הפוסט הזה משקף את תפישת העולם שגיבשתי לאחר עשרות שנות עבודה בתחום
אבטחת טכנולוגיית המידע.
1.
הגדרות
1.1.
טכנולוגיית המידע
1.1.1. במובן הצר של המונח, כל רכיבי החומרה והתוכנה הממוחשבים החל מהמחשבים
הארגוניים הממוקמים במרכזי המחשבים ועד למחשב השולחני הנייח, המחשב הנייד שעליו
אני מקליד פוסט זה, הסמארטפון (זו טעות לקרוא לו כך, הוא מחשב עם יכולות תקשורת
סלולריות) הטאבלט ועוד.
1.2.
אבטחת טכנולוגיית המידע (אט"מ)/הגנת סייבר (ה"ס) (להלן:
אט"מ/ה"ס)
1.2.1.
מכלול האמצעים המתוכננים ומופעלים במישורים הפיזיים, מיחשוביים (לעתים
מכונים "לוגיים", בניגוד ל"פיזיים"), תהליכיים ואנושיים, על
מנת להשיג ולשמר סודיות, שלמות ואמינות, זמינות ושרידות למידע, במערכות טכנולוגיית
המידע.
2.
קצת היסטוריה שאולי תועיל להבנה
2.1.
המחשב הדיגיטלי הראשון, הקולוסוס פותח בבלצ'לי פארק באנגליה במהלך
מלחמת העולם השנייה, ע"י קבוצה של אנשים, אזרחים כולם בהנהגתו של אדם ששמו
נמחק (כמעט) מדפי ההיסטוריה של עולם המחשוב, Thomas H. Flowers מהנדס בענף
הטלפוניה במשרד הדואר. טעות נפוצה הנה לחשוב שהמחשב שימש לפענוח צופן האניגמה. זה פשוט
לא נכון. המחשב שימש לפענוח שדרי טלפרינטר מוצפנים. אלו נוצרו ע"י תוספת
יחידת הצפנה לטלפרינטר הגרמני. התוספת נבנתה ע"י חברת לורנץ. כונתה ע"י
האנגלים: Tunny. למעשה הקולוסוס גם לא פענח את השדר אלא
פענח סדר הגלגלים (chi-stream). משקלו של הקולוסוס
כטונה אחת. הקולוסוס. המחשב הראשון (דגם I) החל לפעול בפברואר 1944.
דגם II ב-1 ביוני 1944, שבוע לפני תחילת הפלישה
לנורמנדיה. בסוף המלחמה פעלו 11 מחשבי קולוסוס דגם II.
המחשב פותח בסודיות מוחלטת עד כדי כך ששמו של מפתחו (Thomas H. Flowers ), נודע רק לקראת סוף המאה הקודמת, עשרות
רבות של שנים אחרי שפותח.
2.2.
המחשב הבא אחריו מפותח בארה"ב, בשנת 1945, Electronic Numerical Integrator and
Computer (ENIAC) , משרת את הצבא במעבדת
החישובים הבליסטיים. דרך אגב, משקלו 27 טון.
2.3.
המחשב הראשון המסחרי של חברת יבמ (יבמ 701) מופיע בשנת 1952.
2.4.
ומהמחשב הבודד ועד לאינטרנט:
2.4.1.
המחשבים בשנות ה-50 וה-60 לא "דיברו זה עם זה" עידן
המיינפרמים של חברות כגון: י.ב.מ (המתכנן הראשי ב-י.ב.מ: Gene Amdahl), CDC (המתכנן הראשי בחברת
סי.די.סי הנו Cray), בורוז, הניוול בול ועוד.
2.4.2.
ואז. שיגור הספוטניק (1957), ארה"ב בנחיתות. כיצד מתקשרים בתוך
ומחוץ לארה"ב בעת מתקפת טילים?
2.4.3.
ארגון RAND מייעץ לממשל להקים רשת
שתענה על הבעיה.
2.4.4.
הרשת ARPANET מתחילה לפעול ב-1969. מתפתחת לרשת שבה
מופעלת שיטה של מיתוג מנות (Packet Switching). המטרה: שרידות. סודיות?
למי זה נחוץ...
2.4.5.
בתחילת שנות ה-90 מפרסם טים ברנס לי מ-CERN (פיזיקאי) את
התקן הראשון לשפת HTML, את ה-HTTP וה-WWW. האיש קיבל תואר סיר והוא
ראש וראשון ברשימת ההאקרים... בהמשך נבין מדוע.
2.4.6.
החל מ-1994 יש לנו אינטרנט... והיום יש לנו רשתות חברתיות.
2.4.7.
בשנות ה-60 מתחילים לצוץ במקביל למחשבים הארגוניים הענקיים, מחשבים
קטנים לשימושים ביתיים (קומודור 64, ספקטרום, וקונסולת משחקי אטארי ועוד).
2.4.8.
המחשב האישי הראשון של חברת י.ב.מ. - אוגוסט 1981.
2.5.
המאפיינים את המהלך הזה הנם הבאים:
2.5.1.
חלק לא מבוטל של הפיתוחים נעשים לצורכי המדינה ובמימונה.
2.5.2.
אין כל פיקוח אזרחי, משפטי, מוסרי, ערכי, תרבותי על הפעילות. מה שעובד
נותר במרוץ, מה שלא, לא. ואם זה עובד, דיינו בכך. לא צריך להתעסק בשאלות אתיות,
משפטיות, וכד'. ובכלל מי שעוסק בתחומים שאינם טכנולוגיים, מדיר עצמו מראש מהעיסוק
בהם, שכן איננו מבין בכך ואיננו רואה צורך להבין. הם בשלהם ואני בשלי.
2.5.3.
חלק אחר של הפיתוחים נעשה לשם שעשוע, בילוי בשעות הפנאי, משחקי ילדים
ולזה בוודאי ובוודאי שלא נדרשת התייחסות.
2.6.
במקביל מתפתח עולם הווירוסים:
2.6.1.
התאוריה - בשנת 1966, פון נוימן מפרסם עבודה שכותרתה: Theory of self reproducing
automata. מבוססת על הרצאות שנתנו
על ידו בשנת 1949 באוניברסיטת אילינוי. תוכנית מחשב המשכפלת את עצמה.
2.6.2.
באופן מעשי, קוד תוכנה (בדרך כלל זעיר) הנדבק לתוכנה אחרת, מוסווה
בתוכה ומופעל כאשר התוכנה מורצת.
2.6.3.
משכפל את עצמו לקבצים נוספים ו/או ל-boot record של הכונן הקשיח, דיסקט,
תקליטור וכו'.
2.6.4.
מבצע פעולות שונות ומשונות בצורה גלויה או סמויה.
2.6.5.
1971 – וירוס Creeper נכתב ע"י בוב תומס
ומדביק מחשבי
DEC PDP-10 באמצעות רשת ARPANET.
2.6.6.
1981 – elk Cloner. נכתב למערכת Apple II. מערכת ההפעלה של המחשב שהייתה על גבי דיסקטים.
2.6.7.
1987-1988 – וירוס ירושלים, ועוד.
2.6.8.
פוגענים אחרים מפורסמים: תולעים כדוגמת Code Red (2001), קונפיקר (2008-2009).
2.6.9.
ולווירוסים יש אנטי וירוסים. וישראל חלוצה בתחום: איריס, כרמל, אלישים
(eSafe) ו-BRM. כולם "ייבלעו"
בחברות הגדולות המוכרות היום.
2.7.
אז למה אי אפשר להתפטר מהם:
2.7.1.
מהי תוכנה? דוגמה לתוכנה אלו יישומי המשרד של מיקרוסופט. תוכנה היא
קוד. גם מערכת ההפעלה זו המפעילה את המחשב היא בסופו של יום קוד.
2.7.2.
מהו וירוס, סוס טרויאני, תולעת וכד'? גם זה קוד.
2.7.3.
מה ההבדל בין מערכת הפעלה, תוכנת יישומים כלשהי ווירוס?
2.7.4.
אז זהו שאין. אין ההבדל. ההבדל הינו בתוצאה של פעילות הקוד. יותר
מדויק יהיה לומר שההבדל הינו במטרה שהועיד לעצמו מי שכתב את הקוד. לעתים הכותב
הינו רק חוליה בשרשרת ואיננו מודע למה ישמש הקוד אותו כתב...
2.7.5.
מי כותב קוד, מי כותב מחוללי קוד, ומי כותב קוד וירוס או מחולל קוד
וירוס?
2.7.6.
את שניהם כותב איש שמקצועו כתיבת קוד, תוכניתן.
2.7.7.
איפה קונים קוד?
2.7.8.
בחברת תוכנה, או דרך האינטרנט.
2.7.9.
לקנות יישום כמו יישומי המשרד של מיקרוסופט שמאפשר לי לכתוב את הפוסט
הזה, ולקנות יישום שמטרתו לאפשר לי לכתוב קוד כדי להרוס את יכולתי להמשיך ולכתוב
את הפוסט הזה, זה במהותו אותו הדבר.
2.8.
מה זה האקינג?
2.8.1.
ישנם כמה פירושים. הנפוצים הנם:
2.8.1.1.
פעילות שמהותה חקירה מפורטת של מערכות מתוכנתות וכיצד למתוח ולבחון את
יכולותיהן בניגוד לפעילות רגילה של משתמשים במערכות אלו המעדיפים ללמוד רק את
המינימום הנדרש.
2.8.1.2.
תכנות ואפילו באובססיביות באופן מעשי, בניגוד לעיסוק תאורטי במדעי
המחשב.
2.8.1.3.
הנאה מהאתגר האינטלקטואלי של פעילות יצירתית שמטרתה להתגבר על או
לעקוף את המגבלות הקיימות
2.9.
ומיהו ההאקר?
2.9.1.
מומחה תוכנה – Programmer expert.
2.9.2.
פורץ מחשבים שמטרתו איתור כשלים ומסייע לפתרונם – White Hacker.
2.9.3.
פורץ מחשבים שמטרתו גרימת נזק – Black Hacker. ביום-יום זו הכוונה.
3.
אז מה זה בעצם טכנולוגיית המידע?
3.1.
זה מחשבים ותוכנות המופעלות במחשבים.
3.2.
המחשבים עצמם (החומרה) אדישה לפעילות המתבצעת באמצעותה. היא פלטפורמה
בלבד.
3.3.
התוכנה זה "משהו"
שמאפשר בה בעת לבנות ולהרוס, לייצר יישומים ולשתק את פעילות המערכות שבהם מריצים
את אותם היישומים.
3.4.
נלך צעד אחד קדימה. המחשב הנייד שבו אני מקליד ברגע זה, מפעיל ("מריץ")
בעת ובעונה אחת ערב רב של פעילויות (Tasks/Processes) שרק אחד מהם הוא זה
שמאפשר לי להמשיך ולהקליד. בנוסף וללא שיש לי כמי שמשתמש במחשב זה (לכאורה הבעלים
של המחשב) מושג, מופעלות במחשב עשרות פעילויות נוספות שאני אינני יודע מי
"שתל" אותן במחשב, מה גרם להן להתחיל לפעול או מה יגרום להן להפסיק
לפעול. כל שאני יודע ורואה זה מה שמאן דהוא, החליט עבורי שדרוש לי, על מנת שאוכל
לבצע את משימתי שלי. רבותי, אני בכלל לא שולט במחשב ולא הבעלים של המחשב. אני אחד
מהמשתמשים במחשב. אז מיהם המשתמשים האחרים?
3.5.
התשובה הראשונה תהיה. אין לי מושג. אני לא הזמנתי אף אחד להשתתף אתי
במחשב "שלי". האומנם? מאז שהמחשבים מתחברים לאינטרנט, אני מזמין מרצוני
או שלא מרצוני, בידיעתי ושלא בידיעתי את כל האינטרנט לחבור אלי למחשב שלי. אני
חיברתי את עצמי לכל מי שמחובר גם הוא לאינטרנט. נא לזכור, הסמארטפון הוא מחשב.
כלומר כל המחזיק בסמארטפון ומתחבר לאינטרנט, מזמין בכך את כל המשתמשים באינטרנט
להתקשר אתו.
3.6.
עכשיו בואו נחבר את מה שנכתב מתחילת פרק זה ונקבל את התוצאה הבאה:
3.6.1.
מחשב מאפשר להפעיל בו פעילויות שונות. פעילויות אלו כוללות פגיעה
במחשב זה עצמו, ובמחשבים אחרים המקושרים אליו, אם דרך האינטרנט או ברשת תקשורת
אחרת שבה מחשב זה פועל. הרשת יכולה להיות כמובן גם אלחוטית מכל סוג שהוא.
