מתקפת ההאקינג: לא היינו בהיסטריה אם היינו מפיקים לקחים [דעה]

יש לנו סיבה להיות בפאניקה, ולא בגלל המתקפה הנוכחית, אלא בגלל ההתנהלות השוטפת שלנו בכל הנוגע לאבטחת מידע. יהונתן קלינגר חושב שהגיע הזמן להפיק לקחים

תמונה: צילומסך, אנונימוס

תמונה: צילומסך, אנונימוס

בניגוד למלחמות אמיתיות, יש משהו קסום במלחמות סייבר: קבוצה אלמונית מכריזה על מטרה ותאריך יעד, מפרסמת אותו, יוצאת למבצע. אנחנו, בתור הקרבנות מקבלים כתבות בתקשורת עם תמונות אילוסטרציה של האקרים עם כובע גרב מול מקלדת, ומדמיינים את ההאקרים כמו בסרטים בהוליווד: יושבים מאחורי מסך וצועקים משפטים כמו “אני מנסה לעקוף את ה-Firewall שלו, אבל הוא מתנגד” וכל מיני אנשים מצוות האבטחה של השב”כ והמוסד נלחמים בהאקרים ופורצים להם בחזרה למחשב, אבל האמת העצובה היא שאותם ההאקרים בסך הכל יושבים וצועקים “המלך הוא עירום” ומסבירים כמה אבטחת המידע בישראל היא בדיחה עצובה כשזה נוגע לסקטור הפרטי, והרבה פעמים גם לסקטור הממשלתי.

מה יקרה כשבאמת תתרחש פה מתקפת סייבר?

לפני כשבועיים, גיא לרר ב’צינור לילה’ הדגים בצורה פשוטה במיוחד כיצד מאוחסנים שרתי ממשלת ישראל בצורה מביכה; בכתבה, עוד טען לרר, כי השרתים כלל אינם מגובים. הדבר אינו מפתיע. מה שקורה בכל “מתקפת האקרים” כזו הוא בסך הכל הפעולה הפשוטה הבאה: דמיינו לרגע שאתר אינטרנט, בדיוק כמו המחשב שלכם, מריץ מערכת הפעלה וכמה תוכנות. לאותן תוכנות יש בדרך כלל רשימה של פרצות אבטחה ידועות, ולרוב הפרצות שולחים עדכונים. בדרך כלל, אתר אינטרנט שהמנהל שלו משתמש בססמאות חזקות, לא חוזר על אותה הססמא בכל מקום, ודואג לעדכן את התוכנה שלו, לא אמור לדאוג. אבל, בישראל כמו בישראל, תמיד חותכים פינות. באותה הצורה ש”וירוס” הופץ השבוע בפייסבוק וכל המדינה נכנסה להיסטריה כי בסופו של דבר מה שקרה כאן היה בסך הכל תוכנה שמיועדת להפיץ את עצמה והתבססה על התנהגות לא חכמה של משתמשים, שמתקינים כל מה שמבקשים מהם על המחשב, כך גם הפריצות הפעם צפויות להיות.

בפעמים הראשונות כשנפרצו אתרים, כמו במקרה של 0xOmar, פורסמו כרטיסי אשראי ופרטים אישיים של אנשים; לאחר מכן, כבר היה די ברור שמי שהיה צריך להפיק לקחים עשה זאת; לאחר מכן, כאשר האקרים פרצו לזכרו של עימאד מורניה ופרסמו פרטים, הם התבססו בעיקר על פרצת אבטחה אחת בשירות אחד. כך זה בכל סבב, וכל עוד לא מופקים הלקחים בכל המדינה, זה ימשיך להיות: גל האקינג, דליפת מידע, שקט, ועוד גל.

אבל למה זה קורה? בסופו של דבר, פריצה היא פריצה, וזה לא משנה אם מדובר במערך ארוך שמיועד להפיל את גזרת הסייבר הישראלית או פריצה לחנות. אם אתה בעלים של עסק, ופרצו לשכנים שלך כי הוא לא התקין סורגים ומערכת אזעקה, אתה לא תשאיר את החנות שלך בלי אזעקה, נכון? ואם פרצו לך לחנות, וחברת השמירה ששכרת כדי לאבטח את החנות לא ידעה על זה אפילו, אתה בטוח לא תשכור אותה שוב, נכון?

ובכן, לא בטוח, לפחות לא במקרה האחרון, ולפחות לא לגבי מדינת ישראל. לפני כחצי שנה נחשפה פרצת אבטחה חמורה באתר בתי המשפט על ידי ה’האקר’ הישראלי, משה הלוי (הלמו). במשך מספר חודשים, לפחות לטענת המדינה, דלה האקר קשה ומסוכן חומר מסווג; נט-המשפט, מערכת מסווגת ומאובטחת, הופעלה על ידי שתי חברות פרטיות. אולם, לא רק שאותן חברות כשלו בהגנה על המידע, אלא גם שכעת, לפחות לפי הדיווח באתר TelecomNews, החברות האלו זכו בפטור ממרכז להתקשרות למספר שנים נוספות להפעלת נט-המשפט.

זו רק דוגמא אחת לחוסר הפקת הלקחים של המדינה בכל הנוגע לאבטחת מידע. מדינה בה ססמאות של גורמים רגישים אינן עומדות בתקנים מקצועיים, מדינה שלא מפיקה לקחים ומדינה שאינה מספקת לאזרחיה הגנה, היא בדיוק המדינה שתספוג התקפת “סייבר” כל כך משמעותית. הבעיה בהתקפת הסייבר היא שמדינת ישראל, ורשויות השלטון שלה, במשך שנים זלזלו באזרח הקטן, וכשמידע שלו דלף או לא אובטח לא עשו כלום. לכן, למדו החברים לתת לכלבים לנבוח, ולהמשיך את מה שעשו עד עכשיו. וכשהמאגר הביומטרי ידלוף? ובכן, זה כבר לא יהיה עניינם.

הפוסט פורסם לראשונה בבלוג Intellect of Insanity.

יהונתן קלינגר

יהונתן קלינגר בעל תואר שני במשפטים ותארים ראשונים במשפטים וממשל. כמו כן הוא כותב בעבודה שחורה, מיזם לקידום שיח בין בוחרים ונבחרים ובהיתוך קר למפגרים, בלוג הומור.

הגב

5 תגובות על "מתקפת ההאקינג: לא היינו בהיסטריה אם היינו מפיקים לקחים [דעה]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Arie Siksak
Guest

לצערי אין לך מושג ואתה משחק אותה מבין גדול.

רחל
Guest

לצערי במדינת ישראל לא מפיקים לקחים. ואגב, כן, יש משהו קסום במתקפת ססיבר זה סוג של טרור שלא נשפך בו דם, אלא נחשפים קובצי מידע, סיסמאות, כרטיסי אשראי ומה לא. אז כן צריך להשקיע בגיבוי כי טרור הסייבר הוא הטרור העתידי. DDOS או SQL INJECTION פשוטים הם לא מתקפה של ממש ובכל זאת, נזקים נגרמים. מסקנה – פיתחו את הכיסים והשקיעו באבטחת מידע.

Rachel Saadia
Guest

עדיף בנוסף לאבטחת מידע ללמוד גם מההיסטוריה. כן, הרי יש אנשים שרואים במדינה שלנו משהו מיותר ומפריע. על כן מתקפות סייבר הן רק תירוץ עלוב. לצערי – אם אנונימוס חרטו על דגלם את זכויות האדם, כדאי שילחמו למען תושבי סוריה, עיראק, לוב, מצרים, מדינות באפריקה ולמען אזרחי צפון קוריאה הנתונים לשטיפת מוח רצחנית. כן, אנונימוס – מדינת ישראל היא לא הכתובת. אם אתם לגיון שמדבר על צדק לכל כדאי שתפסיקו לראות את המציאות דרך המשקפיים של הטרור הכלל עולמי.

מישהו
Guest

רחל סעדיה, את מודעת לכך שאנונימוס אינוגוף מוגדר ולמעשה כל אחד יכול לקחת את השם תחת חסותו?

אופיר
Guest

גופים רבים לא למדו לקח וטורחים להשקיע רק אחרי שנפגעו אם בכלל. האבטחה כאילו לא קיימת ברוב המקומות. יונתן אני מסכים לחלוטין. מי שלא משקיע באבטחת המידע שלו שלא יאשים “האקרים” שרובם משתמשים בכלים מוכנים שמנצלים פרצות ידועות מראש בחוסר היכולת שלו.

אני פונה גם למנהלי מערכות מידע באשר הם: תשקיעו באבטחה. מנהל רשתות בלי כלים הוא נטול יכולות.

wpDiscuz

תגיות לכתבה: