כך אמר אתמול (ב’) פרופ’ אלי ביהם, ביום עיון בטכניון על התקפות סייבר
“הפתרון לחולשות האבטחה בכל ההתקנים והפרוטוקולים – לחנך את המפתחים לא להוציא מוצר שלא נבדק עד הסוף מהיבט האבטחה”. כך אמר פרופסור אלי ביהם ביום עיון בנושא סייבר ואבטחת מידע, שנערך אתמול (ב’) בטכניון. את הכנס ארגנו פרופ’ אלי ביהם, ד”ר שרה ביתן והמרכז להנדסת מחשבים בטכניון (TCE) המשותף לפקולטה למדעי המחשב ולפקולטה להנדסת חשמל.
אוהד בוברוב מחברת לקון אמר בכנס כי קל מאוד לתכנן פריצה לצורך ריגול אחר אדם מסוים בכל מכשיר סלולארי. “אחד מכל אלף מכשירים סלולריים מכיל מערכת ריגול ייעודית. הבעיה היא שהיצרניות יודעות על הפרצות אך לוקח להן זמן ארוך להגיב”, הדגיש.
לדברי פרופ’ ביהם, הבעיה לא נעוצה בכך שהאקרים פורצים למחשבים ולטלפונים ניידים, אלא בחולשות שמאפשרות זאת. “יש בעיה מהותית בחינוך של מתכנתים בכל העולם, אשר לא דואגים לכך שמי שיוצא ממוסד הלימודים יהיה מודע לכל הבעיות שהתוכנה שהוא מפתח עלולה לגרום. כל אלה שמנסים להוציא מוצר לקראת דדליין מוותרים על האבטחה. הבעיה היא שללקוחות לא אכפת והם מוכנים לקנות את המוצרים הללו בלי אבטחה, בין אם זה בשוק המובייל, בשוק ה-PC ובכל מוצר שהוא.”
“התיקון לבעיית החינוך הבסיסי יגיע רק אם הצרכנים לא יסכימו לרכוש מוצרים שלא נבדקו מהיבטי אבטחת המידע”, הוסיף פרופ’ ביהם. “עוד לא ראיתי אדם שמוכן ללכת לדואר ולקנות מעטפה שקופה כדי לשלוח דואר אפילו אם זה בחצי מחיר. אבל כשמדובר בטלפונים או במחשבים הם לא שואלים אם זה שקוף”.
באשר לעיתוי הכנס, ביום שבו מתוכננת ומתבצעת מתקפה המונית על שרתים בישראל, אמר פרופ’ ביהם כי התקפות מסוגים שונים ומשונים מתרחשות כל הזמן, ואינן מנותבות ליום מסוים. “המיוחד היום הוא בהתארגנות למתקפות מניעת שירות (Denial of Service)”, הסביר. “סוג כזה של מתקפה מצליח רק אם מגיעות בקשות רבות לאותו שרת בו זמנית. היו שאמרו שאולי נסגור שרתים ביום זה, התשובה שלי היא שזה בדיוק מה שהתוקפים רוצים – לסגור לנו את השרתים, מדוע שנעזור להם?”
במושב הראשון של הכנס הציגה פרופ’ ארנה גרימברג מהפקולטה למדעי המחשב בטכניון מערכת שפיתחה ביחד עם חוקרים נוספים – אלגוריתם המחפש באופן אוטומטי פרצות אבטחה בפרוטוקול תעבורת הרשת OSPF הקובע באיזה מסלול יעברו מנות הנתונים הנשלחים ממחשב למחשב. פרוטוקול OSPF לומד את המבנה של הרשת כדי לדעת איך להעביר, ואי אפשר להעביר רשת בלי פרוטוקול כזה. עד כה הדרך היחידה לאתר פרצות היתה באמצעות מומחים שבדקו ידנית את הקוד. האלגוריתם הצליח לדמות אירועי פריצה שהפתיעו את החוקרים.
אוהד בוברוב, ממייסדי חברת לקון, הצליח להראות כיצד באמצעים פשוטים ונפוצים הניתנים להורדה מהרשת, ניתן לפרוץ לכל טלפון, לצפות ברשימת אנשי הקשר, להאזין למיקרופון, להפעיל את המצלמה, וכל מה שעולה על דעתו של התוקף.
“הדוגמאות היו מדהימות. תמיד ידעתי שזה נורא ואיום שקל לפרוץ לכל מכשיר סלולארי ולכל פרוטוקול בסיסי בתעבורת האינטרנט, אבל היום נדהמתי לראות עד כמה זה קל”, סיכם פרופ’ ביהם.
5 תגובות
אין לי שום טענות נגד המדען והקריפטוגרף המצטיין אלי ביהם (אם הוא אכן כזה). יש לי בעיות מול הניסיון שלו לחפש את המטבע מתחת לפנס, תוך התעלמות נחרצת מהמתרחש בזירת ההייטק העולמית ומכל הגורמים הפועלים בה (שדוחפים כולם לצאת כבר לשוק, בלי שום קשקושי אבטחה, ומעט מאוד איכות קוד, אם בכלל).
קצת מוזר לי שאתם מזלזלים באדם שפיצח את אלגוריתם ההצפנה של משרד הבטחון האמריקאי….
אני הייתי מנסה ללמוד מדבריו….. אבל אולי זה רק אני?
אני שואל את עצמי אם הפרופ’ ביהם עבד ולו כיום אחד כמפתח תכנה לפרנסתו וניצב מול הדילמות שפוקדות כל מהנדס תכנה בנושאי איכות תכנה מול דד ליין, רשימת תכונות שיש לממש, דרישות לקוחות (אמיתיים, לא מומצאים), הנהלה, שיווק, מתחרים ושאר ירקות? אני משוכנע שהוא לא היה מעז לומר משפט כל-כך אווילי כמו “לחנך את המפתחים” אם היה לו שמץ של מושג.
אבל מכיוון שנראה לי שיש צורך דחוף לחנך את ביהם, אני חייב לציין כי לימודי “מדעי המחשב”, שמכונים בטעות גם “הנדסת תכנה” רחוקים שנות אור מהנדסה ממשית של תכנה, ואני משוכנע שגם הפרופ’ ביהם לא מסוגל להיות “מודע לכל הבעיות שהתוכנה שהוא מפתח עלולה לגרום”. צריך מומחיות לא פשוטה בכלל להתקרב ליכולת הזו, שאפשר להשיג בשנות ניסיון רבות, בטח שלא במסגרת לימודי “תואר ראשון במדעי המחשב”.
לא ניתן “להוציא מוצר אשר לא נבדק עד הסוף”
תמיד יש מצבי קצה שלא נבדקו יש גם קומבינציות של מצבי קצה חלקם ידועים וחלקם לא מספר
בשביל זה יש האקרים
האם הוא התיחס לכך שגופי המודיעין הם אלו שרוצים שליטה על המידע?