מי גנב את מפתח הגנבים של ה-NSA?
שלושה שבועות מתמודדת העיר בולטימור עם הנזקים של פריצת האקרים למערכות המחשב שלה, בעזרת כלי שפותח - לא להאמין - בידי הגוף שאחראי להגנה על מערכות המידע של ארה"ב. מה אפשר ללמוד מזה על ה-NSA, על סיכונים בארגוני ענק ועל המלחמה בסייבר בכלל
רחוק מן הכותרות בישראל, זה כשלושה שבועות שעיריית בולטימור שבמדינת מרילנד נאבקת במתקפת סייבר מרושעת במיוחד. הנוזקה השביתה כמעט כל מערכת אפשרית - אלפי מחשבים וחשבונות דואר אלקטרוני וכמעט כל שירות עירוני שניתן לחשוב עליו: החל מתשלום חשבונות באתר העירייה וכלה בפיקוח העירוני ושירותי ניקיון ואבטחה. ההאקרים נותרו בינתיים לא מזוהים.
לא פשוט להתמודד מול תקיפה כזו, אך זה קשה שבעתיים בגלל מקור הפירצה ששימשה כאן כנשק תקיפה - NSA, הסוכנות לביטחון לאומי של אמריקה, אשר "איבדה" לפני כשלוש שנים את קוד המקור לנשק סייבר שפיתחה, שכינויו EternalBlue. לא ברור כיצד זה קרה, אך הנשק מצא את דרכו לידי האקרים בכל מיני מדינות בעולם ובראשן צפון קוריאה, רוסיה וגם סין.
שלוש המדינות הללו לא יכלו לחלום על מתנה יקרה מזו והחלו לנצל במרץ את הנשק המתוחכם לתקיפות סייבר ברחבי העולם. הנזקים עד כה נערכים במיליארדי דולרים. בין הנפגעים - חברות ענק וגם ארגונים ממשלתיים, כמו שירותי הבריאות של בריטניה, שהושבתו למשך שבועות בעקבות תקיפה שבוצעה בעזרת EternalBlue ושימשה להחדרת וירוס כופר מסוכן למחשבים המיושנים של מספר בתי חולים.
דלתות אחוריות
כדי להבין איך יתכן שמקורו של אחד מכלי הפריצה המתוחכמים בעולם בתחום הסייבר הוא דווקא בארגון העיקרי שאמון על הגנת הסייבר של הדמוקרטיה החשובה בעולם, צריך להכיר את NSA. הסוכנות אחראית על "מודיעין אותות" - ניטור גלובלי הכולל מעקב אחר אותות אלקטרוניים, איסופם ועיבודם, ופיתוח דרכי הצפנה ואותות עבור מודיעין חוץ וביון נגדי. בנוסף, הארגון אחראי על הגנת דרכי התקשורת ומערכות מידע הממשלתיות של ארה"ב מפני חדירה זרה.
ה-NSA אינו ארגון חדש או טירון. למעשה בו נכתבו חלק גדול מעקרונות תורת לוחמת הסייבר המודרנית. הסוכנות מפעילה מזה שנים סדרה של תכניות מעקב והאזנה אלקטרוניות, ששימשו את ממשלת ארה"ב לניטור כמעט כל תשדורת או פיסת מידע בעלת ערך מודיעיני.
לפני כמה שנים נחשף, למשל, כי למערכות NSA היתה גישה ל-8 מתקני ענק בערים מרכזיות בארה"ב, שמחזיקה חברת AT&T, "בזק" האמריקאית, המשמשים כמרכזי נתונים וצמתי תקשורת ראשיים. במתקנים אלה, שמבחוץ נראים כמו בונקרים אטומיים עצומים, היו חיבורים ישירים למערכות של ה-NSA, שדרכן הופעלו תכניות שונות. אחת מהן, Echelon, אף הופעלה בשיתוף פעולה עם מדינות ידידותיות כמו בריטניה, אוסטרליה וקנדה. המשמעות: לארה"ב היתה יכולת יירוט של כמעט כל תשדורת שבוצעה תוך שימוש ברשתות נתונים האזרחיות.
Echelon והדומות לה הוצאו לגמלאות רק בשנה האחרונה, לאחר שהתברר שעלויות הפעלתה עלו בהרבה על התועלת ממנה.
EternalBlue פותחה ב-NSA במקור כדי לנצל חולשה במערכת ההפעלה חלונות של מיקרוסופט, שאיפשרה "להזריק" נוזקות למערכת, או לחדור לרשתות נגועות ולהתקין בהן "דלתות אחוריות". מדובר ב"מפתח הגנבים" המשוכלל ביותר שהיה ל-NSA בארסנל שלה. היא איבדה את השליטה עליו במחדל שעד היום לא התברר עד תומו.
מבוכה במגרש הביתי
מי שהפך את הנשק הזה לזמין לכל דיכפין היא קבוצת האקרים מסתורית, שכינויה הוא Shadow Brokers. החבורה הזו הצליחה בדרך כלשהי להדליף את הכלי המסוכן אחרי שניסו לדרוש תמורתו תשלום כופר מממשלת ארה"ב עצמה. משהבינו שהמדינה לא מתכוונת לשלם להם, עברו לנסות למכור אותו בשוק השחור. לאחר שגם הניסיון הזה נכשל כנראה, הכלי שוחרר באופן חופשי ברשת.
EternalBlue היא בעצם פירצה. סוג של "חור" בתוכנה, שניתן לניצול בידי האקר מנוסה. דרך הפירצה הזו אפשר להחדיר נוזקה - חסימת כופר, וירוס או סוס טרויאני - ולהריץ אותה במערכת ההפעלה, תוך עקיפת מנגנוני ההגנה. ניתן גם לחדור לרשתות באמצעות חדירה למחשב וניצול הרשאות הניהול שלו.
לא מעט מבצעי ריגול או אירועי סייבר מתחילים מניצול פרצה מעין זו. דוגמה מצוינת לכך היא החדירה למחשבי תכנית הגרעין האיראנית והפעלת נוזקת סטוקסנט, שגרמה לנזק אמיתי. הנוזקה הזו, אגב, פותחה - על פרסומים זרים - בידי NSA וישראל במשותף.
לא טרחו לעדכן
מתקפת הסייבר המסתורית על בולטימור הביכה מאוד את הארגון. מטה הסוכנות שוכן במרילנד ונמצא בסמוך לעיר. במידה רבה, זו הייתה תקיפה ישירה במגרש הביתי שלה. אבל לא מדובר באשמתה הבלעדית. לפרנסי העיר היה קל להאשים את ה-NSA, אך מדובר בתוצאה ישירה של שורת מחדלים. בין השאר התברר, כי לפני כשנתיים שחררה מיקרוסופט עדכוני אבטחה שחסמו את פרצת EternalBlue, מה שאומר שהמחשבים בבולטימור לא היו מעודכנים.
ואכן, עיתון ה"בולטימור סאן" חשף, כי ארבעה סמנכ''לי אבטחת מידע פוטרו או עזבו בעירייה מאז 2012. יועץ אבטחת המידע רוב גרהאם ציין, ש"אם ארגון מחזיק במספר גדול של מחשבי חלונות שלא עודכנו בשנתיים האחרונות בשום צורה - מדובר בעצם באשמתו".
ולמרות זאת, אי אפשר לנקות את NSA בפרשה. היא ידעה על הפרצה כבר מ-2012 ועד 2017 לא טרחה לעדכן את מיקרוסופט לגביה. מה שאומר, שלפחות בשנים הללו היו מיליוני מחשבים ומערכות מידע חשופים למתקפה או לפחות לפריצה.
אלפי מחשבים נפגעו בבולטימור. ההאקרים דרשו 13 ביטקוין או כ-115 אלף דולר כדי לשחרר את ההצפנה ולהחזיר את המחשבים לשליטת העירייה. הם אפילו הסכימו לשחרר מספר קטן יותר עבור כשלושה ביטקוין, אך העירייה סירבה, אף שסביר להניח, כי הנזק שנגרם לתקציב העירוני עולה בהרבה על היקף הכופר שנדרש. מדובר בעמדה עקרונית של הרשויות בארה"ב: לא מנהלים משא ומתן עם מי שתוקף או מאיים עליך.
מחיר ההיאחזות בעיקרון היה גבוה: אזרחים נותרו ללא דרך לשלם מיסים עירוניים, קנסות או חשבונות מים. אלפי חשבונות מייל נמחקו, מה שמנע מפקידי העירייה לתפקד.
צמצום נזקים
בשנים האחרונות ירד קרנה של NSA בגלל שלל השערוריות שנקשרו בשמה. החל מתוכניות ההאזנה ההמוניות, מחדליה בשמירה על כלי התקיפה שלה, ואפילו ההדלפה העצומה של אדוארד סנודן, שהיה עובד של הסוכנות. כ-70 אחוזים מעובדי הארגון אינם שכירים של הממשלה אלא עובדי קבלן. כמו סנודן. מספרם מוערך בלפחות 35 אלף איש. בשנים האחרונות אוחדו סמכויותיו עם אלה של פיקוד הסייבר, וכיום מקובל שזו הזרוע העיקרית העוסקת בתחום.
במקביל, הקליינטורה של NSA מתמודדת עם בעיות, שקשה עד בלתי אפשרי להתעלם מהן. גם כשמשתדלים להתחסן מול תקיפות סייבר, הן באות מכיוונים בלתי צפויים.
הדוגמה הטובה ביותר לכך היא בתחום הבריאות. מתברר, כי מחשוב רפואי נחשב לחוליה הכי חלשה בעולם הסייבר. הסיבה: מכשירים רפואיים עולים הרבה כסף, ופעמים רבות הם מתבססים על מערכות הפעלה מיושנות. כך, למשל, לא נדיר למצוא מערכות MRI או משאבות תרופות המתבססות על חלונות XP, מערכת הפעלה שמיקרוסופט הפסיקה לתמוך בה לפני יותר משנתיים. מחקר של צ'ק פוינט הדגים לא מכבר כיצד ניתן בקלות להשתלט על מכשירי אולטרסאונד.
דו''ח שפרסם הפיקוח על הבנקים בישראל לפני מספר ימים מלמד, כי בנק ישראל תופס את איום הסייבר כסכנה העיקרית על יציבות הבנקים בארץ.
ובכל זאת, רוב המומחים מסכימים כיום שאין באמת אפשרות לייצר מערכות חסינות לפריצה לחלוטין. מהותה של רשת האינטרנט הופכת את ההגנה על מחשבים למשימה כמעט בלתי אפשרית. כל מכשיר הכולל בתוכו מחשב מכל סוג נמצא בסכנה. מתברר שהדרך היחידה להתמודד איתה היא בצמצום נזקים מראש ולא רק בהקמת חומות גבוהות יותר ויותר.