המשפט: "המגן צריך להגן על הכל בעוד הפורץ צריך למצוא רק נקודת חולשה אחת" הפך ברבות השנים לתירוץ האולטימטיבי מדוע המגן נמצא בנחיתות מובהקת וייכשל תמיד כאשר אנו מדברים על עולם ה-CYBER.
המאמר מנסה לקרוא תיגר על נכונות המסקנה ולטעון שבמשפט הקצר והפשוט טמונה למעשה כל חוסר ההבנה האנושית מהו עולם ה-CYBER באמת.
בואו נפרק את המשפט לשני חלקיו:
המגן: המגן צריך להגן על הכל. אמירה נכונה אך עדיין איננה אומרת דבר על שיטת ההגנה.
הפורץ: הפורץ צריך למצוא רק נקודת חולשה אחת. מה זה אומר בדיוק? כתוב בצורה ברורה שהפורץ "צריך למצוא..." מה זה צריך למצוא? מבחינה מקצועית המשמעות הנה שהפורץ מבצע פעילות מגוונת על מנת לאתר את נקודת החולשה, לפני שהוא מבצע את התקיפה עצמה.
בואו נתחיל מאיתור נקודות חולשה בעולם האמתי. דוגמאות:
(1) - שליחת סיורים לבחון האם יש פרצות בגדר המתקן?
(2) - ניסיונות לחתוך את הגדר תוך קיום תצפית ובחינת תגובת המתקן על בצוע החיתוך בגדר,
(3) - ניסיונות לעבוד על השומר בכניסה תוך שימוש בתעודות כניסה מזויפות או שפג תוקפן.
ועוד מגוון שלם של פעילויות מסוגים שונים ובמישורי פעילות שונים.
ומה עושה המגן בעוד הפורץ מנסה לאתר את נקודות החולשה? יושב לו בשקט ונותן לפורץ מרחב פעולה חופשי עד שימצא את נקודת התורפה? לחלוטין לא. חלק ממנגנוני ההגנה מטרתם לאתר את ניסיונות הפורץ לחפש את נקודות התורפה עוד לפני שהפורץ עשה בהן שימוש על מנת לממש את כוונותיו. לדוגמה:
(1) - יוצר "שטח נקי" בסביבת גדר המתקן ומפעיל מערך תצפיות הכולל אמצעי ראית יום/לילה המאפשר גילוי מוקדם של תנועה חשודה בסביבת גדר המתקן,
(2) - מפעיל מערך סיורים ומכין יכולת תגובה מהירה על קבלת התראה על נגיעה בגדר/חיתוך גדר,
(3) - הפעלת מערך הדרכה ותרגול לשומרים על מנת שיאתרו ניסיונות שימוש בתעודות מזויפות/שפג תוקפן ולחילופין משדרג את מערך בקרת הכניסה תוך שימוש בעזרי זיהוי טכנולוגיים מתקדמים.
ואלו רק מקצת הדוגמאות שמטרתן להמחיש שהמגן, בנוסף על פעילויות ההגנה הפנימיות עצמן, נוקט במגוון שיטות על מנת להוות יריב שקול לתוקף בעת שזה האחרון מנסה למצוא את נקודת התורפה האחת. כל זה נכון בעולם הפיזי ומדוע? כיוון שהפרקטיקה של הביטחון הפיזי (בוודאי כאשר מדובר בארגון בטחוני, אך גם כאשר מדובר בארגון אזרחי) שהתפתחה במשך מאות השנים קבעה שלשבת בשקט כברווז במטווח איננה מענה מקצועי נאות.
עכשיו בואו נעבור לעולם ה-CYBER. מה המשמעות של פצחן (האקר, כך מכונה הפורץ בעולם ה-CYBER) המחפש נקודת תורפה? כמה דוגמאות:
(1) - בצוע port scanning (משמעותו חיפוש "השערים" שבהם הארגון משתמש באינטראקציה תקשורתית עם העולם החיצוני),
(2) – חיפוש פגיעויות (vulnerabilities) ברכיבי התשתית/תוכנות התשתית המותקנות בארגון,
(3) – חיבור רכיב שאיננו בבעלות הארגון לרשת הארגון (כדוגמת מחשב נייד, או שתילת רכיב חומרה/תוכנה שמאפשר בצוע האזנה לרשת התקשורת הארגונית או מתעד את ההקלדות בתחנת העבודה) ובחינת תגובת הארגון (באם הארגון בכלל מגיב טכנולוגית/תהליכית, ואם כן, כיצד),
(4) – "גיוס" מחשב על מנת שיהפוך להיות "חייל בצבא האויב" (ע"י שתילת קוד זדוני במחשב אשר יופעל "ביום פקודה" ע"י "רמטכ"ל צבא האויב").
