פודקאסט מספר 404 . . . ואוו, אנחנו ב-400-ים, וזה Not Found 404 . . . כן, הולכת להיות לנו כאן סדרה ארוכה ומתישה של 400-ים . . .
אז - פרק מספר 404 של רברס עם פלטפורמה! התאריך היום הוא התשיעי במרץ אלפיים-ו . . . בפעם שעברה אמרתי 2001, לא? (אורי) 2021, אם זכרוני אינו מטעני . . . (רן) 2021 - ואנחנו, כרגיל, באולפנינו הקט אשר בכרכור, מולי נמצא אורי - (אורי) אהלן, וזה שבוע האישה הבינלאומי, אגב - (רן) שבוע שמח! ושלום טל מחברת Armis - ברוכה הבא!
טל רביד באה לדבר איתנו על Security ובאופן יותר ספציפי על Network Protocols ו-Security, ולפני שנצלול לעסק - ספרי לנו טל: מי את, מניין באת ולאן את הולכת?
- (טל) אז אני טל רביד, כמו שציינתם, בת 32 מתל אביב - במקור מרחובות, אבל אני חושבת שתל אביב השפיעה עלי מספיק בשביל לקרוא לעצמי “תל אביבית” כבר.
- בשלוש וחצי השנים האחרונות אני עובדת ב-Armis - סטארטאפ בתחום ה-Security שתיכף נרחיב עליו.
- לפני זה הייתי במגוון רחב של תחומים - במקור מ-8200, יש לי 7 שנים בערך בקהילת המודיעין, כשצוברים כל מיני סוגי ידע שמתקשר באופן כזה או אחר לסייבר
- אחרי כמה פרקי קריירה בתחומים שונים חזרתי קצת לעולמות של סייבר, ובשנים האחרונות בעצם הקמתי את התחום של הדאטה ב-Armis, שאצלנו הוא כולל ממש היכרות עם ה-Knowledge base של החברה, עם כל הדאטה והלוגיקות.
- ובין השאר גם עם חוקים שקשורים ל-Security ול-Network Protocols.
(רן) מעולה - אז אני מניח שלא מעט מהמאזינים שלנו מכירים את Armis, אבל לאלה שלא, ספרי לנו קצת מי זו Armis? מה אתם עושים שם?
- (טל) אז Armis קיימת כבר חמש ומשהו שנים, כשהחזון הגדול של החברה הוא לייצר Agentless-Security - בעצם לאפשר להגן על רשתות מבלי באמת להתקין Agent על המכשירים בסביבה.
- אנחנו עושים את זה ע”י (א) יצירה של Assets Inventory - מיפוי כל הרכיבים שנמצאים ברשת של לקוח ו(ב) אז, לגבי הרכיבים האלה, להגיד מה הם? האם יש חולשות מסויימות שרלוונטיות? האם הם תחת Risk מסויים? כדי לאפשר ללקוח בעצם לקנפג (Config) ולעדכן אותם.
- מעבר לזה - האם יש איזשהו . . . אנחנו עושים משהו שאנחנו קוראים לו NDR - במקום ה-EDR, שזה Endpoint detection and response - אנחנו עושים Network detection and response,
- זאת אומרת - אותה הגנה מפני פריצות ותקיפות והתנהגות זדונית, בתרגום העברי של Malicious, או Suspicious, חשודה.
- במקום להשתמש ב-Agents בשביל לעשות את הדברים האלה, אנחנו בעצם עושים את זה דרך אינטגרציות עם רכיבי רשת ומידע שמועבר באופן גולמי.
(אורי) זאת אומרת שאתם Agent על רכיבי הרשת . . . אני יכול להגיד את זה?
- (טל) אנחנו לא מתקינים Agents - אנחנו עושים אינטגרציה עם רכיבי רשת או עם תוכנות ברשת
(אורי) וזה נותן לכם יתרון ב-Deployment, או שזה גם נותן לכם יתרון ממש ב-Detection שאתם יכולים לעשות ואחרים לא יכולים?
- (טל) זה נותן הרבה יתרון ב-Deployment -
- למעשה, אם זה רכיבי רשת אז אנחנו יכולים לעשות RSPAN מ-Switch-ים ובעצם לקבל תעבורה גולמית, או ממש לעשות איזושהי אינטרגציה עם Wireless LAN Controller - הרכיב שאחראי על הרשת Wi-Fi.
- או, במקרים אחרים, עם כל מיני מערכות שפועלות בדרך על רשת Active Directory - אז אנחנו משתמשים באיזשהו API ומתקשרים
- אנחנו ממש נמנעים מלעשות דברים יותר מורכבים מזה, בשביל לשמור על Deployment מאוד קצר ופשוט.
(אורי) כן, פשוט מעניין אותי איך הדבר הזה עובד, פיזית . . . אתם בעצם מאזינים לתעבורת הרשת כחיצוניים-לה, ונותנים את ההתראות, או מה שצריך?
- (טל) כן - אנחנו לא נמצאים בתוך הרשת, אנחנו עושים איזשהו RSPAN, בדרך כלל לאיזשהו Collector שנמצא סמוך ל-Switch, אנחנו שמים אותו ליד.
- ובצורה הזו אנחנו מוציאים את הדברים הרלוונטיים ושלחים חזרה, באופן מוצפן, לענן, לאיפה שהשרת שלנו נמצא.
- ואז משם, בעצם, אנחנו מסוגלים להציג ללקוח את התובנות וה-Insights שמתוקשרות עם המערכות של Armis, עם ה-Knowledge base שלנו.
(רן) זאת אומרת שנקודת ההנחה היא שהתוקף, או הפעילות החשודה, עוברת ברשת - אני מניח שזה טרוויאלי, כי כנראה שזה כמעט תמיד ככה . . .
- (טל) כן - בהנחה שיש תוקף חיצוני כלשהו, בהנחה שהתוקף לא מגיע מתוך המערכות שלך ושם USB בתוך אחד המחשבים של העובדים שלך, אז תיהיה איזושהי הגעה מתוך הרשת.
- לרוב היא תוסווה, ובעצם המטרה שלנו היא להשתמש בכל מה שאנחנו מסוגלים לתת
- הדוגמא שהכי קל לדבר עליה - הרבה פעמים שואלים אותנו “אבל ה-Firewall לא אמור לעצור את כל הדברים ברשת? איך תדעו?” - אז הרבה פעמים דברים קורים לפני שה-Firewall יודע שמדובר באילו-שהם Domains שהם אסורים לגישה או שהם חשודים או בעייתיים.
- ואז הם בעצם ניגשים להבין את הפרופיל של המכשירים שנמצאים על הרשת
- בעבר זה משהו שהיה מאוד . . . אני לא אגיד ש”פשוט” כי זה עולם מורכב ואני לא רוצה לזלזל בכל מי שמתעסק ב-Security, אבל בעולמות של היום, כשיש לך גם מחשבים, גם סלולריים גם, במשרד רגיל היום, אם אתם זוכרים איך נראה משרד רגיל, אז יש בו גם מצלמות אבטחה וטלפונים ומדפסות ו-VOIP-ים וכל דבר כזה.
- וקל וחומר כשמגיעים באמת לארגונים או מערכות שמשתמשות, ממש על בסיס יומיומי, ברכיבים שנקראים IOT, במובן הרחב שלהם - אם זה Industrial IOT, אם זה פסי ייצור, בין אם זה מעליות בבניין, שזה Management systems, ובין אם זה בבתי חולים, שזה האולטרסאונדים והרטנגן שמשתמשים בהם -
- כולם היום מחוברים לאינטרנט, והם משתמשים ברשתות - ומכשירים כאלה הרבה יותר קשה לנטר אותם אם אתה לא יודע מה הם ואתה לא מבין מה ההתנהגות הרצויה שלהם.
(אורי) דיברת קודם על Firewall וכאלה - זה לא Firewall שמנסה לחסום Ports כדי שלא תיהיה גישה פנימה, אבל הוא הרבה פעמים ירשה יצירת Connection החוצה - ונראה לי, אם אני מבין נכון, שחלק ממה שאתם עושים זה פעם (Once) שמישהו יצר קשר החוצה, עכשיו על ה-Connection הזה יכול להכנס Malicious traffic בלי בעיה - ואתם תראו אותו, אבל Firewall לא יראה אותו.
- (טל) זה גם נכון, למרות שכל רכיב רשת שהוא, בין אם זה IOT וכו’ - הם לא ייצרו קשר “סתם” החוצה, חייב להיות משהו שייגרום להם לעשות את זה.
- באופן קצת מצחיק, עדיין אחוז מאוד ניכר מהמתקפות היום מגיע מ Phishing, או מ-Spear Phishing, שאנשים פשוט לוחצים.
- אבל הרבה גם מגיע מסריקות חיצוניות - מאילו-שהם מכשירים, שיש להם Port פתוח גם לתקשורת החוצה וגם לתקשורת פנימה.
- עלה לי לראש “מדפסת”, פשוט בגלל שקח לדוגמא מדפסת של HP - אחת לכמה זמן היא כנראה תתעדכן מול השרתים של HP, ואם אני איש IT, אז אני צריכה לקנפג (Configure) את Firewall, וצריך לתת לה איזושהי יציאה מסויימת
- בוא נניח ש . . . - אם זו מדפסת או Security camera או מה שזה לא יהיה - אז בוא נניח שאיש ה-IT שלך מאוד יסודי, ויודע על כל אחד מהרכיבים שלו בדיוק מה הם, ולהרשות את ה-IP עם ה-Port הרלוונטי הספציפי שצריך להתעדכן, שזו גם קצת הנחה שהיא Far-fetched - גם אם הוא עושה את זה, האם הוא יודע בדיוק מה ה-Domain הספציפי שמתעדכן? כי גם הוא משתנה . . .
- לכן מגיע הפתרון שלנו, שאומר - “רגע, אני יודע שזה לא IP ו-Mac כלשהו, שאם שמים על הרשת, אני יודע שזו מדפסת”.
- לכן, המדפסת הזו מיוצאת ליותר מ-Domain אחד ובחודש האחרון - לא יודעת, אם הפרופיל שלה כל הזמן התעדכן, כל חודש או משהו כזה, ואני רואה איזשהו שינוי בהתנהגות - אז בגלל שהיא מדפסת, אני יודעת להגיד שזו חריגה.
- ואני יודעת או לשלוח את החוקים ל-Firewall או ממש להתריע בפני הצוות ולהגיד “תראה, יש עכשיו התנהגות חשודה ברשת, שים לב ל-IP הזה ולמה הוא מתנהג ככה”.
- (אורי) כן, במיוחד אם הצנטריפוגות שלך מתחילות ל . . .
- (טל) כן, זה משהו שרצוי לעצור . . .
(רן) אז איך בעצם עובד מחקר כזה? אתם צריכים ללכת וממש להכיר כל פרוטוקול של כל מדפסת או כל ציוד IOT? איך בכלל מתחילים על כל הסיפור הזה?
- (טל) זו שאלה טובה . . . כמו שאתה יכול לתאר לעצמך, זה יכול להיות קצת סיזיפי לפעמים, אבל באמת ההתחלה הגיעה מהפרוטוקולים היותר גדולים, שרוב הרשתות משתמשות בהם ורוב מכשירי ה-IOT, באיזושהי רמה, ישתמשו בהם.
- אתם יכולים לתאר לעצמכם - HTTP ו-DNS ופרוטוקולים שקשורים ל-Registration לרשת - DHCP ו-CNP וכו’.
