"האקר שידפוק מספיק על דלת ימצא בסוף דלת פתוחה וייכנס"

הוליווד סוערת. וושינגטון סוערת. צפון קוריאה סוערת, ועכשיו רק נותר לשאול מי ישחק את הדיקטטור הצפון קוריאני, מי ייכנס לדמותו של הנשיא האמריקאי ומי יקבל על עצמו את תפקיד אחראי אבטחת המידע של סוני בסרט הקולנוע שיופק מתישהו בעתיד ויגולל את פרשת הפריצה למחשבי סוני והתקרית הדיפלומטית שהתרחשה בעקבותיה. הוליווד, סביר להניח, לא תוותר על ההזדמנות לעשות קופה מסיפור כל כך לוהט, ואולי זה יהיה הפיצוי שלה על ההפסדים מגניזת הסרט "ראיון סוף".

פרשת הפריצה למחשבי סוני היא דוגמה מצוינת למשפט "המציאות עולה על כל דמיון", אפילו על הדמיון המפותח של תסריטאי הוליווד, ובכל זאת, אם ננטרל את הילת הכוכבים סביב הפרשה, נגלה שבבסיסה עומדת מתקפת סייבר לא יוצאת דופן, מתקפה מהסוג שמתבצע כמעט בכל שעה נגד ארגונים מסוגים שונים - מענק מסחרי כמו סוני, דרך מוסד ממשלתי אמריקאי כמו הסוכנות לביטחון לאומי (NSA, עיינו ערך אדוארד סנודן) וכלה בענק קמעונאי כמו רשת טארגט האמריקאית.

"אני קורא למתקפה כזאת השתלטות עוינת, אך היא אינה ייחודית לסוני", אומר ל"גלובס" אודי מוקדי, מייסד ומנכ"ל חברת אבטחת המידע הישראלית סייברארק (CyberArk). "זה מה שקורה במתקפת סייבר מתוחכמת, ובמקרה הזה היא נודעה לציבור כי הפורץ, כנראה צפון קוריאה, רץ לספר לחבר'ה כי הוא ממש רצה להפיל את סוני ולמנוע את הקרנת הסרט. וכמעט כל מתקפת סייבר מתוחכמת דורשת גישה להרשאות גבוהות, כלומר פריצה למחשב של בכיר בארגון הנפרץ". הרשאה, נזכיר, פירושה היכולת של משתמש כזה או אחר לגשת למערכת מידע או לחלקים ממנה ולבצע בהם פעולות.

כל מה שצריך זה מפתח

מוקדי יודע על מה הוא מדבר. סייברארק, הנסחרת בשוק ההון האמריקאי לפי שווי של 1.3 מיליארד דולר, מתמחה בהגנה על מידע ארגוני מתוך הארגון עצמו, באמצעות ניהול וניטור של מה שנקרא בעגה המקצועית חשבונות מועדפים (Privileged Accounts) - חשבונות עם הרשאה גבוהה המאפשרת גישה למידע מאוד רגיש. במילים אחרות, מדובר בחשבונות - כלומר, שמות משתמש וסיסמאות - של בעלי תפקידים בכירים שמתוקף תפקידם יש להם גישה למידע רגיש שעדיף שלא ייצא מחוץ לארגון.

לפי ידיעה שפורסמה במהדורה המקוונת של סי.אן.אן בסוף השבוע האחרון, חוקרי אף.בי.איי הגיעו למסקנה ראשונית שההאקר שפרץ למחשבי סוני עלה על סיסמה של עובד IT (מערכות מידע) בכיר בסוני, ולכן היה לו די קל לקבל גישה לכל אותו מידע רגיש, למשל מה חושב מפיק בחברה על יכולות המשחק של אנג'לינה ג'ולי.

פריצה דרך חשבון מועדף פירושה שהפורץ כבר חדר פנימה לרשת הארגונית. איך ייתכן שמתרחשת בכלל פריצה בעידן שבו לכל ארגון יש מערכת הגנה היקפית (למשל, הפיירוול של צ'ק פוינט) - מערכת שמטרתה להגן על חדירה לרשת הארגונית מבחוץ? "מערכות הגנה היקפיות הן כמו דלת הכניסה הראשית בבית מלון. הן מסננות 80% עד 90% מההאקרים הלא מתוחכמים, והשאר, המתוחכמים יותר, כן מצליחים לעבור דרכה. ואז, כשהם בתוך הרשת הארגונית, בתוך בית המלון, העבודה שלהם הרבה יותר קלה".

לדברי מוקדי, פריצה מבחוץ לתוך רשת ארגונית נעשית בדרך כלל באמצעות שליחת דואר אלקטרוני תמים למראה אך מכיל תוכנה זדונית המופעלת ברגע שהנמען פותח אותו. "וזו לא בעיה לאתר כתובות מייל, בעיקר בעידן של רשתות חברתיות כמו לינקדאין", מבהיר מוקדי, "למשל, ההאקר מצפון קוריאה יכול היה לאתר כתובות מייל של עובדי סוני דרך לינקדאין, ומספיק עובד אחד בסוני שיפתח אותו מייל".

מוקדי מעריך כי אותו האקר עבר את מערכת ההגנה ההיקפית של סוני "בהליכה", ואז שתל אותה תוכנה זדונית במייל ששלח. "מדי יום נכתבות אלפי תוכנות כאלה ומאוד קל לעשות מוטציות שלהן. ברגע שהתוכנה מופעלת, ההאקר למעשה משתלט על אותו מחשב ספציפי".

- אבל זה עדיין לא אומר שיש לו גישה לחשבון מועדף.

"נכון. יש אפשרות שאותו האקר הצליח על ההתחלה להדביק מחשב של עובד IT, וזה אומר בינגו מבחינתו, אך ברוב המקרים הוא קודם כול מדביק מחשב של עובד זוטר, למשל מזכירה, ואז עובר ממחשב למחשב עד שהוא מגיע למשתמש בעל הרשאה גבוהה".

ההדבקה ממחשב למחשב נעשית, לדברי מוקדי, על-ידי הרצת תוכנות די פשוטות שמחפשות סיסמאות או שרידים של סיסמאות. "נניח שלמחשב מסוים, שעדיין לא נפרץ, נכנסו ממחשב אחר שכן נפרץ, אז הכניסה הזאת משאירה אחריה שריד של סיסמה. זה נקרא Hash, כלומר פיצוח של סיסמאות. וזה די פשוט".

- אם זה כל כך פשוט, אז איפה התחכום?

"מתקפת סייבר הופכת למתוחכמת בראש ובראשונה כשהיא מצליחה לעקוף את מערכת ההגנה ההיקפית. אחר כך היא הופכת ליותר מתוחכמת כשהיא מצליחה להגיע לאותן הרשאות גבוהות. ברגע שזה קורה, ההאקר יכול לשהות בתוך הרשת הארגונית הרבה זמן ולהיות מזוהה כמשתמש רגיל, וכך לקבל גישה כמעט לכל פיסת מידע קיימת".

מוקדי מחזק את דבריו בדיווח של סי.אן.אן, שבו בכיר אמריקאי אמר כי "ההאקרים קיבלו את המפתחות של הבניין", ומאותו רגע הארגון, במקרה הנידון סוני, איבד שליטה על מערכות ה-IT שלו.

כל ארגון צריך כספת

- קצת מפתיע שדבר כזה קורה לענקית כמו סוני.

"ממבט מבחוץ, זה נראה כאילו סוני הייתה מאוד רשלנית אך המציאות היא אחרת. רוב הארגונים השקיעו ומשקיעים באבטחת מידע מתוך תפיסת עולם שדוגלת בהגנה היקפית. סוני אינה שונה מחברות מסחריות גדולות אחרות או ממוסדות ממשלתיים. כמו בארגונים אחרים, לעובדים שלה יש אינטראקציה רבה עם העולם החיצון, והאינטראקציה הזאת מקלה על ההאקרים. בסופו של דבר, האקר שידפוק כמה פעמים על דלת או על חלון, ימצא חלון או דלת פתוחים וייכנס".

- עד לרגע זה, אין ודאות מוחלטת שצפון קוריאה היא זו שעומדת מאחורי הפריצה. מדוע קשה לאתר את מקור הפריצה?

"ראשית, לזמן שחולף מרגע הפריצה ועד שמגלים אותה יש משקל מהותי בתהליך הזיהוי, ולכן התעשייה שלנו צריכה לדאוג שהגילוי יהיה כמה שיותר מהיר. שנית, איתור ההאקר הוא משימה די קשה. במקרה של סוני, חוקרי FBI החלו להתחקות אחר העקבות הדיגיטליות של הפריצה, ממש כמו בפרק של התוכנית CSI, ואלה הובילו אותם בשלב זה לצפון קוריאה, בין היתר על סמך פריצות קודמות שמקורן ממדינה זו. באופן כללי, די קשה למצוא אקדח מעשן במקרה כזה. סין, לדוגמה, אוהבת לתקוף דרך שרתים מטייוואן כי היא שונאת את טייוואן".

מלחמות הסייבר הבלתי נגמרות הופכות לקשות יותר מאחר שמספר גדל והולך מההאקרים ממומנים על-ידי מדינות, למשל צפון קוריאה או סין במתקפות אחרות מהתקופה האחרונה. הם אינם עצמאיים, האקרים הפורצים לארגון כזה או אחר על דעת עצמם ממרתף ביתם האפרורי, בעיקר מתוך רצון לאתגר טכנולוגית את ענקיות האבטחה או פשוט לעצבן מישהו. להאקר הממומן בידי מדינה שמטרתה ריגול תעשייתי, צבאי או כלכלי יש החופש לנסות כל שיטת פריצה, ומכאן הסכנה הגדולה יותר.

"סייברארק מקשה על אותו האקר לעבור ממחשב למחשב, אך הפתרון שלה אינו מספק", אומר מוקדי, "כל ארגון צריך להצטייד בכמה שכבות של הגנה: צריך דלת, צריך מערכת אזעקה וצריך כספת. סייברארק היא הכספת".