ההאקר הטוב

"לא הייתה מערכת שלקח לנו יותר משבועיים לפרוץ אליה", מספר עדי שהרבני, מומחה בכיר לאבטחת מידע ב-IBM. בריאיון לאפוק טיימס הוא מסביר מדוע ההאקר הסעודי הועיל לישראל, מי יכול היה להיות אחראי לתולעת המסתורית ששיבשה את הצנטריפוגות בנתאנז, ואיך בכל זאת תוכלו להגן על עצמכם

עדי שהרבני

עדי שהרבני, ארכיטקט מוצרי האבטחה של IBM, ואחראי על האבטחה של מרבית מוצרי התכנה של החברה המפותחים ברחבי העולם – צילום: תקווה מהבד/אפוק טיימס

ההתקפה שאני עומד להראות לכם מאפשרת להשיג גישה למאגר נתונים של ארגון, ואז למחוק או לשנות נתונים. למשל, אני אראה לכם איך עוקפים את מנגנון ה-Log in (התחברות) של בנק מסוים". כמה תווים ומקפים בודדים שהקליד בשדות ה-Log in הספיקו כדי לעקוף את מנגנון האבטחה של אתר בנק בחו"ל ולהכניס את עדי שהרבני אל מסד הנתונים שלו.

אחרי שנכנס הוא מקליד שורת קוד נוספת בשדה החיפוש של הבנק ומצליח לשלוף את כל שמות המשתמש והסיסמאות הקיימות באתר הבנק.

שהרבני, מומחה בכיר לאבטחת מידע ב-IBM, מסביר לנו שכאשר המשתמש מקיש שם משתמש וסיסמה, מופעלת מאחורי הקלעים שאילתה, מעין נוהל במחשבים, שלוקח את מה שהוקש ומכניס אותו לשדה קוד מסוים. התוקף יכול לשנות את השאילתה וכך לפרוץ לאתר, וזה בדיוק מה שעשה כדי לעקוף את מנגנוני האבטחה.

"ההתקפה הזו הנקראת SQL Injection. היא נמצאת בשימוש נפוץ מאוד על ידי האקרים. כ-25 אחוז מכל ההתקפות על אתרים נעשות בטכניקה הזו", הוא מסביר.

באותה קלות שבה פרץ לאתר הבנק הוא שואל אותנו אם נרצה לראות איך אפשר לפרוץ לכל סמארטפון, ומבקש שמישהו משנינו ינדב את אחד המכשירים שלו. הסקרנות גברה על החששות, ונידבנו לניסוי מכשיר אנדרואיד.

תוך כדי הכנות לפריצה שהוא עושה במחשב, שהרבני מספר לנו את הסיפור הבא: "לפני כמה שנים התפרסם ביוטיוב סרטון אנימציה שבו הופיע הנביא מוחמד. מכיוון שהסרטון היה קצת פוגעני, ממשלת פקיסטן הוציאה הנחיה לכל ספקיות האינטרנט לא לאפשר ללקוחות שלהן לגלוש ליוטיוב. אחת מספקיות האינטרנט ניסתה לעשות פעולה מסוימת שמנתבת את כל התעבורה של כל לקוחותיה ליוטיוב דרך השרתים שלה. אבל היא לא חשבה על ההשלכות שיהיו לכך. מה שהיא עשתה בפועל זה שהיא 'הודיעה' ברשת שכשגולשים ליוטיוב, כדאי לגלוש דרכה, וכל התעבורה בעולם ליוטיוב עברה דרכה.

"שנה לפני כן היה בחור מטורקיה שניתב בשוגג חלקים נכבדים מהאינטרנט דרכו. עדיין אפשר לעשות את הדברים האלה, אבל היום יש מנגנוני אבטחה שיתריעו על זה מהר מאוד ויצליחו להחזיר את המצב לקדמותו. זו דוגמה שמראה כמה קל לעשות דברים כאלה".

וזה בדיוק מה ששהרבני עשה לנו. הוא ניתב את הגלישה האלחוטית שלנו באנדרואיד דרכו. מאותו רגע כל תו שהקשנו במכשיר הופיע על מסך המחשב של שהרבני. גם הסיסמה לפייסבוק.

