ריצת המרתון של ההאקרים

אירוע Hackathon הראשון התקיים בישראל המטרה: ללמוד אבטחת מידע דרך השטח, תוך הקפדה על כך ש"הכול יהיה חוקי" אלביט ו-EMC חילקו תיקים ופיצה, מתוך תקווה למצוא עובדים צעירים ונמרצים

אחד מסיוטי אבטחת המידע של משתמשי האינטרנט הוא השתלטות על המחשב האישי. החשש אינו רק מאי-הנוחות הנגרמת מכך שזר עושה כרצונו במרחב הפרטי שלהם, אלא גם הידיעה שאותו גורם עוין יכול להשתמש במחשב לצרכים שונים.

ההשתלטות העוינת על מחשבים היא רק ההתחלה. מנגנון שליטה שנקרא Botnet, מאפשר לנהל כמות גדולה של מחשבים שאינם נשלטים על-ידי בעליהם (זומבים) דרך מפעיל חיצוני שלרוב משתמש בהם להפצה אינטנסיבית של דואר זבל, לתקיפות דרך האינטרנט ולהחדרת וירוסים.

קיראו עוד ב"גלובס"


ההיסטוריה של ה-Botnet היא בת יותר מעשור והפכה לחלק סטנדרטי מהאינטרנט של השנים האחרונות. אבל, המרחב של האינטרנט השתנה. המחשבים האישיים כבר מזמן אינם הכלים האטרקטיביים ביותר שבידי המשתמש האישי שמזמינים השתלטות עוינת - הסמארטפונים מהווים מטרה נוחה בהרבה.

לא קשה לדמיין השתלטות עוינת לא רק על הטלפון הבודד, אלא על עשרות ומאות אלפי טלפונים, שמשגרים בו-זמנית שיחות, הודעות, או בקשות זיהוי מול הרשת הסלולרית. סיוט אמיתי.

בניית מנגנון שיספק יכולות Botnet לרשתות הסלולריות, היה אחד הפרויקטים המעניינים שנוסו במסגרת כנס Hackathon שנערך במרכז הבינתחומי הרצלייה (ראו מסגרת).

בישראל יש עיסוק אינטנסיבי בנושא אבטחת המידע גם מהצד האפל שלו, כלומר פריצות למערכות מחשוב. המקומות שבהם זה נעשה באופן רשמי הם במשרד הביטחון או הצבא, ומעט מפתחים פוטנציאלים מגיעים לשם.

"עדיין לא שמעתי על כלי האקינג שיצאו מישראל, ואנחנו רוצים לשנות את זה", אומר ל"גלובס" איציק קוטלר, מיוזמי האירוע. "לא לומדים האקינג באקדמיה, וסוג הפרויקטים שיש כאן הוא הדבר האמיתי. זה מה שאנחנו מנסים ללמד".

העניין בפרויקטים, מדגיש קוטלר, הוא ללמוד אבטחת מידע דרך השטח. "הכול במסגרת חוקית - אנחנו לא מעודדים פריצה לחברות", הוא מוסיף.

שוק תוכנות האבטחה הוא אחד האטרקטיביים בעולם המחשוב. לפי נתוני גרטנר היקפו היה 16.5 מיליארד דולר ב-2010, וקצבי הצמיחה שלו הם מעל לתחום ה-IT כולו.

התוכנות נועדו למגן מפני תקיפות, בין היתר כמו זו של חבורת LulzSec שאחרי פריצה למאגרי נתונים של ה-FBI ושל חברות כמו AOL ו-AT&T הודיעה בסוף השבוע כי היא מתפרקת. 50 הימים שבהם עבדה איימו על חברות מתחומים שונים, למרות שלא הייתה לחבורה אג'נדה חוץ מהאקינג לשם הנאה.

תרשים זרימה וחלוקת עבודה

טכניקות ההאקינג לא השתנו באופן משמעותי בשנים האחרונות, מה שהשתנה היא המטרה. חדירה מתוחכמת לארגונים נעשית היום דרך משתמשי הקצה באמצעות דרכים פרימיטיביות לעיתים, אך בעלות פוטנציאל להחזר כלכלי משמעותי. טכניקות כגון הצפת אזור בזיכרון, מה שמוביל להפלת יישום או לתוצאה לא צפויה (Buffer Overflow) או תקיפה על משאבי המחשב - זיכרון או תקשורת - שיביאו לקריסת המערכת (Denial Of Service) כבר מוכרות לכל אנשי האבטחה ולכל האקר מתחיל, אך עדיין גורמות ללא מעט נזק.

דוד קפלן (28) מרכז את הפרויקט בנושא ה-Botnet עבור הטלפונים הסלולריים. בכנס מתקבצים סביבו משתתפים שמנסים להציע דרכים שונות לעיצוב הפתרון.

המטרה היא לפתח תוכנה שתנהל כמות גדולה של טלפונים שנפרצו בו-זמנית לצורך שימוש של משתמש חיצוני לצרכים מפוקפקים. ההשתלטות על הטלפון הבודד, טוענים חברי הקבוצה, היא נתון קל לביצוע. "אין היום תוכנה שמספקת יכולות של Botnet לטלפונים ניידים", משוכנע קפלן.

דיון סוער מתפתח בקבוצה סביב נושא הזיהוי של טלפונים חכמים שכתובת ה-IP שלהם, שמזוהה ברשת האינטרנט, לא תקפה ברשת הסלולרית. המשתתפים מציעים שימוש בפרמטרים שמגיעים מעולם הטלפונים - כגון ה-IMSI, שמספק זיהוי לכל כרטיס SIM, או ה-IMEI, שמספק כתובת ייחודית לכל מכשיר בפני עצמו. בסופו של דבר, משרטט קפלן תרשים זרימה שכולל חלוקת עבודה ומיפוי של הפתרון. "לא נצליח לסיים את זה כאן", קובעים בקבוצה, ומחליטים להמשיך את הפיתוח במשך הימים הקרובים.

בעוד הפתרון בנושא ה-Botnet עמוס בשורות קוד ומורכב טכנולוגית, מהעבר השני מתרכזת קבוצה עם שאיפות פחות יומרניות. עמיחי (17) הוא מצעירי המשתתפים - אם כי לא הצעיר ביותר - והוא מרכז פרויקט סביב נושא ההנדסה החברתית. תחת מסגרת זו, שהפכה לטכניקה בולטת בתחום עבירות המחשב בשנים האחרונות, נכנסים נושאים כגון פישינג (Phishing), שמנסה לשכנע משתמשים תמימים לספק סיסמה לאתר אינטרנט.

המשתתפים מתחלקים לשתי תתי-קבוצות: הראשונה מנסה לייצר מנגנון פישינג ובמסגרתו לשכנע את המשתמשים להיכנס לאתר פיקטיבי, שנראה בדיוק כמו הכניסה לחשבון הג'ימייל, ולספק את נתוני ההתחברות שאמורים להגיע לתוקפים. הקבוצה השנייה מנסה לייצר קוד שמורץ על המחשב כאשר זיכרון מסוג דיסק-און-קי מוחדר למחשב דרך ממשק ה-USB.

בשני המקרים, כתיבת הקוד הטכני אינה הבעיה אלא השכנוע לשתף פעולה. אך במקרה השני, זו בעיה. "איך יסכים בעל המחשב לאפשר הכנסה של התקן זיכרון זר?", תוהה עמיחי. והתשובה היצירתית מגיעה מאחת המשתתפות: "אם בחורה תבקש, הוא יסכים" - תשובה נורמטיבית להגנה שאינה מהעולם הטכנולוגי.