יום שבת, 8 באוגוסט 2020

395 Securing Critical Infrastructure

פודקאסט מספר 395 של רברס עם פלטפורמה - התאריך הוא ה-28 באוגוסט . . . לא, 28 ביולי 2020 (לך תדע בשנה הזאת), אורי ורן באולפן הקט בכ-רכור
(אורי) מותר להגיד ככה?
(רן) אסור, אבל חשבתי קצת לעשות צחוקים בהתחלה, למה לא?
(אורי) טוב, אבשלום קור לא רודף אחרינו (מאז הפרק עם שרונה, לך תדע).
(רן) יש כזה טור מאוד מצחיק של יורם טהר-לב, אני אחפש ואתן לך רפרנס (גם לנו?)
והיום יש לנו את הכבוד הגדול לארח את עידן מ-GE - שלום עידן! ברוך הבא ותודה על שעשית את כל הדרך עד לפה.
היום אנחנו הולכים לדבר עם עידן על אבטחה של מערכות קריטיות, דוגמת מערכות מים, מפעלים ודברים כאלה.
(אורי)  . . . וחשמל, ובסיסי נ”מ, ו . . .
(רן) כן, תיכף נגיע גם לרפרנס של הנ”מ.

אבל לפני כן - עידן, ספר קצת על עצמך ועל החברה שבא אתה עובד:
  • (עידן) בשמחה - עידן בן ארי, בן 33, מהרצליה; אבא לילדה מקסימה בת 3 ונשוי למרי
  • אני חוקר אבטחת מידע וארכיטקט אבטחת מידע ב-General Electric, בחטיבת הדיגיטל - אני חלק מקבוצה שאחראית על כל מערך הגנת הסייבר של המוצרים שמייצרים בחחברה.
  • למי שלא מכיר - General Electric זו חברה שמייצרת המון דברים, החל מרכבות, תוכנה לכורים גרעיניים, טורבינות גז, טורבינות למטוסים - והרבה מאוד תוכנה, שנמצאת על גבי תשתיות קריטיות, בעולם וגם בארץ.
  • אנחנו אחראים על הגנה על המערכות שמפתחים בתוך GE - אנחנו קבוצה פנימית, אנחנו לא נותנים ייעוץ החוצה.
  • בעצם, כל המוצרים שמפתחים בחברה מגיעים לידיים שלנו - ואנחנו מבצעים עליהם Security assessment ו-Penetration Testing, ועוזרים בכל מיני דברים מסביב ל-Security, במטרה שכל המוצרים שהחברה מייצרת יהיו מוגנים.

(רן) אגב GE - שמעתי לא מזמן פודקאסט מעניין שבו דיברו על משברים, זה היה בהקשר של הקורונה, על הקשר שבין משברים ל-Innovation, ולמדתי שבתקופה של המשבר הגדול, GE פרחה למרות שכולם היו בנפילה, בזכות ההשקעות הגדולות שלה ב-Innovation ומחקר (ב-2018 זה נשמע קצת אחרת, פרספקטיבה מעניינת); בסופו של דבר הם הגיעו עם מכונות כביסה לשוק ושואבי אבק, זה היה קצת יותר מאוחר - אז לפחות יש לך היסטוריה עשירה  . . . 
  • (עידן) אני שמח שאתה מזכיר שואבי אבק ודברים כאלה, כי תמיד כששואלים אותי מה אני עושה . . . 
  • (אורי) “אתה עובד במקררים!”
  • לפני כן, זה בדרך כלל מתחיל עם “אתה מ- General Motors . . .” - אז לא General Motors, זה General Electric
  • והדבר ששואלים אותי זה על שואבי אבק ומקררים - אני לא יודע למה בארץ יש את התפיסה הזאת, זה רחוק מאוד ממה שבאמת אנחנו עושים, אני חושב שזה קצת יותר בהיסטוריה של General Electric.
  • היום הפתרונות הם לדברים שקשורים יותר לעולם התעשייתי, כמו שציינתי מקודם
  • (רן) אתה יודע, זה גם הגיוני שה-Consumer מכיר את עולם ה-Consumer, למרות שאתה מן הסתם לא נמצא שם . .

אז מה עם תשתיות קריטיות? בוא נחזור לזה רגע - מהי ההגדרה של תשתיות קריטיות?
  • (עידן) תשתיות קריטיות הן מערכות שמוגדרות כך שאם תיהיה בהן איזושהי פגיעה, אז זה יוביל לאיזשהו שיבוש בחיי החברה (Society) שלנו
    • זה יכול להיות בכל העולמות של תשתיות חשמל, תשתיות מים, תעבורה . . . כל העולמות האלה.
    • ו-GE באמת מייצרת המון פתרונות תוכנה בכל מיני Levels סביב הדברים האלה
  • העולמות האלה של תשתיות קריטיות - אלו דברים שקצת היו נסתרים, קצת הצליחו להתחמק מכל הנושא של התקפות סייבר, אבל בשנים האחרונות אנחנו רואים . . .
(רן) אז אולי סתם ניחוש פרוע - אני לא מגיע  מהעולם הזה - אולי בעבר הן לא היו כל כך מחוברות לרשתות, או שאולי היכולות היו יחסית מוגבלות, ועם הזמן התחילו לחבר את הדברים האלה, והן פתאום נהיו גם יותר פגיעות?
  • (עידן) לגמרי, זה בדיוק מה שקרה.
  • יש איזושהי מגמה בשנים האחרונות, כי הרבה דברים, בהתפתחות של עולם ה-IoT, לחבר את הכל לאינטרנט
    • בעצם בעולם הזה, כשהתחילו לבנות את המוצרים האלה - את כל פתרונות התוכנה וגם את כל פתרונות החומרה - אנחנו מדברים פה על שנות ה-70 ושנות ה-80, לא היה מושג כזה של “אבטחת מידע”, בחלק מהשנים האלה בכלל לא היה אינטרנט ובטח שלא ידעו לפתח קוד בצורה מאובטחת, ולא ציפו שיום אחד הכל יהיה מחובר לאינטרנט (Douglas Adams דווקא כן . . .), וזה מה שקורה בשנים האחרונות.
    • יש לדברים האלה השלכות מבחינת אבטחת מידע - הדברים האלה, בסופו של דבר, לפעמים קצת רחוקים מאיתנו, או לפחות ככה זה מרגיש, אבל אלו דברים שאנחנו משתמשים בהם כל יום
      • תשתיות קריטיות זה החשמל שמגיע אלינו הביתה, אבל זה גם המעליות, שאולי הן לא קריטיות אבל יש את כל העולם התעשייתי, כל העולם הזה של הבקרים.
      • זה נמצא בכל מקום, כל הדברים שאנחנו צורכים - כמעט כולם מיוצרים במפעלים שמנוהלים ע”י בקרים, מזגנים בבתים חכמים ובניינים ….
      • יש השלכות מאוד גדולות להתקפות על הדברים האלה.

(רן) אז אולי באמת נתחיל ככה קצת בפיקנטריה, ואח”כ נכנס לטכנולוגיה - אני בטח שחלק מהמאזינים זוכרים איזושהי התקפה (לכאורה…) של גורם כלשהו על מערכות צנטרפוגה באיזשהו כור גרעיני, אבל על זה לא נדבר (יכולים להשלים כאן או כאן).
  • (עידן) אפשר לדבר גם על זה . . .
(רן) אבל לא מזמן הייתה, ככל הנראה, אני חושב, על פי עיתונות זרה, לא יודע אם זה פורסם - התקפה בישראל על מקורות המים . . .
(אורי) זה היה ב-67, לא? (1964 . . .)
(רן) אז השנה עכשיו היא 2020 (לכאורה . . .), כן . . .
(רן) עכשיו כל ההתקפות הן וירטואליות
(אורי) לא מעניין . . .
(רן) לא מפגיזים יותר (בינתיים?) . . . אבל זה לא פחות מסוכן, מסתבר.
אז הההתקפה על מקורות המים - עידן, אתה עוד מעט תרחיב - בגדול, ככל הנראה התקפה של גורמים זרים שהרעילו או איכשהו פגעו באיכות המים, או לפחות ניסו לפגוע באיכות מים, ויכלו לגרום לנזק רציני אם ההתקפה הזו הייתה אכן הייתה מצליחה.
אז מה אנחנו יודעים על הסיפור הזה?
  • (עידן) בין ה-24 ל-25 באפריל השנה, יושבים כמה מפעילים, Operators, בחדרי בקרה של מפעלים לטיהור מים, טיהור שפכים, אנחנו לא יודעים בדיוק את הפרטים עד הסוף - לפי מה שאנחנו שומעים, הם מתחילים לראות את משאבות המים במפעלים מפסיקות לעבוד.
  • musical noteמערך הסייברmusical notes  כנראה מקבל התראות מכל מיני מקומות על זה שזה קורה בו-זמנית, והם מבינים שמדובר בהתקפה של גורם עויין
    • אנחנו לא יודעים מי זה הגורם העויין, או איך הוא הגיע למערכות האלה
    • יש הרבה מאוד פרסומים בארץ ובעולם לגבי מקור התקפה או איך הגיעו
    • אפשר להבין מהפרטים המעטים שאנחנו מקבלים . . . לנסות ולגבש איזושהי תיאוריה או כמה תיאוריות לגבי מה שקרה שם.
  • (רן) ואם ההתקפה הזו הייתה מצליחה - זה היה יכול להסתיים באיזושהי הרעלה, אם אני מבין נכון, של אזרחי ישראל, או לפגיעה משמעותית בטיב המים.
  • (עידן) כן, זה חלק ממה שפורסם . . .
  • (אורי) יודעים שזו הייתה הכוונה, או שזה סוג של ספקולציה?
  • (עידן) זו ספקולציה . . . מה שאנחנו יודעים בוודאות זה שהייתה התקפה - musical noteמערך הסייברmusical notes הוציא הודעה רשמית על זה שהייתה התקפה
    • מה שהוא אמר לכל האנשים שמנהלים את המתקנים האלה זה לנתק את המתקנים מהאינטרנט כמה שאפשר, להחליף סיסמאות ולעדכן את התוכנה שבבקרים האלה.
  • עכשיו, מה שאני לפחות לומד מזה זה שכנראה לא מדובר פה באיזושהי התקפה סופר-מתוחכמת, אתם יודעים, שאוייב הצליח לחדור עמוק לתוך המערכות, לתוך הבקרים - סטייל מה שאתה אמרת קודם על צנטרפוגות . . .
  • (אורי) העניין הוא שכשעשו את התקפת ה . . זה ששמעתי אצל רן לוי בפודקאסט (- תלונות צנזורה אליו בבקשה), בהתקפה של הצנטרפוגות גם הצליחו ליצור מצג-שווא במערכות ה-Monitoring.
  • (עידן) זה סיפור מרתק . . . הנוזקה (Malware) הזו שהצליחה לחדור לשם, ואיך שהיא הצליחה לחדור לשם, זה גם כן . . .
    • (אורי) זה היה Stuxnet, נכון?
    • (עידן) Stuxnet, כן, ב-2010.
    • מה שהתוכנה הזו עשתה היה שהיא הצליחה להגיע כבר ממש לרמת הבקרים עצמם - לא רק לשכבת הניהול אלא לשכבה אחת יותר עמוקה, לבקרים.
    • אנחנו יודעים את זה “פשוט” כי חוקרים עשו Reverse Engineering ל-Malware וראו אותו, וגם הצליחו להתאים את ההתנהגות של ה-Malware בדיוק למבנה של הצנטריפוגות שם.
      • אז אנחנו יודעים היום בוודאות שה-Malware הזה אכן כוון לשם.
    • מה שקרה שם זה שה-Malware הקליט את כל החיישנים שעל הבקרים של הצנטרגפוגות, ואז שידר חזרה (ל-Monitoring) שזה מה שממשיך לקרות (מה שהוקלט) - אבל בעצם (בפועל) הוא הגביר קצת או האיץ קצת את (קצב) הסיבובים של הצנטריפוגות.
    • זו אסטרטגיה מעניינת, כי זה לא שניסו בשנייה אחת לפוצץ הכל, לסובב במהירות ולפוצץ - אלא ניסו לגרום לצנטריפוגה להסתובב במהירות שתיצור נזק מצטבר לאורך זמן - ושיהיה מאוד קשה לגלות את זה ולהבין . . .
      • אם משהו מתפוצץ לך את ישר מחליף הכל
      • אם אתה רואה נזקים כאלה, אז עושים Reset-ים וכאלה, כמו שאנחנו תמיד עושים . . .
  • (אורי) וזה לא מה שקרה . . . פה כנראה לא היו כנראה עד כדי כך מתוחכמים?
    • (עידן) כנראה שלא, כי אני חושב שהתראות או להגיד למפעילים לנתק מהאינטרנט לא היו עוזרות פה . . .
    • אם יש לך Malware בתוך הציוד, אתה בבעיה מאוד חמורה, אני מניח שבדקו את הדברים האלה.
    • אני לא יודע איזה מחקר עשו שם, אני מניח שעשו איזשהו מחקר פורנזי (Forensic) אחר כך, לראות את מידת ההדבקה, אבל . . .
  • (אורי) זרקת פה מושג  - מחקר פורנזי (Forensic). אתה יכול להרחיב על זה? עושים את זה הרבה כשיש התקפות סייבר . . 
    • זה כזה Post-Mortem של אחרי חדירה -  יש אנשים שמתמחים בזה, הם יודעים לקחת את הציוד, להעתיק את כל ה-Hard-disks, להעתיק את כל ה-Data ומנסים לחקור מאיפה הגיע התוקף, מה הוא עשה, איזה מידע הוא השיג וכו’.
    • אני מניח שזה מה שעשו גם בארץ, אבל אני לא יודע אם יפרסמו אי פעם את התוצאות של הדבר הזה.

(רן) אז בוא נדבר קצת יותר טכנולוגיה - הזכרת מקודם את המושג SCADA, אז אם תוכל לפרט, לספר מה זה -  הזכרת שיש כמה רמות, דיברת על בקרים והזכרת שיש עוד כמה רמות.
איך נראה מתקן טיפוסי כזה? אילו רכיבים יש שם? מה החולשות שלהם? מה עושים איתם?
  • (עידן) אוקיי - אפשר לקחת את החלקים המרכזיים של עולם ה-SCADA ולנתח מה הם, ומה המשמעות שלהם, מה שהם עושים -
  • אז SCADA זה Supervisory Control And Data Acquisition  -שליטה ובקרה בתהליכים פיזיים
    • כמו בכל העולמות האלה שציינו מקודם
  • הרכיבים המרכזיים ביותר . . . נוהגים להסתכל על  זה בשכבות - שכבה 0 עד שכבה 5
  • בשכבה 0 יש לך את הבקרים עצמם - אלה הרכיבים שיש להם Inputs ו-Outputs כאלה . . . תחשבו משהו בסגנון כזה של Arduino או Raspberry Pi, שמחובר לחיישנים מצד אחד, ומצד שני למשהו שנקרא “אקטואטורים” (Actuators)
  • הוא מקבל נתונים מהחיישנים - זה יכול להיות חיישני טמפרטורה, זרימת מים, מתח . . .כל דבר שאתם יכולים לחשוב עליו, יודעים היום לקלוט את המידע הזה עם חיישנים.
  • הבקר הזה, ה-PLC (שזה Programmable Logic Controller) - יש להם איזושהי לוגיקה פנימית, שאפשר לשנות ולכתוב אותה, בדרך כלל בשפת  Ladder Logic
  • בהתאם ל-Inputs שהיא מקבלת מהחיישנים, ולקוד שלה, היא מבצעת פעולות . . .
  • (רן) אז זה “המוח”, זה ה-Business Logic של המתקן - נגיד: “אם הטמפרטורה גבוהה מדי, תפעיל מאוורר” או דברים בסגנון הזה.
  • (עידן) בדיוק - בוא נשאר בעולם הזה של מתקני טיהור מים, אז יש איזשהי משאבה, ששואבת מים ממקור מסויים, דוחפת את המים דרך Pipes (צינורות) לתוך מיכל - ובתוך המיכל הזה יהיו לך עוד כל מיני חיישנים
    • יהיו לך חיישן בחלק התחתון, שמזהה את גובה המים, ועוד איזה חיישן בחלק העליון של המיכל, שיזהה את החלק העליון של מים.
    • ואז לבקר הזה יכולה להיות לוגיקה שאומרת “אם המים נמצאים מתחת ל-Threshold, אז תפעיל את המשאבה”, ואז המשאבה מכניסה מים, עד שהיא מגיעה לחלק העליון - “תפסיק”.
    • זו ככה דוגמא קלאסית ללוגיקה של בקר.
  • השפה הזאת שרצה עליו נקראית Ladder Logic - זה מעיין שפת תכנות גראפית כזו, שכתבו אותה עבור מהנדסי חשמל בכלל - 
  • (רן) למרות שהזכרת שזה יכול להיות גם Raspberry Pi, וב-Raspberry Pi אתה יכול לכתוב כמעט בכל שפה; ב-Arduino אולי לא בכל שפה אבל לפחות ב-C . . .
    • בעולם המודרני היום אתה יכול כבר להשתמש בשפות מודרניות, נכון?
  • (עידן) כן, בקרים חדשים יותר תומכים גם בשפות יותר חדשות - C, אני חושב שגם ראיתי פעם Java ו-#C - אבל הרוב זה שפות . . .

(רן) אוקיי, אז אמרת שיש חמש שכבות - וזו שכבה 0, השכבה הפנימית ביותר, ששם נמצא ה-Business Logic, מגניב. 
מה מעל?
  • (עידן) מעליה יש לנו את שכבה מספר 1 - שכבת הניהול:
    • שם אנחנו נמצא בדרך כלל את ה-HMI - ה-Human-Machine Interface. זה, אם תרצו, “המוח” של התהליך.
    • (אורי) והוא מן הסתם ירכז הרבה מאוד בקרים?
    • (עידן) הוא מרכז את הבקרים - בדר”כ יש שם איזושהי מערכת שרצה על Windows, ויש שם איזושהי תוכנה שיש לה ממשק גרפי כזה
      • אתה תראה, גראפית, את המיכל שלך ואת החיישנים ואת המדדים שלהם, ויהיו לך כל מיני כפתורים, כך שאתה יכול לשלוט בבקרים
      • אלו דברים שבד”כ יקרו בתהליך - יכול להיות לך איזשהו כפתור אדום כזה שאתה לוחץ עלו והוא עוצר את התהליך, או להזרים עוד מים או להוציא וכו’.
    • המערכות האלה בנויות ככה, במיוחד מערכות SCADA שהן יחסית פתוחות, אז אתה יכול לתכנן אותן איך שאתה רוצה, ולשנות כך שיעבדו בדיוק לפי הפרמטרים שלך - זה הרכיב המרכזי שם
    • יש עוד רכיב, שרת אחר שנקרא Engineering Work Station, שזה שרת שהוא מיועד כדי לקנפג (Configure) את הבקרים, להוריד אליהם תוכנה חדשה, Ladder Logic כזה - זה מה שיהיה בשכבה 1.
    • (רן) זה ה-App Store . . . לעדכוני תוכנה של הבקרים
    • (עידן) אפשר להסתכל על זה ככה, כן . . . אני חושב שזה קצת יותר פרימיטיבי מזה . . .
    • (רן) ודאי . . . 100%

אז שכבה 0 זה הבקרים עצמם; שכבה 1 זה השכבה של “המוח”, כמו שקראת לזה, בדרך כלל נמצא על PC ויש בני אדם שמתממשקים ויש לזה בדר”כ ממשק גראפי - מה מעל?
  • (עידן) מעל יש לנו את כל הרכיבים שהיו קצת יותר מוכרים לעולם שרובנו מכירים, לעולם ה-IT - 
    • יש שם שרתי FTP ו-Active Directory וכל מה שצריך מסביב בשביל העבודה היום-יומית של המפעילים
  • (רן) האמת שפה חשדתי (!) - למה צריך שרתי FTP ו-Active Directory במתקנים כאלה? . . .
  • (עידן) ניהול משתמשים . . עדיין יש לך Windows, רוב העולם הזה הוא מבוסס Windows ואתה צריך לעשות Log-in למערכות האלה, ויש שם המון פעילות שהיא די דומה למה שרובנו עושים במשרד ביום-יום . . .
    • (אורי) רשת, ניהול רשת . . .
  • (רן) אוקיי, 100%, אני פשוט מודאג מה-Attack Surface שהולך ומתרחב . . .
  • (עידן) אתה לגמרי צודק  - אז בוא נרחיב את ה-Attack Surface: דברנו קודם על זה שדברים מחוברים היום יותר ויותר לאינטרנט, אז זו בדר”כ השכבה 3 הזאת - זה יהיה המקום שאליו יחברו גישה מהאינטרנט
    • יש שכבת DMZ, והשכבת DMZ הזו מחוברת לשכבה 3
    • ואז יהיה הרבה פעמים איזשהו VPN, שיהיה אפשר מה- Corporate Network  להיכנס למפעל
    • ושם הדברים באמת כבר מתחילים להיות מסוכנים . . .
  • (רן) אנחנו עדיין בשכבה 3, נכון?
  • (עידן) כן - זו שכבה 3, ה-DMZ זה שכבה 3.5 - ו-4 אנחנו כבר ב-Corporate Network, הרשתות שאנחנו מכירים
    • אני חושב שרוב האנשים יודעים על מה אנחנו מדברים
  • (אורי) “Corporate Network” מדבר על מקרה של “מה אם יש לנו את הבקר של המשאבה, יש לנו את המערכת של המתקן …”, נכון?
    • (עידן) ה-HMI, כן
  • (אורי) . . . “יש לנו את הרשת שמנהלת את המתקן” - ועכשיו ב-Corporate Network אתה מדבר בכלל על “הרשת של מקורות”, מקורות כ”חברת המים”.
    • (עידן) במקרה של המים אני לא יודע להגיד איך נראה ה-Corporate Network,  זה יכול להיות באמת מקורות
    • אם אתם רוצים ללכת לעולמות אחרים - זה יכול להיות גם חוות טורבינות רוח, שיש איזושהי חברה שמפעילה אותן, ולחברה הזאת יש עובדים ויש לה HR יש לה מפתחים . . . 
    • (אורי) איפשהו צריך לקבל את האימיילים, וצריך שיהיה Knowledge base . . .
    • (עידן) וגם רוצים מדי פעם, ב-Click, להסתכל ולראות כמה חשמל מייצרות היום הטורבינות שלנו וכמה כסף הן עושות לנו - אז יהיה את ה-VPN הזה, את החיבור המרוחק הזה, אולי אפילו Wireless, למפעל שלנו, אל המתקן.
(רן) אוקיי, 100% - אז יצאנו משכבה 4, מה נשאר? 5?
  • (עידן) שכבה 5 . . . אני חושב ששכבה 4 ו-5 זו כבר חלוקה שהיא לא כל כך משנה, כי אנחנו עדיין בתוך ה-Corporate Network

(רן) אני, כהכנה לפודקאסט הזה, ראיתי את הסדרה טהרן (מקצועיות ללא פשרות!), ושם למדתי שצריך להיכנס למתקן, לזייף . . . טוב, לא נעשה ספוילרים, אבל בסופו של דבר לחבר איזשהו USB Dongle לאיזשהו מחשב.
עכשיו - לי קשה לדמיין שמישהו נכנס למתקן של מקורות ודחף לשם איזשהו USB Dongle, למרות שגם זה יכול להיות.
השאלה שלי היא איך בדרך כלל מתבצעות התקפות על מתקנים כאלה? האם יש פה איזושהי התקפה פיזית? האם יש פה איזושהי חדירה דרך האינטרנט? האם יש פה דברים אחרים שככה - “מסעירים את הדמיון”?
  • (עידן) כן, אז אני אחזור להמלצה של musical noteמערך הסייברmusical notes : לנתק מהאינטרנט - מבחינתי זה הרמז הכי גדול . . .
  • יש המון ארגונים ששוכחים . . .
    • (אורי) Backdoors?
  • (עידן) בדרך כלל זה לא בכוונה . . . Backdoor, יש לזה קונוטציה שלילית - זו פשוט מערכת שמאפשרת לך לנהל את המתקן שלך, ולפעמים זה פשוט ממשק Web
    • ה-HMI שדיברנו עליו - יש לו הרבה פעמים רכיבי Web, ויכול להיות שמישהו השאיר שם את זה.
    • (רן) נגיד - רצה לנהל את המשאבות מהבית, אז אמר “למה שאני לא אפתח את ה-Port”, או משהו בסגנון הזה - כמובן שאני סתם ממציא, אני לא באמת יודע.
      • דרך אגב - אל תתקינו את ה-TikTok שלכם על ה-Raspberry Pi של המשאבות - תקשיבו לי, זה Backdoor מאומת . . .
    • אז אתה אומר שיכול להיות שהיה שם, לפחות לפי ההמלצה של musical noteמערך הסייברmusical notes, ואז מה? איזשהו . . .
    • (עידן) ואז, ככל הנראה, מישהו הצליח להשיג סיסמא ל-HMI הזה, שוב - אנחנו לא יודעים . . .
    • (אורי) בעולם של ספקולציות
    • (עידן) ספקולציות, אבל בוא נגיד שזה לא ספקולציות פרועות בכלל - היו דברים מעולם . . . אם אתם מכירים את ה-Shodan? יצא לכם להתעסק?
      • (רן) לא . . .
      • (עידן) רוב החבר’ה בעולם של אבטחת מידע מכירים אותו טוב מאוד, זה כלי אינטרנטי שסורק את כל האינטרנט כל איזה 20 שניות, ונותן לך כמויות מידע מטורפות על כל אחת מכתובות ה-IP שהוא מוצא
      • יש לו Search Queries מוכנים מראש לעולם ה-SCADA והתשתיות הקריטיות, ואתה יכול לחפש בקרים באינטרנט
      • כמות הבקרים וה-HMI-ים שחיים היום באינטרנט “בכיף שלהם” היא די מדאיגה . . .

(רן) כן . . . אני מניח שהרבה מהמפעלים, או מהתשתיות הקריטיות, לא נכתבו בשנה האחרונה . . . זה נכתב במשך . . . אלו דברים שיצאו במהלך כמה עשרות השנים האחרונות - חלקם אולי קצת יותר מודרניים, אבל הרבה מהם לא כל כך.
כשכתבו את התוכנה שלהם, לא חשבו על איומי הסייבר הנוכחיים, וסביר להניח שיש בהם תקלות - בין אם זה שימוש בשפת C שמובילה ל-Buffer overflow או אי אלו תקלות, אפילו הרבה פחות מתוחכמות מזה.
לקחת דבר כזה ולחבר אותו לאינטרנט, מה גם שתהליך העדכון . . . כמו שאמרת קודם, יש איזושהי עמדת Engineering, תהליך העדכון הוא לא איזשהו Piece of cake, זה לא שאתה לוחץ על כפתור וזה עובד - תהליך העדכון, אני מתאר לעצמי, הוא כבד ולא נוח. לקחת דבר כזה ולחבר אותו לאינטרנט נראה נשמע כמו תאונה שמחכה לקרות.
איך מתמודדים עם כל זה?
  • (עידן) אתה לגמרי צודק - זה חלק מהאתגרים הגדולים ביותר שאנחנו מתמודדים איתם ביום-יום.
  • יש לך הרבה Code legacy, כשהאחריות של ה-Code legacy הזה היא מטורפת - שיבושים שם יכולים לגרום לנזקים סביבתיים, יכולים לגרום לנזקים פיזיים לאנשים, אנשים יכולים למות שם.
    • חומרים כימיים שנשפכים, טמפרטורות גבוהות מדי במפעלים שיכולות לגרום לשריפה וכו’
  • יש אמצעים סביב זה - יש מערכות Safety שנועדו לבקר את התהליך ויודעות להחזיר אותו בחזרה במקרה שיש חריגה מהפרמטרים, למשל - אם יש לך איזשהו  . . .
(אורי) זה כדי לא להתמודד עם תיקוני אבטחה ב-Code legacy . . .
  • (עידן) עולם ה-Safety שונה מהעולם של ה-Security - אלה באמת אמצעי Safety, שנועדו לדאוג שדברים לא מתפוצצים או נשרפים וכו’.
    • קצת סומכים עליהם בעולם של אבטחת המידע כמנגנון הגנה - הם לא באמת מנגנון הגנה נגד התקפות.
  • (אורי) הם לא מנגנון הגנה נגד התקפות - אבל הם מנגנון הגנה נגד אנומליות.
  • ( עידן) אנומליות, שחיקות של ציוד . . .
  • (רן) נניח שיש איזשהו טרמוסטט שמחובר לבקר דיגיטלי - אבל בנוסף אולי יהיה גם טרמוסטט פיזי, שנגיד ישבית את המערכת במקרה שהטמפרטורה עולה מעבר לאיזשהו סף, אני מניח שזה . . .
  • (אורי) זה בהנחה שאתה לא . . . שהנוזקה לא “עובדת” על ה-Monitoring…
  • (עידן) יש הרבה דברים שיכולים לעבוד שם, ויש הרבה דברים שיכולים לא לעבוד שם
    • קודם כל - נניח ותוקף מצא את עצמו עם גישה לבקר (ככה יצא…) - דרך אגב, כל הפרוטוקלים האלה, הם כמעט כולם לא מאובטחים, לא מוצפנים - אם תוקף מגיע למצב שבו הוא נמצא ברשת יחד עם הבקרים, עם ה-HMI, זה Game-Over - 
    • הוא יכול לשלוח בקשות בפרוטוקולים ידועים, לשלוח פרמטרים לא נכונים
    • למשל - הוא יכול לשלוח, בדומה למה שדיברנו על Stuxnet מקודם, לשלוח ל-HMI שהטמפרטורות “הכל סבבה, הכל טוב”, ומצד שני להגיד לבקר “תתחיל להעלות את הטרמוסטט הזה, תתחיל להעלות את הטמפרטורה”.
    • אם יש איזשהו רכיב Safety, שמודד . . . באופן אידיאלי הם אמורים להיות מנותקים, ולמדוד באמצעות חיישנים משלהם את המצב של התהליך - ואז להביא את הבקר למצב של אופרציה רגילה במידה והוא חורג מהפרמטרים שלו.
  • אם נחזור לדוגמא של המים - התפרסמו כל מיני דברים לגבי זה שהוסיפו כלור למים - יכול להיות שהיה גם חיישן כלור, וברגע שהוא ראה שרמת הכלור עולה או יורדת
    • דרך אגב - להוריד את כמות הכלור זו גם הייתה התקפה . . .
    • אז הוא פשוט סגר את המשאבות - זה משהו שיכול להיות, אנחנו לא יודעים
  • (רן) זה, דרך אגב, משהו שנקרא “בקרות מפצות”, הנושא הזה?
  • (עידן) כן, אז זה מגן לפעמים 
    • אני יכול לתת דוגמא למקרה שבו ה-Safety לא יגן עליך - אם נחזור לדוגמא של טורבינות רוח, אז מה שרכיב Safety יעשה שם הוא להבין שהלהבים לא מסתובבים מהר מדי, ואז יפעיל את הבלם במקרה והמהירות של הלהבים גבוהה מדי ויכולה לעשות נזק.
    • אבל אם יש לטורבינות האלה מעצור חירום, שאם מפעילים אותו אז הוא מאוד שוחק את הטורבינה - אז זה משהו ש-Safety לא יכול לעצור . . .
    • אם תוקף עכשיו מפעיל כמה פעמים את הבלם הזה, לפני שמישהו מספיק לעצור אותו, הוא יכול לעשות נזק.
    • מכירים את סוג ההתקפה הזה, וקשה מאוד להתמודד איתה - כי אין לך Safety, אין לך את הבקרה המפצה הזו שתגן עליך שם.

