אז חשבתם שאתם מוגנים: איך ההאקרים יכולים לחדור אליכם למשרד

אם מאמינים לסרטים הוליוודיים, לפרוץ למחשבים או לרשתות מחשוב זה הדבר הקל בעולם. ההאקר רק יושב מול המקלדת, מקליד כמה פקודות ומיד מוצא עצמו בתוך מאגר נתונים שמוגדר כסודי ביותר. במציאות, כמובן, מדובר במשימה הרבה יותר מורכבת: האקר שרוצה לפרוץ לרשת מחשבים מוגנת לא יכול לעשות זאת בשתי דקות, ולא תמיד בלי לצאת מהבית. עליו לאסוף מודיעין, לתכנן, לצאת לשטח ולדבר עם אנשים. האקר אמיתי הוא למעשה בלש, מרגל וגם קצת שחקן.

בכתבה זו, בשיתוף מומחי חברת Security Art ובהם המנכ"ל יורם גולנדסקי והסמנכ"ל יפתח עמית, אנו מציגים את עבודתם האמיתית של האקרים, ומתארים איך מתבצעת פריצה אמיתית לרשת מחשוב מאובטחת. אנשי סקיוריטי ארט הם האקרים להשכיר - פורצי מחשבים מקצועיים שנשכרים על ידי חברות כדי לחדור לרשתות שלהן עצמן ולחשוף את כשלי האבטחה שלהן.

התרחישים שבנינו בעזרתם מבוססים בחלקם על פריצות אמיתיות שביצעו אנשי החברה (שמות החברות הנפרצות הושמטו מטעמי חיסיון). אחרים הם תרחישי היתכנות, כאלו שמבוססים על הידע של מומחי Security Art לגבי רשתות מחשוב והאמצעים שבהם נעשה שימוש, ויכולתם המוכחת לתמרן אותם.

המידע המובא אינו בגדר חשיפת סודות אבטחה או מתן כלים להאקרים. הוא כבר פורסם והוצג בכנסים מקצועיים, נחשב לנחלת ידע של מומחי אבטחה והאקרים כאחד, ובכל מקרה אינו מפורט מספיק כדי לשמש כמדריך פריצה. דבר אחד המדריך כן ממחיש: עם מספיק ידע, נחישות ותחכום, אין רשת מחשבים או מאגר מידע שחסינים לחלוטין מפריצת האקרים. אפילו מאגר ביומטרי שבו הושקעו מיליונים רבים של שקלים.

יפתח עמית מסקיוריטי ארט צילום: עמית שעל

פיתוי באמצעות אתר מזויף

היעד: חדירה לרשת תקשורת פנימית של חברה, שאינה מנותקת מהרשת החיצונית.

1. איסוף המודיעין: במשך שבועות מחפש התוקף מידע רלבנטי על החברה ועל עובדיה - איתור עובדים דרך רשתות חברתיות כמו לינקדאין ופייסבוק, ובניית פרופילים רחבים ככל האפשר על העובדים (מכתובת אימייל ועד תחביבים). כך ניתן לראות, למשל, שבתקופה הקרובה יתקיים כנס מקצועי בהשתתפות חלק מעובדי החברה.

2. הפיתיון: הפורץ בונה אתר הזהה לאתר הכנס, שיושב בכתובת הדומה מאוד לזו של הכנס (למשל, acb.org במקום abc.org). לעובדים שזוהו כמשתתפים בכנס נשלח אימייל מאותו דומיין, שמזמין אותם להיכנס לאתר הכנס, אך בפועל מפנה לאתר המזויף.

3. הנפילה בפח: כמה דקות אחרי שליחת האימייל מקליק אחד העובדים על הקישור, ונכנס לאתר הפיתיון. באתר המזויף מוטמע קוד זדוני שמופעל מיד עם הכניסה אליו, וסורק את המחשב העובד בחיפוש אחר נקודות חולשה.

4. החדירה: הקוד מזהה פרצה במחשב, ומנצל אותה כדי להחדיר אליו סוס טרויאני. זה מספק לתוקף שליטה מלאה במחשב, בלי ידיעתו של המשתמש.

5. שאיבת המידע: התוקף יכול לראות את פעולות המשתמש, לעקוב אחר הקשות המקלדת, לזכות בגישה מלאה למחשב ולרשת שהוא מחובר אליה. מידע זה כולל מכרזים, תוכניות פיתוח, מסמכים אסטרטגיים, תקשורת עסקית חסויה עם לקוחות ואפילו מפתחות הצפנה וסיסמאות שמאפשרים גישה גם למידע מוצפן.

