השיטה המתוחכמת של החברות הסיניות "לחטוף" את תעבורת האינטרנט

שני אירועים חריגים שאירעו בחודשים האחרונים הובילו ל"השתלטות" של חברת צ'יינה טלקום הסינית על הרשתות שבהן עבר המידע לשירותי גוגל ולספקיות סלולר אירופיות • פרופ' יובל שביט, שהקים חברה שמנסה למנוע "חטיפה" של תעבורת רשת, מסביר כיצד ניתן לבצע כך מתקפות סייבר, מה הקשר של האיראנים ואיך אפשר להתגונן

תעבורת האינטרנט/ צילום: Shutterstock
תעבורת האינטרנט/ צילום: Shutterstock

האקינג, פישינג, סייבר - לא משנה איך תקראו לזה, השיח הציבורי על אבטחת מידע ברשת נסוב לרוב סביב אירועים שבהם צד אחד, התוקף, פורץ למחשב, לטלפון הנייד או למערכות המחשוב של גורם כלשהו - אדם פרטי, עסק קטן, תאגיד או גוף ממשלתי ענק, אחד או רבים. התוקף חודר למערכות, פוגע בפעילותן, גונב מהן מידע או נטמע בהן, ומחכה לשעת כושר כדי לבצע פעולה בהמשך.

אולם מה קורה כאשר כל תעבורת האינטרנט בין המשתמשים לבין עשרות או מאות חברות "נחטפת", ובמקום להגיע ליעדה בדרך הקצרה, המהירה והבטוחה - היא מוסטת ליעד אחר? סוג כזה של מתקפה נקרא חטיפת IP, חטיפת נתיב, או חטיפת BGP - שמו של פרוטוקול הניתוב המהווה את ליבת מערכת הניתוב של רשת האינטרנט, או במילים אחרות - רשת הרמזורים שמסדירה את התנועה בכבישים עליהם נוסע כל המידע העובר ברשת האינטרנט. באירוע של חטיפת כתובות, אם ממשיכים עם דימוי הרמזורים, התוקף משתלט על רמזור, ובמקום לנתב את תנועת המידע מתל אביב ישירות לירושלים - הוא מעביר אותו דרך חיפה או דרך ניו יורק.

"הבעיה היא שאין אקדח מעשן", אומר פרופ' יובל שביט, מומחה רשתות תקשורת בבית הספר להנדסת חשמל באוניברסיטת תל אביב וסמנכ"ל טכנולוגיות בחברת BGProtect. בראיון ל"גלובס" מסביר שביט מה עקב האכילס של המתקפה, וכיצד הדבר קשור למתיחות וחוסר האמון של המערב מול סין - על רקע מלחמת הסחר בינה לבין ארה"ב והמערב. החברה של שביט מפתחת טכנולוגיה למניעת מתקפות כאלו, והוא ידבר על הנושא בשבוע הסייבר הלאומי, של המרכז למחקר סייבר באוניברסיטת ת"א בשיתוף מערך הסייבר הלאומי. הכנס עוסק בהיבטים דיפלומטיים ומשפטיים של סייבר בישראל ובעולם, מגמות חדשות, בינה מלאכותית ועוד.

פרופסור יובל שביט / צילום: איל יצהר
 פרופסור יובל שביט / צילום: איל יצהר

"לכל ספק אינטרנט (ISP) יש טבלה ענקית של כל היעדים בעולם", מסביר שביט, "ועבור כל יעד הוא יודע לאן הוא צריך לשלוח כל חבילת מידע. כל ספק תקשורת הוא כמו צומת עם הרבה יציאות וכניסות ובכל כניסה הספק צריך לומר למידע מאיפה הוא אמור לצאת. כדי להסדיר את התהליך, יש טבלת ניתוב שמתעדכנת אוטומטית באמצעות פרוטוקול כמו BGP. אפשר לעשות את זה בפריצה, אבל מאחר שאפשר לשנות את ההוראות האלה גם לכניסות ויציאות ידניות, מספיק למצוא את העובד הרלוונטי בחברה שיכניס כניסה אחת ידנית. מספיקה שורה אחת מתוך מאות אלפי שורות כאלה. אולם, כדי שמישהו יעשה את המאמץ צריך מן הסתם לשחד אותו בהרבה כסף וכן שסכום זה יתגמד בהשוואה לערך שישיג הפורץ מהמעשה".

באחרונה אירע מקרה משמעותי מסוג זה כאשר, כפי שפורסם באתר "ארסטכניקה", תעבורת אינטרנט שנועדה להגיע לכמה ספקיות סלולר גדולות באירופה נותבה דרך שרתי חברת צ'יינה טלקום, הנמצאת בבעלות ממשלתית של סין. מספר כתובות ה-IP שנפגעו הוערך בכ-368 מיליון, ובחלק מהמקרים הניתוב השגוי נמשך כשעתיים. גם כאן - כמו ביתר המקרים בהם מוסטת תעבורת רשת דרך סין - לא נמצאו אינדיקציות שיוכיחו שהגורם אליו הגיעה תעבורת הרשת הוא זה שיזם את המעקף בכדי לקבל גישה למידע, או לחילופין, שהדבר נבע מטעות.

מקרה אחר שזכה לפרסום, וגם בו לא נמצא אקדח מעשן, אירע לפני כשבעה חודשים: כמה מיליוני כתובות IP של גוגל נותבו דרך צ'יינה טלקום באופן שפגע במשך כשעה בזמינות של שירותי החיפוש של גוגל. מהמתקפה נפגעה על פי הדיווח גם זמינות שירותים שעושים שימוש בשירותי הענן של גוגל, כמו למשל שירות הזרמת המוזיקה ספוטיפיי. בגוגל טענו כי הם "מודעים לכך שחלק מתעבורת האינטרנט הושפע מניתוב שגוי של כתובות IP, באופן שהשפיע על הגישה לכמה משירותי גוגל. שורש הבעיה שגרמה לכך היה חיצוני לגוגל ושירותי גוגל לא נפגעו".

עם זאת, באתר ארסטכניקה נכתב אז כי "בעוד שגוגל אמרה כי אין לה סיבה להאמין שהמתקפה הייתה כתוצאה מניסיון חטיפה זדוני, היא נראתה חשודה לרבים, בין היתר בשל ניתוב התעבורה דרך צ'יינה טלקום". מומחים ששוחחו עם "גלובס" הסבירו כי החשש היה כי מה שעשוי להתפרש כתקלה, הוא בעצם "חטיפה מתוכננת היטב של דאטה שכנראה הועתק ונותח לאחר מכן". כותרת האתר "רג'יסטר" בנוגע לאותו אירוע הביעה גם היא ספק מרומז שמדובר בתקלה תמימה, תוך משחק מילים עם שירות העוזר האישי של גוגל: "אוקיי גוגל, למה תעבורת הרשת שלך נחטפה ונותבה דרך רוסיה וסין".

למה בעצם אנו צריכים לדאוג מהאזנה כביכול לתעבורת רשת, הלא רוב התקשורת היום ממילא מוצפנת?

"לא רק שהצפנה אפשר לשבור, התוקף יכול גם לדאוג מראש, במסגרת המתקפה, שההצפנות יהיו יותר חלשות. למשל, כשנוצרת תקשורת בין שרת ללקוח, הלקוח 'אומר' לשרת באיזה פרוטוקול הצפנה הוא תומך. אבל אם תעבורת הרשת מנותבת אל שרת אחר - ש'יגיד' ללקוח שהוא לא יכול לתמוך בפרוטוקול הצפנה מתקדם, אלא בפרוטוקול חלש יותר - הדבר כופה עליהם להשתמש בתקשורת חלשה שקל לתוקף לפרוץ.

"התוקף בעצם מבצע 'התקפת שנמוך' ובכך משנמך את ההצפנה, כדי שיוכל לקרוא את המידע שעובר שם. לא מזמן, סטודנט הראה שרבע מכל השרתים באינטרנט היו חשופים לסוג כזה של התקפה, שיכלה לשבור את ההצפנה החזקה ביותר - עם השקעה של פחות מ-500 דולר בענן של אמזון (AWS) ותוך זמן ממוצע של שמונה שעות. אנחנו בעצמנו חברנו לקבוצה אמריקאית שבדקה 41 מיליון אתרים מוצפנים שתומכים ב-HTTPS, מה שאומר שהתקשורת בין הרשת ללקוח מוצפנת, אבל עדיין - מצאנו שרבע מהם היו חשופים, כולל כתובות של חברות סקיוריטי. זה אומר שהאדם ש'מאזין' לתעבורה של אותם אתרים יכול לקרוא כל מה שעובר שם כאילו זה לא מוצפן, וההשקעה במקרה הזה היא כסף קטן.

"יותר מכך - אם לקוח גולש באתר של עיתון כדי לקרוא כתבה מסוימת, ואני קודם לכן עשיתי התקפת שנמוך נגד אותו אתר והחלפתי תמונה של ביבי באותה תמונה, שכוללת הפעם גם וירוס מסוג סוס טרויאני - אז אני יכול לתקוף לאחר מכן את המחשב של מי שגלש לאותה כתבה. תחשוב על זה, אף אחד לא פרץ לארגון או יזם תקשורת - הדבר 'קרה' בזרם המידע הרגיל שמגיע מהאתר האמיתי שהגולש בעצמו גלש אליו מרצונו, בלי שעשו לו פישינג".

איך מתאפשר כדבר כזה?

"בעיות קונפיגורציה קשות. הרבה מאוד חברות לא זהירות בדרך שבה הן מנהלות את מפתחות ההצפנה שלהן, ומשתמשות באותו מפתח או קבוצה של מפתחות גם לאתרים שנחשבים מאוד מאובטחים וחדשים שלהם שאליהם אתה גולש, אבל גם לכל מיני שרתים יותר ישנים בארכיון, שאליהם פחות שמים לב ולכן הם פחות מאובטחים. בהתקפה שהיא חוצת פלטפורמות וחוצת פרוטוקולים, למשל, מבצע המתקפה תוקף שרת מייל ישן בארגון רק כדי להשתמש בו בשביל לשבור את ההצפנה לשרת ווב הכי 'מפונפן' ומתוחזק שיש לארגון.

"חשוב לי להדגיש כדי שלא יהיה ספק - הצפנה זה דבר מאוד חשוב ואני ממליץ לכולם להצפין את התקשורת כי זה מקשה על תוקפים, אולם צריך להבין שהעובדה שמשהו מוצפן לא אומרת שאי אפשר לפרוץ. גופים חזקים מספיק יכולים לפרוץ כמעט לכל דבר".

מה בעצם התועלת של התוקפים במתקפות מסוג זה?

"לפרוץ לתקשורת ו'להאזין' לתעבורת מידע זה דבר שנותן לך הרבה ערך מוסף אם אתה מדינה, כמו למשל חשיפת סודות טכנולוגיים. אם אתה פושע, אתה יכול לקבל מידע כמו למשל מה יהיה הדיווח לבורסה שיתפרסם בעוד ארבעה ימים - מה שמאפשר לך לרכוש מניות בחסר (שורט) ולעשות הרבה כסף, בעוד שהסיכוי שיתפסו אותך הוא כמעט אפסי".

סוג כזה של מתקפות זה משהו שהסינים והרוסים מומחים בו במיוחד?

"ממש לא. חשוב להבהיר שכולם עושים את זה, כולל כמובן האמריקאים. יש תיעוד על כך במסמכי אדוארד סנודן. המערכת שאנחנו בנינו בנויה כך שהרבה יותר קל לתפוס התקפות מגופים ברוסיה ובסין לעומת האמריקאים. אז כן, יש לנו הטיה ואנו מודעים לכך, אבל אנחנו לא מהאו"ם אז זה בסדר. בכל מקרה אני תמיד מעדיף שמי שיפרוץ אלי יהיה אמריקאי ולא סיני. יש התמקדות רבה במדינות שמהן אנחנו מפחדים אבל זה לא בגלל שהן היחידות שעושות את זה. הרוסים פשוט הרבה יותר טובים ולכן קשה לתפוס אותם".

והסינים?

"לבוא ולהגיד לסינים 'אוי אוי' ו-'נו נו', 'זה מאוד רע לגנוב' - זה צבוע, כי גם הצד השני עושה את אותו הדבר, ובכלל ביחסים בינלאומיים - להאשים מדינה מסוימת במשהו שכולם עושים זה לא הגיוני.

"לכן מה שעשינו במאמר שפרסמתי יחד עם כריס דמצ'אק לפני כחצי שנה, היה ללכת לכיוון אחר, שאומר שבגלל הפתיחות של המערב נוצר חוסר סימטריה בינו לבין סין בכל הנושא של הטיפול באינטרנט. חוסר הסימטריה הזה מאפשר לסינים חופש פעולה נרחב יותר באינטרנט במערב, וכתוצאה מכך - יכולת קלה יותר לחטוף תעבורה.

"הצרה היא שיש במערב הדמוקרטי כאלה שמקבלים את העובדה שיש חוסר סימטריה בהרבה תחומים בינם לבין סין. אם לפני 30 או 40 שנה חוסר הסימטריה היה מוצדק - כי סין הייתה עדיין מדינה מתפתחת וחלשה ורצו לעודד אותה - אז היום כבר אין סיבה לזה. היא הכלכלה השנייה בגודלה בעולם, היא צומחת ויש בה יכולות מדהימות גם במדע וגם בייצור, כך שאין יותר סיבה לתת להם הנחות.

"בתחום תשתיות האינטרנט, סין היא מבצר סגור. יש רק שלוש נקודות כניסה לאינטרנט בסין. גם האינטרנט של ישראל מבוצר היטב, אלא שלהבדיל מסין, חברות ישראליות לא מנסות לפעול בכל העולם. אין בישראל רשתות תקשורת זרות כמו AT&T, אלא רק רשתות ישראליות כמו בזק בינלאומי או נטוויז'ן, וטוב שכך. חברות ישראליות לא מנסות להתחרות בשוק הבריטי או האיטלקי ולהיות ספקיות תקשורת גדולות, אבל הסינים כן.

"העניין הוא, שבעוד שבסין חברות מערביות לא יכולות לפעול בכלל, הרי שבמערב ממשלות מאפשרות לחברות טלקום סיניות - שנמצאות בבעלות הממשלה, כמו צ'יינה טלקום - להקים תשתיות תקשורת באופן חופשי.

"במאמר אספנו מקרים שבהם החטיפה של התעבורה נעשתה בצפון אמריקה. התוקפים ניצלו את הנוכחות של צ'יינה טלקום בצפון אמריקה כדי לבצע חטיפות, וזה מה שאנחנו אומרים במפורש לממשלות האמריקאית והקנדית: אל תרשו את זה".

איך כל זה קשור לעימות הנוכחי בין ארה"ב, אירופה וסין סביב הציוד של חברת וואווי?

"הסיפור של וואווי הוא של מי ימכור את ציוד התקשורת. מה שקורה במערב זה שיש לחץ אמריקאי - שיותר ויותר מדינות מבינות שהוא מוצדק - שלא להשתמש בציוד סיני בתשתית טלקום, שהיא ללא ספק קריטית, מהפחד שבציוד הזה יש כל מיני דלתות אחוריות שאפשר יהיה להשתמש בהן בעתיד.

"לפני כחודשיים גילה דוח בבריטניה המון בעיות הנדסיות בציוד סיני שלאו דווקא בוצעו במזיד. על פי הדוח, רמת הפיקוח ההנדסי על התוכנה באותו ציוד תקשורת לא הייתה נאותה, ולא היה ניתן להבטיח שאותו ציוד יהיה מוגן מכל מיני פריצות. כמות גרסאות התוכנה לציוד היתה כה גדולה שהדבר הקשה לעקוב אחר פעולות ההטלאה של פרצות האבטחה.

"הרעיון היה לא לאפשר לחברות סיניות להתחרות במכרזים של ספקיות הציוד הגדולות במערב, שכולל את ארה"ב, קנדה, בריטניה, אוסטרליה וניו זילנד. זה מאמץ שמתנהל היום וכנראה שבהצלחה - כי ארה"ב בוודאות לא הולכת לעשות את זה, כמו גם אוסטרליה, וקנדה נוטה שלא. אז נראה שזה מצליח.

"יש כאן חוסר סימטריה גדול - שספקיות גדולות לא יכולות לעבוד בסין, ולעומת זאת לצ'יינה טלקום יש פריסה רחבה בצפון אמריקה עם עשר 'פופים' - נקודות שיש בהן הרבה מאוד ציוד - שבעה בארה"ב ושלושה בקנדה. מה שהראנו זה שהיו חטיפות סיניות שהתחילו מאותם הפופים. היו אחרות שלא, אבל היו כאלה שבפירוש התחילו שם. העובדה שיש לציוד הסיני נוכחות כל כך חזקה בצפון אמריקה מקלה עליהם לחטוף תעבורה".

חוץ מהמעצמות הגדולות, אילו עוד שחקנים אתם רואים בתחום?

"נראה לנו שהאיראנים מנסים לעקוף את החרם על ידי הקמת חברות מוזרות בחו"ל. אנחנו רואים פתאום שבלוקים איראנים, של כתובות איראניות, עוברים למקומות אחרים - יש לך בלוק כתובות שמפורסם באיראן, ופתאום הוא מפורסם באירופה ומפסיק להיראות באיראן.

"לכאורה, יש שם אחר לחברה וזה נראה כמו חברה אירופית, אבל חקירה נוספת מגלה שמדובר בחברה איראנית. זה כמו שכל חברת הייטק יכולה להקים סניפים בכל העולם, חברת קש, חברה בת או חברה קיימת, שמשתפות איתם פעולה ודרכן הם מבצעים כל מיני פעילויות. שוב, לאו דווקא מדובר בפעולות חתרניות כמו ריגול או חטיפת כתובות, ונראה יותר שמדובר בפעילות לעקיפת הסנקציות הכלכליות על איראן". 

כיצד עובדת "חטיפת" תעבורת רשת?

אם נמשיל את רשת האינטרנט לרשת התחבורה, אז פרוטוקול הניתוב BGP (ר"ת של Border Gateway Protocol) הוא המוח של מערכת הרמזורים שלה ומהווה את ליבת מערכת הניתוב של רשת האינטרנט. נתב שפועל באמצעות BGP מנהל טבלה של הרשתות המחוברות אליו, והקשרים ביניהן לבין רשתות אחרות, ומבצע החלטות ניתוב על בסיס הקשרים בין הרשתות ועל בסיס המדיניות המוכתבת בצורה ידנית על ידי מנהל הרשת.

"כשתכננו את פרוטוקול הניתוב BGP לא היו עוד ממש בעיות אבטחה", מסביר פרופ' יובל שביט, "האינטרנט היה קטן וכלל בעיקר מכוני מחקר ואוניברסיטאות בעולם המערבי ואף אחד לא חזה את השימוש הנרחב בו כיום כך. לכן לא היתה בו חשיבה מובנית על אבטחה. המידע של הגולש נארז בחבילות של מידע שנוסעות ברשת ממנו עד לשרת ועוברות רשתות בדרך. למשל, הגולש רוצה להגיע לשרת של גוגל אז הוא עובר דרך הרשת הישראלית, למשל נטוויז'ן. ממנה הוא ממשיך לרשת אחרת, באירופה ומשם, ישירות או באמצעות עוד רשת - לגוגל. המידע עובר כמה מתווכים בדרך, אבל מכיוון שהמידע אמור להיות מוצפן אז הגולש לא מודאג מזה".

פרופסור יובל שביט / צילום: איל יצהר
 פרופסור יובל שביט / צילום: איל יצהר

"גם התשובה מהשרת עושה את המסלול בחזרה בצורה די דומה, דרך כמה רשתות. בהרבה מקרים הרשתות שדרכן נעשה המסלול החזרה הן אותן רשתות דרכן נעשה המסלול בהלוך. ברגע שחוטפים את התעבורה, בעצם 'משכנעים' בכל מיני שיטות טכנולוגיות את אחת הרשתות שבדרך, לשלוח את המידע למקום שונה מאשר אליו הוא היה צריך להגיע - אל הרשת של התוקף. רק לאחר שהמידע הגיע אל היעד שהתוקף קבע, הוא 'ישחרר' את המידע וישלח אותו לשרת שמלכתחילה הוא היה צריך להגיע אליו, דרך כמה רשתות.

"גם בלי חטיפה, המידע מתעכב זמן קצר בכל צומת שבה הוא עובר, למשל בכדי לברר לאן הוא צריך להתקדם. כמו נוסע שמגיע לשדה תעופה ויש לו טיסת המשך - ודיילי הקרקע מסתכלים בכרטיסו כדי לראות מה יעדו ובהתאם להחליט לאיזה שער יציאה לכוונו. העיכובים האלה מאוד קצרים, בני מיליוניות שנייה בסך הכל. אבל כשמישהו חוטף את התעבורה הוא יכול להוציא אותה לשרת אחר, לעשות בה מניפולציה ולהחזיר אותה לרשת, וכל זה ייקח רק מאית שנייה או אלפית שנייה ורוב הסיכויים שאף אחד לא ירגיש בכלל שמשהו קורה.

"לפני כעשור וחצי אנשים הבינו שאפשר בקלות רבה יחסית לשחק עם BGP ולהסיט את התעבורה מהיעד המקורי למקום אחר - לרשת של התוקף. אז השימוש המניפולטיבי שלהם במערכת נועד בעיקר לצרכי שליחת דואר זבל, אך די מהר שני סוגי גופים הבינו שאפשר לעשות עם זה יותר - מעצמות הסייבר וארגוני מאפיה גדולים.

"בתחום התקשורת משתמשים בפילטרים שבעזרתם התוקף יכול להגדיר מה הוא צריך, כמו למשל - רק תעבורה שעוברת ליעד מסוים או שייכת לפרוטוקול מסוים, או מגיעה ממקור מסוים. זה קל לביצוע וזה מתבצע תוך כדי כך שהמידע עובר, ומבלי לעכב את התעבורה. מעבר לעובדה שמידע נחטף, גופים אזרחיים לא יכולים לדעת מה טיב המידע שנחטף ומי החוטף. כדי לדעת זאת יש להפעיל תהליך מודיעיני שיש רק לגופים מאוד גדולים ומדינתיים, בעיקר משום שהוא דורש הצלבה מהרבה מקומות".