מתקפת הביפרים בלבנון, בספטמבר / צילום: Reuters, Balkis Press/ABACA
מתקפת הביפרים, שגרעה בחודש ספטמבר אלפי מפקדים מיחידות הטרור של החיזבאללה, הדגישה אולי יותר מכל שלרכש המוני של ציוד ממקור לא־בדוק עשוי להיות השלכות קטלניות. המתקפה כללה, על פי הפרסומים, התחזות לחברה אותנטית מטייוואן והקמת פס ייצור מקביל של ביפרים, שבהם הוטמנה פיסה דקה של חומר נפץ שלא היה ניתן לגילוי במכונות שיקוף. על פי דיווח של ה־CNN, ששוחח עם גורמים אמריקאים, המתקפה מיוחסת לשיתוף פעולה בין המוסד הישראלי לבין גורמי מודיעין צבאי.
● סטארט־אפ אמריקאי לייצור כטב"מים מציג הישג יוצא דופן בשמי אוקראינה
● בגיל 21 הוא חתם על אקזיט ראשון, עשור לאחר מכן הוא מיליארדר מבטיח, בתחום הנשק
קשה להאמין שמתקפה באיכות ובתחכום דומה עלולה להפיל בפח ארגונים במדינות מתקדמות - לא כל שכן בישראל, הנחשבת לבולטת במערכי הגנת הסייבר שלה. חיזבאללה למשל הוא ארגון מוקצה, ולכן לא היה יכול מלכתחילה לרכוש מוצרים מחברות לגיטימיות באופן ישיר. ויחד עם זאת, מתקפה שבאמצעותה חודרים גופים עוינים דרך מכשירי אלקטרוניקה שיוצרו במדינות הנמצאות בברית עם איראן ולבנון, הן עניין שבשגרה.
לאחרונה נבדק כיצד רכש חמאס מודיעין כה רב על בסיסי צה"ל לפני טבח ה־7 באוקטובר. גם אם פריצה לציוד מרחוק איננה נערכת בידי גורמים עוינים, הרי שעליו מותקנת מה שקרוי "דלת אחורית" - קוד תוכנה המהווה פירצה, ומאפשר לכל מי שאוחז בידע עליו לפרוץ למצלמה. לעיתים פרצות אלה מופצות בין מדינות החברות בציר האוטוקרטי - כמו סין, איראן ורוסיה - ולעיתים הן דולפות לרשתות אינטרנט עברייניות, שם הן נמכרות לכל המרבה במחיר.
לפי סדרת תחקירים שפורסמה בגלובס במהלך השנה האחרונה, עולה כי הצבא רכש בחודשים האחרונים אלפי רחפנים מתוצרת סין, ואף מתחזק צי של כלי רכב סיניים עבור קציניו. גם משטרת ישראל רישתה את הכבישים במצלמות סיניות כחלק מפרויקט "עין הנץ", וחברות אנרגיה רבות בישראל רוכשות ממירים סולאריים סיניים.
כך נמנעה מתקפת ביפרים
מתקפה מתוחכמת כמו מתקפת הביפרים שונה מאוד מרוב מתקפות הסייבר כיום, שעושות שימוש בדרך כלל בהשתלת קוד תוכנה זדוני הממתין ליום פקודה. נדיר יזרעאל, ממייסדי חברת הסייבר ארמיס וסמנכ"ל הטכנולוגיות שלה, מספר כי ביום מתקפת הביפרים לקוחות רבים התקשרו אליו, מודאגים לגבי האפשרות שפעולה דומה תבוצע נגדם. "מתקפה שכזו הביאה ארגונים רבים להיכנס לרשימת הספקים שלהם ולחשוב על הדרך שבה אפשר להעריך את מידת הסיכון שלהם".
החרדה מפני ציוד לא אמין - כזה שיוצר במפעל שלא ניתן לסמוך עליו או שעבר מניפולציה בדרכו לישראל - עשויה להיות גדולה יותר מפני מתקפת סייבר קלאסית, כיוון שקשה יותר להתגונן מפניו. "האתגר כאן הוא בפיקוח שאתה צריך לבצע לא רק על מה שקורה אצלך בארגון, אלא על כל האנשים שהיו מעורבים לאורך הדרך - וזה מורכב כאשר אין לך אפשרות להגיע פיזית לכל מפעל ולפקח אישית על הדברים", אומר ליאור עטרת, דירקטור מרכז המחקר לסייבר בג'נרל אלקטריק (GE Vernova), שהיה ממקימי מערך התקיפה האדום של צה"ל וכיום מסייע בהגנה על תשתיות חשמל. "הסיכון כאן מורכב הרבה יותר - אי אפשר לשים פשוט תוכנת פיירוול (חומת אש, א"ג) או אנטי־וירוס ולצפות שהנושא ייפתר".
למרבה הצער, אומרים המומחים, אין פתרון קסם לבעיה - ודאי לא חברה או טכנולוגיה שפותרת את הבעיה מקצה לקצה. "צריך לכתת רגליים ולבדוק את ההמלצות על ספקים, להשתמש בכאלה שיש להם נציגים בישראל ולא ללכת על הפתרונות הזולים, בניגוד לאינסטינקט", אומר עטרת. יזרעאל מוסיף כי גם שימוש בתחקירים ביטחוניים וחוקרים פרטיים עשוי לבוא בחשבון, בהתחשב בקריטיות של ספק המכשירים לארגון.
טל פיאלקוב, מנהל מחקר הבינה המלאכותית בחברת הסייבר דרים, שמאבטחת תשתיות קריטיות בתחנות כח ואסדות גז, מוסיף כי ניתן לשכור מומחי שבבים וחומרה שיבצעו השוואה מדגמית בין המוצר שהובטח לבין המוצר שהתקבל. "זה דורש השקעה, אבל רכיבי הליבה דורשים זאת". דרך אחרת היא ליצור מעין "ארגז חול" - כלומר לקחת את המכשיר למעבדה המנותקת מהרשת ולבחון כיצד היא עומדת במבחנים שונים.
ובכל זאת, מציין עטרת, שתי תעשיות טכנולוגיות צומחות על מנת לוודא שהסחורה מגיעה ממקור אמין: הראשונה עוסקת בתחום מניעת־החבלה במוצר, המכונה בתעשייה "אנטי טמפרינג" (Anti-tampering). אמצעים שמעידים על כך שאריזת מוצר - כמו מכונה או מצלמה - נותרה חתומה ולא עברה מניפולציה. "אלה יכולות להיות מדבקות ייחודיות שמודבקות על האריזה, מכשירים עם חיישנים שיכולים להעיד אם מישהו ניסה להרים או לסובב את החבילה, או אפילו צנרת נוזלים זעירה שכל שינוי במערך הנוזלים בה מעיד על נסיון מניפולציה", הוא אומר.
התחום השני שבו מזהה עטרת עלייה הוא רכיבי אלקטרוניקה, כמו חיישנים או שבבים הדורשים זה מזה "להזדהות" כאילו הגיעו מבחוץ. רק באמצעות שימוש בתוכנה המאפשרת להם לדבר זה עם זה, הם רוכשים אמון הדדי. אולם יש בכך גם סכנה: "זה יכול לייצר גם נזק, כיוון שתקלה במערכת ההזדהות הזו יכולה להשבית את המערכת כולה", הוא אומר.
"לא לרכוש תוצרת סין"
מה קורה כאשר המכשיר הבעייתי נחת כבר במשרדי החברה וכעת צריך להבין אם הוא מכיל רכיבים זדוניים? יזרעאל טוען כי ניתן לזהות פעילות זדונית על ידי זיהוי אנומליות בתקשורת בין המכשירים או בינם לבין תחנות התקשורת. "אם תבחן מה קורה לתקשורת שיוצאת ונכנסת מהמכשיר, או מה קורה ברשת התקשורת הארגונית שלך, תוכל לזהות דפוסים משונים - כמו למשל התקשרויות למקומות לא הגיוניים מחוץ לרשת במדינה בעייתית, או עם שרתים או כתובות אינטרנט שלא קשורות לארגון. קח לדוגמא מערכת הדמיית MRI בבית חולים שיוצרת לפתע קשר עם שרתים באסיה - אין סיבה שזה יקרה".
פיאלקוב מסתכל על תבניות משונות במגוון פרמטרים, כמו עלייה או ירידה בטמפרטורה של המוצר, אותות חשמליים והספקים, ולעיתים על ההשפעה של שינויי האותות הללו על הזיכרון הדיגיטלי של המכשיר או על שטח האחסון שלו. "כשיש גורם זדוני מקצועי מאחורי שינויי הפרמטרים הללו, הדבר יכול להיעשות לעיתים באופן איטי למדי, לאורך חודשים ואפילו שנים - כדי שהסיכוי לשים לב לכך יקטן".
נדיר יזרעאל מארמיס מציין כי לא לחינם הממשל האמריקאי מציב איסורים על רכש של ציוד סיני כמו מצלמות, שרתים ושבבים - לא רק בממשל עצמו אלא גם בקרב הספקים שלו. "בישראל לא קיבלו את האיסור האמריקאי - אולי בגלל שיקולים של מחיר", הוא אומר. "גם אם לא תמיד ההאקרים שעושים שימוש ב'דלתות האחוריות" הם בעלי זהות סינית, הם יכולים לפרוץ למכשירים בזכות הדלת האחורית שהשאירו שם הסינים. לכן ההמלצה הגורפת במערכות הקריטיות היא לא לרכוש מכשירים תוצרת סין, שכידוע, במציאות הנוכחית אינם מיודדים עם ישראל".