רשתות חברתיות הן אולי מלת הבאזז הלוהטת בתחום המודיעין העסקי, אבל עבריין המידע מספר אחת בארגונים הוא עדיין המייל. סקר שערכה בשנה שעברה החברה האמריקאית לאבטחת מידע proofpoint בקרב 220 חברות בנות יותר מ-1,000 עובדים, העלה כי 43% מהחברות חקרו דליפה במייל של מידע רגיש או סודי.
הדואר האלקטרוני הוא במקרים רבים השער שדרכו נכנסים וירוסים, סוסים טרויאניים ושאר מזיקים למערכות הפנימיות של הארגון, ודולים משם מידע. העניין עלה לכותרות ב-2005, עם פרשת הסוס הטרויאני, שפגעה בכמה מהחברות הגדולות במשק. חלק מהנפגעים הכניסו את הסוס למחשבם דאז דרך המייל, אחרים בתקליטור. הסוס זקוק רק לפתח כניסה: ככל שחיינו המקצועיים והאישיים מתנהלים דרך הרשת, וככל שיותר ארגונים מפתחים רשתות פנימיות דמויות אינטרנט לשימוש עובדיהם - כך קל יותר לפרוץ למחשבים שלנו.
מבחינה טכנולוגית, כולנו די פגיעים ממילא: קל לכתוב וירוס שיעקוף את מערכות האבטחה הקיימות. נקודת התורפה האמיתית מצויה לא בתוכנה אלא בהארד דרייב האנושי. קל, כל כך קל, לשכנע אותנו לפתוח קובץ או לינק שיחדיר למחשב שלנו מרגל קטן.
ג'קי אלטל, מומחה לאבטחת מידע, עושה זאת באופן חוקי: עבודתו היא לחשוב כמו האקר ולפרוץ את המערכת של החברה שהזמינה אותו, ולחשוף את נקודות התורפה שלה. כדי לפרוץ למערכת של חברת תקשורת גדולה בישראל - יבואנים של מכשירי אלקטרוניקה - בנה אלטל דמות פיקטיבית, בעל חברה בשם מחשבים בכיף, שלה שלוש חנויות אלקטרוניקה, והעלה אתר שלה לרשת. אז התקשר לאחד מסוכני החברה ואמר שברצונו להציג בחנויותיו מערכות שהם מייבאים. "בשיחה סיפרתי שיש לי אתר חדש, וביקשתי ממנו להיכנס ולומר אם הוא נתקל בבעיות תקשורת. מסרתי לו שם משתמש וסיסמה שייתנו לו הרשאה לחלק הסודי של האתר: שלחתי לו מסר שאני סומך עליו עם המידע הכי סודי שלי. כשהוא לחץ על הלינק, רץ אצלו במערכת 'פריים נסתר' - תוכנה שהתקינה אצלי במחשב סביבה שאיפשרה לי לראות כל מה שהוא רואה במחשב שלו".
פרשת הסוס הטרויאני העלתה את המודעות לקלילות הבלתי נסבלת שבה ניתן לחדור למערכת מחשב. "החדירה לא היתה לחברות קטנות שלא יודעות מה זה אבטחת מידע", אומר אלטל. "אלה היו סלקום, קוקה קולה - חברות מכובדות עם מערכות מחשוב גדולות ועם מודעות גבוהה".
לא תמיד צריך אפילו לכתוב וירוס. עומר כהן, מומחה לאבטחת מידע בעל עסק דומה לזה של אלטל, ביקש להוכיח את פגיעות מערכת המחשוב של בנק גדול. מטרתו היתה להשתלט על חשבונות המייל של משתמשים בארגון, והוא לא טרח אפילו לפרוץ למחשבי החברה. הוא רק אסף כתובות מייל של עובדים, ולבסוף התקשר לתמיכה הטכנית של הארגון, וביקש לאפס שם משתמש וסיסמה. בתמיכה ענו לו ששירות כזה אפשר לבצע רק ממספר טלפון של החברה; אין בעיה, אמר, אני בדיוק בדרך לעבודה. הוא ניגש לפקידת הקבלה בלובי של הבנק, סיפר שקבע פגישה עם אחד העובדים וביקש להתקשר אליו. היא נתנה לו את הטלפון והתרחקה כדי לאפשר לו פרטיות, והוא התקשר לתמיכה, איפס את הסיסמאות ונכנס לחשבון המייל באין מפריע. "כל שנדרש הוא חיוך וקצת כריזמה", הוא אומר. "ואני גרמתי לפקידה לעזור לי מבלי שהיא בכלל הבינה שהיא מזיקה לארגון". לדבריו, "משתמש דביל מפחיד אותי יותר ממשתמש מרדן או ממורמר. הוא לא יבין אפילו שעשה טעות".
מחירו של וירוס מתחיל בכמה מאות דולרים, ומאמיר ככל שעולה רמת הייחודיות והחדשנות שלו. לצורכי מחקר, רכש אלטל מהאקר צ'כי סוס שלא זוהה על ידי אף מערכת אנטי וירוס, תמורת 900 יורו, לפני שש שנים. "תביאי בחשבון שלארגונים כאלה ואחרים המבקשים שיכתבו כלים המותאמים רק להם, שאי אפשר לקנות כמוצר מדף, יש תקציבים של עשרות או של מאות אלפי דולרים לעניין", מציינים ליאור ברש, סמנכ"ל טכנולוגיות אבטחת מידע בחברת ההיי-טק פלוטילה, וניר פסי, חוקר עבירות מחשב מסחריות.
המגמה העכשווית בתעשיית אבטחת המידע היא לציין שהחל מהשנה שעברה, נהפכו פשעי מחשב לרווחיים יותר מסחר בסמים, והגיעו להכנסות של 105 מיליארד דולר - אבל כפי שמגזין הטכנולוגיה "wired" מיהר לדווח, תולדת המספר הזה כנראה בציטוט לא מדויק של אשת ממשל אמריקאית, והוא אינו נתמך בנתונים רשמיים. אתר האינטרנט של ה-fbi מדבר על 336,655 פשעי אינטרנט שבוצעו בשנה שעברה, אך אינו מפרט כמה מהם היו קשורים לריגול עסקי. משטרת ישראל לא מסרה נתונים בתחום, ובכל מקרה רוב הפשעים הללו אינם מדווחים. נראה שרוב הקורבנות אפילו לא יודעים שבהקשת מקלדת סיפקו למתחרים שלהם מידע חושפני על חייהם ועל עבודתם.
מי שמבקש למצוא סוס טרויאני ברשת, ייתקל בחומה של סודיות ושל אנונימיות. "אין איזה חדר צ'אט בנענע שמלא בהאקרים", אומר כהן. "אם הם נפגשים, זה בשרתים ייעודיים, באופן אנונימי, והכל מוצפן. אדם שאינו מהתעשייה, הדרך היחידה שלו למצוא האקר היא דרך מישהו שמכיר. בישראל זה בכלל בלתי אפשרי - בארה"ב מספיק שפונים לחוקר פרטי, וכבר יש מישהו שמכיר מישהו שמכיר מישהו. פה התעשיה קטנה מאוד, ואם מישהו מחפש האקר, השמועה תתפשט מהר. יש ברשת הרבה אתרים או פורומים שמוכרים זהויות, כרטיסי אשראי או חשבונות paypal של אנשים. אפשר לקנות חבילה של 100-1,000 כרטיסי אשראי תמורת 5-10 דולר. את הדברים האלה עושים ילדים. אבל למצוא האקר מקצועני הרבה יותר קשה. זה כמו ההבדל בין מציאת בריון שירביץ למישהו עבורך, לבין מציאת רוצח שכיר מקצועי".
כצפוי, מדובר במגרש משחקים ללא גבולות גיאוגרפיים. אלטל מספר כי כשעבד בחברה גדולה לאבטחת מידע בישראל, קיבל הצעה מנציגים של ממשלה אירופית לכתוב להם סוס טרויאני. לפי אתר של חברת אבטחת מידע בשם 31.7% ,threatexpert.com מהווירוסים בעולם מגיעים דווקא מסין, 22.1% מרוסיה ורק 6.2% מארה"ב. לדברי ברש ופסי, "בתחום הזה אפשר למצוא את כולם: גופי טרור, פשע מאורגן, גופי ביטחון גדולים, ממשלות, ארגונים מוסדיים ופרטיים".
בשנים האחרונות, המקצוענים האלה מתאגדים במעין סטארט-אפים קטנים, עם מימון מהפשע המאורגן. "יש ממש התארגנויות ממומנות לביצוע התקפות", מספר עופר מאור, המנהל הטכנולוגי של חברת הקטיקס, המתמחה באיתור ובזיהוי פרצות במערכות מידע. "הם שוכרים אנשים ובונים מערכות בהשקעה של מאות אלפי דולרים. בארצות שבהן זה קורה, מדובר בדרך כלל בשילוב בין יכולות טכנולוגיות למצב כלכלי לא מזהיר ולאכיפה בעייתית". כדוגמה, הוא מביא את חברת הסטארט-אפ הישראלית בלו סקיוריטי, שהעלתה את חמתו של ספאמר רוסי מהגדולים בעולם בכך שפיתחה מנוע אנטי-ספאם יעיל. לפני ארבע שנים יזם הספאמר התקפה כה אגרסיבית על מחשבי החברה ואף על משתמשים שהשתמשו בתוכנה שלה, שהחברה נאלצה להתקפל ולהפסיק את פעילותה. "הספאמר שהתקיף אותם הוא אחד הספאמרים הגדולים בעולם. יודעים מה הכינוי האינטרנטי שלו. אין סיכוי שרשויות האכיפה הרוסיות לא יודעות מי הוא", אומר מאור, "אבל הן לא רוצות לעצור אותו".
אחת מנקודות התורפה הגדולות של ארגונים היא מערכות הרשת הפנימיות שהם משתמשים בהן לצורך עבודה ולהעברת מידע; אלה משלבות בין פגיעות גדולה לנגישות למידע רב. "כשארגון בונה מערכת ווב פנימית, הוא בדרך כלל קונה את התשתיות מספקים רציניים, אבל את הקוד הוא מפתח אצלו או בעזרת חברה למיקור חוץ", אומר מאור. "והוא לא נבדק לאבטחת מידע כמו שמיקרוסופט בודקת את המוצרים שלה". את המערכות האלה אפשר לפרוץ מבחוץ, אבל הכי קל לעשות זאת מאחד ממחשבי החברה. כמו תמיד, האלמנט הפגיע ביותר אינו הטכנולוגיה. "הייתי אצל לקוח שאמר שאצלו אי אפשר לחדור למחשבים כי כל העמדות ננעלות אוטומטית לאחר שתי דקות של חוסר שימוש, ואף אחד לא יוכל לבוא עם מחשב זר ולהתחבר אליהן", מספר מאור. "בעודנו מדברים, מישהו באחד המשרדים מכריז שיש לו יום הולדת והוא מזמין את כולם להרמת כוסית, ועשרות אנשים קמים מעמדותיהם ונעלמים. בערך שני שלישים השאירו מחשבים לא נעולים. אני זינקתי לאחד מהם, ותוך דקה הייתי בתוך מערכת המידע של הארגון".
פשעי מחשב נהפכו לרווחיים יותר מסחר בסמים
TheMarker
8.4.2010 / 9:10