(רן) אם אתם מקבלים לידייים שלכם בעבודה איזושהי מערכת, שאתם צריכים לבדוק את מידת החדירות שלה - יש איזושהי מתודולוגיה סדורה לאיך עושים דברים כאלה?
(אורי) עובדים גם על Social Engineering? אני מניח שאתם רוצים לייצר אבטחה של מוצר מסויים - ה-Social Engineering בעולם של ארגון, המודעות . . .
  • (עידן) זה באמת בעולמות יותר של הארגון, אבל יש התקפות מסויימות שמאוד מקלות על Social Engineering - אז אם אנחנו רואים דברים כאלה אנחנו נתריע עליהם ונדווח על זה.
  • זה בדרך כלל מה שאנחנו עושים - מוצאים חולשה, מדווחים עליה למהנדסים ומתקנים אותה.
  • ואז אנחנו עושים איזושהי ולידציה (Validation) על החולשה הזאת.
  • לצורך הדוגמא - יש התקפה שנקראית Open redirect, שהיא די פשוטה - לגרום לקורבן לגשת לאיזשהו עמוד עם איזשהו פרמטר, בעולם ה-Web, וזה פשוט מזיז אותו, עושה לו Redirect, אל מחוץ לאתר.
    • לכאורה פשוט ולא מאיים יותר מדי - אבל הדבר הזה, בשילוב Social Engineering, יכול להיות יחסית מהותי.
    • אם אני שולח לך לינק במייל, ואתה מסתכל על הלינק ואומר “הא, סבבה - זה ל-YouTube.com”, אבל ברגע שאתה מגיע לשם, בלי שאתה שם לב, הדפדפן שלך ניגש לאתר של התוקף, והוא מבקש ממך לעשות Log-in - הסיכוי שתשים לב שאתה כבר לא ב-YouTube הוא די נמוך, אז אתה תשים את ה-Credentials שלך באתר - וככה יתקפו אותך.
    • (רן) זאת אומרת שאם אתה משתמש באותה סיסמא, למשל ל-YouTube כאותה הסיסמא לבקר המים, אז זו בעיה . . .
    • (עידן) כן, זו כבר בעיה אחרת
    • (רן) בוא לא נשלה את עצמנו - זה קורה, זאת אומרת - אנחנו לא יודעים אם זה היה המקרה שם, אבל זה מסוג . . .  לאף אחד לא באמת מעניין להיכנס ל-YouTube שלך, בוא - זה לא באמת מעניין . . .
    • (עידן) ל-Gmail, היום הכל מחובר  . . .
    • (רן) סבבה, אז הוא יקרא את האימיילים שלך, ואולי הוא יוכל לקחת איזשהו Ransom, סבבה - אבל מי שבא לתקוף ציוד תעשייתי, כנראה שמה שבאמת מעניין אותו זה להשיג את הסיסמא שלך, מתוך הנחה שאתה כנראה משתמש בה בעוד מקומות, שכנראה קשורים לעבודה.
    • (עידן) כן, לגמרי.
(אורי) בתור חברה שהותקפה על ידי Social Engineering, שעשה נזק - יש המון עבודה שצריכה לקרות בהיבט של חינוך, פשוט בחינוך.
  • (עידן) לגמרי  . . . אני, בכובע של ארכיטקט אבטחת מידע - חלק ממה שאני עוסק בו זה גם כל מה שקשור לתהליך הפיתוח המאובטח
    • זה Awareness Training ו- Security Training ו-Threat modeling ועוד כל מיני דברים
    • לחלוטין דברים נגד Social Engineering, אנחנו לוקחים את זה מאוד ברצינות, זה וקטור התקפה
      • אולי לא טכני וטכנולוגי, אבל הוא קיים והוא אמיתי.
(אורי) נראה לי שיותר ויותר תוקפים משתמשים במתודולוגיה הזאת, כי היא פשוט יותר קלה . . . אתה תופס את המקום הזה, שה-Awareness הוא לא מאוד גבוה, ו . . .
  • (עידן) אני מניח שזה תלוי באיזה צוות - יש צוותי תקיפה שהוא סופר-טכנולוגיים, אז הם בדר”כ ילכו וימצאו חולשות טכנולוגיות
  • יש כל מיני ארגונים שיש להם צוות Social Engineering וצוות תקיפה טכנולוגי, ואז בדר”כ השילוב ביניהם הוא בסופו של דבר הגורם לחדירה לארגון.
  • אבל גם בעולם של Social Engineering, יש כלים שאנשים פיתחו שמקלים עליך לעשות את ה-Phishing בצורה נוחה, ועוד כל מיני דברים כאלה.
(אורי) אני חושב שגם ארגונים שהם יחסית דלי-אמצעים ילכו יותר לעולם של Social Engineering, כי כמו שאמרת - היום, להשיג האקרים שהם מאוד טכנולוגיים ויכולים לפרוץ למערכות מורכבות דרך עבודה על המערכות הטכנולוגיות, או למצוא פרצות במערכות הטכנולוגיות - זה מצריך תקציבים גדולים, אפילו תקציבי מחקר.
  • אלו מקומות שהרבה פעמים תראה בהם או מדינות או ארגונים שממומנים בצורה מאוד רצינית.
בעולם של Social Engineering תמצא, כמו שאתה אמרת - “בשני שקל” מוריד משהו שבונה לי אתר Deception.
  • (עידן) אני מסכים איתך, אבל אני חושב שחלק מהסיבה שיש כל כך הרבה ארגוני פשיעה היום בעולם הסייבר זה בגלל ש . . . האמת שאתה יכול לקחת שלושה חבר’ה, לא לשלם להם משכורת מאוד גבוהה, 
    • חבר’ה טכניים - יש בהרבה מדינות אנשים כאלה, שבהן אין תעשיית סייבר מפותחת כמו בארץ, ושם אם אתה מבין ויודע קצת על איך לפרוץ דברים אז עדיף לך להיות Black Hat
    • ובתקציב לא מאוד גבוה אתה יכול לקחת 2-3 אנשים
    • ו- 2-3 אנשים יכולים לעשות נזקים מאוד משמעותיים, לחדור לארגונים.
    • אני יודע כי בתפקיד הקודם שלי, בעבודה הקודמת שלי, זה מה שהיינו עושים - היינו צוות Red Team, ולפעמים הפרויקט הוא “אוקיי, זה ה Net-block של חברה - נסו לפרוץ אליו”
    • והרבה פעמים, בדר”כ אפילו - להצליח לחדור לחברות זה לא מצריך יותר מדי משאבים . . .
    • עכשיו - לעולם התעשייתי, בשביל לעשות דבר כזה אתה כבר צריך לעלות רמה בתקציב שאתה צריך להשקיע, כי אתה צריך כנראה לקנות את הבקרים האלה ואתה צריך מהנדסי אוטומציה פתאום, שיגידו לך איך הדבר הזה מורכב, ולהקים איזושהי מעבדה שמצריכה הרבה מאוד ציוד פיזי . . .
    • אז פה באמת, כמו שאמרת - כבר התקציב שצריך לדבר כזה עולה, ובדרך כלל מי שעושה את ההתקפות האלה הן מדינות שתוקפות אחת את השנייה.

