ברוכים הבאים לחדר המזוהם של סימנטק

הנורמנים, אשר שמם נגזר מכינוי ל"אנשי הצפון", היו פולשים סקנדינבים, במיוחד ויקינגים-דנים, אשר במהלך המאה ה-12 פלשו לאי האירי ולבירתו, והצליחו להשתלט עליו. היום, כשרוב המלחמות הפיזיות כבר לא נערכות כל כך מערבה ביבשת הישנה, צריכים בדבלין להתמודד עם פולשים שונים לגמרי, אבל לא פחות מסוכנים.

מרכז שירות הלקוחות של סימנטק (Symantec) לבריטניה ולאירלנד שוכן בפאתי הבירה האירית, ובאחד האגפים בבניין של ענקית האבטחה, מנסים אנשי החברה להתמודד מול "הרעים" החדשים – וירוסים, תולעים ושאר נוזקות. שליח אנשים ומחשבים סייר בשבוע שעבר במרכז של ענקית אבטחת המידע, Symantec Security Response Centre, וחזר עם כמה תובנות מעניינות.

"למרות שמרכז התגובה נמצא באותו בניין, האגף הזה, בו אנו מנתחים נוזקות – נפרד ממנו לחלוטין", אמרה אורלה קוקס, ממנהלות מרכז התגובה. לדבריה, הבידוד מתבטא במערכות תקשורת ומיחשוב נפרדות, כמו גם היעדר יכולת ליצור תקשורת אינטרנט אלחוטית. "לא סתם האגף מכונה אצלנו 'החדר המזוהם', בהשאלה מעולם בתי החולים. פה אנו יכולים לטפל בנוזקות, לחקור אותן לעומק, בלא חשש שמשהו מהפעולות שנעשה יפגע בשאר מחשבי החברה ובלקוחותיה", אמרה.

לדבריה, "מרכז התגובה שלנו הוא קו החזית מול הרעים. פה אנו אחראים לזיהוי, גילוי, ניתוח ויצירת תגובת-נגד לכל הסוגים האפשריים של המתקפות". קוקס עובדת בענקית האבטחה 16 שנים, והייתה אחראית לניתוח של כמה מהנוזקות המפורסמות, ביניהן סטוקסנט (Stuxnet) וקונפיקר (Conficker). מרכז התגובה באירלנד הוא אחד משלושה בעולם של החברה, ופועל לצד שני מרכזים דומים, בארה"ב וביפן. המרכז מונה 70 חוקרים, ואף שהדבר לא צוין, יש להניח כי חלקם הם האקרים לשעבר ש"חצו את הקווים", ועברו לעבוד עם הטובים. לדברי קוקס, "במרכז עושים שני דברים. האחד, מפיקים תובנות ובינה מודיעינית על כלל האיומים, והשני – נותנים מענה להם, משמע מספקים יכולת תגובה".

היא ציינה כי כיום, בניגוד לעבר, "הלקוחות רוצים לדעת לא רק את מהות האיומים ואת הדרך להתגונן מפניהם – אלא גם את זהות התוקפים. מדובר בסוג שונה של מחקר, וגם אותו אנו מספקים. הדבר קשה לעיתים כי התוקפים ברובם לא נוטים להזדהות, ומשתמשים בטכניקות שונות של הסוואה, כגון שימוש בשרתים ממדינות שונות, או שימוש במחשבי זומבי (מחשבים שהשתלטו עליהם מרחוק, בלא ידיעת בעליהם)".

על בסיס התובנות המופקות מהחקר של הנוזקות, מנפיקה ענקית אבטחת המידע את דו"ח האיומים השנתי – ISTR (ר"ת Internet Security Threat Report) שלה, זה 19 שנים. לדברי פול ווד, מחברו של הדו"ח, "מה שהפתיע אותנו הוא שנולדה אצל הפושעים הקיברנטיים למיניהם תכונה חדשה – סבלנות. הם הפנימו כי התועלת הכספית שתנבע להם ממתקפת ענק, Mega breach, או פוטנציאל הנזק ממתקפה כזו, הם כמו ביצוע של 50 מתקפות 'קטנות', ולכן היה כזה גידול בהיקף מתקפות הענק בשנה החולפת". לדבריו, המדובר "בשינוי התנהגותי משמעותי מבחינת עברייני הסייבר. הם נערכים לביצוע כל מתקפת ענק במשך חודשים. הם מבינים כי מתקפות אלה עדיפות מבחינת הערך הכספי של המידע שייגנב".

מענה תוך פחות משעה
על פי קוקס, "ברגע שאנו מבחינים בהתפתחות של טכניקה חדשה של איומים, אנו מנתחים אותה לעומק וממהרים לעדכן את ההגנות שלנו. אם המדובר באיום רציני, העדכון ייעשה בתוך פחות משעה. במקביל, יש לנו יעד לא פחות חשוב והוא לצמצם את כמות התראות השווא. המטרה היא לקבוע בתוך דקות מועטות אם קובץ כלשהו מכיל חומר זדוני או לא, ואם המענה הוא חיובי – לנתח אותו במשך שעות או ימים. אנו עסוקים רבות בהתלבטויות מה 'מעניין' ומה לא. על סטוקסנט, למשל, עבדנו ששה חודשים".

בנוסף לחקר הנוזקות לכשעצמן, אמרה קוקס, "עלינו להבין את ההקשר שלהן. עלינו להבין האם חל שינוי במפת האיומים, מהן המגמות הכלליות, מעבר לגילוי נוזקה חדשה ספציפית זו או אחרת. אנו מנסים למצוא קשרים והקשרים בין תוקפים ובין תוקפים – ובין תוקפים ובין נוזקות. מיפוי שכזה מייצר יכולות הגנה טובות יותר".

פעמים רבות, אמרה קוקס, "המוצרים שלנו, המותקנים אצל הלקוחות, משמשם כמעין 'מרגלים' המדווחים לנו על איומים חדשים או על תוקפים שלא ידענו עליהם". היא ציינה כי מקורות נוספים למידע על הנוזקות הם "מלכודות דבש" אותם החוקרים יוצרים באופן פעיל ותדיר, ניתוח תעבורת מיילים, וכן מודיעין קוד פתוח, OSINT – מידע מודיעיני שנאסף ממקורות זמינים לציבור. יצויין כי המינוח אינו קשור לקוד פתוח של תוכנה. עוד מקורות, לדברי קוקס, הם רשויות אכיפת חוק בעולם וגופי אבטחת מידע למיניהם, אשר עימם ענקית האבטחה עובדת בשיתוף פעולה.

במרכז לחקר הנוזקות, אמרה קוקס, "בנינו שלוש מערכות – RATS, SPANC ו-Pokemon. המערכות הללו מאפשרות לנו להבין טוב יותר ובאופן מפורט ומעמיק יותר את הנוזקות והסביבה שלהן. המערכות 'מקליטות' את הנוזקות ומספקות לנו תמונת מצב על ההקשר שלהן. המערכות המנתחות עונות על שלוש שאלות: מיהו התוקף, משמע זיהויו, למה הוא תקף ומתי. כך אנו מקבלים את היכולת לקשר בין המתקפות ובין התוקפים. זיהוי התוקפים הוא החלק המאתגר ביותר". לשאלת אנשים ומחשבים השיבה קוקס כי "רוב המתקפות נועדו לצורך גניבת קניין רוחני, ובעקיפין – ליצירת כסף. המניע השני למתקפה הוא ריגול תעשייתי". על פי קוקס, "אנו משתפים פעולה עם המשטרה בשני תנאים – שיש אישור של הלקוח שהותקף לעשות זאת, ושאנו יודעים בוודאות את זהות התוקפים. מדובר במצב נדיר. לרוב אנו יודעים רק 'בערך' מיהו או מיהם התוקפים – ופועלים ליצירת יכולת מניעה והתגוננות".

על פי ווד, כמות המתקפות נגד אתרים צמחה משמעותית בשנה החולפת – כמות המתקפות היומית הממוצעת על אתרים עמדה על 568,700 – נתון המשקף גידול של 23% לעומת 464,100 מתקפות ב-2012. מדי יום, ציין ווד, הם גילו 1.6 מיליון וריאציות חדשות על נוזקות קיימות. ווד אמר כי הם מחלקים את התוקפים והמתקפות לסוגים, על פי "מגזרים". כך, למשל, אמר, המתקפות הממוקדות מונעות בראש וראשונה מהרצון לרגל, ריגול תעשייתי או ריגול בחסות מדינה, ורק לאחר מכן בא המניע של הרצון בחבלה. ואילו בדירוג של המתקפות שהניבו לתוקפים הכי הרבה כסף, מדורגות במקום הראשון מתקפות של משלוח סוסים טרויאניים על בנקים, לאחריהן מתקפות מסוג חטיפת אתרים לצורך כופר ובמקום השלישי – מתקפות ClickJacking. אלה, ציין, הן וריאציה על טכניקה של פישינג, שמאפשרת לתוקף לגרום לנתקף לבצע פעולות שונות, לרוב בלא ידיעתו, דוגמת הזמנת מוצר או משחק.

סיפורו של האקר
קוקס תיארה בפני העיתונאים את סיפור המעקב אחר אחד ההאקרים שהסבו לא מעט נזק בשנים האחרונות. ההאקר, ארמנד ארתורוביץ' אווקימיאן, בן 25 מאבחזיה, החל לפעול עוד בהיותו נער, ב-2007. ב-2008 החל לצרוך נוזקות לצורך גניבת מידע, ופרץ לאתרים באוסטרליה ובארה"ב. הוא הגביר את פעילותו הפלילית ופתח עם חברים סוכנות נסיעות, שלצד מכירת כרטיסים, גם מכרה מידע גנוב בשוק השחור. לדברי קוקס, בתחילת דרכו הונע אווקימיאן ממניעים פוליטיים-לאומניים, אך עד מהרה נשבה בקסמו של הכסף הקל שניתן לעשות ברשת. במרץ 2013 הוא נחשף, ואז ירד למחתרת. "המשכנו לעקוב אחריו", אמרה קוקס וציינה כי בחלוף שבועות ספורים הוא פתח אתר חדש לממכר מידע, ואז נחשף שוב. לדברי קוקס, ייתכן כי הוא שימש כ"קוף", משמע הוא זה שנחשף ושילם את המחיר בעבור פושעים גדולים ממנו. בכל מקרה, אמרה, "הוא פושע טיפוסי, עובד במאורגן, עם חבורה של 8-10 אנשים, ומרוויח עשרות אלפי דולרים בחודש, סכום עתק ברוסיה". קוקס סיימה באומרה כי על סמך הכלים שגילו חוקרי סימנטק שבהם אווקימיאן וחבריו השתמשו, הם הסיקו כי החבורה ביצעה פריצות רבות וגדולות לאתרים רבים וגנבה מידע רב, אותו היוונה בשוק השחור לכסף.

סיור העיתונאים הסתיים בהדגמות חיות של פריצות למחשבים ניידים, לטלפונים חכמים וכניסה לאתרים של האקרים בשוק השחור של המידע. עוד נכנסו החוקרים לאתרים – אף הם של האקרים – בהם מפורטים נתונים סטטיסטיים על היקף השימוש בכל כלי וכלי פריצה, מידת יעילותו, היקף הפגיעה שלהם, כמות המסמכים שנגנבו, אופי ופירוט המסמכים הגנובים, שוויים ועוד.

הכותב היה שליח אנשים ומחשבים באירלנד