- ולאט לאט התחלנו משם, ועוד ועוד
- בעצם, Armis עצמה היום יושבת על כמה Industries שונים, שזה אומר שאנחנו צריכים להחזיק הרבה אנשים שמכירים פרוטוקולים של רכיבים שבדרך כלל מתחברים לרשת משרדית - אבל גם את המעליות, וכל ה-Big Management systems וה-Industrial systems וכל ה-Medical . . .
- אז פשוט - בכל פעם שנכנסנו לתחום חדש, אז יושבים ומתחילים לחקור
(רן) אוקיי - אז איך חוקרים? פשוא מסתכלים על הפאקטות (Packets) ומתחילים להבין מה הן אומרות?
- (טל) אז לפעמים ככה . . . בצורה יותר מתודית בדרך כלל, מנסים להבין מה הם המכשירים הרלוונטיים שמשתמשים בהם וקצת להבין אותם. הרבה פעמים . . .
- יש כל מיני סוגים - יש ממש לעשות Network research, ממש לראות איך פרוטוקול מסויים עובד, לנתח את הפאקטות (Packets), לראות פקודות מסויימות
- אם יש לך איזשהו מכשיר אז ממש לראות כל מיני פעילויות שאתה עושה ביום-יום עם המכשיר ולהבין את הפקודות השונות.
- לפעמים יש תיעוד של הדברים - יש Vendors שמייצרים תיעוד, שאין להם בעיה לשתף אותו.
- יש תיעוד קיים לפרוטוקולים שהם Open source
- ויש מקרים יותר מורכבים . . . של פרוטוקולים ש . . .
- אני יכולה לתת דוגמא אחת מצחיקה שהייתה לנו, שאחד הלקוחות שלנו, בתחום התעופה - ולמעשה ראינו . . הצלחנו לזהות ברשת שלו “מנעולים חכמים”, כמו דלתות כאלה, כמו שאתם יכולים לדמיין, שאתם מתקרבים אליהן ויש חיישני גישה והן נפתחות.
- אז בעצם, עבור המקרה הזה אמרנו “בואו נקנה רכיבים דומים וננסה לחקור אותם”, והתחלנו לחקור ולהתעניין באינטרנט . . . [Sirius Cybernetics Corporation?]
(רן) כשאת אומרת “לחקור ולהתעניין”, אז בואי נראה אם אני מבין את הדבר הנכון - אני מסתכל על איזה Traffic הם מוציאים? מה הם מקבלים? איך הם מגיבים, נגיד, אם אני שולח להם Packet כזו - האם הם פותחים את הדלת? . . .מה המשמעות של “לחקור” בעצם?
- (טל) כן, זה ממש ככה - אתה רוצה לחבר אותם לרשת, ואז להתחיל לשחק איתם, להפעיל אותם כמו . . . תיכף אני אסביר למה לא רכשנו אותם, אבל אתה בעצם רוצה, לצורך העניין, לחבר מצלמת אבטחה לרשת, לשחק איתה, להזיז אותה, לראות מה היא קולטת, אילו פקודות היא נותנת חזרה לשרת,
- ואז, בעצם, להבין איך הפרוטוקול עובד - איזה סוג פקודה נשלחת בכל פעם שמתבצעת פעולה, ואיזה מידע עובר עם כל סוג פקודה כזה.
- (רן) אוקיי - ומה גיליתם? גיליתם משהו מעניין על אותן דלתות חכמות, מנעולים חכמים?
- (טל) אז את המנעולים החכמים מאוד מאוד רצינו, חשבנו שזה ממש מגניב לראות אותם
- בעצם, כשהתחלנו קצת לרחרח ולהתקשר למקומות שמוכרים את המנעולים החכמים האלה, בעצם קיבלנו כזה “אוקיי, אנחנו נבדוק בשבילכם”, ויום אחר כך התקשרה מישהי מה-DOD האמריקאי, ובאנגלית מאוד פורמלית ומאוד . . .
- (רן) זה ה-Department of Defense . . .
- (טל) כן, ה-Department of Defense . . . “התענייתם ברכישה של מנעולים מסוג כזה וכזה . . .”
- (רן) “האם אתם אירנים? האם אתם בונים כור?”
- (טל) בדיוק . . . “לאיזה צורך?”
- אז אמרנו “לא, רק רצינו לחקור ולראות איך הם עובדים”, ואז היא אמרה “So Don’t . . . ”
- ולא רכשנו את המנעולים האלה . . . אבל מן הסתם היה הרבה ציוד אחר, שאנחנו בודקים ומנתחים.
- (רן) היא כנראה לא עברה קורס הסוואה של ה-FBI או של ה-DOD . . .
- (טל) לא . . . באמת, לפעמים זה מאוד מוזר, התחום הזה.
- (אורי) בואי . . . ישראלי טוב, דווקא כשאומרים לו So Don’t . . . ” - דווקא קונה.
- (טל) אני . . . בואו נגיד שהסיפור נחרט, זה עד היום “המכשיר המפוספס” מבחינתי, יום יבוא ונשלים את זה.
- אבל בסדר - אנחנו כן ישראלים, אנחנו ידועים בתושייה שלנו ועל היכולת שלנו להתמודד עם דברים בכל מיני דרכים . . .
- (אורי) “חסמו לנו את הדלת החכמה, אז נכנסנו מהחלון החכם, זה לא . . . “
- (טל) היי! אנחנו Defense - רק מגינים.
(רן) אז אוקיי - אולי נדבר על כמה חולשות מעניינות שיצא לך לחקור או להכיר, בפרוטוקולים מוכרים.
אני מניח שהרבה מהאנשים פה שמאזינים מכירים את הפרוטוקולים הטיפוסיים - בין אם זה HTTP שהזכרת, DNS או אחרים - ספרי לנו על איזשהו סיפור מעניין שיצא לך לעבוד איתו.
- (אורי) על איזה פרוטוקול שאף אחד לא שמע עליו . . .
- (טל) שאף אחד לא שמע עליו? . . .
- (אורי) לא יודע . . . כמו הפרוטוקולים של קבינט הקורונה . . .
- (רן) אורי - יש לך טעם קינקי במיוחד היום? . . . לא, אולי נדבר על איזה פרוטוקול מוכר, אבל חולשה מעניינת.
- (טל) אני חושבת שאחד הדברים היותר מוכרים ומעניינים בהקשר של . . . או שנתחיל שנייה ביותר פשוט -
- באמת, התחום הזה של מחקר רשת - יש לו את הצד היותר הגנתי, שאנחנו משתמשים בו, ויש גם את הצד ההתקפי.
- זאת אומרת - אתה יכול לחקור פרוטוקול כדי להבין איך הוא מתנהל ולנסות להגן, ואתה יכול לחקור פרוטוקול כדי למצוא בו באמת חולשות.
- ולרוב אלו גם שני תפקידים שונים בתוך חברות.
- אז אני אנסה לתת דוגמא מכאן ומכאן, נשמע הגיוני?
- (רן) מעולה
- (טל) אז הצד הראשון הוא באמת הצד ההגנתי יותר, כשהמטרה שלנו פה היא לחקור פרוטוקול, להבין מה אפשר להוציא ממנו - ידע על המכשירים שמשתמשים בו - ומנגד לראות מתי אפשר להשתמש כדי . . . מתי הוא בעייתי.
- אני אתן לך דוגמא של פרוטוקול שאתה כנראה לא מכיר - כי HTTP ו- DNS הם באמת מוכרים - יש פרוטוקול מאוד מוכר בעולמות בתי החולים, עולמות ה-Medical, שנקרא DICOM.
- זהו למעשה פרוטוקול של מכשירי Imaging - אולטרסאונד או CT או X-ray - כל התחום הזה בעצם משתמש בפרוטוקול הסופר-עתיק הזה בשם DICOM, שכל המשמעות שלו היא תקשורת בין מכשיר הקצה, למשל האולטרסאונד, לבין איזשהו שרת ייעודי, שנקרא שרת PACS, שהוא בעצם השרת שמחזיק את ה-Images שנשלחים.
- (רן) זה לא כמו במצלמה אלקטרונית [דיגיטלית]? תמיד יש Folder כזה שנקרא “DICOM”, נכון? זה מגיע מאותו מקום? כשמורידים, נגיד . . אם מכניסים . . .
- (טל) DCIM . . . כן, זה שונה . . . נראה כמו אותם ראשי תיבות דומים, או משהו כזה, אבל לא - DICOM הוא ממש של עולם הרפואה.
- הוא מאוד מאוד מוכר ובשימוש מאוד רחב - לא ראיתי אף פעם לקוח בתחום שלא היה לו שימוש מאסיבי ב-DICOM . . .
- (רן) זאת אומרת שאם אני עושה CT או X-Ray או כל מיני דברים כאלה, אז זה כנראה עובר בפרוטוקול הזה לאיזשהו שרת?
- (טל) כן. אולי יש דרכים חדשות שמנסים, אבל אני עוד לא נתקלתי בהן בכל הבתי חולים שאנחנו עובדים איתם.
- (רן) שליחים של Wolt? . . .
- (אורי) אבל הוא נוצר בתקופת ה X-Ray או בתקופת ה-MRI?
- (טל) בתקופת ה-X-Ray, לחלוטין בתקופת ה-X-Ray . . .
- (רן) רוצה לומר - Precambrian . . .
- (אורי) לא - השאלה האם היו בכלל רשתות מחשבים . . .
- (טל) תראה, X-Ray הוא לא כזה פיתוח של 1920-1930 כזה? או שאני טועה? [1895] אז שם הוא עדיין לא קיים, אבל הוא [DICOM] לחלוטין פיתוח מסוף ה-90s, לדעתי, אם אני לא טועה [1983]. אני לא בטוחה . . .
- (רן) בתקופה התמימה של הרשתות . . .
- (טל) כן . . .
- ולכן - כמו שאתם מתארים לעצמכם - הוא un-encrypted לחלוטין . . .
- הוא לא מוצפן, הכל עובר בגלוי,
- הוא ברובו אפילו לא בינארי - הוא ברובו טקסטואלי, שזה גם הבדל משמעותי בין פרוטוקלים, מן הסתם
- בגלל זה, כששאלת האם יש פרוטוקול שמסתכל על כמה פאקטות (Packets) ומבין מה הם עושים? אז כן - יש פרוטוקולים שהם פשוט טקסטואליים, שמי שכתב אותם פשוט . . .
- (רן) ואם זו תמונה - איך מייצגים תמונה באמצעות טקסט?
- (טל) אז תמונה מיוצגת באמצעות . . . בייצוג בינארי של תמונה - אבל גם התמונה היא Un-encrypted, בפיענוח מאוד פשוט אתה יכול להוציא את זה.
- (רן) זאת אומרת שמי שפיתח את הפרוטוקול יצא מתוך נקודת הנחה שכל מי שיכול להאזין לרשת הוא Trusted, ובעולם של היום אנחנו יודעים שזה לא קיים . . .
- (טל) בדיוק, לחלוטין - זה ממש מה שקרה.
- (אורי) או שהוא תכנן על זה שזה לא מעניין אף אחד . . .
- (טל) כן . . .זה גם יכול להיות, אעפ”י שזה קצת תמים לחשוב שזה לא מעניין אף אחד, הפרטים האלה . . .
- (טל) ובאמת, אחד הדברים שמתחילת הדרך מהר מאוד הבנו בעולמות של DICOM . . .