(אורי) אני לא זוכר . . . אני חושב שזה היה בפודקאסט אצל רן (הרן השני עם הפודקאסט) - אני חושב שזו הייתה Siemens, החברה של הצנטרפוגות? 
  • (רן) אני חושב שכן
  • (עידן) כן
(אורי) שהאשימו אותם איכשהו בשיתוף פעולה עם הדבר הזה, כי ממש היו צריכים  . . .
  • (רן) לקבל את המודל המדויק
(אורי) לקבל את הדברים המדוייקים, וממש שמישהו יסביר לך איך הדבר הזה עובד, אז  . . .
  • (עידן) את זה אני לא יודע . .  . אני כן יודע שהאיראנים הועילו בטובם לפרסם תמונות מתוך הכור, ואלו תמונות שרואים בהן חצי Screenshots של חצי מסך - אבל במקרה רואים שם בדיוק את המערך של הצנטרפוגות, ובאיזו תוכנה הם משתמשים, אז, כאילו - הרבה פעמים זה מספיק בשביל לדעת איך לתקוף את הדבר הזה.
  • אני לא מכיר את הסיפור הזה, מעניין.

(רן) בסדר, מעולה - אז אנחנו כבר הגענו לסוף: עבר מהר, היה מאוד מעניין, החכמת אותנו ,תודה שבאת!



הקובץ נמצא כאן, האזנה נעימה ותודה רבה לעופר פורר על התמלול

אין תגובות:

הוסף רשומת תגובה