"את ההתקפה הזו אני יכול לעשות בכל רשת שבה אני נמצא. המטרה שלי היא להעביר לאנשים שהאינטרנט הוא עולם שלם שנבנה בלי מחשבה על אבטחה, ועליו הוסיפו טלאים של אבטחה. בגלל זה נוצרו פערים שאני יכול לנצל. לדוגמה, כשהמכשיר גולש לאינטרנט הוא צריך להתחבר לנתב (ראווטר), שהוא השער שלו לאינטרנט. אבל בין המכשיר לנתב יש פרוטוקול שאין בו שום מנגנון של אמינות. כיוון שהפרוטוקול כל כך לא מאובטח, אני יכול להגיד למכשיר: 'אני הראווטר'. ולגרום לו להתחבר דרכי".

מהמחשב הראשון ועד התפקיד ב-IBM

אבטחת מידע

כמה תווים ומקפים בודדים שהקליד בשדות ה-Log in הספיקו כדי לעקוף את מנגנון האבטחה של אתר בנק בחו"ל ולהכניס את עדי שהרבני אל מסד הנתונים שלו – צילום: Photos.com

בגיל 4 קיבל שהרבני את המחשב הראשון שלו מהוריו. זה היה מחשב מסוג XT. עם מסך בצבע אחד. "הוא שירת אותי נאמנה עד גיל 18", הוא נזכר. לא רק שהוא לא יכול היה להריץ את מערכת ההפעלה "חלונות" על המחשב הזה, אלא אפילו לא את המשחק הנושן "דיגר". ואולי דווקא זה מה שהביא אותו עד לאן שהגיע, הוא תוהה.

כשהיה בכיתה ט', בכיתה המדעית בתיכון "אוהל שם" שברמת גן, נכנס לשיעור המחשבים הראשון שלו. שני תלמידים ניגשו למורה למחשבים וסיפרו לה שהם מכירים את כל החומר ושהם מפתחים תכנה כבר הרבה שנים, וביקשו פטור. "מה, שלושתכם?" שאלה המורה. "כן", ניצל שהרבני את ההזדמנות.

"זה חייב אותי להצדיק את הפטור, ולהראות שאני מבין במחשבים", מספר שהרבני. "אז באמת עשיתי איזו עבודה ונכנסתי לעולם המחשבים קצת יותר עמוק". כך התגלגל שהרבני ליחידה מודיעינית טכנולוגית בשירותו הצבאי, ומשם לסטארט אפ אבטחת המידע Watchfire, שנמכר בהמשך ל-IBM.

תוך שבועיים פורצים לכל מערכת

Watchfire הייתה חברה חלוצה בתחום של אבטחת אפליקציות, מספר שהרבני, "הרבה מהבעיות שידועות היום בעולם הווב נודעו לעולם כתוצאה ממחקר שעשינו בחברה הזאת".

Watchfire, שנרכשה ב-2007 על ידי IBM ושמה שונה ל-IBM AppScan, עובדת מול חברות העוסקות בפיתוח תכנה. היא עוזרת להן לאתר פרצות אבטחה במערכות שלהן, ולדעת כיצד לסגור אותן. לפעמים פונים אנשי הקבוצה ביוזמתם לגוף המפעיל אתר אינטרנט או מערכת מאובטחת, ומבקשים את אישורו לנסות לפרוץ פנימה. כיום, מוצר הדגל של הקבוצה נקרא AppScan והוא סורק אפליקציות כדי למצוא בהן פרצות ולהבין כיצד לתקן אותן.

"כל מוצר שניסינו לחדור אליו הצלחנו לחדור אליו", מספר שהרבני, "אנחנו תמיד מגיעים למשהו תוך כשבועיים ואז משקיעים עוד זמן מה בדוח מפורט והדגמות". הקבוצה שומרת בסוד את הפרצות שהיא מגלה, כדי לא לאפשר לפורצים בעלי כוונות זדון לנצל אותן. אבל בחלק מהמקרים היא מפרסמת את הפרצות בתיאום עם הלקוח לאחר שהפרצות נסגרות.

לאחרונה מצאו אנשי הקבוצה פרצה באנדרואיד שמאפשרת לאפליקציות זדוניות שמורידים מחנות האפליקציות של גוגל להתחקות אחרי הגלישה שלכם, אפילו אם האפליקציה לא פתוחה. הם פנו לגוגל ועזרו להם לתקן את הפרצה.

