ישראלים מצאו דרך לפרוץ למחשב ללא חיבור לאינטרנט

השיטה שגילה צוות חוקרים מאוניברסיטת בן־גוריון יכולה לשמש לפריצה לארגוני ביון, תשתיות ואפילו למאגר הביומטרי

 

shutterstock hacker

מאת רפאל קאהאן, כלכליסט.

חוקרים מהמרכז לאבטחת סייבר של אוניברסיטת בן־גוריון בנגב פיתחו שיטה שמאפשרת לפרוץ למחשבים שאינם מחוברים לאינטרנט. מדובר בשיטה המאפשרת באופן עקרוני גם פריצה למערכות המחשבים של המאגר הביומטרי, שמפעיליה מתגאים בכך שהיא בלתי פריצה – בין השאר מכיוון שהמערכת מנותקת לחלוטין מכל גישה לרשת.

ואולם השיטה שפיתחו החוקרים הישראלים מאפשרת להתגבר על מכשול זה באמצעות זיהוי טמפרטורת העבודה של המחשב, וניטור באמצעות חיישנים שמותקנים במחשב אשר נמצא במרחק של עד חצי מטר. באופן זה לכאורה אפשר לפרוץ למאגר ולדלות ממנו נתונים, פשוט באמצעות הנחת מחשב מתאים בסמוך לשרתים שעליהם מאוחסנים הנתונים הביומטריים של אזרחי ישראל.

תקשורת דו־כיוונית

המחקר התבצע על ידי מרדכי גורי, דוקטורנט וחוקר מהמרכז לאבטחת סייבר, בהדרכתו של פרופ’ יובל אלוביץ’, מנהל המרכז. השיטה החדשה מכונה BitWhisper, והיא חלק ממחקר מתמשך בנושא אבטחת מחשבים שאינם מחוברים לרשתות המתבצע במרכז. BitWhisper מדגים ערוץ תקשורת סמוי, דו־כיווני, בין שני מחשבים סמוכים שמתקשרים באמצעות חום. על ידי ויסות דפוסי החום, נתונים בינריים הופכים לאותות תרמיים ולהיפך.

תוצאות ניסיוניות מראות ש־BitWhisper מסוגלת לפעול בשיעור של שמונה אותות לשעה. היא מציעה שני מאפיינים ייחודיים ושימושיים: הראשון, ערוץ תומך בתקשורת דו־כיוונית (חצי דופלקס), משום ששני המחשבים יכולים לתפקד כמשדר (מפיק חום) או כמקלט (המפקח על הטמפרטורה); והשני הוא השימוש במחשב נייח רגיל שנמצא בסמוך, כלומר לא נדרשים חומרה מיוחדת או רכיבים תומכים.

תכונות אלו מאפשרות לתוקף לגנוב מידע מתוך המחשב ולשדר אליו פקודות. שמונה אותות לשעה מספיקים לחלץ מידע רגיש כמו סיסמאות או מפתחות סודיים. יתר על כן, התוקף יכול להשתמש בשיטה כדי לשלוט באופן ישיר על פעולות של תוכנה זדונית בתוך המחשב ולקבל ממנה פידבק.

לראשונה ללא ציוד מיוחד

דודו מימרן, מנהל הטכנולוגיות של המרכז לאבטחת סייבר, אומר כי “היתרון הגדול של השיטה נעוץ באמינות שלה. למעשה מדובר בשימוש בסנסורים של המחשב ליצירת פרוטוקול תקשורת אד הוק, שמאפשר תקשורת בין שני מחשבים תוך שימוש בחום”.

מה לגבי המאגר הביומטרי למשל, שאומרים עליו שלא יהיה מחובר לאינטרנט?

“השיטה יעילה על כל מחשב בהתחשב במגבלות. כך למשל, השיטה לא תהיה יעילה אם המחשבים מרוחקים יותר מחצי מטר זה מזה. כלומר ניתן להפעילה על כל מערכת שלא הביאה את הפרצה הזו בחשבון”.

שיטות לפריצה של מחשבים שאינם מחוברים לרשת כבר התגלו ויושמו על ידי ה־NSA, אך הן התבססו על אותות רדיו (RF) ודרשו התקנה של משדר זעיר שיוכל להעביר את האותות למקלט בטווח של עד כ־13 ק”מ. זאת לעומת השיטה הנוכחית שאינה דורשת שום ציוד מיוחד.

מהרשות לניהול המאגר הביומטרי נמסר כי “בהקמת מערך המחשוב של המאגר הביומטרי ובתהליכי התפעול השוטף נלקחו בחשבון גם סיכונים כדוגמת אלו המוצגים בכתבה. המידע בכתבה ידוע היטב לרשות ולאנשי הגנת המידע שלה ולכן בהחלט נלקח בחשבון בעת הקמת המאגר. המידע במאגר הביומטרי מינימלי והוא מאובטח ומוצפן”.

כתבה פורסמה לראשונה בכלכליסט.

לקריאה נוספת

דיווח: מיקרוסופט תחשוף בקרוב טאבלט מוזל חדש

הישראלים שהציתו את סצנת ההייטק במנילה

קרדיט תמונה: computer hacking via shutterstock

 

כלכליסט

אתר החדשות הכלכלי המוביל בישראל. באתר מתפרסמות כל חדשות הכלכלה בארץ ובעולם, בורסה, טכנולוגיה, IT, נדל"ן, משפט ושיווק.

הגב

6 תגובות על "ישראלים מצאו דרך לפרוץ למחשב ללא חיבור לאינטרנט"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
NaN
Guest

לא, לא :[ זה ממש לא “פריצה” זו סך הכל דרך די יצירתית להעברת מידע בין מחשב אחד למחשב אחר.

what
Guest

?????????????????????????

נינג'ה
Guest
מה, המאגר הביומטרי מאובטח לחלוטין? כמו האבטחה של ה-NSA? מדהים! רק רק חבל שכבר ראינו איך מאגר עצום של ה-NSA דולף החוצה באמצעות טכנאי פשוט. כל מה שצריך שזה שאחד מאנשי הסיסטם של המאגר הביומטרי יגנוב מידע, ובזה זה נגמר. ולא, הצפנה זה לא מה שמגן על המידע, אלא רק מה שמקשה לפענח אותו אחרי גניבתו. והצפנה אפשר לפרוץ באמצעות reverse engineering של התוכנה המפענחת או סתם באמצעות כלים שונים הקיימים בשוק, בהנתן מספיק זמן ומשאבים (אפשר להניח שאירן למשל תשקיע כמות יפה של משאבים שתצליח לעשות את העבודה). אז צאו מהסרט של “המאגר הביומטרי לא פריץ”. כל דבר פריץ.… Read more »
MrDrake
Guest

כרגיל באתר הזה רגילים לתת כותרות מפציצות ומפתיעות בשביל תגובות

על לא כלום . אולי אם הייתה לכם מערכת תגובות נורמלית הייתם מקבלים

יותר תגובות בלי לשקר בכותרות . עדיין אני עצבני שעשית כשמונה כתבות

על שירות ה Slack המחורבש והלא נוח בעליל שלא מחדש שום דבר .

Dan
Guest

נראה לי שאבדתם אותי בכתבה הזאת. חבל.

אדם
Guest

מחשב שלא ניתן לפרוץ. זה מחשב בבונקר 50 מטר מתחת לאדמה ועם אספקת חשמל עצמאית מקומית ועם קירות מצופים עופרת. וכמובן ללא כל רשת.
לגבי המאגר הביומטרי – עדין לא נמצאה השיטה להגן על גניבת נתונים מהגורם האנושי כבר ראינו את סנואודן ואחרים. ולכן יש להימנע ממאגר מסוכן שכזה ואם תהיה חקיקה בעניין על הציבור להצביע ברגלים ולא לשתף פעולה שהרי לא יכניסו את כולם לכלא.

wpDiscuz

תגיות לכתבה: