גורו הפריצות "ואן האוזר": "IPv6 הוא סיוט אבטחה לכולם – לספקי IT, למנהלי רשת ואף להאקרים"

"פרוטוקול תקשורת האינטרנט החדש IPv6 ייהפך לסטנדרט תוך שנים ספורות. כשזה יקרה, העולם ייתפס עם מכנסיו מופשלים, כשהוא לא מוכן לקראתו, מאחר שהוא טומן בחובו אינסוף בעיות אבטחת מידע. למעשה, IPv6 הוא סיוט אבטחה נורא לכולם – לספקי IT, למנהלי הרשת ואפילו, באופן פרדוקסלי, להאקרים, שכמו כולם – מתקשים לרדת לעומק פשרו", כך אמר גורו הפריצות ומומחה ההאקינג הבינלאומי מארק יוז, הידוע יותר בכינויו ואן האוזר.

הוא אמר את הדברים בהרצאה שהעביר ביום ה' האחרון לחברי האיגוד הישראלי לאבטחת מידע, ISSA, באירוע שהתקיים בקריה האקדמית קריית אונו. הוא הציג את פרי עבודתו בשש השנים האחרונות, על הנוזקות והחולשות שהוא מצא ב-IPv6 ועל כלים שהוא פיתח לסריקה ולמניעת ניצול של אותן נקודות תורפה.

ואן האוזר הוא מייסד קבוצת THC (ר"ת The Hacker's Choice – משחק מילים על ראשי תיבות זהים של החומר הפעיל בחשיש – י.ה.). הקבוצה, שנוסדה ב-1995, היא מהגדולות מסוגה בעולם ומונה מאות מומחי אבטחה בעולם ופועלת במגוון תחומי אבטחת מידע מקוונת. ייחודה הוא שבניגוד לפעילות חברות האבטחה המסחריות, היא פועלת להפצת טלאים ותיקון פרצות ומניעת נוזקות שלא למטרות רווח. רוב חבריה נושאים בכינויים, על מנת שלא יינזקו במקומות עבודתם בשל הפעילות שלהם, על אף מטרתה החיובית. תנאי הקבלה לארגון הם יכולת פריצה שלא למטרת נזק מחד וידע טכני ליצירת כלים למניעת חדירה שפותחו לטובת הקהילה.

את מומחיותו רכש ואן האוזר כאשר החל לפרוץ למערכות IT ולאתרי ארגונים מסחריים, שלא לשם גרימת נזק, פרסום או הפקת תועלת כספית, אלא כדי להתריע ולהודיע על הפרצות. למרות גילו הצעיר, ואן האוזר פעיל בעולם האבטחה כבר שני עשורים. בעבר עבד כיועץ אבטחה בחטיבת האבטחה בפירמת הייעוץ KPMG ולאחר מכן ביחידת האבטחה של SUSE-Linux. בשנים האחרונות הוא משמש יועץ עצמאי לאבטחה ומפתח כלים למניעת חדירות למערכות מבוססות IPv6. "אני פועל בשיטת הסלאמי, ומפרסם את נקודות התורפה של הפרוטוקול במינון נמוך לעומת החומר המחקרי שמצטבר ברשותי", אמר ואן האוזר בכנס. "אם אפרסם את כל מה שיש לי, אנשים יעשו אחד מהשניים: יתעלמו או יפחדו יתר על המידה".

"IPv6 נראה פרוטוקול פשוט – אולם הוא מורכב"

הוא ציין, כי IPv6 הוא פרוטוקול שמשמש להעברת נתונים ברשתות מבוססות מיתוג מנות. גרסה 6 של פרוטוקול ה-IP, הסביר, היא השלישית, לאחר גרסה 4 (IPv4), השלטת כיום בשוק. הוא אמר, כי הסיבה לפיתוח הפרוטוקול החדש היא הצורך בהגדלה משמעותית של כתובות ה-IP האפשריות. כתובת IP בגרסה הנוכחית, הוסיף ואן האוזר, בנויה מ-32 סיביות, המאפשרות ליצור יותר מארבעה מיליארד כתובות, כשבפועל – מדובר במספר נמוך יותר. לדבריו, בפרוטוקול החדש נעשה שימוש ב-128 סיביות, המאפשרות את היכולת ליצור מספר כתובות המיוצג עם 39 אפסים.

ואן האוזר אמר, כי בעיות אבטחת המידע בפרוטוקול החדש נובעות מהעובדה שמי שפיתח ועיצב אותו היו אנשי רשת, "שמטבעם, לא חושבים על אבטחת מידע. הם שונאים כל דבר שאינו רשת ורצו להיפטר מכל דבר שאינו רשת. לכן, הם עיצבו את הפרוטוקול בתצורה אוטומטית". הוא ציין, כי "מנגנון IPSec שהיה קיים גם ב-IPv4 ולא נמצא בשימוש רב הוטמע גם ב-IPv6. התמיכה ב IPSec מובנית ומותאמת לפרוטוקול".

"IPv6 נראה פרוטוקול פשוט וטוב, ולכן קל יותר גם בהיבט אבטחת מידע, אולם זה לא נכון. מדובר בפרוטוקול מורכב שטומן בחובו פרצות ונקודות תורפה רבות. באופן פרדוקסלי, הוא גם קשה להבנה ולהעמקה טכנולוגית עבור האקרים", אמר.

"במהלך השנים הרבות מצאתי נקודות תורפה רבות בפרוטוקול", ציין. "לצערי, חלק ניכר מהן טרם טופל. פניתי פעמים רבות לספקיות IT בנושא, אלא שחלק מהן התעלמו מהערותיי".

לדברי ואן האוזר, "בעבר חשבו שייקח שנים רבות עד שהפרוטוקול החדש יהיה בשימוש, אבל מה לעשות – העתיד כבר כאן. תוך שנים ספורות יהווה IPv6 את רוב פעילות הרשת, ויהיו רק איים בודדים של גרסה 4. אלא שכמו שאין כמעט היערכות לגרסה 6 החדשה ככלל, בוודאי שאין היערכות לקראת הגרסה בהיבט אבטחת מידע".

"הוגה הדעות הצבאי הסיני סון צה אמר פעם: 'דע את האויב ודע את עצמך. אם תדע את עצמך ולא את האויב, יש לך סיכוי שווה לנצח ולהפסיד. אם לא תדע את עצמך ולא תדע את האויב, הפסדך מובטח בכל קרב וקרב'", סיכם ואן האוזר. "זה נכון גם לגבי מצב אבטחת המידע ברשתות התקשורת והמחשבים. התעלמות מהופעת הפרוטוקול וסכנות אבטחת המידע הטמונות בו לא יביאו להיעלמותן של הסכנות".

לאחר הרצאתו של ואן האוזר נערכה סדנה מעשית בה הוצגו פרצות בפרוטוקול החדש, כלים שפותחו למניעתן וטכנולוגיות להתמודדות עימן.