- אגב, זה לא ספציפית רק ל-DICOM, רוב הפרוטוקולים בעולם הרפואה, לצערי, לא מוצפנים ורובם טקסטואליים, ומכילים פרטים מאוד אישיים על כל אחד מאיתנו, כולל שמות, רקע רפואי, גובה, משקל, תעודת זהות, שם של הרופא המטפל - הכל עובר בצורה גלויה.
- (רן) תראי - לפני עולם המחשוב, הרופאים היו כותבים בצורה קריפטית (encrypted), ואף אחד לא יכול היה לפענח, והכל היה בסדר . . . עכשיו, עם כל המחשוב הזה, כולם יכולים לקרוא בפונט של Miriam . . .
- (אורי) אני חושב שהם פשוט לא תכננו . . . לא הבינו איך אפשר לקרוא את זה.
(רן) אז מה עושים? - אפשר לכתוב את זה באיזשהו IPsec או באיזשהו משהו אחר? לעטוף את זה באיזושהי שכבה שכן מצפינה?
- (טל) זו שאלה טובה . . . זה חלק, שלמשל, היה מתסכל עבורי - אנחנו רואים את זה, אנחנו יושבים לצד הרשת, אנחנו לא חלק בה
- אנחנו לא יכולים להצפין, אנחנו בעיקר יכולים לעדכן את בתי החולים שזה מה שקורה ושזה המידע שמועבר.
- ואנחנו באמת, מהנקודה הזו והלאה, על כל פרוטוקול אומרים איזה סוג של מידע מועבר בו.
- חשוב להדגיש שאנחנו לא מוציאים את המידע הזה מאף אד מהלקוחות שלנו - זה נשאר ברשת שלהם ואנחנו בכלל לא מעבירים את המידע.
- (רן) כמו שאורי אמר - את מי זה מעניין? . . .
- (טל) כן . . . האמת שזה מאוד מעניין - אני יכולה לדבר אפילו על רשת בתי חולים של מדינה כלשהי, שבעבר - אחת הסיבות שהם התעניינו ו-Ultimately באנו עם המוצרים שלנו, הייתה בגלל שהם באמת חוו פריצה משמעותית, מצד מדינה אחרת, אל המאגרים שלהם, לרשת, בעצם.
- בגלל שכל המידע לא מוצפן והם לא ידעו שיש להם דליפה, הרבה מהמידע דלף החוצה, ובכירים ממשלתיים פשוט . . . Blackmailed, ממש נסחטו.
- וזה מאוד קשור - פשוט נבע ממידע לא מוצפן וגישה לרשת.
- (רן) זה מעניין כמעט כמו לפרוץ לחברת ביטוח, נגיד שירביט . . .
- (טל) נגיד . . .
- (רן) סתם זרקתי שם . . .
אז אוקיי, גיליתם את זה. כולם ידעו שהפרוטוקול הזה הוא לא Encrypted, אז מה . . . העבודה שלכם פה כאילו נגמרה, מה אתם יכולים לעשות פה?
- (טל) אז זו שאלה טובה . . . בחלק הזה באמת זה קצת מתסכל, בעולמות של ה-Medical- המטרה שלנו הייתה קודם כל, בראש ובראשונה, להבין את הפרוטוקול הזה, להבין איך הוא מתנהל.
- באיזה שלב מועברים הפרטים הרגישים? ובצורה הזו אנחנו . . .
- אגב, לפרוטוקול יש באמת איזשהו Association request, וצריך להחזיר אליו, ויש בקשה כזאת, ובקשת Store, ובקשה להעברת Images.
- כל הדברים האלה הם דברים ברזולוציות מאוד מאוד גבוהות, שאנחנו צריכים להבין ולגלות, כדי לדעת באיזה חלק או באיזו פקודה עובר המידע המוצפן.
- ואז למעשה אנחנו יכולים . . . אנחנו לא יכולים להצפין אותו ולא יכולים לעצור אותו - אנחנו יכולים לשקף את זה ללקוח שלנו.
- ואז בעצם, אם חס וחלילה המידע הזה מוזלג החוצה, אנחנו יכולים לבוא ולהגיד ללקוח - “שים לב, המידע המוצפן הזה נשלח לאיזשהו מחשב או מכשיר כלשהו, שנמצא מחוץ לרשת שלך”
- או אפילו למכשיר בתוך הרשת, שאינו מורשה, Not Authorized.
- אנחנו מאפשרים ללקוח ממש לסמן את המכשירים שמותר להם לגשת למידע הזה ומכשירים שלא.
- ואז, בעצם, אנחנו מנסים לפחות To contain - ממש לעצור את זה.
- (רן) אוקיי, את זה הבנתי, זה ערך מוסף משמעותי - אולי הפרוטוקול עצמו לא בטוח, אבל לפחות אתם יודעים שמישהו ניגש ולא אמור לגשת
- (טל) בדיוק.
(אורי) אני רציתי לשאול לגבי גופי רגולציה - נתת את הדוגמא של מערכות בריאותיות, ויש שם מידע לא מוצפן.
האם יש סוגי מערכות, שיש תקינה מסויימת לגבי האבטחה שלהן, וגופי תקינה שנמצאים בקשר איתכם כדי לאכוף את התקנים האלה?
- (טל) יש הרבה מערכות שיש איזה-שהם גופי תקינה, לצערי . . . בעולמות ה-Medial, אגב, מאוד.
- לדוגמא, היינו בעולמות הרנטגן - לכל מכשיר רנטגן חדש שיוצא יש איזושהי תקינה, יש מסמך שהוא צריך למלא, כולל שאלות לגבי אבטחה - האם אפשר לשים עליו אנטי-וירוס? האם יש לו אילו-שהן Capabilities בתחום ה-Security?
- והוא גם צריך לעבור אישור FDA.
- לצערי, בפרוטוקולים הם לא כל כך בודקים . . . אני לא מכירה, לפחות, איזושהי רגולציה מאוד חזקה על הפרוטוקולים.
- בדרך כלל, כשאנחנו מתקשרים ללקוחות, הם אומרים לנו “אנחנו יודעים” - ואז אנחנו מראים להם כמה זה נפוץ ברשת והם קצת נבהלים אבל מבינים . . .
- באמת אין מספיק פיקוח על התחום הזה.
- קצת יוצאים מתוך נקודת הנחה שבעצם אף אחד לא יצליח לפרוץ - אנחנו מנסים להגן על הרשת של בתי החולים, כדי שאף אחד לא יצליח להיכנס פנימה.
- אישית, אני חייבת להגיד שזו תפיסת אבטחה שהיא קצת קשה היום . . .
(רן) אני מניח, לצורך העניין - רגולציה זה סבבה, אבל היא כנראה נמצאת כמה שנים אחרי התוקפים, ברמה המחשבתית, הטכנולוגית . . .
- (טל) בדיוק
(אורי) זה בסדר - הרגולציה סוגרת פירצה. יכול להיות שהתוקפים נכנסו דרך הפירצה כבר, אבל כדי שזה לא ימשיך אז . . .
(רן) אוקיי . . . זה מעניין, אני אחשוב פעמיים עכשיו לפני שאני אעשה . . . לפני שאשבור את היד או אקבל איזה התקף לב . . .
(רן) בהכנה לפודקאסט, רשמנו כל מיני שמות של התקפות מעניינות או כל מיני Vulnerabilities מעניינים שאפשר לדבר עליהם, אז בואי נבחר איזה כמה מבין ה - WannaCry וה-EternalBlue או אחרים שאת חושבת שמעניינים ונדבר עליהן.
- (טל) ודגש על WannaCry וה-EternalBlue . . . אין בעיה, בשמחה.
- אני חושבת שגם בחרתי . . . באמת, WannaCry הוא אחת התקיפות היותר מוכרות בעולם ה-Cyber ב3-4 שנים האחרונות . . .
- (רן) נגיד שאני לא מכיר . . .
- (טל) אני אספר מאפס, אבל באמת - זו איזושהי תקיפה שנתגלתה ב-2017, Ransomware בעצם.
- יש כל מיני סוגים של Ransomware - יש כאלה שהוא יותר מטורגטים (Targeted), שנועדו כדי להרוויח הרבה כסף ממקום אחד
- אבל WannaCry הוא באמת Ransomware מאוד רחב, שנשלח להרבה מאוד מקומות, מתוך מטרה לקבל מעט כסף מהרבה מקומות שנתפסו.
- ו-WannaCry הוא בעצם השם של ה-Ransomware עצמו,
- כלומר - Ransomware הוא סוג של Malware, שיושב בדרך כלל על מחשבים או שרתים, וכשאתה מפעיל אותו הוא מראה לך כמו איזושהי הודעה כזאת מאוד רעה . . .
- לפעמים רשום בכתב [פונט] “מרים” מאוד יפה, אבל היא מאוד קשה לעיכול - שבעצם אתה לא יכול לגשת למחשב שלך, אלא אם תעביר כסף . . .
- (רן) “עשירית Bitcoin - או שכל הקבצים שלך יושמדו”.
- (טל) בדיוק . . .אז הרעים ביותר הם עם איזשהו Deadline לקבצים שיושמדו, כמו שרואים בטלויזיה
- לרוב הם די Plain-text עם סמיילי בסוף . . . עוקצני כזה - ואיזשהו ארנק Bitcoin שאפשר להעביר אליו את התשלום.
- זה היה אירוע באמת מאוד רחב, וזה השם של ה-Ransomware.
- הוא עשה נזק של עשרות מיליונים ברחבי העולם, ועד היום יש מופעים שלו וקשה להיפטר ממנו.
- (רן) מעניין אותי האם עושים A/B Testing על הטקסט, על הפונט, על הסמיילי בסוף? . . . לדעת מה יותר אפקטיבי
- וגם על הסכום! הרי בכל פעם שמוציאים מוצר חדש . .
- (אורי) אל תדאג - בטוח שעושים.
(רן) ומה מעניין בו, טכנולוגית? זאת אומרת - איך הוא בעצם פועל?
- (טל) אני חושבת שמה שמעניין יותר, טכנולוגית, הוא ה-EternalBlue, שזו קצת דרך ההפצה של WannaCry
- יש כל מיני דרכי הפצה - כשאתה תוקף, יש את הדרך שלך להיכנס, ראשונית, לתוך הרשת - לגרום לבנאדם בתוך הרשת ללחוץ או לקבל את ה-Exert [מפעיל] בצורה ראשונית
- לרוב זה נעשה בצורה לא מאוד חדשנית - לרוב WannaCry באיזשהו Spear Phishing - מייל שנשלח ולחצו על איזשהו לינק
- ואז בעצם מה שקורה עם הלינק הזה - אם התוקף עשה את עבודתו נכון, הוא הצליח בעצם לנצל את הפרצה המסויימת במכשיר שהוא ניגש אליו, וניצול הפירצה הזו נעשה על ידי Exert בשם EternalBlue.
- עכשיו, יש גם עוד כמה סוגים שונים של חולשות שהשתמשו בהן כדי להתקין את ה-WannaCry, אבל EternalBlue הייתה המוכרת בהן.
- (רן) איך עבד EternalBlue?
- (טל) EternalBlue השתמש בפרוטוקול SMB, שזה Server Message Block - זה פרוטוקול מאוד ותיק של Microsoft, שאפילו שימש לפני ה- Active Directory כדי לקשר בין שרתים.
