תקלה חדשה במעבדים עלולה לפגוע גם במערכות שו"ב

שאלתי עורך דין מכובד כיצד המשרד שלו מוגן בפני סיכוני סייבר, ואילו הוא הסביר כי איש המחשבים הנחה אותו לחבר התקן זיכרון אל המחשב למשך הלילה ועליו לגבות את המחשב. הפתעתי כי איש מחשבים ב-2018 עדיין מאמין כי זהו פתרון ראוי עבור משרד שמחזיק מידע חשוב לעסקיו ומידע חסוי לגבי לקוחותיו.

כבר בשבוע הראשון של השנה החדשה קיבולנו איתות מדאיג לגבי מה צפוי ב-2018, ואכן יש מקום לדאגה, כי התבשרנו על החדשות מרעישות לגבי זיהוי חולשות אבטחה (Security Vulnerabilities) בשמות Spectre ו-Meltdown שהם תקלות תוכנה במעבדים של היצרנים המובילים בעולם.

הפעם לא מדובר בעוד ארגון שמעונין לתקוף אותנו אלא בשלוש חולשת חדשות מסוג "יום אפס" (Zero Day). על פי ההגדרה, חולשת יום אפס היא תקלה שעבורה אין לנו עדיין מענה אבטחה ולכן מערכות המחשוב שמשתמשות ברכיבים אלה (כמעט כולן במשך יותר משני עשורים) חשופות לתקיפה על ידי גורמים עוינים שלמדו מתוך הפרסום על אפשרות תקיפה (Attack Vector) שעדיין לא למדנו להתגונן נגדם.

חולשות אלה מאפשרות שימוש בקוד התקפה כגון JavaScript כדי לגנוב מפתחות הצפנה וגם פרטי מידע אחרים מתוך זיכרון הליבה (Kernel) וגם מחלונות הדפדפן. התקיפות שמנצלות חולשות אלה עלולות לפגוע בביצועים של מערכות המידע ולשתק מתקנים תעשייתיים.

היות ואנחנו מתייחסים כאן למערכות שליטה ובקרה (שו"ב), הידועות גם כמערכות ICS/OT/SCADA ועוד, לא ניתן לבצע תיקון מהיר ופשוט, אלא נדרשות בדיקות נרחבות לכל מערכת שו"ב כגון מערכות לאספקת מים, חשמל, גז, תקשורת, ביוב, תחבורה, ועוד. לכן זו לא משימה פשוטה וידרשו מאמצים נרחבים כדי לטפל בבעיה זו.

בשלב ראשון נצטרך להמתין לקבלת "אמצעי המניעה" שיספקו לנו היצרנים של מערכות הבקרה, ולאחר מכן לבצע בדיקות רבות מעמיקות לפני התיקון. חשוב לציין כי אותם הלקוחות שבנו מערכות שו"ב בצורה נכונה וכוללת אמצעי הגנה מותאמים  הם מוגנים טוב יותר, כי קשה לחדור לתוך המערכת שלהם. אלה שעד היום התייחסו לנושא של סיכוני אבטחה בביטול במילים כמו "מי כבר יחפש אותי" – ימצאו את עצמם כחלק מהמועדון של ארגונים שנמצאים בסיכון.

תקיפה על מערכת שו"ב לא רק מאפשרת לגנוב או לשבש מידע, אלא לגרום להשבתה של מתקן ייצור חיוני. במקרים קיצוניים פגיעה במערכת של מפעל תעשייתי עלולה לגרום לנזק מכאני, פיצוץ במערכות ייצור וכתוצאה מכך גם פגיעה באנשים.

מה נתגלה?

שלוש החולשות אליהן מתייחסת כתבה זו, נמצאות במעבדים של החברות המובילות בעולם. תקלת Meltdown מתייחסת לחולשה CVE-2017-5754 (Common Vulnerabilities and Exposures), ותקלת Spectre מתייחסת לשתי חולשות אחרות – CVE-2017-5753 / CVE-2017-5715.

תקלת Meltdown מאפשרת גישה לזיכרון הליבה, החדרת  קוד זדוני, גניבת מידע, כגון סיסמאות ומפתחות הצפנה. תקלת Spectre מאפשרת לגנוב קוד כזה מחלקים אחרים כגון מדפדפן.

ניצול של חולשות אלה לתקיפה מסוג מתקפות יום אפס למערכות שו"ב, מאפשרת לתוקפים התחברות מרחוק. ברגע שהתוקף השיג חדירה למערכת על ידי הכנעה (Compromising) של התקן חומת אש (או אמצעי הגנה אחר מבוסס על תוכנה), יתאפשר ביצוע של תקיפה חמורה על מערכת השו"ב. ביטול מוחלט של חולשות אלה הוא קשה במיוחד, ויישום הגנה במערכות שו"ב עלול לקחת תקופה ארוכה.

עדכוני אבטחה

כידוע, במערכות IT אנחנו מקפידים על פתרונות טכנולוגיים ואחרים שיבטיחו את הסודיות, שלמות וזמינות (Confidentiality-Integrity-Availability) המידע, והנזק שעלול להיגרם עקב תקיפה הוא בגניבת מידע, פגיעה בפרטיות והצורך לשחזר מידע מגיבויים.

לעומת זאת, במערכות תפעוליות כמו מערכות שו"ב ממגוון סוגים, אנחנו דואגים לגבי בטיחות, אמינות ותפוקה (Safety-Reliability-Productivity). אלה מחויבויות קריטיות ולכן נדרשות בדיקות רבות לפני מימוש אמצעי הגנה שמיועד לתת מענה לחולשות שפורטו לעיל.

מה ניתן לעשות מיידית?

כאשר מופיע סיכון חדש כלשהו שמקורו מחדירה חיצונית למערכת, ניתן מיידית לשדרג את ההגנה ההיקפית על ידי הוספת אמצעים שלא משפיעים על תפקוד מערכת השו"ב כגון: התקן לתקשורת חד-כיווני (Unidirectional Gateway), פתרון חומת אש מורחב עם תוספת של אזור מפורז (Demilitarized Zone), צמצום ההרשאות להתחברות מרחוק למניעת תקיפה (Remote Administration Tool-RAT), ניתור מצבים חריגים (Anomaly Detection), מערכות לאיתור חדירה (Intrusion Detection Systems-IDS) ועוד.

לקוחות שמחוברים למערכות ניתוח מקצועיות כמו Security Information and Event Monitoring-SIEM, ייהנו מזיהוי מהיר של ניסיון חדירה למערכות וכך יוכלו להקטין את הנזק.

סיכום ותובנות

חשוב להדגיש כי הגנת סייבר יעילה וחזקה (Strong Cyber Security) על מערכות שו"ב וגם מערכות מידע, בנויה משלושה מרכיבים ברי השגה: א) שימוש בטכנולוגיות אבטחה, ב) הקפדה על נהלים, ג) התנהלות זהירה של משתמשים (People-Policies/processes. Technology – PPT).

הואיל ואחוז גבוהה של תקיפות הצליחו תוך ניצול חולשת האדם, חשוב לומר כי הפעולה החשובה להגנת סייבר על כל סוג של מערכות מחשוב חייבת להתחיל בהדרכה ותרגול של עובדים למודעות בפני סיכוני סייבר.