אבל שהרבני ראה פוטנציאל גדול עוד יותר לקבוצה. "התחלתי לחשוב איך אנחנו יכולים להרחיב את מה שאנחנו עושים", הוא מספר. הוא התחיל להוביל סדרה של בדיקות חדירות על מוצרים של IBM עצמה. "ידעתי שאם ניקח מוצרים של IBM נצליח לתקוף אותם, ואז הדבר הזה יעשה מספיק חשיפה פנימית, בתוך IBM, כדי להתניע את התהליך". הלהט של שהרבני עשה את העבודה, ואחרי תקופה שניסה לדחוף את הנושא פשוט אמרו לו: "אולי תיקח אתה את המושכות".

שהרבני קיבל על עצמו את האחריות להוביל את אבטחת המידע ב"רשיונאל", חטיבה שאחראית לכחמישית מפיתוח התכנה ב-IBM. במהלך השנה וחצי האחרונות חתר שהרבני לשינוי מהותי במתדולוגיות הפיתוח ב-IBM, ושינה את תרבות הארגון לכתיבת קוד מאובטח עוד יותר. עכשיו, כשסיים את תפקידו ב"רשיונאל" הוא אמור לחזור לתפקיד אבטחת מידע בכיר ב-IBM שעליו הוא עוד לא יכול לספר לנו.

מי אחראי לתולעת שהשביתה מתקנים באיראן?

יכולותיו המוכחות של שהרבני לא השאירו לנו ברירה, אלא לנסות להוציא ממנו מידע על אחד מסיפורי הפריצה הגדולים של השנים האחרונות – "תולעת סטוקסנט".

לפני כשנתיים חדרה התולעת למערכות הבקרה והשליטה של האתר להעשרת אורניום בנתאנז, כפי שטענו גורמים צבאיים באיראן. לפי דיווחים בכלי תקשורת שונים, התולעת, תכנה מתוחכמת והרסנית שקיבלה את השם "סטוקסנט", חיבלה בצנטריפוגות באתר והשביתה אותן.

דוחות מומחים טענו כי את התולעת פיתח "גוף בעל יכולות", כמו המוסד, יחידה 8200 של המודיעין, או סוכנות ביון אמריקנית. עד היום אף גוף לא הודה רשמית שהוא אחראי לכך, וגם אופן פעולת התולעת נותר מסתורי.

"אני קודם כל אגיד שאני לא יודע מי עשה את זה ואין לי קשר לזה", אמר שהרבני. "אבל יש כמה דברים מעניינים מאוד לגבי סטוקסנט", המשיך.

"קודם כל, כדי להפיץ את עצמה כמו כל תולעת, היא צריכה שני רכיבים: רכיב אחד הוא רכיב ההפצה שגורם לתולעת להתרבות בעולם, והרכיב השני הוא רכיב הפעולה – מה שהתולעת באמת עושה".

שהרבני מסביר שכדי שהתולעת תוכל להפיץ את עצמה, היא צריכה להשתמש ב"פגיעוּת" מסוימת שהתגלתה במערכת מסוימת. "למשל, אם עכשיו האקר מסוים מצא פגיעוּת במערכת ההפעלה חלונות, הוא יכול להשתמש בה כדי להפיץ תולעת שתשתמש בפגיעות, או למכור את הפגיעות לארגון אחר. בדרך כלל משתמשים בפגיעות ידועה, או בכזו שלא ידועה. פגיעות לא ידועה היא דבר שקשה יחסית להשיג".

אבל מתברר שמי שתכנן את סטוקסנט השתמש באופן חסר תקדים בארבע פגיעויות לא ידועות במקביל. "ארבע פגיעויות לא ידועות זה דבר מאוד לא ברור מאליו. לתולעת אין כביכול אינטרס להשתמש בכל הפגיעויות האלה. עדיף לה להשתמש בפגיעות אחת. הסיבה לכך יכולה להיות שאם החברה שאחראית על אחת המערכות תתקן את הפגיעות הזאת, אפשר יהיה להוציא תולעת אחרת שתשתמש בפגיעות השנייה. תולעת שמשתמשת בכל הפגיעויות האלה בו זמנית היא תולעת שרוצה להמשיך לפעול, אפילו אם אחת הפגיעויות מתוקנת".

אבל העניין לא מסתיים בזה. שהרבני מסביר לנו שכדי שהתולעת תוכל להתפשט ביעילות, או כדי שהיא תוכל לבצע ביעילות את מה שתוכננה לעשות, מי שפיתח את התולעת צריך היה לגנוב "חותמת" או "מפתח פרטי" – שהוא אלמנט אבטחה הנחשב לסודי ביותר. המפתחות הסודיים מאפשרים לחברות "לחתום" על רכיבי תכנה שהן מפתחות כדי שהמחשב ידע שמדובר בתכנה שאפשר לסמוך עליה, ואז לא ידליק נורות אדומות או יקפיץ בקשות לאישורי התקנה מהמשתמש.

"יש שתי חברות מוכרות בעולם: JMicron, ו-Realtek, שמלבד רכיבי חומרה מייצרות גם רכיבי תכנה, דרייברים, שמסופקים איתם. כשאתה מתקין במחשב שלך את הדרייבר הוא פועל בצורה פשוטה מאוד, מכיוון שהוא רואה שאותה תכנה חתומה על ידי JMicron, או Realtek".

מי שפיתח את ההתקפה של סטוקסנט השתמש בחותמות של שתי החברות כדי להחדיר את התולעת מבלי להדליק נורות אדומות. הבעיה היחידה שלו הייתה שבדרך כלל אין כבל שמחבר בין המפתחות הפרטיים לאינטרנט. המפתחות נמצאים על דיסק און קי קי בתוך כספת.

"אני אגיד לכם שהמשרדים של JMicron ושל Realtek, שמשניהם נגנבה החותמת, נמצאים באותו פארק תעשייה בטייוואן, והם יחסית קרובים פיזית אחד לשני. כלומר, מי שכתב את סטוקסנט זה איזשהו ארגון שיש לו יכולות להביא אנשים לשם, לפרוץ למשרדים האלה ולגנוב את החותמות האלה".

כמו שרואים בסרטים

אחד האתגרים שעמדו בפני התולעת היה להיכנס למתקני הגרעין. כל מי שמגיע מרקע ביטחוני יודע שבדרך כלל מחשבים בארגונים סודיים הם "מוקשחים", כלומר אינם מחוברים בכבל לאינטרנט, וקשה מאוד לחבר אליהם התקנים חיצוניים כמו דיסק און קי.

"בארגונים שבהם המחשבים מוקשחים מאוד ואי אפשר להכניס שום דבר למחשבים, חייבים להשתמש ב'נוהל הכנסה' שבמהלכו הארגון מכניס למחשבים דברים שהוא צריך", מסביר שהרבני. אלה תכנות כמו אנטי-ווירוס, עדכונים למערכת ההפעלה, אווטלוק, תכנה חדשה למחשבי הצנטריפוגות וכו'. מי שמנצל נכון את חלון הזמן שבו התכנות מוכנסות יוכל לשתול את התולעת במחשבי הארגון. כניסה אפשרית נוספת היא על ידי מישהו בארגון שבשוגג, או שלא בשוגג, מכניס זיכרון נייד למחשבים בארגון.

אחרי שהתולעת חדרה למתקני הגרעין היא עשתה דבר שדומה למה שרואים בסרטי פעולה, מסביר שהרבני: "קודם כל, רכיב התכנה הקליט את כל הפעילות של הצנטריפוגות באופן שוטף. לאחר זמן מה שהוא הקליט את הפעילות התקינה הזו במערכות השליטה והבקרה, הוא עשה שני דברים: הוא שלח פקודה לצנטריפוגות להסתובב הכי מהר שהן יכולות בלי בקרה על חום, מה שגרם להן להישרף. מצד שני, למערכות השליטה והבקרה הוא דיווח את הפעילות התקינה שהוא הקליט מבעוד מועד.

"זה כמו שרואים בסרטים, שמקליטים את מצלמת האבטחה ואז השומר רואה את זה וחושב שהכול בסדר. זה מאוד מאוד מרשים", סיכם שהרבני.

שמח על הפריצה הסעודית

לאחר תקיפת ההאקר הסעודי ופרסום מספרי כרטיסי האשראי הישראליים ברחבי הרשת, קמו קבוצות האקרים ישראליות שהחליטו להשיב מלחמה והפילו אתרי אינטרנט בערב הסעודית.