- מה ש-EternalBlue עשה זה ניצל כמה חולשות בתוך הפרוטוקול של SMB
- אלו כמה חולשות, שהשתמשו אחת בשנייה, אבל בעצם כשאני אומרת “חולשות” זה באגים - דברים שלא עובדים כמו שצריך בתוך הפרוטוקול עצמו.
- (רן) בפרוטוקול עצמו, או במימושים שלו בתחנות היעד?
- (טל) למעשה, במסגרת EternalBlue, מה שיכולת לעשות זה להעביר איזושהי פאקטה (Packet) . . . מה שנעשה בפועל זה שנשלחה פאקטה (Packet) שהיא זדונית, מראש היא נשלחה בפרוטוקול SMB,
- מחשבים שהצליחו לקבל אותה - אפשר היה להפעיל עליהם קוד, וזה היה בעצם הרעיון של ה-Exploit -
- אתה יכול, באמצעות פאקטה (Packet) אחת, ב-Session אחד, כל עוד המכשיר השני מקבל אותו - ופה קצת מגיע ה”למי יש את ה-Ports הפתוחים של SMB” , אבל בגלל שמדובר באיזשהו פרוטוקול של שרתים אז להרבה מכשירים ישנים . . .
- למעשה, כמעט מ-Windows 7 ודרומה, וה-Servers המקבילים שלו - כולם פגיעים.
- ויש גם גרסאות של Windows 10 שעדיין פגיעות אליו.
- וכולם יכלו לקבל את הפאקטה הזאת, ויכלו להריץ קוד במסגרת השליחה של ה-Exploit, והקוד הזה היה WannaCry
- עכשיו, Network research זה בדיוק מה ששימש את ההאקרים האלה כדי לתכנן את ה-Exploit - הם ראו כל מיני באגים
- זה אומר, למשל, שב-SMB יש לך כל מיני פקודות שאתה שולח - המטרה של SMB זה לקבל הרשאות לקבצים, או לשלוח קבצים להדפסה, כל מיני דברים כאלה.
- בעצם, בחלק מהפקודות שמעבירות את ה-Meta-data של הקבצים, יש שני סוגים של פקודות, שכל אחד מהם משתמש בשדה, Field, אחר, כדי לציין את גודל ה-Packets שנשלחו.
- (רן) אז נוצרה אי-תאימות? . . .
- (טל) בדיוק - הבאג הוא שלא נעשית ולידציה (Validation) - אם אתה משתמש ב-Field אחד אבל שולח סוג אחר . . .
- (רן) כמעט לכל פרוטוקול היה את הבאג הזה מתישהו . . . היה את זה ל-HTTP, היה את זה ל-TCP, היה כמעט בכל הפרוטוקולים . . .
- (טל) אז זה ממש היה ב-SMB, והיו עוד באגים קטנים שהם ניצלו אותם.
- (רן) זו הייתה חולשה ידועה בזמן שכל הסיפור התפוצץ?
- (טל) אז EternalBlue הוא באמת סיפור מצחיק, כי הסיפור הוא, לפי מקורות זרים, שה-NSA השתמש בחולשה הזאת לאורך שנים, והם לא עשו Disclosure ל-Microsoft אלה השתמשו בו.
- והוא למעשה דלף להאקרים כשנעשתה דליפה מה-NSA . . . זה הסיפור.
- ואז בעצם התחילו להשתמש בו באופן רחב, והסיפור הוא מאת Microsoft, שבאמת התלוננו על ה-NSA שלא נעשה פה Disclosure . . .
- (רן) ומזה יצא קורונה ו-5G וכל השאר . . .
- (אורי) אבל הוא גם, לפי מה שאת מתארת, כזה פרוטוקול לא מתוחזק . . . זה פרוטוקול ישן, הוא . . .
- (טל) הוא פרוטוקול ישן
- ה-EternalBlue יצא על מה שנקרא SMB version 1 - היום יש Version 2 ו-Version 3.
- הם כן תחזקו אותו . . . כאילו - יש פרוטוקולים שהם כל כך מסואבים וכל כך ישנים, ויש להם פשוט הרבה מקומות שאתה יכול למצוא פרצות.
- אני אוכל לתת דוגמא אחרת מפרוטוקול אחר שהוא טיפה פחות מוכר - זה משהו שעשינו ב-Armis, ע”י צוות ה-Research המעולה שלנו
- כמו שאמרתי, יש הרבה שחוקרים את הצד ההגנתי ויש כאלה שחוקרים חולשות.
- אצלנו בארץ, ב-Armis, יש את שניהם -
- יש צוות Network research מעולה, שעושה כמעט את כל המחקרים שדיברתי עליהם,
- ויש לנו צוות Research, שהמטרה שלו היא למצוא באמת את הבעיות האלה.
- הצוות הזה חקר פרוטוקול שהוא קצת פחות מוכר בעולמות האלה כי הוא פרוטוקול Layer 2, שהוא פרוטוקול של Cisco שנקרא CDP, שזה בעצם Cisco Discovery Protocol.
- כמעט כל המכשירים של Cisco משתמשים בו.
- הוא נועד במקור לניהול, ל-Management של VoIP-ים, אבל למעשה כל מכשיר של Cisco, כולל הסוויצ’ים, כולל כל מצלמות האבטחה של Cisco, מי שמשתמש בהן - כולם מתקשרים על הפרוטוקול הזה.
- המטרה של החברה היא לעבור על פרוטוקול שלא כל כך נחקר, ולמצוא כל מיני דברים.
- במסגרת הפרסום הזה, שנקרא CDPwn, הם מצאו 5 חולשות שונות -
- ארבע מהן מאפשרות גם Remote Code Execution, שזו הרמה המשמעותית של הפריצה, כי זה אומר שאתה יכול להריץ קוד . . .
