המציאות והדמיון ב-Mr. Robot

הסידרה Mr. Robot היא אחת הסדרות הנצפות ביותר כיום על ידי אנשים טכניים, חובבי/מקצועני אבטחת מידע. אחת הסיבות לכך היא שבניגוד לסדרות אחרות שבהן מראים כל מיני סוגי גרפיקה מלהיבים שאין שום קשר בינם למציאות – בסידרה הזו מראים לא מעט דברים שהם מציאותיים לחלוטין: שימוש בלינוקס ככלי עיקרי, שימוש בציודים אמיתיים (Bluetooth, Raspberry Pi ועוד) והכי חשוב – לא מזלזלים באינטיליגנציה של הצופה הטכני (בהגבלות מסויימות. אחרי הכל, הם אינם יכולים לפרסם פריצות שלמות בלי לחטוף תביעות מכאן עד הודעה חדשה).

אזהרה
מכאן יהיו ספויילרים לגבי פרק ראשון בעונה 2. לא ראית? עצור, תשיג את הפרק, צפה ותחזור.

בפרק הראשון בעונה השניה רואים מספר דברים, ואני מעוניין להתעכב על 2 נקודות חשובות מבחינת אבטחת מידע.

מה רואים: היועצת המשפטית של הבנק מגיעה לביתה האולטרה-חכם (מה שנקרא Smart Home). האזעקה מצפצפת והיא מנטרלת אותה דרך המסך שצמוד לקיר (אנדרואיד). לאחר מכן היא מנסה לכבות דברים שנדלקו פתאום כמו המוסיקה והטלויזיה וזה מצליח לה בקושי. לאחר מכן היא נכנסת למקלחת ושם היא חוטפת מים רותחים תוך כדי המקלחת והיא נסה על נפשה, ולקינוח המזגן "מחליט" להקפיא את הבית והאזעקה פועלת נון סטופ בלי שניתן להפסיק אותה – עד שהיועצת מרימה ידיים והיא עוזבת את ביתה במונית לבית מלון.

המציאות: ישנן כיום לא מעט מערכות Smart Home בשוק החל מחברות כמו סמסונג ופיליפס ועד למערכות של חברות די חדשות בשוק. רובן המוחלט אינו כולל את מה שרואים בפרק, כך לדוגמא עניין המים החמים לא ממש אפשרי כי המשתמש קובע זאת עם ידית מכנית בעת שהוא מתקלח. אפשר לגרום לדוד חשמל להידלק לפני שהדיירים מגיעים, אבל לא עניין המקלחת. עניין השליטה בטלויזיה, אודיו, אזעקה אפשריים בהחלט אך מבחינת "הקפאת" הבית – להקפיא בית לוקח לפחות שעה למזגן רציני, לא דקות ספורות.

מסקנות שכדאי ללמוד: אלו שקונים בהתלהבות את ה-Smart Home עושים צעד לא חכם. נכון, זה מאוד מפתה לשלוט על הכל בצורה אוטומטית או עם שלט, אבל האבטחה במכשירים אלו היא מחפירה, עלובה, גרועה. במקרים רבים כל מה שצריך זה 5 דקות מול גוגל כדי לדעת איך לפרוץ פנימה ואיך לשנות דברים ב-Smart Home. אנליזה של המכשיר מבחינת קוד אסמבלי או סקריפטים פנימיים יכולה לגלות לא פעם שהסיסמא לשינוי דברים ב-Smart Home נמצאת כטקסט גלוי והחברה התקמצנה בהטמעת מעבד נורמלי כך שהמעבד החלש שהם הכניסו אינו יכול לעמוד בסשן HTTPS אפילו (הבדל של 3-4$!!). כדאי שידע כל רוכש מערכת כזו: הטמעת מערכת כזו בבית עושה את החיים לפורצים יותר קלה (טוב, תלוי אם הפורץ מבין משהו במחשבים. סביר להניח שאזהרה זו יותר מתאימה לחו"ל מאשר לארץ), ואגב – זה לא נגמר בבית, זה גם ברכבים (במיוחד רכבי היוקרה!) – יותר ויותר רכבים ממוחשבים נמצאים עם חורי אבטחה גדולים הואיל והיצרן שוב התקמצן בבדיקת חדירות אבטחה, בדיקת קוד וכו'. באינטרנט יש כל מיני קליפים שמראים מישהו שנמצא במרחק של כמה עשרות מטרים מרכב יוקרתי והפורץ עם לאפטופ מצליח לפתוח את הרכב, לנטרל את האזעקה ולהפעיל, וזה לא נעצר כאן – הנה דוגמא של 2 חברים שהצליחו לשלוט על רכב JEEP בזמן שהרכב נוסע ולבטל ברקסים, לשלוט על המוסיקה ועוד:

מה רואים: עובד במחלקת ה-IT בחטיבת הבנקים של E-Corp הינו חבר גם בקבוצת FSociety והוא מקבל מדארלין Disk On Key והוא כמובן מפעיל אותו באחד המסופים ולאחר דקות ספורות נראה מסך Ransomware הדורש שאחד המנהלים יפגש עם הקבוצה במקום ציבורי עם 5.9 מיליון דולר. ה-Ransomware משתלט על כל המסופים בכל סניפי הבנק ובדרך גם מוחק את בסיס הנתונים המרכזי של הבנק. מה קורה עם הכסף? את זה תראו בפרק 2 (שזמין לצפיה, אגב)

המציאות: תאורתית, עם מספיק תחכום, שוחד עובד – אפשר לבצע התקפת Ransomware אבל זה יהיה מקסימום ברמת סניף ולחוקרי הבטחון של הבנק והמשטרה לא תהיה הרבה עבודה כדי לתפוס את הגורם שביצע זאת: כל מה שצריך לעשות זה להשוות מתי קבצים החלו להשתנות ולהשוות מול הוידאו שצולם במצלמות הפרוסות בבנק לפי אותו זמן. אני מעריך שתוך יום העבריין יתפס.

מסקנות שכדאי ללמוד: אם יש משהו שגורמי הבטחון בבנקים מסרבים להבין זה שהזמנים השתנו. פה נגנבו 81 מיליון דולר דרך מערכת SWIFT, בבנק בבנגלדש כמעט הצליחו להרים מיליארד דולר (וזה נפל בסוף רק בגלל שגיאת כתיב, המשטרה מצאה שהבנק היה קמצן כרוני בכל מה שקשור לסוויצ'ים או חומת אש), וכאן הצליחו להרים דרך הניו יורק פד סכום של 100 מיליון דולר. בכלל, שנת 2016 נראית כרגע כשנה שבה קבוצות האקרים מאורגנות מעזות הרבה יותר ולפעמים הם מצליחים לגרוף מיליוני דולרים ולהשאיר לחוקרים אבק! לך תחפש שיתוף פעולה עם המשטרה הסינית לדוגמא (גם אם קבוצת הפורצים יעשו סלפי קבוצתי והחוקרים יקבלו תמונה – הסינים לעולם לא מסגירים סינים והם מוכנים "לשפוט" את העבריינים).

אם יש משהו אחד שהבנקים (במיוחד בישראל) צריכים – זה "שינוי דיסקט" בכל הקשור לנהלי אבטחה, להעיף נהלים כמו עדכוני אבטחה כל 6 חודשים והעדפה של השכרת אנשי אבטחה שיודעים לחשוב ממש "מחוץ לקופסא", ובדרך להתנתק מדברים כמו מערכות של מיקרוסופט. מה לעשות שאם לפורצים של פריצות Zero Day למערכות שונות, הסיכוי של הבנק להתגונן קטן באופן רציני. קחו דוגמא הכי פשוטה: גשו לכל כספומט, אל תכניסו כרטיס, ופשוט התבוננו במסך: אתם תראו אנימציות פרסום של הבנק. האנימציות רצות על Flash – ומה לעשות של-Flash יש יותר חורי אבטחה מגבינה צהובה! גם אם מערכות הכספומטים יקבלו עדכוני אבטחה (ואין זה משנה אם הן מריצות XP או Windows 7) – מהזמן שהפורצים יש בידם Zero Day ועד שיותקן עדכון אבטחה לאותם Zero Day יעברו לפחות 30-60 יום (מה לעשות שזה לא לינוקס שאפשר לשכור חברה שתסגור פרצות תוך יום או יומיים אם מדובר בקוד קרנל או קוד של חבילת קוד פתוח אחרת שבשימוש הבנק). המון זמן לפורצים. איך הפורצים יכנסו? הרי מערכות הכספומטים סגורים – יש את הגורם האנושי שקל לשחד אותו או בכלל להגיע למפתח שבאמצעות שוחד רציני יכול להכניס קוד זדוני (שמישהו במחלקת הבטחון יבדוק מתי נעשה ואם נעשה Code Auditing חיצוני לקוד של המפתחים בבנק) ומשם הדרך ל"חגיגות" קצרה וישנן עוד דרכים ושיטות שהמשותף להן הוא שברוב המקרים אינדיבידואל לא יכול לעשות זאת אולם קבוצות עם מימון יכולות בהחלט לבצע זאת.

הסידרה Mr. Robot מציגה לעיתים דברים מוגזמים (גרימת נזק לקלטות גיבוי בבניין שמראש נועד לאחסון דברים אלו? קלטת LTO מהישנות ועד החדשות יכולות לעמוד בעד 45 מעלות חום ו-80% לחות!) אבל היא גם מציגה עקרונית דברים שמאוד כדאי להתייחס אליהם: איך הפרטיות שלנו נעלמת, איך הפוסטים שאנו משתפים בהיסח הדעת ברשתות החברתיות יכולים להזיק לנו, וגם איך קל לדעת היום על אנשים הרבה יותר פרטים ולהפוך את חייהם לסיוט מתמשך ומה שהכי חשוב לכל אלו שאחראים על אבטחת מידע ומערכות במקומות שונים – אולי אינכם מאובטחים ממש כמו שחשבתם.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *