חשבתם שהאנטי וירוס מגן? אשליית האבטחה הגדולה

האקר אמריקני, גנב זהויות בינלאומי ודוקטור ישראלי למשפטים נפגשים בארה"ב. לא, זו אינה תחילתה של בדיחה, אלא חלק מצוות משימה של הבולשת האמריקנית (FBI) שניתח את אחד הסקרים הגדולים ביותר שנערכו בארה"ב בתחום פשעי המחשב ואבטחת המידע.

מטרת הסקר הייתה לבדוק לאיזה סוג של איומים נחשפים ארגונים ומשתמשים המחוברים לאינטרנט וכיצד אנו מתגוננים בפני האיומים הללו. הסקר העלה מסקנה מדהימה: חלק מתוכנות אבטחת המידע המרכזיות שאנו משתמשים בהן (כגון אנטי-וירוס ופיירוול), פשוט לא רלוונטיות לאיומים המסכנים אותנו. אז למה לא שמענו על כך עד כה? בין השאר, מכיוון שלחברות אבטחת המידע אין עדיין פתרונות מספקים לאיומים הללו.

במסגרת הסקר נשלחו 24 אלף שאלונים לארגונים אמריקניים. כל אחד מהם התבקש לענות על 32 שאלות בסגנון האם פרצו לרשת המחשבים שלכם בשנה האחרונה, אלו תוכנות אבטחת מידע מותקנות על המחשבים שלכם או האם הזעקתם את המשטרה כאשר פרצו לכם למחשבים. תוצאות הסקר העלו תמונה עגומה ביותר.

ארגונים עם Spyware

87% מהארגונים האמריקניים נפלו קורבן בשנה האחרונה לפשע מחשב - מווירוס ועד גניבת מידע באמצעות סוס טרויאני. אחד מכל חמישה ארגונים נפגע לא פחות מ-20 פעם בשנה מפשעי מחשב שונים ומשונים. בסך הכל נגרם לארגונים הללו נזק, שנאמד בסכום המפלצתי של 66 מיליארד דולר בשנה. זה לא הכל: קרוב ל-80% מהארגונים דיווחו, כי מצאו במחשביהם סוג אחד או יותר של תוכנה המרגלת אחרי המשתמש (Spyware).

תוכנות אלה מותקנות בדרך כלל ללא ידיעת המשתמש, והן שולחות מידע אל המפעיל שלהן דרך האינטרנט. מידע זה יכול להיות קשור להרגלי הגלישה של בעל המחשב, אך גם העתקים של הודעות דואר אלקטרוני מסווגות.

נתון נוסף שעלה מהסקר היווה סטירת לחי ל-FBI. מתברר, שכאשר מתרחש פשע מחשב בארגונים, הם אינם ממהרים לערב את הבולשת: רק 9% מהם הזמינו את ה-FBI לבצע חקירה. השאר הסתפקו בהתקנת קובצי טלאי, המתקנים חורי אבטחה, או קנו עוד תוכנת אבטחת מידע. שיהיה.

אין זו הפעם הראשונה שה-FBI עורכת סקר מעין זה, אך הפעם היא החליטה לעשות שלושה שינויים. ראשית, לא לשתף פעולה עם חברת אבטחת מידע, שסייעה לה בסקרים קודמים. שנית, מספר הארגונים שקיבלו את השאלון גדל. ולבסוף, הוחלט לשתף בצוות שניתח את התוצאות כמה דמויות מפתיעות.

"הלכתי לאיזה כנס האקרים ועמדתי בתור בכניסה להרצאה", מספר ד"ר נמרוד קוזלובסקי, מומחה ישראלי בתחום המחשבים, המחזיק בתואר דוקטור למשפטים מאוניברסיטת ייל. "התחלתי לקשקש עם מישהו שנתן לי כרטיס ביקור משמים, שהעיד על כך שהוא אנליסט בתעשיית הווידאו. המשכנו לדבר, ואז פתאום הוא אומר לי 'בוא רגע הצידה'. הלכנו לאיזו פינה ואז הוא שלף מהכיס משהו ואמר 'וזה כרטיס הביקור האמיתי שלי'. על הכרטיס הופיע שמו של ברוס ורדוין, סוכן מיוחד של ה-FBI".

כעבור כמה שבועות פנה ורדוין לקוזלובסקי והזמין אותו להשתתף בצוות המנתח את תוצאות הסקר. קוזלובסקי נדהם לשמוע, כי שותפיו לצוות הם שניים מהאנשים הכי ידועים (לשימצה) בתחום אבטחת המידע: קווין מיטניק ופרנק אבגנלה.

מיטניק, יהודי בן 42, שביקורו בישראל בשבוע שעבר זכה לסיקור נרחב, הוא אולי ההאקר המפורסם בעולם. ב-1995, לאחר שגרם נזקים עצומים לארגונים גדולים, הוא נעצר ונידון לחמש שנות מאסר. החשש מפניו היה כה גדול, עד שהרשויות החליטו להחזיק אותו בבידוד בטענה שאם ישהה בקרבת טלפון יוכל לגרום לפיצוץ גרעיני. כאשר השתחרר בשנת 2000 נאסר עליו לגעת באמצעי תקשורת כלשהם, למעט טלפון רגיל, במשך שלוש שנים.

אבגנלה הוא האיש שעל דמותו מבוסס הסרט תפוס אותי אם אתה יכול, בכיכוב ליאונרדו דה-קפריו. אבגנלה עזב את ביתו ב-1964, כשהיה בן 16. מאז החליף שמונה זהויות, גנב כספים מבנקים והיתל ברשויות חקירה במספר רב של מדינות. הוא התחזה לטייס, מורה, רופא ועוד, ורשם צ'קים ללא כיסוי בסכום כולל של 2.5 מיליון דולר ב-26 מדינות שונות.

רק כעבור חמש שנים של החלפת זהויות מוצלחת, נתפס אבגנלה ונשלח לכלא. הוא השתחרר לאחר שהתחייב ללמד את רשויות החקירה כיצד לתפוס טיפוסים כמוהו. גם אבגנלה, כמו מיטניק, משמש כיום כיועץ אבטחה. אני חושב שבשיתוף הפעולה עם שני האנשים הללו ה-FBI מנסה לשלוח מסר, מעריך קוזלובסקי. עד היום התייחסו אל ההאקרים כאל פושעים ורדפו אותם. יתכן שכעת מבינים שאין טעם לרדוף אחרי האנשים היחידים שבוחנים את תקינות המערכות ושעושים זאת לא כדי לגרום להן נזק - אלא בגלל האתגר.

אחת הסיבות שה-FBI בחר להיעזר במיטניק ובאבגנלה קשורה ליכולת המרשימה שגילו בתחום ההנדסה החברתית: השניים הצליחו, פעם אחר פעם, לשכנע אנשים העובדים בחברות גדולות לספק להם מידע, למרות שאסור היה להם לעשות זאת. מיטניק ואבגנלה שיכנעו אנשים למסור מידע פרטי ורגיש. הם עשו זאת בשיטות שונות ומגוונות, הכוללות לחץ פסיכולוגי ודרכי רמייה. מדובר במיומנות מסוכנת: הסקר של ה-FBI וסקרים מקבילים שנערכו באחרונה הצביעו על כך, שההנדסה החברתית הפכה לאיום הגדול ביותר בתחום אבטחת המידע.

כך, למשל, במהלך חמש השנים האחרונות נפגעו כ-12 מיליון אזרחים אמריקנים ממה שמכונה גניבת זהות. מישהו מצליח לגנוב את הזהות שלכם, ולפתע אתם מגלים שרשמתם צ'קים שלא רשמתם, רכשתם מוצרים שמעולם לא רכשתם, ושביצעתם עבירות במקומות שבהם כלל לא ביקרתם.

הדרך להשיג את זהותכם עוברת פעמים רבות דרך פריצה למאגרי מידע. אלא שמסתבר שלאחר שארגון נפגע מפשע מחשב הוא לא תמיד בודק כיצד הדבר קרה. לאחר שחברות נפגעות הן רוכשות עוד תוכנת אבטחה כדי להרגיע את המצפון. אבל אנחנו יודעים, שבעוד שהטכנולוגיה מספקת פתרונות די מוצלחים

לבעיות רבות, הסיכון הוא בעיקר אנושי, מסביר קוזלובסקי.

כך, למשל, במקום ללכת על פתרונות טכנולוגיים מתקדמים, אנחנו מעדיפים להשתמש בסיסמה פשוטה, שאפשר לנחש אותה בלי בעיה, כי למי יש כוח לזכור את כל המספרים והאותיות. לדבריו, חברות אבטחת המידע מפתחות תוכנות שעושות את העבודה הטכנית אך כושלות לא אחת בהבנת המשתמשים. 

לדוגמה, חלק מתוכנות אבטחת המידע מתריעות כאשר רכיבים המותקנים על המחשב מתקשרים עם האינטרנט. הבעיה היא שההתרעות מתרבות ומציקות עד שבסופו של דבר, כמעט כולנו לוחצים על הכפתור אל תשאל אותי יותר. אלא שבאותו הרגע השתקנו את השומר ואיפשרנו לתוכנות, חלקן תוכנות ריגול, לדבר עם מי שהן רוצות.

חברות אינן שומרות את רישום הפעולות

מיטניק מתריע על כך שחברות רבות אינן שומרות את הרישום של הפעולות שנעשו ברשת (המכונה בשפה המקצועית Log) אף שזה האמצעי העיקרי להתחקות אחר הפורצים: אנשים מתקינים כלים שמנטרים את הרשת אבל לא בודקים את הדוחות שלהם. חייבים לנהל את המחשבים, אי-אפשר לצפות מהם לפעול באופן קסום ואוטומטי.

אבגנלה מתריע על בעיה אחרת: עובדים בארגון הגונבים מידע. האיום של גניבת מידע על-ידי גורם חיצוני או עובד מתוך הארגון אינו עוד שאלה של 'אם' אלא שאלה של 'מתי'. אלו שמתעלמים מכך עושים זאת על אחריותם, הזהיר.

אז מה הפתרון? ב-FBI מצביעים על כיוון חדש שמעורר התעניינות לאחרונה: הגנה פרו-אקטיבית תוך דגש על בינה מלאכותית. הרעיון הוא שלצד השיטות הישנות שיודעות לטפל בבעיות שהתגלו, יש להתמקד בפיתוח טכנולוגיות המנתחות תבניות פעולה נורמליות של המשתמש הבודד ושל השוק בכללותו - מתריעות בכל פעם שמתרחשת חריגה מהן (המכונה אנומליה).

קוזלובסקי מציע דוגמה המסבירה את הרעיון: "אם משתמש מסויים רוכש דרך האינטרנט אך ורק ספרים מחנויות מקוונות בישראל, בסכום ממוצע של 500 שקל בחודש ובאמצעות כרטיס האשראי שלו - המערכת צריכה להתריע בפניו כאשר מבוצעת באמצעות הכרטיס שלו עיסקה ב-2,000 שקל, שבמסגרתה נרכש מוצר אלקטרוני מצרפת. מערכות כאלו יידעו בעתיד לנתח תבניות טקסט ותבניות גלישה נורמליות ויידעו לזהות תקשורת חריגה".

במקביל מפתחים החוקרים טכנולוגיה שתדע לנתח תבניות פעולה פליליות, במטרה להבין את המאפיינים השכיחים בדרך התנהגותו של עבריין. בכך ניתן ליצור פרופיל של עבריין פוטנציאלי ולאתר אותו בציבור הגולשים הרחב. קוזלובסקי מסכים שאנשי מחשבים לבדם לא יספיקו כדי לקודד את ההתנהגות האנושית הנורמלית והעבריינית: "אי אפשר עוד לתת רק לאנשי המחשבים לפתח את פתרונות אבטחת המידע, כיוון שהפתרונות אינם נעוצים ברמה הטכנית אלא ברמה האנושית-חברתית. בעתיד נראה יותר ויותר צוותים המפתחים קוד מחשב שבהם יש סוציולוג, פסיכולוג, קרימינולוג, בלשן ואיש מחשבים".

אתה יוצא מנקודת הנחה שכולנו פועלים על-פי תבניות.

קוזלובסקי נאנח. "במסגרת עבודת פוסט-דוקטורט במחשבים התמקדתי בנושא של הגנה פרו-אקטיבית באמצעות תבניות. בפעם הראשונה שהבנתי עד כמה בני-אדם צפויים כמעט בכיתי. אנחנו רוצים לחשוב על עצמנו כמורכבים וכמתוחכמים, אבל בפועל אנחנו פועלים לפי תבניות בנאליות להחריד. אנחנו הולכים לאותן המסעדות, קוראים אותם ספרים, עושים את אותן טעויות, ואז עושים אותן שוב".

קוזלובסקי מציע ליישם את הלקחים שנלמדו מהסקר האמריקני גם בישראל, הן בארגונים והן ברמת המשתמש הביתי. לאחרונה הוא פועל בצוותא עם עוד שלומית ווגמן, כיועץ למנכל משרד המשפטים במסגרת יוזמה להקמת הרשות לטכנולוגיות מידע והגנת הפרטיות.

אחד ממוקדי פעילותה יהיה התמודדות עם פשעי מחשב ותחום אבטחת המידע. "אנשים צריכים להבין שהתקנת אנטי-וירוס לא פוטרת אותם מהסיכונים ולא פוטרת אותם מאחריות", מוסיף קוזלובסקי. "הם צריכים לפתח מודעות ולגלות זהירות. לא כל הודעת דואר אלקטרוני מהבנק היא אכן הודעת דואר אלקטרוני מהבנק. זה אולי נשמע מוזר, אבל זה העולם שבו אנו חיים".

ובתור אחד שמטיף לאבטחת מידע הדוקה, מה הסיסמה לחשבונות שלך?

"הכי פשוטה וקלה בעולם. גם אני עצלן".