"לא בטוח שמנגנון אבטחה של היום יאבטח משהו בעוד חמש שנים"

לדברי פרופ’ אלי ביהם, ראש מרכז המחקר לאבטחת סייבר בטכניון, מומחה לקריפטוגרפיה ואבטחה, "נדרש סוג של שינוי והתקדמות שתגרום לכך שגם מכשירים ישנים יעברו עדכון"

12/11/2018 15:46
פרופ’ אלי ביהם, ראש מרכז המחקר לאבטחת סייבר ע”ש הירושי פוג’יווארה בטכניון, מומחה לקריפטוגרפיה ואבטחה. צילום: ניב קנטור

"בתיקוני תוכנה ובאגים נדרש סוג של שינוי והתקדמות שתגרום לכך שגם מכשירים ישנים יעברו עדכון. יש צורך בשינוי צורת החשיבה כך שזה יתקיים", אמר פרופ’ אלי ביהם, ראש מרכז המחקר לאבטחת סייבר ע”ש הירושי פוג’יווארה בטכניון, מומחה לקריפטוגרפיה ואבטחה.

"אני לא יודע שעדכון אבטחה היום יהיה תקף לעוד חמש שנים, לא בטוח. למעשה, יש מדדים שמעידים על כך שזה לא המצב והשאלה היא מה עושים", הוסיף.

פרופ' ביהם הרצה בנושא "קריפטוגרפיה ואבטחה: מה פספסנו?" במסגרת הכנס השנתי של הלשכה לטכנולוגיות המידע בישראל. הכנס, בהפקת אנשים ומחשבים, נערך בשבוע שעבר באולם אירועים LAGO בראשון לציון. את הכנס, בהשתתפות יותר מאלף מומחי IT הנחו זיו מנדל, מנכ"ל ג'ון ברייס הדרכה ומטריקס גלובל ומוטי סדובסקי, מנהל מכירות אזורי באינפורמטיקה.

לדברי פרופ' ביהם, ישנה התקדמות בתחום האבטחה כיום, בעיקר בחברות גדולות, אלא שעדיין הרוב לא מעדכנים תוכנות אבטחה כפי שצריך.

פרופ' ביהם סיפר כי "נמצאה תקשורת לא מאובטחת במערכת הבלוטות' בפלאפון. מתברר שפספסו משהו קטן בתכנון הגנות נגד מתקפות שונות וכתוצאה מהפספסוס יכולנו להאזין לכל תקשורת בלוטות'. הודענו על כך לחברות ולארגון הבלוטות' העוסק בכך ואחרים, כמו יצרנים של אוזניות למכוניות המבוססות על בלוטות', מייצרי מכשירים וכל דבר שיש בו בלוטות'. ועדכנו אותם על כך. הם הגיבו והוציאו גרסה חדשה מעודכנת. אבל יש דברים שלא יעדכנו אותם, וכך אנו נשארים עם כמות אדירה של מכשירים לא מעודכנים שהם בעייתיים".

"הצרות של אז ממשיכות להתקיים גם היום"

"מתברר שלמרות שעברנו 15 שנה בטלפון, עדיין היום ניתן לדבר דור שני ולתקוף כמו לפני חמש 15 שנה. הצרות של אז עדיין ממשיכות להתקיים גם היום", הוסיף פרופ' ביהם.

"צריך לתכנן מערכות שניתן יהיה לעדכן. היצרן של אוזניה שמכר אותה לפני שנתיים, הרי לא יטרח להשקיע עבודה וכסף כדי לעדכן אותה. מה שיש היום לא עובד. זה קיים רק במערכות הפעלה של חברות ענק שמשקיעות בכך. בשנים האחרונות מישהו למשל ראה 95 Windows עובד? יש מקומות כאלו ושם אין כל עדכון אבטחה. אפילו מיקרוסופט לא עושה זאת", אמר.

"היום יש מצב בו ייתכן וקניתי אוטו שבו הכל ממוחשב. מנורות מדברות עם המנוע ומערכת האבטחה היא כזו שאם אחד הרכיבים עליה נדבק בוירוס כלשהו, גורם מסוים ברכב יוכל לשלח הודעות שמתחזות לדברים אחרים. כך, אם נדבק רכיב באוטו בוירוס כלשהו, רכיב אחד ידביק את השני וייתן לו הוראות כמו 'כבה מנוע', 'לחץ ברקס ימני בלבד', 'הדלק או כבה אורות' וכדומה. יש יכולת לאבטח זאת, השאלה היא האם הרכיבים שבאמת השתמשו בהם יתקנו את הבעיה ומעבר לכך – אם תהיה בעיה באוטו שלי ואחליף אותו עוד 10 שנים, אף אחד לא יטרח לטפל בכך, וזה מאוד מטריד".

הוא סיכם באומרו כי "צריך לדאוג שכל המערכות יהיו ניתנות לתיקון ולבדיקה שמישהו יטרח לתקן את זה בעתיד. אני לא חושב שהתשתית שיש היום יכולה ומסוגלת לעשות זאת, כנראה מסיבות כלכליות, אבל זה כבר מחוץ לאזור שאני מתמחה בו".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים