עשור לאסון התאומים: האסון הבא יהיה דיגיטלי

אסון מגדלי התאומים הביא אותנו ואת כל העולם לשנות הרגלים. אך האם האבטחה המוגברת יחד עם ההתקדמות הטכנולוגית והגישה למידע רק העבירו את האיום לזירה אחרת?

flickr. cc-by KimCarpenter NJ

היום לפני עשר שנים, התרסקו 2 מטוסי נוסעים אל תוך מגדלי התאומים (מרכז הסחר העולמי) בניו-יורק, מטוס נוסעים נוסף התרסק לתוך מבנה הפנטגון בוושינגטון וטיסה נוספת התרסקה בתוך שדה פתוח לאחר שנוסעי המטוס ניסוי להשתלט מחדש על המטוס.

אירועי ה-11 בספטמבר השאירו חותם עמוק בתרבות האמריקאית, ונראה כי ההשפעה של האירועים הללו על העולם כולו מורגשת עד היום. הגברת האבטחה בשדות התעופה עד כדי פאראנויה, חדירה לפרטיות במסווה של הצורך במודיעין ועוד מגוון רחב של הגבלות שהוטלו על אזרחים ברחבי העולם, במטרה לסייע לממשלות ולגופים שאמורים להגן על המדינות והתושבים, לעשות את עבודתם בצורה טובה יותר.

המעבר לטרור דיגיטלי

הפעולות של גופי הבטחון בממד הפיזי, בין אם אפקטיביות בפועל ובין אם לאו, השפיעו לפחות בממד אחד. טרוריסטים ואנשים המעוניינים להתקיף ולפגוע מחפשים דרכים מתוחכמות יותר, מוגנות פחות ובעיקר כאלו שאפשר לגרום בהם נזק לא פחות גדול מזה שהיו גורמים אם הפגיעה הייתה פגיעה פיזית ישירה.

אפשר אפילו להגיד שכוחות הבטחון והמודיעין המוגבר היו אחד מהגורמים המרכזיים להתפתחותו של הטרור הדיגיטלי, יחד עם ההתקדמות הטכנולוגית והעובדה שכיום חלק גדול מהמערכות הקריטיות כגון מערכות מסחר וכלכלה, שליטה ובקרה במפעלים ותחנות כוח, בקרת תנועה ורמזורים ועוד מגוון מערכות אחרות ניתנות לניהול וגישה מרחוק.

אז נכון, המערכות הללו לא מחוברות באופן ישיר לרשת האינטרנט והסיסמא שלהם היא לא password ולא הספרות אחת עד שמונה, אבל עצם העובדה שהן נגישות מבחוץ, גם אם המטרה העיקרית של יכולת הגישה המדוברת היא יכולת הניהול המרכזי של המערכת, הופכת את הרכיבים הקריטיים ביותר במערכת התשתיות שלנו לפצצה מתקתקת.

אז אולי אני קצת פרנואיד בעצמי, אבל תסתכלו על כל הפריצות הגדולות של השנים האחרונות, על איומים כמו Stuxnet (שכוונה באופן ישיר למערכות שו”ב שנמצאות בעיקר במפעלי ציוד כבד, תחנות כוח וגורמים תעשייתיים נוספים) ובאופן כללי על המטרות אליהן מנסים הפורצים לחדור, תבינו לבד שאנונימוס זה רק משחק ילדים.

חייו ומותו של ה-SSL

תעודת SSL מזויפת. flickr. cc-by Andrew Mason

פרוטוקול SSL, מאז ששוחרר רשמית בגרסה 2.0 (גרסה 1.0 מעולם לא שוחררה לציבור הרחב) על-ידי נטסקייפ אי שם ב-1995, הפך להיות אחד מאבני הבניין המרכזיות של אבטחת מידע ברשת האינטרנט. הרעיון לפיו ניתן להשתמש במפתחות א-סימטריים על-מנת לאבטח ולהצפין את התקשורת ועל-מנת לבצע הזדהות חד-ערכית היה בדיוק מה שרשת האינטרנט הייתה צריכה כדי להוכיח לעולם שגם אם כולם מחוברים לכולם, עדיין אפשר להעביר מידע בצורה מאובטחת ולוודא שהוא מגיע למקום הנכון.

במהלך השנים התפתחה מסביב לפרוטוקול ה-SSL תעשייה ענפה של “מנפיקי תעודות” (Certificaiton Authorities), גופים שאחראיים על הנפקת תעודות הזהות הדיגיטליות שאמורות לזהות את אתרי האינטרנט השונים ולהבטיח להם שאנחנו מעבירים את המידע בצורה מאובטחת לגורם שאליו הוא אמור להגיע.

אותם גופים, מוסמכים מדי שנה על-ידי ארגון שנקרא WebTrust ורק לאחר קבלת ההסמכה המדוברת, מועברות תעודות הזהות של אותם “מנפיקי תעודות” אל יצרניות הדפדפנים, אשר ישלבו אותן בתוך הדפדפן ויאפשר לכם כגולשים, לדעת שתעודות המונפקות על-ידי אותן “מנפיקי תעודות” הינן תעודות אמיתיות ובטוחות.

בחודשים האחרונים מעמדם של חלק ממנפיקי התעודות נפגע משמעותית לאחר שנודע כי פורצים הצליחו לחדור למערכות של הארגונים המנפיקים ולהנפיק לעצמן תעודות דיגיטליות מזויפות, אשר שמשו אותן לצורך פריצה לאתרים ובעיקר לצורך זיוף אתרים וגניבת מידע מגולשים תמימים.

רק לצורך הבהרה, המקבילה הפיזית לפריצה לאותם ארגונים שהוסמכו להנפיק תעודות אבטחה דיגיטליות היא פריצה למשרד הפנים והאפשרות להנפיק תעודות זהות מזויפות. מה היה קורה אם מישהו היה מישהו היה ניגש לבנק עם תעודת זהות שמכילה את כל הפרטים שלכם, אבל תמונה שלו ומבקש לפתוח חשבון בנק, לקחת הלוואה גדולה ונעלם? מקרים שכאלו נקרים גניבת זהות והנזק הכלכלי הפוטנציאלי יכול להיות הדאגה הקטנה ביותר שלכם במקרים מהסוג הזה.

וידאו: מת לחיות 4 – כבר לא מדע בדיוני

אז מה עושים?

המאבק בין ההגנה והמתקפה בעולם אבטחת המידע הוא מאבק שאין לו סוף. בכל פעם שמפותח אמצעי הגנה חדש, יהיה מישהו מהצד השני שישקיע מספיק מאמצים כדי לפרוץ אותו. כעת, כש”הפרס” שעומד מאחורי אותה הגנה הוא כבר לא סתם עוד מחשב או מרכזייה, אלא מערכות המחזיקות מילארדי דולרים, מערכות שמפעילות את התשתיות החיוניות בחיים שלנו ומערכות שבלעדיהן החיים שלנו לא היו נראים כמו שהם נראים, סביר מאוד להניח שיהיו הרבה יותר אנשים שיהיו מוכנים להשקיע מספיק משאבים בשביל להגיע אליהם.

בהתחשב בעובדה שכיום אפשר לגרום נזק בשיעור דומה לזה של אסון התאומים, בלי לצאת מהבית ועם הרבה פחות סיכון, האם בכלל קיים סיכוי שהאסון הבא לא יהיה דיגיטלי? נשמח לשמוע מה אתם חושבים בנושא. 

יניב פלדמן

יזם, סטטיסטיקאי חובב, טכנולוג בדם, בעל תואר ראשון במנהל עסקים ו-Microsoft MVP בתחום אבטחת מידע. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד. מייסד שותף אתר גיקטיים

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

wpDiscuz

תגיות לכתבה: