יום רביעי, 26 בדצמבר 2012

סייבר - חדש וישן בעשור השני למאה ה-21/חלק ב'

1. תזכורת קצרה מחלקו הראשון של המאמר:

בחלק הראשון של המאמר עסקתי בקיצור רב בהיסטוריה של המחשוב, החל מהמחשב הראשון הקולוסוס שפותח בבריטניה במהלך מלחמת העולם השנייה ועד לסמארטפונים של ימינו. במקביל סיפקתי הצצה חטופה להתפתחות האינטרנט שצמח מה-ARPANET ועולם הטלפוניה שעבר מהפיכה ממכשיר נייח שנדרש לתקשורת קווית ועד לטלפונים הסלולריים והלווייניים של ימינו. כל היכולות קיימות היום במכשיר אחד שברשות כולנו, הסמארטפון. אלא שמרוץ הפיתוח הטכנולוגי המסחרר, הותיר מאחור ובאופן משמעותי מאחור את שילוב אבטחת המידע. כמו כן הוצג כי המתקפות המודרניות כמו STUXNET על סרקזות איראניות ו-FLAME לשאיבת מידע ממחשבים, אינן כל כך מודרניות וכבר היו מעולם ואפילו לפני כמה עשרות שנים.

חלקו השני והאחרון של המאמר מנסה לענות לשאלה מה נדרש לשנות על מנת לספק מענה אבטחתי טוב יותר בעידן שבו טכנולוגיית המידע סובבת אותנו מכל עבר ופגיעותה מסכנת את היחיד והחברה כולה.

חלקו הראשון של המאמר הסתיים באמירה הבאה:

"הדרישה הראשונה הינה יכולת איסוף מידע מודיעיני ברמות שונות עבור גורמים שונים ולמטרות שונות.

הדרישה השנייה תהיה מיצוי המידע המודיעיני לכדי יכולות מבצעיות"

נמשיך מנקודה זו:

2.  מידע מודיעיני

  2.1 על איזה מידע מודיעיני אנחנו מדברים?

צריך לחפש את "הרעים". איך נעשה זאת?

    2.1.1 יש להגדיר (לפחות באופן חלקי) מהי זדוניות ומיהו זדוני... נא לשים לב שהמונח האקר (פצחן בעברית) משמש לעולמות מנוגדים לחלוטין: החל מאנשי המקצוע "הגורואים" של עולם המחשוב, אלו שהצעידו אותו קדימה ובקצה השני של הסקלה, הפושעים, הארכי פושעים... אז זה לא פשוט כל כך. אם זדוניות הינה פועל יוצא של פעילות של האקרים אזי אנו מתחילים להבין עד כמה משימה זו מורכבת.

    2.1.2 כאשר הגדרנו, ולו באופן חלקי, מהי זדוניות נוכל לנסות ולאתר את מערכות טכנולוגיית המידע המכילות מידע זדוני מאותם הסוגים.

    2.1.3 באופן דומה יש להתייחס לפרטים הזדוניים. לדוגמה, לאתר פורומים שבהם גורמים זדוניים (אנשים...) מבלים למטרות שונות.

    2.1.4 חברות וארגונים המשמשות את התהליכים הזדוניים.



  2.2 מי מסוגל לאסוף מידע מודיעיני?

    2.2.1 רשויות מדינה שזהו ייעודן.

   2.2.2 בעולם המחשוב זו לא רק המדינה. גם חברות אבטחה שברשותן ידע מקצועי יכולות לאסוף מודיעין והן מבצעות זאת. חלק מהפרויקטים של חלק מחברות אלו (וגם של התאגדויות של יחידים/"גורואים") עוסק בדיוק בנושאים אלו. יש חברות ישראליות שעוסקות בכך וחברות בחו"ל.


  2.3 מי עושה ומה עושים עם המידע המודיעיני:

    2.3.1 רמת המדינה
  
      2.3.1.1 הבסיס הינה קביעה שרמת הביטחון הלאומי של מדינה תלויה ברמת אי הזדוניות של רכיבי טכנולוגיית המידע, ככל שהמדינה יכולה לטפל באותם הרכיבים.

           2.3.1.2 דוגמאות טובות לכך הינן אוסטרליה וגרמניה.

           2.3.1.3 באוסטרליה : פרויקט iCode: http://www.icode.net.au/

           2.3.1.4 בגרמניה: botnetfrei: https://www.botfrei.de/en/ueber.html

          2.3.1.5 דרום אפריקה הודיעה כי תאמץ את המודל האוסטרלי. (מאי 2012).

     2.3.1.6 המודלים שהוזכרו מטילים, בסופו של יום, את האחריות להפיכת המידע המודיעיני לתהליך ניקוי מבצעי של הרכיב הנגוע, על המשתמש. האם יש דרכים אחרות? יש, ונראה בהמשך את המודל האמריקני.
 
        2.3.1.7 מערכת החינוך הממלכתית נדרשת לספק את הכלים והמיומנויות על מנת ללמד את בני הנוער את השימוש הנכון ברכיבי טכנולוגיית המידע.

