מה היה ב"קייטנת ההאקרים" השנה?

בסוף השבוע הסתיימו במרכז הכנסים מנדליי ביי שבלאס וגאס, שני כנסי האבטחה, Black Hat ו-DEF CON. כבכל שנה, האירועים היוו את המפגש השנתי, מהגדולים בתעשייה, של יותר מ-20 אלף משתתפים, חוקרי אבטחה והאקרים בעלי "כובע לבן" (תוקפים אתיים) – ואלו הציעו למנהלי אבטחת מידע תובנות לגבי הממצאים האחרונים של חוקרי האבטחה.

מאבטחת ענן ועד פגיעויות הנובעות מבינה מלאכותית, אספנו עבורכם את נושאי האבטחה הבולטים ביותר מ"קייטנת ההאקרים".

🎬 #BHUSA is in full effect! From packed Keynotes and buzzing Briefings to the vibrant Business Hall and spontaneous hallway conversations 🎤💡— The Cybersecurity Community is making waves at the Mandalay Bay in Vegas.💥#BHUSA #Cybersecurity #Infosec #InformaFestivals pic.twitter.com/hTwtDjbll6

— Black Hat (@BlackHatEvents) August 6, 2025

AI והתפתחויות משונות

שני נושאים עברו כחוט השני בכנסי האבטחה: האחד, התפתחויות משנות, שלא לומר משבשות, בעולם הגנת הסייבר. השני, בינה מלאכותית, בינה מלאכותית יוצרת וזו מבוססת סוכנים – הן שעמדו בחזית.

ל-AI יש מה שהחוקרים מכנים "אופי כפול", דו-פרצופי: הן ככלי רב עוצמה להגנת סייבר והן כנשק חדש עבור שחקני האיומים. סקר שנערך בקרב משתתפי הכנסים המחיש את הפער המדאיג לטובת הרעים: רק 16.4% ממומחי האבטחה היו בטוחים ביכולתם להתמודד עם איומי זהות וגישה שנוצרו על ידי בינה מלאכותית, כמו דיפ פייק ופישינג המופעלים על ידי AI.

כך, ה-AI ממשיכה ליצור אפיקים חדשים להתקפה: חוקרי אבטחה הציגו שרשראות של פגיעויות, המנצלות הנחיות זדוניות ושקריות, וכך משפיעות על עוזרי AI ארגוניים רבים, לרבות ChatGPT, Gemini, Copilot ומודלים אחרים. חלק מהמתקפות כללו הטעייה ושכנוע של המשתמשים להקליק על לינקים זדוניים, וחלקן פעלו ללא כל אינטראקציה עם המשתמש. 

שדה אחר שניתן לניצול בעולם ה-AI הוא מערכות המקשרות מודלי שפה גדולים (LLMs) למאגרי נתונים ארגוניים. ההאקרים הסתערו על מערכות פופולריות אלו, ופיתחו מנגנונים חדשים: לחדירה לבסיסי נתונים, להשגת קוד השתלטות על סביבות הקורבן, להשתלטות על המערכות שבענן ולחילוץ סיסמאות. בין השאר, חוקרים הציגו כיצד לנצל את היעילות של LLMs כדי לערוך מניפולציה ולבצע הטיות קוגניטיביות, תוך ניצול המגבלות התפישתיות והנורמות החברתיות של בני האדם.

החוקרים הסבירו כיצד אותה טכנולוגיה עלולה לשמש את הרעים, כדי להפוך את תהליך ההנדסה החברתית לאוטומטי. המסקנה: מעקות הבטיחות וההגנות האחרות אינם מספיקים – וגם בעולם ה-AI יש להחיל עקרונות של "אפס אמון", להגברת האבטחה.

אחד הדוברים הראה כיצד יצירת LLM ייעודי, שאינו ציבורי – עלולה להיות דרך יעילה לבניית נוזקות ולפיתוח טכניקות להתחמקות מזיהוי אנטי-וירוס.

בנוסף, בפריצה פיזית לבית או לעסק, הרעים עלולים להותיר בזירה ממצאים מפלילים: טביעות אצבעות על ידית המקרר או עטיפת כריך. בעולם הדיגיטל, ההאקרים בהחלט עלולים להותיר כמה תמונות סלפי, או להשאיר קובץ יומן לוגים, הניתן לחיקור. צוות אבטחה מחברת מודיעין האיומים פלייר (Flare) הציג כיצד ניתן לגרום לבינה המלאכותית להתמקד בשאריות הדיגיטל שנותרו מאחור: הוא מצא דרך חדשה לזהות מסעות של גניבת מידע.

Thank you Black Hat and DEF CON — I had an absolute blast!
Attended an awesome training, caught up with old friends, made new ones and learned a ton.

Heading back home today full of inspiration, fresh ideas, and lot of things to tinker with. pic.twitter.com/EojtRnMkAp

— Rolf (@Rolf_Govers) August 11, 2025

לא רק AI

אנו שומעים הרבה על פושעים המשתמשים בבינה מלאכותית ליצירת דיפ פייק, לקצירת מידע אישי, ליצירת פרופיל משתמשים ועוד. צוות מביטדיפנדר (Bitdefender) המחיש שאין צורך ב-AI, כשיש לרעים המון נתונים והבנה בסטטיסטיקה. על ידי עיבוד בקשות ה-DNS שהטלפון הנייד של הקורבן שולח כל הזמן, הם הצליחו ליצור פרופיל של התנהגויות משתמשים, לבודד מכשירים בטרם תקיפתם, ואפילו לעקוב אחר משתמשים שעברו מרשת לרשת.

עוד נדון הצורך באבטחת רכיבי חומרה. כך, אחת החברות חשפה פגמים בקושחה שמגיעה בעשרות דגמים של מחשבים ניידים עסקיים. אלה איימו על האבטחה של רכיבי משנה של חומרה – שנועדו לאבטח נתונים ביומטריים, סיסמאות ועוד.

גם מתקפות ותיקות זוכות ל"שדרוג" מצד הרעים. כך, חוקרי אבטחה פירטו טכניקות חדשות למתקפות מניעת שירות (DoS) ומתקפות מניעת שירות מבוזרת (DDoS) – המופעלות כנגד מערכות חלונות, לעתים תוך ניצול פגיעויות קיימות. אלו זכו להיקרא הלחם המילים Win-DDoS.

בכנס הציגו חוקרי טרנד מיקרו (Trend Micro) תוכנית להדגים כיצד פריצה למטען הסוללה בכלי רכב חשמליים עלולה לגרום לנזק חמור, כולל חימום יתר ועד התלקחות הסוללה.

אבטחת זהויות – נושא ותיק שמתעצם עם זהויות לא אנושיות. שימוש לרעה באישורים נותר וקטור התקפה ראשוני מוביל, וזהויות לא אנושיות (NHI) – כגון סוכני AI, מפתחות גישה ו-API – מרחיבות את משטח ההתקפה.

מהנדסי אבטחה הציגו בכנס כיצד התוקפים מנצלים ליקויי אבטחה, להשגת יותר הרשאות והרשאות יותר נרחבות, על נקודות הקצה – עם שליטה מרחוק.

"יש להפחית את האיומים המופעלים על ידי AI כדי לזהות ולהכיל פגיעה באישורים, שימוש לרעה או גישה רחבה מדי לפני שהיא מסלימה", סיכם אחד החוקרים. "הצורך באבטחת זהויות חזקה ומודרנית מעולם לא היה גדול יותר".