כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בגליון ספטמבר-אוקטובר 2012.

בקצהו של עולם האינטרנט קיים עולם אפל של מלחמות, פשע וריגול – רק צריך לדעת היכן לחפש…

לחצו כאן לכתבה המקורית כפי שהופיעה במגזין המודפס 

אחת האימרות הנפוצות בעולם האינטרנט היא שאם משהו לא מופיע בתוצאות החיפוש של גוגל הוא לא באמת קיים. אולם המציאות שונה לחלוטין. מנועי החיפוש כמו גוגל ודומיו מצליחים לגרד רק את קצה קצהו של עולם האינטרנט כאשר בפועל ישנו בבטןהאינטרנט עושר עצום של תכנים מעניינים ומרתקים עד מאוד וגם עולם חבוי ואפל של תככים, מלחמות, פשע וריגול. במאמר זה נצלול אל בטן עולם האינטרנט דרך שכבותיו השונות ונגלה עולם מופלא שרובינו לא מכירים.

מקובל לחלק את עולם האינטרנט למספר שכבות. השכבה העליונה המוכרת לכולנו מכונה בשם ה-Surface Web. השכבות התחתונות מכונות בשם Deep Web והן מרכיבות את הצד האפל של האינטרנט.

שכבת ה-Surface Web, המכונה גם בשם Clearnet, מכילה את כל הדפים אליהם ניתן להגיע באמצעות מנועי החיפוש הנפוצים כמו Google, Yahoo ו-Bing. מנועים אלה סורקים באמצעות crawlers את רשת האינטרנט וכך הם מציירים מעין מפה או אינדקס של כל האתרים והדפים אליהם הם הגיעו. שיטה זו מאפשרת להם לכסות את כל עולם האינטרנט הנגיש למנועי החיפוש ואוסף כל הדפים האלה מהווה את השכבה הראשונה באינטרנט.

לפי מספר הערכות, שכבת ה-Surface Web מכילה כמה עשרות עד מאות Terabytes של מידע שנמצא בעשרות מיליארדי דפי אינטרנט אליהם ניתן להגיע באמצעות מנועי החיפוש. שכבה זו מכילה רק אחוז קטן מהמידע הקיים בעולם האינטרנט – על מנת להגיע אל שאר המידע יש לצלול מתחת ל-Surface Web ולהיכנס אל הצד האפל של האינטרנט.

שכבת ה-Deep Web, המכונה גם בשמות Invisible Web ו-Hidden Web, מכילה את כל החלקים באינטרנט שאינם נגישים למנועי החיפוש של השכבה הראשונה. לפי הערכות שונות, שכבת ה-Deep Web מכילה כמה עשרות אלפי Terabytes של מידע הנמצא במאות מיליארדי דפי אינטרנט. כלומר, הצד האפל של האינטרנט גדול באלפי אחוזים מה-Surface Web כאשר קצב גדילתו של ה-Deep Web גדול בהרבה מקצב הגדילה של ה-Surface Web.

מקובל לחלק את שכבת ה-Deep Web לשתים – Layer 1 ו-Layer 2.

Deep Web Layer 1 מהווה את החלק המרכזי והגדול ביותר של ה-Deep Web. שכבה זו מורכבת מסוגים שונים של אתרים, דפים ומידע. סוג אחד של דפים בשכבה זו הוא Unlisted pages. כלומר, דפים שאינם רשומים באינדקסים של מנועי החיפוש. ישנן מספר סיבות לכך כאשר הנפוצה ביותר הינה דפים המיוצרים באופן דינאמי עי שרת האינטרנט כתוצאה משאילתה מסויימת של משתמש. למשל, שאילתה המכילה מילת מפתח מסויימת שגורמת לשרת האינטרנט לשלוף באופן דינאמי מסמך מסויים מבסיס נתונים אליו הוא מקושר. על מנת שמנוע חיפוש מה-Surface Web יוכל לגשת אל כל המסמכים בשרת הזה, הוא צריך לדעת לבצע את אוסף כל השאילתות המכילות את כל מילות המפתח האפשריות שיגרמו לשליפה של כל אחד ואחד מהמסמכים המאוחסנים בבסיס הנתונים. ברוב המקרים משימה זו בלתי אפשרית ועל כן כל אותם מסמכים ודפים ישארו חבויים מפני מנועי החיפוש.

סיבה נוספת להיותו של עמוד Unlisted היא בקשתו המפורשת של בעל העמוד. לדוגמא, סרטים מסויימים ב-YouTube שהגולש שהעלה אותם לאתר ביקש שהם לא יופיעו במנועי החיפוש ורק מי שיש לו לינק ישיר אליהם יוכל לגשת אליהם. במקרה זה, YouTube תייצר לינק עבור הסירטון, ובעל הסירטון יכול לשלוח למכריו מייל המכיל את הלינק אולם רק מי שניגש דרך הלינק יוכל להגיע אליו. מכיוון שלמנועי החיפוש אין דרך להגיע אל הלינק, הם לא יכולים להוסיף את הסירטון לאינדקס שלהם והסירטון יישאר Unlisted ב-Deep Web.

הסוג השני של הדפים בשכבת ה-Deep Web Layer 1 הוא אותם דפים שלמנועי החיפוש אין הרשאה להגיע אליהם. דפים אלה מכילים תוכן שרק משתמשים מסויימים יכולים לראותו, לאחר שהרשאותיהם אומתו אל מול האתר. למשל, חשבונות ה-Gmail או חשבונות הבנק של המשתמשים מוגנים בסיסמא ורק בעל הסיסמא יכול להגיע אל התוכן שלהם. במקרה זה, מנועי החיפוש מודעים לקיום החשבונות אולם אין להם דרך להכנס אליהם ולהוסיף את התכנים שבהם לאינדקסים שלהם. דוגמא אחרת היא אתרים הדורשים Membership של המשתמשים על מנת לגשת לתכנים שבהם, כגון קבוצות דיון ופורומים פרטיים. במקרים אלה, רק גולש שנרשם לאתר וקיבל שם משתמש וסיסמא יוכל לצפות בתכנים ואילו מנועי החיפוש לא יוכלו לגשת אל התכנים ולהוסיף אותם לתוצאות החיפוש שלהם. תכנים אלה יישארו חבויים ממנועי החיפוש של ה-Surface Web והם מהווים חלק מרכזי מה-Deep Web.

 ישנם מספר מנועי חיפוש שנבנו במיוחד לחיפוש ב-Deep Web. למשל, אתר usa.gov מאפשר למשתמש להגיע לאלפי Terabyte של מידע ממשלתי שאינו נגיש דרך מנועי החיפוש הרגילים.

הפוטנציאל הטמון בחיפוש ב-Deep Web Layer 1 הוא אדיר. אוקיינוס המידע מכיל תוכן עצום שרוב הגולשים אינם חשופים אליו ולכן מי שישכיל לחפור במידע הטמון שם יוכל להשיג יתרון משמעותי, למשל במגזר העיסקי, המודיעיני וכו‘.

 בתחתית הצד האפל של האינטרנט נמצאת השכבה התחתונה ביותר של עולם האינטרנט, שהינה Layer 2 של ה-Deep Web. שכבה זו, המכונה גם בשם Anonymous Web, או הרשת האנונימית, הינה חלק קטן ביותר מה-Deep Web אך היא מהווה מקור רב ערך עבור ארגוני מודיעין, פשע וטרור. בניגוד לשכבות העליונות של האינטרנט, בהן ניתן ברוב המקרים לקשר את האתרים והתכנים שבהם לבעליהם ואת הגולשים הוירטואליים למשתמשים האמיתיים שמאחוריהם, בשכבה זו האנונימיות הינה ערך עליון. בעלי האתרים והגולשים בהם הינם אנונימיים לחלוטין ואפילו התשלומים הוירטואליים המתבצעים בשכבה זו הינם באמצעות מטבעות וירטואלים אנונימיים. כפי שניתן לתאר, במקום בו יש אנונימיות כמעט מוחלטת, ניתן למצוא מגוון משתמשים. החל מגורמי ממשלה, ביטחון וביון, דרך האקרים, מרגלים, מהפכנים וחוקרים ועד לסוחרי סמים, חוטפים, מתנקשים ואנשי מאפיה.

חשוב להבהיר שהכניסה ל-Anonymous web מיועדת רק לאנשים שבקיאים ברזי האינטרנט, מבינים לעומק את הסכנות הטמונות בו, שולטים לחלוטין בתחומים של אנונימיות, התקפות ואבטחה ברשת ומוכנים לקחת את הסיכונים הרבים שנמצאים כמעט בכל פינה ב-Anonymous web.

על מנת להכנס לשכבה זו, לא ניתן לגלוש באמצעות דפדפן סטנדרטי כמו בשכבות העליונות. דרך אחת להיכנס לתחתית האינטרנט הינה באמצעות מערכת ה-TOR. רשת ה-TOR, The Onion Routing או ניתוב בצל בעברית, מאפשרת לכל גולש באינטרנט לגלוש בצורה אנונימית לחלוטין כאשר הגלישה ממנו אל אתר האינטרנט אליו הוא רוצה להגיע עוברת באופן מוצפן דרך מספר שרתי TOR המפוזרים במקומות שונים בעולם. הגולש מעביר את בקשת הגלישה שלו אל אחד משרתי ה-TOR המהווים שער כניסה לרשת ה-TOR. משם הבקשה עוברת לשרתים אחרים ברשת ה-TOR ולבסוף הבקשה יוצאת מאחד משרתי היציאה של רשת ה-TOR אל היעד הסופי של הגלישה, שהוא האתר אליו רצה לגשת הגולש באופן אנונימי. גלישה דרך רשת ה-TOR מאפשרת לגולשים לגשת בביטחה לאתרי אינטרנט מבלי שזהותם (כתובת ה-IP שלהם) תיחשף הן עי בעלי האתרים אליהם הם גלשו והן עי גורמים המנטרים את תקשורת האינטרנט של הגולשים (כגון גורמי ממשלה המנטרים את ספקיות האינטרנט במדינה).

חלק גדול מהתכנים ב-Anonymous web מאוחסנים על גבי שרתי אינטרנט המסווים את מיקומם עי שימוש ברשת ה-TOR. כלומר, הן הגולשים והן בעלי האתרים משתמשים ברשת ה-TOR על מנת להישאר אנונימיים. על מנת לגשת לתכנים באתרים האנונימיים האלה ב-Deep Web, הגולש חייב להשתמש בתוכנת TOR המאפשרת לו לגלוש אליהם דרך רשת ה-TOR.

הנחת המוצא של הגולש הנכנס ל-Anonymous web צריכה להיות שבכל שלב הוא עלול להיות מותקף ללא ידיעתו עי מיטב ההאקרים והתוקפים המשתמשים בנשק סייבר מתוחכם ומתקדם ועל כן את הכניסה לרשת האנונימית יש לבצע מתוך מחשב ייעודי או מחשב וירטואלי המנותק לחלוטין מכל רשת מחשבים ומשמש אך ורק לצורך זה ולא לשום פעילות אחרת של הגולש. כמו כן, מומלץ לנתק את כל האמצעים החיצוניים המחוברים למחשב כגון BT, GPS, מיקרופון ומצלמת רשת.

לאחר שנכנסים ל-Anonymous web באמצעות ה-TOR, מתגלה בפני הגולש עולם שלם שבמבט ראשון נראה דומה לעולם האינטרנט המוכר אך בפועל חוקי המשחק בו שונים לחלוטין. בחלק זה של העולם אין צנזורה, אין כללים, אין אכיפה של החוק ולמעשה הכל מותר בו, אפילו אם הוא בלתי חוקי בעליל.

דרך טובה להתחיל את המסע כאן היא להשתמש באתרי Hidden Wiki המכילים לינקים למספר לא מבוטל של אתרים. אחד מאתרי ה-Hidden Wiki נמצא בכתובת הזאת http://3suaolltfj2xjksb.onion/hiddenwiki/index.php/Main_Page אליה ניתן להגיע רק מתוך הרשת האנונימית כמובן.

למשל, אתר ה-Silk Road מהווה פלטפורמה הדומה ל-e-bay דרכה ניתן למכור או לקנות כל דבר. החל מסמים, דרך ציוד ריגול ועד לכלי נשק. התשלום מתבצע באמצעות המטבע הוירטואלי BitCoin אשר הינו אנונימי לחלוטין כך שקניה באמצעותו מסווה את זהותם של הקונים והמוכרים. למשל, אקדח גלוק מוצע למכירה תמורת 200 bitcoins שהם בערך 2,400 דולר אמריקאי. לאחר ביצוע הקנייה, האקדח נשלח מפורק בשלושה משלוחים שונים, כאשר כל חלק מוסווה למניעת זיהויו עי גורמי מכס וביטחון.

בנוסף יש לא מעט אתרים המאפשרים יצירה של פורומים וקבוצות דיון אנונימיות לחלוטין. באתרים אלה אפשר למצוא מידע רב, החל מקבצי מקור של סוסים טרויאנים ועד למדריכים מפורטים להכנת פצצות.

בזכות האנונימיות וחופש הביטוי המוחלט בשכבה זו, היא מהווה באופן טבעי קרקע פוריה להפצה של מידע מודיעיני או ממשלתי רגיש שהודלף באופן חשאי, אם ע”י האקרים, עובדים ממורמרים או חושפי שחיתויות (Whistleblowers). למשל, אחת הסברות היא שמאות המסמכים האמריקאיים הסודיים הנוגעים למתקן המעצר בגואנטנמו שפורסמו עי WikiLeaks, מקורם היה ב-Deep Web ולמעשה WikiLeaks העלה אותם מתחתית האינטרנט אל ה-Surface Web. בעוד שתכנים הנמצאים ב-WikiLeaks אפשר לחסום או להוריד מהרשת, אתרי ה-Anonymous web חסינים מפני צנזורה מכל סוג שהוא.

הרשת האנונימית גם מהווה גן עדן אנונימי לפדופילים וניתן למצוא שם לא מעט אתרים אנונימיים המכילים פורנו מהסוג הגרוע ביותר. אותם אתרים שהיו נסגרים תוך זמן קצר ב-surface web ובעליהם היו נשלחים לכלא, יכולים לפרוח בעין מפריע בזכות האנונימיות באזור זה של האינטרנט.

אולם לפעמים יש יוצאים מן הכלל. בסוף שנת 2011 יצא לפועל Operation DarkNet עי קבוצה של האקרים המזוהה עם ארגון אנונימוס. הקבוצה ביצעה תקיפה של אתר פדופילים בשם Lolita city המאוחסן ברשת האנונימית. התוקפים הצליחו לפרוץ אל האתר ולהשיג רשימה של מעל 1,500 פדופילים שהשתמשו באתר לצפייה וסחר בתמונות. לאחר מכן הארגון פירסם את פרטי הגולשים, כאשר בחלק מהמקרים פורסמו זהויותיהם האמיתיות, כולל שמות, כתובות מגורים, מספרי טלפון וכתובות אי-מייל.

חשוב לציין שחלק מהמידע בשכבה זו מושתל באופן מכוון עי גורמים ממשלתיים ומהווה פיתיון עבור פושעים למיניהם. המטרה היא שאותם פושעים ייתפסו ברשת עת הם ניגשים למידע הלא חוקי, יחשפו את זהותם וייעצרו עי גורמי האכיפה. למשל, ניתן למצוא לא מעט מתנקשים להשכיר ב-Anonymous Web (תשלום ממוצע להתנקשות הינו כ-20,000$) והסברה היא שחלק גדול מהם הושתלו עי ה-FBI מתוך מטרה לתפוס את שוכרי השירותים האלה.

הרשת האנונימית מהווה קרקע פורייה למגוון פעילויות בטחוניות בתחום הסייבר, הן מהצד ההגנתי והן מהצד ההתקפי. רשת זו מציבה אתגרים משמעותיים בפני הגופים הבטחוניים המעוניינים להשתמש בה לצרכיהם. למשל, ישנה חשיבות רבה לניטור שוטף של אתרי ה-Deep Web האנונימיים על מנת לאתר מבעוד מועד פעילויות לא חוקיות של טרוריסטים, פושעים והאקרים, אולם אותם כלי ניטור קונבנציונליים בהם משתמשים ב-Surface web אינם תקפים בתחתית העמוקה של האינטרנט. ארגוני מודיעין שישכילו לחקור ולנטר את הרשת האנונימית יוכלו למצוא שם החל ממסמכים מסווגים ביותר שהודלפו מאירגונים ביטחוניים וממשלתיים בעולם, דרך התארגנויות של תאי טרור ועד לסחר בנשק סייבר מתוחכם ומתקדם. ברוב המקרים, מידע זה קיים אך ורק בשכבה הזאת של ה-Deep Web ולא בשכבות העליונות של האינטרנט. לא מן הנמנע שבעתיד תעבור חלק מזירת ה-Cyber Warfare אל ה-Anonymous Web, כאשר התקיפות תתבצענה מתוך הרשת האנונימית אל ה-Surface web וכן אתרי שליטה ובקרה של Botnets יסתתרו במעמקי ה-Anonymous web. במקרים אלה, זיהוי מקור התקיפה וחסימתו יהוו אתגר מורכב עבור מערכי ההגנה.

 

 

כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בגליון יולי-אוגוסט 2012.

לחצו כאן לכתבה המקורית כפי שהופיעה במגזין המודפס 

בחודש אפריל השנה התקיימה ועידת אבטחה במדינת ווירג’יניה שבארה”ב. בועידה השתתף גם נציג הבית הלבן לענייני cybersecurity ושם הוא הודיע לראשונה שממשלת ארה”ב עוברת שלב במלחמתה כנגד אחד האיומים הקיברנטיים שמתרחבים באופן מהיר ביותר: ה-botnets. עד עתה למעשה לא נקטה ארה”ב צד פעיל במיוחד במאבק כנגד ה-botnets ומפעיליהם אולם לאור הגילויים האחרונים שחשפו כי בכל חודש מודבקים ומצטרפים מעל 4 מיליון מחשבים לצבאות הוירטואלים של ה-botnets, הודיע נציג הבית הלבן כי ארה”ב מכריזה מלחמה כנגדם. הבית הלבן הבין שאנו נמצאים בשלב קריטי במלחמה כנגד ה-botnets ואם נאחר את הרכבת אנו עלולים למצוא את עצמנו במלחמת הסייבר הבאה מתמודדים כנגד צבאות וירטואליים המורכבים מעשרות ואף מאות מיליוני מחשבים.

אם בעבר נחשבו ה-botnets כנחלתם הבלעדית של הפושעים באינטרנט, אשר השתמשו בהם למטרות spam, גניבת זהויות, הונאה, גניבת מידע רגיש כגון סיסמאות ומספרי כרטיסי אשראי, היום מבינים שבעתיד הלא רחוק יקחו ה-botnets חלק בהתקפות הקטלניות ביותר כנגד מדינות, מתקנים חיוניים, מוסדות פיננסים ועוד. למשל, התקפה של מיליוני botnets כנגד אתרי הבורסה בארה”ב יכולה לשתק את מרכז הפעילות הכלכלית לחלוטין.

למעשה, ארוע כזה כבר קרה בעבר. בחודש אפריל בשנת 2007 החלה התקפת סייבר מתואמת כנגד אסטוניה. ההתקפה, המכונה בשם DDoS – Distributed Denial of Service , בה לקחו חלק מספר botnets גרמה להשבתה של המוסדות החיוניים במדינה: החל ממוסדות ממשלה, דרך מוסדות פיננסים ועד עיתונים ואתרי חדשות. מלחמת סייבר זו, שההערכות מדברות כי בוצעה ע”י רוסיה, סיפקה לנו טעימה קטנה לגבי הכח העצום של צבא ה-botnets והיכולת להפנותו מ-cybercrime מסורתי ל-cyberwarfare עתידני.

מהם botnets, איך הם נוצרים ומי מפעיל אותם?

Botnet הינו רשת מבוזרת של מחשבים הפרוסים ברחבי העולם כאשר המחשבים ה”חברים” בה, ה-bots (המכונים גם זומבים), הם למעשה מחשבים של משתמשים תמימים שהודבקו בתוכנה זדונית כגון סוס טרויאני. אותה תוכנה גרמה להם להצטרף בחשאי, ללא ידיעת המשתמש החוקי של המחשב, לשורות רשת ה-bots ובכך להגדיל את ה-botnet. בעוד המשתמש החוקי של המחשב משתמש בו כהרגלו, הוא איננו מודע לכך שמחשבו גוייס לצבא הוירטואלי.

על אוסף ה-bots שנאספו ממקומות שונים בעולם שולט ה-bot herder, הגירסא הוירטואלית של רועה הצאן המסורתי. תפקיד ה-bot herder הוא לארגן את ה-bots ברשת שלו, להעביר להם פקודות לביצוע, לקבל מהם דיווחים מהשטח וכמובן גם להרחיב את ה-botnet ולגייס אליו חיילים וירטואלים חדשים.

לרשות ה-bot herder עומדות שיטות מגוונות לביצוע תקשורת עם ה-bots. למשל, ה-bot herder יכול ליצור מספר “ספינות אם”, mother ships, שהן למעשה אתרי אינטרנט תמימים למראה המפוזרים במקומות שונים בעולם ובהם הוא משאיר את ההוראות ל-bots. אתרים אלה מכונים גם command & control servers שכן באמצעותם שולט ה-bot herder ב-botnet ודרכם הוא מעביר להם פקודות. ה-bots יודעים (כלומר התוכנה הזדונית שמותקנת בהם) שבכל פרק זמן מסויים עליהם לגלוש בצורה אוטומטית לאחד מה-mother ships ולבדוק אם מחכות להם הוראות לביצוע, כגון לגנוב סיסמאות ממחשב המשתמש. הם גם יכולים לדווח לספינת האם על תוצאות הפעולות שהם ביצעו, להעלות אליה מידע שהם גנבו וכו’.

על מנת לפגוע בפעילות ה-botnet, יש להוציא מכלל פעולה את אחת מהחוליות שמרכיבות את צבא ה-botnet: ה-bots, ה-bot herder או האמצעי דרכו מעביר ה-bot herder את הפקודות ל-bots.

מכיוון ש-botnet מורכב מעשרות אלפי ועד עשרות מיליוני מחשבים תמימים, קשה מאוד לאתר את כולם ולהסיר מהם את התוכנה הזדונית, ובכך לחלץ אותם מה-botnet. מדובר במחשבים של משתמשים שכתובות האינטרנט שלהם משתנות כל הזמן ומיקומם מתחלף בכל עת ועל כן דרך זו לא ישימה בדרך כלל.

לעומת זאת, ה-bot herder הוא יחיד (או מורכב מקבוצה קטנה של מפעילים) ועל כן הוא מטרה נוחה יותר לאיתור. אולם, ה-bot herders הינם שועלי אינטרנט וותיקים שמכירים שיטות רבות לשמור על האנונימיות שלהם ובכך למנוע את איתורם. הם נעים במהירות, מחליפים זהויות ומתחבאים במקומות האפלים ביותר באינטרנט.

על כן, הדרך שנראית הכי מבטיחה לפרק botnet הינה להוציא מכלל פעולה את ערוץ השליטה ובקרה של ה-bot herder דרכו הוא מתקשר עם ה-bots. למשל, במקרה של ספינות האם המוסוות באתרי אינטרנט, יש לנתק אותן מהאינטרנט כך שאף bot לא יוכל לגשת אליהן ואף bot herder לא יוכל לתקשר דרכן עם ה-bots שלו. אולם גם משימה זו איננה פשוטה בכלל. ראשית, ספינות האם מפוזרות בדר”כ במדינות שונות אשר חלקן לא תשתפנה פעולה עם אותו גוף שמנסה להשבית את השרתים. שנית, ה-bot herders פיתחו שיטות מתוחכמות ביותר שמונעות את איתורן של ספינות האם. לדוגמא, הם משתמשים ב-bots רנדומליים מתוך ה-botnet שיהוו מתווכים הין שאר ה-botnet לבין ספינות האם. כלומר, אף bot לא ניגש ישירות אל ספינת האם אלא הוא ניגש ל-bot מתווך שמקשר בינו לבין ספינת האם. באופן הזה, כתובת האינטרנט האמיתית של ספינת האם מוסווית מאחורי כתובת האינטרנט של ה-bot המתווך ואף אחד לא יכול להגיע אל מיקומה האמיתי של ספינת האם. בנוסף, ה-bot herder דואגים להחליף בכל כמה דקות את ה-bots המתווכים ב-bots אחרים מתוך הרשת ובכך למעשה הופכים את ספינת האם למטרה הנעה במהירות מקצה אחד של העולם לקצהו השני בכל מספר דקות, דבר שהופך את איתורה של ספינת האם למשימה כמעט בלתי אפשרית. רשת כזאת מכונה fast flux network והיא יושמה בהצלחה במספר botnets בעבר שאחד המפורסמים שבהם כונה בשם Storm.

ההתמודדות אל מול ה-botnets הינה משימה קשה ומסובכת הדורשת משאבים רבים וכן שיתוף פעולה בין מדינות. הדוגמא המרתקת הבאה תמחיש עד כמה מורכבת המשימה.

בשנת 2009 הוקם ברוסיה botnet בשם BredoLab. בשיאו הכיל BredoLab צבא וירטואלי של כ-30 מיליון bots, עם קצב גיוס של 3 מיליון bots חדשים בכל חודש, והוא עסק בעיקר בפעילות החביבה על ה-bot herders, הפצת מיליארדי הודעות ספאם דרך האי-מייל בכל יום. הנתון היותר מעניין הינו שה-bot herder נהג להשכיר חלק מה-bots ברשת שלו לצד שלישי. כלומר, ה-bot herder פיקד על צבא של חיילים וירטואלים שהורכב מחטיבות שונות אותן הוא שיווק כצבא וירטואלי להשכרה לכל דורש. ההערכות הן שה-bot herder הרוויח באופן הזה מאות אלפי דולרים בכל חודש והצבא השכיר שימש גורמים שונים למגוון מטרות כגון תקיפה של אתרי אינטרנט, הפצה של תוכנות זדוניות, ספאם ועוד. ה-bot herder תיקשר עם ה-botnet דרך מערך של מעל 140 ספינות אם אשר הוסוו באתרי אינטרנט שהושכרו מספק אינטרנט הולנדי. בשנת 2010, כאשר גודל ה-botnet  הגיע כבר למימדים מפחידים, פשט כח משימה מיוחד של משטרת הולנד על מתקני ספק האינטרנט ההולנדי והצליח לאתר את כל ספינות האם שעגנו שם, להשתלט עליהן ולנתק אותן מהאינטרנט. בשלב זה נראה היה שדינו של BredoLab נחרץ שכן ערוץ השליטה של ה-bot herder הושמד. אולם למרות זאת ה-bot herder  ניסה להשתמש במספר דרכים על מנת להחזיר את שליטתו ב-botnet אך כולן נכשלו. במהלך אחרון של ייאוש, ה-bot herder פתח במתקפה מבוזרת כנגד הספק ההולנדי שבה השתתפו מעל 200 אלף bots בהם הוא עדיין הצליח לשלוט. מספר ימים לאחר מכן נעצר בארמניה ה-bot herder הראשי של BredoLab, בחור בן 27 בשם Georgy Avanesov. בחודש מאי השנה נגזר דינו ל-4 שנים בכלא בעוון פשעי מחשב חמורים.

בכך למעשה תם סיפורו של ה-botnet מהמסוכנים ביותר שנראו עד כה ושל מפעילו הראשי אולם סיפורו איננו נשלם. קבוצה חדשה של bot herders השתלטה בצורה מתוחכמת ביותר על מה שנשאר מ-BredoLab, הקימה מערך חדש של ספינות אם ברוסיה ובקזאחסטן ולמעשה החזירה לחיים לפחות חלק מה-botnet האימתני שככל הנראה נמצא בשימוש גם בימים אלה.

 החשש הגדול של ממשלת ארה”ב, כפי שהתחוור מדבריו של נציג הבית הלבן, הינו מוצדק לחלוטין. מה שבעבר היה נחלתם של אירגוני מאפיה ופשיעה באינטרנט, הופך כעת לכלי רב עוצמה של טרוריסטים, ארגוני גרילה וגם מדינות. גופים אלה ישתמשו ב-botnets  לא למטרות ספאם או הונאות אלא למטרות לוחמה קיברנטית גרידא: תקיפה רבת עוצמה של מוסדות ממשלה, מוסדות פיננסים, גופי צבא ומודיעין ותשתיות קריטיות. לדוגמא, התקפות כנגד בנקים ובורסות עלולות להשבית את הפעילות הפיננסית במדינה, התקפות כנגד תשתיות תקשורת עלולות לפגוע קשות בשירותי הטלפון, הסלולר והאינטרנט במדינה והתקפות כנגד תשתיות תחבורה וחשמל עלולות לעצור את תנועת הרכבות ולהחשיך ערים שלמות.

כאשר צבא של עשרות מיליוני bots מכל קצוות האינטרנט פותח במלחמה חזיתית ומתואמת מראש כנגד כל תשתית המחוברת לאינטרנט, קשה מאוד להתמודד מולו.

אז איך בכל זאת ניתן להתכונן למלחמת הזומבים?

במלחמה כמו במלחמה, היצירתיות והחשיבה מחוץ לקופסא יכולה להפוך את הקערה על פיה ודווקא איום רציני כמו botnet יכול להוות יתרון משמעותי למדינה הנתקפת. למשל, על ידי השקעת משאבים טכנולוגיים ומודיעיניים ניתן לאתר צבאות של botnets ברחבי האינטרנט. לאחר איתורם ניתן ללמוד את דרכי הפעולה שלהם, להבין את דרכי התקשורת שלהם מול המפעיל, לנתח את התוכנה הזדונית שמפעילה אותם ולמצוא בה חולשות אותן ניתן לנצל. מכאן והלאה אפשר לנקוט בשיטות מעולם המודיעין. למשל, ניתן לשתול באופן מכוון bots כפולים ב-botnet. מפעיל ה-botnet יחשוב שהצבא שלו גדל אך למעשה הוא מכיל כעת מרגלים שיכולים לדווח על תנועת ה-botnet וכוונות המפעיל שלו. בנוסף, בעת איתור ספינות האם של התוקף, במקום לנסות להשמיד אותן ניתן לגייס אותן ללא ידיעת התוקף לצד של המגן. באופן הזה, הצד המגן יוכל להעביר דרכן פקודות ל-botnet כרצונו. כאשר הצד המגן משיג שליטה ב-botnet ללא ידיעת המפעיל, הוא משיג יתרון עצום במערכה הקיברנטית. ביום פקודה, עת מפעיל הצבא הוירטואלי יפתח במלחמת חורמה קיברנטית, יוכל הצד המגן להוציא לפועל את התחבולה שלו ולהפנות בחזרה את הצבא הוירטואלי שהופנה נגדו כנגד מפעיל את ה-botnet עצמו (המדינה התוקפת או ארגון הטרור) או פשוט לשלוח פקודה שתשמיד את הצבא הוירטואלי של התוקף.

 ההבנה ששיטות אלה ואחרות יכולות מצד אחד לשפר את מערך ההגנה של המדינות אך מצד שני גם להעצים את כוחן במערכה הקיברנטית, תגרום להפניית משאבים חיוניים לצורך הוצאתן אל הפועל.

 

כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בשנתון הסייבר המיוחד ביוני 2012.

לחצו כאן לכתבה המקורית כפי שהופיעה בשנתון הסייבר

מערכות ההגנה מפני התקפות סייבר  על מחשבים ורשתות מבוססות רובן ככולן על הגנה פאסיבית. מערכות אלו משתמשות במנגנונים ושיטות לזיהוי פעילות פוגענית והתקפות כגון וירוסים, סוסים טרויאנים, תולעים ועוד. השיטות הן בדרך כלל פאסיביות, כלומר, מערכות ההגנה בוחנות את הפעילות התקשורתית ברשת המקומית או במחשב ומנסות לזהות את התקיפה ללא התערבות בפעילותו של התוקף או של כלי התקיפה. בעת גילוי הפעילות הזדונית, מערכות אלה יכולות לעבור לשלב האקטיבי בו הן חוסמות את התוקף או משמידות את כלי התקיפה (למשל, הוירוס). מעבר לכך, המערכות הפאסיביות הן בדרך כלל במצב תמידי של מגננה. הן לא יודעות מהיכן תגיע ההתקפה ובאיזה צורה אבל הן יודעות שבסוף היא תגיע – הן יושבות במחפורת ומחכות לבואה ומקוות שהן יצליחו לזהות אותה בזמן לפני שהיא מצליחה לחדור את קווי ההגנה הוירטואלים.

התפיסה המקובלת מאז ומעולם בעולם הסייבר הינה, שמטרת אמצעי ההגנה היא לזהות ולחסום את התוקף מהר ככל האפשר ולהפסיק את פעילותו הזדונית בהקדם האפשרי. התקווה של מערכות ההגנה היא שאפילו אם וירוס מתוחכם או תולעת חדשנית יצליחו לחדור, די מהר יתגלו עדויות לתקיפה וניתן יהיה לעדכן את אמצעי ההגנה כך שיוכלו לחסום אותם.

לאסטרטגיית הגנה זו יש מספר חסרונות עיקריים. מצד אחד, המגן מוגבל מבחינת יכולת הזיהוי הפאסיבית שלו ותמיד יהיו כלי תקיפה חדשים יותר שיידעו לחלוף על פניו. כלומר, המגן יודע להגן רק מפני מה שהוא מכיר או יודע לזהות באמצעות כליו. מצד שני, בעת גילויו של התוקף או כלי התקיפה, המגן חוסם אותו ואף משמידו במידת האפשר. בפעולה זאת, המגן מאבד מידע מודיעיני רב ערך שעשוי היה להועיל לו רבות לשם שיפור מערך ההגנה שלו ואף מעבר לכך.

במאמר זה נציג גישה שונה לאסטרטגיית ההגנה המקובלת. גישה זו משלבת אלמנטים של הגנה אקטיבית, בה המגן עובר ממצב פאסיבי של המתנה לתוקף (מתוך תקווה שלא יגיע) למצב אקטיבי בו המגן מחכה בקוצר רוח לתוקף ומשלב שיטות, שדווקא יגרמו לתוקף לבצע את התקיפה.

לשם ההמחשה, בואו נסתכל על דוגמא בידיונית  מעולם הביון. נניח שמדינה מסויימת מגלה שיש מרגל שהושתל במתקן רגיש כגון כור גרעיני. על פי אסטרטגיית ההגנה הפאסיבית, הגוף המגן מבצע תחקירים ביטחוניים לעובדיו וניטור של פעילותם על מנת לזהות גורמים עוינים בתוך האירגון. בהנחה שפעילות המרגל עוררה חשד והוא זוהה על ידי המגן,  מיד עם חשיפתו של המרגל, על פי ההגנה הפאסיבית הוא יחוסל. ברור שעם חיסולו תיפסק פעולת הריגול אותה הוא ביצע אך ברור עוד יותר שעם חיסולו מאבד המגן מידע חיוני כגון עבור מי הוא עבד, מה הנזק שהוא גרם לו עד כה, מה כוונות מפעיליו לעתיד וכו’. בנוסף, ייתכן שמרגל חי עדיף על מרגל מת וניתן היה להשתמש בו נגד מפעיליו.

 לפי אסטרטגיית ההגנה האקטיבית, המגן לא מחפש את המרגל על ידי ניטור של פעילות עובדיו וחיפוש מאפיינים חריגים אלא הוא מנסה להערים על המרגל על מנת שזה יבצע טעות ויחשוף את עצמו. כלומר, המגן מטמין מלכודות ומנסה למשוך את המרגל על מנת שיפול באחת מהן. למשל, המגן יכול להשאיר את הדלת לאחד החדרים הרגישים ביותר בכור פתוחה במתכוון  ולבצע מעקב סמוי אחר הנכנסים מתוך כוונה שאחד האנשים הבלתי מורשים שיימשכו למלכודת וייכנסו לאזור הרגיש הינו מרגל. עם נפילתו של המרגל למלכודת וחשיפתו, המגן עובר לשלב הבא בו הוא מבצע מעקב רצוף אחר פעולותיו, ללא ידיעתו של המרגל. כלומר, המגן יודע מיהו המרגל אך הוא לא עוצר אותו או מפסיק את פעילותו. באופן זה, המגן יכול לדעת מהן כוונותיו של המרגל, איזה מידע הוא אוסף, מהן שיטות הפעולה שלו, מיהם מפעיליו, האם ישנם מרגלים אחרים עימם הוא נמצא בקשר וכו’. מדובר במידע שערכו לא יסולא בפז ולמעשה הוא מאפשר לתוקף ללמוד בצורה הטובה ביותר את שיטות הפעולה של המרגל ואת הנזק אותו הוא גרם. בשלב האחרון של ההגנה האקטיבית, המגן מבצע “הכפלה” של המרגל ללא ידיעתו. כלומר, המגן מאפשר למרגל להמשיך את פעולת הריגול אך המידע אותו גונב המרגל ומעביר למפעיליו איננו המידע האמיתי שקיים במתקן אלא כל מידע בדוי או מוטה אותו רוצה המגן להעביר למפעילי התוקף. למשל, המגן יכול להטעות בדרך זו את מפעילי המרגל כך שיחשבו שמועד הפיכתו של הכור הגרעיני למבצעי הינו רחוק במספר שנים מהמועד האמיתי.

כפי שניתן לראות, ההגנה האקטיבית  הופכת בשלב מסויימת לסוג של התקפה כנגד התוקף המקורי אפילו מבלי שהתוקף מודע לכך שהוא נמצא תחת מתקפה.

 הגנה אקטיבית בעולם הסייבר

באופן דומה לעולם הביון, גם בעולם הסייבר אנו עוסקים במרגלים וכלי ריגול למיניהם כגון תולעים, וירוסים וסוסים טרויאנים. גם כאן, הכלים הפוגעניים מבצעים מגוון פעולות ריגול. החל מאיסוף מידע רגיש, דרך לימוד הרשת כשלב מקדים לתקיפה עתידית ועד לביצוע פעולות הרסניות כגון השבתת צנטריפוגות וכיבוי מתקנים אסטרטגיים.

 כיצד ניתן ליישם הגנה אקטיבית בעולם הסייבר?

לצורך כך יש לשנות גישה ולתקוף את הבעיה מכיוון שונה לחלוטין בו נוקטת אסטרטגיית ההגנה הפאסיבית. לפי ההגנה האקטיבית, המגן יוזם פעולות אקטיביות שמטרתן הינה למשוך אליו את התוקף ולגרום לו לבצע את התקיפה בתנאים אותם מגדיר המגן ובסביבה הנוחה לו. המגן למעשה מייצר עבור התוקף פרצות באופן מכוון כדי למשוך אליהן את התוקף. מכיוון שהמגן מודע לפרצות האלה שכן הוא יצר אותן, הוא יכול לנטר אותן ולזהות מתי כלי מסויים מנסה לחדור דרכן. למשל, המגן יכול להשאיר פתוח שירות (port) מסויים במחשב ולאפשר לכל אחד לחדור דרכו. בדומה לדוגמא של המרגל והדלת שהושארה פתוחה, המגן מטמין לתוקף מלכודת ומקווה למשוך אותו בדרך זו וכך גם לחשוף אותו. מלכודות אלא נקראות בעולם הסייבר HoneyPots, מלכודות דבש. המגן יכול לייצר רשת שלמה של מלכודות דבש ובאופן הזה לדמות רשת שלמה באירגון ולא רק מחשב יחיד. רשת כזה מכונה HoneyNet, רשת דבש.

בדרך כלל, המלכודות יוטמנו באיזור נפרד מהרשת האמיתית של האירגון על מנת לצמצם את הנזק במידה והתוקף יחדור פנימה וינסה לפגוע ברשת האמיתית. למעשה, המגן מייצר עבור התוקף עולם וירטואלי המכיל רשתות, מחשבים ומשתמשים וירטואלים שכל מטרתו היא למשוך אליו את התוקף ולגרום לו ליפול למלכודת ולהיכנס לעולם מקביל זה ולא לרשת האמיתית של האירגון. עולם זה לא מכיל את המידע הרגיש הנמצא באירגון וכל פעילות פוגענית בו לא יכולה להשפיע על הרשת האמיתית של הארגון ולכן לא יכולה לפגוע בצד המגן בשום אופן.

בדרך זו המגן יכול לזהות ולחשוף את התוקף ללא שימוש באמצעי ההגנה המסורתיים (כגון אנטי-וירוס, חומות אש וכו’) אלא חשיפתו תתבצע עקב נפילתו למלכודת. אולם מעבר לגילויו של התוקף, השימוש במלכודות המייצרות פרצות עבור התוקף גורם לו לנסות לחדור אל האזור הפרוץ יותר, אליו קל לו לחדור (פירצה קוראת לגנב), ולא לאזור המוגן יותר, כגון הרשת האמיתית של הארגון. כתוצאה מכך, העולם הוירטואלי רווי המלכודות המפתות שיוצר עבור התוקף ירחיק אותו ללא ידיעתו מהרשת האמיתית ולמעשה יחזק באופן ניכר את מערך ההגנה המסורתי.

לאחר חשיפתו של הכלי הפוגעני, יכול המגן לעבור לשלב הבא בו הוא לומד את דרכי הפעולה של התוקף, דרכי ההתקשרות של הכלי התוקף עם מפעיליו המרוחקים (ובדרך זו הוא יכול לזהות את שרתי השליטה והפיקוד איתם הוא מתקשר), הדרכים בהם הוא משתמש להזליג מידע רגיש מחוץ לארגון, מהות המידע אותו הוא אוסף ומטרתו (למשל, מיפוי הרשת כשלב מקדים לתקיפה), האיזורים בתוך הארגון בהם הוא מתעניין (למשל, מסמכים מסויימים המאוחסנים בשרת קבצים מסויים), דרכי ההתפשטות שלו וההדבקה של מחשבים אחרים וכו’.

כתוצאה מכך, המגן יכול לבנות תמונה מודיעינית שלמה על התוקף ולאפיין את דרכי פעילותו באופן מדוייק. מהצד ההגנתי, המגן יכול להשתמש בנתונים אותם הוא אסף לגבי התוקף על מנת לזהות כלי תקיפה אחרים בעלי מאפיינים דומים. מהצד ההתקפתי, המגן יכול ללמוד דרכי תקיפה חדשות ולהשתמש בהן לצרכיו ובכך לשפר את מערך התקיפה שלו.

בשלב האחרון של ההגנה האקטיבית, שלב “הכפלת” הכלי התוקף, המגן יכול ליצור עבור התוקף עולם תוכן שלם כרצונו. כלומר, המגן יכול לשתול ברשת הדבש הוירטואלית מסמכים בדויים כראות עיניו כך שהכלי התוקף יעבירם למפעיליו שיאמינו שמדובר במידע מהימן המגיע מרשת רגישה. למשל, המגן יכול לגרום לתוקפים לחשוב שתאריך הפיכתו של הכור למבצעי הינו רחוק במספר שנים מהמועד האמיתי. בנוסף, המגן יכול לגרום לתוקף להאמין שכל המחשבים בארגון מודבקים בכלי הפוגעני וביום פקודה התוקף יוכל להשבית את המערכות ולגרום לנזק משמעותי. בפועל, מכיוון שמדובר בעולם וירטואלי שנוצר עבור התוקף, ולא ברשת האמיתית של הארגון, כאשר תתקבל פקודת התקיפה ביום הדין, תמשיך הרשת האמיתית לעבוד כסידרה שכן הפעילות הזדונית תישאר כלואה בעולם הוירטואלי.

 במאמר זה סקרנו גישה שונה לאסטרטגיית ההגנה בעולם הסייבר. לגישה זו ישנם יתרונות רבים, והיא יכולה להוות מצד אחד כלי משלים לגישת ההגנה המסורתית, אך מצד שני היא יכולה גם להפוך את תמונת הקרב על פיה ולהכריע את הכף במלחמות הסייבר הקרבות ובאות.

אסטרטגיית ההגנה האקטיבית משלבת אלמנטים חדשניים ולא שיגרתיים שבאופן עקיף גם יכולים לשפר באופן ניכר את מערך התקיפה של הגוף המגן וכך להילחם בתוקף בשיטותיו הוא ולפנות את כלי התקיפה שלו כנגדו.

בעזרת אסטרטגיית ההגנה האקטיבית יכול המגן להפוך התקפות סייבר משמעותיות ביותר לאיום ממשי דווקא על הצד התוקף כך שההתקפה תהיה למעשה חרב פיפיות עבור הצד התוקף. שילובן של שיטות אלה במערך ההגנה יכול להוות תשובה הולמת להתקפות להם אנו עדים לאחרונה ולחזק באופן ניכר הן את מערך ההגנה והן את מערך ההתקפה.

 

כתבה זו פורסמה על ידנו בגירסא הדיגיטלית של עיתון הארץ.

פיגועי 9/11 במגדלי התאומים ובוושינגטון, הצונאמי שהיכה ביפאן והמשבר הכלכלי של 2008 תוארו כולם כברבורים שחורים, וגם בעולם הסייבר לא חסרים כאלה

במאה ה-16, כשרצו לומר באירופה שמשהו הוא בלתי אפשרי, לא ייתכן, נהגו להשתמש בביטוי “ברבור שחור”. מטבע לשון זה תיאר אירוע שלא יכול להתרחש במציאות, בדיוק כמו שעד אותה תקופה היה ברור באירופה שיש רק ברבורים לבנים ולמעשה לא קיים בטבע ברבור שחור. כלומר, כל העדויות ההיסטוריות עד לאותה תקופה דיווחו כי לברבורים יש נוצות לבנות בלבד ולכן המסקנה היא שאין דבר כזה ברבור שחור. בשנת 1697 העולם המערבי הוכה בתדהמה – באוסטרליה הרחוקה התגלו ברבורים שחורים.

כלומר, ההנחה החד משמעית שאין ברבורים שחורים הופרכה ברגע אחד על ידי תצפית אחת שהוכיחה את ההפך המוחלט. למעשה, צריך רק תצפית אחת שתפריך מאות שנים של עדויות היסטוריות. במאה ה-17 השתנתה משמעותו של הביטוי “ברבור שחור” ומאז הוא מצביע על כך שאירוע הנתפס כבלתי אפשרי יכול להתגלות מאוחר יותר כאפשרי ביותר.

בשנת 2007 הציג הפילוסוף נאסים טאלב את תאוריית הברבור השחור אותה הוא גיבש במשך מספר שנים. לפי הגדרתו של טאלב, ברבור שחור הוא אירוע החורג מעבר לצפוי באותה סיטואציה ואותו יהיה מאוד קשה לצפות. אירועים המוגדרים כברבורים שחורים הם בדרך כלל אקראיים ובלתי ניתנים לצפייה.

לברבור שחור יש שלוש תכונות עיקריות; ראשית, אירוע זה הוא חריג באופן שכמעט איננו מתקבל על הדעת בהתבסס על אירועים שהתרחשו בעבר. אירוע כזה הינו הפתעה גמורה ומוחלטת לצופה בו שיוכה בתדהמה לנוכח התרחשותו. שנית, לאירוע יש השפעה קיצונית ביותר על העתיד. ושלישית, למתבונן באירוע לאחר התרחשותו ישנו הרושם או האמונה שניתן היה לצפות אירוע זה מבעוד מועד.

מתוך כרזת הסרט ברבור שחור

ברבור שחור הינו high impact low frequency event – כלומר, השפעתם של אירועים אלה על העתיד הינה קיצונית אך תדירות התרחשותם נמוכה.

תיאוריית הברבור השחור גורסת כי מספר קטן של ברבורים שחורים מסביר כמעט כל דבר המתרחש בעולמנו. החל מהצלחתם של רעיונות, דרך פריחתן של דתות, פריצתן של מלחמות ועד לעלייתן ונפילתן של מעצמות, מדינות וכלכלות. יתר על כן, אפילו האירועים המשמעותיים ביותר בחיינו האישיים והזוגיים הינם למעשה אוסף של ברבורים שחורים. כלומר, ברבור שחור איננו בהכרח אירוע בעל השפעה בקנה מידע עולמי וייתכן שהשפעתו הקיצונית הינה על אדם יחיד, שהוא הצופה המופתע.

יום עצמאות שמח. למי בדיוק?

לדוגמא, נניח שתרנגולת חביבה מטופלת ברכות ומואכלת בנדיבות יום יום על ידי הלולן שלה. ככל שהימים עוברים, התרנגולת משמינה יותר ויותר, ומרגישה יותר ויותר בטוחה בחיים שלה, ביציבות הסביבה שלה ובלולן שלה. בכל יום שעובר עולה רמת האמון של התרנגולת בלולן הנאמן והמסור וכעבור מספר חודשים היא מגיעה לשיאה. מבחינת התרנגולת, כאשר היא מביטה על רצף אירועי העבר, היא מסיקה שמכיוון שכל יום היה יותר טוב מהיום הקודם לו, גם מחר יהיה יותר טוב מהיום. תהליך זה מכונה במדע בשם אינדוקציה – הסקת מסקנות ממספר מקרים פרטיים ומעבר לקביעה כללית. אם כל יום בעבר היה טוב אז מחר חייב להיות טוב גם כן.

ומה קרה לתרנגולת שלנו? היא התעוררה בבוקרו של יום המחר וגילתה את האמת הנוראה. בניגוד לכל אירועי העבר, לטוב ליבו של הלולן, לסיפור חייה המופלא ולנסיונה העשיר,היום הוא ערב יום העצמאות ובעוד מספר שניות ייגדע באחת פתיל חייה וגופה יועלה לזבח על המנגל הקרוב…

כלומר, ערב יום העצמאות הוא ברבור שחור עבור התרנגולת שכן הוא עומד בשלושת התנאים: אירוע חריג שמהווה הפתעה מוחלטת לצופה בו (התרנגולת המסכנה), לאירוע יש השפעה קיצונית על העתיד (למעשה הוא כל כך קיצוני שהוע גודע את עתידה של התרנגולת) ורגע לפני מותה נוצר בה הרושם שניתן היה לצפות זאת (לא סתם נעלמו חברותיה בחול המועד פסח).

מצד שני, אירוע זה הוא ברבור לבן עבור הלולן שכן הוא זה שהפך אותה בכוונת תחילה לסטייק עוף…

הדוגמא המפורסמת ביותר המתארת ברבור שחור הינה אירועי ספטמבר 2001 בארה”ב, מתקפת המטוסים על מרכז הסחר העולמי והפנטגון. אירוע זה עומד גם כן בשלושת התנאים המגדירים ברבור שחור. ראשית, אין ספק שהוא היה חריג וכל מי שצפה בו בכל מקום בעולם הוכה בתדהמה. שנית, השפעתו על העתיד ניכרת היום בכל שדה תעופה בעולם. רמת האבטחה עלתה באופן ניכר וממשלות ממשיכות להעלות אותה יותר ויותר, דבר המשפיע באופן ניכר על התנהלות הנוסעים ועל המשאבים האדירים שהוקצו לשם כך. ושלישית, במבט לאחור התגלו ראיות חותכות להתחזוקתה של תנועת אל קאעדה וכוונתה ליזום אירוע משמעותי ואפילו ישנן עדויות שמסרים סמויים הועברו דרך האינטרנט ע”י פעילי הארגון טרם ביצוע ההתקפה.

איזה אירועים נוספים מוגדרים כברבורים שחורים?

כמעט כל אירוע משמעותי עליו שמעתם או חוויתם – מלחמת העולם הראשונה, מלחמת יום הכיפורים, הצונאמי באינדונזיה ב-2003, רעידות האדמה בפקיסטאן ב-2005 ובסין ב-2008, המשבר הפיננסי הגדול ב-2008 והנפילה של יותר מ-30% במחירי הבתים בארה”ב, רעידת האדמה בהאיטי ב-2010 בה נהרגו מעל 300 אלף איש, גל החום הקטלני ברוסיה ב-2010, דליפת הנפט במפרץ מקסיקו ב-2010 שגרמה נזק סביבתי אדיר ונזק כלכלי של עשרות מליארדי דולרים, קריסת הבזק של הבורסות בשנת 2010, רעידת האדמה והצונאמי ביפן ב-2011 והאסון הגרעיני שנגרם בעקבותיה ואפילו אי השקט והמהפכות במזרח התיכון בשנים האחרונות.

מה לגבי ברבורים שחורים בעולם הטכנולוגי?

גם כאן, כמעט כל אירוע הנתפס כיום כגדול ומשמעותי הינו למעשה ברבור שחור. החל מהמצאת המחשב האישי, דרך המצאת האינטרנט, עלייתן של חברות הענק מיקרוסופט, גוגל ופייסבוק, ואפילו הסמארטפונים וה-app stores למיניהן. כל אלה ועוד רבים וטובים אחרים הם למעשה אוסף של ברבורים שחורים שעיצבו את עולמנו הטכנולוגי וממשיכים להשפיע עליו בכל יום ויום.

ברבורים שחורים בשירות מלחמת הסייבר

רבות דובר על מלחמות הסייבר, מטות הסייבר, לוחמת הסייבר, נשק יום הדין של עולם הסייבר וכיוצא בזה. האם גם כאן האירועים המשמעותיים הם למעשה ברבורים שחורים?

בואו ניקח לדוגמא שניים מאירועי הסייבר הגדולים ביותר בעת האחרונה. הראשון הוא תולעת ה-Stuxnet והשני הוא וירוס ה-Flame שנחשף ממש בימים אלה.

על פי דיווחים שונים, תולעת ה-stuxnet פגעה באופן ניכר במאמץ הגרעיני של איראן. התולעת תקפה את הבקרים של הצנטריפוגות ושינתה בהם את ההוראות. התולעת יועדה לשנות את מהירות הסיבוב של הצנטריפוגות עד לסדיקתן והתפוצצותן. בנוסף, התולעת הכילה מספר מרכיבים שגרמו להטעיה של מפעילי הכור ושל חוקרי התקלות שארעו בו כך שאיתור התולעת ואופן פעולתה ארכו זמן רב. כלומר, התולעת השביתה הלכה למעשה את פעילותו של הכור הגרעיני.

לעומת זאת, על פי הדיווחים האחרונים בכלי התקשורת, וירוס ה-Flame גנב מידע רגיש ממחשבים ואירגונים שונים במזרח התיכון כאשר רוב התקיפות היו באיראן. הווירוס אסף מסמכים מסווגים ומידע רגיש, הקלטות אודיו וצילומי מסך של המחשבים והעביר אותם לשרתים מרוחקים. כלומר, בניגוד לתולעת ה-Stuxnet שגרמה לנזק ישיר (השבתת הכור הגרעיני), נראה שה-Flame נועד להיות בעיקר כלי איסוף מודיעיני.

האם תולעת ה-stuxnet ווירוס ה-Flame הם ברבורים שחורים עבור איראן?

ראשית, אלמנט ההפתעה ביחס לתולעת ה-stuxnet. על פי דיווחים זרים, מתקני הגרעין באיראן מאובטחים ומוגנים הן מפני איומים פיזיים והם מפני איומים וירטואליים ואיומי סייבר. רשתות התקשורת במתקני הגרעין הינן מבודדות מהאינטרנט, וקבורות כמה מטרים טובים מתחת לאדמה. בנוסף, רשת הייצור במתקני הגרעין עובדת בפרוטוקול SCADA ועד לאותה התקפה כמעט ולא היו עדויות להתקפות המיועדות ספציפית לפרוטוקול זה.

למרות כל אמצעי האבטחה וההפרדה בין רשתות הייצור המאובטחות היטב לרשתות החיצוניות, הצליחה התולעת לחדור פנימה ולפגוע בלב ליבו של המתקן הגרעיני בצורה כה מתוחכמת אותה איש לא חזה. יתר על כן, על פי הפירסומים התולעת השתמשה במספר תחבולות שנראה כאילו נלקחו מסרטי המתח הטובים ביותר. למעשה, מה שנראה היה כמשימה בלתי אפשרית התבצע בחוכמה ובערמומיות מעוררת השתאות, דבר שללא ספק השאיר את האיראנים פעורי פה.

לעומת זאת, נכון לרגע זה, לא ברור מהו אלמנט ההפתעה ביחס לוירוס ה-flame. כרגע איראן ממלאת פיה מים ועל כן לא ניתן לדעת אילו מחשבים הותקפו, מה המידע שנגנב, האם היה נזק נוסף ומה היתה מידת ההפתעה של האיראנים בעת גילוי הוירוס. אומנם איראן הודתה כי הוירוס הצליח לחדור למספר ארגונים ולגנוב מידע אך נראה שכמו במקרה של stuxnet, רק בעוד מספר ימים או שבועות תתגלה התמונה המלאה יותר ואיתה גם תתבהר מידת ההפתעה של האיראנים. במידה ויתברר למשל שהוירוס אכן היה היה פעיל במחשבים האיראנים במשך שנים רבות ללא ידיעתם, או שהוירוס אכן גרם להשבתת מסופי הנפט באיראן ולזליגתו של מידע מודיעיני רב ערך שהיה קבור במעמקי האדמה או במחשבים מסווגים ביותר, ניתן יהיה לומר שגם במקרה של Flame, אלמנט ההפתעה הינו משמעותי עבור האיראנים.

שנית, אלמנט ההשפעה על העתיד ביחס לתולעת ה-stuxnet. השפעת התולעת על תוכנית הגרעין האיראנית היתה עצומה, הן מבחינה מוראלית והן מבחינה מעשית. ישנן עדויות כי התקפה זו עיכבה את תוכנית הגרעין של איראן במספר חודשים ואף שנים. בנוסף, בעקבות ההתקפה החליטו האיראנים לבסס את התוכנות שלהם במתקני הגרעין על קוד המפותח על ידם בלבד ולא להשתמש בקוד חיצוני שעלול להכיל תולעים נוספות. דבר זה מצריך הערכות מיוחדת, הכשרה של מהנדסים והקצאת משאבים לא מעטים, כמו גם עיכוב של תוכניות הפיתוח. ברמה העולמית, השפעת תולעת ה-Stuxnet על עולם אבטחת הסייבר היתה משמעותית ביותר וגרמה להפניית משאבים רבים לטובת התמודדות מול איומים דומים בעתיד. היא הוכיחה שהבלתי אפשרי הוא למעשה מציאותי ועל כן גרמה לשינוי בתפיסת האבטחה של מדינות וממשלות והצריכה שינוי משמעותי בהערכת האיומים בעולם הסייבר.

לעומת זאת, כרגע לא ברור מהו אלמנט ההשפעה על העתיד ביחס לוירוס ה-flame. ברור כי העולם (או לפחות אמצעי התקשורת ) נמצא בסוג של פאניקה וייתכן שרמת הפראנויה באיראן אף עלתה בעקבות החשיפה אולם ימים יגידו כיצד השפיע הווירוס על עולם האבטחה באופן כללי ועל איראן בפרט. במידה ואיראן תנקוט באמצעים קיצוניים, כגון החלפת מערכות המיחשוב בכל הארגונים הרגישים, ניתוק כללי מרשת האינטרנט של ארגונים שלמים, השבתת רשתות המחשב באירגונים ומוסדות ממשל, כיבוי מתקנים רגישים וחיוניים וכו’, ניתן יהיה לומר שגם ההשפעה על העתיד היתה משמעותית. גם כאן, יש לחכות עד שלהבות הווירוס תדעכנה והעשן יתפזר במעט על מנת שניתן יהיה לבנות תמונת מצב ברורה יותר.

שלישית, עדויות רטרוספקטיביות להתקפה על איראן. לאורך כל השנים האחרונות ישנן עדויות לא מעטות לשימוש בסוסים טרויאנים, zero-day attacks, דלתות אחוריות ושאר התוכנות הפוגעניות לביצוע התקפות ממוקדות על ארגונים ומתקנים. בנוסף, החדרת תולעים לרשת ע”י שימוש בהדבקה חיצונית (כגון, disk-on-key שמוכנס למחשב הנתקף) תוך עקיפת כל אמצעי ההגנה הינה טכניקה ידועה כבר מספר שנים. השימוש בסוכנים אנושיים המסייעים בביצוע ההתקפה (למשל בשלב החדרת התולעת לרשת או בעידכונה) הינו ידוע ומוכר לאורך ההיסטוריה, כמו גם עקיפת מנגנוני האבטחה המתוחכמים ביותר ע”י שימוש בהנדסה חברתית (social engineering). בנוסף, העולם המערבי היה ועודו נחוש לעכב את תוכנית הגרעין האיראנית כמעט בכל מחיר וגם להשיג מידע מודיעני רב ערך מתוך ארגונים מסווגים ביותר באיראן. גם stuxnet וגם flame עומדים בתנאי השלישי בצורה מלאה.

קיום שלושת התנאים האלה עבור תולעת ה-stuxnet מראה שהתולעת אכן היתה ברבור שחור, וככל הנראה הברבור השחור המשמעותי הראשון שראינו בשמי הסייבר.
לגבי וירוס ה-flame, עדיין מוקדם לקבוע האם הוא ברבור שחור נוסף עבור איראן. לפי הנתונים שנחשפו כרגע הוא עדיין איננו ברבור שחור אך ייתכן מאוד שבעתיד הקרוב, עת תתבהר התמונה, ניווכח לדעת שאיראן אכן נפגעה ע”י ברבור שחור נוסף.

ניתן לומר בוודאות שברבורים שחורים אלה ואחרים מבשרים את העתיד ועוד נראה ברבורים שחורים רבים בעולם הסייבר. החוכמה היא להימנע מלהיות תרנגול יום העצמאות על ידי זיהוי איזורי החולשה והכנת תוכניות מגירה להתמודדות מול התרחשותם של האירועים החמורים ביותר על מנת להפוך את הברבור השחור ללבן. רק כך נוכל להגן על המערכות הרגישות ביותר שלנו ולהיות מוכנים למלחמת עולם הסייבר הממשמשת ובאה.

 

כתבה זו נכתבה על ידנו עבור המגזין IsraelDefense ופורסמה בגליון מאי-יוני 2012.

כיצד ניתן לזהות אירועים פתאומיים ובעלי השלכות מרחיקות לכת בעולם הסייבר? ד”ר גיל דוד על ה”ברבורים השחורים” במרחב הקיברנטי שמלמדים כי יש להיערך לכל תרחיש קיצוני.

במאה ה-16, כשרצו לומר באירופה שמשהו הוא בלתי אפשרי נהגו להשתמש בביטוי “ברבור שחור”. מטבע לשון זה תיאר אירוע שלא יכול להתרחש במציאות, שהרי כל העדויות ההיסטוריות עד לאותה תקופה דיווחו כי לברבורים יש נוצות לבנות בלבד ולכן המסקנה היא שאין דבר כזה ברבור שחור. במאה ה-17 העולם הוכה בתדהמה – באוסטרליה הרחוקה התגלו ברבורים שחורים. ההנחה החד משמעית שאין ברבורים שחורים הופרכה ברגע אחד.

בשנת 2007 הציג הפילוסוף נאסים טאלב את תאוריית הברבור השחור אותה הוא גיבש במשך מספר שנים. לפי הגדרתו של טאלב, ברבור שחור הוא ארוע החורג מעבר לצפוי באותה סיטואציה ואותו יהיה מאוד קשה לצפות. אירועים המוגדרים כברבורים שחורים הם בדרך כלל אקראיים ובלתי ניתנים לצפייה. ברבור שחור הינו high impact low frequency event – כלומר, השפעתם של אירועים אלה על העתיד הינה קיצונית אך תדירות התרחשותם נמוכה.

תאוריית הברבור השחור גורסת כי מספר קטן של ברבורים שחורים מסביר כמעט כל דבר המתרחש בעולמנו. החל מהצלחתם של רעיונות, דרך פריחתן של דתות, פריצתן של מלחמות ועד לעלייתן ונפילתן של מעצמות, מדינות וכלכלות. הדוגמא המפורסמת ביותר, בימינו, המתארת ברבור שחור הינה אירועי ספטמבר 2001 בארה”ב, מתקפת המטוסים על מרכז הסחר העולמי והפנטגון. ארוע זה עומד בכל הקריטריונים המגדירים ברבור שחור. ראשית, אין ספק שהוא היה חריג וכל מי שצפה בו בכל מקום בעולם הוכה בתדהמה. שנית, השפעתו על העתיד ניכרת היום בכל שדה תעופה בעולם. רמת האבטחה עלתה באופן ניכר וממשלות ממשיכות להעלות אותה יותר ויותר, דבר המשפיע באופן ניכר על התנהלות הנוסעים ועל המשאבים האדירים שהוקצו לשם כך. ושלישית, במבט לאחור התגלו ראיות חותכות להתחזקותה של תנועת אל קאעידה וכוונתה ליזום אירוע משמעותי ואפילו ישנן עדויות שמסרים סמויים הועברו דרך האינטרנט ע”י פעילי הארגון טרם ביצוע ההתקפה.

על תולעים וברבורים

רבות דובר על מלחמות הסייבר, מטות הסייבר, לוחמת הסייבר, נשק יום הדין של עולם הסייבר וכיוצא בזה. אך האם ניתן למצוא ברבורים שחורים המסתתרים בתוך הרשת? אחד האירועים הגדולים ביותר שהתרחשו בתחום לוחמת הסייבר בשנים האחרונות, היה החדרת תולעת ה-stuxnet למתקנים הגרעיניים באיראן. על פי דיווחיהם של מומחי אבטחה שונים בעולם, התולעת תקפה את הבקרים של הצנטריפוגות ושינתה בהם את ההוראות. התולעת יועדה לשנות את מהירות הסיבוב של הצנטריפוגות עד לסדיקתן והתפוצצותן. בנוסף, היא הכילה מספר מרכיבים שגרמו להטעיה של מפעילי הכור ושל חוקרי התקלות שארעו בו כך שאיתור התולעת ואופן פעולתה ארכו זמן רב.

על פי פרסומים זרים, התולעת השביתה הלכה למעשה את פעילותו של הכור הגרעיני. ניתן להגדיר את ה-stuxnet כברבור שחור מכמה סיבות: ראשית, אלמנט ההפתעה. מתקני הגרעין מאובטחים ומוגנים הן מפני איומים פיזיים והן מפני איומים וירטואליים ואיומי סייבר. רשתות התקשורת במתקני הגרעין הינן מבודדות מהאינטרנט, וקבורות כמה מטרים טובים מתחת לאדמה. בנוסף, רשת הייצור במתקני הגרעין עובדת בפרוטוקול SCADA ועד לאותה התקפה כמעט ולא היו עדויות להתקפות המיועדות ספציפית לפרוטוקול זה. למרות כל אמצעי האבטחה וההפרדה בין רשתות הייצור המאובטחות היטב לרשתות החיצוניות, הצליחה התולעת לחדור פנימה ולפגוע בלב ליבו של המתקן הגרעיני בצורה כה מתוחכמת אותה איש לא חזה.

למעשה, מה שנראה היה כמשימה בלתי אפשרית התבצע בחוכמה ובערמומיות מעוררת השתאות, דבר שללא ספק השאיר את האיראנים פעורי פה. שנית, השפעת התולעת על תוכנית הגרעין האיראנית היתה עצומה, הן מבחינה מוראלית והן מבחינה מעשית. ישנן עדויות כי התקפה זו עיכבה את תוכנית הגרעין של איראן במספר חודשים ואף שנים. בנוסף, בעקבות ההתקפה החליטו האיראנים לבסס את התוכנות שלהם במתקני הגרעין על קוד המפותח על ידם בלבד ולא להשתמש בקוד חיצוני שעלול להכיל תולעים נוספות. דבר זה מצריך הערכות מיוחדת, הכשרה של מהנדסים והקצאת משאבים לא מעטים, כמו גם עיכוב של תוכניות הפיתוח.

ברמה העולמית, השפעת תולעת ה-Stuxnet על עולם אבטחת הסייבר היתה משמעותית ביותר וגרמה להפניית משאבים רבים לטובת התמודדות מול איומים דומים בעתיד ועל כן גרמה לשינוי בתפיסת האבטחה של מדינות וממשלות והצריכה שינוי משמעותי בהערכת האיומים בעולם הסייבר. שלישית, לאורך כל השנים האחרונות ישנן עדויות לא מעטות לשימוש בסוסים טרויאנים, zero-day attacks, דלתות אחוריות ושאר התוכנות הפוגעניות לביצוע התקפות ממוקדות על ארגונים ומתקנים.

בנוסף, החדרת תולעים לרשת על ידי שימוש בהדבקה חיצונית כגון disk-on-key שמוכנס למחשב הנתקף (תוך עקיפת כל אמצעי ההגנה) הינה טכניקה ידועה כבר מספר שנים. השימוש בסוכנים אנושיים המסייעים בביצוע ההתקפה, למשל בשלב החדרת התולעת לרשת או בעידכונה הינו ידוע ומוכר לאורך ההיסטוריה, כמו גם עקיפת מנגנוני האבטחה המתוחכמים ביותר ע”י שימוש בהנדסה חברתית (social engineering). ואפילו היו מספר עדויות (אומנם לא רבות) לכך שניתן לבצע התקפה על מערכות המבוססות פרוטוקול SCADA. ברמה העולמית, העולם המערבי היה נחוש לעכב את תוכנית הגרעין האיראנית כמעט בכל מחיר. קיום שלושת התנאים האלה מראה שתולעת ה-Stuxnet אכן היתה ברבור שחור, וככל הנראה הברבור השחור המשמעותי הראשון שראינו בשמי הסייבר.

