יש לי חבר שעובד כמוני בעולם המכירות של מערכות אחסון אבל כבר כמה זמן הוא אומר לי שהשוק שלנו די משעמם, אז במיוחד לכבודו, הפוסט הנוכחי מתמקד דווקא באבטחת מידע!

ברווזון סייבר

ביום ראשון האחרון, חבר שלנו, יול, כתב שהצליח בפעם הראשונה לבנות בעצמו "ברווזון גומי" וזה עלה לו רק 5$ במקום 50$ שהיה עולה לו לרכוש ברווזון אחד מקורי.

I just created my first "Rubber Ducky", using a 5$ DigiSpark board instead of 50$ for the actual thing.

This is highly awesome, and I can see a lot of shits and giggles in the upcoming future

— Yul Bahat (@ybahat) January 5, 2020

אז לא היתה לי ברירה אלא ללכת לברר מה זה בכלל "ברווזון גומי" ולמה שאיש אבטחת מידע רציני כמו יול ירצה לבנות אחד.

ובכן, ברווזון גומי, או בשמו הנפוץ Rubber Ducky, הוא כלי תקיפה שמתחזה פעמיים. מבחינה חזותית, חיצונית, מדובר בכלי שנראה כמו דיסק-און-קי פשוט. מבחינה לוגית, פנימית, ברגע שהכלי מחובר למחשב, הוא מתחזה למקלדת. ההתחזות הכפולה הזו מנצלת תמימות כפולה, הראשונה של המשתמש התמים שסתם מחבר כזה התקן USB למחשב שלו והשנייה של מערכת ההפעלה של המחשב שבדרך כלל מאפשרת חיבור של התקני קלט מסוג HID או Human Interface Device כמו מקלדות.

מרגע שהמשתמש התמים שלנו חיבר את ההתקן אל המחשב והמחשב זיהה את ההתקן שלנו כמקלדת ואיפשר את החיבור, ההתקן שלנו יריץ את הקוד שהוגדר בתוכו (Payload) ויאפשר לנו לבצע על המחשב סט פעולות מוגדר מראש. למשתמש הפשוט, סט הפעולות הזה יכול אולי להראות מאד מוגבל אבל אם נזכור שבאמצעות כמה קיצורי דרך וכמה פקודות בסיסיות אפשר בעצם להריץ כל פקודה וכל תוכנה על המחשב, הרי שסט הפעולות הזה כמעט בלתי מוגבל. תעיפו מבט בעמוד הזה בגיטהב ותראו כמה רעיונות לשימוש בכלי הזה, חלק נחמדים ותמימים כמו היפוך תצוגת המסך, סתם כהתראה בפני המשתמש שעשה מעשה טיפשי או הצגת תזכורת למשתמש לנעול את המחשב שלו.

הפער בין IT ל OT

חבר שלי, עילי, מונה לא מזמן לסמנכ"ל המכירות העולמי של SCADAfence ואם המילה SCADA מוכרת לכם, זה או כי אתם אנשי קוי יצור או כי אתם חנונים שזוכרים את המתקפה על הכור האיראני באמצעות כלי התקיפה (הישראלי לכאורה) סטאקסנט.

בעבר, קווי היצור לא היו קשורים לרשתות המחשוב, המכונות היו מכונות פשוטות שתוכננו לבצע מספר פעולות שחוזרות על עצמן וזהו. לאחר מכן, על מנת לשפר את איכות הייצור ואת אמינות המכונות נוספו לקוי היצור רגשים ובקרים אך גם אלו היו  בעיקרם בקרים ורגשים מכאניים. היום, קווי היצור הפכו קווי ייצור ממוחשבים לחלוטין ולכן יש צורך להגן עליהם בשני הכיוונים, בשני הווקטורים. מחד, אנחנו רוצים להגן על רשת הייצור עצמה, למנוע מצב שבו תוקף משבש לנו את הייצור כמו שלכאורה קרה בנתנז כשהווירוס שינה את מהירות סיבוב הסרכזות עד כדי כך שהן הוצאו מכלל פעולה. מאידך, אנחנו רוצים למנוע מצב בו התקני הקצה שלנו הופכים בעצמם לכלי תקיפה או שכלי תקיפה מתחזה להיות התקן קצה שלנו.

כאן נכנסת לפעולה SCADAfence, הכלים של SCADAfence מנטרים את הרשת באופן קבוע, ממפים ומזהים את כל התקנה הרשת הייצורית באופן אוטומטי ויודעים לנהל סט חוקים, להגדיר מה נורמלי ברשת ולהתריע על כל אנומליה. במפעלים גדולים אנחנו מדברים על מאות ואלפי התקנים בכמה רשתות וכמה מיקומים פיזיים, הכלים האלו פותרים אתגר מאד מורכב ויכולים לסייע בסגירת הפרצה בין הIT וה OT.

הגנה על שרשרת האספקה

אנשים ומחשבים סיפרו לנו בדיוק לפני שנה שמערך הסייבר הלאומי השיק מערכת להגנה על שרשרת האספקה במשק. לא מזמן נתקלתי בפתרון של Vdoo הישראלית ונדמה לי שיש קשר בין הדברים.  אם SCADAfence מגנה על היצרן, הרי שהפתרון של Vdoo מגן על המשך השרשרת. יצרן שקונה ומטמיע את תוך המוצר שלו מוצר Embedded של מישהו אחר, יכול באמצעות הפתרון של Vdoo לקבל מעטפת הגנה ולהבטיח לעצמו וללקוחות הקצה שלו שהמוצר המוטמע מוגן.

Vdoo מספקת כמה מוצרים אבל מוצר אחד מרכזי שלה נקרא Vision שמבצע באופן אוטומטי סוג של Code review למוצר ה Embedded ויודע לספק המלצות הקשחה והגנה עבורו. ERA הוא מוצר ההגנה המתלבש על מוצר הEmbedded ובהתאם להמלצות Vision מותאם באופן אוטומטי לסגירת פרצות האבטחה האפשריות שהתגלו. CertIO הוא מוצר הסרטיפיקציה שמספק ללקוחות הקצה את הידיעה שמוצר ה Embedded עבר את ההקשחה הנדרשת.

בכל אופן קצת אחסון לסיום

משעמם או לא, עדין בסופו של דבר אנחנו צריכים לשמור את המידע שלנו איפשהו. אתמול החברה שלי, אינפינידט, קיבלה פרס מיוחד על מצוינות בהעמקת היחסים העסקיים בין ישראל ויפן מלשכת המסחר ישראל-יפן במעמד שגריר יפן בישראל מר. קואיצ'י אאיבושי. לכבוד הוא לי להיות חלק מהפעילות הזו וההישג!

שלכם כמו תמיד,

ניר מליק