3.6.2.
הגדרה כזו של המחשב קרובה יותר להגדרה של כלי נשק או חימוש שבו נעשה
שימוש בכלי נשק מאשר לאופן שבו הגדרנו את טכנולוגיית המידע בתחילת הפוסט. להזכיר,
כך הגדרנו את טכנולוגיית המידע בפרק הראשון: במובן הצר של המונח, כל רכיבי החומרה
והתוכנה הממוחשבים החל מהמחשבים הארגוניים הממוקמים במרכזי המחשבים ועד למחשב
השולחני הנייח, המחשב הנייד שעליו אני מקליד פוסט זה, הסמארטפון (זו טעות לקרוא לו
כך, הוא מחשב עם יכולות תקשורת סלולריות) הטאבלט ועוד.
הגדרה זו יצאה מתוך נקודת מוצא שאין משמעות לאופן השימוש בטכנולוגיה, אלא
רק לעובדה על מהם מרכיביה. אלא שלפתע מתחוור לנו שאופן השימוש הנו משמעותי לעתים אף
הרבה יותר מעצם השימוש. היכולת בה בעת לאפשר משהו ולמנוע אותו, לבנות משהו ולהרוס
אותו (בין לעצמי ובין לאחרים) באופן מודע או שאינני מודע לו כלל, משנה את
הגדרת טכנולוגיית המידע באופן מהותי.
הגדרה חדשה תצטרך לאזן בין המהות והאופן שבה נעשה במהות זו שימוש.
4.
טכנולוגיית המידע – הגדרה חדשה:
4.1.
כל רכיבי החומרה והתוכנה הממוחשבים החל מהמחשבים הארגוניים הממוקמים
במרכזי המחשבים ועד למחשב השולחני הנייח, המחשב הנייד שעליו אני מקליד פוסט זה,
הסמארטפון (זו טעות לקרוא לו כך, הוא מחשב עם יכולות תקשורת סלולריות) הטאבלט ועוד,
ואשר השימוש בהם מאפשר (בין היתר) לפגוע ברכיב עצמו וברכיבים אחרים המקושרים אליהם
או מופעלים/מבוקרים על ידם, גם בלא שהמשתמש ברכיב מודע או מתכוון לכך.
4.2.
לטעמי, הגדרה כזו מאזנת בין המהות, האדישה לאופן השימוש, ובין אופן
השימוש ההופך את הטכנולוגיה הזו לקטלנית.
4.3. ועוד נקודה אחת, בידי מי מצויה היום טכנולוגיית המידע? יותר מ-2.5 מיליארד
משתמשים, מכל התרבויות על פני כדור הארץ. מילדים קטנים ועד מבוגרים וזקנים. תחשבו
על המשמעות. מליאקדי רכיבים העלולים לשמש גם ככלי נשק בלא ידיעת המפעיל אותם
מפוזרים להם בידינו. בכיס שלנו, של ילדינו, של משפחתנו. זו הפעם הראשונה בהיסטוריה
של האנושות, שמי שלא הוכשרו כלל להשתמש בכלי נשק או בחימוש מפעילים (גם בלי ידיעתם
או כוונתם) כלים כאלו. מישהו התכוון לכך? אינני מאמין. היצור האנושי לא עד כדי כך מתוחכם
וצופה פני עתיד.
4.4.
אם אני צודק והגדרת טכנולוגיית המידע כוללת גם את אופן השימוש בה, מה
זה אומר על אבטחת טכנולוגיית המידע/הגנת סייבר?
4.5.
רק דבר אחד: כל מה שאנו עושים היום לא מתחיל מהנקודה הנכונה ועל כן,
אין בשלב זה מענה מספק. כדי לספק מענה נכון צריך להבין שמדובר בתהליך חדש שבו לא
התנסינו בעבר. מדובר במשהו שמתנהג גם ככלי נשק, מצוי בידי אוכלוסיות אזרחיות בכל
מגוון הגילאים והתרבויות, ואיננו נשלט (בשלב זה) בידי מי שהוא מצוי בידיו.
אין תגובות:
הוסף רשומת תגובה