שלום לכל קוראי הבלוג.
זמן רב עבר מאז כתבתי לאחרונה.
בסופ"ש שעבר כתבתי גרסה ראשונה של המאמר, בסופ"ש זה הכנתי גרסה שניה המתייחסת גם בקיצור נמרץ ליתרונות ולחסרונות של השיטה.
זמן רב עבר מאז כתבתי לאחרונה.
בסופ"ש שעבר כתבתי גרסה ראשונה של המאמר, בסופ"ש זה הכנתי גרסה שניה המתייחסת גם בקיצור נמרץ ליתרונות ולחסרונות של השיטה.
במאמר קצר אקח את הקוראים למסע בזק בנבכי המחשבה המודיעינית ויישומה בעבר ובהווה.
מהמשנה השניה של סון טסו:
איזהו מצביא משכיל בהתקפה, שיריבו אינו יודע על מה יגן.
איזהו מצביא משכיל בהגנה, שיריבו אינו יודע מה יתקיף.
אז בואו נשנה אותה קצת:
איזהו מצביא משכיל בהתקפה, שיריבו איננו יודע מה הוא (התוקף) יתקוף.
פרשנות: מיהו יריבו של התוקף? המגן. כלומר אם המגן איננו מכיר את תוכניות המתקפה, ועל כן הוא ייאלץ להגן על הכל מכל... זה כמובן בלתי אפשרי ועל כן המגן עתיד להיכשל.
איזהו מצביא משכיל בהגנה, שיודע מה יריבו (התוקף) רוצה לתקוף.
פרשנות: יריבו של המגן הוא התוקף. על כן, מגן אשר יודע מהן תוכניותיו של התוקף יוכל להיעזר בכך לשיפור נקודות תורפה בהגנתו ואולי אף לסכל את תוכניות התקיפה עצמן. היכן מסתתרות להן תוכניות התקיפה של התוקף? אם המגן ידע לחשוף את המידע הזה מבלי שהתוקף יהיה מודע שסודות תקיפתו התגלו... זוהי פעילות מודיעין חשאית.
קצת היסטוריה:
בספרו "סודות יום הפלישה" מתאר Gilles Perrault אירוע המתרחש כשלושה שבועות לאחר פלישת בעלות הברית לנורמנדיה.
מוצב גרמני רב עוצמה בקרבת שרבורג שהצליח להדוף את כל המתקפות של בעלות הברית נכנע. לא בגלל שחיילי בעלות הברית הצליחו לפרוץ את ההגנה, ולא בגלל העדיפות בכוח אדם וכוח אש של בעלות הברית. מפקד הדיוויזיה הרביעית האמריקנית מיור גנרל בארטון מגיע בלווית כמה מאנשי מטהו למוצב הגרמני ומציג למפקדו הגרמני מיור קיפרס מפה. המפה כללה את פריסת כוחות בעלות הברית העדיפים אך גם את כל פרטי פרטיו של המוצב הגרמני. הקצין האמריקני היה משוכנע שכאשר יציג לגרמני את מפת ההיערכות של בעלות הברית ישוכנע הגרמני שאין לו סיכוי וייכנע. אך מסתבר שכניעתו של המפקד הגרמני נבעה מסיבה אחרת לחלוטין. במפה הוצג גם כל מערך ההגנה הגרמני, כולל שמות המפקדים וכינוייהם העובדה שהוא הוצג "עירום ועריה" היא זו שהכריעה את הכף. דוגמה מדהימה לעוצמתו של מודיעין מדויק.
נעבור לעידן המודרני של הגנת מערכות מיחשוב מפני מתקפות. שנת 2009 הינה שנת מפנה. מתבצעת מתקפת לוחמת מידע על דרום קוריאה, המאשימה מיד את צפון קוריאה. לאחר מספר ימים מתפרסם ניתוח של התקיפה ע"י צוות מומחי אבטחת מידע מחברת BKIS מהאנוי, וייטנאם. הם מאתרים את שמונת שרתי השו"ב השולטים ב-Botnet שבאמצעותו בוצעה התקיפה, (השרת הראשי בבריטניה), ומאתרים את העובדה שחלק מהמחשבים ששימשו לתקיפה קיבלו פקודות "השמדה עצמית" של הדיסק על מנת שלא ניתן יהיה לאתר אותם לאחר מעשה.
שאלת המפתח הינה:
שאלת המפתח הינה:
האם ניתן היה לאתר את המידע שמצאה חברת BKIS עוד טרם הוצאתה של המתקפה לפועל? אם כן, מה המשמעות האופרטיבית?
המענה:
1. הכנת מתקפה מחייבת את התוקף לאסוף מודיעין ובעידן המודרני לעתים להכין את ה"צבא". ה"צבא" הינם מחשבים שהם כשלעצמם אינם יעד המתקפה אלא משמשים כ"חיילים" (Botnet). בהם שותלים תוכנה זדונית אשר עפ"י פקודה ממערכת השו"ב של התוקפים תפעיל את המתקפה כנגד יעד או יעדי המתקפה האמתיים.
1. הכנת מתקפה מחייבת את התוקף לאסוף מודיעין ובעידן המודרני לעתים להכין את ה"צבא". ה"צבא" הינם מחשבים שהם כשלעצמם אינם יעד המתקפה אלא משמשים כ"חיילים" (Botnet). בהם שותלים תוכנה זדונית אשר עפ"י פקודה ממערכת השו"ב של התוקפים תפעיל את המתקפה כנגד יעד או יעדי המתקפה האמתיים.
2. המידע כולל (בין היתר) מידע על יעדי המתקפה (כתובות, ועוד). כל המידע הזה נשלט ע"י מערכת מחשב לשליטה ובקרה הנמצאת בידי התוקף.
3. מהי דרך הפעולה של המגן לאור האמור לעיל:
א. לאתר את מחשבי השליטה הבקרה מבעוד מועד, ולמצות מהם את המודיעין וכל מידע רלוונטי אחר על מנת להבין מה מכין התוקף.
מדובר בשלב נוסף בהגירה של תפישות עולם ביטחוניות-צבאיות לעולם האזרחי. כך היה עם הצפנות וכך עתה עם מודיעין.
ב. מי עושה פעילויות מסוג זה בעולם הצבאי? יחידות כמו סיירת מטכ"ל ואחרות. בעולם "הביטחוני-האזרחי" במדינת ישראל זה המוסד ואולי גורמים עלומים נוספים.
ב. מי עושה פעילויות מסוג זה בעולם הצבאי? יחידות כמו סיירת מטכ"ל ואחרות. בעולם "הביטחוני-האזרחי" במדינת ישראל זה המוסד ואולי גורמים עלומים נוספים.
4. במה מדובר?
מדובר בשילוב של מספר גורמים:
א. הכרה וניסיון רב של עבודת מודיעין כולל היכולת להפריד בין מידע אמיתי ובין מידע מטעה (דיס אינפורמציה), זאת מכיוון שיש לקחת בחשבון שמדובר בתוקפים מתוחכמים הלוקחים בחשבון את העובדה שינסו למצות מהם מידע.
ב. רמת הכרה טכנית גבוהה של פעילויות מיחשוב, תקשורת, קוד זדוני ומחקר שוטף בנושאים אלה ואחרים.
ג. קישור למידע המצוי בידי חברות אבטחת מידע, פורומים של חברות ויועצי אבטחת מידע ופורומים של האקרים למיניהם.
ד. יכולת לנתח את הנתונים שהתקבלו ולהסיק מה מתוך כל הנדרש להגן מהווה יעד למתקפה ועל כן כיצד לשפר את מערך ההגנה כך שיהיה ערוך טוב יותר למול מתקפה ממוקדת ומתוכננת.
5. יתרונות השיטה:
א. איננה מפריעה לביצועה של תוכנית הגנת המידע הארגונית הקיימת. הפעילות מבוצעת רק ב"עולם" ואיינה כוללת איסוף מידע במערכות המחשוב הארגוניות. המשמעות היא שלא מבוצעת כל התקנה של חומרה או תוכנה לא בשרתי ולא בתחנות הקצה הארגוניות, הארגון "לא מעורב".
ב. מאפשרת לקבל מידע מקדים על תכנון מתקפה כולל איתור יעדים מיחשוביים קונקרטיים בארגון. בהיבט זה השיטה מאפשרת קבלת נתונים על, וייתכן גם איתור של חולשות אפשריות בתוכנית הגנה המידע הארגונית אשר לא היו ידועות כלל או שלמרות שהיו ידועות לא ניתנה עליהן הדעת במידה מספקת.
6. חסרונות השיטה:
א. איננה מבטלת משאבים נדרשים לתוכנית הגנת המידע הקיימת ועל כן מהווה גורם צורך משאבים נוסף על הקיים.
ב. איננה מבטיחה שבכלל יינתן מודיעין לארגון. לכך ייתכנו מספר סיבות:
1. הארגון לא היה מעולם יעד למתקפה ועל כן אין מידע הניתן למיצוי לגביו.
2. הסוואת יעדי התקיפה הארגוניים הצליחה להערים על כלי איסוף המידע. מדובר במלחמת מוחות מודיעינית-טכנולוגית, שיש בה לעתים גם כשלונות בצד ההצלחות.
ג. איננה מבטיחה שבהינתן מודיעין הוא בהכרח עדכני. איסוף מידע תקיפה ב"עולם" עלול להפיק מידע מיושן שהושאר בכוונה כדי להטעות או שפשוט הושאר שם בעבר, בדיוק כשם שתהליך מיפוי ארגוני הנעשה ע"י הארגון עצמו עלול באם לא יעודכן מעת לעת להציג את טופולוגית המחשוב הקודמת ולא העדכנית.
לסיכום:
זוהי התוספת העדכנית והאחרונה (לעת עתה) הנדרשת לעולם הגנת המידע הקלאסי. זוהי התוספת הנדרשת להתמודד עם מתקפות מתוכננות, ממוקדות ומסוכנות אלו שניתן לכנותן CYBER TERROR אשר מחולליהן הינם ארגוני פשע וטרור וארגונים עוינים מסוגים שונים.
אנו מצויים בתחילתו של שלב נוסף במאבק להגן על מערכות המחשוב ועל החיים בחברה אשר מערכות המחשוב הינן התשתית המניעה אותם. יידרש זמן על מנת לשכלל את השיטה, למקסם את יתרונותיה ולצמצם את חסרונותיה.
רשומות
