אבטחת סייבר: ארגז חול, תכנות מאובטח ומה שביניהם

"אחד השינויים שאנחנו מציעים באופסווט הוא בכלל סוג של שינוי במחשבה, ולפעמים צריך את זה. יש לי יכולת לקחת כל קובץ ששמור אצלי או באינטרנט ולהעביר אותו בצורה מוצפנת לארגון, אבל ההעברת הקבצים מבוצעת באופן חד-כיווני – צד אחד תמיד שולח, צד אחד תמיד מקבל, ואין בכלל אפשרות להחזיר נתונים חזרה, וזה סוג של דלת לא קטנה להתקפה. זה אחד הכלים שאנחנו מציעים בחברה כדי לשפר את איכות ההגנה הארגונית", כך סיפר נועם גביש, ארכיטקט אבטחת מידע באופסווט, במהלך ההרצאה שלו במסלול הסייבר של כנס IT for IDF של אנשים ומחשבים, שנערך לאחרונה באולמי לאגו שבראשון לציון.

כלי נוסף שהוא הציג הוא סוג של ארגז חול משופר. "בעולם אוטופי הייתי יכול להעביר כל קובץ אחרי ניקוי והרכבה, אבל אנחנו לא בעולם כזה. יש הרבה ביצים שאי אפשר לפרק ולהוציא מהם את וקטורי התקיפה, ואז אנחנו משתמשים בארגז חול. אבל בגישה די שונה. מאוד קל לתקוף ארגז חול שרץ על מערכת וירטואלית, ושלנו מבצע הדמיה בלי לפתוח מכונה וירטואלית – זה הרבה יותר מהיר וגם נותן תשובות שונות לשאלות שונות באותה הרצה", הוא אמר.

תכנות מאובטח מראש

אור סהר, סמנכ"לית ומייסדת שותפה של Secure from Scratch הזכירה בהרצאה שלה את התקיפות הרבות שמבוצעות, ובכל פעם מחדש כך נדמה, בגלל בעיות בקוד, שכינוין המוכר הוא "פגיעות יום אפס". לדבריה מדובר בתופעה שקיימת יותר מדי בעולם הקוד הפתוח, שמפתחים רבים בכלל לא חושבים על אבטחה בזמן שהם כותבים את הקוד שלהם.

אור סהר, סמנכ"לית ומייסדת שותפה של Secure from Scratch. צילום: ניב קנטור

"קוד כזה הוא קוד פריץ, וגם אם לא יודעים, זה פשוט פצצה מתקתקת, כי האקר כזה או אחר ימצא את הבעיה, את החולשה. אז יש ערימה של נהלים ויש ערימה של ספרים, ואני אומרת לכם- אף אחד לא קורא אותם. ברוב המקרים גם אין תקציב בארגונים, שמאפשר לגשת אחרת, ואנחנו מגלים שגם חינוך לא עוזר. החזון שלי, וזה מה שחדש, הוא תכנות מאובטח מראש, שהאבטחה תהיה חלק מהסיפור מהרגע הראשון. שלא יהיה גוף שיכתוב קוד לא מאובטח בכלל בעוד עשר שנים. חייבים להעשיר את כוח העבודה הנוכחי, אבל באמת ולא רק כדי לצאת ידי חובה", היא אמרה.

קוד פתוח כווקטור להתקפה

גם עידן וינר, מנכ"ל ומייסד אילוסטריה, התייחס בהרצאה שלו להיבט של קוד פתוח כווקטור להתקפה. "לפעמים לא מבינים כמה העולם פרוץ ומסוכן. כולם משתמשים בקוד פתוח, כי זה מדהים. ארגונים יכולים לנוע יותר מהר כי לא כותבים מאפס. בוחרים, עושים מניפולציות ויש קוד שעובד אחרי כמה דקות, אבל אין ארוחות חינם בעולמות הללו, וזה יכול לפגוע בארגונים, וזה קל יחסית", הוא אמר.

עידן וינר, מנכ"ל ומייסד אילוסטריה. צילום: ניב קנטור

לדבריו, הבעיה הגדולה היא שאף אחד לא מכיר את התלויות של הקוד הפתוח, וגם אי אפשר בעצם לעקוב אחרי כולן. "וזה לא רק החבילות, זה גם כמות אדירה של תורמים מכל מיני מסיבות, והם לא אנשי אבטחה, ופה הבעיה. אפשר לחטוף את החבילות הללו ולשתול קוד פוגעני. אין רגולציה, אין חוקים, ואפשר גם להשתלט על ספריות ודי בפשטות".

"אנחנו עוזרים לגלות את הסיפור שעומד מאחור כל קוד כזה, ולהרגיל אתכם לבדוק – כמו שאתם לא תפתחו דלת בארבע בבוקר אם מישהו ידפוק. צריך לחשוב פעמיים לפני הורדת קוד פתוח, ואנחנו מאפשרים לבצע ניטור כל הזמן", הוא סיים.

אלגוריתמים של לימוד מכונה במערכות התקפה והגנה צבאיות

ד"ר רז בירמן, חוקר בתחום הראייה הממוחשבת, אוניברסיטת בן גוריון, דיבר על אלגוריתמים של לימוד מכונה במערכות התקפה והגנה צבאיות. הוא סיפר כי המחקר שהוא מוביל ממומן בידי רשות החדשנות, קבוצות אקדמיה, כולל שיתוף פעולה עם אלביט וחברות אחרות שמפתחות מודלים לזיהוי אובייקטים.

ד"ר רז בירמן, חוקר בתחום הראייה הממוחשבת, אוניברסיטת בן גוריון. צילום: ניב קנטור

"המטרה היא למנוע זיהוי שגוי של תמרורים, סמלים ושלטי חוצות. תופעות שיכולות לגרום בעיות במכונות אוטונומיות. יכולה להיות ירידה מאוד מאוד דרמטית באיכות הפענוח של המודלים האוטונומיים אם מבצעים הפרעות שונות, ולפעמים מדבקה קטנה עלולה לשבש את המערכת. לדוגמה, זה יכול להוביל לכך שמערכת מבצעית יורדת מתחת לאחוזי הזיהוי המינימליים ולא מספקת את ההגנה המבוקשת.  אנחנו יודעים כבר בעקבות המחקר לספק מערכת, שמזהה טעויות כמו גם ניסיונות הטעיה כדי לשפר את הזיהוי מחדש של תמונות ומערכות. זה כמובן מיועד גם כן למערכות צבאיות כדי למנוע זיהוי לא נכון של חיילים וכלים באמצעות שימוש בהפרעות חיצוניות, וזה כמובן עוזר לשפר את אחוזי התפעול הנכון", הוא סיפר.