בניגוד לתקשורת בארץ שתייגה אותם כגיבורים, שהרבני רואה בזה פעילות פלילית, לא חוקית. "זה לא אתי וזה לא משיג שום דבר. אין שום קשר בין ההאקר הסעודי לבין קבוצת האתרים שהותקפה בסעודיה מלבד העובדה ששניהם כנראה אזרחים של אותה מדינה. אם מישהו בא וגנב לי את האוטו זה לא אומר שאני יכול להרשות לעצמי לקחת את החוק לידיים ולהגיב כלפיו בפעילות פלילית – זו פעילות פלילית לכל דבר, היא לא מותרת".

אבל מהיבט אחר, מציין שהרבני, מה שההאקר הסעודי עשה עשוי להוביל לבסוף לתוצאה טובה – הוא העלה למודעות בישראל את נושא אבטחת המידע. "לא קרה שום דבר נורא בקנה מידה לאומי. ברור לי שיש אנשים שנעשה להם עוול, ושיש חברות שנפגעו מהעניין הזה. אבל ההתקפות האלה חלשות מאוד".

"בין ההאקרים אף אחד לא הופתע מזה, וזה היה ברור שדברים כאלה אמורים לקרות, ושאנחנו נראה את הדברים האלה. מה שאני שמח עליו זה שעכשיו אמא שלי שמעה על זה, ושסבתא שלי שמעה על זה".

"אנשים בעולם יודעים איך לעבור את הכביש בביטחה, להסתכל ימינה ושמאלה, לזהות מקומות שהם מסוכנים ולדעת לשים את התיק שלהם בבגז' של האוטו. יש אינטואיציות כאלה שהן כבר ממש טבועות בנו. אבל הן לא קיימות כשמדברים על העולם הווירטואלי. אנשים לא יודעים איך לגלוש בביטחה".

שהרבני מסביר כי חינוך הוא חלק עיקרי כשעוסקים באבטחת מידע. הגברת המודעות לנושא יכולה למזער הרבה מהסכנות.

"רוב המחשבים באינטרנט נגועים בתכנות זדוניות, והתכנות הזדוניות עושות כל מיני דברים – להתחקות אחר דברים שלכם, לשלוח ספאם". שהרבני מסביר כי יש תעשייה שלמה סביב זה. מחשבים של כל אחד מאיתנו עלולים להיות נגועים בתכנות שמשמשות האקרים להתקיף אחרים או לאסוף את המידע שעובר ברשת שאליה אנחנו מחוברים. הוא מקווה שהמודעות לתחום תגדל.

חינוך בשביל שהרבני זה לא רק לחנך את העולם למודעות לאבטחת מחשבים. במקביל לעבודתו בחברה למד שהרבני לתעודת הוראה. כיום הוא מלמד מחשבים פעמיים בשבוע בתיכון אהל שם ברמת-גן שבו למד. "אני מאוד מאוד אוהב ללמד", הוא מספר, "ואני חושב שזה מאוד חשוב. אני חושב שמצב החינוך בארץ יכול להשתפר".

שהרבני מלמד קבוצת תלמידים שלומדים מחשבים בפרויקט מיוחד שבו מפתחים התלמידים מערכת ווב. "אני מלמד אותם דברים שקשורים לרשת וגם לאבטחת הרשת. אני מאמין שמאוד חשוב לנו כמדינה שהדור הבא יהיה דור שיכול לחדש בתחום הסקיוריטי".

Leave a Reply

הירשמו לחשבון ניסיון

ותוכלו לקרוא את כל הכתבות למשך 24 שעות.

נא להכניס שם פרטי

נא להכניס שם משפחה

נא להכניס דואר אלקטרוני תקין

נא להכניס מספר טלפון תקין

במילוי הפרטים ולחיצה על כפתור אני מאשר/ת קבלת דיוור פרסומי ותוכן מרחיב דעת ומעורר מחשבה מאת אפוק טיימס ישראל. אנחנו לא אוהבים ספאם. לכן מתחייבים לא להעביר את פרטיך לגורם שלישי כלשהו.

התחברות למנויים רשומים

תודה! שלחנו לכם את סיסמת הכניסה לדואר האלקטרוני. המשך קריאה נעימה!