"השווקים הקיברנטיים הופכים ליותר ויותר משוכללים. בעבר, כאשר גורם מסוים רצה לפגוע במערכות מחשוב, למטרות של חבלה, גניבה וכו', הוא כתב וירוס, תולעת, סוס טרויאני, תוכנה מזיקה או כל אמצעי פגיעה אחר – אבל את הפעילות הוא נאלץ להתחיל מ'דף חלק'. כיום, עומדת לרשותו תשתית ה-Darknet". כך אומר משה ישי, מנכ"ל חברת קומסק, החברה הוותיקה בישראל בתחום אבטחת מידע. בין לקוחות החברה בנקים, חברות ביטוח וחברות פיננסיות אחרות בישראל ובחו"ל, והמגזר הפיננסי מהווה כ-45% מסך פעילות החברה.
הדארקנט היא רשת מקבילה לאינטרנט שמתנהלת באופן אנונימי (ללא חשיפת הזהות של המשתמשים וללא חשיפת כתובות ה-IP של המשתמשים). הרשת הזו נמצאת למעשה מבחינה פיזית על גבי רשת האינטרנט, אך אינה נגישה למשתמשי האינטרנט הרגילים. עם זאת, רשת הדארקנט עשויה להיות נגישה לכל מי שמתקין תוכנה מתאימה, ולכן כמות משתמשי הדארקנט אינה מוגבלת ועולה ככל שנוקף הזמן. רשת הדארקנט מציעה מגוון של מידע וכלים ובכללם פוגענים ו"כלי נשק" קיברנטיים (סייבריים), כך שכל אחד יכול לקנות ולסחור בהם. כלומר, לכל אחד יש גישה לערכות פיתוח שיכולות לשמש לפגיעות. התשתית כבר מוכנה, והשאלה היא רק איזה מחיר מוכנים לשלם תמורתה.
במה סוחרים בעולם האפל הזה?
"קיים מושג של 'מתקפת יום-אפס' (Zero-Day). המתקפות האלה מבוססות על פרצות אבטחה שקיימות במערכת אך אינן מוכרות לציבור (לא ליצרן המערכת ולא לצרכנים שלה) עד 'יום האפס', כלומר עד היום שהם מגיעות לתודעה ציבורית. אחרי שפירצה כזו נודעת, נניח פירצת אבטחה במערכת הפעלה של מיקרוסופט, כמובן שהחברה וחברות האנטי-וירוס פועלות מיד לחסום אותה. אבל עד יום האפס, בעל המידע על הפירצה, מחזיק למעשה בנשק יקר מפז ואין שום מנגנון הגנה שמכיר אותו.
"כיום, סוחרים במידע כזה. בעבר, מי שגילה Zero Day היה בעצם הממציא של הוירוס. הוא היה גם מפתח התוכנה וגם הפושע. כיום, אם הצלחת להמציא Zero-Day, אתה יכול למכור אותו בזירות מכירה מיוחדות במרחב הדארקנט. זה הופך אותם להרבה יותר נגישים, כולל התמקדות בסביבה מסוימת, נניח כאלה שמתמחים בתוכנות של חדרי מסחר וכד'".
עולם הדארקנט הוא כולו של "רעים"?
"תפיסת הטוב והרע לא תמיד ברורה. חלק מ'הרעים' עשוים להיות בתפיסת העולם שלנו גורמים לגיטימיים וטובים מוסרית, ואין סיבה לחשוב תמיד במונחים של פושעים פליליים. המוטיבציה של גורמים כאלה היא לתרום ידע למאגר הזה, כדי שביום מן הימים הם יוכלו לקבל ידע שבאמצעותו יוכלו לתקוף גורם שהוא באמת רע גם לפי אמות המוסר שלנו. זו גם יכולה להיות, לדוגמה, מדינה שרוצה להזיק לארגון טרור שמאיים עליה. חשוב שלא נהיה נאיביים, כולם נמצאים בדארקנט, כולל גורמים שרוצים לתפוס את הגנבים הפוטנציאליים, פעילי זכויות אדם, ולרבות אנשים שבמוסכמות שלך ושלי נמצאים בעולם החשוך".
איפה עובר קו פרשת המים?
"השאלה היא האם אותו גורם רוצה לעשות לך משהו רע או לא. אם הוא טוב מבחינה מוסרית, הוא לא ירצה לדוגמה לפגוע בבנק כלשהו, וגורם אחר כן יתכנן פגיעה כזו. אבל חשוב להבין ששניהם נמצאים באותו מרחב ושותים מאותה באר".
איך אתה רואה את האופן שבו הבנקים מגינים על עצמם?
"הבנקים מגינים על עצמם בצורה יפה ובהחלט מובילים בתחום הזה, אבל זה לא אומר שהם מוגנים הרמטית. אם הייתי מחלק את כל עולם האיומים, מחצית מהאיומים לא יכולים לאיים על הבנקים, לעומת סקטורים אחרים שחשופים לכל מתאר האיומים הקיים או לרובו. ועדיין, ראינו פגיעות בבנקים ברחבי העולם, החל מהפלת מערכות, השבתת מערכות, גניבת מידע, שיבוש נתוני אמת ועד גניבת כסף".
בשנה שעברה התרחשה סדרת מתקפות על בנקים בעולם שכונתה Operation-High-Roller. איך פעלו התוקפים?
"במתקפות האלה נגנבו תיאורטית שני מיליארד יורו, אבל אחרי שהבנקים חשפו אותן ותיקנו פעולות, הנזק הסתכם ב-78 מיליון יורו שלא הצליחו לאתר. מי שעשה את זה, ידע איך בנקים עובדים ומהן ההגנות שהם מפעילים, ולכן ניסה לחדור דרך מקומות לא מוגנים. מדובר במהלך שנועד לגנוב כסף באמצעות מספר גדול של העברות לצד ג'. התוקפים ידעו איזה כמות כסף ניתן להעביר מבלי שיעלו עליהם וגם היו מודעים לכך שיש בבנקים מערכות שמתריאות על העברות בשיעור מסוים מהיתרה בחשבון.
"לדוגמה, יכולות להיות העברות רבות בסכומים שונים ולא עגולים, שלכאורה אין שום קשר ביניהן, אבל המערכת הבנקאית מגלה שכל אחת מהן היא בדיוק 2% מהיתרה בכל חשבון שממנו יוצא כסף. זה אומר שמדובר בפעולה 'לא אנושית', וגילוי כזה מיד יקפיץ התראה בבנק. מאחר שהנוכלים במתקפות שכונו Operation-High-Roller ידעו שקיים מנגנון התראה כזה, הם ביצעו הגרלה רנדומאלית לרכיב האחוז של ההעברה בכל חשבון. זה נותן מושג עד כמה מהלכי ההונאה כיום הם מרחיקי לכת".
המשמעות היא שהנוכלים של היום חייבים להכיר טוב יותר את העולם התפעולי במערכת הבנקאית, ולא רק את הכלים הטכנולוגיים שמאפשרים תקיפה של המערכת.
"זה לא חייב להיות אותו גורם. אנחנו חיים בעידן חברתי של קהילות ידע משתפות, והסכנה היא ששני אנשים יחברו למטרה משותפת – אחד מגיע מהעולם הפיננסי, כגון עובד לשעבר בבנק או מישהו שעובד בו כיום, שמכיר היטב את כל תהליכי העבודה ויודע איך להפיק מהם רווחים, והשני יודע איך להתחבר לעולם הדארקנט, כדי להשיג את הכלים הטכנולוגיים הדרושים לביצוע הפריצה למערכות הבנק.
"ניהול הסיכונים בבנקים התנהל עד כה ברובו בשני העולמות באופן נפרד. בעולם הסיכונים התפעוליים מפעילים מנגנונים לנטר פרצות שעלולות להיות מנוצלות על ידי גורמים שמכירים את המערכת מפנים. ואילו בעולם של סיכוני אבטחת מידע, בודקים את המערכות האלה כדי להבטיח שלא ניתן לנצל פרצות אפשריות.
"הבעיה היא שעד היום לא היתה אינטרקציה בין הגורם של הסיכון התפעולי לבין הגורם של אבטחת המידע. במקרים רבים אנשי הסייבר לא יודעים שיש ערך למהלכים מסוימים, אבל יודעים איך לבצע אותם טכנית. בעידן הסייבר הנוכחי, גורם שמכיר היטב תהליך בנקאי מסוים וחושב באופן זדוני על מהלך הונאתי דמיוני, יכול כעת, בזכות השווקים המפותחים והידידותיים של הדארקנט, להעלות שאילתא האם מישהו יכול לבצע איזושהי מניפולציה למערכת. במקרה של הדארקנט הסיכוי שיימצא מישהו שיוכל לספק לו את "הפתרון" הוא גבוה! וכך למעשה ההאקר הטכנולוגי, אשר יודע לבצע את 'העקיפה' הטכנולוגית, אינו מכיר את התהליך העסקי או את מהות ההונאה העסקית, אך החבירה המשותפת של שני אנשים שאינם מכירים אחד את השני לשם ביצוע זממם, מביאה אותנו למציאות שלא הכרנו בעבר.
"לכן, הסכנה של מחר, שאליה הבנקים חייבים להיערך מבוססת על כך ששני הגורמים האלה יושבים סביב שולחן אחד – אחד מכיר את התהליך הבנקאי-עסקי ויודע איך להפיק ממנו רווח, והשני בעל יכולת טכנולוגית".
חשפתם סיכונים כאלה?
"היה מקרה שבמערכת מסחר במט"ח מצאנו אפשרות לבצע Replay-Attack, כלומר התקפה שמורכבת למעשה משכפול של הודעת פעולה שמבצע משתמש לגיטימי, ושידורה מספר פעמים. אם יש לך לדוגמה מאה דולר בחשבון, אתה יכול לפתוח פוזיציה במט"ח בסכום של מאה דולר, אבל כתוצאה מ-Replay Attack תוכל לפתוח פוזיציה של מיליון דולר.
"בבנק אמרו לנו, שמאחר שכל הפקודות מגיעות למערך האחורי בסוף היום, הוא יגלה את זה ולא יבצע את ההוראות. עקרונית זה נכון, אבל אם התוקף יבצע את המניפולציה הזו באמצעות בנק אחד, כך שלדוגמה, במהלך היום שערי המט"ח יעלו כתוצאה מהזרמת ביקושים, ויפעל במקביל אמצעות בנק אחר (או מספר בנקים במקביל) למכירת אותו מט"ח (או מכירה בחסר וכיו"ב) – עד שזה יתגלה, הוא יגרוף רווחים. לכן, חשוב לחבר את כל הסיכונים ולבצע סקר סיכונים שמקיף את כולם במקביל. מישהו יכול להעלות את הסיכון הבא: אם הייתי מסוגל לקבל במערכת טרנזקציות בפערי זמן, הייתי מרוויח הרבה כסף, ואז אומרים: בואו נבדוק אם אפשר לשנות את הזמנים במערכת ונסגור פרצות, אם קיימות, כדי שלא ניתן לבצע פעולות כאלה".
לדברי ישי, מחירי ה-Zero-Day, אשר הרקיעו שחקים במרחב הדארקנט, יצרו מציאות שבה גורמים מפוקפקים לא רק מוכרים בדארקנט את ה-Zero-day שהם גילו, אלא גם מחפשים באופן פעיל קונה פוטנציאלי. יתרה מכך, קיים חשש קונקרטי שבשל המחיר הגבוה, שעשוי לעבור את מיליון הדולר ואף יותר מכך, יהיו אנשים אשר לא רק יחפשו אלא גם ייצרו באופן פעיל "חורים במערכת".
לדוגמה, מישהו יצטרף כ"עובד בנק" אשר אמון על פיתוח מערכת ויפתח בחשאי גם דלת אחורית או חור במערכת. כיום יש לגורם הזה יותר מוטיבציה, מפני שהוא אינו צריך להשתמש בעצמו ב"חור" שהוא יצר, אלא יכול למכור אותו במיליוני דולרים בדארקנט. זה מאפשר לו לסיים בכך את השתתפותו בפשע ולצמצם את הסיכון לחשיפתו. מנהלי הסיכונים בבנקים חייבים לחשוב כיום גם על האפשרויות האלה.