ראש יחידת העילית לפריצות מחשבים ב-NSA: המדריך לפורץ המתחיל
"המשימה שלי היא לספר לכם, כפורץ בחסות המדינה, מה אתם יכולים לעשות על-מנת להגן על עצמכם וכדי להפוך את החיים שלי לקשים יותר", אמר רוב ג'ויס, ראש יחידת TAO של ה-NSA ● לדבריו, "המפתח שלנו להצלחה הוא להכיר את הרשת טוב יותר מהאנשים שהקימו אותה"
בתוך ה-NSA, הסוכנות לביטחון לאומי של ארצות הברית, פועלת יחידת עילית חשאית המורכבת מכמה מההאקרים הטובים ביותר שחיים על פני כדור הארץ, ביניהם רבים שהואשמו בעבר בפריצה לרשתות מחשבים ברחבי העולם כולו. איך בדיוק התא-מותאם-גישת-תפעול הזה, שמכונה TAO (ר"ת Tailored Access Operations), עובד – נחשב כסוד כמוס ושמור במיוחד – למרות מספר הדלפות אחרונות – אבל בהופעה ציבורית נדירה, שופך עכשיו ראש ה-TAO קצת אור על הדרך שבה פועלת צמרת מרגלי הסייבר של אמריקה.
"אני מודה שזה מאוד מוזר להיות בעמדה הזו, ועוד על במה מול קבוצת אנשים," אמר רוב ג'ויס, ראש יחידת TAO של ה-NSA, לקהל בכנס Usenix Enigma לאבטחה שהתקיים בסן פרנסיסקו בשבוע שעבר. "אני נמצא בעמדה ייחודית, משום שאנו ב-TAO מייצרים מודיעין זר למגוון רחב של משימות כדי לשמור על קובעי המדיניות ולוחמי האומה ממש מסביב לשעון. במרחב הזה אנחנו עושים פריצות בחסות המדינה. היום המשימה שלי היא לספר לכם, כפורץ בחסות המדינה, מה אתם יכולים לעשות על-מנת להגן על עצמכם וכדי להפוך את החיים שלי לקשים יותר".
בכנס חלק ג'ויס קצת מהאסטרטגיה של TAO, ומומחי אבטחת הסייבר שמילאו את המקום ישבו והקשיבו לדברים בסקרנות רבה. ג'ויס תיאר כיצד ה-TAO עובד בשישה שלבים לאחר בחירת היעד: הכרת היעד, פריצה ראשונית, התמדה, התקנת כלים, תנועה לרוחב, ולבסוף – איסוף ומיון הנתונים. בשלב ההיכרות פשוט מחפשים נקודות תורפה – בין אם זה בארכיטקטורה של הרשת או אצל האנשים המשתמשים בה. "המפתח שלנו להצלחה הוא להכיר את הרשת טוב יותר מהאנשים שהקימו אותה", אמר ג'ויס והוסיף, "אנחנו צריכים את הסדק הראשון ואנחנו עמלים כדי לאתר אותו".
סדק קטן מדי מכדי שמישהו ישים לב אליו
"כמנמ"רים, אל תניחו שהסדק קטן מדי מכדי שמישהו ישים לב אליו, או קטן מדי כדי להיות מנוצל", הסביר ג'ויס. "אנחנו צריכים את הסדק הראשון, התפר הראשון הזה, ואנחנו הולכים לחפש ולחפש ולחפש, אחרי הסוג האזוטרי ביותר של מקרה הקצה כדי לשבור ולפצח את היעד שלנו ולחדור אליו. יש סיבה לכך שלתהליך קוראים APT (ר"ת Advanced Persistent Threat). אנחנו נועצים ונועצים ומחכים ומחכים עד שאנחנו נכנסים", הוא אמר בנחישות.
ג'ויס הבהיר כי ההאקרים של NSA נכנסים למערכת באותה הצורה כמו כל ההאקרים, על-ידי הטעיית משתמשים ללחיצה על קישורים שהם לא צריכים, או ביקור באתרים נגועים בתוכנות זדוניות, או על-ידי חיבור כונני USB קטנים ופרוצים, כמו למשל דיסק-און-קי. "אם יש לך משהו שמישהו מגיע אליו ואתה צריך לגונן עליו, אתה צריך לחשוב על מה שטורף-העל הזה עומד לעשות כדי להשיג את המידע שלך. הוא עומד להשתמש בשיטות העבודה המתוחכמות ביותר לצורך הפגיעה בך, ואתה חייב להשיב באמצעות שיטות עבודה מעולות לשם הגנה מלאה", הוא הסביר.
לאחר שנכנסו פנימה, אמר ג'ויס, התוקפים יצטרכו להקים נקודת אחיזה במערכת ולהתקין כלים "קלי-משקל" כדי לסלול את הדרך ולהרחיב אותה לפעולה גדולה יותר. ג'ויס לא אמר בדיוק מה כוללת הפעולה, אבל דר שפיגל (Der Speigel) הגרמני דיווח בחודש דצמבר 2013, בהתבסס על מסמכי NSA פנימיים, ש-TAO משתמשים בשורה של כלים כדי לחלץ מידע ולנצל בדרכים אחרות את המערכת.
מתקפות יום אפס – לא באמת סיפור גדול
כמו כן, לפי ג'ויס, האקרים צריכים "לנוע באופן רוחבי" כדי למצוא את המידע שהוא מחפשים. "אחרי שאתה ברשת, רק לעתים נדירות אתה נוחת בדיוק במקום שאתה צריך או רוצה להיות. בשלב הזה חשוב לנוע באופן רוחבי ולמצוא את הדברים שאתה צריך למצוא", פירט ראש ה-TAO. "שום דבר לא באמת מתסכל יותר בעבורנו מאשר להיות בתוך רשת, לדעת איפה נמצא הדבר שאנחנו צרכים להגיע אליו, ולא להצליח להתגבר על מכשולים שנמצאים בדרכנו למצוא אותו".
בהרצאה שלו, כך לפי הדיווחים, נתן ג'ויס גם את חוות-דעתו על מה שמכונה פריצות יום אפס (Zero day) – פגמים בתכניות או במערכות שעדיין לא התגלו, ולכן פגיעים לניצול. כשלי יום אפס הם בעלי ערך בשוק השחור, זאת על-פי מומחי אבטחת סייבר, וארבעה מקרים מדהימים שכאלו, כך נהוג להאמין, שימשו בהתקפות Stuxnet שהתמקדו במפעל גרעין איראני, מה שהיה תוצר של שיתוף פעולה נרחב בין ארצות הברית לישראל. אבל ג'ויס אמר שמה שמכונה מתקפות יום אפס, אינן בעצם כה גדולות כפי שהן נחשבות.
"הרבה אנשים חושבים שמדינות הלאום פועלות על הדלק ממתקפות יום אפס הללו. שפשוט מגיעים עם מפתח המאסטר, פותחים את הדלת וזהו – אתם בפנים. זה לא כך", הוא אמר. "קחו לדוגמה את הרשתות הארגוניות הגדולות, אגיד לכם שהתמדה והתמקדות יכניסו אתכם פנימה ושתשיגו פריצה בלי יום אפס. יש כל כך הרבה וקטורים קלים יותר, מסוכנים פחות, ולעתים קרובות יעילים יותר". בנאומו טען ג'ויס שה-NSA בעצם יודע רק על מעט מתקפות יום אפס שניתן לנצל, כך סופר ברג'יסטר (Register) הלונדוני.
עושים את העבודה שלנו לקשה
לפי הדיווחים, בכדי ללמד את שומעיו כיצד להתגונן מפני האקרים כמו הבחורים שלו, רשם ג'ויס אחדים מנהלי האבטחה הטובים ביותר בעבור חברות ויחידים, לרבות הגבלת הגישה לנתונים רק למי שבאמת צריכים אותה; פילוח רשתות; וביטחון בכך שמנהל המערכת נוכח ושם-לב לחריגות. ג'ויס גם אמר שחברות צריכות להביא בודקי חדירה שיחפשו חורים לפני שהרעים ימצאו אותם ראשונים.
"רשתות המנוהלות בקפידה באמת עושות את העבודה שלנו לקשה", אמר ראש ה-TAO. הוא התייחס גם לקושי בשיוך התקפות סייבר לגורם שעומד למאחוריהן, אבל אמר שאם ממשלת ארצות הברית טוענת כי מדינת לאום מסוימת עומדת מאחורי התקפת סייבר ספציפית – זה נכון.
"כמות עורכי הדין שמחזיקים ה-DHS (ר"תDepartment of Homeland Security), ה-FBI וה-NSA מדהימה", אמר ג'ויס בתשובה לשאלה, כך לפי WIRED. "אז אם הממשלה אומרת שיש לנו שיוך שאישרנו, צריך לקבל זאת. השיוך באמת באמת קשה. לכן, כאשר הממשלה טוענת כך, עשינו שימוש במכלול המקורות והשיטות שאנחנו צריכים כדי לעזור לה להודיע זאת. אבל בגלל שהאיומים המתקדמים מתמשכים ולא הולכים להיפסק – אנחנו לא יכולים להביא את כל מידע לקדמת הבמה ולהיות שקופים לחלוטין בקשר לכל מה שאנו יודעים ואיך אנחנו יודעים כל זאת".
תגובות
(0)