- (אורי) הפגיעה ביותר . . .
- (טל) הפגיעה ביותר, כי Remote Code Execution אומר שאתה פשוט יכול להריץ קוד על המכשיר.
- מה שהיה סופר-מעניין ב-Scenario הזה זה שאם עד עכשיו דיברנו על WannaCry, אז WannaCry מתחבר לאיזשהו מחשב, WannaCry עצמו גם יכול היה להריץ את EternalBlue כדי להתרחב
- אם כבר נכנסת לתוך הרשת אז יש לך גם מנגנון התרחבות, ואז אתה בעצם תוקף את כולם ומפיל את כל הרשת באיזשהו Ransomware.
- אבל הרבה דרכים להגן על רשתות היום, מה שאנשי IT עושים, זה בעצם לשייך את הרשת ל VLAN-ים שונים, ל-Sub-Networks שונים, כדי להגן בעצם על החומר הסודי שלהם.
- כלומר - אם אני קוקה-קולה, אז אני שמה את המתכון הסודי ב-Sub-Net אחת וב-VLAN, ולא נותנת לאף אחד לגשת.
- הרכיבים שיודעים לשלוט על הדברים האלה הם ה-Switches וה-Routers של Cisco, ולכן אם אתה תוקף ויודע לפרוץ את המכשירים האלה ולהריץ קוד עליהם, אתה יכול להפיל את החומות שאתה מייצר בין הסוגים השונים של הרשתות.
- זה מה שהפך את המתקפה הזאת לעוד יותר מסוכנת.
- (אורי) מה שאת אומרת זה שלו אני איש IT שמתכנן רשת של ארגון, את רוב הרשת אני אשים על Vendor אחד, ואת המקומות החשובים לי במיוחד אני אשים על Vendor אחר, ככה שפרוטוקולים של Command & Control לא יכולים לעבור בין Vendor ל-Vendor . . .
- (רן) מה שנקרא Defense-in-Depth, אורי . . . אבל אתה צריך גם שאיש IT שונה יתחזק את אותם [איזורים] . . .
- (טל) בכנות, אני די בטוחה שהמתכון של קוקה-קולה הוא על איזשהו מחשב יחיד, בודד, שאין לו שום גישה לאינטרנט ויש כמה Firewalls בינו לבין . . .
- (אורי) או שהוא כתוב בפנקס של Koh-I-Noor ושמור מתחת לאיזשהו מזרן . . .
- (טל) כנראה, אני מקווה . . . כי זה כנראה . . . לשמור על דאטה רגיש זה באמת קשה, ואם אתה שואל אותי, אז זה קצת קשור בעד כמה שאתה חושב שאנשים ירצו לקחת את המידע הזה.
- אם טרגטו (Target) אותך, אז זה קשה .
- הסיפור הכי מוכר של השנה האחרונה, ממש מהחצי שנה האחרונה, הוא הסיפור של SolarWinds, אם אתם מכירים
- זו חברת Security בפני עצמה, שלא רק שהצליחו לפרוץ אליה - הצליחו לפרוץ לאחד המוצרים שלה . . .
- (רן) SolarWinds זו למעשה חברת IT, שמספקת בעיקר Security ללקוחות שלה - והם בעצמם נפרצו - ומשם גם ללקוחות שלהם?
- (טל) בדיוק
- (אורי) אני חושב שכשפרצו להם, בעצם לקחו את כלי התקיפת White-Hat שלהם, או משהו כזה . . .
- (טל) אז לא - מסתבר שממש טרגטו (Target) את SolarWinds, ומה שהם עשו זה ממש פרצו לקוד שלהם.
- הם ממש נכנסו לסביבת הפיתוח של אחת מתוכנות ה-Security ש-SolarWinds מציעה, והצליחו להוריד גרסא עם Malware
- ממש לשלוח איזושהי גרסא חדשה, לעשות Build, ניצלו איזושהי חולשת Build שם בשביל להגיע לרשת הזאת, והוציאו איזושהי גרסא - שכל מי שמתקין אותה יכול . . . בעצם “יש להם רגל ברשת שלו”, יש מי שמתקשר איתו החוצה.
- ואז, חלק מהלקוחות של SolarWinds ומי שבצם פרסם את כל התקיפה הזאת, היו חברת Security בשם FireEye.
- כש-FireEye פתאום קלטו שיש איזושהי זליגה מתוך ה-Knowledge Base הפנימי שלהם, שכלל מתקפות White-Hat שהם עשו ב-Scanners שלהם, שהם מציעים בעצם לציבור . . .
- משם כבר הבינו שיש איזושהי דליפה, הגיעו למקור שלה, הבינו שזה מה-Orion, מהמערכת של SolarWinds שהם רכשו - ואז הם פרסמו את זה.
- למעשה, המון המון גופים, בין אם עסקיים אבל גם לחלוטין ממשלתיים, לרמת ה-FBI ועוד גופים שהשתיקה יפה להם, ממש גילו שיש להם את המערכת הזאת ושמאוד סביר שדלף מהם חומר . .
- (אורי) אז ההיא מ-DOD התקשרה ואמרה “עכשיו את יכולים”?
- (טל) עכשיו אנחנו יכולים, כן . . .היא איחרה את המועד . . .
- (רן) טוב, כן - לא הייתי רוצה להיות SolarWinds במקרה הזה, אבל זה אחלה סיפור ואני בטוח שכולם שמעו עליו.
- מה שנקרא - לשמור על השומרים.
טוב, טל - היה מרתק, תודה שבאת . . . (אורי) אפשר לדבר על זה עוד הרבה זמן
(טל) תודה לכם שאירחתם אותי, לכבוד היא לי
(רן) בשמחה - להתראות.
הקובץ נמצא כאן, האזנה נעימה ותודה רבה לעופר פורר על התמלול