24 טכנולוגיה | אף מערכת אינה בטוחה
ההאקר הטוב
"לא הייתה מערכת שלקח לנו יותר משבועיים לפרוץ אליה", מספר עדי שהרבני ,מומחה בכיר לאבטחת מידע ב .IBM-בריאיון לאפוק טיימס הוא מסביר מדוע ההאקר הסעודי הועיל לישראל, מי יכול היה להיות אחראי לתולעת המסתורית ששיבשה את הצנטריפוגות בנתאנז ,ואיך בכל זאת תוכלו להגן על עצמכם מאת איל לוינטר ובן קמינסקי, אפוק טיימס
"
ההתקפה שאני עומד להראות לכם מאפשרת להשיג גישה למאגר נתונים של ארגון ,ואז למחוק או לשנות נתונים .למשל, אני אראה לכם איך עוקפים את מנגנון ה( Log in-התחברות) של בנק מסוים". כמה תווים ומקפים בודדים שהקליד בשדות ה Log in-הספיקו כדי לעקוף את מנגנון האבטחה של אתר בנק בחו"ל ולהכניס את עדי שהרבני אל מסד הנתונים שלו. אחרי שנכנס הוא מקליד שורת קוד נוספת בשדה החיפוש של הבנק ומצליח לשלוף את כל שמות המשתמש והסיסמאות הקיימות באתר הבנק. שהרבני ,מומחה בכיר לאבטחת מידע ב ,IBM-מסביר לנו שכאשר המשתמש מקיש שם משתמש וסיסמה ,מופעלת מאחורי הקלעים שאילתה ,מעין נוהל במחשבים, שלוקח את מה שהוקש ומכניס אותו לשדה קוד מסוים .התוקף יכול לשנות את השאילתה וכך לפרוץ לאתר ,וזה בדיוק מה שעשה כדי לעקוף את מנגנוני האבטחה. "ההתקפה הזו הנקראת .SQL Injection היא נמצאת בשימוש נפוץ מאוד על ידי האק־ רים .כ 25-אחוז מכל ההתקפות על אתרים נעשות בטכניקה הזו" ,הוא מסביר. באותה קלות שבה פרץ לאתר הבנק הוא שואל אותנו אם נרצה לראות איך אפשר לפרוץ לכל סמארטפון ,ומבקש שמישהו
פברואר 2012
כמה תווים ומקפים בודדים שהקליד בשדות הLog in- הספיקו כדי לעקוף את מנגנון האבטחה של אתר בנק בחו"ל ולהכניס את עדי שהרבני אל מסד הנתונים שלו
עדי שהרבני ,ארכיטקט מוצרי האבטחה של ,IBM
משנינו ינדב את אחד המכשירים שלו .הס־ קרנות גברה על החששות ,ונידבנו לניסוי מכשיר אנדרואיד. תוך כדי הכנות לפריצה שהוא עושה במחשב ,שהרבני מספר לנו את הסיפור הבא: "לפני כמה שנים התפרסם ביוטיוב סרטון אנימציה שבו הופיע הנביא מוחמד .מכיוון שהסרטון היה קצת פוגעני ,ממשלת פקיסטן הוציאה הנחיה לכל ספקיות האינטרנט לא לאפשר ללקוחות שלהן לגלוש ליוטיוב .אחת מספקיות האינטרנט ניסתה לעשות פעולה מסוימת שמנתבת את כל התעבורה של כל לקוחותיה ליוטיוב דרך השרתים שלה .אבל היא לא חשבה על ההשלכות שיהיו לכך .מה שהיא עשתה בפועל זה שהיא 'הודיעה' ברשת שכשגולשים ליוטיוב ,כדאי לגלוש דרכה ,וכל התעבורה בעולם ליוטיוב עברה דרכה. "שנה לפני כן היה בחור מטורקיה שניתב בשוגג חלקים נכבדים מהאינטרנט דרכו. עדיין אפשר לעשות את הדברים האלה ,אבל היום יש מנגנוני אבטחה שיתריעו על זה מהר מאוד ויצליחו להחזיר את המצב לקדמותו .זו דוגמה שמראה כמה קל לעשות דברים כאלה". וזה בדיוק מה ששהרבני עשה לנו .הוא ניתב את הגלישה האלחוטית שלנו באנדרואיד דרכו .מאותו רגע כל תו שהקשנו במכשיר הופיע על מסך המחשב של שהרבני .גם הסיסמה לפייסבוק. "את ההתקפה הזו אני יכול לעשות בכל רשת שבה אני נמצא .המטרה שלי היא להעביר לאנשים שהאינטרנט הוא עולם שלם שנבנה בלי מחשבה על אבטחה ,ועליו