TOR של אליס תיקח את התגובה ותעטוף אותה בשכבות, כפי שראינו בדוגמא מהעולם האמיתי. השכבה הפנימית ביותר תכיל את התגובה אותה אליס רוצה לשלוח ואת כתובת ה-IP של עלי (5.5.5.5) בתור השולח ואת כתובת ה-IP של בוב (2.2.2.2) בתור המקבל. בשכבה החיצונית הבאה התהליך חוזר על עצמו עם ה-IP של דבי (4.4.4.4) בתור השולחת וה-IP של עלי בתור המקבל. בשכבה החיצונית הבאה ה-IP של פרנק (3.3.3.3) הוא השולח וה-IP של דבי הוא המקבל. ובשכבה החיצונית ביותר ה-IP של אליס הוא השולח (1.1.1.1) ושל פרנק הוא המקבל. בנוסף, כמו בדוגמת העולם האמיתי, כל שכבה מוצפנת, ורק היעד של השכבה יכול לפענח ולדעת למי להעביר הלאה. מאחר וכל תחנה במסלול מקלפת את השכבה שלה ומעבירה לתחנה הבאה, עיקרון זה נקרא ניתוב בצל.

לדוגמא, בעת גלישתי האנונימית ברגע זה באמצעות ה-TOR, כתובת ה-IP שלי, כפי שהעולם רואה אותה, השתנתה מ- 79.181.205.194 (בזק בינלאומי, ישראל) ל-178.63.97.34 הרשומה על שם ספק האינטרנט Hetzner Online בגרמניה. כלומר, מבחינת כל אתר אליו אני גולש אני נמצא בגרמניה וכתובת ה-IP שלי מובילה לספק אינטרנט גרמני (שכמובן לא מודע לקיומי).

אם בוב רוצה לאתר את זהותו של משאיר התגובה באתר שלו, עליו לבצע פרימה מלאה של השרשרת – מעלי וספק האינטרנט שלו, דרך דבי וספק האינטרנט שלה, לפרנק וספק האינטרנט שלו ועד לאליס וספק האינטרנט שלה. כלומר, בוב צריך את שיתוף הפעולה של ספקי האינטרנט ורשויות החוק בישראל, מרוקו, אוסטרליה וצרפת. הסיכוי שזה יקרה בפועל הוא נמוך מאוד וברוב המקרים, גם אם הוא יתבצע, יהיה בלתי אפשרי לפרום את המסלול במלואו עד לאליס.

התמונה הבאה מראה את המסלולים בעולם, דרך מתווכים שונים, אותם עוברות הודעות ששלחנו ברשת ה-TOR.

מי הבעלים של TOR?
פרוייקט ה-TOR מופעל ע”י ארגון ללא מטרות רווח בארה”ב. התוכנה והשימוש בה הם בחינם. תוכנת ה-TOR הינה מערכת קוד פתוח, ולכן כל אחד יכול לנתח אותה ולוודא שאין שם סוסים טרויאנים או דלתות אחוריות שעלולות לפגוע באנונימיות של המשתמש. רשת ה-TOR מונה כ-2,500 מתנדבים (מתווכים) מסביב לעולם שמבדלים את תעבורת ה-TOR האנונימית. לדוגמא, ניתן למצוא מתווכים כאלה באוסטרליה, ארגנטינה, בלגיה, ברזיל, קנדה, גרמניה, צרפת, אלג’ריה, מצרים, ספרד, פינלנד,  בריטניה, ארה”ב, הודו, רוסיה, פנמה טורקיה, דרום אפריקה, וונצואלה ואפילו בישראל.

האם TOR מבטיחה 100% אנונימיות?
לא, אף אחד לא יכול להבטיח אנונימיות מוחלטת באינטרנט, אולם תהליך פרימת שרשרת מתווכים של TOR והגעה למשתמש עצמו היא סבוכה מאוד ודורשת משאבים טכנולוגיים, משפטיים ודיפלומטים וכן שיתוף פעולה בין מדינות סביב העולם. לכן, TOR היא ככל הנראה הדרך הטובה ביותר עבור המשתמש הרגיל לשמור על האנונימיות שלו באינטרנט. חשוב לציין שבמקרים מסויימים, למשל כשיש עדות לפעילות טרור, שיתוף פעולה כזה בין מדינות הינו אפשרי. בנוסף, יש מספר התקפות נגד רשת ה-TOR שמנסות לפגוע באנונימיות של המשתמשים אבל עדיין מדובר במקרים נדירים ומסובכים.

איך לגלוש בצורה אנונימית דרך TOR?
הדרך הפשוטה ביותר להשתמש ב-TOR לגלישה היא ע”י שימוש ב- TOR Browser Bundle, אותו ניתן להוריד כאן. תוכנה זו זמינה למערכות ההפעלה חלונות, לינוקס, מק ואנדרואיד. התוכנה מכילה מספר חבילות ובין היתר גירסא מיוחדת של הדפדפן פיירפוקס (Firefox). לאחר הורדת התוכנה והפעלתה יווצרו מספר ספריות על מחשבכם ובספרייה הראשית תמצאו קובץ בשם “Start Tor Browser” (עבור חלונות), “start-tor-browser” (עבור לינוקס) או “TorBrowser_en-US.app” (עבור מק). לפני הרצת קובץ זה רצוי שתסגרו את כל הדפדפנים הפתוחים ברקע על מנת שלא תתבלבלו בין הדפדפנים הרגילים בהם את משתמשים והדפדפן המיוחד של TOR. לאחר הרצת קובץ זה, TOR תתחיל לרוץ ולאחר שתהיה מוכנה לגלישתכם האנונימית ייפתח הדפדפן המיוחד של פיירפוקס. מעתה ועד שתסגרו דפדפן זה, כל גלישה באינטרנט אותה תבצעו דרך הדפדפן תעבור באופן אנונימי דרך רשת ה-TOR. שימו לב שגלישתכם תהיה איטית מהרגיל, שכן כל הודעה שיוצאת ממחשבכם לאינטרנט תוצפן ותפוענח מספר פעמים וגם תטייל דרך מחשבים שונים ברחבי העולם. זהו מחיר פעוט אותו תאלצו לשלם על מנת להיות באמת אנונימים באינטרנט.

© 2017 Brainstorm Private Consulting Blog Suffusion theme by Sayontan Sinha