מהפיכה בהגנת סייבר ,ĐĐđčĎ ęđėēĦ ĦĚĤ ęĕđĝĚ ĞďĕĚ ĦčĕĜĎ ĦĕĎĤđĤĕė ĐĞĕĎĠ đČ ęĕĚđĕČĐ đĘČ À ĐĤĔĚč ĦČ ĤĦđĕč ęĕďĕĤĔĚĐ čēĤĚč ěđēĔĕčĐ ĕĜđĎĤČ ĘČĤĥĕč .ĕĔĜĤčĕģĐ ĦđĜđĤĦĠ ČđĢĚĘ ęĕĝĜĚ ĦđĠģĦĐĘ ĐčĚđď ĝģēđĤ ĕĚĞ ĦČĚ
לקראת כנס סייבר-טק
27-28.1.2014
א
חד האיומים המטרידים ביותר כיום ארגונים ביטחוניים ,ממשלתיים ומסחריים בעולם הסייבר הוא 'איומים מתמידים מתקדמים' ,או בשמם המוכר יותר – )Advanced Persistent Threat .(APTאלו התקפות במרחב הקיברנטי שנועדו לפגוע במטרה מאד ממוקדת או לגנוב מידע מסוים. זאת ,בשונה מסוגי התקפות אחרים שנועדו לפגוע במספר רב של מטרות כמו וירוסים או רוגלות למיניהן .הייחוד של התקפות APTטמון ברמת התחכום שלהן .לרוב מדובר על מבצעי תקיפה דומים באופי שלהם להתקפות שמבצעים גופי ביון או יחידות צבאיות מיוחדות בעולם הפיזי.
ęĕĤĥė ęĕĞĢĚČĐ Ęė התקפת APTמתחילה באיסוף מידע על היעד )איסוף מל"מ בעגה צבאית( וקביעת מטרות עיקריות ומטרות משנה .במסגרת זו משתמש התוקף גם באיסוף מידע אנושי )יומינט( על מנת להכיר מקרוב את העובדים בארגון היעד, את המשפחות והחברים שלהם ,את התחביבים שלהם וכל פרט שיעזור לו בהמשך לבצע את המניפולציה הדרושה במרחב הקיברנטי כדי להגיע למשאב הרצוי. לצד איסוף מידע בעולם הפיזי )תמונות של אנשים או מקומות ,מעקבים וכו'( ,שלבי ההכנה הללו כוללים גם פעולות שגרתיות למראית עין – זו יכולה להיות בקשת חברות בפייסבוק או לינקדין ,הודעת SMSעל מבצע אטרקטיבי למכשיר אייפד ,או שיחת טלפון ממעסיק שקיבל את קורות החיים שאותו עובד שלח .במתקפת ,APTכמו במלחמה ,כל האמצעים כשרים. אחרי שהתוקף הרכיב תמונת מודיעין של סביבת המטרה ,הוא פונה לייצור כלי הנשק. בעולם ה APT-מדובר לרוב על חולשות מסוג "יום האפס" ) .(Zero Day/0Dayאלו חולשות במערכות הפעלה או תוכנות בהן משתמשים בסביבת היעד ושאינן ידועות לאף אחד פרט לתוקף .זו יכולה להיות חולשה במערכת "חלונות", חבילת האופיס ,קורא קבצי ה ,PDF-או התוכנה לניהול פרויקטים שהארגון פיתח לבד" .בשונה מאיומים ידועים שיש להם כבר חתימות ,זירו דיי הוא איום לא ידוע והפתרון שלנו מיועד בדיוק למתקפות מסוג זה" ,מסביר גל דיסקין ,מנהל
אילוסטרציהShutterstock : 40
דצמבר 2013
הפיתוח של חברת ההזנק הישראלית cyvera שעתידה לעשות מהפכה בעולם ההגנה מפני התקפות ה" .APT-צריך לזכור כי נקודת הזירו דיי היא בעיני המתבונן – אם אני התוקף או המגן, היום בו גיליתי את החולשה הוא יום אחר .בפער הזמנים הזה מתרחשות מתקפות ה."APT- דיסקין מסביר כי גם לאחר גילוי החולשה הייחודית על ידי התוקף ,עדיין עליו לעבור כברת דרך .זאת ,מכיוון שהחולשה עובדת רק כאשר מחשב היעד נמצא בתצורה מסוימת .מציאות זו מחייבת את התוקף 'לסדר' את חלקי התוכנה בזיכרון מחשב היעד בתצורה המסוימת שבה החולשה תעבוד ,ותאפשר לו להריץ את הקוד הזדוני שיפתח את הדלת להשתלט עליו מרחוק. "יש מספר סופי של טכניקות לעשות זאת", מסביר דיסקין" .במנגנונים אחרים ,כמו אנטי וירוס למשל ,יש אין סוף חתימות .בתוך 30שניות אפשר לייצר חתימה חדשה של מה שאתה רוצה, והמצב הוא שחברות אבטחת המידע הגדולות מוצאות כ 70-אלף חתימות ביום ,כל אחת. במתקפות מסוג זה יש כ 15-טכניקות ועוד כ90- נגזרות שלהן. "מדובר על טכניקות מורכבות שמרביתן נתמכות חומרה .דוגמא להגנה בפני טכניקת פריצה הוא מנגנון הAddress space layout- (randomization (ASLRשפותח בשנת .2001 מדובר על מנגנון הגנה שמערבל את קטעי הקוד של התוכנה בזיכרון .למה זה טוב? כי אם התוקף מצפה שהזיכרון יהיה מסודר בצורה מסוימת כדי ליישם את הפרצה ,הערבול של מיקום החלקים מקשה עליו .כדי לירות ,אתה צריך לדעת איפה המטרה שלך". מנגנון נוסף שאמור לעכב את ההאקר הוא .(Data Execution Prevention) DEP התפקיד שלו לוודא שחלק בזיכרון של התוכנה שלא הוכנס מראש ,לא יוכל לרוץ. בעבר ,כדי להריץ קוד זדוני ההאקר היה יכול לדרוס את הקוד הקיים. אחר כך המציאו זיכרון שמאפשר קריאה בלבד ,אבל ההאקר היה מכניס קוד שלו לזיכרון כמו תמונה או אלמנט אחר וקופץ אליו כדי להריץ את הקוד בזכרון .ואז המציאו את DEPבתחילת שנות ה 2000-כדי למנוע הרצת קוד לא מורשה. אחת הבעיות עם המנגנון הזה קשורה לעובדה
דצמבר 2013
41