לא האקרים, משתמשים פשוטים

פריצה למחשבים ולמאגרי מידע פשוטה היום יותר מתמיד ואינה דורשת ידע רב של האקרים. כמעט כל מחשב או סמארטפון כולל לפחות סוס טרויאני אחד ובשנים הקרובות נושא אבטחת המידע צפוי רק להתעצם. סיכום אירוע WIZE שהתקיים שבוע שעבר בתל אביב

הפוסט נכתב על ידי גיא קצוביץ’, ממארגני WIZE, סדרת מפגשים בנושאי מדע וטכנולוגיה.

תמונה: flickr, cc-by, ssoosay

“כמה מכם משתמשים באותה הסיסמה לפלייסטיישן ולג’י-מייל? חשוב להבין שיכולת גילוי הפרצות בהתנהלות שלנו היא בעצם אינסופית. זה לא משנה באיזו מערכת הפעלה או תוכנה אתם משתמשים – כל עוד אתם עושים זאת, אתם זמינים ונוכחים ברשת”, את הטקסט המבהיל הזה סיפק דיוויד ממן, שנשא דברים באירוע של פרוייקט WIZE בקפה ביאליק, שהתקיים ב-8 בפברואר.

מלחמת הסייבר והאזרח הקטן

ממן, מומחה בעל שם עולמי לאבטחת מידע וסמנכ”ל טכנולוגיה בחברת GreenSQL, הגיע לאירוע של WIZE – פרוייקט תרבות צעירה חדש בתל אביב – בכדי לשוחח מעט על “מלחמת הסייבר” שמאיימת על שלומו וביטחונו של האזרח הקטן. זאת, רק שבועות מספר לאחר שפרטי עשרות אלפי כרטיסי אשראי ישראליים נגנבו ברשת על ידי ההאקר הסעודי שכינה עצמו “עומאר”.

הסיפור הגדול בכל הקשור לפריצות ברשת, לדבריו של ממן, הוא שפשוט מאד ליישם אותן – ובכלל, לא צריך להיות “האקר” גדול בכדי לגנוב נתונים ולעשות בהם שימוש “רע”. ונקודת התורפה שמאפשרת את כל זה? “מאגרי נתונים”, ציין ממן. “המאגרים הם היעדים שהאקרים תוקפים – כך למשל גנבו את כרטיסי האשראי באחרונה”.

“אם פעם כולם הבינו שנדרש להתקין אנטי-וירוס כדי להיות בטוח, היום גוברת ההבנה שבסיסי נתונים הם המנגנון הקריטי ביותר בכל ארגון – וצריך להגן עליהם”, המשיך ממן, שחברת greenSQL בה הוא עובד פיתחה תוכנה המגינה על נתונים בארגונים, ומסייעת לחברות ולאתרי אינטרנט להגן עליהם מפני פריצה וגניבה.

פשוט משחשבתם

אולם, למרות זאת, ממן טוען כי היכולת לתקוף מאגרי נתונים באינטרנט פשוטה מעין פעם. הוא מציין את יכולת התקיפה הפשוטה ביותר היום – SQL Injection – אשר ניתן לבצע מול רבים ממאגרי הנתונים של חברות גדולות ואתרי אינטרנט, ולאסוף באמצעותה מידע רב. “מדובר בשליפת מידע באמצעות פקודת קוד רגילה”, הסביר ממן. “72% מהאתרים בעולם פגיעים להתקפות SQL Injection – מה שאומר שרבים מכם יכולים לקבל גישה לבסיסי נתונים של מרבית האתרים בעולם. זה לא דורש שום ‘תקיפה חכמה’ כמו שרבים חושבים”.

ממן סיפר כי “חברה שמשקיעה 30 מיליון דולר באבטחת מידע, יכולה לאבד נתונים באמצעות הגעה למחשב אחד עם סוס טרויאני, שיגרום לו לגלוש באינטרנט באופן ישיר. כל מה שצריך זה לפתות מישהו מהחברה על בסיס תחום העניין שלו – על ידי, למשל, הקמת אתר רלוונטי בנושא. כל העסק יעלה פחות מ-200 דולר – והופה, קיבלנו ‘הצצה’ לגוף גדול וחשאי”.

וכמה האיום גדול? גדול מאד. לדברי ממן, ה-FBI סימן את סוגיית גניבת הזהויות באמצעות מתקפות סייבר כאיום גדול יותר על ביטחון ארה”ב מזה שמהווה הסחר והשימוש בסמים. “זה הסיפור המרכזי”, הדגיש. “אפשר לזייף ככה את תעודת הזהות של מישהו, רישיון הנהיגה וחשבון הבנק שלו. אלה תחומים שהפשע ‘חוגג’ בהם – ויש שוק שחור שלם של המידע הזה”. כך, סיפר ממן כי ניתן כיום לרכוש זהויות “נקיות” באינטרנט, ולהתחזות לאנשים אחרים כדי לקבל מסמכים, לפתוח חשבון בנק, וגם לבצע רכישות משמעותיות שלא על חשבונכם. “והכל מאד מאד פשוט”, לדבריו. “92% ממקרי גניבת הזהויות נעשה מתוך מאגרי נתונים – וגם אז, לרוב לא על ידי ‘מומחים’. אפשר לקנות עבר צבאי שלם ב-35 דולר, כרטיס אשראי ב-2 דולר ותעודת זהות חדשה ב-5 סנט. רק תחליטו”.

