"אם ישראל תגיב, האקרים מתקדמים יותר יתקפו"
מומחי אבטחת מידע משוכנעים כי ההתרגשות ממתקפת ההאקרים בשבועיים האחרונים היתה מוגזמת. למרות זאת, הם מביעים חשש מהסלמה קרובה. לדבריהם, פעולת נגד יזומה של ישראל עלולה להוליד מתקפת תגמול רחבה. על המוקד: מידע ביטחוני קריטי ותוכניות עסקיות של חברות
מאז החל רצף הפרסומים על התקפות ההאקרים נגד אתרים ישראליים לפני כשבועיים עמדה במוקד הסיקור התקשורתי דמות אחת: האקר סעודי־מקסיקני לכאורה בשם OxOmar, הנתפס כמוביל המתקפה המקוונת. עם זאת, מומחי אבטחה שבחנו לעומק את פעילותו של ההאקר - ואף יצרו עמו קשר בימים האחרונים - מנסים להרגיע את הרוחות בכל הקשור ליכולותיו. בשיחות עם "כלכליסט" מסבירים כמה מהם כי OxOmar אינו אשף מחשבים רב־יכולות אלא לכל היותר "גאון תקשורתי".
"שוחחנו איתו רבות בסקייפ באחרונה, ואפשר היה להבין במי מדובר מבחינת היכולות, המתודולוגיה והמוטיבציה", אומר ל"כלכליסט" יפתח עמית, סמנכ"ל ייעוץ בחברת Security Art, המספקת שירותי ייעוץ בתחום אבטחת המידע לחברות ולארגונים. "רמת המומחיות שלו היא בסיסית. דווקא הניסיונות לרדוף אותו ולזהות מיהו מוסיפים שמן למדורה ונותנים לו לגיטימציה נוספת. הפונקציה העיקרית שלו כרגע היא הכוונה, הסתה, מתן רעיונות להאקרים אחרים. הוא אמר 'בואו ננסה להפיל אתרים ישראליים', ולשם כך פרסם רשימה ארוכה של אתרים כחלק ממניפסט ארוך. אחרי יומיים שניים נפגעו, והוא יצא מלך".
"שיחקו לידי ההאקר"
לדברי עמית, כוחו של OxOmar נמצא בתקשורת. הוא מסביר כי ההאקר הסעודי־מקסיקני יודע לנצל בצורה מוצלחת את כלי התקשורת להאדרת שמו, וגורם להאקרים נוספים להתקבץ סביבו לכאורה. "הסכנה האמיתית ממנו נוגעת להתחברות לקבוצות האקרים נוספות. אין לו יכולות פריצה מתקדמות, אבל יש לו יכולת לגייס אנשים עם יכולות, וזה משהו שהתקשורת יצרה בזכות הקידום שלו. זה הגיע למצב שבו אנחנו גולשים לפורומים של האקרים מוסלמים שיעים, שבעבר לגלגו על קבוצות של האקרים סונים המקושרות ל־OxOmar, והיום הם מביעים עניין בפעילות שלו".
עמית טוען, כי מניתוח המתקפות השונות שנעשו בשבועיים האחרונים, ניתן לזהות מגמה קבועה של הסלמה. "OxOmar התחיל בפרסום מידע על כרטיסי אשראי שכבר דלף לרשת עוד קודם לכן. מי שקצת מכיר את התחום ידע כי המידע הזה היה בר־השגה באפס מאמץ", הוא מסביר. "משם הוא המשיך בהדלפות של כתובות IP לעמודי כניסה למערכות בקרה ושליטה (SCADA) ישראליות, שהתבררו כלא נכונות והושגו כנראה בחיפושי גוגל. בנוסף, נחשפו כתובות אימייל בסיומות gov.il וסיסמאות, וכן נתונים שמבוססים על דליפת מידע גדולה יותר ולא קשורה מחברה אמריקאית".
מתקפות מניעת השירות (DdoS בשפה מקצועית) נגד אתרים ישראליים שלשום, אומר עמית, מסמלות שלב חדש ואקטיבי יותר בתרחיש ההסלמה: "זה לא משהו חדש. אתרים מתמודדים עם התקפות כאלה ברמה יומיומית. אפשר בקלות לבצע אותן, אך גם להגן מפניהן. עם זאת, מדובר בהסלמה כי אנחנו רואים פה משהו אקטיבי. אם עד עכשיו OxOmar הוביל מיחזור בלבד - לקח מידע שכבר דלף, עטף אותו מחדש והכריז על תקיפה והדלפה חדשה - שלשום ראינו משהו יזום שנעשה בתגובה להתרחשויות".
מה הוביל לשינוי הזה?
עמית חושש מפני מצב שבו ישראל תנקוט פעולת נקם יזומה, שעלולה להביא להסלמה קשה. "אם תהיה תגובה ממוקדת מצד המדינה, למשל אם גורמים רשמיים ינסו לתקוף ולהפיל פורום או אתר בעייתי - אז ייכנסו לפעילות קבוצות נוספות, מקצועיות יותר שעד עכשיו ישבו על הגדר. קבוצות שמחוברות ליכולות מתקדמות ויודעות למקד התקפות ומאמצים", אומר עמית.
מה תהיה המשמעות המעשית של הסלמה כזו עבור ישראל?
"גורמים מתוחכמים ינסו לתקוף מערכות פנימיות של חברות מסחריות או גופים ביטחוניים, בניסיון להוציא מהן מידע משמעותי. אמנם תמיד מתקיימות תקיפות מסוג זה, אך הן מעטות והן נעשות רק בהזמנה של גורם מסחרי או ביטחוני יריב שמוכן לשלם בעבורן ולא מפיץ את המידע הלאה. בנוסף לכך, אנחנו נראה כניסה של קבוצות האקרים בעלות יכולות שיבצעו יותר תקיפות מורכבות, וגם יפיצו את המידע ברשת. מידע כזה עלול להיות ביטחוני קריטי או תוכניות עסקיות של חברה מסחרית גדולה".
"קבוצה של ילדים"
אלטל מתייחס למתקפת מניעת השירות על אתר הבורסה בתל אביב ועל אל על כ"התקפה פחות רצינית". לדבריו, "מדובר בקבוצה של ילדים. אלו אנשים שברמה הטכנולוגית כלל לא מבינים מה הם עושים וכיצד הדבר מתבצע. רק חשוב להם לקבל את הכבוד המגיע להם. זאת הדרגה הנמוכה ביותר של ההאקרים".
"יש הזדמנות מצוינת לתקן את כל הבעיות שצריכות ויכולות להיפתר בקלות באמצעות הטכנולוגיות המתאימות, מה גם שהנזק הממשי שנגרם עד כה היה שולי", אומר מנכ"ל חברת dome9 זהר אלון. "לצערי, יש כלים רבים להגנה, אך אתרים בוחרים שלא להשתמש בפתרונות כאלו או אחרים בעיקר בגלל חסכנות וגישה של 'יהיה בסדר'".
"צריך לעשות יותר"
מי שהתבטא אתמול גם כן בעניין התקפות ההאקרים האחרונות הוא נשיא ומנכ"ל חברת צ'ק פוינט גיל שויד. במהלך מסיבת העיתונאים לפרסום דו"חות החברה, העוסקת בפיתוח תוכנה לאבטחת מידע, הוא אמר כי "התקפות ההאקרים מלמדות שצריך לעשות הרבה יותר".
הוא סיפר כי צ'ק פוינט ערכה אנליזות להתקפות שנערכו, שהראו כי "אם הארגונים שנפגעו היו משתמשים באמצעי אבטחת מידע - הם היו יכולים למנוע את ההתקפות. גם אם קונים הרבה מוצרי אבטחת מידע, לפעמים זה לא מספיק וצריך לדעת איך להשתמש בהם".
בהתקפת מניעת השירות האקרים משתמשים במספר רב של מחשבים - חלקם תחת שליטה מרחוק - במטרה להפציץ אתר מסוים בבקשות מידע. הדבר מביא לקריסתו, אבל אינו פוגע באתר או במערכות המידע השונות. לדברי שויד, יותר ממחצית המחשבים שתקפו שלשום את הבנקים ושאר המוסדות היו מחשבים מישראל. "ההאקרים השתמשו במחשבים מהארץ דרך תוכנות זדוניות כדי לתקוף אתרים ישראליים. המחשבים בישראל מופעלים על ידי מחשבים ממדינות זרות", הסביר.
