פטרול על הגדר

בימים האחרונים, כלי התקשורת רבים על ראיונות עם ההאקר התורן – ישראלי, סעודי, מקסיקני, העיקר שיסכים להתראיין כשקולו מעוות. לכולם ברור שמדובר בדרך כלל באנשים מאוד צעירים, שבוודאי קשה לקרוא להם "מומחי אבטחת מידע", ובכל זאת נראה שהם גורמים נזק לכל מיני גופים – בין אם תדמיתי ובין אם כלכלי. לכלי התקשורת אין הרבה מושגים לתאר את מה שבאמת קורה, וכדי להשיג רייטינג משתמשים במושג הצעקני של "פריצה לאתר"; למזלנו אין הרבה קשר בין מה שההאקרים הללו עושים ובין הבעיות הקשות יותר, להן קוראים בדרך כלל סייבר-טרור.

כדי להסביר על מה מדובר, אני אנסה להקביל את המושג של "נוכחות אינטרנטית" לנדל"ן: כפי שלארגון עסקי יש בדרך כלל משרד שבו מתבצעת פעילותו, כך באינטרנט יש לו סוג של נוכחות. הגנה מפני תקיפות על "מוצב" באינטרנט היא עניין די דומה להגנה פיזית על משרד, מפעל או מחסן. ניקח לדוגמא רשת חנויות מזון: בעולם הפיזי לרשת כזו יהיו בדרך כלל משרדי הנהלה, מרכז לוגיסטי להפצת מזון, משאיות תובלה, וחנויות שאליהן נכנסים לקוחות; בעולם הוירטואלי, יש אתר אינטרנט שמספק מידע על החברה, אתר עסקי שדרכו אפשר לקנות מזון, מערכות ניהול שמאפשרות לשלוט על רמות המלאי בכל סניף, מערכות דואר אלקטרוני ותקשורת עם ספקים. כל אחד מאלה הוא כמו מאחז קטן שיושב באמצע שטח הפקר, ומסביבו חגים עופות דורסים שרק מחכים להזדמנות להשיג משהו לאכול.

לפני 10 שנים עוד דיברו על "הפרדה בין רשתות": רשת התקשורת הפנימית של החברה, בה פועלות מערכות הניהול והדואר, אחסנת הקבצים וכו' – היתה מופרדת מ-"האינטרנט", כלומר הרשת שאליה כל אחד מאיתנו יכול לגשת מהמחשב הביתי – לצורך אבטחה. הזמנים השתנו וכיום הכל מחובר יחד, כשרק מערכות הגנה אלקטרוניות "מפרידות" בין המערכות העסקיות השונות. מנהל הכספים רוצה לקבל תמונת מצב עדכנית של מכירות החברה לסמארטפון שלו, אנשי הרכש מזינים הזמנות למערכות הניהול כשהם בתנועה בין הסניפים, יצרני הבמבה והקולה מקבלים את ההזמנות ישירות למחשבים שלהם, חברת כרטיסי האשראי סולקת עסקאות של לקוחות בצורה מקוונת; בכל המקרים מדובר על קשר בין מחשבים שממש לא נמצאים באותו תחום אבטחה (כלומר, לא מנוהלים ע"י אותו גוף).

במילים אחרות, ההגנה על אתר (במובן הרחב של המילה) לא מוגבלת לאיזשהו מרחב קטן ומגודר – לא מספיק לתקוע בזנ"טים ולפרוס כמה קילומטרים של חוט תיל. כדי להגן על קומפלקס כזה צריך צבא קטן ומיומן שמכיר היטב את המבנה, פועל מבפנים ומבחוץ עם אמצעי לחימה משוכללים ויקרים, מפטרל בקביעות ואפילו יוצא למתקפות מנע עפ"י הצורך.

מבחינת החברה, האיום הקיברנטי הוא לא רק על "אתר האינטרנט" – שהשחתתו היא בערך כמו ריסוס גרפיטי על הדלת – אלא על כלל המערכות הממוכנות. מ-"הומלס" הצליחו לחלץ רשימת כתובות דואר אלקטרוני וסיסמאות, מ-"קבוצתי" חילצו פרטי כרטיסי אשראי; נזק קשה יותר היה נגרם לו היו פוגעים במערכת הלוגיסטית של רשת מזון (למשל, מזינים הזמנה פיקטיבית למאות טונות של בשר טרי), חושפים פטנטים כימיים של חברת תרופות, או משבשים מערכת תחזוקת מטוסים של חברת תעופה. אם נדמה לכם שמערכות שליטה על תשתיות לאומיות – כמו למשל הברז שמגליש את כל הביוב של תל אביב לים, תחנות כוח או כורים גרעיניים – חסינות מפני התקפה, כדאי לחשוב שוב ולהיזכר ב-stuxnet שעשה בדיוק את זה.

ארגון שמכבד את עצמו ידאג להעסיק אנשי אבטחה שיבדקו את עמידות המערכת בהתקפות שוטפות (מדובר על עובדים במשרה מלאה ותקציבים שמתחילים בעשרות ומאות אלפי דולרים). ארגון שנמצא בקשיים כלכליים עלול לחסוך בהוצאות האבטחה; בסיטואציות כאלה כדאי לזכור שצריף עץ זה רעיון נחמד בשביל דוכן מיצי פירות, אבל אם אתה רוצה לנהל בנק – ובאזור שלך מסתובבים הרבה טרקטורים חופשיים – כדאי לבנות משהו יותר מוצק.

לא חסר מידע טכני באינטרנט על שיטות חדירה, כל נער יכול להפוך ל-"האקר" במהירות אם יש לו מספיק תושיה וזמן פנוי. במקרים מסויימים אפשר אפילו למצוא כלים אוטומטיים שמנסים מאות ואלפי שיטות תקיפה על כל מטרה (ע"ע Metasploit למשל), מה שהופך את כל העסק לקל בצורה מגוחכת. במדינות רבות, פריצה אקטיבית למערכות מחשוב של אחרים היא עבירה פלילית – אבל אין דרך פרקטית לאכוף חוק כזה, מה שמאפשר למי שמעוניין בכך לפעול בצורה כמעט חופשית. למזלם של הארגונים שנפגעו, הפריצות שבוצעו בשבועות האחרונים היו די שטחיות – לא היתה פגיעה ממשית בליבת העסקים.

והעתיד, כך אומרים, עוד לפנינו.

מודעות פרסומת
פוסט זה פורסם בקטגוריה טכני. אפשר להגיע ישירות לפוסט זה עם קישור ישיר.

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s