       2.3.1.8 חקיקה-אכיפה-ושפיטה. נדרשת רגולציה מקיפה לנושא אבטחת המידע שתחול גם על כל אדם ולא רק על ארגונים כאלו ואחרים. החיבור לאינטרנט משנה את נושא הגנת הפרטיות כיוון שהאינטרנט, ומצבם האמתי של רכיבי טכנולוגיית המידע מהווה, לפי הבנתי, איום על בטחונה הלאומי של המדינה (ראה לעיל אוסטרליה וגרמניה).


    2.3.2 רמת הארגון – טכנולוגיית מידע/חברת אבטחת מידע.

       2.3.2.1 לדוגמה: הפעילויות שנעשות בארה"ב. אחת מהפעילויות מטרתה לפעול לצמצום משמעותי של סוג ספציפי של פשיעה ממוחשבת, אותו הסוג המאפשר לקבוצת פושעי מחשב לבנות לעצמם "צבא מחשבים העומד לרשתם" למטרות תקיפה שונות, וזאת ללא ידיעתם של בעלי אותם המחשבים. מדובר בפרויקטMARS של חברת מיקרוסופט Microsoft Active Response for Security


המשלבת בפעילות חברות אבטחה נוספות (כדוגמת קספרסקי, FireEye, ועוד), גורמי ממשל ואכיפת חוק בארה"ב ושלוחות בינלאומיות של גורמים אלו. השלבים הם: איתור ליבת הפעילות הזדונית (טכנולוגית), השתלטות עליה המאפשרת עצירת המשך הפעילות הזדונית ואח"כ פעילויות רלוונטיות בתחום המשפטי והטכנולוגי.

באחד המקרים מתואר הליך של ניקוי מרחוק של כ-19,000 מחשבים שבוצע (לאחר קבלת אישור בעליהם) כחלק מהפעילות (ראה עדותו של סוכן ה-FBI בפרשת Botnet Coreflood):


    2.3.2.2 ככלל חברות אבטחת המידע אמורות להוות גם זרוע מודיעינית וגם זרוע לתרגום המודיעין שנאסף, ומיצויו לכדי מענה אבטחתי עבור רכיבי טכנולוגיית המידע הרלוונטיים. אלו יכולים להימצא בידי אזרחים פרטיים, גופים פרטיים או גופים מוסדיים וציבוריים..

.

       2.3.2.3 רמת ארגון – צבא/גופי ביטחון

      2.3.2.3.1 הארגון הצבאי מהווה נושא בפני עצמו. עד לתחילת המאה ה-21, הצבא היה ישות שמערכותיה היו אומנם בחלקן אזרחיות, אך היה נתק די משמעותי בין העולם האזרחי והצבאי. הפיכתו של שדה הקרב לשדה קרב הכולל בתוכו מערכות מחשוב תקניות והפיכת תשתיות המחשוב האזרחיות ליעדי מתקפות המסכנות את מרקם החיים האזרחיים, משנה את התמונה באופן מהותי. במובן מסוים ניתן לומר ש"טנק הוא בנק ובנק הוא טנק", כיוון שבשניהם מותקנות פלטפורמות מחשוב זהות. היישומים שונים, אבל מדובר בסה"כ בקוד שמטרותיו אמנם שונות, אך קוד נותר קוד.

     2.3.2.3.2 למרות הסעיף הקודם, עומדת בעינה השאלה מהו מקומו של הצבא בהגנת מערך המחשוב האזרחי. בדומה לפיקוד העורף שהוא גוף צבאי המופקד על מרכיבים חשובים בהגנת העורף האזרחי, נשאלת השאלה האם על הצבא, בהיותו ערוך לספק לעצמו ולמקבלי ההחלטות במדינה מודיעין וגם למצות מהמודיעין את ההיבטים המבצעיים, לקבל על עצמו את תפקיד המגן על מערכות/רכיבי המחשוב האזרחיים?


    2.3.2.4 ארגון – רגיל.

  2.3.2.4.1 לממש אבטחה על כל רכיבי הארגון הניגשים למערכות המידע הארגוניות באופן של בחינת רמת האבטחה של הרכיב הניגש. האתגר הזה הולך ומתעצם לאור מדיניות חובקת עולם של שימוש ברכיבים טכנולוגיים שהמשתמש מביא עמו (Bring Your Own Device)



    2.3.2.5 האזרח היחיד.

       2.3.2.5.1 נדרש לפעול בהתאם לכללים ולהנחיות המדינה.



3. סיכום

תמונת אבטחת המידע הנפרשת לנגד עינינו שונה באופן מהותי מעולם האבטחה הקודם. לא עוד המדינה נותנת "עצות" במובן של הנחייה נקודתית לגוף זה או למגזר אחר. מדובר בצורך לשלב הגנה על כל מרחב הפעילות של טכנולוגיית המידע המצויה בידי כל אחד מאזרחי המדינה, יחידים וארגונים כאחד, כך שאין עוררין על כך שמדובר בשינוי תפיסה מהותי ולא נקודתי.