לקראת אירוע | חזית חדשה במלחמת הסייבר

כפי שאנו רואים ברמה היומיומית, מתרחשות התקפות סייבר מוצלחות על חברות בכל העולם, ללא התחשבות בגודלן או בעיסוקן. הסיבה העיקרית לכך היא כי מרבית ההתקפות מתרחשות דרך חולשות מובנות באפליקציות ומערכות הפעלה, ובשל העובדה כי נהלי אבטחת הגנה גנריים ומתקדמים חדשים אינם מספיקים לעצור את מתקפות הסייבר על הארגונים.

הארגונים הגיעו להכרה כי הדרך היעילה ביותר להגנה ברמת האפליקציה היא על ידי הכשרות של אנשי הפיתוח בשיטות ומתודולוגיות של הגנה בשלב הפיתוח. כלומר שהאפליקציה תיוולד ללא פגמים מובנים אשר יהוו דרך כניסה לתוקפי סייבר, או במילים אחרות – האקרים. במקרה שהאפליקציה כבר בנויה, עדיין יהיה ניתן לחזק ולתקן ברמת הקוד על ידי שיטות מתקדמות ומוכחות אשר ניתן ללמד.

שלב ראשון לתיקון חורים מובנים באפליקציה הוא איתורם על ידי מציאת חורי אבטחה בשיטות של בדיקת חוסן ברמה האפליקטיבית המוכרת בשוק בשם PT (ר"ת Penetration Testing). לשם כך על מבצעי בדיקת החוסן להיות בעלי ידע מעמיקים ובעלי הכשרה של שיטות חדשניות אשר תעמדנה בפני המציאות המתחדש באופן שוטף.

סכנה גבוהה ומיידית האורבת לפתח אנשי אבטחת המידע של חברות, אשר אינה נותנת להם מנוח, היא סכנת המכשירים הניידים. פיתוח האפליקציות הוא מהיר אך אינו בהכרח זהיר. כפי שאנו רואים טלפונים חכמים וטאבלטים ניידים הפכו לחלק מחיינו והצפי לחדירה לשווקים חדשים יגיע למיליארדים של משתמשים חדשים בשנים הקרובות. לצערנו, ככול שיהפכו לנפוצים וחכמים יותר, כך גם תגדלנה הסכנות הטמונות בשימוש באותם האמצעים.

בחזית הלוחמה בסכנות אפליקטיביות עומד ארז מטולה, מייסד ומנכ"ל AppSec Labs, מומחה עולמי וידוע שם בתחום אבטחה אפליקטיבית. מניסיונו רב השנים של ארז, שנצבר בעקבות עבודתו ועבודת הצוותים של מומחי AppSec Labs אל מול חברות בינלאומיות ומקומיות במגזרים מגוונים כמו חברות תכנות, פיננסיים, גופים צבאים ורפואיים.

בפעם הראשונה בישראל: קורס מובייל האקינג
תכני הקורס עוסקים בהגנה על אפליקציות מובייל ובמציאת חולשות ברמת הקוד. AppSec Labs העבירה מסלול הכשרה מתקדם ב-Black Hat U.S.A 2013 בתחום Mobile Hacking עקב דרישה של ארגונים מובילים ממארגני Black Hat. זהו הכנס השנתי המוביל בתחום סקיוריטי בעולם, המתקיים בארה"ב. לאחר חיפוש אינטנסיבי ועמידה בקריטריונים המחמירים ביותר, העברנו שלוש סדנאות בנושא Mobile Hacking למערכות הפעלה שונים בעיקר אנדרואיד של גוגל ו-iOS של אפל.

לדברי מטולה, "ארגונים המובילים ניצלו את האירוע ושלחו מומחי אבטחה מרחבי העולם כדי להגדיל את הידע במציאת חולשות ותהליכי הגנה במכשירים ניידים. שלושת הסדנאות שהעברנו היו מלאות וקיבלנו משובים חיוביים ביותר. בעיקר על כך שהורדנו והשתמשנו באפליקציות מגוגל פליי ואפס-סטור, תוך כדי שיעור, כדי להדגים את החולשות שלהן הלכה למעשה ולא רק ברמה התיאורטית או האקדמית. היה חשוב לנו להראות את הסכנות האמתיות האורבות לארגונים ודרכי אבחון וניתוח על ידי שימוש בכלים המתקדמים שפיתחנו ומתודולוגיות מתקדמות. לשמחתנו, הייתה עליה של אלפי ההורדות של אפליקציות האבחון בחודשים האחרונים".

"בעקבות ההצלחה ב-Black Hat", אמר מטולה, "החלטנו להעביר, לראשונה, את הסדנה בארץ ולתת לנרשמים פרטיים ולא רק לארגונים להירשם לאותה סדנה שהועברה בארה"ב. בניגוד לסדנה אשר הועברה באנגלית בעלות של אלפי דולרים למשתתף הבודד, תועבר הסדנה בארץ בשפה העברית, לנוחיות המשתתפים ובעלות סמלית. אנו מקווים שבכך נוכל להרחיב ולחזק את הידע הנדרש בארץ למומחי אבטחת מידע".