ניר גייסט, מייסד ומנכ"ל ניוטרון, סיים להילחם בסטוקסנט ועובר להגן על שאר העולם

"נדרש לתת מענה לאיום הבלתי ידוע. זו הדרך היחידה להתגונן כראוי מפני מתקפות סייבר ממוקדות ורחבות היקף", כך אומר בראיון לאנשים ומחשבים ניר גייסט, מייסד ומנכ"ל ניוטרון (Nyotron).

גייסט רק בן 25 ועומד בראש החברה אותה הקים ב-2008. יש לו יעד יומרני משהו: "אני רוצה לשנות את הדיסק אצל מנהלי אבטחת המידע. אני רוצה לחולל מהפכה בעולם האבטחה על ידי שינוי פרדיגמה. לכן הקמתי את החברה: לתת מענה מקיף לבעיה שממנה סובלים כל הארגונים – חוסר היכולת שלהם להתגונן מפני איום שעליו הם לא יודעים דבר".

יחד עם אנשי צוותו פיתח גייסט תוכנה שאמורה לענות בדיוק על צורך זה. במהלך ספק מחייך וקורץ ספק שיווקי, הוא כינה את המוצר מבוסס התוכנה פרנואיד (Paranoid). בכך הוא מתייחס לפסוק בספר משלי: "אַשְׁרֵי אָדָם מְפַחֵד תָּמִיד". אלא שבתנ"ך, המאושר הוא מי שמפחד מאלוהים, ואילו גייסט רוצה לתת מענה לכל איום – ותמיד.

"אנחנו רוצים לתת מענה לנכסי הארגון עצמם, לכל מידע, שמצוי על כל מחשב, טלפון חכם ושרת בארגון, ולא לספק פתרון רשתי", הדגיש. "אנחנו לא מספקים פתרון סטטיסטי, לא נותנים פתרון 'לומד' – אלא פתרון מוחלט, גנרי ומדויק".

לצד ניוטרון פועלים סטארט-אפים אחרים בתחום זה, של הגנה מפני מתקפות סייבר שהמאפיין אותן הוא בניסיון להגן מפני הבלתי ידוע. "חברות אחרות", מסביר גייסט, "עושות ניתוח של Big Data: הן יוצרות פרופיל התנהגות של הארגון ומשתמשיו, ועל בסיס זה קובעות מה הן החריגות, הסטיות. אנחנו, לעומתן, טוענים למשהו נועז יותר: יש רשימה עקבית וברורה של פעולות מסוכנות שאותן יבצע התוקף בעת שינסה לחדור לארגון. זו רשימה ארוכה, כמעט אינסופית. כמות הדרכים לתקוף את הארגון היא רבה מאוד. לעומת זאת, הרשימה של הדרכים לגרום נזק לארגון – גניבת מידע, מחיקתו, שיבוש שלו או השתלטות על מחשבי הארגון – היא לא קצרה, אבל סופית".

סכנה ברורה ומיידית. כור בושהאר, צילום: ברנד ברינקן, וויקיפדיה.

מיפוי פעולות הרעים

לכן, אמר גייסט, "אנו ממפים את כל הדרכים ה'הגיוניות' לביצוע פעולות מסוכנות ואת התגובה של מערכת ההפעלה לפעולות אלו. אנו בוחנים כל פעולה בצורה ספציפית – יצירת קובץ, מחיקתו, שינוי שלו, שליחתו במייל, העלתו לרשת ועוד פעולות שהמשתמש לא יודע שייעשו. אנו בוחנים את הפעולות מ'נקודת המבט' של מערכת ההפעלה – ולא בעיניו של המשתמש הסופי. בניגוד לחברות המונעות הונאות, לא נתמקד במשלוח מייל בשעת לילה מוזרה – אלא נערוך התאמה בין מכלול הפעולות המבוצעות – האם זו אכן מקלדת המשתמש והאם זה בסדר שהקובץ נשלח ממנה".

מוצר היושב במערכת ההפעלה

חברות האנטי-וירוס, אמר גייסט, "כבר לא רלוונטיות במובנים רבים. הן פועלות בשיטה של רשימות מנועי-כניסה. קל כיום לעקוף גישה זו. אנו, לעומת זאת, בונים רשימה של מורשי-כניסה, האומרת למי מותר להיכנס ויותר מזה – מהן הפעולות שמותר לו לעשות אחרי שנכנס. המוצר שלנו מותקן בגרעין (Kernel) מערכת ההפעלה של Windows, ובשנה הבאה יהיה לנו מוצר שיותקן בלינוקס (Linux) ואנדרואיד (Android). בעתיד נבחן לפתח מוצר למערכת ההפעלה iOS. העובדה שהמוצר יושב במערכת ההפעלה, מספקת יכולת ראייה כוללת".

לדבריו, "אנו דוגלים בתפיסה השלטת זה שנתיים-שלוש, לפיה ההגנה ההיקפית פשטה את הרגל וכעת נותר לדעת כמה שיותר מהר על מי שכבר חדר ומה הוא עושה. אנו בשאיפה להיות על כל רכיבי הארגון, ניידים, תחנות קצה ושרתים – וכך לקבל ראייה רוחבית".

המוצר, הסביר, יושב בגרעין, "ואנו מנטרים בו כל פעולה הקשורה לקבצים, ל-Registery, לרשת, לקבלת ולשליחת מידע וליצירת תהליכים חדשים במחשב – כל פעולה כזו תנוטר". לדברי גייסט, "פיתחנו שפת תכנות, BPM, מפת דפוסי התנהגות, שנועדה לקרוא ולזהות פעולות למערכת ההפעלה. השפה מאפשרת להגדיר תהליכים על בסיס הקריאות והרצפים של הקריאות – ולערוך התאמות ביניהן. כל פעולה נבדקת בהקשר של ההיגיון שלה לעומת הפעולה שקדמה לה. אם התוקף חדר, יהיה עליו לדאוג שכל פעולותיו לאחר החדירה תהיינה הגיוניות – וכך נאתר אותו. נאתר אותו כיוון שלעולם הוא לא יצליח להיראות הגיוני ב-100%".

הוא ציין כי "המוצר עובד בלא להשפיע על ביצועי המחשב – בניגוד למנועי האנטי-וירוס הגוזלים משאבי מחשוב רבים. אנו 'גוזלים' פחות מ-1% מהמשאבים".

"זיהינו את סטוקסנט"

"זיהינו את התולעת סטוקסנט (Stuxnt) כבר בשלב ההדבקה", מתהדר גייסט. סטוקסנט, שפגעה במתקני הייצור של הגרעין האירני, התגלתה בפעם הראשונה ביוני 2010. בספטמבר אותה שנה היא זכתה לפרסום עולמי כאשר דווח שהיא נוצרה והופצה על ידי גוף ממשלתי, כצעד של לוחמה קיברנטית שנועד לחבל במתקני הגרעין של אירן. בין המדינות ששמן נקשר ליצירת התולעת: ישראל, ארצות הברית ומדינות אירופיות. חודשיים לאחר מכן הודה נשיא אירן דאז, מחמוד אחמדינג'אד, שהתולעת פגעה בתוכנית הגרעין של ארצו. ככל הידוע, הנוזקה הביאה להשמדתן של יותר מ-1,000 צנטריפוגות במפעל האטום שנמצא בסמוך לעיר נתאנז באירן.

הגרסה המוקדמת של התולעת שהוחדרה למתקן הצנטריפוגות בנתאנז גרמה לסתימה של שסתומים, בעוד הגרסה המאוחרת פעלה לשינוי המהירות של הצנטריפוגות ולהתחממותן עד כדי הרס שלהן. מומחי אבטחת מידע בעולם הגדירו את סטוקסנט כאחת התוכנות הזדוניות המתוחכמות ביותר שנכתבו אי פעם. היא נועדה לפגוע במערכות בקרה תעשייתיות מסוג SCADA של סימנס (Siemens) ודרכן במתקנים תעשייתיים המבוקרים על ידי מערכות אלה. בסופו של דבר, היא התפשטה ופגעה במאות אלפי מערכות ברחבי העולם, מה שהביא לגילויה.

"זיהינו את סטוקסנט כבר בפעולת ההדבקה", אמר גייסט, "לקחנו מחשב שמוגן בתוכנה שלנו וניסינו להדביקו בתולעת. אפילו ההדבקה לא צלחה". לדבריו, "חייבת להתבצע על ידי התוקף פעולה לא הגיונית, שתביא לנזק, בהתחלת החדירה או בסופה. אם כל הפעולות תהיינה הגיוניות, לא ייגרם כל נזק". במקרה של ניסיון ההדבקה היזום של סטוקסנט, הסביר, "התולעת הפעילה עצמה דרך חלונות. זיהינו את הרצת הקוד העוין דרך החולשה שבמערכת ההפעלה. זיהינו כי היא לא הייתה הגיונית". לדברי גייסט, "אנו יודעים מה לא קרה, שצריך לקרות: יודעים מה קרה, יודעים מה לא קרה, ויודעים מה קרה – אך לא בסדר הנכון".

"האקר – תקוף אותי!"

"אנו מזמינים למשרדים שלנו תוקפים", אמר גייסט, "ומציעים פרס כספי למי שיצליח לפגוע במחשב המוגן בתוכנת פרנואיד. עד היום ההאקרים לא הצליחו בכך". הוא ציין כי לחברה יש כבר לקוחות בארץ ובחו"ל, מהמגזר הפיננסי והביטחוני, ובקרב לקוחות ארגוניים רבים יש בחינה של המוצר. יצויין כי ד"ר טאהר אל־גמאל, ממציא פרוטוקול SSL לתקשורת מוצפנת בין רשתות מחשבים, תיאר את תוכנת פרנואיד כ"פריצת דרך טכנולוגית, היסטורית ובינלאומית".

"אנו רוצים להוביל את התחום החדש המתהווה בשוק האבטחה", סיכם גייסט, "של הגנה מפני מתקפות סייבר מתקדמות, ייעודיות – ולא ידועות. יש לנו מענה למתקפות מתמשכות וממוקדות, APT – של איומים מתקדמים לא ידועים. יש כמה חברות הזנק הפעולות בתחום, וכל אחת מהן נותנת מענה טוב לבעיה – אבל חלקי.  החברה מתפתחת – ומונה כבר עשרות עובדים, ונכפיל את מצבת כוח האדם ב-2015".