יש עוד עשרות רבות של דוגמאות.
מה אמור המגן לעשות? כמובן, בדומה לפעילותו בעולם האמתי, עליו ליצור כחלק ממערך ההגנה הפנימי, מערך איתור ותגובה אשר יאתר את ניסיונות הפצחן (ההאקר) לחפש את נקודות התורפה עוד לפני שזה האחרון עשה בהן שימוש על מנת לממש את כוונותיו.
וזו בדיוק נקודת התורפה של פעילות המגן בעולם ה-CYBER.
הפרקטיקה של איתור התוקף מבוצעת בחלקה בשטח שמחוץ לתחום השיפוט (הטריטוריה) של המגן ולעתים מבוצעת בתחום השיפוט (בטריטוריה) של התוקף עצמו. כל אלו פרקטיקות ידועות, מנוסות ומצליחות (לא תמיד, אבל לפחות בחלקן), אלא שהן מצויות רק או בעיקר בתחום הפעילויות של המגזר הביטחוני, או בתחום הסמכות, הידע והשליטה של מדינה. אלו כוללים: איסוף מודיעין על הכנות האויב לתקיפה תוך שימוש באמצעים המופעלים בתחום השיפוט של האויב או לפחות בקרבתו, שיבוש הכנות האויב, שימוש באמצעי "פיתוי" להפנות את האויב לשימוש ב"מעברים הכרחיים" המנוטרים היטב על ידי המגן (הכנת מארבים), השתלטות על יעדי האויב ועוד.
אבל עולם טכנולוגיית המידע הוא עולם אזרחי לחלוטין.
האומנם???
הנה מתברר לנו, החברה האזרחית, שישנו פער גדול בין המונח "טכנולוגיית מידע" או "CYBER SAPCE" שהנו מונח הלקוח מחיי היום יום האזרחיים ובין המונח "הגנה על טכנולוגיית המידע" או כפי שנהוג בימים אלו לכנות את הנושא "הגנה בסייבר" אשר לפחות בחלקו מחייב שימוש בפרקטיקות שאינן אזרחיות אלה במובהק "ביטחוניות" או "מדינתיות".
הנה על כן, מדוע המסקנה שהפצחן (ההאקר) נמצא תמיד בעדיפות הנה תירוץ טוב מדוע המגן נכשל.
המגן חייב להיכשל, מכיוון שתפישת ההגנה שלו מועדת לכישלון מראש.
המגן הסייברי, פועל על פי פרקטיקות "אזרחיות" שבהן מערך ההגנה שלו (ברובו) מנסה להתמודד עם התקיפה וכלל לא (או ברובו הגדול) איננו מתמודד עם אתור הפצחן (ההאקר) בעודו מחפש את נקודת החולשה האחת או בעודו מכין ובודק את איכות וטיב כלי תקיפה שלו.
על מנת לשנות תפישה זו, יש לקבוע כי עולם "טכנולוגיית המידע"/"סייבר" איננו עולם "אזרחי" במלוא מובן המילה. עלינו לקבוע שנדרש שילוב של תפישה "ביטחונית" או "מדינתית" על מנת שהמגן יהיה יריב שקול או יתקרב להיות יריב שקול לפצחן (האקר).
לשון אחרת, על מנת להגן באופן נאות על המרכיבים הבסיסיים של טכנולוגיית המידע, (המחשבים והתוכנות) לסוגיהם השונים, יש להסתכל עליהם כמצויים בעת ועונה אחת בשני עולמות:
1. רכיבים אזרחיים המאפשרים לנו לבצע פעילויות אזרחיות במגוון תחומי החיים, החל מיישום המאפשר לי לכתוב את המאמר הזה, ועוד מיליוני סוגים שונים של פעולות "אזרחיות".
2. רכיבים שעל מנת להגן עליהם במובן המלא של המילה להגן, יש להסתכל עליהם בעיניים "ביטחוניות" או "מדינתיות" כסוג של "אויב" או גורם "עוין", שכן הצד השני משתמש באותם מרכיבים (מחשבים ותוכנות) על מנת לחפש את נקודות התורפה אצלי, ועל מנת לייצר כלי תקיפה. כלי התקיפה עצמו הוא ברוב המקרים קוד תוכנה שבמהותו זהה לחלוטין לכלי ההגנה (גם הוא קוד תוכנה...) דוגמה: וירוס ואנטי וירוס. שניהם תוכנות שנכתבו על ידי תכניתנים. מה ההבדל? במהות אין הבדל. שניהם קוד תוכנה. ההבדל באופן הפעולה וגם זה לעתים הבדל יחסית דק.
האם אנו מוכנים לכך ולהשלכות הנגזרות משינוי תפישה זה?
דוגמה מסויימת לכך נתן למצוא בידיעה המתפרסת היום:
מיקרוסופט: הסרנו מהאינטרט רשת של תוכנות רובוטיות שתקפו 2 מליון מחשבים:
אמת, זו פעולה שלאחר מעשה ולא פעילות מניעתית. אבל אין ספק שזו פעולה ברמה של רשויות מדינה (ארה"ב), המגייסת מצד אחד גורמי טכנולוגיה (מיקרוסופט וייתכן חברות נוספות) ומצד שני גורמי אכיפה (FBI) תוך שימוש ב, או יצירה של שיתופי פעולה בינלאומיים ברמות שונות.
מה שקורה לנו עכשיו זו לדעתי תקופת מעבר. המדינה עוד לא ערוכה לקחת על עצמה את התפקיד, אבל המציאות דורשת התמודדות כאן ועכשיו. אי אפשר לחכות שהמדינה (הכוונה שלי כל מדינה לא רק ישראל) תתחיל לעשות, אלא כל ארגון צריך להגן על עצמו ככל שהוא יכול וככל שהוא נדרש.
לאט לאט תיווצר מסה קריטית והבנה שנדרשת ככל הנראה חלוקת עבודה בין הרשות (המדינה), הארגון והאזרח.
פשוט זה לא, אבל אין לדעתי שום דרך אחרת להתמודד עם התוצאה המדהימה של היצירתיות של המוח האנושי שיצר לנו מחשב (שהוא גם "כלי נשק" במובן מסויים) בכל כיס.
רשומות
יאיר שלום.
השבמחקאני נהנה לקרוא את הבלוג שלך - הוא מרתק ועתיר חומר רלוונטי.
אני משמש כמומחה אבטחת מידע למעלה מ- 25 שנה. חלקן הגדול בסביבות ממשלה וגופים גדולים. דעתי לגבי הנושא שהצגת בפוסט זה שונה.השוני הינו הן בקונספט והן בפרטים.
נתחיל בפרטים:
בתחום אבטחת המידע, המדינה וגם חברות גדולות בתעשיה נמצאות באותה בעיה כמו כל לקוח אחר. מי כמוך יודע. רשת האינטרנט הינה זירה נטולת שלטון נקודה. באשר למיקרוסופט - היא מייצרת הרבה יותר בעיות אבטחה מפתרונות. לא הייתי בונה עליה לפתרון מאחר והיא תלך לפי האינטרס העסקי שלה, שאינו תמיד לטובת אבטחת המידע אצל לקוחותיה. במאמר מוסגר יאמר כי גם למדינות, בכובע בטחון המולדת, הכאוס האבטחתי הנוכחי עושה רק טוב.
אבל הבעיה הגדולה היא רקבוביות הזירה, לא העדר השלטון וגם לא ניגודי האינטרסים של המדינות והייצרנים. כל המערכת מתבססת על משפחת פרוטוקולים שנוצרה לפני הרבה דורות, בעידן אחר ובסביבות מחשוב אחרות. מבחינת אבטחה, הפרוטוקולים האלו הינם אסון. כל הטלאים שמלבישים מלמעלה לא יכולים לתקן את חורי הענק המובנים שנמצאים מלמטה.
גם אם היינו יכולים להגיע לסטביליות - ואנחנו לא,
נהלי יצירת פרוטוקולים חדשים הינם חלק נוסף מהבעיה ולא מהפתרון. מדהים כמה קל פשוט ומהיר לכל שחקן בזירה לייצר פרוטוקול חדש, בלי שצריך לקבל אישור מאף אחד, שמרגע שנוצר יש להשקיע משאבים רבים של כל השחקנים האחרים ביצירת סכמת הגנה עבורו. ובכל חודש יש עשרות חדשים כאלו, אם לא יותר. זה מירוץ סיזיפי שפר הגדרה אנו נדונים להיות בצד המפסיד שלו.
המימשל האמריקאי משקיע כבר מספר שנים סכומי עתק בנסיון למצוא פתרונות לעצמו ולאחרים - עד כה ללא הצלחה.
בהיבט הקונספטואלי ארכיטקטוני, לא תהיה ברירה אלא לבנות את הצד הטכנולוגי של הרשת מחדש ברמת הפרוטוקולים.
זו משימת ענק, שלבטח לא תתממש בשנים הקרובות של משבר כלכלי במדינות המפותחות.
תראה כמה זמן נימשך הליך נישה קטן(הכל יחסי..) כמו המעבר מ IP4 ל- IP6 ותבין עד כמה גדולה המשימה.
אבל בסופו של דבר לא תהיה ברירה וזה יקרה. חוסר היכולת המובנה להבטיח יציבות ואמון במצב הקיים יביא במוקדם או במאוחר ליצירת הרשת החדשה.
ובינתיים - הסוד הינו בתכנון ארכיטקטוני יעיל של מערך האבטחה, אשר נותן פתרונות המטליאים את חולשות הבסיס בצורה מקיפה וצופה פני עתיד.
זה לא קל, וזה גם עולה כסף, ואין הרבה כאלו שיודעים לעשות את זה נכון.
אבל מי שמנסה לחסוך ולסמוך על יצרנים, ממשלות, רגולטורים, יצרני מוצרי אבטחה וכיו"ב יפול שוב ושוב עד שילמד שאין לכך תחליף. לצערינו, זה המצב הנוכחי של מרבית הלקוחות.
אילן שלום,
השבמחקתודה על התגובה המפורטת.
זו לא רק הרשת. זה כל מערך טכנולוגיית המידע, חומרה ותוכנה שלא נבנה כלל על בסיס של ההשלכות של השימוש בו.
לא ניתן לפרוס כאן את כל היריעה ההיסטורית, אבל בגדול, מעולם לא נלקחה בחשבון המשמעות של אי האבטחה במימד האזרחי. אי האבטחה במימד הביטחוני/מדינתי משרתת (לכאורה) את שני הצדדים. לתוקף היא מאפשרת השגת מודיעין (FLAME כדוגמה) ותקיפה (סטוקסנט כדוגמה) והמגן מקווה שהוא מגן יותר טוב מהתוקף. אשרי המאמין ויעידו על כך ההאשמות ההדדיות בין ארה"ב לסין, מי תוקף את מי...
טכנולוגיית המידע והאיומים/סיכונים לשימושים האזרחיים-תפעוליים שלה (במגזרי האנרגיה, התחבורה והבריאות לדוגמה) כחלק מהותי מחיי היוםיום של החברה האזרחית, הם אלו שגורמים כעת, באיחור גורלי, ובאיטיות מסמרת שיער לשינוי להתרחש. צא וראה, כל משחק לילדים חייב לעמוד בתקן בטיחות, אבל, מערכות הפעלה לדוגמה של שרתים, אין להם שום תקן שהוא. העיקר שזה עובד.
לכן, זו לא רק הרשת, זו כל ההתנהלות של החברה למול הטכנולוגיה, הכל צריך להשתנות.
זו לא רק שאלה טכנולוגית, זה כולל הבטים חברתיים, משפטיים, אכיפתיים, כלכליים ועוד.
השאלה היחידה האם זה יקרה לפני שהמחדל יגרום לאסון, או רק אחרי איזשהו אסון מספיק גדול.