6. הרחבת הפרצה: התוקף נהנה מאותה גישה של העובד לרשת הפנימית של הארגון – מערכות פיננסיות, מערכות תפעול פנימיות, שרתי קבצים. גם אם מדובר בעובד עם גישה מוגבלת, התוקף יכול למנף את הגישה שלו כדי להגיע למשאבים חסויים, למשל באמצעת חדירה לשרת המרכזי של הארגון.

כיצד למנוע את הפריצה: על החברה להצטייד באמצעים טכנולוגיים מתקדמים יותר לסינון תכנים והפרדה פנימית ברשת; חינוך ותדרוך העובדים לגלישה חכמה וזהירה יותר ברשת; מעקב עצמי אחרי הפרופיל המודיעיני של החברה.

בילוש באמצעות הסמארטפון

היעד: ניצול היכולות המיוחדות של המכשירים החכמים, או מקרים שבהם מערכות החברה עצמן מוגנות בצורה טובה.

1. איסוף המודיעין: ראשית יש לזהות באילו מכשירים משתמשת החברה, ואת העובדים שמחזיקים במכשיר עם כתובות האימייל שלהם, תוך התמקדות בכאלה עם גישה לאימייל הארגוני. לאחר מכן יש לאתר עובד שנמצא בנסיעה, כדי לוודא שיפתח את האימייל שיישלח אליו דרך הסמארטפון.

זהירות, ריגול דרך הסמארטפון צילום: בלומברג

2. המלכודת: לעובד נשלח אימייל הכולל קובץ PDF, שעם פתיחתו מריץ קובץ זדוני על המכשיר. הקוד רץ באופן קבוע ומאפשר מיפוי אוטומטי של רשתות שאליהן מחובר הסמארטפון. בנוסף, הוא מספק גישה מלאה לכל המידע שמאוחסן על הטלפון החכם וגישה למאפיינים הייחודיים למכשיר כמו שירותי מיקום, הפעלת מיקרופון והפעלת מצלמה ושידור וידיאו או תמונה.

3. הריגול: שירות המיקום מאפשר לתוקף לדעת היכן המכשיר נמצא, ולהפעיל את המיקרופון והמצלמה כאשר הוא בתוך משרדי החברה. יומן הפגישות מאפשר לו לדעת מתי יש ישיבות חשובות, ולהפעיל את אמצעי הריגול האלו במהלכן. התוצאה: גישה למידע מסווג ומעניין מאוד, שכולל שיחות אישיות ומקצועיות, שייתכן שאינו קיים ברשת הארגונית.

4. הרשת של כולם: אם העובד מחבר את הסמארטפון ל־WiFi הארגוני, אפשר באמצעות חיבור זה לחדור לרשת הפנימית של הארגון, לעקוף בקלות את כל ההגנות של הרשת ולשאוב ממנה מידע בלי הגבלה. גם אם הרשת הפנימית נפרדת מחיבור ה־WiFi עדיין מדובר בגורם רב־עוצמה, שכן אם מחשבים אחרים מחוברים לרשת האלחוטית אפשר באופן זה לחדור אליהם ולתקוף אותם (למשל, בעת פגישה בחדר ישיבות שאליה מביאים העובדים את מחשביהם הניידים). מסוכן עוד יותר: אם העובד הולך לחברות אחרות ומתחבר ל־WiFi שלהן עם הסמארטפון, גם הן יהיו חשופות לתוקף.

כיצד למנוע את הפריצה: ניתן לספק לעובדים סמארטפונים שהחברה עצמה מאבטחת או להתקין על מכשירי העובדים תוכנת אבטחה מתקדמת. בנוסף, יש לנקוט גישה פרואקטיבית ולנטר באופן קבוע את הרשת הפנימית.

החדרת תוכנת ריגול בעזרת כונן נייד

היעד: רשת מידע פנימית של ארגון ביטחוני, המופרדת פיזית מהרשת החיצונית

1. איסוף המודיעין: בדומה לשלב הראשון בתרחיש הקודם. במקרה זה מדובר בחדירה לארגון שמפעיל כמה רשתות פנימיות נפרדות במיקומים פיזיים שונים, והמטרה היא להבין איפה נמצא המידע המבוקש

לצורך כך יש לבצע פעילות איסוף מידע ציבורי ובניית פרופיל של עובדים ותפקידיהם, מיקומי משרדים ופעילויות הפיתוח שנעשות בהם. לפי רקע מקצועי של עובד שמפורסם באתר לינקדאין אפשר, למשל, לשער על איזה מוצר הוא עובד, ושירותי מיקום כמו פורסקוור מאפשרים לדעת היכן נמצא המשרד, ולפיכך גם הרשת הפנימית.

בחדירה ספציפית כזו שביצעו אנשי סקיוריטי ארט, בוצעה שיחה טלפונית ישירה למקום שאליו רצתה החברה לחדור. כדי לאמת את פרטי העובד התחזה התוקף לעובד אחר בחברה ("הכי קל להגיד שאתה מהשיווק, כי אז יש לך תירוץ טוב למה אתה לא מבין כלום"), דיבר עם ראש צוות פיתוח ואישר את הנתונים. בנוסף, הצליח התוקף לזהות שבמקום יש רשת טלפוניה המבוססת על רשת האינטרנט, שיכולה לשמש להוצאת מידע.

2. ההונאה: התוקף מגיע למרכז הפיתוח עם כונן USB נייד ממותג בלוגו של ספק שעובד עם החברה. הוא מוסר אותו לפקידת הקבלה ואומר: "מצאתי את זה כאן בחוץ, נראה לי שזה נפל למישהו, בואי נכניס, נראה של מי זה". הפקידה, שאינה חושדת בדבר, מכניסה את הכונן למחשב ובודקת את הקבצים שנשמרו עליו. אפשרויות נוספות לביצוע החדירה: להשאיר את הכונן הנייד בפינת קפה, או למסור לעובד שיוצא ממכונית.

"נכניס את זה למחשב, נראה של מי זה" איור: יונתן וקסמן

3. ההדבקה: ברגע שהכונן הנייד מוכנס למחשב, מוחדר למערכת הפנימית קוד זדוני שפועל אוטומטית. הקוד ממפה את הרשת, מאתר את המידע הרלבנטי, ומקודד אותו לצלילים.

4. השידור: הקוד מחפש שלוחות VoIP, מתחזה לטלפון, מוציא שיחה לתא קולי של התוקף, ו"משמיע" את המידע שקידד. כעת יכול התוקף להוריד את המידע, להמיר אותו בחזרה לקוד בינארי ולקרוא את המידע.

5. העברת ההוראות: התוקף יכול ליצור תוכנה זדונית המתקשרת למערכת שיחות ועידה ונשאר מחובר אליה בצורה קבועה. במקרה זה, יכול התוקף להצטרף לשיחת הוועידה בכל עת ולמסור לתוכנה הוראות פשוטות באמצעות הטונים שנשמעים עם לחיצה על אחד ממקשי החיוג.

כיצד למנוע את הפריצה: על החברה לחסום את האפשרות לחבר התקנים חיצוניים למחשבי הארגון; ניטור תקשורת ופעילויות חריגות ברשת הפנימית.

ניתוק החשמל בערים שלמות

היעד: פגיעה בתשתית החשמל באזורים נרחבים, באמצעות שליטה על דיווחי מונים חכמים שנעזרים בתקשורת סלולרית.

1. איסוף המודיעין: כיום תחום השימוש במונים חכמים נמצא בפיילוט שבו מעורבים כמה ספקים. התוקף אוסף מודיעין על הספקים שאיתם עובדת החברה, ומנסה לאתר חולשות במוצרים השונים שבהם נעשה שימוש.

2. גניבת המידע: התוקף משתמש במכשיר שפותח במיוחד כדי להקים תא סלולרי המתחזה לכזה של חברת סלולר לגיטימית, וכך לגרום למונה לבטוח בו ולשלוח את הנתונים דרכו. כעת יכול התוקף לזכות בגישה מלאה לנתונים שנאספו מהמונים החכמים, ואף לשנות אותם לפני שהוא שולח אותם הלאה למרכז הבקרה של חברת החשמל.

3. הפגיעה בתשתית: בעזרת המידע שאסף יכול התוקף לגרום נזק למערכות הייצור: לדווח על עומס רב או צריכה נמוכה מזו שיש בפועל, ועל ידי כך להשפיע על ייצור החשמל ולגרום להפסקות חשמל נרחבות.

כיצד למנוע את הפריצה: ניטור נקודות קריטיות במערכת המונים החכמים, וביצוע בקרות כפולות על כל המידע שעובר במערכת והפעולות המבוצעות.