בלעדי: מחדל אבטחת הסייבר הוא אדיר, לרוחב כל התעשייה, בכל פינה. הפקרות בחסות המדינה וחברות התקשורת.
מאת: אבי וייס
16.03.13, 23:30
חשיפת ההפקרות בתחום האבטחה של מכשירי הסלולר ובתחום שמירת הפרטיות, ניפוץ אשליית האנונימיות ב- Tor וב- Torrent ובמכשירים הסלולריים הפרוצים לכל, שאיבת המידע האישי ע"י YNET ו-וואלה! והשאלה של האבטחה ברשתות ארגוניות וציבוריות ובעננים: רשמים מכנס Cyberday 2013.
הכנס המקצועי בישראל לתחום הסייבר ואבטחת המידע
בפקולטה למדעי המחשב בטכניון נערך ביום 13/03/13 הכנס השנתי לתחום הסייבר (Cyberday 2013) בהשתתפות מאות מרצים, מומחים וסטודנטים לתארים מתקדמים. את הכנס ארגנו פרופ' אלי ביהם וד"ר שרה ביתן, מהפקולטה להנדסת מחשבים בטכניון. תמצית ההרצאות באנגלית מצויה באתר הפקולטה.
בפרס העבודה המצטיינת מטעם הפקולטה למחשבים בטכניון זכתה עבודת מסטר, שהוכיחה שניתן לזהות ודי בקלות כל מי שמשתמש במנגנוני (I2P(Invisible Internet Project, מערכת המכונה גם: Anonymizing Network, שהיא הבסיס למערכות גלישה והחלפת קבצים אנונימיות דוגמתTor ו- Torrent. ניתן לזהות, בכמה דקות, באופן חד-ערכי כל גולש. המערכות הללו הן בכלל לא אנונימיות, הן רק מספקות אשליה של אנונימיות.
פרופ' אלי ביהם, דיקן הפקולטה להנדסת מחשבים בטכניון: "אני גאה ששפי גולדווסר ממכון וייצמן זכתה (ביחד עם פרופ' סילביו מיקלי מהמכון הטכנולוגי של מסצ'וסטס), בפרס טיורינג, שהוא 'פרס נובל' של עולם המחשבים והאינטרנט, על הישגיה פורצי הדרך בתחום תורת ההצפנה. זה הישג יפה לה ולישראל.
עולם הסייבר שינה את עולם האבטחה. כל התורות הקודמות חוסלו. אני מציג לשם דוגמה מקום עבודה גדול בברזיל, שם החלו להשתמש בטביעת אצבעות, כדי לזהות את העובדים בשערי המפעל. הם החלו להשתמש באצבעות מסיליקון, שמזייפות טביעות אצבע, כך שאנשים מזדהים כמה פעמים, גם בשם אחרים שלא הגיעו לעבודה. זיוף טביעת אצבע הפך בברזיל למלאכה קלה ביותר. לכן, כל הפרויקט הביומטרי של מדינת ישראל, הוא בדיחה אחת גדולה. צריך להפסיק לחשוב במונחים הללו של זיהוי ביומטרי. הם עברו מן העולם, מזמן. הממשלה והכנסת חיים באשליות בתחום הזה".
ד"ר שרה ביתן, הפקולטה להנדסת מחשבים בטכניון: "היום, כולם מדברים על אבטחה בענן. זה המוח של כמעט כל המערכות המודרניות. גם מדברים על הגנה של הביג-דאטה, שגם הוא נמצא בענן. אבל, מעטים מבינים מה יש לעשות. אנו מחפשים מערכות חדשניות. יש בישראל שפע של סטארט-אפים הטוענים, שפתרו את הבעיות של אבטחה בענן. יש לפחות 50 חברות כאלו. אבל אלו פתרונות בוסר.
הדרך הנכונה לאבטח בענן היא בחומרה בטוחה ותוכנה בטוחה. זה עדיין אין בנמצא. עובדים על זה, ולא בחברות הסטארט-אפ הללו. אין עדיין פתרון אחד אמין. אסור להשלות איש בנקודה הזו".
ד"ר ערן טרומר, אוניברסיטת ת"א: "האתגר הגדול ביותר בעידן המודרני הוא אבטחת התקשורת הניידת, בעיקר סמארטפונים וטאבלטים. אולם, זה לא רק המכשירים. יש בתוכם וסביבם אין ספור של סנסורים, מצלמות מיקרופונים, GPS, מסכי מגע, חיישנים ועוד. כל מכשיר כזה הוא מערכת מלאה של מוצרים מגוונים. כל המוצרים הללו מספקים, כל הזמן, מידע על המחזיק במכשיר, כולל מיהו, היכן הוא, מה הוא עושה ועשה. גם כשמכבים את רכיב ה- GPS במכשיר, הוא ממשיך לדווח, כי שאר הסנסורים והחיישנים שיש במכשיר - לא ניתן לכבות אותם בקלות או בכלל.
המידע הנצבר במכשיר הנייד הוא עצום. לא רק מידע על פרטי הקשר, אלא מידע על כרטיסי אשראי, הרגלי קנייה, הרגלי תנועה, לוחות זמנים, חשבונות בנק, אתרים מועדפים, דוא"ל, מה מחפשים, לאן הולכים, היכן מבלים, מה מצלמים ועוד. הבעיה קיימת לא רק במכשיר שנגנב או נאבד. ממש לא. אפשר לקבל מידע מהמכשיר במגוון דרכים, כולל ב- WiFi, NFC, בלוטוס' ורשת הסלולר.
ה- SMS הוא הדבר הכי לא מוגן במכשיר. אין בו בכלל הגנות. אפשר להכניס דרכו כל דבר למכשיר. לשתול סוסים טרויאניים ולגנוב מידע או להשתלט על המכשיר באופן סמוי מרחוק. כל הפניות שלי לחברות הסלולר לסגור את הפרצות ב- SMS לא נענו. הם מעדיפים לספור את הכסף שמגיע משירותי SMS ולא להגן על הלקוחות.
בנוסף, אפשר בקלות להתחזות למגדל סלולרי, באמצעות ציוד שניתן לרכוש באינטרנט ולחטוף את השיחות בטווח הקליטה של המגדל המזויף. ניתן להאזין לכל השיחות בכל מקום. כל ההגנות שיש - לא שוות התייחסות. הן נפרצו מזמן ולא תיקנו את הפרצות הללו.
החידוש: ניתן לחדור בקלות למכשיר הסלולר דרך חיבורי ה- USB, שמשמשים גם לטעינת המכשיר. עושים זאת במולים, שדות תעופה ובכל מקום שמציבים בו שקעים להטענת מכשירי סלולר. אין שום הגנה על המכשיר בחיבור הטעינה ב- USB. חודרים בקלות למכשיר דרך החיבור הזה. אין צורך בכלל בפריצה. זו 'דרך פנויה' לגמרי לחדירה בלי שום הגנה, אפילו לא מינימלית. חברות הסלולר והיצרנים יודיעם מזה וכנראה לא אכפת להם בכלל להגן על המשתמשים.
בנוסף, כל מכשיר סלולר מחובר כיום לפחות לענן אחד. החל מהעננים של אפל וגוגל וכלה באין סוף עננים פרטיים וציבוריים. זה מקום בטוח לאסוף בו מידע על המשתמשים. קל לפרוץ עננים. אפילו השרתים המאובטחים של הבלקברי חשופים לממשלות. זאת, כי בלקברי נכנעה לרגולציה ומסרה את מפתחות ההצפנה לכל ממשלה, במדינות בהן היא פועלת.
בניגוד למיקרוסופט, שמדווחת למשתמשי מערכת ההפעלה שלה מה היא מעדכנת במחשב, במערכות ההפעלה הסלולריות אין כל אינדיקציה על עדכונים. אפל וגוגל מעדכנות את המערכות מרחוק, בלי ליידע בכלל את המשתמשים. גם חברות הסלולר נוהגות כך. המכשיר הסלולרי הוא טריטוריית הפקר בעיני כולם. כל אחד יכול להיכנס למכשיר הנייד, כל הזמן.
הפתרונות הקיימים היום להגנה בנויים על עיקרון ה- Sand Boxing והאימות, לרבות בחנויות האפליקציות. אלו תרופות שווא. זו בכלל לא הגנה. הפורצים צוחקים על מי שמשתמש בזה. ההגנות באפל לא טובות יותר מאחרים. זו רק אשליה שבאפל זה יותר מאובטח.
אצלנו יש תופעות חמורות מקומיות. למשל: למה YNET וואלה! בסלולר דורשות בעת התקנת היישום שלהן אישור להשתמש ולספק מידע ל- YNET ולוואלה! על המיקום של בעל המכשיר? בלי אישור ההרשאה הזו ע"י המשתמש, התוכנה לא תעבוד. אנשים מאשרים אוטומטית את כל ההרשאות שמבקשים מהם. למה הם אוספים מידע כזה על המשתמשים? למה אי אפשר לקרא חדשות באינטרנט הנייד בלי שייאספו עלינו מידע על מקום המצאנו? [הערת אגב של העורך: מה הם כנראה עושים עם המידע הזה, קיבלתי בכנס "אי-סייבר", כפי שחשפתי, אך לא מכבר].
חברות המפתחות את מערכות ההפעלה לסלולר מודעות לבעיות הללו. לכן, הן מציעות הצפנה למשתמשים. אולם, מעטים יודעים למשל איך להפעיל את ההצפנה באנדרואיד. אני מזמין את המתעניינים בתחומים בהם אני עוסק, להצטרף לפורום האבטחה המנוהל על ידי".
מגמות חדשות בעולם הסייבר
ד"ר גדעון גרזון, אינטל ישראל: "בסקר בקרב 800 אנשי IT, עלו החששות מפני בעיות האבטחה בעננים, הפרטיים והציבוריים. גם בענן פרטי יש חוסר בהירות היכן המידע מצוי, מה הגנות עליו, מי שולט בו. הווירטואליזציה והענן הרסו את כל סביבות האבטחה המוכרות.
יש היום מגמה לתקוף את ה- Bios במחשב, עוד לפני שמערכת ההפעלה עולה, כדי לשנות את הקונפיגורציות של המערכות. כך שהמשתמשים לא ירגישו בשינויים שנעשו במיפוי הזיכרון. אחד הפתרונות שיש הוא טכנולוגיה חדשה של אינטל בשם TXT. היא מספקת יכולת להאמין בחומרה, שהיא מקונפגת נכון והאפליקציות נמצאות במקום הנכון בזיכרון. TXT משמעו: Trusted eXecution Technology, והיא כעת בתהליכי שיתוף קהיליית המפתחים להרחיב את הפתרון הזה".
ירון שפר, Porticor: "כ- 80% מכלל שוק העננים הציבוריים בעולם מצוי בידיים של אמזון, בענן המבוזר ב- 8 מרכזי ענק בעולם. המרכז הקרוב ביותר אלינו נמצא באירלנד. אולם, למשתמש הקצה אין צל של מושג היכן המידע שלו מצוי. בנוסף, לאמזון יש אין סוף של שירותים נלווים ולכן היא כה פופולרית, וזה מגביר את התסבוכת של ההגנה. אולם, לאמזון יש מערכות הגנה מתקדמות, שאין לזלזל בהן.
רוב העננים הפרטיים הם של VMware. גם היא מונופול לא מוכרז, כמו אמזון. למרות שמדובר בפתרונות פרטיים, הם פחות מאובטחים מהפתרון של אמזון. שלא תהיה לאיש אשליה. לעומת זאת, הניראות היכן המידע, טובה יותר במערכות של VMware. אפשר לראות היכן המידע יושב באופן פיזי ולשנע אותו ממקום למקום. ההתקפות על עננים מכל הסוגים קיימות וגורמות לנזקים, שלא תמיד נראים ולא תמיד מדווחים.
הפתרון הבסיסי של פורטיקור הוא Virtual Appliance, שנמצא בין היישום לבין ה- Storage. למרות זאת, אני מסכים, שאנו עדיין במרחק של שנים עד שהעננים יהיו מאבטחים כראוי".
מולי בן-יהודה, דוקטורנט בטכניון: "מערכות ההפעלה החדשות רצות על מערכות וירטואליות וחלקן בכלל בענן. מודל הווירטואליזציה קיים כבר כ- 40 שנה. הוא הומצא ע"י פופיק וגולדברג. זה אותו מנגנון שקיים עד היום. כבר ב- 2006 הציגו Hypervisor level Rootkit בשם Bluepill. זה נטען בקלות בכל מערכת הפעלה ונראה בדיוק כמו Hypervisor.
יש ויכוח באקדמיה אם ניתן לזהות Rootkit מסוג Bluepill בכך שהוא מתחזה ל- Hypervisor. זו עדיין שאלה פתוחה. די בטוח שארגונים ומפעילי מערכות ההפעלה עם וירטואליזציה לא יודעים ולא יכולים לזהות Bluepill.
יש כמה פתרונות שנקראים ELI, שטרם מיושמים בתעשיית הווירטואליזציה והענן. התעשייה הזו לא יודעת לסגור פרצות אבטחה, שקיימות מ- 2006".
עופרה בכור, Green Hills Software: "אנו מציגים מערכת הפעלה מאובטחת לחלוטין בשם Integrity. זה מיועד בעיקר לסביבות פיתוח ולעולם הסלולר. המערכת הזו מופעלת כבר בתעשיות קריטיות רבות דוגמת התעופה, החלל, הרובוטיקה, הצבא, הרפואה והסלולר. בין היתר, הגרסה החדשה מאפשר ליצור שתי ישויות באנדרואיד. סמסונג כבר החלה להפיץ את האופציה הזו לארגונים".
גיא מזרחי, Cyberia: "אנשי אבטחת מידע מגינים על העסקים והארגונים מפני התקפות, שהיו נכונות לפני עשור ויותר. אין להם מושג מה זה אבטחה וסייבר. הם בכלל לא מבינים את מושגי האבטחה של היום, של עולם הסייבר. מדובר במחדל אדיר לרוחב כל התעשייה".
המלצה לגולשים באתר TelecomNews:
חומר חדשותי נוסף לדף הבית נמצא בתפריטים המשניים. אתר חדשות זה בנוי כמו עיתון, בו כתבות רבות נמצאות בדפיו הפנימיים. באתר יש כבר כאלף (!) פריטי מידע וכתבות. בדף הבית מצויות, כמו בכל עיתון, רק הכתבות הראשיות. לכן, מומלץ להקליק על התפריטים בסרגל העליון ולמצוא את תחומי העניין. שפע מידע בלעדי ומעניין מצוי בתפריטי המשנה.