ניתן לומר בוודאות שברבור שחור זה מבשר את העתיד ועוד נראה ברבורים שחורים רבים בעולם הסייבר. החוכמה היא להימנע מלהיות הצד הנפגע באירועים אלו על ידי זיהוי איזורי החולשות על מנת להפוך את הברבור השחור ללבן. רק כך נוכל להגן על המערכות הרגישות ביותר שלנו ולהיות מוכנים למלחמת עולם הסייבר הממשמשת ובאה.

זו הגירסא המקורית כפי שפורסמה במגזין – יש להקליק על הכתבה לשם הגדלתה.

 

כתבה זו פורסמה בגירסא הדיגיטלית של עיתון הארץ.

אתם קמים בבוקר, מסתכלים על האנשים שאתם מכירים כבר שנים, קוראים בעיתונים עליהם אתם מנויים, גולשים באתרי האינטרנט האהובים עליכם, צופים בסרטים ביו-טיוב, מאזינים למוזיקה האהובה עליכם באינטרנט ומסתכלים בפייסבוק על תמונות שלכם ושל אחרים. הכל נראה לכם כל כך מוכר, כל כך רגיל, כל כך תמים ולא מזיק. ומה אם לא כך הדבר? ומה אם בכל מקום ומקום יכול להיות מישהו שמסתיר מידע חשוב, מידע משמעותי שיכול להשפיע עליכם ועל סביבתכם בצורה כה קיצונית? האם באמת ניתן להסתיר מידע באופן כל כך טוב כך שאיש לא יחשוד במאומה? ובכן, זוהי אומנות הסתרת המידע.

לפני כאלפיים וחמש מאות שנה שלח היסטיאוס, השליט היווני של העיר מילטוס, הודעה חשובה לאחיינו אריסטגורס. ההודעה היתה כה חשובה וסודית וגילוייה ע”י גורמים זרים היה הרה אסון. היסטיאוס חכך בדעתו כיצד להעביר את ההודעה. הוא בחר את עבדו הנאמן ביותר בתור השליח אבל כיצד הוא יוכל להעביר את המסר הסודי ללא כל חשד. הרי הדרך לאריסטגורס ארוכה ואם העבד ייתפס יערכו עליו חיפוש ויתחקרו אותו. לכן אי אפשר להפקיד בידיו מכתב שעלול להתגלות וגם לא ניתן לספר לו מה ההודעה הסודית שכן הוא עלול להיבהל ולגלות אותה. לבסוף היסטיאוס מצא פיתרון ולאחר מספר שבועות יצא העבד הנאמן לדרך הארוכה, חלף על פני כל השומרים והחיילים והגיע ליעדו. כשפגש את אריסטגורס אמר לו משפט אחד: “יש בידי ידיעה חשובה ביותר מהיסטיאוס, אינני יודע מה ההודעה אך נתבקשתי למסור לך שעליך לגלח את שיער ראשי”. אריסטגורס המופתע עשה כן ולתדהמתו גילה על קרקפתו של העבד הודעה שקועקעה ע”י היסטיאוס והוסתרה לאחר מכן בעזרת שיערו של העבד שצמח בחזרה : “הגיע הזמן, צא לדרך, התחל את המרד בפרסים”.  זאת היתה יריית הפתיחה למרד הגדול של היוונים בפרסים. זאת גם הייתה ככל הנראה הפעם הראשונה בה השתמשו בסטגנוגרפיה להעברת מסרים סמויים.

מהי סטגנוגרפיה?
סטגנוגרפיה, בלטינית כתיבה מוסתרת, הינה אומנות הסתרת מידע ומסרים כך שכלפי חוץ הם ייראו תמימים ורגילים אך רק מי שאמור לקבל את ההודעה הסודית יוכל לקלף את שיכבת ההסתרה ולגלות את המסר הסמוי. השימוש בסטגנוגרפיה החל כפי שראינו לפני אלפי שנים ונמשך מאז לאורך כל ההיסטוריה ועד לימינו. מקובל לחלק את עולם הסטגנוגרפיה לשניים: הסתרה פיזית והסתרה דיגיטלית.

הראשונה היא בדיוק כמו בדוגמא של העבד שקועקע. הסתרה פיזית היתה נפוצה מאוד בכל המלחמות הגדולות, כולל מלחמות העולם הראשונה והשנייה והמלחמה הקרה. הקעקוע הוחלף בשיטות יותר מודרניות, נוחות ומהירות, כגון שימוש בדיו סתרים שהיה נפוץ בעולם הריגול לשם העברת מסרים ותקשורת חשאית מול מרגלים מעבר לקווי האויב.

בשנים האחרונות, עם ההתפתחות המהירה של העולם הדיגיטלי בכלל ועולם האינטרנט בפרט, הוחלפה הסטגנוגרפיה הפיזית בסטגנוגרפיה דיגיטלית. היתרונות הגדולים של השיטה הדיגיטלית הם שאפשר להסתיר הרבה מידע, בצורה טובה וחשאית, ולהעבירו תוך שניות מקצה אחד של העולם לקצהו השני באופן מוסתר ותמים לחלוטין. אם בשיטה הפיזית היינו מוגבלים לשימוש באמצעים פיזים בעזרתם מסתירים את ההודעה (כמו ראשו של השליח או מכתב עליו כותבים בדיו סתרים), בשיטה הדיגיטלית אפשרויות ההסתרה הן כמעט בלתי מוגבלות. למעשה ניתן להסתיר מסרים חשאיים כמעט בתוך כל מידע דיגיטלי העובר באינטרנט: תמונות, סרטים, שירים, מסמכים, גלישות באינטרנט, שיחות וידאו, אתרי חדשות, אתרי פורנו, פרסומות, משחקי אינטרנט, ערוצי רדיו וטלוויזיה באינטרנט ועוד ועוד.

הטענה הרווחת בעולם המודיעין הינה שאירגון אל-קעידה העביר לסוכניו מאות מסרים סמויים, טרם ההתקפה על ארה”ב ב-2001, ע”י הסתרתם בתוך תמונות שהועלו לאתר ebay. ידוע שארגוני טרור, כגון הג’יהאד, מדריכים את סוכניהם להסתיר מידע בתמונות וכן שארגוני מאפיה משתמשים בדרכים דומות לתקשורת חשאית. ב-2010 גילה ה-FBI שהרוסים מעבירים מסרים סמויים למרגלים שלהם בחו”ל ע”י שימוש בסטגנוגרפיה דיגיטלית.

סטגנוגרפיה ומערך הסייבר
בתקופה האחרונה אנו שומעים רבות על מלחמות הסייבר. אנו שומעים על הכלים המתוחכמים שמפותחים, על ההתקפות החדשניות, הסוסים הטרויאנים  והתולעים שגורמים נזקים בכל מקום. אנחנו שומעים על מטות סייבר שמוקמים ועל מערכי הגנה שנפרשים. אולם מה לגבי סטגנוגרפיה? האם גם לה יש קשר להתפתחויות האחרונות ולהערכויות העתידיות? כן, ועוד איך יש קשר.

ארגוני טרור וארגוני ביון המבצעים התקפות סייבר חשאיות נגד מערכות ממשלתיות, צבאיות ואזרחיות לשם גניבת מידע רגיש (מסמכים צבאיים, תרשימים מסווגים, זהויות, כרטיסי אשראי) או לשם התקפה קטלנית זקוקים לדרכים חשאיות להעברת מידע ופקודות. במקרה זה, התקשורת החשאית יכולה להתבצע מול המרגל האנושי שנמצא בתוך משרד ממשלתי או בתוך בסיס מודיעין או מול סוס טרויאני דיגיטלי שהושתל בתחנת כח. תקשורת מוסתרת בעזרת סטגנוגרפיה דיגיטלית מאפשרת את ביצוע התקשורת החשאית באופן כמעט בלתי ניתן לזיהוי ומהווה סיכון ממשי לביטחון הלאומי. ועל כן יש חשיבות עצומה לפתח ולשלב בתוך מערך הסייבר  שיטות לגילוי הערוצים החשאיים.

איך מתבצעת סטגנוגרפיה דיגיטלית?
הרעיון המרכזי של סטגנוגרפיה דיגיטלית הוא שניתן להסתיר את המסר החשאי ע”י ביצוע שינויים קטנים באמצעי הדיגיטלי (תמונה, סרט, שיר) כך שגם עין אנושית וגם אמצעי הגנה ממוחשב לא יוכלו להבחין בהם ולהבין שמדובר סטגנוגרפיה. שיטת הסטגנוגרפיה הדיגיטלית הידועה ביותר בעולם הינה הסתרת המסר החשאי בתמונה דיגיטלית הנשלחת באי-מייל, מוצגת ב-ebay, מפורסמת בפורומים או בפייסבוק.

מהי תמונה דיגיטלית?
תמונה דיגיטלית מורכבת ממאות אלפים ואף מליונים של נקודות קטנות, הנקראות פיקסלים. לכל פיקסל יש צבע משלו ואוסף כל הפיקסלים עם צבעיהם מרכיב את התמונות הדיגיטליות שאנו רואים בכל מקום באינטרנט. בתמונה ממוצעת יכול כל פיקסל לקבל צבע מתוך מגוון של כמעט 17 מיליון צבעים וגוונים. הצבע מתורגם למספר כך שכל פיקסל מיוצג באופן דיגיטלי ע”י מספר בין 0 לכ-17 מיליון. העין האנושית לא באמת מסוגלת לקלוט את המגוון העצום הזה של הצבעים ולשני פיקסלים בצבע אדום שנראים לעין האנושית בדיוק אותו הדבר יכול להיות ערך מספרי שונה. לדוגמא, בתמונה הבאה מופיעים שני ריבועים (פיקסלים) בצבע אדום, שניים בצבע שחור ושניים בכחול. לעין האנושית נראים שני הריבועים האדומים זהים אחד לשני, כמו גם השחורים והכחולים. בפועל יש הבדל קטן בגוונים והערכים המספריים של הריבועים שנראים בצבע זהה הינם שונים.

Different colors that look similar

לשם הפשטות, בואו ניקח את זוג הפיקסלים השחורים שנראים זהים אך ערכיהם המספריים שונים במקצת. נניח שהערך של הפיקסל השחור הימני הוא 1 ושל השמאלי הוא 2. כעת, נניח שיש לנו תמונה שחורה לגמריי, שמורכבת מפיקסלים שחורים בעלי הערך1, כמו הפיקסל הימני שלנו.  אם נחליף חלק מהפיקסלים האלה בפיקסלים בעלי הערך 2, כמו הפיקסל השמאלי שלנו, העין האנושית לא תקלוט את ההבדל ומבחינתה שתי התמונות (לפני השינוי ואחריו) ייראו זהות לחלוטין. כלומר, ביצענו שינוי מזערי בערך של פיקסלים מסויימים והחלפנו אותם בפיקסלים שנראים לעין בדיוק אותו הדבר אך בפועל התמונה השתנתה.

איך מסתירים את המסר החשאי?
נמשיך עם הדוגמא של התמונה השחורה. נניח שתמונה זאת מורכבת ממיליון פיקסלים שלכולם אותו צבע המיוצג ע”י המספר 2. כפי שראינו, נוכל להחליף כל פיקסל בתמונה בצבע המיוצג ע”י המספר 1  ואף אחד לא יוכל להבחין בכך. כלומר נוכל לבחור כרצוננו האם לפיקסל יהיה ערך אי-זוגי (1) או זוגי (2). נניח שאנחנו רוצים להסתיר בתוך התמונה מסר כתוב. בדומה לקוד מורס, נקודד כל אות ע”י רצף של חמישה מספרים זוגיים או אי-זוגיים. למשל, את האות A נייצג ע”י רצף של חמישה מספרים זוגיים: מספר זוגי ואחריו זוגי ואחריו זוגי ואחריו זוגי ואחריו זוגי. את האות B נייצג ע”י אי-זוגי, זוגי, זוגי, זוגי, זוגי. את האות C נייצג ע”י זוגי, אי-זוגי, זוגי, זוגי וכן הלאה את כל האותיות. באופן הזה כל אות מיוצגת ע”י רצף ייחודי של חמישה ערכים זוגיים או אי-זוגיים. על מנת להסתיר את המסר “Trust no one” אנחנו צריכים לשנות בתמונה 60 פיקסלים – חמישה עבור כל אות או רווח במסר החשאי. תחילה ניקח את חמשת הפיקסלים הראשונים בתמונה ונזכור שלכולם יש את הערך המקורי 2. האות T מיוצגת בקוד שיצרנו ע”י רצף של חמישה מספרים: אי-זוגי, אי-זוגי ,זוגי,זוגי,אי-זוגי. כלומר עלינו לשנות את הפיקסל הראשון, שני וחמישי בתמונה מזוגי (2) לאי-זוגי (1). בצורה זו נמשיך לשנות את הפיקסלים בהתאם לקידוד הרצוי, כפי שמתואר בתמונה הבאה.

Encoding of the secret message

מכיוון שבתמונה שלנו יש מיליון פיקסלים וכל חמישה פיקסלים מייצגים אות אחת מהמסר החשאי, ניתן להסתיר כ-200,000 אותיות בתמונה. את התמונה עם המסר החשאי נוכל לשלוח למשל באי-מייל אל היעד שלנו. מי שיבחן את התמונה לא יבחין בשום דבר מוזר או חשוד אך מקבל ההודעה שמכיר את שיטת ההסתרה שלנו יוכל לפענח את המסר החשאי. כל שעליו לעשות הוא לעבור על הפיקסלים מההתחלה ועד הסוף ולהחליף כל חמישה פיקסלים באות אחת לפי טבלת הקידוד שהגדרנו בהתאם לזוגיות/אי-זוגיות של ערכו המספרי של כל פיקסל.  בדוגמא הבאה הסתרנו מסר חשאי, סודי ואישי ביותר המכיל עשרות משפטים. התמונה העליונה הינה התמונה המקורית והתמונה התחתונה הינה התמונה המכילה את המסר החשאי – הן נראות זהות לחלוטין.

Original and hidden

אם אתם רוצים להתנסות בהסתרת מידע בתמונות, כנסו לאתר זה, בחרו תמונה בה אתם מעוניינים להסתיר מידע, כיתבו את המסר החשאי והאתר יבצע את ההסתרה עבורכם. לאחר מכן עקבו אחר ההוראות באתר המסבירות כיצד לחלץ אץ המסר המוסתר מתוך התמונה.

שיטות סטגנוגרפיה מתקדמות 
השיטה שהדגמנו להסתרת מסרים בתמונה הינה פשוטה וקלה למימוש אך ע”י שימוש בניתוח סטטיסטי של ערכי הפיקסלים בתמונה ניתן להבין כי היא לא כל כך תמימה כפי שהיא נראית לעין וככל הנראה בוצעו בה שינויים לשם הסתרת מידע. שיטות הסטגנוגרפיה שפותחו בשנים האחרונות הן מתוחכמות בהרבה ומערבות שימוש באלגוריתמים מתמטיים מורכבים המונעים כמעט כל זיהוי. שיטות אלה מפותחות ע”י מיטב המתמטיקאים בעולם ובסופו של דבר מוצאות את דרכן הן לארגוני טרור והן לארגוני ביון. בין היתר מדובר בהסתרות חזקות בתוך סירטוני וידאו, קבצי מוזיקה ופרוטוקולי תקשורת. שיטת סטגנוגרפיה טובה הינה נשק סייבר לכל דבר שבסופו של יום יכול לחרוץ גורלות של אנשים, אירגונים ומדינות.

הסתכלו ימינה, הסתכלו שמאלה, האם אתם עדיין בטוחים שהעולם סביבכם הוא כמו שהוא נראה או שמא מסרים חשאיים וסודיים מוסתרים בכל עבר? אכן, זוהי אומנות הסתרת המידע.

 

 

כתבה זו פורסמה בגירסא הדיגיטלית של עיתון הארץ.

בתקופה האחרונה אנו עדים להתקפות רבות ומגוונות בעולם הסייבר. אנו שומעים על אתרי מסחר שנפרצים ומספרי כרטיסי אשראי של לקוחותיהם נגנבים, תולעים המתפשטות בעולם ומשתקות כורים גרעיניים, אתרי אינטרנט ממשלתיים שקורסים תחת התקפות וסוסים טרויאנים שגונבים מידע פיננסי רגיש מבנקים. כיצד ייתכן שעם כל המשאבים הרבים המושקעים (או לא?) בהגנת עולם הסייבר, עדיין ניתן לפרוץ כמעט לכל מערכת בעולם – בין אם היא באירן, ישראל או ארה”ב?

בעולם הסייבר מקובל לסווג את שיטות ההגנה לשתי קטגוריות עיקריות. הראשונה הינה הגנה המבוססת על זיהוי עפ”י חתימות והשניה מבוססת על זיהוי עפ”י אנומליות (חריגות, יוצאי דופן).

מה ההבדל בין חתימות לאנומליות?
בוא נקפוץ רגע החוצה מהעולם הוירטואלי לעולם האמיתי, אל הקניון הקרוב לביתכם.

בכניסה לקניון עומד מאבטח, שבוחן את מאות הנכנסים לקניון ומחפש ביניהם את אותו אחד שעלול לבצע פיגוע. טרם הצבתו בעמדה, המאבטח עבר הכשרה שבמסגרתה ניתנו לו מספר קווים מנחים לאיתור חשודים אפשריים. למשל, אם אנחנו בקיץ וחם מאוד בחוץ ופתאום נכנס לקניון מישהו עם מעיל פוך נפוח אז כדאי מאוד שתעצור אותו. או אם מתקרב לשער הכניסה מישהו המחזיק רימון ביד אחת, אקדח ביד השניה וחגורת נפץ סביב מותניו, זה סימן שהגיע הזמן לשלוף את האקדח שלך. בנוסף, הוא גם קיבל רשימה של קלסתרונים של חשודים אותם יש לעכב באופן מיידי ולמנוע מהם בכל מחיר מלהיכנס לקניון. למעשה, מה שהגדרנו כאן זו רשימה של חוקים או חתימות. אם אתה רואה כך וכך אז זה סימן שהגיע הזמן לפעול. כאשר המאבטח עוקב אחר הנכנסים לקניון ומשווה אותם (מראם החיצוני, פעילותם, התנהגותם) אחד לאחד לרשימת החוקים שהוכנה לו מראש הוא יכול לזהות ולעצור 100% מהאנשים העונים באופן מלא לאחד מהחוקים לאיתור חשודים. באופן הזה אנו משיגים הגנה מוחלטת ומלאה מפני איומים אותם ידענו לאפיין מראש ולתרגם אותם לסט של חוקים ברורים וחד משמעיים.

 אולם, מה קורה אם מגיעה לקניון אישה קשישה הנראית בשנות השמונים לחייה אשר נושאת על גבה צ’ימידן ולמותניה מחובר מנשא תינוק? המאבטח הנאמן שלנו מביט ברשימת החוקים שלו ולא מוצא אף חוק העונה לתרחיש הקשישה. למעשה אפילו ייתכן שמוגדר לו לא לעכב קשישים וקשישות לבדיקה. האם מערך ההגנה נפרץ לרווחה והמחבל שהתחפש לקשישה הצליח בקלות להערים על המאבטח ולהחדיר לקניון תיק עמוס חומרי נפץ?

Anomaly

לא, מערך ההגנה לא כשל והמאבטח העירני זיהה את האיום. אומנם המאבטח מודע לכך שהקשישה לא עונה לאף אחד מהחוקים שהוגדרו לו אבל השילוב של קשישה בת שמונים, צ’ימידן כבד על גבה ומנשא תינוק המחובר למותניה מוגדר באופן מיידי במוחו של המאבטח כמשהו חריג, לא הגיוני. זו אנומליה. משהו שאינו מתחבר בצורה הגיונית לכל מה שהוא ראה וחווה בעבר. משהו שמצריך עיכוב, בדיקה מעמיקה ווידוא שלא מדובר בנסיון התקפה מוסווה תחת מעטה נורמלי ורגיל. זאב בעור של כבש.

בעוד שמערכת החוקים הוגדרה באופן קשיח מראש, המערכת לזיהוי אנומליות הינה מובנית במוחו של המאבטח. היא מתבססת על כל מה שהוא מכיר עד כה, על כל מה שהוא למד במשך השנים, על השכל הישר וההגיון הפשוט. המוח הינו מנגנון משוכלל שיודע להתאים תרחישים לתבניות ולאתר באופן אוטומטי את החריג, את מה שלא מסתדר. את האנומליות. מנגנון זיהוי האנומליות הוא זה שמאפשר לו לאתר איומים חדשים עליהם לא שמע בעבר ולשפר לעין שיעור את מערך ההגנה.

הגנה בעולם הסייבר
כמעט כל מערכות ההגנה הוירטואליות המוכרות לכם הן מערכות המבוססות על חוקים וחתימות. החל מחומות אש, דרך מערכות רשתיות לזיהוי התקפות ועד למערכות ביתיות לזיהוי התקפות (כמו אנטי-וירוסים, אנטי-ספאם, אנטי-פישינג ועוד).

מה הוא חוק בעולם הוירטואלי ומי מגדיר אותו?
בשנת 2000 נשלח מהפיליפינים אי-מייל למספר משתמשים בעולם. בשורת הנושא נכתבה מילה אחת, ILOVEYOU, ולאי-מייל צורף קובץ אחד, LOVE-LETTER-FOR-YOU.txt.vbs. זו היתה יריית הפתיחה לאחת התולעים ההרסניות ביותר בהיסטוריה של עולם האינטרנט. כאשר משתמש קיבל את אי-מייל האהבה ופתח את מכתב האהבה המצורף, התולעת פגעה קשות במחשבו, לא לפני ששיכפלה את עצמה ושלחה מיילים דומים ל-50 אנשי הקשר המופיעים ראשונים ברשימת אנשי הקשר של המשתמש המותקף. אף מערכת אבטחה לא זיהתה את התולעת, ולכן גם לא מנעה מהמשתמש לפתוח את הקובץ המצורף. אולם חמור מכך, אף מערכת אבטחה לא מנעה את הפצתו הויראלית של המייל מהמחשב המותקף ל-50 אנשי הקשר שלו ועל כן לא נעצרה התפשטותה של התולעת הזדונית. לאחר עשרה ימים מאז ההפצה הראשונית של התולעת נדבקו מעל 50 מיליון מחשבים בעולם והנזק העולמי נאמד בכ- 6 מיליראד דולר!

Worm infection rate

כיצד ניתן לייצר (בדיעבד) חוק שיזהה את התולעת?
דוגמא לחוק אפשרי: אם מגיע אי-מייל שבכותרת מופיעה המילה ILOVEYOU ומצורף לו קובץ יחיד ששמו LOVE-LETTER-FOR-YOU.txt.vbs אז השמד את האי-מייל במיידי (בפועל, החוק גם יכיל חלק מהטקסט המופיע בתוך הקובץ המצורף). את החוק הזה תגדיר חברת האנטי-וירוס, שחקרה את התולעת והבינה איך לאפיין אותה ולייצר את החתימה שכרגע הגדרנו. כעת חברת האנטי-וירוס תשלח עדכון לכל תוכנות האנטי-וירוס של לקוחותיה, התוכנות יוסיפו לרשימת החוקים שלהן את החוק החדש, וכאשר יגיע אי-מייל העונה לחוק זה, תוכנת האנטי-וירוס תשמיד אותו לפני שהמשתמש יוכל לפתוח אותו ולהיפגע.
כלומר, תוכנות האבטחה מחזיקות מאגרים של חוקים וחתימות של תולעים, סוסים טרויאנים ווירוסים ובצורה זו הן יכולות להגן על משתמשים, אתרי אינטרנט ורשתות, בדיוק כמו המאבטח שלנו בקניון שהשווה כל אדם לרשימת החוקים לאיתור חשודים שהוגדרה לו מראש.

אולם, מה קורה אם מישהו מייצר גירסא חדשה של וירוס ILOVEYOU שהכותרת שלו היא Message from your lover ומצורף אליו קובץ בשם PICS-OF-YOUR-LOVER.pdf? החוק שהגדרנו לאפיון תולעת ה-ILOVEYOU לא תקף במקרה הזה, תוכנות האנטי-וירוס לא ימצאו התאמה למאגר החוקים שלהן והטרוריסט המחופש לגברת הקשישה יעבור בחופשיות אל תוך הקניון. בעולם האבטחה אנו קוראים להתקפה מסוג זה Zero day attacks – התקפה שלא נראתה בעבר ואף אמצעי הגנה לא מכיר אותה עדיין ולכן גם אין חוקים שיכולים לזהות אותה. מה שנדרש במקרה הזה הוא מערכת לזיהוי אנומליות.

מהי אנומליה באולם הוירטואלי וכיצד ניתן לזהות אותה?
הנה דוגמא למנגנון לזיהוי אנומליות, שיכול היה למנוע את התפשטות תולעת ILOVEYOU ודומיה. מנגנון זה לומד ומאפיין את הדרך בה שולח המשתמש אי-מיילים. הוא בונה לעצמו פרופילים שונים של התנהגויות המאפיינות שליחת אי-מיילים ע”י המשתמש. למשל, כאשר אני מפעיל מנגנון זה אצלי הוא בוחן את המיילים אותם אני שולח, בודק לאן אני שולח אותם ומתוך זה מאפיין באופן אוטומטי את קבוצות האנשים אליהם אני שולח מיילים. למעשה הוא בונה עבורי פרופילים שונים של התנהגויות אותן הוא ראה אצלי. לדוגמא, בשעות הבוקר אני שולח מיילים בעיקר לעובדים במשרד או ללקוחות, בשעות הערב אני שולח מיילים בעיקר לחברים, בסופי שבוע בעיקר למשפחה וקצת לחברים אבל לא ללקוחות ולעיתים רחוקות אני שולח לאנשי מקצוע (מוסך, אינסטלטור, חשמלאי). כל הלימוד מתבצע באופן אוטומטי והפרופילים המאפיינים את ההתנהגות המיילית שלי מתעדכנים כל הזמן. נדגיש כי בדוגמא הזאת פישטנו בהרבה את האופן שבו עובד מנגנון לזיהוי אנומליות ובפועל הוא בונה פרופילים מורכבים המתחשבים באלפי משתנים ופרמטרים.

כעת, נניח שאותה תולעת ILOVEYOU תקפה אותי והיא מנסה להתפשט ממני ולהדביק אחרים. זיכרו שתולעת זו משכפלת את המייל הזדוני ל-50 האנשים הראשונים המופיעים ברשימת אנשי הקשר שלי. אני מזמין אתכם לבצע תרגיל פשוט – פיתחו את רשימת אנשי הקשר שלכם והסתכלו על 50 האנשים הראשונים המופיעים ברשימה. מה משותף להם? האם יש קשר ביניהם? האם אי פעם בעבר שלחתם אל כולם את אותו המייל באותו הזמן? מה הסבירות שמייל שלכם יישלח אל כל ה-50 הראשונים באותו הרגע?

אצלי למשל מופיעים ברשימה 7 חברים (קשר יומיומי), 8 אנשים מהעבודה (קשר במשך היום), 8 לקוחות, 6 בני משפחה, 3 חברים לריצה (סופי שבוע), 4 חברים מהמילואים (פעמיים בשנה), סוכנת הנסיעות (פעמיים בחודש), המוסכניק (פעם בשנה), 5 חברים מהאוניברסיטה (לא בקשר) ועוד 5 (קשר מזדמן) ועוד שני אנשי קשר שאין לי מושג מי הם ואיך הם הגיעו לפנקס הכתובות שלי. שום דבר לא מקשר בין 50 האנשים האלה כקבוצה, מעולם לא שלחתי אליהם את אותו המייל באותו הזמן ואפילו לא שלחתי להם מיילים שונים באותו הזמן. אני מניח שאצל רובכם המוחלט המצב הוא דומה, ו-50 האנשים הראשונים שייכים לקבוצות שונות הנבדלות באופן מובהק אחת מהשניה.

כלומר, המייל הזה שתוכנת הדואר שלי מנסה לשלוח ל-50 האנשים הראשונים ברשימה הוא חריג, יוצא דופן, אנומליה. מנגנון הלימוד וזיהוי האנומליות שלנו יזהה זאת באופן מיידי שכן הפרופיל שלו חריג מאוד ולא דומה לשום דבר שהמנגנון ראה או למד בעבר. למרות שהתולעת שינתה את פניה, החליפה כיסוי, שינתה את הכותרת ואת התוכן, והיא איננה עונה על אף חוק שאופיין עבור ה-ILOVEYOU המקורי, מנגנון זיהוי האנומליות זיהה אותה באופן מיידי שכן ההתנהגות שלה (ולא רק התוכן) היתה חריגה ולא תאמה את המוכר והנורמלי.

בתמונה הבאה מוצג אוסף של מאות מיילים שנשלחו מהמחשב שלי. כל נקודה מייצגת אי-מייל אחד שנשלח. התמונה המתקבלת היא ענן של נקודות הנראות אקראיות לגמרי.

A random organization of the e-mails

מכיוון שכל אי-מייל מורכב ממאות משתנים המורכבים מיעד השליחה, תאריך ושעה, כותרת, תוכן, טקסט ומסמכים מצורפים, התמונה הכוללת חסרת סדר לחלוטין ולא ניתן להבין ממנה מה נורמלי ומה חריג.

כעת נראה מה מעלה הניתוח של המנגנון לזיהוי אנומליות. מנגנון זה יודע לנתח בצורה חכמה את מאות המשתנים המרכיבים כל אי-מייל, לאפיין אותם ולארגן אותם במבנים גיאומטריים בעלי משמעות. מבנים אלה הם כל כך ברורים שאפילו מישהו שאיננו מהתחום יכול לזהות את האנומליות בקלות.

בתמונה הבאה מוצג אותו אוסף של מאות מיילים לאחר שנותח ואורגן מחדש ע”י מנגנון זיהוי האנומליות. כל נקודה מציינת א-מייל שנשלח על ידי. ניתן לראות שהאי-מיילים מסודרים במבנה גיאומטרי ברור בצורת בננה. יש מיילים באיזור הכחול במרכז (מיילים לחברים), יש מיילים באיזור הצהוב מצד ימין (מיילים למשפחה) ומיילים באיזור הצהוב מצד שמאל (מיילים ללקוחות) ולמעשה כל ה”בננה” הגדולה מסמלת את האיזור הנורמלי שאופיין ע”י מנגנון האנומליות.

לעומת זאת, במרכז התמונה יש מספר נקודות בודדות בצבע אדום. נקודות אלה רחוקות מכל שאר הנקודות (בבננה הגדולה) והן מוגדרות באופן אוטומטי ע”י המנגנון כאנומליות – חריגות שאינן קשורות לאיזור הנורמלי. ואכן, כל הנקודות האדומות הן מיילים שהתולעת ניסתה לשלוח מהמחשב שלי על מנת להתפשט למשתמשים אחרים. מנגנון זיהוי האנומליות זיהה אותם בהצלחה והצליח לעצור את המיילים הזדוניים מבעוד מועד.

Detection of the worms

מכיוון שמנגנון זיהוי האנומליות של המאבטח מהקניון כמעט ולא קיים במוצרי האבטחה הקיימים היום בעולם הסייבר, אנו ממשיכים להיות עדים להתקפות, פריצות, חדירות וגניבות מידע. אומנם מנגנונים לזיהוי אנומליות אינם מספקים הגנה של 100% וגם להם יש מספר חסרונות אולם תרומתם למערך ההגנה הינה מכרעת. עד שלא ישולבו מנגנוני הגנה אלה באופן משמעותי ונרחב במערך הסייבר, ימשיכו כל מערכות המחשב למיניהן להיות פגיעות וחשופות להתקפות ההרסניות ביותר. ועדיין לא הזכרנו את הסוסים הטרויאנים שחודרים למערכות דרך אמצעי ההגנה ומחכים ליום הדין בו תינתן להם הפקודה לבצע השמדה כוללת ואז גם נגלה שגניבת מספרי כרטיסי האשראי היא הדאגה הקטנה ביותר שלנו…

מטה הסייבר, לתשומת לבך!

 

כתבה זו פורסמה בגירסא הדיגיטלית של עיתון הארץ.

מי רוצה להיות אנונימי באינטרנט?
האינטרנט איננו אנונימי. ברוב המקרים ניתן לקשר משתמשים וירטואלים (והפעילות אותה הם מבצעים באינטרנט) אל זהותם האמיתית. עבור המשתמש הממוצע, חוסר האנונימיות אינו מהווה בעיה אבל לפעמים משתמשים כן מעוניינים לשמור על אנונימיות מוחלטת באינטרנט. לדוגמא, עיתונאי המעוניין לתקשר בצורה אנונימית עם מקורותיו, משתמשים שרוצים לעקוף את הצנזורה אותה מטילה ממשלתם על האינטרנט בארצם, ארגוני ביון המעונינים להשתתף בפורומים אפלים אך רוצים להסתיר את זהותם האמיתית ובלוגרים שרוצים לפרסם כתבות נשכניות באופן אנונימי.

נניח שאתם רוצים להשאיר תגובה לכתבה שפורסמה באתר חדשות כלשהו. בעת כתיבת התגובה אתם נדרשים למלא את פרטיכם (שם וכתובת אי-מייל). נניח שאתם לא רוצים שיקשרו את התגובה לזהותכם האמיתית. במקרה כזה את משאירים פרטים (שם וכתובת אי-מייל) בדויים.  האם הצלחתם לשמור על אנונימיות? לא ממש. האם למרות שלא השתמשתם בפרטים האמיתיים שלכם ניתן יהיה לקשר את התגובה לזהותכם האמיתית ולהגיע אפילו עד לביתכם? התשובה היא כן. עבור גורמים מסויימים יהיה מאוד קל לגלות את זהותכם האמיתית.  כל ניסיון דומה לזייף את פרטיכם ולהסתיר את זהותכם האמיתית נידון לכשלון, ואם אתר החדשות מאוד ירצה להגיע אליכם זה בהחלט אפשרי. ברוב המקרים, עם עזרה מרשויות החוק זה גם מאוד קל. לא, אתם בהחלט לא אנונימים באינטרנט.

על אנונימיות בעולם האמיתי
בואו נעזוב לרגע את העולם הוירטואלי ונביט על דוגמא מהעולם האמיתי.
אליס, שגרה בזכרון יעקב, מעוניינת לשלוח חבילה בדואר לבוב, שגר בירושלים. לאליס יש תיבת דואר על שמה ובעת שליחת החבילה היא מציינת את פרטי השולחת (אליס, ת”ד 1111, זיכרון יעקב) ואת פרטי המקבל (בוב, ת”ד 2222, ירושלים).

סניף הדואר המקומי בזיכרון מעביר את החבילה לדואר בירושלים שמעביר את החבילה לתיבת הדואר של בוב. בעת קבלת החבילה, בוב רואה את פרטי השולח. למעשה, הוא רואה את השם, תיבת הדואר והישוב אבל לא את כתובת הבית המדויקת של השולחת. נניח שמסיבה מסויימת, בוב רוצה לאתר את הכתובת והפרטים המדוייקים של השולחת, אליס. בוב יכול להתקשר לסניף הדואר בזיכרון יעקב, לספק להם את פרטי השולחת (שם, ת”ד) ולבקש את פרטיה המלאים. מכיוון שסניף הדואר מכר לאליס את תיבת הדואר, הוא גם מכיר את פרטיה האמיתיים. אולם, על מנת לשמור על פרטיות לקוחותיו, סניף הדואר לא יספק פרטים אלה לבוב. אבל מה יקרה אם החבילה מכילה למשל פצצה מתקתקת, והמשטרה מבקשת מהדואר לקבל את הפרטים המלאים? כפי שניחשתם, סניף הדואר יעביר את פרטיה של אליס וזהותה האמיתית תיחשף.

על אנונימיות בעולם הוירטואלי
בואו נחזור לעולם האינטרנט. בתאריך ה-1.1.11 בשעה 11:11 אליס רוצה להשאיר באתר החדשות של בוב תגובה לכתבה שפורסמה שם. כשאליס מתחברת לאינטרנט, ספק האינטרנט שלה (סניף הדואר המקומי) מקצה לה כתובת IP (לדוגמא, 1.1.1.1). כתובת ה-IP מקבילה למספר תיבת הדואר מהדוגמא שראינו בעולם האמיתי – זוהי הכתובת של אליס בעולם הוירטואלי. לבוב (במקרה זה, לאתר האינטרנט של בוב) גם יש כתובת IP משלו (נניח, 2.2.2.2). כעת, כל פעילות אינטרנטית שאליס תבצע תהיה מזוהה עם כתובת ה-IP שלה. כשאליס משאירה תגובה באתר של בוב, המחשב של אליס מכין הודעה, ממלא בפרטי ההודעה את פרטי השולח (כתובת ה-IP של אליס) ואת פרטי המקבל (כתובת ה-IP של בוב) ובגוף ההודעה הוא מכניס את התגובה אותה אליס רוצה לשלוח.

כמו בעולם האמיתי, ניתן לאתר את פרטיה האמיתיים של אליס (שם, כתובת פיסית וכו’) בהתבסס על כתובת ה-IP הוירטואלית שלה. כתובת זו (1.1.1.1) שהוקצתה לה ע”י ספק האינטרנט שלה שייכת לספק ורשומה על שמו. מידע זה הוא פומבי באינטרנט וכל אחד יכול לבדוק על שם מי רשומה כל כתובת IP. לדוגמא, בדיקה פשוטה באינטרנט (באתר כמו www.ipaddresslocation.org) מעלה כי כתובת ה-IP ממנה אני גולש כעת (79.181.205.194), רשומה על שם בזק בינלאומי, רחוב השחם 40, פ”ת, טלפון 1800014014.

אם בוב רוצה לאתר את פרטיו של משאיר התגובה, הוא יכול לאתר בקלות את פרטיו של ספק האינטרנט של משאיר התגובה ואז לפנות לספק ולבקש את הפרטים המלאים של המשתמש שגלש בתאריך 1.1.11 בשעה 11:11 מכתובת IP זו (1.1.1.1). כל ספק אינטרנט מחוייב לשמור את היסטוריית ההקצאות אותן ביצע לכתובות ה-IP הרשומות על שמו ולכן ספק האינטרנט של אליס יכול למצוא בקלות שאליס גלשה בתאריך זה בשעה זו עם כתובת IP זו. מכיוון שאליס היא לקוחה שלו, ספק האינטרנט מחזיק גם את פרטיה האמיתיים (שם, כתובת פיסית, פרטי חיוב וכו’). מכיוון שספק האינטרנט מחוייב לפרטיות משתמשיו סביר להניח כי הוא לא ימסור פרטים אלה לבוב אבל אם גופי החוק יבקשו זאת ממנו הוא מחוייב לספקם.

כמו שראינו, הן בעולם האמיתי והן בעולם הוירטואלי, האנונימיות של השולח הינה מאוד מוגבלת. כעת נראה כיצד ניתן לשפרה בעשרות מונים.

איך להיות אנונימים בעולם האמיתי
על מנת לשפר בצורה דרמטית את האנונימיות שלה בעולם האמיתי, אליס תשלח את חבילתה לבוב דרך מספר מתווכים שיעזרו לה להסתיר את זהותה האמיתית מבוב. אליס בוחרת באופן אקראי 3 אנשים, כל אחד מיבשת אחרת. הראשון, פרנק מפריס, צרפת (תיבת דואר 333). השניה, דבי ממלבורן, אוסטרליה (ת”ד 444). השלישי, עלי מרבט, מרוקו (ת”ד 555). כעת, אליס שולחת את החבילה לפרנק שישלח אותה לדבי שתשלח אותה לעלי שישלח אותה ליעדה הסופי, בוב. כל תחנה במסלול זה מכירה את כתובת התחנה שלפניה במסלול ואת כתובת התחנה שאחריה במסלול, ולא יותר. מאחר והחבילה מטיילת בין מספר תחנות ברחבי כדור הארץ, לבוב יהיה מאוד קשה לפרום את השרשרת ולהבין שמקור החבילה הוא אליס.

עיקרון זה צריך להיות מוכר לצופי סדרת הטלוויזיה “הבורר”. באחת מהסצינות הטובות ביותר בסידרה, פארוקי מסביר לאחים קובלובה איך שומרים על אנונימיות בבחירת הבלדר לחבילת הסמים אותה הם רוצים להעביר: “תמצא לי מישהו שימצא לך מישהו שיארגן לך מישהו. אל תפספס, שלושה מישהו. אני אכלתי אותה 12 שנים כי הורדתי מישהו אחד בדרך”. אז גם אנחנו שומרים על עיקרון זה ובוחרים 3 מישהו שיעזרו לנו לשמור על זהותה של אליס מפני בוב.
איך זה יתבצע בפועל? כמו בובת מטריושקה…
אליס מכינה את החבילה למשלוח. תחת פרטי השולח היא כותבת את פרטיו של עלי (ת”ד 555, רבט, מרוקו) ותחת פרטי המקבל היא כותבת את פרטיו של בוב (ת”ד 222, ירושלים, ישראל). אז היא לוקחת את החבילה ושמה אותה בתוך קופסא גדולה יותר. על קופסא זו היא כותבת את פרטיה של דבי (ת”ד 444, מלבורן, אוסטרליה) תחת פרטי השולח ואת פרטיו של עלי תחת פרטי המקבל. בנוסף היא נועלת את החבילה עם מנעול שרק עלי מכיר את הקוד שלו. כעת אליס לוקחת את החבילה הכפולה ושמה אותה בתוך קופסא גדולה יותר. היא כותבת את פרטיו של פרנק (ת”ד 333, פריס, צרפת) תחת פרטי השולח ואת פרטיה של דבי תחת פרטי המקבל. אליס גם נועלת חבילה זאת במנעול שקוד פתיחתו ידוע רק לדבי. לבסוף אליס לוקחת את החבילה המשולשת ושמה אותה בתוך חבילה גדולה יותר. הפעם היא משתמשת בפרטיה (ת”ד 111, זיכרון יעקב, ישראל) תחת פרטי השולח ואת פרטיו של פרנק תחת פרטי המקבל. כמו מקודם, חבילה זו ננעלת במנעול שקוד פתיחתו ידוע אך ורק לפרנק. התמונה הבאה ממחישה כיצד תיראה חבילה רב-שכבתית זו. לכל שכבה יש שולח, מקבל ומנעול.

החבילה של אליס יוצאת לדרך כאשר היעד הראשון הוא פרנק. בעת קבלתה, פרנק פותח את החבילה (רק לו יש את הקוד המתאים) ורואה בפנים חבילה נוספת. הוא לא יכול לפתוח אותה (רק דבי מכירה את הקוד) אבל הוא רואה שהיעד הבא הוא דבי. אז פרנק שולח את החבילה הפנימית לדבי שמקבלת, פותחת ורואה בפנים חבילה נוספת (נעולה) שמיועדת לעלי. דבי שולחת את החבילה הפנימית לעלי שפותח ומוצא בפנים חבילה נוספת. הפעם עלי רואה שהיעד הסופי הוא בוב והוא מעביר לו את החבילה הפנימית ביותר. השימוש במנעולים מבטיח, כי כל מתווך בדרך יוכל לדעת מה היעד הבא אחריו ולא יותר מזה. באופן זה, לכל תחנה במסלול (מלבד אליס) יש ידע חלקי לגבי המסלול אותו עוברת החבילה.

אם בוב רוצה לפרום את המסלול ולהגיע לשולח המקורי, עליו להתחיל במתווך האחרון במסלול ממנו הגיעה החבילה (עלי). בוב צריך לפנות לסניף הדואר של עלי במרוקו, לתת להם את פרטיו של עלי, כפי שהופיעו על החבילה ולבקש מהם את פרטיו האמיתיים. רק אז הוא יכול לגשת לעלי ולשאול אותו מהיכן הגיעה החבילה. עלי לא יודע מי היה המקור של החבילה אבל הוא יודע שהתחנה לפניו במסלול היתה דבי. כעת בוב צריך לחזור על תהליך זה מול דבי והרשויות באוסטרליה וגם אם הוא יזכה לשיתוף פעולה הוא יוכל לקבל רק את פרטיו של מי שקדם לדבי במסלול (פרנק). ושוב בוב צריך לחזור על התרגיל מול פרנק והרשויות בצרפת, ורק אם מהלך זה יהיה מוצלח הוא יוכל להגיע לתחנה שלפני פרנק – אליס היקרה. כעת בוב צריך לפנות לרשויות במדינתה של אליס על מנת לקבל את פרטיה המלאים.

כפי שאתם רואים, כדי לפרום את מסלול הבידול הזה, בוב צריך לקבל עזרה רבה מהרשויות הישראליות, המרוקאיות, האוסטרליות והצרפתיות. שיתוף פעולה מסובך זה בין מספר מדינות גוזל משאבים ודורש בדרך כלל גם מהלכים דיפלומטיים והסיכוי לכך הוא נמוך. מאוד נמוך. התהליך שתיארנו הגביר בצורה משמעותית ביותר את האנונימיות של אליס וברוב המקרים (אם המסלול והמתווכים נבחרים בקפידה) יהיה כמעט בלתי אפשרי להגיע מבוב בחזרה אל אליס.
בואו נחזור לעולם הוירטואלי.

איך לשמור על אנונימיות בעולם הוירטואלי
העיקרון שהצגנו לגבי העולם האמיתי (3 מתווכים אקראיים) מיושם בעולם הוירטואלי ע”י מערכת שנקראת TOR, the onion routing, או ניתוב הבצל בעברית. מערכת TOR יכולה לעזור לכל משתמש באינטרנט לשמור על האנונימיות שלו.
כיצד זה פועל?
ראשית, על אליס להתקין במחשב שלה מערכת TOR. כעת, כאשר אליס רוצה לגלוש באינטרנט בצורה אנונימית, מערכת ה-TOR המותקנת אצלה תבחר באופן אקראי 3 מתווכים ברשת ה-TOR (כמו פרנק, דבי ועלי מדוגמת העולם האמיתי). המתווכים ברשת ה-TOR הם משתמשים רגילים שלמען חופש הביטוי וזכויות האדם התנדבו להתקין תוכנה שתעביר תעבורת אינטרנט אנונימית עבור משתמשי TOR. כשאליס רוצה להשאיר תגובה באתר של בוב, תוכנת ה-TOR של אליס תיקח את התגובה ותעטוף אותה בשכבות, כפי שראינו בדוגמא מהעולם האמיתי. השכבה הפנימית ביותר תכיל את התגובה אותה אליס רוצה לשלוח ואת כתובת ה-IP של עלי (5.5.5.5) בתור השולח ואת כתובת ה-IP של בוב (2.2.2.2) בתור המקבל. בשכבה החיצונית הבאה התהליך חוזר על עצמו עם ה-IP של דבי (4.4.4.4) בתור השולחת וה-IP של עלי בתור המקבל. בשכבה החיצונית הבאה ה-IP של פרנק (3.3.3.3) הוא השולח וה-IP של דבי הוא המקבל. ובשכבה החיצונית ביותר ה-IP של אליס הוא השולח (1.1.1.1) ושל פרנק הוא המקבל. בנוסף, כמו בדוגמת העולם האמיתי, כל שכבה מוצפנת, ורק היעד של השכבה יכול לפענח ולדעת למי להעביר הלאה. מאחר וכל תחנה במסלול מקלפת את השכבה שלה ומעבירה לתחנה הבאה, עיקרון זה נקרא ניתוב בצל.

לדוגמא, בעת גלישתי האנונימית ברגע זה באמצעות ה-TOR, כתובת ה-IP שלי, כפי שהעולם רואה אותה, השתנתה מ- 79.181.205.194 (בזק בינלאומי, ישראל) ל-178.63.97.34 הרשומה על שם ספק האינטרנט Hetzner Online בגרמניה. כלומר, מבחינת כל אתר אליו אני גולש אני נמצא בגרמניה וכתובת ה-IP שלי מובילה לספק אינטרנט גרמני (שכמובן לא מודע לקיומי).

אם בוב רוצה לאתר את זהותו של משאיר התגובה באתר שלו, עליו לבצע פרימה מלאה של השרשרת – מעלי וספק האינטרנט שלו, דרך דבי וספק האינטרנט שלה, לפרנק וספק האינטרנט שלו ועד לאליס וספק האינטרנט שלה. כלומר, בוב צריך את שיתוף הפעולה של ספקי האינטרנט ורשויות החוק בישראל, מרוקו, אוסטרליה וצרפת. הסיכוי שזה יקרה בפועל הוא נמוך מאוד וברוב המקרים, גם אם הוא יתבצע, יהיה בלתי אפשרי לפרום את המסלול במלואו עד לאליס.

התמונה הבאה מראה את המסלולים בעולם, דרך מתווכים שונים, אותם עוברות הודעות ששלחנו ברשת ה-TOR.

מי הבעלים של TOR?
פרוייקט ה-TOR מופעל ע”י ארגון ללא מטרות רווח בארה”ב. התוכנה והשימוש בה הם בחינם. תוכנת ה-TOR הינה מערכת קוד פתוח, ולכן כל אחד יכול לנתח אותה ולוודא שאין שם סוסים טרויאנים או דלתות אחוריות שעלולות לפגוע באנונימיות של המשתמש. רשת ה-TOR מונה כ-2,500 מתנדבים (מתווכים) מסביב לעולם שמבדלים את תעבורת ה-TOR האנונימית. לדוגמא, ניתן למצוא מתווכים כאלה באוסטרליה, ארגנטינה, בלגיה, ברזיל, קנדה, גרמניה, צרפת, אלג’ריה, מצרים, ספרד, פינלנד,  בריטניה, ארה”ב, הודו, רוסיה, פנמה טורקיה, דרום אפריקה, וונצואלה ואפילו בישראל.

האם TOR מבטיחה 100% אנונימיות?
לא, אף אחד לא יכול להבטיח אנונימיות מוחלטת באינטרנט, אולם תהליך פרימת שרשרת מתווכים של TOR והגעה למשתמש עצמו היא סבוכה מאוד ודורשת משאבים טכנולוגיים, משפטיים ודיפלומטים וכן שיתוף פעולה בין מדינות סביב העולם. לכן, TOR היא ככל הנראה הדרך הטובה ביותר עבור המשתמש הרגיל לשמור על האנונימיות שלו באינטרנט. חשוב לציין שבמקרים מסויימים, למשל כשיש עדות לפעילות טרור, שיתוף פעולה כזה בין מדינות הינו אפשרי. בנוסף, יש מספר התקפות נגד רשת ה-TOR שמנסות לפגוע באנונימיות של המשתמשים אבל עדיין מדובר במקרים נדירים ומסובכים.

איך לגלוש בצורה אנונימית דרך TOR?
הדרך הפשוטה ביותר להשתמש ב-TOR לגלישה היא ע”י שימוש ב- TOR Browser Bundle, אותו ניתן להוריד כאן. תוכנה זו זמינה למערכות ההפעלה חלונות, לינוקס, מק ואנדרואיד. התוכנה מכילה מספר חבילות ובין היתר גירסא מיוחדת של הדפדפן פיירפוקס (Firefox). לאחר הורדת התוכנה והפעלתה יווצרו מספר ספריות על מחשבכם ובספרייה הראשית תמצאו קובץ בשם “Start Tor Browser” (עבור חלונות), “start-tor-browser” (עבור לינוקס) או “TorBrowser_en-US.app” (עבור מק). לפני הרצת קובץ זה רצוי שתסגרו את כל הדפדפנים הפתוחים ברקע על מנת שלא תתבלבלו בין הדפדפנים הרגילים בהם את משתמשים והדפדפן המיוחד של TOR. לאחר הרצת קובץ זה, TOR תתחיל לרוץ ולאחר שתהיה מוכנה לגלישתכם האנונימית ייפתח הדפדפן המיוחד של פיירפוקס. מעתה ועד שתסגרו דפדפן זה, כל גלישה באינטרנט אותה תבצעו דרך הדפדפן תעבור באופן אנונימי דרך רשת ה-TOR. שימו לב שגלישתכם תהיה איטית מהרגיל, שכן כל הודעה שיוצאת ממחשבכם לאינטרנט תוצפן ותפוענח מספר פעמים וגם תטייל דרך מחשבים שונים ברחבי העולם. זהו מחיר פעוט אותו תאלצו לשלם על מנת להיות באמת אנונימים באינטרנט.

 

כתבה זו פורסמה בגירסא הדיגיטלית של עיתון הארץ.

הערה חשובה: מאמר זה מציג שיטות פשוטות לחדירה וגניבת מידע ממכשירי אייפון ואייפד. מטרת המאמר איננה לעודד פעולות אלה (שאינן חוקיות בעליל) אלא לעורר את מודעות המשתמשים ולספק להם דרכים להגן על מכשיריהם.

נתב”ג, יום שני בערב
הגעתם לשדה התעופה שלוש שעות לפני הטיסה, עברתם את הביקורות, סיימתם את הקניות והתרווחתם בבית הקפה. איך הורגים את הזמן שנותר לטיסה? מוציאים את האייפון וגולשים קצת באינטרנט החינמי באדיבות נתב”ג.

אי שם, יום שלישי בבוקר
טיסתכם נחתה בשלום, מחאתם כפיים לטייס ויצאתם לאסוף את המזוודות. לפתע נוחת עליכם מבול של הודעות SMS: בת הזוג שואלת בהיסטריה איך הגיעו הסרטים שצילמתם עם האייפון בחדרי חדרים אל יו-טיוב, הבוס לא מבין איך האי-מייל הסודי המכיל את מאזן החברה שנשלח אליכם אתמול כבר מככב במדורי הכלכלה בעיתונים, הפקידה מהבנק שואלת למה העברתם את כל חסכונותיכם לחשבון עלום באיי קיימן וחברכם שואל איך התמונות הנועזות שצילמתם במסיבת הרווקים הגיעו אל עמוד הפייסבוק שלכם וגם מודיע לכם שהודעות ה-SMS הכמוסות ביותר שלכם הופצו לכל עבר.
אתם מחזיקים את הראש ביאוש ונזכרים בכל הכתבות שקראתם לאחרונה על יכולות העל של הרשויות הממשלתיות להגיע אל המידע בסמארטפון שלכם. איזה צירוף של 3 אותיות ניתן להאשים בחדירה אל האייפון שלכם? FBI, CIA, NSA, KGB או שב”כ? למעשה התשובה הרבה יותר פשוטה. כמו ברוב המקרים, האשמים הם… אתם.

חודש לפני כן
זוכרים שילדכם ביקש לרגע את האייפון כדי לסדר אותו כך שניתן יהיה להוריד משחקים בחינם? או אולי זה היה חבר ששיכנע אתכם לבצע jailbreak לאייפד שלכם כי כך תוכלו להוריד תוכנות מגניבות בחינם? או שמא קראתם באתר כלשהו ש-jailbreak לאייפוד שלכם יהפוך אותו למכשיר על?אז זהו, שם הכל התחיל.

Credit: Vicky Woodward

מה זה jailbreak?
על כל מכשיר אייפון (וגם אייפד ואייפוד) ניתן להתקין אפליקציות (תוכנות, משחקים,יישומים) המגיעות אך ורק מהחנויות הוירטואליות המורשות של חברת Apple (למשל, חנות iTunes). כל אפליקציה שנמצאת ב-iTunes עברה בדיקה ואישור של אפל עוד לפני היותה זמינה להורדה ע”י משתמשים. באופן זה, חברת אפל מבטיחה שכל האפליקציות שיותקנו על מכשירי המשתמשים הינן בטוחות לשימוש ואינן מזיקות. זהו אמצעי אבטחה חזק שגם מגן על משתמשים מפני ווירוסים, סוסים טרויאנים ושאר מזיקים.
מצד שני, אין באפשרות המשתמש להתקין אפליקציות שאינן זמינות בחנויות אפל. כל אפליקציה שמפרה את מדיניות אפל לפיתוח אפליקציות תידחה ולא תאושר לשימוש ע”י אפל ולכן גם לא תופיע בחנויות אפל. למשל, אפליקצית התרמה לארגונים ללא כוונות רווח איננה מותרת.
איך בכל זאת ניתן להתקין אפליקציות כאלה? התשובה היא jailbreak.
Jailbreak (או פריצה) הינו תהליך המסיר את המגבלות שהוטלו ע”י אפל על מכשירי אייפון, אייפד ואייפוד והוא מאפשר למשתמש לקבל שליטה מלאה על מכשירו. משמעות הביטוי הינה פריצה
(break) של הכלא (jail) בו נמצא מכשיר האייפון וביטול כל האיסורים אותם הטילה אפל. לאחר ביצוע הפריצה, ניתן להוריד כל אפליקציה או הרחבה מכל חנות וירטואלית (למשל, חנות Cydia). מפתחיי אפליקציות יכולים לעקוף את מדיניות הפיתוח של אפל, ליצור כל אפליקציה שהיא ולהפיץ אותה בחנויות Cydia.

To jailbreak or not to jailbreak?
מבחינה חוקית, בעל מכשיר ראשי לפרוץ אותו (לפחות בארה”ב). יש משתמשים שטוענים כי לאחר הפריצה המכשיר נהיה מאוד איטי, הסוללה נגמרת במהירות וכל המערכת לא יציבה. אחרים טוענים שהפריצה שינתה את חווית המשתמש לאין שאור והמכשיר יכול לבצע כעת דברים מדהימים.
אז איפה הבעיה?
כמו ברוב בעיות האבטחה החמורות ביותר, הגורם האנושי (אתם) הוא הבעיה האמיתית. ביצוע jailbreak לאייפון הוא מאוד פשוט ומהיר ולמעשה דורש אפס הבנה מצד המשתמש ללא צורך בידע טכנולוגי. יש מספר שיטות לפריצה וכולן זמינות באינטרנט. אבל, וזה ה-catch, חלק מהשיטות לפריצה מתקינות תוכנה קטנה על מכשירכם. תוכנה זו נקראת SSH Service והיא מאפשרת לכם להתחבר מרחוק למכשירכם ולקבל עליו שליטה מלאה. אינכם צריכים לדעת מה זה SSH ולמעשה רוב המשתמשים שפורצים את מכשירהם מעולם לא שמעו על כך.
אולם, ה-SSH גם פותח חלון קטן לעולם הגדול…
בואו ננסה לפשט את זה ע”י אנלוגיה מהעולם האמיתי. נניח שאתם גרים בבית גדול ומוגן ע”י דלתות פלדה, חלונות וסורגים ממתכת ובנוסף גם מערכת אזעקה המגנה על כל הפתחים לבית. כעת, מישהו אומר לכם שאם תסירו את הדלתות, הסורגים והחלונות בקומה הראשונה ותנתקו את האזעקה, תוכלו לצפות בנוף ללא הפרעה, הבריזה מהים תצנן את ביתכם ביום חם  וחתולכם ייכנס וייצא מהבית כאוות נפשו.
אלא אם אתם גרים בקיבוץ ומדובר היה במאה הקודמת, תגובתכם מן הסתם תהיה: השתגעת? כל אחד יוכל להכנס לביתי ולגנוב כל מה שיחפוץ.
האם שאלתם את אותה שאלה כאשר פרצתם את האייפון שלכם? כנראה שלא.
בואו נראה מה התוצאה של פתיחת חלון ה-SSH הקטן במכשירכם. כאשר אתם מתחברים לאינטרנט אלחוטי, למשל בבית הקפה השכונתי, באוניברסיטה או בשדה התעופה, כל משתמש אחר יכול לנסות לחדור (hack) לאייפון שלכם מרחוק. כאשר מכשירכם מוגן, יהיה כמעט בלתי אפשרי לחדור אליו. אולם, במידה וה-SSH הותקן על מכשירכם הפרוץ, הבחורה הנחמדה מהקומה הראשונה במלון יכולה לנסות ולחדור למכשיר האייפון שלכם דרך החלון שפתח ה-SSH.

מה האקר כזה יכול לעשות? הכל!!!
הוא יכול לקרוא את כל המסמכים, המיילים והודעות ה-SMS שלכם, לגנוב את ססמאות הבנק/פייסבוק/ג’י-מייל, לצותת לשיחות הטלפון שלכם, לעקוב אחרי מיקומכם המדוייק בכל רגע נתון, לראות את כל התמונות ולצפות בכל הסרטים ה”מיוחדים” שצילמתם עם האייפון…
והכל יהיה כל כך חשאי שאפילו לא תהיו מודעים לכך.
רגע, אפשר להירגע. זה לא כל כך פשוט. על מנת להתחבר מרחוק ל-SSH שלכם צריך לדעת מה הסיסמא. כל עוד התוקף לא יודע מה סיסמת ה-SSH במכשירכם, אתם מוגנים.
נרגעתם? בעצם, אין לכם סיבה טובה להירגע. כאשר מותקנת על מכשירכם הפרוץ תוכנת ה-SSH, היא מגיעה כבר עם סיסמא מראש. למעשה, הסיסמא תהיה זהה בכל מכשיר (בדר”כ הסיסמא תהיה alpine). כשפרצתם את מכשירכם, היה מצוייין באותיות הקטנות שעליכם לשנות את הסיסמא למשהו אחר. מכיוון שרוב המשתמשים לא יודעים מה זה SSH ולמה צריך אותו, הם לא טורחים לשנות את הסיסמא. ואפילו אם הם רוצים, הם לא ממש יודעים איך.
מצד שני, כל האקר מתחיל מכיר את סיסמת ברירת המחדל הזו.במידה ופרצתם את מכשירכם, תוכנת ה-SSH הותקנה ולא שיניתם את הסיסמא שלה, ההאקר יכול לחדור אל מכשירכם בקלות רבה. זה כל כך קל שאפילו כל אחד (ולא רק גיקים טכנולוגיים) יכול לבצע חדירה סמוייה זאת. מייד נראה איך עושים זאת.

מה אחוז מכשירי האייפון הפרוצים?
ההערכות מדברות על כך שכ-8-15% מכלל מכשירי האייפון, אייפד ואייפון נפרצו על ידי בעליהם. כלומר, בכל מקום בו תתחברו לאינטרנט האלחוטי, כ-1 מתוך 10 מכשירי אייפון שיהיו מחוברים יהיה מכשיר פרוץ.
בסין מדובר על כ-35% כאשר רוב המכשירים הפרוצים הם אייפון 4.

תוצאות מבחני חדירה שביצענו
על מנת להבין את היקף התופעה, ביצענו בחברת Brainstorm Private Consulting מספר ניסויים  באירופה (בשדות תעופה ואוניברסיטאות, באישור). התחברנו עם מכשיר האייפון (הלא פרוץ) שלנו לאינטרנט האלחוטי וסרקנו את הרשת. התוצאה המפתיעה הראשונה היתה שבכ-6% ממכשירי האפל שהיו מחוברים באותם מקומות לאינטרנט האלחוטי היה מותקן שירות SSH שחיכה להתחברות מרחוק. ניסינו לחדור אל המכשירים האלה תוך שימוש בסיסמת ברירת המחדל . התוצאה היתה מדהימה: הצלחנו לחדור לכ-80% מהמכשירים. כלומר, כ-5% מכלל מכשירי האייפון/אייפד ניתנים לחדירה בקלות מעוררת אימה. הסתכלו ימינה, הסתכלו שמאלה, 1 מתוך 20 מכשירי האפל שסביבכם ניתן לחדירה על ידי כל אחד והמידע הרגיש והסודי ביותר עליו ניתן לגניבה תוך דקות ספורות.

 איך לחדור לאייפון?
מטרת ההסבר הבא הינה להראות עד כמה תהליך החדירה הוא פשוט וקל וניתן לביצוע ע”י כל משתמש לא-טכנולוגי שהוא ללא כלי חדירה ייעודיים. כפי שהדגשנו בראשית הכתבה, הסבר זה בה לעורר את המודעות של המשתמשים לאבטחה שלהם ולא לעודד גניבת מידע באופן לא חוקי.  תהליך החדירה יתבצע באמצעות האייפון בעזרת שתי אפליקציות אייפון חינמיות, חוקיות וזמינות להורדה לכל דורש בחנות iTunes הרשמית של אפל. לכן גם אין צורך לבצע jailbreak לאייפון שלכם כדי לבצע חדירה למכשירים אחרים.

האפליקציה הראשונה, Fing , משמשת לסריקת רשת אלחוטית וחיפוש מכשירים המחוברים אליה. לאחר הפעלתה, האפליקציה מציגה את רשימת המכשירים המחוברים לרשת האלחוטית. ליד כל מכשיר מופיע שם (למשל Apple) ומספר – זוהי כתובת ה-IP שלו ברשת. אינכם צריכים לדעת מה זו כתובת IP אלא רק לזכור אותה לשלב הבא בפריצה (כל הכתובות המוצגות בכתבה זו הינן בדויות). בדוגמא שלהלן, למכשיר האחרון ברשימה יש את הכתובת 192.11.228.154 והמכשיר שלנו מסומן ע”י המילה You.

List of connected devices

 כפי שניחשתם, כל מכשיר ששמו הוא Apple הינו מועמד לחדירה. כעת נבחר במכשיר כזה מהרשימה ונבדוק אם שירות ה-SSH אצלו פעיל. בדוגמא שלנו נבחר במכשיר האחרון ברשימה ובתחתית המסך שייפתח נלחץ על Scan services.

לאחר מספר שניות ייפתח מסך חדש שיציג לנו את רשימת ה”חלונות” הפתוחים במכשיר זה (שמם הטכנולוגי הוא ports). אם הרשימה מכילה שורה שאומרת 22 SSH כמו בדוגמא הבאה, זה אומר ששירות ה-SSH במכשיר זה מותקן, פעיל ומחכה להתחברות מרחוק.

SSH is open

 כעת נשתמש באפליקציה החינמית השניה, Mobile Admin , על מנת לנסות ולחדור למכשיר. לאחר הפעלתה יש ללחוץ על SSH

Mobile Admin

ולאחר מכן על New Connection.

Add a new SSH connection

במסך שייפתח יש למלא בשדה Host box את הכתובת של המכשיר שמצאנו בשלב הקודם (192.11.228.154 בדוגמא שלנו), בשדה User Name יש לכתוב root ובשדה Password יש להכניס את סיסמת ברירת המחדל alpine. לאחר מכן יש ללחוץ על כפתור ה-Connect בתחתית המסך.

SSH connection details

במסך שיפתח לאחר מכן יש ללחוץ על Accept Once.

במידה והסיסמא התקבלה בהצלחה תקבלו מסך שחור עם מעט טקסט בלבן וסמן מהבהב הדומה למסך הבא.

משמעות הדבר היא שחדרתם בהצלחה למכשיר ויש לכם גישה חופשית ומלאה לכל חלק במערכת של המכשיר המותקף.

איך להגן על מכשירכם מפני תקיפה זאת?
ראשית, הפעילו את אפליקציית Fing (כאשר את מחוברים לאינטרנט אלחוטי) וחפשו את כתובת ה-IP שלכם (מכשירכם מסומן במילה You).

כעת, הפעילו את Mobile Admin, צרו חיבור SSH חדש (כפי שתארנו בתהליך החדירה) והכניסו בשדה  Host Box את כתובת ה-IP שלכם שמצאתם זה עתה. הזינו את שאר הפרטים כמו מקודם, User Name הוא root ו-Password היא alpine. לחצו כל Connect.

אם במסך שייפתח כתוב משהו הדומה ל- SSH Connection Failed – אתם מוגנים ובמכשירכם לא פועל שירות SSH. סיימתם את תהליך הבדיקה.

אחרת, אם מופיע מסך הדומה למסך הבא, בחרו בכפתור Accept Once.

אם במסך הבא שייפתח כתוב משהו הדומה ל-SSH Connection Login/Password authentication failed – אתם מוגנים.  אומנם במכשירכם פועל שירות SSH אך הסיסמא הקיימת איננה סיסמת ברירת המחדל וכל עוד היא מספיק חזקה אין צורך לחשוש. סיימתם את תהליך הבדיקה.

אולם, אם מופיע מסך שחור עם טקסט בלבן וסמן מהבהב (כמו בדוגמת החדירה שהוצגה לעיל), מכשירכם ניתן לחדירה תוך מספר שניות!

בואו נשנה את הסיסמא. כתבו במסך השחור את המילה passwd ולאחר מכן לחצו על return. בשורה הבאה תתבקשו להקליד את הסיסמא החדשה (New Password) – בחרו סיסמא חזקה ולחצו על return. בשורה הבאה תתבקשו להקליד בשנית את הסיסמא החדשה (Retype new password). בצעו זאת ולחצו על return.

במידה ולא קיבלתם שום הודעה, סיסמתכם הוחלפה בהצלחה ומכשירכם מוגן מפני חדירה זו.

© 2017 Brainstorm Private Consulting Blog Suffusion theme by Sayontan Sinha