נתן דולב, אנליסט: "ההאקרים אינם אנרכיסטים, אלא אנשי מקצוע; קשה לחזות מהלכי תקיפה"
"הדימוי הקיים לגביהם הוא פנטסטי, אבל אינו תואם את המציאות. הם פועלים במסגרת ארגונית, תחרותית, ונמדדים על פי יעילות", אמר דולב, אנליסט בסייברארם ובעברו איש מודיעין קיברנטי בשב"כ ● לדבריו, "השיח על תקיפה הוא בעייתי, אנשים שנוטים לשוחח על כך נלחמים את המלחמה הקודמת"
"בניגוד לדימוי של ההאקר שתוקף בלחימת סייבר כאנרכיסט שקם בצהריים ומעשן ג'וינט, בפועל מדובר באדם שעובד ברצינות, כמו בכל ארגון. על מנת להבין את דרכי פעולתו יש לבחון אותו במשקפיים סוציולוגיים ולא טכנולוגיים. צריך להבין מה המניעים והמשאבים שלו, ומתי הוא מגיע למקסום יכולותיו", כך אמר נתן דולב, אנליסט בסייברארם ולשעבר בכיר בשב"כ.
דולב, שבתפקידו האחרון בשב"כ עסק במודיעין קיברנטי, דיבר בכנס שערך ISACA ישראל, הסניף המקומי של האיגוד העולמי לביקורת ואבטחת מערכות מידע. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ד') במרכז הכנסים אבניו והנחה אותו רמי ניסן, חבר הנהלת ISACA ישראל ויו"ר ועדת הכנס.
על מנת להמחיש את פעולת תוקף הסייבר דימה אותו דולב לבעלים של מקדחה שאינה עושה רעש, שהסוללה שלה לא נגמרת, אשר הבעיה שלו היא שהקיר אותו עליו לקדוח על מנת להגיע לאוצר גדול ועובי המקדחה הוא רק מילימטר אחד. לדבריו, "בפני תוקף הסייבר עומדים שני מכשולים: בטכנולוגיה ובנגישות. פתרנו את המכשול הטכנולוגי בעזרת המקדחה ואת בעיית הנגישות – בעזרת העובד. השאלה היא כיצד מתקדמים משם".
"שם המשחק הוא מודיעין בסייבר", ציין. "מדובר בדבר נגיש. ניתן להשיג מידע רב על אמצעי ההגנה רק ממודיעין גלוי ותוקף בעל סבלנות, זמן וכסף יגיע אליו. כמו כן, קל להשיג מודיעין על מערכות אבטחה – פשוט קונים אותן. זו רק שאלה של כסף. לאחר הקנייה, ההאקר חוקר את מערכת ההגנה כמשתמש וכך מבין איך היא פועלת. התצורה של המערכת בארגון אחד דומה משמעותית לתצורה בארגון שני".
"טכנולוגיות התקיפה של ההאקרים – סקסיות"
דולב עמד על הדימוי שיש להאקרים – כשל אנרכיסטים – ואמר שהוא "פנטסטי אבל לא תואם למציאות. בסופו של דבר, התוקף רוצה להיות מקצועי, מה גם שהוא לא פועל לבד, אלא בתוך מסגרת ארגונית. גם עליו ועל חבריו מוטלות משימות והם נמדדים עליהן, גם אצלם קיימת תחרות פנים ארגונית על משאבים והם נדרשים ליעילות". לדבריו, חיי היום יום של התוקף הממוצע דומים למדי לאלה של כל אדם אחר: "הוא קם בבוקר, יש לו משימה לבצע, יעד מוגדר ומדיד, יש לו אתגר ועליו לבחון עד כמה הוא מממש אותו".
"המשאבים של התוקף מוגבלים, אין לו את כל היכולות שבעולם", אמר דולב. "אין דבר כזה מגה תוקף, אחד שיש לו את כל סל היכולות. מכאן – חובה שהתקיפה תהיה מנוהלת, ולכן, בניגוד למה שחושבים, לא מדובר באנרכיזם. אם נבחן לעומק את התוקף נראה שהוא מחפש מיטוב של משאבים מול משימות. אין מצב שבו הוא יעשה הכול, כי הוא רוצה להיות יעיל".
הוא כינה את טכנולוגיות התקיפה בהן משתמשים ההאקרים "סקסיות, מדהימות. אלא שמי שיודע לא יספר עליהן וטכנולוגיות עבר דוגמת סטוקסנט (Stuxnt), שיש כאלה שאוחזים במידע עליהן – זה כבר לא רלוונטי. חנות הצעצועים של התוקף משתנה באופן תדיר, כאשר החלק המשמעותי בה הוא חשאי ולא ניתן לניבוי. אי אפשר לחזות את מגמות התקיפה". הוא הוסיף כי "השיח על תקיפה הוא בעייתי, אנשים שנוטים לשוחח על כך נלחמים את המלחמה הקודמת".
דולב סיכם באומרו כי "השאיפה האולטימטיבית של התוקף היא לקדוח בנקודה הנכונה. הוא רוצה לעבוד באופן מקצועי, שהמשאבים שלו יהיו הטובים ביותר. לכן דרושה מולו ההגנה הטובה ביותר".
תגובות
(0)