על האקרים רוסים ומלחמת סייבר

2024 מְחַבֵּר: Seth Attwood | [email protected]. שונה לאחרונה: 2023-12-16 16:05

יזם רוסי ידוע ומומחה בתחום טכנולוגיית המידע איגור אשמנוב, בראיון לערוץ הטלוויזיה MIR 24, דיבר על האקרים רוסים, מלחמות סייבר ומקרה שאלתי-בולטאי.

האינטרנט מאחסן היום את נתוני הדרכונים שלנו, מידע על כרטיסי אשראי, חשבונות, ג'יגה-בייט של התכתבות אישית. עד כמה הכל מוגן?

בכלל לא, כמובן. באופן כללי, הגנה בכרטיס אשראי היא סיפור אחר. מאוחסנים שם דברים הרבה יותר חשובים, דהיינו דעות, ריבויים חברתיים של אנשים אחד עם השני, מה שנקרא נתוני משתמשים גדולים על כל מה שאדם עושה. זהו מידע רגיש הרבה יותר מסתם מספרי כרטיסי אשראי. לרוב האנשים אין מה לקחת. אם גונבים לך חצי מהמשכורת מכרטיס אשראי זה בהחלט לא נעים, אבל אפשר להגיע לאדם באלף דרכים אחרות ולגרום הרבה יותר נזק, לדעת מה הוא חושב, עם מי הוא מתקשר וכו'.

בסרטים, עבודת האקרים מתוארת בצורה מאוד מותנית - הוא יושב מול מחשב נייד, עושה כמה מניפולציות ומיד פורץ לפנטגון. איך זה באמת קורה? כמה קשה התהליך הזה?

בהוליווד, הם בדרך כלל מראים כיצד האקר פורץ למסך ואז מנווט דרך המנהרות הזוהרות. פריצה היא תכנות מיוחד. אנשים יושבים בלילה ומנסים להשתמש במספר עצום של כלים כדי לפצח סיסמאות או שרתים. לפעמים זה עובד, לפעמים לא. יש להם גם עיניים אדומות וכו'. כלומר, מדובר בתכנות רגיל, רק עם הטיה פלילית. לכן, כמובן, אין דבר כזה שמישהו ירוץ פנימה לשנייה ויפתח את השרתים של הפנטגון או ה-FSB. בנוסף, רוב הדברים האלה בדרך כלל לא יכולים להיעשות ללא איש פנים. כלומר, אתה צריך איש פנים או מידע כלשהו על מה מנהל המערכת אוהב, את הסיסמה שלו אתה רוצה לשבור, או במה הוא משתמש, באילו חורים יש בתוכנה שהוא משתמש בה. צריך כל הזמן לפקוח עין, לקרוא על נקודות תורפה שמוכרזות במיליון מקומות וכו'. זו עבודה קשה מאוד מיומנת שנעשית על ידי אנשים עם תודעה פלילית פחות או יותר.

הודות להאקרים, המם המפורסם "הרוסים עשו את זה" הופיע באינטרנט. כלומר, נניח, תמונה של כלב על רקע חדר מרווח ומתחת לחתימה "הרוסים עשו את זה". מאחורי ההאשמות הקומיות הללו עומדות הצהרות של פוליטיקאים אמריקאים שההאקרים שלנו השפיעו איכשהו על הקמפיין לנשיאות. עד כמה ההאשמות הללו מבוססות?

הנושא על האקרים רוסים הוא תופעה תקשורתית בלבד. בדרך כלל לא ידוע אם יש האקרים שם. כל הסיפור הזה עם הנתיחה על המפלגה הדמוקרטית, איך הם עיוותו והחליפו את קלינטון בסנדרס בפנים, לא הופיע בכלל כתוצאה מנתיחה. אם אתה זוכר שגם אנשים מחוגי האקרים וגם ג'וליאן אסאנג' אמרו ישירות שזו תוצאה של הדלפה, הגיע מקורב והביא את הנתונים האלה. לא היה צורך לפתוח שם כלום. כלומר, ברור שכל הסיפור הזה על קלינטון היה חסר משמעות.

אילו האקרים יכולים ומה לא? אחרי הכל, לעתים קרובות מדברים על האנשים האלה כעל כל יכול…

יש האקרים מסחריים שמרוויחים כסף באינטרנט – מדובר בתעשייה ענקית עם חלוקת עבודה מאוד מפורטת. היא כבת 25. מישהו קולט כתובות, מישהו כותב תוכניות לחטיפת מחשבים, מישהו בונה רשתות בוט ממיליון מחשבים שנתפסו ומשכיר אותם, מישהו שוכר את השרתים האלה ומארגן התקפות או פיצוח סיסמאות או הפצה של יישומי בנק מזויפים ואז גונב כסף, מישהו בנפרד גונב אשראי מספרי כרטיסים וגם סוחר בהם עבור מי שמוציא כסף. כל אלה קבוצות שונות.יש עולם מאוד מסובך, אלו אנשים שעושים עסקים פליליים ומרוויחים כסף. אין ביניהם כל-יכולים. כשמדברים על האקרים רוסים או אמריקאים שפרצו משהו, התערבו בבחירות וכו', אנחנו מדברים על חיילי סייבר – האקרים שנמצאים בשירות המדינה. הדוגמה המפורסמת ביותר של נגיפי מלחמה היא Stuxnet, ששרפה כשליש מצנטריפוגות העשרת האורניום באיראן. זה היה סיפור ארוך, זה תמיד ניתוח להזרקת וירוס. הנגיף עצמו הוכנס לבקרים במפעל בגרמניה ורק אז פגע בצנטריפוגות. היה ניסיון לכסות את הסיפור בצעיף של אגדה מורכבת לפיה הווירוס הגיע ממחשב שהיה מחובר בטעות לאינטרנט. למעשה, זה לא היה כך, זה נעשה על ידי השירותים המיוחדים. ואז השירותים החשאיים של ארצות הברית וישראל הודו שזה אכן פעולתם. זה היה כל כך רועש שהם רצו לנכס לעצמם סוג של תהילה. זה היה וירוס של מדינה צבאית. זה סיפור אחר לגמרי. להאקרים ממשלתיים יש כנראה מעט מאוד חפיפה עם פושעי סייבר מסחריים.

– כלומר, מלחמת סייבר היא לא בדיה, אלא כבר מציאות, וקרבות כאלה, בלתי נראים להדיוט, מתקיימים בעוצמה ובעיקר?

בְּהֶחלֵט. גם אם לא דיברנו על האינטרנט, אז הפענוח, למשל, לא הפסיק בכלל. גם זו מלחמת סייבר - ניסיון לשבור צפנים, ליירט הודעות. עובדים שם אותם מומחים לפענוח, מתמטיקאים מקצועיים, בעזרת מחשבים. כלומר, המלחמות האלה לא מפסיקות לעולם. יש להבין כי פעולה ישירה להשמדת תשתית המידע הקריטית, לתקוף אותה, תיתפס כפעולת מלחמה. אף אחד לא עושה את זה בין מדינות כמו רוסיה וארצות הברית. אם תעשה זאת, יהיה ברור מי עומד מאחורי זה ותגובה איזושהי תגובה. יתרה מכך, כידוע, האמריקאים הודיעו הקיץ שהם רוצים להשוות מתקפת סייבר לפעולת מלחמה על מנת שיוכלו להגיב על מתקפת סייבר באופן מיידי בנשק קונבנציונלי.

עכשיו נשמע הסיפור עם קבוצת האמפטי דמפטי. הם הצליחו להשיג את התכתובת של ראשוני המדינה. האם אין זה אישור לתזה לפיה חברות וסוכנויות ממשלתיות לעיתים אינן נוקטות יחס אחראי במיוחד לאבטחת סייבר?

זה נכון, אבל אני לא חושב שחברי המפטי דאמפטי הפגינו כישורים אישיים. זה שטויות, זה לא יכול להיות כך. אני ממש לא מאמין בסיפור שמישהו יושב בבית קפה ופורץ לסמארטפון של סגן ראש ממשלה חולף או עוזר נשיאותי, זה שטויות. דברים כאלה עושים תמיד עם מקורבים. למעשה, במצב כזה, "המפטי דמפטי" היא לא קבוצת האקרים, אלא בור מים, מקום לפרסומים. מכיוון שעצם האגדה על ההאקרים שנמצאים בכל מקום - ווויקיליקס מתייחסת לאגדה הזו - כבר קודמה, שום דבר לא מונע יצירת קבוצות האקרים וירטואליות והשלכת (מידע) דרכן, למרות שאולי לא עומד מאחוריהן שום דבר. חזית מסוימת - אנונימי, המפטי דמפטי - הם פשוט "מודלפים" על ידי מי שיש להם.

האם זה סיפור אמיתי שחברה לא זהירה לגבי אבטחת סייבר ומפסידה הכל כתוצאה מתקיפה?

כמובן שזה אמיתי. רובם מאוד לא זהירים. יש דוגמאות - מדובר בבנקים שעכשיו גונבים מהם סכומי עתק. בנקים מסתירים לעתים קרובות מאוד את הנסיבות הללו מכיוון שהדבר היחיד שהם מוכרים הוא אמון. לכן, הבנקים לא יכולים לדבר על כך שכספו נגנב. נתוני כרטיסי אשראי נגנבים, דליפות מתרחשות מבפנים… 80-90% מכלל בעיות אבטחת המידע הם עובדים, לא האקרים חיצוניים. יש להבין זאת. הדוגמה הכי פשוטה: אם בונים היקפי אבטחה, אבל במקביל כל עובד יכול להביא איתו סמארטפון למשרד ולהדליף. או העתק את הנתונים למכשיר, או צלם מסמך חשוב כלשהו.עלות הנתונים הבנקאיים שדלפו בעולם עומדת על עשרות מיליארדי דולרים בשנה. שלא לדבר על פריצות.

איפה עובר הגבול בין חופש באינטרנט לבין רצון המדינה להסדיר אותו כדי למנוע פשיעה ברשת?

אני לא יכול לתת תשובה מדויקת לשאלה הזו, כי אנחנו לא במצב שיש כמה נורמות, אפילו בינלאומיות, או שיש על מי לרגל. אנחנו עוברים בצורה די אנרגטית ממצב שבו היה חופש מוחלט באינטרנט, מה שנקרא הפקרות, ונראה היה שכך יהיה תמיד, כשהחוקים שפועלים בחיי היום-יום לא פעלו באינטרנט, למדינה כאשר כל זה יהיה מוסדר. בסופו של דבר, באינטרנט צריכים להיות חוקים שפועלים בחיי היומיום. באופן יחסי, איומים, במיוחד מול עדים, הם בעלי ענישה פלילית; איומים והעלבות באינטרנט יכולים להיות ללא ענישה לחלוטין. הכל יהיה פחות או יותר מיושר. אבל איפה יהיה הגבול הזה, אנחנו לא יודעים. יש לנו דוגמאות לאינטרנט "מוסדר" לחלוטין - בוייטנאם, סין, אבל במקביל הוא עדיין צומח שם, יש חיים סוערים. כידוע, בסין האינטרנט כל כך רותח שחלילה לכולם.