ויתור על מאגר מידע

“הסיכוי להונאות הגדולות הוא קטן – כי קל לעלות עליהן. אולם, הונאות קטנות קורות כל יום”, הוא מספר. “אנשים בדרך כלל גונבים כרטיסי אשראי של עסקים, למשל, כי אלה גופים שרוכשים המון – וכך אנשים וגופים שאחראים על המידע הזה, פחות ערים לרכישות העודפות”.
ומה לגבי מאגרים גדולים ובטוחים יותר? לדברי ממן, בכל מאגר יש פרצות, והוא עצמו לפיכך אינו חסיד של שמירת מידע באופן “רשמי”. “המאגר הביומטרי, למשל, הולך להיות אסון גדול. מצד שני, גם אני הולך לתת את האצבע שלי לנושא”, הוא סיפר.

ממן התייחס גם לתועלת Stuxnet, שעל פי פרסומים זרים פותחה על ידי ארה”ב בשיתוף עם מערכת הביטחון הישראלית, ופגעה במערכות פנימיות באתרי ייצור גרעין רגישים באיראן: “תחשבו כמה מערכות כאלו שמישות על בסיס יומי? ממשלה שרוצה להיות רלוונטית, בונה צבא של כלי תקיפה כאלה. זה מדהים שאפשר להפיל פיתוחים שהושקעו בהם עשרות מילוני דולרים לפיתוח נשק אטומי, דרך המחשב”.

הבעיה הגדולה, לדברי ממן, היא שעסקים קטנים לא מקדישים את הקשב והמימון הראוי לאבטחת המידע אצלם. אנשים, שטועים לחשוב שאתרי האינטרנט פחות “בטוחים” מבתי העסק – לא מבינים שההיפך הוא הנכון, לדבריו. “עסקים קטנים לא מקדישים לנושא זמן, אולם באינטרנט צריך להשקיע הון ולעמוד בתנאים רגולטוריים מסוימים. למשל, כדי לסלוק כרטיסי אשראי ברשת – אתר חייב להשתמש בתקן ספציפי, שנקרא PCI. זה מגביר את הבטיחות סביב הנושא”, ציין ממן.

עוד בעיה גדולה, היא ההתפתחות המהירה של עולם הטכנולוגיה, שמעניקה עוד ועוד הזדמנויות לאסוף מידע על האזרחים הקטנים – כך, מתייחס למשל ממן לטלפונים הסלולאריים החכמים, המכונים “סמארטפונים”, באותה נימה של זהירות. “תסתכלו על הסמארטפונים – אנשים מסתובבים עם מחשב קטן, עם מלא אפליקציות – ומלא פרצות. עכשיו גם הסיפור של אבטחת מידע במכשירים הלו מתחיל להיות רלוונטי – ויש כבר מוצרים בתחום. מנגד, יש גם עשרות אלפי פרצות”, סיפר.

גם הפייסבוק והרשתות החברתיות מהוות “הזדמנות” לא רעה, למי שרוצה לגנוב את המידע שלכם, מסביר ממן: “מי שרוצה יכול להעלות תמונה לפייסבוק עם ‘קובץ בינארי’ כלשהו, שמהווה סוס טרויאני שיורד למחשבים של כל מי שצופה בתמונה הזו. היום פייסבוק חוסמת חלקית את התופעה הזו, אבל אי-אפשר לבטל אותה לחלוטין”. והכל, כאמור, כל כך פשוט. “ניתן לקנות היום באינטרנט תוכנות שמאפשרות לפרוץ למחשבים ומכשירים סלולאריים”, סיכם ממן. “ממש לא הייתי קורא לאנשים גונבים לכם מידע ‘האקרים’. לכל אחד במחשב ובסמארטפון יש כנראה לפחות סוס טרויאני אחד, שלא מוכר על ידי האנטי-וירוסים הרגילים. האפשרויות בתחום הזה הן אינסופיות”.

וידאו: מתוך מפגש WIZE האחרון, דיוויד ממן מתייחסת לאבטחת מידע ברשת

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

2 תגובות על "לא האקרים, משתמשים פשוטים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Michael Shefi Butcha
Guest

איך מגיעים למפגשים כאלה?

Guy Katsovich
Guest

היי מיכאל, צור איתי קשר בפרטי בבקשה!

wpDiscuz

תגיות לכתבה: