התאוששות בגיוסי ההון בהייטק, תודות לסייבר

בתמונה למעלה: מנכ"ל SNC אבי חסון. צילום: מירי דווידוביץ'

דו"ח גיוסי ההון של ארגון סטארט-אפ ניישן סנטרל (SNC) מצביע על התאוששות משמעותית בפעילות גיוסי ההון בקרב חברות סטארט-אפ ישראליות בחודשים האחרונים, חרף המלחמה והסיכונים הגיאו-פוליטיים, אך גם חושף תלות גדולה של ההייטק הישראלי במגזר הסייבר, שהיה אחראי ליותר ממחצית מהיקף ההון שגויס.

לפי הדו"ח,במחצית הראשונה של 2024 גייסו החברות הישראליות כ-5.1 מיליארד דולר ב-322 סבבים – עלייה של 31% בהשוואה למחצית השנייה של 2023. ב-SNC אף מעריכים כי הסכום המלא גדול יותר, וייתכן כי מגיע לכדי 6.7 מיליארד דולר, וזאת אם מביאים בחשבון גיוסי הון שלא דווחו בפומבי. הזינוק בפעילות הורגש בעיקר ברבעון השני, שבו גוייס סכום כולל של 3.1 מיליארד דולר, בהשוואה ל-1.8 מיליארד דולר ברבעון הראשון. בהשוואה גלובלית, בארצות הברית נרשמה באותה תקופה עלייה של 28% בהיקף הגיוסים, בעוד שבאסיה ובאירופה נרשמו ירידות של 6% ו-18% בהתאמה. 

מירב ההון שגויס באקוסיסטם הישראלי במחצית הראשונה של השנה התחלק על פני מספר מצומצם יחסית של גיוסי-ענק (מעל 100 מיליון דולר). במחצית הראשונה של 2024 היו 14 כאלה והם חתומים על כ-2.8 מיליארד דולר, כ-56%, מכלל ההון שגויס. על כן, לדברי SNC, הנתון הראשי החזק מסתיר את העובדה כי חברות במגזרים יותר חלשים, וחברות בגיוסי המשך, התקשו לגייס כספים. כאמור, וזהו מאפיין של ההייטק הישראלי לאורך השנים, גם הפעם מגזר ההייטק התבלט ביכולתו למשוך משקיעים והיה אחראי במחצית הראשונה של 2024 ל-52% מהיקף ההון שגויס, ובכלל זה הסבב שבו גייסה בחודש מאי כמיליארד דולר חברת Wiz, שבאחרונה דווח כי היא במגעים מתקדמים למכירתה לגוגל תמורת סכום עתק של 23 מיליארד דולר. 

חוסר-איזון מסוכן

המשקל העצום של מגזר הסייבר בגיוסי המחצית הראשונה הוא חריג אפילו ביחס להייטק הישראלי, כאשר בשנים ההאחרונות חברות הסייבר נוטלות נתח של כ-25% מכלל הגיוסים. לשם השוואה, בארצות הברית חברות הסייבר אחריות רק לכ-13% מהיקף הגיוסים. ב-2018 גם בישראל וגם בארצות הברית חברות הסייבר היו חתומות על כ-20% מכלל הגיוסים. ב-SMC מדגישים כי מצד אחד הדבר ממחיש את יתרונו הטכנולוגי של הסייבר הישראלי, אך גם מזהירים כי הסתמכות-יתר על מגזר ההייטק עלולה להביא לכך כי ישראל תישאר מאחור בעולמות טכנולוגיים אחרים.

מנכ"ל SNC, אבי חסון, התייחס לממצאי הדו"ח: "היה ניתן לשער כי המצב בישראל ישפיע בצורה ניכרת יותר על ההייטק הישראלי, אך הנתונים מלמדים אחרת, כאשר ישנם משקיעים שמגדילים את השקעתם בחברות הישראליות בזכות איכותן ובהערכות שווי אטרקטיביות. עם זאת, חברות בשלבים מוקדמים או בתחומים פחות טרנדיים מתקשות יותר לגייס כספים".

D-Fend הוסיפה יכולת ימית ליירוט רחפנים

חברת D-Fend Solutions מרעננה, הכריזה על שדרוג ערכת ההגנה EnforceAir2, אשר מאפשרת להשתלט על רחפנים עויינים באמצעות טכניקות שהובוא מעולם הגנת הסייבר. בגרסה החדשה, המערכת מותאמת לשימוש גם באמצעות כלי שייט ימיים וכוללת ממשק התחברות אל שאר חיישני ומערכות הספינה. הטכנולוגיה של החברה מבוססת על ההנחה של השיטות הקיימות היום סובלות מחסרונות גדולים מאוד: מערכות מכ"ם, מערכות גילוי אלקטרואופטיות ומערכות גילוי ויירוט מבוססות RF וניתוח אותות אקוסטיים, רגישות מאוד לתנאי הסביבה ולא מתאימות לגילוי אובייקטים קטנים.

הגישה של חברת D-Fend מבוססת על האזנה פאסיבית לתשדורות באמצעות מקלטי RF, וניתוח האותות בטכניקות עיבוד שהובאו מעולם הגנת הסייבר. מרגע שהמערכת קולטת את האותות, היא מפענחת את פרוטוקול התקשורת ואת נתוני הטלמטריה של הרחפן. מהמידע הזה היא מחלצת פרטים חיוניים כמו זהות הרחפן, הסיווג שלו, ואפילו מקבלת מידע מדוייק על מיקום הרחפן ועל מיקומו של המפעיל. למערכת EnforceAir קיים גם אופן פעולה אקטיבי, המבוסס גם הוא על טכנולוגיות שהובאו מתחום פריצות הסייבר, ומאפשר להשתלט על הרחפן ולנטרל אותו באמצעים מקוונים, בלא שימוש באמצעים פיזיים.

המערכת המשודרגת כוללת פרופילים של רחפנים חדשים, ממשק משתמש מונחה בינה מלאכותית המספק למפעיל המלצות פעולה מיידיות ומספק מידע גרפי של אופי ורמת האיום. ממשק יישומי תוכנה חדש (API) משפר את יכולת התממשקות המערכות עם מערכות שו"ב חיצוניות והתחברות אל כלי שיט לצורך הגנה על ספינות וציים, כולל התחברות של מפת שדה הקרב של כלי השיט. בגרסה החדשה, המערכת מותאמת לפעול בלא תלות באותות ניווט לווייניים (GNSS) ולכן ממשכה לתפקד בלא הפרעה גם בסביבה רווייה בשיבושי GPS.

שוק היעד המרכזי: ארה"ב

החברה הוקמה בשנת 2017 על-ידי המנכ"ל זהר הלחמי, הטכנולוג הראשי אסף מונסה ומנהל המוצר יניב בנבנישתי. היא פועלת בקטגוריית Counter small Unmanned Aircraft Systems – C-UAS. הגישה שלה הוכרה על-ידי משרד ההגנה האמריקאי, ובשנת 2022 היא זכתה בהזמנה בהיקף של כ-3 מיליון דולר לספק את מערכות ההגנה מהדור הראשון ליחידות של הצבא האמריקאי. מערכת EnforceAir2 גם משמשת כמטריית הגנה על האפיפור בכל סיוריו בעולם.

בסוף 2023 רכש חיל האוויר הספרדי מערכת אחת, ולאחר מספר חודשי שימוש הוא הזמין לפני חודש מערכת נוספת. החברה משתתפת בתוכנית ההגנה בפני רחפנים של מינהל התעופה האמריקאי (FAA), אשר מיועדת להגדיר מערכ הגנה על כל שדות התעופה בארה"ב בשיתוף פעולה עם כל גופי הממשל והביטחון. ארה"ב היא שוק יעד מרכזי.

לאחרונה החברה הרחיבה את פעילותה בארה"ב (באמצעות המשרד הפועל מווירג'יניה) ומינתה שני בכירים מהתעשייה הביטחונית כדי לפתח את עסקיה במדינה: סמנכ"ל מכירות לארה"ב גורדון קסטינג, ומנהל פיתוח עסקי גלן מק'ארתור. בתפקידו האחרון שימש קסטינג כמנהל מכירות אלביט בתחום הגנת המולדת בארה"ב. מק'ארתור מגיע מהצד של הלקוח – לאחר שירות של 25 שנים במשמר החופים של ארה"ב.

HEQA Security מספקת הגנה מפני ציתות קוונטי

בתמונה למעלה: מנכ"ל HEQA, ניר בר-לב. רק 5 מתחרים בכל העולם

לאחר חמש שנות פיתוח אינטנסיבי, החלה לאחרונה חברת HEQA Security ממודיעין לספק ללקוחות מערכת אבטחה אשר מצליחה להגן על תקשורת מידע בפני פיצוח המתבצע על-ידי מחשבי על ואפילו על-ידי מחשבים קוונטיים. החברה החלה לספק את המערכת ללקוחות שונים, ועובדת עם שותפים עסקיים וטכנולוגיים מובילים, בהם חברות וארגונים מקהיליית הביטחון בישראל, Thales, סיסקו, ciena, אנבידיה ועם חברת בזק, אשר מתכננת להגן באמצעותה על רשת הסיבים האופטיים שהיא מתפעלת.

מנהל מחלקת פיתוח שירותים עסקיים בחטיבת השיווק של בזק, עופר סבן, סיפר ל-Techtime שבשלב הראשון בזק מתכננת להתקין את המערכת בשדרת התקשורת המרכזית שלה. בהמשך, תסופק המערכת ללקוחות המרכזיים של בזק. סבן: "בזק היא גם לקוח וגם מפיץ ותספק את מערכות HEQA ללקוחותיה. עד היום בנינו את ארכיטקטורת ההגנה על שדרת התקשורת שלנו, וכעת אנחנו מתחילים להציע את הפתרון ללקוחות הגדולים".

חברת HEQA נוסדה באוניברסיטה העברית לפני כ-5 שנים. היא הוקמה על-ידי פרופ' לפיסיקה ניסויית חגי איזנברג ועל-ידי ה-COO יניר פרבר, והטכנולוג הראשי ד"ר לפיסיקה ניצן ליבנה. החברה פיתחה פתרון להגנת ערוץ התקשורת, אשר מבוסס על טכנולוגיה קוונטית אשר מצליחה למנוע באופן מוחלט האזנה ופריצה למידע, גם כאשר הם מתבצעים באמצעות מחשבים חזקים מאוד כמו מחשבים קוונטיים.

כיצד מתגוננים בפני מחשב קוונטי עם 2,000 קיוביט

בראיון ל-Techtime סיפר מנכ"ל החברה ניר בר-לב שכבר היום הבעיה היא קשה מאוד, מכיוון שיש בעולם מספר מדינות המחזיקות ביכולת להגיע לקרוא כל פריט מידע המועבר ברשתות התקשורת, באמצעות אלגוריתמיקה ומחשבי-על. בר-לב: "האתגר הגדול של עידן מחשבי העל והמחשוב הקוונטי הוא בהצפנה, מכיוון שאלגוריתם שור (Shor) מראה שמחשב קוונטי עם 2,000 קיוביט יפרוץ בתוך מספר שניות כל מערכת המוגנת בשיטות הקיימות. חברת יבמ מעריכה שמחשב כזה יגיע לשוק בעתיד הקרוב, בתוך שנים ספורות".

חברת HEQA מתמקדת בהגנה על תקשורת אופטית, מכיוון שכ-95% מתקשורת המידע עוברת כיום בסיבים אופטיים. "אנחנו שייכים לקבוצה קטנה מאוד של חברות המביאות פתרונות המבוססים על תופעות קוונטיות של האור. במסגרת ההיערכות למיחשוב קוונטי, פותחה משפחה שלמה של אלגוריתמים חדשים בתחום חדש הנקרא Post Quantum Cryptography, אשר היו אמורים להיות עמידים בפני פיצוח על-ידי מחשב קוונטי. מכון התקנים האמריקאי (NIST), הוביל מהלך שנועד לאתר את אלגוריתם PQC הטוב ביותר. אבל כמלבד אלגוריתם אחד, כל האלגוריתמים שהוצגו בפניו הוכחו כלא-עמידים בפני מתקפות של מחשבים רגילים או מחשבים קוונטיים".

חומת הגנה פוטונית

"בינתיים נשאר רק אלגוריתם KYBER שאמור להיות מאושר בחודשים הקרובים, אולם גם הוא סובל מבעיה המאפיינת את כל האלגוריתמים הקודמים: אין הוכחה תאורטית שהוא בלתי פציח. הגישה שלנו שונה: אנחנו מספקים הגנה פיסיקלית למערכות הצפנה מסוג Quantum Key Distribution, אשר מבוססת על העברה מוגנת של מפתחות הצפנה. המערכת כוללת משדר לייזר אשר מזריק פוטונים בעלי סדרה מוגבלת וידועה של מצבים קוונטיים לתוך סיב לייזר.

"לכן כאשר גורם שלישי מנסה להקשיב לשידור, הפוטונים קורסים למצב קוונטי שונה מזה שבו הם שודרו, ורק כ-25% מהם יחזרו למצבם המקורי. המערך הזה מבוקר על-ידי אלגוריתם שלנו, אשר בודק את הפוטונים בקו התקשורת, ומזהה האם השינויים שמתחוללים בהם, נגרמו כתוצאה מרעשים והפרעות טבעיות בקו, או בעקבות האזנה של גורם בלתי מורשה".

מערכת Sceptre מופיעה במתכונת של משדר נפרד ומקלט נפרד. אתגרי אבטחה בעידן המחשב הקוונטי
מערכת Sceptre מופיעה במתכונת של משדר נפרד ומקלט נפרד. אתגרי אבטחה בעידן המחשב הקוונטי

חברת HEQA פועלת ממודיעין ומעסיקה יותר מ-20 עובדים וקבלני משנה. בשנת 2023 היא נכנסה לשלב המסחרי והחלה לספק מערכות תקשורת קוונטית לחברות תקשורת, מערכות ביטחון ולחברות הענן הגדולות בעולם. כיום החברה מספקת שני מוצרים מרכזיים: מערכת Sceptre Duo שהיא פתרון ייחודי ומאוחד הכולל משדר, מקלט ומערכת ניהול מפתחות הצפנה (Key Management System) במארז 1U יחיד. המוצר השני הוא מערכת Sceptre Link המופיעה במתכונת של משדר נפרד ומקלט נפרד, כל אחד מהם במארז 1U.

השלב הבא: הגנת תקשורת לוויינים

כיום החברה מפתחת שני מוצרים נוספים, במטרה לספק מענה מותאם למקטעים שונים של רשת התקשורת. מכיוון שיש בטכנולוגיה הזו מגבלת מרחק של עד 100 ק"מ, יש צורך להתקין את המערכות בצמתים שונים של רשת התקשורת באתרים מאובטחים. במקביל, היא גם משתתפת בפרוייקט למימוש QKD לתקשורת לוויינית.

ניר: "בעולם כולו יש כיום כ-20 חברות בתחום הזה, ורק ל-6 מהן יש פתרון ישים. כלומר, יש לנו בסך הכל 5 מתחרים, אבל אף אחד מהם לא מצליח להתקרב לרמת המחיר שלנו. מערכת ההגנה שלנו עמידה בפני פי שלושה יותר סוגי התקפות מאשר תקן QKD דורש, ויש לטכנולוגיה שבבסיס הפתרון שלנו הוכחה מתימטית שהיא בלתי ניתנת לפריצה".

ארגוס הקימה מעבדת בדיקות רכב בארה"ב

חברת ארגוס (Argus Cyber Security), המפתחת פתרונות הגנת סייבר לתעשיית הרכב, הקימה בדטרויט מעבדה לבדיקת רמת האבטחה של חומרת ותוכנת רכב אשר תספק שירותי בדיקה והמלצות ליצרניות רכב ולקבלניות טיר-1 של תעשיית הרכב בארה"ב. המעבדה תספק שירותי ואיתור חולשות אבטחה ביחידות הבקרה האלקטרוניות (ECU) ברכב, ברשתות התקשורת הפנימיות ברכב (CAN) ובמערכות התוכנה המותקנות ברכב.

המעבדה החדשה מצטרפת לשלוש המעבדות המקבילות שהחברה הקימה באירופה, ביפן ובקוריאה. סמנכ"ל מחקר וייעוץ בחברה, יהודה קאופמן, אמר שפתיחת המעבדה היא מרכיב באסטרטגיית ההתרחבות של החברה בשוק האמריקאי ושהיא תשמש כפלטפורמה להעברת ידע ללקוחות בארה"ב ולהאצת פרוייקטי פיתוח שלהם.

חברת ארגוס מפתחת מוצרי אבטחת סייבר כדי למנוע התקפות והשתלטויות מרחוק על כל סוגי המכוניות המחוברות, כולל כלי-רכב אוטונומיים וחשמליים. ארגוס הוקמה בשנת 2014 על-ידי יוצאי יחידת 8200, ונרכשה בשנת 2017 על-ידי קונטיננטל הגרמנית, שהיא אחת מספקיות הטיר-1 הגדולות בעולם עבור תעשיית הרכב, תמורת כ-450 מיליון דולר. החברה מעסיקה כ-200 עובדים במרכז הפיתוח והמחקר במגדלי אלון בתל אביב ובאתרים נוספים בחיפה, ארה"ב, גרמניה, צרפת, יפן וקוריאה.

לאחרונה היא הכריזה על מערכת vDome, המאפשרת לזהות באופן מיידי כל ניסיון של מכשיר זר להתחבר לרכב. המערכת מיועדת למנוע גניבות רכב המבוססות על מתקפת CAN Injection, שבמסגרתה התוקף חודר אל רשת התקשורת הפנימית של הרכב באמצעות התחברות לחיווט של הפנסים הקדמיים, ומשתיל הודעה כוזבת שגורמת למחשב של הרכב לפתוח את הדלתות ולשחרר את נעילת המנוע. מערכת vDome מייצרת "טביעת אצבע" ייחודית לכל יחידת בקרה אלקטרונית (ECU) המחוברת לרשת ה-CAN, אשר בולמת מייד כל נסיון חדירה, מכיוון שהיא מגלה אותות מצד מכשיר בלתי מזוהה (מכשיר הפריצה לרשת). נתין להתקין את הפתרון גם בכלי-רכב שכבר יצאו לשוק (After Market).

לוטם פיתחה יכולות AI חדשות תוך כדי הלחימה

בתמונה למעלה: תא"ל יעל גרוסמן מציגה שכבה אחת מתוך המפה המבצעית המתעדכנת

חטיבת לוטם באגף התקשוב של צה"ל פיתחה כלי בינה מלאכותית חדשים תוך כדי לחימה והרחיבה את תשתית הענן הפרטי של צה"ל, כך גילתה היום מפקדת היחידה, תא"ל יעל גרוסמן במהלך כנס הבינה המלאכותית, AI Day שהתקיים היום (ב') באוניברסיטת תל אביב. הכנס אורגן על-ידי המרכז למחקר סייבר בינתחומי ע"ש בלווטניק והמרכז לבינה מלאכותית ומדעי הנתונים באוניברסיטה. לדבריה, "ה-AI משנה את האופן שבו הצבא נלחם היום". היא אמרה שמאז שהחלה הלחימה, היחידה אוספת את כל הנתונים המצטברים ברשתות המבצעיות, כולל שיחות ועידה, צילומים, סרטוני וידאו ועוד. "זהו מפעל לייצור מידע מבצעי".

גרוסמן סיפרה שהלחימה כיום מתנהלת על-גבי התשתית הדיגיטלית של היחידה, כולל רשת סיבים אופטיים פרטית, רשת מובייל פרטית, ויישומים מבצעיים כמו שיחות ועידה מוצפנות וערוץ יוטיוב פרטי של הצבא. "פיתחנו מיקבץ של יישומים שונים לשימוש מבצעי, כמו יכולות שיחת ועידה, ערוץ Z-Tube הפרטי שהוא אחד מהכלים שנעשה בהם שימוש רב במלחמה, מפות מבצעיות בעלות שכבות מידע רבות המתעדכנות באופן שוטף ומספקות מיפוי בזמן אמת של שדה הקרב. זוהי לוחמה דיגיטלית".

הפופולריות הגוברת של תוכנות בינה מלאכותית היא תופעה שאי אפשר להתווכח עליה, למרות שכפי שאומר פרופ' מאיר פדר מאונ' תל אביב, "אנחנו עדיין לא מבינים מדוע זה עובד". לדבריו, "יש לנו אלגוריתמים המבוססים על ניסוי ותעייה, אבל לא הסבר מלא לאופן הפעולה שלהם. מהבחינה הזאת אנחנו נמצאים במצב שבו היה חקר החשמל לפני שג'יימס קלארק מקסוול ניסח את משוואות השדה". לדברי ראש תחום אסטרטגיית סייבר במינהלת הסייבר הלאומית (INCD), יוסי אבירם, תקיפות הסייבר נגד מטרות ישראליות הוכפלו פי חמישה מאז פרוץ המלחמה. "ברור לנו שהמלחמה הבאה תכיל מרכיבי AI רבים בשני הצדדים".

בטווח הקצר ה-AI עוזר לתוקפים, בטווח הארוך למתגוננים

לדבריו, השפעת ה-AI  לטווח קצר תהיה שונה מהשפעות לטווח הארוך. "בשלב הראשון, תוכנות בינה מלאכותית מעצימות את התקיפות, מסייעות לגלות חולשות אבטחה, לבצע גניבת זהויות מורכבת וליזום במהירות מבצעי השפעה רחבי היקף. בתחילה הן יעניקו יתרון לעבריינים. אולם הטווח הארוך, יכולות ה-AI יאפשרו לזהות חולשות במערכות ההגנה, לאתר וקטורי תקיפה שאפילו התוקפים עדיין לא איתרו ולזהות את ערוצי המימון של העבריינים וגופי התקיפה והטרור. הגדרנו מפת דרכים להטמעת AI לצורך הגנת ישראל בפני תקיפות. הבינה המלאכותית תעניק למדינות כלים חזקים לצורך מאבק בעבריינים".

מינהלת הסייבר החלה לפעול בכיוון הזה: שיפור התגוננות מבוססת AI, ושיפור ההגנה על תוכנות הכוללות מרכיבי AI. אורן בוטשמיץ מהמינהלת, גילה שהיא מקימה כעת מרכז בדיקות בשם מעבדאטה אשר כולל כלים ייעודיים מבוססי בינה מלאכותית (AutoDefenceML), אשר בתוך כחודשיים-שלושה יועמדו לרשות התעשייה והמדינה. בוטשמיץ: "כדי להבטיח פתרונות AI חסינים ובטוחים, יש צורך במקום בטוח שבו ניתן לבדוק את מערכות ה-AI.

"אנחנו בונים כעת מערכת במתכונת של קוד פתוח אשר תבדוק את מערכות ה-AI, תבצע מבחנים שונים לתוכנה ולבסיסי הנתונים ותספק המלצות למפתחים. הרעיון הוא לבצע סדרות של מבחנים: המערכת נכנסת לבדיקה, מקבלת המלצות ונבחנת שוב: בדיקות, תיקונים, בדיקות. הפלטפורמה כוללת תוספים שונים (Plug in), באופן שבו כל משתמש יוכל לבחור את התוספים הרלוונטיים עבורו, או לפתח בעצמו תוספי בדיקה ייעודיים".

הפריצה ל-NXP: חשש מגניבת סודות טכנולוגיים

הפריצה של קבוצת האקרים סינית למערכת המידע של NXP מעוררת חששות מגניבה חסרת תקדים בהיקפה של סודות טכנולוגיים ושל קניין רוחני הקשור לשבבים שפותחו ומיוצרים אצל יצרנית השבבים הגדולה באירופה. הבלוג הטכנולוגי המוערך, Tom's Hardware, דיווח בסוף השבוע שקבוצת האקרים סינית בשם Chimera, הצליחה להשיג גישה לשרתי NXP בין השנים 20217-2020, ובמשך שנתיים וחצי היא ביצעה גניבת מידע עקבית שבמהלכה הועברו לסין תכנוני שבבים רבים בכמות שעדיין לא ידועה. סימנים ראשונים לחדירה התגלו רק בשנת 2019, כאשר נחשפה פריצה לאתרי חברת התעופה ההולנדית Transavia (בבעלות KLM), והתברר שהפורצים השתמשו בכתובות IP של NXP.

ראוי לציין שעדיין אין נתונים ואין התייחסות רשמית להיקף הפריצה. יחד עם זאת, לאחרונה הודתה חברת NXP שהתחוללה פריצה למחשביה. בתחילת ספטמבר 2023 היא שלחה הודעת מייל ללקוחות שהיו רשומים באתר שלה ואשר לא היו פעילים במשך 18 חודשים. החברה מסרה להם שפרטי זהות שלהם היו מעורבים ב"ארוע" שהתרחש ב-11 ביולי, ולכן היא ממליצה להיזהר מכל מייל המבקש מהם לשלוח מידע אישי סודי. "חברת NXP לא תיזום פנייה לקבלת מידע מהסוג הזה. אם אתה מקבל בקשה כזאת, או שיחה טלפונית עם בקשה כזאת שהגיעו מ-NXP, אנה התייחס אליהם כאל הונאה ותדווח לרשויות".

האם ניתן להעתיק את התוכניות?

בתגובה לשאלה של האתר TechCrunch, הודתה מנהלת יחסי ציבור מטעם חברת NXP, אנדראה למפרט, שגורם בלתי מורשה אסף מידע אישי בסיסי ממערכת המקושרת אל הפורטל של החברה. המידע כלל כתובות מייל, כתובות דואר, מספרי טלפון, שמות של החברות בהן הם עובדים, מידע על תפקידיהם בחברות והעדפות ההתקשרות שלהם. היא לא מסרה מידע על מספר האנשים שהושפעו ועל עומק הפריצה. למרות שמדובר בשני ארועים הנראים נפרדים, והמידע על הארוע הראשון הוא דל מאוד ולא מאומת, אתרים רבים המוקדשים לסוגיית אבטחת סייבר דיווחו שמאחורי שני הארועים עומדת קבוצת כימרה הסינית, אשר נחשבת למתוחכמת מאוד. פעילותה הגדולה הראשונה שנחשפה היתה תקיפה רחבת-היקף של תעשיית השבבים הטאיוואנית.

הקישור בין הארועים נובע כנראה מכך ש-Tom's Hardware מסר ש-NXP הודתה כי נגנבו שרטוטים, אולם טענה שהנזק אינו גבוה מאחר והשרטוטים מורכבים מאוד וקשה לשכפל את המוצרים, "ולכן החברה לא ראתה צורך לדווח לציבור". במייל שנישלח ללקוחות שחשבונותיהם נחשפו, דיווחה NXP שהיא הקימה צוות תגובה שנכנס מיד לפעולה, חקר את מאפייני התקיפה ונקט באמצעים לבלום אותה. "סיימנו את הטיפול בארוע ודיווחנו על כך לרשויות".

חברות האבטחה NCC Group ו-Fox-IT דיווחו שהפעילות של כימרה מאופיינת בסבלנות רבה ומבצעים רבים נמשכים תקופות זמן ארוכות של שלוש שנים ויותר. התקיפות מתחילות באיסוף מידע אישי ממקורות שהם פחות מוגנים, ואחר כך שימוש במידע הזה כדי לחדור לחברות שבהן האנשים עובדים – ומהן אל היעדים האמיתיים של התקיפה. לצד תקיפת יצרניות שבבים, הקבוצה מרבה גם לתקוף חברות תעופה ורשתות של בתי מלון, במטרה לעקוב אחר תנועותיהם של אנשים המעניינים את הקבוצה או את שולחיה.

SEC תובעת את Solarwinds על רשלנות שהובילה למתקפת הסייבר Sunburst

הרשות לניירות ערך של ארצות הברית (SEC) הגישה תביעה לבית המשפט של מחוז דרום ניו יורק נגד חברת Solarwinds ומנהל אבטחת המידע (CISO) של החברה, טימותי ג'י בראון, בגין הסתרת מידע ממשקיעים וכשל במערכות הבקרה הפנימיות. לטענת הרשות, סולרווינדס לא נהגה בשקיפות באשר לאמצעי אבטחת הסייבר שהיא נוקטת ובאשר לסיכונים שהחברה היתה מודעת להם, וכל זאת על רקע מתקפת הסייבר הנרחבת שהתבצעה בשנת 2020 ושקיבלה את השם Sunburst. המתקפה ניצלה חולשה בתוכנת ניהול תשתיות המידע Orion של סולרווינדס ופגעה במאות חברות וארגונים, בהם גם גופי ממשל בארצות הברית.

לפי ההערכה השמרנית, מתקפת Sunburst החלה חודש מרץ 2020 והתגלתה רק בחודש דצמבר 2020. במהלך המתקפה השתילה קבוצת האקרים נוזקה בעדכון מקוון של תוכנת ניהול המידע Orion של Solarwinds, הנמצאת בשימוש משרדים ממשלתיים רבים בארה"ב, אשר הכילה "דלת אחורית", שסיפקה לתוקפים גישה אל כל השרתים הארגוניים שהותקנה בהם פלטפורמת Orion. רבים בתעשייה מייחסים את המתקפה לגורמים הקשורים לממשלת רוסיה, ולכן היא גם מוגדרת כאחת ממתקפות ריגול הסייבר הגדולות בהיסטוריה, והפנטגון הגדיר אותה כ"מתקפת הסייבר החמורה ביותר בתולדות ארצות הברית".

חברת סולרווינדס מאוסטין, טקסס, מפתחת מערכות לניהול תשתיות מידע ורשת למגזר הארגוני והתעשייתי. החברה הונפקה באוקטובר 2018 ובדצמבר 2020 פרסמה לראשונה הודעה בדבר מתקפת הסייבר. לטענת ה-SEC, "בדיווחיה ל-SEC באותה תקופה, Solarwinds הוליכה שולל את המשקיעים בכך שהצהירה רק על סיכונים גנריים והיפוטתיים, וזאת בשעה שבראון והחברה היו מודעים לליקויים ספציפיים בפרקטיקות אבטחת הסייבר של החברה ולסיכונים ההולכים וגוברים שהחברה היתה נתונה להם באותה תקופה". החשיבות של התביעה היא בכך שהיא מניחה תשתית לאחריות משפטית של ספקי מערכות אבטחה על איכות המוצרים שלהם, בדומה לאחריות המוטלת כיום על יצרניות של מוצרים אחרים, דוגמת כלי-רכב, או ציוד חשמלי.

מהנדס בחברה הזהיר, בראון היה מודע

לטענת הרשות, מסמכים ותכתובות פנימיים של החברה מעידים לכאורה כי אנשיה, ובכלל זה מנהל אבטחת המידע, היו מודעים לליקויי האבטחה החושפים את הלקוחות למתקפות סייבר. כך למשל, במצגת פנימית שהכין מהנדס בחברה בשנת 2019 ושהוצגה למנהל האבטחה בראון, נכתב כי החיבור מרחוק של מערכות החברה "אינו בטוח במיוחד" וכי מי שינצל את החולשה "יוכל לעשות ככל העולה על רוחו ולא נוכל לגלות זאת עד שזה יהיה מאוחר מדי. הדבר יוביל לפגיעה במוניטין ובנזק פיננסי משמעותי לחברה".

טימותי בראון

עוד חשפה הרשות תכתובות של בראון עצמו, אשר מעידים על מודעותו לחומרת הבעיה. ביוני 2020, במסגרת בדיקה שביצע על מתקפת סייבר בקרב אחד מלקוחות החברה, כתב בראון שזה מדאיג מאוד שהתוקף ניסה לעשות שימוש בתוכנת Orion במסגרת מתקפת סייבר נרחבת יותר, "מכיוון שהתשתית האחורית שלנו (backends) אינה חסינה במיוחד". במסמך פנימי מספטמבר 2020, שגם בראון היה חשוף אליו, נכתב: "היקף בעיות האבטחה שנחשף בחודש האחרון עולה על יכולת המענה של צוות המהנדסים שלנו".

הרשות לניירות ערך מפנה אצבע מאשימה לבראון עצמו, על כך שהיה מודע לסיכוני וחולשות הסייבר של סולארווינדס, אך לא נתן להם מענה ולא הניף דגלים אדומים בצורה מספקת בתוך החברה.

D-Fend הכריזה על הגנה מרחפנים באמצעות טכניקות לוחמת סייבר

חברת  D-Fend Solutions מרעננה, הכריזה על ערכת EnforceAir2 המאפשרת לאתר ולהשתלט על רחפנים עויינים באמצעות טכנולוגיות שהובאו מעולם לוחמת הסייבר. הערכה בנויה בתצורה הניתנת לנשיאה על הגב או על-גבי כלי-רכב, ומעניקה לכוחות טקטיים קטנים וניידים אפשרות להתמודד עם רחפנים עויינים ברמה המקומית. החברה הוקמה בשנת 2017 על-ידי המנכ"ל זהר הלחמי, הטכנולוג הראשי אסף מונסה ומנהל המוצר יניב בנבנישתי. היא פועלת בקטגוריית Counter small Unmanned Aircraft Systems – C-UAS. הגישה שלה הוכרה על-ידי משרד ההגנה האמריקאי, ובשנת 2022 היא זכתה בהזמנה בהיקף של כ-3 מיליון דולר לספק את מערכות ההגנה מהדור הראשון ליחידות של הצבא האמריקאי.

הטכנולוגיה של החברה מבוססת על ההנחה שאמצעי הגילוי וההגנה הנוכחיים אינם מספקים מענה מתאים לבעיית הרחפנים הקטנים, אשר הופכים לפלטפורמת לחימה מרכזית, כפי שמודגם במלחמה באוקראינה. ארבעת הטכנולוגיות המרכזיות לאיתור רחפנים עוייינים הן מכ"ם, חיישנים אלקטרו-אופטיים, מיקום אותות רדיו וגילוי אקוסטי. להערכת החברה, בכולן יש חסרונות משמעותיים: רוב מערכות המכ"ם מותאמות לאיתור חפצים גדולים, ולכן מאתרות ביעילות כלי טיס גדולים אבל לא רחפנים קטנים.

לאחרונה הופיעו מערכות מכ"ם מדור חדש המסוגלות לאתר גם רחפנים, אבל הן מתקשות להבדיל בינם לבין אובייקטים קטנים אחרים כמו ציפורים. בנוסף המכ"ם רגיש להחזרות קרינה, אשר מייצרות אותות שגויים רבים. חיישנים אלקטרו-אופטיים משמשים בדרך כלל לזיהוי וסיווג רחפנים, ועובדים בשיתוף פעולה עם מערכות אחרות דוגמת מכ"ם. הם מבוססים על מצלמות IR, מצלמות אור-נראה ואלגוריתמים לעיבוד תמונה. אולם הם יעילים רק בתנאי ראות טובים ודורשים קו ראייה בין החיישן לרחפן. מסיבה זו, למשל, הם אינם יעילים בסביבה אורבנית.

לוחמת סייבר אלחוטית

אמצעי איתור מבוססי RF עושים שימוש במספר אנטנות העוקבות אחר תשדורות בתדרים ידועים, מזהות את כיוונן ומחשבות את המיקום באמצעות טריאנגולציה. החסרונות: רמת הדיוק נמוכה והן יודעות רק לזהות מיקום, לא לסווג את הרחפן, ומזהות רק שידורים שהתדרים שלהם ידועים מראש. חיישנים אקוסטיים מבוססים על מיקרופונים המאתרים את רעשי המנוע של רחפנים ומזהים אותם לפי חתימת הרעש. אולם חסרונותיהם ברורים מאליהם: הם לא יעילים בסביבה רועשת ומתקשים להתמודד עם פלטפורמות מודרניות ושקטות.

הגישה של חברת D-Fend מבוססת על האזנה פאסיבית לתשדורות באמצעות מקלטי RF, וניתוח האותות בטכניקות עיבוד שהובאו מעולם הגנת הסייבר. מרגע שהמערכת קולטת את האותות, היא מפענחת את פרוטוקול התקשורת ואת נתוני הטלמטריה של הרחפן. מהמידע הזה היא מחלצת פרטים חיוניים כמו זהות הרחפן, הסיווג שלו, ואפילו מקבלת מידע מדוייק על מיקום הרחפן ועל מיקומו של המפעיל. למערכת EnforceAir קיים גם אופן פעולה אקטיבי, המבוסס גם הוא על טכנולוגיות שהובאו מתחום פריצות הסייבר, ומאפשר להשתלט על הרחפן ולנטרל אותו באמצעים מקוונים, בלא שימוש באמצעים פיסיים.

Honeywell רוכשת את SCADAfence הישראלית

חברת הטכנולוגיה האמריקאית Honeywell הודיעה כי חתמה על הסכם לרכישת חברת הסייבר הישראלית SCADAfence, המתמחה בהגנה על רשתות תפעוליות ותעשייתיות. סכום העסקה מוערך בעשרות מיליוני דולרים. לפי נתוני Crumchbase, חברת הסייבר הישראלית גייסה מהיווסדה כ-40 מיליון דולר. האניוול מופיעה ברשימת 100 החברות של פורצ'ן ונסחרת בנסד"ק בשווי שוק של 138 מליארד דולר. היא מספקת מוצרים וטכנולוגיות עבור תעשיות התעופה, הבנייה, התעשייה והתשתיות.

החברה הסבירה את העסקה בחשיבות הגוברת של הגנת סייבר על רשתות תפעוליות בתחומי התעשייה והבנייה, וכי הפתרונות של SCADAfence יסייעו לחזק את מעטפת ההגנה על מערכות בקרת תהליכים שהיא מספקת ללקוחותיה. להערכת האניוול, תחום הגנת הסייבר על רשתות תפעוליות (OT) צפוי לגדול להיקף של 10 מיליארד דולר בשנים הקרובות. האניוול תשלב את פתרונות SCADAfence בסל פתרונות הסיייבר שלה Honeywell Forge.

"האניוול מספקת ומטמיעה מערכות תפעוליות כבר עשרות שנים, ומסיבה זו גם הקמנו לפני כעשרים שנה חטיבת הגנת סייבר. הוספת SCADAfence לפורטפוליו שלנו תסייע לנו לחזק את היכולות שלנו ולהגן על לקוחותינו מפני סיכוני סייבר ההולכים ומתגברים," נכתב מטעם האניוול.

נקודת התורפה של התעשייה החכמה

סביבת הייצור המודרנית רווייה במערכות אוטומטיות, חיישנים ורשתות תקשורת, ומתחברת אל התשתית הארגונית, ואל מערכי המלאי, ההזמנות והתקשורת מול גורמים חיצוניים. כתוצאה מכך מתהדק הקשר בין טכנולוגיות ליבת הייצור (Operational Technologies) לבין המעטפת של טכנולוגיות המידע. השילוב הזה קרוי גם “סביבת ייצור חכמה”, ויתגבר עם האימוץ של רעיון Industry 4.0 הכוללIoT  בסביבת הייצור. הדבר חושף את מערכות הייצור לסיכוני אבטחה חדשים, החל ממתקפות סייבר והחדרת נוזקות למתקני הייצור, פגיעה במערכי הייצור, גניבת מידע מסחרי ועוד. 

המערכת של סקדה-פנס מספקת הגנה לרשתות ICS/SCADA תעשייתיות באמצעות זיהוי בזמן אמת של מתקפות סייבר, התראות על שיבושים אפשריים העשויים להשבית מערכות, כלים לאיתור נקודות תורפה ועוד. בין לקוחות החברה עליהם דיווחה בעבר, הונדה, מוראטה, וסטל, מיטסוי פודוסאן וחברות רבות נוספות הנכללות ברשימת פורצ’ן 500.

צ'ק פוינט ואיסטרוניקס מציעות אבטחת IoT ומערכות משובצות

בתמונה למעלה: מירי אופיר (מימין) ורבקה הלפמן עם מצלמת רשת המוגנת על-ידי צ'ק פוינט. צילום: Techtime

חברת איסטרוניקס (Eastronics) וחברת צ'ק פוינט (Check Point) הציגו פתרון לאבטחת אבזרי IoT המבוסס על חבילת תוכנות המותקנות באבזרי הקצה עצמם או באבזרי תקשורת שבין אבזר הקצה ומרכז הרשת או הענן. הפתרון בשם Check Point IoT Embedded מותאם לעבודה על מעבדי ARM, x86, MIPS ו-RISC-V העובדים על-גבי מערכת ההפעלה Embedded Linux. ניתן ליישם את הפתרון במערכות שונות, אשר יש בהן זכרון פנוי בנפח של 1-30MB.

מירי אופיר, דירקטור מחקר ופיתוח לתחום IoT Embedded בחברת צ'ק פוינט, סיפרה ל-Techtime שהפתרון מבוסס על טכנולוגיה של חברת Simplify שצ'ק פוינט רכשה בשנת 2019, כדי לספק מענה לבעיות האבטחה של אבזרי IoT ומערכות משובצות. צריך לזכור שאבטחת IoT היא אתגר מאוד קשה. אופיר: "רוב המערכות הן סגורות וייחודיות לכל חברה. החומרה תוכננה במטרה להיות מאוד רזה ויעילה ולכן קשה להתקין עליהן תוכנות נוספות ואין הרבה משאבים עבור תוכנות אבטחה. בנוסף, עדיין אין סטנדרטיזציה בעולם ה-IoT ולכן קשה לספק פתרון גנרי כמו בתחום ה-IT".

המצלמה היא משטח-תקיפה פופולרי

"לאחרונה אנחנו רואים שה-IoT הפך לחולייה החלשה במערך הסייבר הארגוני. תוקפים רבים מתכננים היום מתקפות שבהן אבזר ה-IoT משמשות כנתיב הכניסה לרשת. דו"ח מחלקת המחקר של צ'ק פוינט מצא שכ-53% מהארגונים סבלו ממתקפות IoT ברמה שבועית במהלך הרבעון הראשון 2023. מצלמות אבטחה למשל, הן אחד ממשטחי התקיפה הנפוצים ביותר היום. רק לעתים נדירות התוקפים מנסים לשבש את האבזר, המטרה שלהם היא להגיע דרכו אל הנכסים המעניינים ברשת הארגונית. אחת מהבעיות שבהגנה על הרכיבים האלה שהיא שמערכות ניטור ארגוניות לא תמיד יודעות כיצד לנטר את אבזרי ה-IoT".

מדוע הם כל-כך פגיעים?

"כאשר מתכננים אבזר המיועד להיות מוגן, נוקטים במתודולוגיית Security by Design. כלומר, מגדירים את מדיניות הגדרת הססמאות, את עקרונות מתן ההרשאות וכדומה. אבל רוב מתכנני ה-Embedded לא מכירים את התחום הזה, ובמיוחד כשמדובר בפתרונות מורשת שתוכננו לפני עשור. אומנם אפשר להתמודד עם האתגר גם ברמת הרשת, אבל הפתרון הטוב ביותר הוא באבזר עצמו. הפתרון שלנו מבוסס על מודל עבודה ייחודי: מומחי אבטחה של צ'ק פוינט עובדים עם צוותי הפיתוח של הלקוח, כדי לסייע להם לפתח מוצרים מאובטחים כבר משלבי הפיתוח הראשוניים, ומספקים להם חבילת הגנה מותאמת לצורכי המערכת שלהם. יצרן שמשלים את תהליך מקבל לוגו שהוא יכול להתקין על המוצר. זוהי מעין תעודת הסמכה שלנו לרמת האבטחה של המוצר".

מירי אופיר: הגנת סייבר תהיה תנאי הכרחי לקבלת אישור CE

כיצד הרגולטור מתייחס לבעיית ה-IoT?

"בשנת 2022 חלה התקדמות בתחום הזה כאשר גם האיחוד האירופי וגם ארצות הברית החליטו להחמיר את התקנות בתחום במסגרת דרישות CRA (אירופה) ו-CSA (ארה"ב). האיחוד האירופי נמצא בתהליך מתקדם של הגדרת סעיף סייבר במסגרת התקנות של ציוד תקשורת אלחוטית (Radio Equipment Directory). הוא צפוי להיות מאושר בחודשים הקרובים. בין השאר נקבע בסעיף הזה, שיצרן שלא יעמוד בדרישות הגנת הסייבר – לא יקבל מדבקת CE לציוד שהוא מוכר".

רבקה הלפמן, מנהלת קו מוצרי IoT בחברת איסטרוניקס: "לאור הגידול בהיקף מתקפות הסייבר על אבזרי IoT, איסטרוניקס חתמה על הסכם לשיתוף פעולה אסטרטגי עם צ'ק פוינט, המאפשר לנו לספק מענה אבטחתי כבר משלבי התכנון והייצור הראשונים. הוא משלים את אבני הבניין שאנחנו מספקים מרמת החיישן ועד הענן, מתוצרת חברות כמו אדוונטק, טליט, Taoglas, ארדואינו, מיקרוסופט אמבדד ועוד. אנחנו מציעים ללקוחות לבצע בדיקה ראשונית (PoC) ללא תשלום. במסגרתה מתבצע סקר סיכונים של המוצר, ואם הלקוח מעוניין, נכנסים לאחר מכן לפרוייקט ההתקנה עצמו".

לנובו הקימה מרכז סייבר באוניברסיטת בן גוריון

בתמונה למעלה: טקס השקת מרכז הפיתוח. מימין לשמאל: פרופ' יובל אלוביצ'י, ולוקה רוסי ונימה באיאטי מלנובו

חברת לנובו (Lenovo) חנכה מרכז לחדשנות טכנולוגית בתחום הסייבר בשיתוף עם אוניברסיטת בן גוריון בנגב. המרכז יתמקד בטכנולוגיות zero-trust מתחת לרמת האבטחה של מערכת ההפעלה. בנוסף, הוא ישמש כמעבדת הסמכת בטיחות עבור לקוחות לנובו וכמרכז להחלפת מידע בתחום הסייבר. המרכז יעסיק חוקרים מטעם לנובו ומטעם האוניברסיטה. מהסקר התקופתי Data For Humanity של לנובו שפורסם בנובמבר 2022, מתברר שסוגיית האבטחה היא הנושא המרכזי המטריד כיום ארגונים ועסקים כאשר הם שוקלים לבצע מהלך של שדרוג טכנולוגיות המידע שלהם.

מנהל חטיבת פתרונות האבטחה של לנובו, נימה באיאטי, אמר שהמרכז באוניברסיטת בן גוריון מעניק לחברה גישה אל משאב גדול של טכנולוגיות אבטחה חדשניות, ומעניק ללקוחותיה גישה אל מומחים בקנה מידה עולמי. הפתרונות שיפותחו במרכז החדש (Lenovo Cybersecurity Innovation Center – LCIC) ישולבו בחליפת פתרונות האבטחה של החברה, ThinkShield. נשיא האוניברסיטה, פרופ' דניאל חמוביץ', אמר שאחת מהחוזקות של אוניברסיטת בן גוריון היא ביכולתה לשתף פעולה עם התעשייה. "שיתוף פעולה הדוק בין האקדמיה והתעשייה הוא המפתח לפיתוח טכנולוגיות חדשות", אמר.

יצרנית המחשבים הגדולה בעולם

מנהל מרכז המחקר לאבטחת סייבר באוניברסיטת בן גוריון, פרופ' יובל אלוביצ'י, אמר שהאוניברסיטה מעוניינת להנחיל את הידע שלה לא רק לתעשייה בישראל, אלא גם לתעשייה העולמית כולה. "אנחנו רוצים לשתף פעולה עם חברות תעשייתיות מובילות, אשר שותפות לערכינו, ושואפים להציג מודל של חדשנות בתחום הסייבר". חברת לנובו הסינית נחשבת ליצרנית המחשבים הגדולה בעולם (במונחי יחידות). החברה מעסיקה כ-63,000 עובדים ומכירותיה בשנת 2022 הסתכמו בכ-71.6 מיליארד דולר.

לנובו הוקמה בשנת 1984, והגיעה למעמדה בעקבות סדרת מהלכים רחבי-היקף. הראשון היה גיוס של יותר מ-200 מיליון דולר בבורסה של הונג קונג בשנת 2000, לאחר מכן היא רכשה את חטיבת המחשבים הניידים של יבמ (Thinkpad) בשנת 2005 תמורת כ-1.75 מיליארד דולר. בשנת 2012 היא נכנסה לשוק הסמארטפונים באמצעות השקעה של 793 מיליון דולר, וב-2014 היא רכשה את חטיבת שרתי x86 של יבמ בכ-2.1 מיליארד דולר. כיום היא נסחרת בבורסה של הונג קונג לפי שווי שוק של כ-11 מיליארד דולר.

ננולוק נערכת למכרזים החדשים של מדי צריכת-חשמל

חברת ננולוק (NanoLock) מהוד השרון נערכת לקראת הופעת מכרזים חדשים של מוני צריכת חשמל אשר מותאמים לעידן שבו החשמל הוא נכס דיגיטלי אשר ניתן לגנוב אותו ולהגן עליו באמצעים דיגיטליים. היעד המרכזי של החברה הוא לשלב את פתרון הגנת הסייבר שלה על המונים החכמים, במטרה למנוע גניבת אנרגיה באמצעות שינוי נתוני החיוב או העברת התשלום לחשבון בנק אחר, בלא ידיעת בעל החשבון. סמנכ"ל אסטרטגיה ושיתופי פעולה בחברה, מוטי קניאס (בתמונה למעלה), אמר ל-Techtime שבעבר היו גונבים חשמל באמצעים פיסיים, אולם כיום נוצר שדה גניבה דיגיטלי.

"הבעיה נעוצה בכך שמוני הצריכה מצויים בכל אתר ובעלי נגישות פיסית קלה. התקשורת אליהם מוגנת היטב, אבל המונים עצמם חשופים בפני גורמי פשע אשר יודעים כיצד להגיע אל מכשירי קצה ולבצע בהם שינויים". לדבריו, הבעיה הוחמרה מאוד בעקבות המלחמה באוקראינה, אשר יצרה גל חדש של פשעי-חשמל, "בגלל העליה שהיא גרמה במחירי האנרגיה בעולם. גניבת החשמל הנפוצה ביותר היא שינוי בנתוני המונה, כדי שהוא ישדר מידע על צריכה מופחתת, אולם לאחרונה גילו הבריטים שגורמי פשע החלו לבצע פשעי-חשמל מסוג חדש: הם מסיטים את חשבון החשמל מחשבון בעל המונה לחשבון אחר.

כלומר מישהו אחד צורך את החשמל – ומישהו אחר משלם עבורו. כאשר החשבון המשלם הוא של ארגון גדול, הוא בדרך-כלל לא מרגיש שהוא משלם חשבונות שאינם שלו. הפשע הזה קשה לגילוי, מכיוון שמבחינת חברת החשמל הכל נראה תקין – היא מספקת אנרגיה ומקבלת עבורה את התשלום הנדרש".

שיתוף פעולה עם רנסאס היפנית

חברת ננולוק הוקמה בשנת 2016, ופיתחה טכנולוגיה המגינה על רכיבי קצה באמצעות חסימת הכתיבה לזיכרון של מכשיר הקצה, ויצירת ערוץ מאובטח לעדכוני קושחה. החברה מעסיקה כ-50 עובדים, וגייסה עד היום כ-18 מיליון דולר. לאחרונה היא חתמה על הסכם הפצה עם חברת Ectacom הגרמנית, המפיצה פתרונות אבטחה של מערכות תעשייתיות ותשתיות קריטיות כמו גאז וחשמל. המטרה היא להטמיע את הפתרון במערכות אבטחה המיוצרות על-ידי התעשייה בגרמניה, כולל מוני צריכת חשמל.

אלא שהמהלך החשוב ביותר הושלם לפני בסוף 2022, כאשר יצרנית השבבים היפנית Renesas הטמיעה את תוכנת האבטחה של ננולוק במיקרו-בקרים ממשפחת RL78. רנסאס נחשבת לספקית המיקרו-בקרים הגדולה ביותר לשוק מוני-צריכת החשמל. השילוב הזה מאפשר ליצרניות לספק ללקוחותיהן מונים חכמים המוגנים ברמת המכשיר מפני פריצת סייבר. קניאס: "החלפת מונים חכמים הוא תהליך ארוך ומתבצע רק בכל מספר שנים. כרגע אנחנו ורנסאס נערכים לקראת מכרזי הדור הבא בעולם".

סיגניה חושפת את קבוצת התקיפה Emperor Dragonfly הסינית

חברת הסייבר הישראלית סיגניה (Sygnia) הצליחה לחשוף קבוצת האקרים מסין המכונה בשם Emperor Dragonfly, אשר מבצעת מתקפות כופר נגד ארגונים בכל העולם, כולל בישראל. שיטת הפעולה העיקרית של הקבוצה היא תקיפת שרתים של ארגונים שאינם מאובטחים כראוי, הצפנת המידע הרגיש ודרישה של מיליוני דולרים מהארגון המותקף בעבור השבתו של המידע. היא תוקפת חברות בעיקר בארצות הברית ובאסיה הפעילות בתחומים שונים: ייצור, שירותים פיננסיים, שירותים משפטיים וחברות הנדסיות.

הקבוצה נוהגת לתקוף חברות גדולות אשר ביכולתן לשלם סכומים גבוהים, לעתים יותר מ-10 מיליון דולר. התקיפה מתבססת על ניצול חולשות בשרתי ארגונים החשופים לאינטרנט, דרכם מתבצעת חדירה לרשת הארגונית כדי לגנוב ממנה מידע רגיש. בשלב הבא היא דורשת כופר שאם לא ישולם, היא תפרסם את המידע שנגנב. לדברי אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר בסיגניה, בדרך-כלל לא נהוג לראות בנוף האיומים העולמי קבוצות תקיפה שמקורן בסין. בידרמן: "קבוצה סינית מהסוג הזה היא דבר נדיר יחסית, מאחר והממשל הסיני מפקח על תעבורת האינטרנט בסין ומודע מאוד למה שקורה. סביר להניח שהיא לא יכולה לפעול כך בלא שהממשל בבייג'ינג מעלים עין".

הדרקון בעל השמות הרבים

חברי הקבוצה ניסו לשמור על חשאיות ולא להתגלות, ולכן החליפו מספר פעמים את שמם על-מנת שלא ניתן יהיה להתחקות אחר פעילותם, ובעבר היא כינתה את עצמה בשמות Night Sky ,DEV-0401 ו-Bronze Starlight. החקירה החלה לאחר שסיגניה זיהתה שימוש בתוכנת התקיפה Cheerscrypt אצל אחד מלקוחותיה וגילתה שהתוכנה חדרה לרשת הארגונית במשך מספר חודשים. בהמשך התברר שהיא הפעילה כלים אשר זוהו עם Night Sky הסינית ופותחו על-ידה.

סיגניה גם זיהתה שימוש בכלים "סיניים" הזמינים באתר GitHub, אשר נכתבו ופותחו על-ידי מפתחים סיניים עבור משתמשים סיניים. בהם למשל תוכנה העוקפת את מגבלות הצנזורה של הממשל בסין. מדובר בכלים שקבוצות כופרה אחרות אינן משתמשות בהם. בידרמן אמר שניתן להתמודד עם מתקפות כופר מהסוג הזה. "ניתן להתגונן בפני המתקפות באמצעות מספר צעדים בסיסיים – ובראשם לבצע מיידית את עדכוני אבטחה, מכיוון שקבוצת ההאקרים הזו מנצלת בעיקר את האלמנט הזה.

מתחזים לתומכי אוקראינה

"אנחנו רואים כי מרבית הארגונים שהותקפו לא עידכנו את שרתי הארגון".  לקריאת הדו"ח של סיגניה, הקליקו: Emperor Dragonfly. הקבוצה החלה לפעול בשנת 2021 ואפילו מפעילה אתר המתחזה כאתר תמיכה באוקריאנה. בניגד לקבוצות תקיפה אחרות, היא אינה נעזרת בקבלני משנה, וכל מחזור התקיפה מתבצע על-ידה. כדי להסוות את פעילותה, הקבוצה משנה מדי פעם גם את שמות תוכנות התקיפה ואת המטען המזיק שלהן. יחד עם זאת, הן כוללות מרכיבים רבים של קוד משותף המאפשר לקשר ביניהן.

סיגניה היא חברת הסייבר של Team8 ו-Temasek, ומתמקדת בתגובה לאירועי סייבר. החברה הוקמה בשנת 2018 על-ידי יוצאי יחידה 8200, מערכת הביטחון והתעשיות הביטחוניות בישראל. היא מסייעת למאות ארגונים בעולם לבנות אסטרטגיות הגנה מפני מתקפות סייבר, לבלום מתקפות בזמן אמת ולהתאושש לאחר מתקפות. החברה דיווחה שהיא עידכנה בממצאים גורמי אכיפת חוק גלובליים, ושהיא ממשיכה לעקוב אחר קבוצת התקיפה בניסיון לסכל את המתקפות הבאות.

רוקוול אוטומיישן השיקה בישראל מרכז אבטחת סייבר תעשייתי

בתמונה למעלה: מרכז הסייבר העולמי של רוקוול אוטומיישן הפועל מחולון. צילום: ניב קנטור

חברת רוקוול אוטומיישן (Rockwell Automation) האמריקאית השיקה מרכז סייבר עולמי לאבטחת תשתיות תעשייתיות (Cybersecurity Operation Center – SOC), אשר פועל מחולון. המרכז החל את פעילותו במתכונת שקטה בתחילת חודש נובמבר 2021. כעת החברה החלה בקמפיין גיוס כמה עשרות עובדים עבור מרכז ה-SOC התעשייתי, בהם ארכיטקט סייבר תעשייתי, מנהל צוות SOC, מהנדסי תוכנה, בודקי חדירות, אנשי מכירות, מנהלי תיקי לקוחות ועוד.

פעילות המרכז מבוססת על התשתית של חברת אבנט אבטחת נתונים (Avnet Data Security) הישראלית שנירכשה על-ידי רוקוול אוטומיישן בחודש ינואר 2020, ועל התשתית של חברת Oylo מברצלונה, ספרד, שאותה רוקוול רכשה בחודש אוקטובר 2020. המרכז פועל בשיתוף פעולה עם חברות אבטחת המערכות התעשייתיות קלארוטי, CrowdStrike, Dragos וחברת סיסקו. מנהל פעילות הסייבר הגלובלית של רוקוול הוא יגאל כהן, לשעבר מנכ"ל אבנט אבטחת נתונים.

לדבריו, פעילות החברה בתחום אבטחת הסייבר התעשייתי מנוהלת מישראל, ומהווה מנוע צמיחה משמעותי עבור החברה. "ההשקעה בתחום נועדה לשפר את פתרונות הבקרה של רוקוול אוטומיישן עצמה, ולבנות מרכז מומחיות לאבטחת מערכות תעשייתיות. אסטרטגיות אבטחה מסורתיות מתחום ה-IT, אינן מספיקות כדי להגן על מערכות תפעוליות (Operational Technology). נסייע ללקוחות לאמץ גישה המכסה את כל רצף התקיפה: לפני הארוע, במהלכו ולאחריו".

חברת רוקוול אוטומיישן היא מהחברות הוותיקות בארה"ב: היא הוקמה בשנת 1903 על-בסיס המצאה של נגד משתנה לשליטה במנועים חשמליים. בשנת 1909 שונה שמה של החברה ל-Allen-Bradley ועד היום היא שומרת על קווי מוצר תחת המותג הזה. בשנת 2001 יצאה ממנה חברת האוויוניקה התעופתית Rockwell Collins. כיום החברה נחשבת לאחת מספקיות מערכות הבקרה התעשייתיות הגדולות בעולם. היא מעסיקה כ-24,500 עובדים ונסחרת בבורסה של ניו יורק לפי שווי שוק של כ-22.9 מיליארד דולר.

הסכם סייבר לחברה ישראלית בטורקיה

חברת הסייבר לרכב הישראלית Cynmotive חתמה על הסכם לשיתוף פעולה נרחב עם יצרנית הרכב הטורקית Ford Otosan, שהיא חברה בת טורקית של פורד העולמית, המתמקדת בייצור ושיווק משאיות לשוק המקומי והאירופי. פורד אוטוסאן תעשה שימוש בפתרונות של Cymotive כדי להכשיר כלי-רכב שהיא מייצרת לתקנות החדשות של האיחוד האירופי בתחום אבטחת הסייבר וכדי לאתר חולשות פוטנציאליות במערכות המקושרות.

שיתוף הפעולה יתמקד בשלב ראשון בהסמכת דגמי משאית הדיזל F-Max שפותחה על ידי פורד אוטוסאן. שיתוף הפעולה בין Cymotive ופורד אוטוסאן נרקם דרך מרכז החדשנות של פורד בישראל, שחיפשה בארץ שותף בתחום הסייבר שיסייע ליצרנית הרכב הטורקית.

פורד אוטוסאן נמצאת בבעלות משותפת של פורד מוטורס וענקית התעשייה הטורקית Koç Holding, ומייצרת משאיות וכלים מכניים כבדים. היא מפעילה חמישה אתרי ייצור ופיתוח ברחבי טורקיה, ובעלת כושר ייצור של כ-450 אלף כלי-רכב בשנה. החברה משווקת כיום משאיות לשוק הטורקי, למדינות המזרח התיכון כולל ישראל, ולמדינות מזרח אירופה. בחודש מרץ רכשה פורד אוטוסאן מפורד העולמית את המפעל שלה בעיר קריובה ברומניה, במסגרת התוכנית האסטרטגית שלה להתרחב לשוק הרכב במערב אירופה. 

אלא שאחד החסמים לכניסה לשוק במערב אירופה הוא עמידה בתקנות מחמירות בתחום אבטחת הסייבר. על-מנת לקבל רישיון סוג (type certification) באיחוד האירופי, יצרניות הרכב צריכות לעמוד בתקנות UNR 155 ו-UNR 156, שגובשו על-ידי הוועדה הכלכלית של האו"ם לאירופה (UNECE). הן מגדירות את הדרישות המחייבות בכל הנוגע לרמת אבטחת הסייבר של המערכות המקושרות ויחידות הבקרה (ECU) ברכב, ושל ערוץ התקשורת המשמש לעדכוני תוכנה מרחוק (OTA). תקנות אלה כבר בתוקף באיחוד האירופי ולא ניתן לשווק כלי-רכב שאינם עומדים בהן.

חברת הסייבר הישראלית של פולקסוואגן

מנהל תחום ניהול סיכונים וארכיטקטורה ב-Cymotive, רן בורגברג, הסביר בשיחה עם Techtime: "אנחנו מביאים לשותפות הזו את הידע והמומחיות שצברנו בתחום הסייבר לרכב, ובפרט בכל הנוגע להתאמה לרגולציות והתקנים. הפתרונות שלנו מנחים את היצרן בכל התהליכים שעליו לבצע כדי לעמוד ברגולציות, וכיצד לעשות זאת באופן החכם ביותר מבחינת ניהול סיכונים ופרופיל האיומים הרלוונטי, וגם מבצעים הערכת חולשות. למשאיות יש תכונות ומאפיינים שמבדילים אותם מרכבי נוסעים, וזה משליך על כל ההכשרה של הדגם לרגולציה. בנינו עבור פורד אוטוסאן שירות הוליסטי מיוחד, במתכונת של 'רישוי-כשירות' (certification as a service)".

חברת Cymotive הוקמה בשנת 2016 כמיזם משותף של קונצרן הרכב הגרמני פולקסווגן ושלושת המייסדים הישראלים, בכירים לשעבר במערכת הביטחון: ראש השב”כ לשעבר יובל דיסקין, ראש אגף טכנולוגיה לשעבר בשב”כ צפריר כץ, המשמש כמנכ"ל החברה, וראש אגף מחשוב ומידע לשעבר בשב”כ ד"ר תמיר בכור. השותפים הישראלים מחזיקים במשותף ב-60% ממניות החברה, בעוד הקונצרן הגרמני מחזיק ב-40% הנותרים.

הפתרונות של Cymotive ממפים באופן אוטומטי את כל מרכיבי התוכנה והחומרה ביחידות הבקרה האלקטרוניות (ECUs) ברכב, מאתרים חולשות פוטנציאליות ומספקים המלצה לגבי הדרך הטובה ביותר למענה לאיום. הפלטפורמה גם יודעת לאמת האם הדגם עומד בדרישות הרגולטור. החברה דיווחה שהפתרונות שלה מנטרים כיום יותר מ-2 מיליון כלי-רכב של תאגיד פולקסווגן, בהם גם את מותגי סיאט, סקודה, פורשה, למבורגיני, דוקאטי, אאודי ועוד. החברה מעסיקה כ-200 עובדים, מרביתם בשני אתרי החברה בתל אביב ובפארק בר לב שליד כרמיאל. לחברה גם משרדים בוולסבורג שבגרמניה, סמוך למטה פולקסואגן, ומשרד בשבדיה.

מי ניצח במלחמת הסייבר באוקראינה? ארה"ב

בתמונה למעלה: בועז דולב, מנכ"ל קלירסקיי. צילום: ניב קנטור, אנשים ומחשבים

מאת: יוסי הטוני. באדיבות אנשים ומחשבים

"פלישת רוסיה לאוקראינה היא אירוע הסייבר המוביל, ובגדול, השנה ובתקופה הקרובה. אין אירוע חשוב ממנו, והוא ישפיע על כל אירועי הסייבר שיתרחשו בשנים הקרובות. הממשל הרוסי עשה ככל שביכולתו על מנת לפגוע בתשתיות קריטיות ואחרות באוקראינה. אלא שהממשל בארצות הברית, כאשר מאחוריו יש מדינות מערביות נוספות, היה זה שהצליח להוביל ולנצח את המערכה הזו. הייתה זו הפעם הראשונה שבה רוסיה נכשלה בכל מה שניסתה לעשות בממד הסייבר מול המערב", כך אמר בועז דולב, מייסד ומנכ"ל קלירסקיי הישראלית.

דולב דיבר במסגרת כנס InfoSec 22, שנערך השבוע, בהפקת אנשים ומחשבים, באולם האירועים לאגו בראשון לציון. בכנס השתתפו מאות מקצועני אבטחת מידע והגנת סייבר, והנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה. "שבועיים לפני הפלישה", ציין דולב, "הרוסים החלו להסב נזקים לחברות אנרגיה באירופה. הם עשו זאת בעקיפין, באמצעות ארגוני פשיעה בסייבר. מדובר בקבוצות פשיעה שביום יום תוקפות בסייבר ממניעים כספיים, והן 'נקראו לדגל' על ידי הממשל הרוסי. הקבוצות הללו תקפו 10 חברות נפט וגז ביבשת, במגוון סוגי תקיפות – כופרה, DDoS ומתקפות הרס ומחיקה".

המתקפות על אוקראינה פגעו בטורבינות בגרמניה

הוא אמר כי "נקודת ציון חשובה הייתה ב-24 לפברואר השנה – התאריך שבו החלה הפלישה הפיזית של רוסיה לאוקראינה. באותו התאריך, הממשל הרוסי פרץ ללווייני ויאסאט כדי לשבש את הפיקוד והשליטה האוקראיניים במהלך הפלישה. הפגיעה זלגה גם מעבר לאוקראינה, למשל במערך טורבינות הכוח בגרמניה – שנותק. הצלחה נוספת הייתה להם כשהם הצליחו לחדור למערך המחשוב של מרשם האוכלוסין ברשות הגבולות האוקראינית – מה שיצר עומסים ביציאה מהמדינה המותקפת".

באשר לארצות הברית, אמר דולב, "כבר באוקטובר 2021 המודיעין האמריקני ידע על כוונות הפלישה של רוסיה. ההיערכות החלה כבר אז: הוקמו חדרי מלחמה באירופה ובארצות הברית ונעשה כל מה שצריך, כולל שיתוף מודיעין והידוק שיתופי הפעולה עם ענקיות ההיי-טק, ובראשן גוגל, מיקרוסופט ו-ESET. כך, לא מעט מתקפות רוסיות סוכלו בזמן אמת". "חברות הטכנולוגיה והגנת הסייבר לקחו חלק משמעותי בסיכול תקיפות, יחד עם גופי המודיעין והצבא", אמר דולב, "וביחד מנעו מרוסיה הישגים במרחב הסייבר. זה קרה בשל שילוב בין מערכות הגנה ומודיעין, שהביאו לכך שאוקראינה לא התפרקה".

"הסינים השתדלו לעמוד מהצד"

דולב הוסיף כי לצד ה-"כוכבים" העיקריים – רוסיה, אוקראינה, מדינות המערב וחברות הטכנולוגיה, "נוספו בעימות זה קבוצות לא מזוהות רבות – האקרים תומכי רוסיה, האקרים תומכי אוקראינה והאקרים שהתחפשו לאחת משתי קבוצות אלה, כאשר כולם שימשו כפרוקסי. בעימות בסייבר נכנסו גורמים רבים בעלי השפעה. הסינים השתדלו שלא להתערב באופן ישיר בעימות הקיברנטי, אבל הם הזמינו חברות רוסיות להגר לענן של עלי באבא. כמו כן, צריך לחשוב, בעיקר אנחנו והאמריקנים, על מצב עתידי: אפשרות שאיראן תנסה לחקות את פעילות רוסיה במקרה של עימות כולל עם ישראל".

לדבריו, "מרבית מתקפות הסייבר הרוסיות שובשו ונפגעו בעקבות פעילות אקטיבית ומהירה של חברות הגנת סייבר מערביות. חברות ההגנה הפכו לשחקניות מפתח בעימות המדינתי – ותהיה לכך גם השפעה עתידית. הרוסים התמקדו בהפצצות פיזיות על מרכזי תקשורת, מרכזי נתונים ואנטנות שידור באוקראינה, וטכנאי 'בזק' האוקראינית עמלו לתקן אותם כל פעם מחדש. שרידות תקשורתית באוקראינה היא חשובה. חוקרי האבטחה של מיקרוסופט רשמו 247 ניסיונות תקיפה על אוקראינה, ועל העולם ללמוד מהמקרה שלה איך ממשיכים לפעול תחת תקיפה מתמשכת".

מיקרוסופט, אפל וגוגל מתחייבות לאינטרנט נטול-סיסמאות

החברות אפל, גוגל ומיקרוסופט החליטו ןהרחיב את התמיכה שלהן בתקן החדש של כניסה לאתרים ושירותים מקוונים ללא ססמא, אשר הוגדר על-ידי ארגון FIDO Alliance ו-World Wide Web Consortium. התקן החדש מאפשר לאתרים ולמפעילי יישומים לאפשר גישה לתכנים ולשירותים בלא הקלדת ססמאות, הנחשבות לפתרון לא יעיל: הן לא בטוחות בפני פריצה ואנשים רבים מתקשים לנהל את כל הססמאות שלהם.

התקן החדש מבוסס על מתן היכולת להתחבר אל השירות באמצעים אחרים, דוגמת טביעת אצבעות, זיהוי פנים או קוד הזיהוי של האבזר (PIN) שבאמצעותו הם מתחברים. להערכת חברת אפל, הגישה הזאת בטוחה יותר, יעילה יותר ומונעת מתקפות פישינג בהשוואה לשיטות ההזדהות המקובלות, המבוססות על ססמאות קבועות וזזמאות זמניות הנשלחות במסרון SMS.

התקן החדש מבוסס על פרוטוקול המשלב בין זיהוי לבין הצפנה במתכונת מפתח פרטי ומפתח ציבורי. הזיהוי עצמו מתבצע במכשיר המקומי שבידי המשתמש באמצעות עמידה במטלות כמו למשל הקלקה על מספרים מסויימים, דיבור אל המיקרופון והכנסת מידע נוסף הנדרש לצורך ההזדהות. לאחר השלמת ההזדהות, אבזר הקצה שולח מסר מוצפן במפתח הפרטי המוודא את זיהוי המשמש, וערוץ התקשורת נפתח. בשלב הזה, מיוצר צמד חדש של מפתח ציבורי-מפתח פרטי, המאפשר להתחבר אל השירות. בששיטה הזאת, למשל, המידע הביומטרי המשמש לזיהוי – נשאר באבזר של המשתמש ולא זולג אל הרשת.

שלוש החברות הודיעו שהן מתכננות להטמיע את הפרוטוקול בכל הפלטפורמות שלהן כבר במהלך השנה הקרובה. מנהל מוצר בחברת גוגל, מרק רישר, אמר שהחברה היתה מעורבת בפיתוח התקן ב-10 השנים האחרונות" "במגרת המאמץ לייצר עתיד ללא ססמאות". לדבריו, הפרוטוקול ישולב בדפדפן כרום, במערכות ההפעלה ChromeOS ואנדרואיד ובפלטפורמות אחרות של החברה. "המעבר לעולם נטול ססמאות יתחיל מהצרכנים ויעבור אל הסביבות הארגוניות", העריך סגן נשיא מיקרוסופט לניהול זהויות, אלכס סימונס. "נספק תמיכה מובנית ב-FIDO בכל היישמים והשירותים של מיקרוסופט".

אנבידיה נפלה קורבן למתקפת כופר

מערכת המידע של חברת אנבידיה נפרצה על-ידי קבוצת האקרים אשר גנבה ממנו מידע בהיקף של כ-1 טרה-בייט, הכולל את כל ססמאות עובדי החברה ומספר רשיונות לשימוש במוצרים של החברה. כך דיווח האתר SemiAnalysis, אשר עוקב אחר תעשיית השבבים. האתר הגדיר את הפריצה כ"אסון לאנבידיה ולביטחון הלאומי של כל הממשלות 'המערביות'". בהמשך דיווחו ההאקרים שחברת אנבידיה ניסתה לתקוף אותם בחזרה, ובתגובה הם שחררו לרשת את הססמאות של כל עובדי החברה.

הפריצה בוצעה על-ידי קבוצת האקרים בשם Lapsus$ אשר דרשה בתחילה כסף תמורת החזרת המידע, ובהמשך העלתה דרישות חדשות ומפתיעות: עידכונים נוספים לתוכנות, העברת תוכנות של אנבידיה למתכונת קוד פתוח והסרת המגבלות לשימוש במעבדי ה-GPU של החברה לצורך כריית מטבעות וירטואליים. מדובר בתוכנת Lite Hash Rate שאנבידיה התקינה בפברואר 2021 במעבדי RTX 3060 GPU אשר מקטינה במחצית את קצב כרריית המטבעות הווירטואליים. בהמשך היא התקינה את התוכנה בכל מעבדי ה-GPU שלה במטרה שהם יהיו פחות אטרקטיביים לכריית מטבעות ויותר זמינים עבור גיימרים.

בעקבות הפריצה הם גם דיווחו שהחלו למכור את תוכנת full LHR V2, אשר עוקפת את המגבלה של אנבידיה, תמורת מיליון דולר לרישיון. בסוף השבוע הגיבה אנבידיה לארוע וטענה שנגנבו שני רשיונות שפג תוקפם. יחד עם זאת היא הזהירה את הלקוחות שיכול להיות שהרשיונות האלה ישולבו בתוך רוגלות ולכן חשוב לבדוק שכל רשיון הגיע ממנה ולא ממקורות אחרים. בתגובתה היא מסרה: "ב-23 בפברואר 2022 נודע לנו על ארוע אבטחתי אשר השפיע על משאבי ה-IT של החברה. לאחר גילוי הארוע נקטנו בפעולות להקשחת ההגנה על הרשת שלנו ודיווחנו על הארוע לרשויות החוק".

אחד ממכתבי הדרישה של ההאקרים, שבו הם מדווחים על היקף המידע שגנבו
אחד ממכתבי הדרישה של ההאקרים, שבו הם מדווחים על היקף המידע שגנבו

"אין לנו עדות לכך שבוצעה מתקפת כופרה על סביבת אנבידיה או שהארוע קשור למלחמת רוסיה-אוקראינה. אולם אנחנו מודעים לכך שהתוקפים גנבו ססמאות של עובדי אנבידיה ושהם השיגו מידע בבעלות אנבידיה שהוצא מהמערכות שלנו ודלף אל הרשת. הצוות שלנו מנתח כעת את המידע הזה. כל עובדי החברה נדרשו לעדכן את הססמאות שלהם. אנחנו לא צופים שהארוע יפגע במהלך העסקים של החברה או שהוא יפגע ביכולת שלנו לספק שירות ללקוחות".

אתר SemiAnalysis דיווח שהמידע שנגנב כולל מידע טכנולוגי, הכולל גם סימולציות שבהן אנבידיה בוחנת את הארכיטקטורה של שבבים עתידיים ואת היתרונות והחסרונות של שינויים ארכיטקטוניים. "זהו מרכיב קריטי בתהליך התכנוני של אנבידיה. המידע הזה מאפשר ליצרניות GPU ולחברות AI סיניות להדביר במהירות את הפער בינן לבין אנבידיה. חברות מערביות לא יעזו לגעת במידע הזה מכיוון שהוא לא חוקי, אולם הנסיון מראה שגורמים אחרים ישמחו להשתמש בו".

בשבוע שעבר אישר חברת סמסונג שגם ממנה נגנב מידע על-ידי קבוצת Lapsus$, הקשור לאבטחת הטלפונים מסדרת גלקסי. המידע שנגנב כולל בין השאר את תוכנת הזיהוי הביומטרית של הטלפונים. סמסונג מסרה שלא נגנב מידע אישי של העובדים ושהמידע שנגנב לא פוגע בעסקיה.

 

אופן בניית הקוד מייצר סיכוני תקיפת סייבר

מאת: אורי שמאי, מייסד שותף ו-CTO בחברת Spectral, המספקת פתרונות לאיתור טעויות אבטחה בסביבת הפיתוח

התוכנה היא מרכיב מרכזי בפיתוח כל מוצר טכנולוגי חדש, והחברות נמצאות היום במירוץ לקיצור זמני הפיתוח והאצת מתן השירות ללקוחות. כדי להשיג את המטרה הזאת, המפתחים מאמצים תהליכי אוטומציה המאפשרים לקצר את הזמנים, אבל על-ידי כך הם חושפים גם את עצמם וגם את לקוחותיהם בפני סיכוני אבטחה רבים. אחד השינויים המרכזיים בעולם התוכנה של השנים האחרונות הוא השימוש הגובר בשירותי תוכנה כשירות (Software as a Service – SaaS), אשר מאפשרים להאיץ את תהליך הפיתוח והפריסה, אך גם הן מהווים גורם סיכון לפריצה.

כדי להמחיש את התועלת והסיכון שב-SaaS, נסתכל על מספר דוגמאות. מערכת לניהול תצורה וגרסאות של הקוד: בעבר ארגונים הריצו את מערכת ניהול תצורת הקוד בשרת פיזי בתוך הארגון (מוגן מאחורי "סורג ובריח"), היום הם משתמשים בשירות פומביים כמו Github או Gitlab. הדבר מאפשר להם להתמקד יותר בכתיבת הקוד ופחות בכל האופרציה הקשורה בניהולו, כאשר ספק השירות מבטיח זמינות גבוהה, גיבויים ועוד. גם שיתוף הקוד בין צוותי הפיתוח והרצת בדיקות האיכות נפתרו על-ידי נותן השירות "התוכנה כשירות". ועם כל-כך הרבה יתרונות – מה הם החסרונות?

מידע פרטי הופך ציבורי

העובדה שאותם שירותים הם פומביים ומחזיקים בקניין הרוחני של החברות מעמידה את קוד המקור, שטומן בתוכו מידע רגיש של החברה, בסיכון גדול. מעבר ללוגיקה ולאלגוריתמיקה שמהווים את הצד הטכני של הקוד (שגם פריצה אליו היא מסוכנת), קוד המקור מכיל לא פעם מידע פנימי של החברה, פרטי מידע סודיים כמו מפתחות הצפנה של הקוד לשירותים אחרים, סיסמאות לבסיסי נתונים, מפתחות API המאפשרים לקוד לתקשר עם שירותי תוכנה חיצוניים, ועוד.

למעשה, הפומביות של שירותים האלה משפיעה ישירות על רמת אבטחה ומגדילה את סיכויי הפריצה. אם כתוצאה מפריצה לספקית שירותי ה-SaaS גם הקוד יזלוג החוצה (כמו במקרה של CodeCov), ניתן להגיע דרכו לקוד של מגוון רחב של חברות שמשתמשות בשירות. מקרה נוסף יכול להיות תוצר של טעות גרמה לחשיפה פומבית של קוד פרטי סגור. אם הקוד נכתב באופן שבו הוא מכיל פרטי מידע רגישים מכל סוג שהוא, הפריצה הבאה ממתינה מעבר לפינה, כמו שראינו במקרה של הפריצה ל-Twitch.

האוטומציה גם מאפשרת להקטין את מרווח הזמן שמרגע כתיבת הקוד ועד הרגע שבו התוכנה עולה לסביבה חיה ומספקת שירות ללקוחות. מצד אחד, התהליך שמורכב משרשרת פעולות כמו בדיקת האיכות של הקוד, הרצת טסטים שונים, בדיקות בסביבות פנימיות ועוד, דורש תשתיות גמישות כדי שקבוצות שונות של מהנדסי תוכנה יוכלו לעבוד במקביל בלי שקוד של אחד ישפיע על אחר. כל אחד מהם יכול לרוץ בסביבה מבודדת משל עצמו, ולאחר מכן לבצע אינטגרציה לפני העלאת הגרסה החדשה של התוכנה.

האוטומציה ממוקדת במהירות – לא באבטחה

בעבר, איש התשתיות היה צריך להשקיע שעות וימים כדי לעשות זאת. ובכל פעם שיש דרישה חדשה – התהליך מתחיל מחדש. כיום מעניקות ספקיות הענן הפומביות את היכולת להשתמש ב-API בעזרת קוד (Infrastructure as Code), ולייצר בענן מגוון של שירותים ותשתיות באמצעות כמה שורות קוד. מכיוון שלכל ספקית ענן יש שפת API משלה, ויש חברות המשתמשות ביותר מספקית ענן אחת, נוצרו פתרונות הפשטה כמו Terraform או Pulumi, המאפשרים לכתוב בסטאק טכנולוגי אחד את פתרונות ה-API של ספקיות שונות. בכך הם מאיצים את התהליך ומצמצמים את מרווח הזמן לשעות ספורות, ואפילו דקות במקרים פשוטים.

אומנם פלטפורמות התשתיות כקוד הופכות תהליכים מורכבים לפשוטים יותר, אולם הן מייצרות סיכוני אבטחה חדשים. מה קורה אם פורסים לענן הפומבי בסיסי נתונים או שרתים, שבטעות בסיס הנתונים בהם הוגדר ללא גיבויים, או ללא הצפנה כברירת מחדל לנתונים שעוברים אליו וממנו, או עם הרשאות גבוהות מדי? מה קורה כאשר בסיס הנתונים צריך להיות נגיש רק לטווח כתובות רשת פנימיות של החברה, אך כעת הוא פתוח לעולם? זהו עוד מקרה שבו לאופן בניית הקוד יש השפעה על סיכויי הפריצה, שכן הקוד שמתאר את התשתיות יכול להכיל misconfiguration או לא לבטא את מאפייני האבטחה עבור אותן תשתיות קריטיות.

מתי הפירצה קוראת לגנב

בעקבות התפתחות הענן הפומבי, בשנים האחרונות הגיעה טכנולוגיה חדשה לעולם התשתיות בהשראתה של חברת גוגל: טכנולוגיית קוברנטיס (Kubernetes) מאפשרת להאיץ את תהליכי הפיתוח ופריסת התוכנה בענן ולספק הפשטה של תשתיות ושירותים מסוגים שונים במתכונת Cloud-Native. כלומר מאפשרת להריץ את התוכנה באופן שאינו נעול לתשתית של ספקית ענן ספציפית (vendor lock). כך ניתן לבטא את התוכנה בשפת קונפיגורציה אחת (yaml), ולהריץ אותה בכל אחת מספקיות הענן.

מכאן שכעת גם אנשי תוכנה שלא מגיעים מעולם התשתיות יכולים לבצע את הפריסה. אבל מה קורה אם הקוד שמכיל את הפריסה של התשתיות לא מכיל שום מאפייני הגנה על שרת השליטה הראשי של הקלאסטר של קוברנטיס, וברירת המחדל של אותו שרת קריטי בזמן הפריסה זה להיות פתוח פומבי לאינטרנט? במקרה הטוב התוצאה היא שכזה שרת מזמין Crypto Miners (כורי מטבעות קריפטוגרפיים), במקרה הרע הוא מזמין חשיפת מידע רגיש.

טכניקות לגילוי ומניעת חולשות אבטחה

כיצד ניתן להתמודד עם האתגר המסוכן הזה? סקירת קוד עם חברי הצוות (code review) היא פתרון אחד לכך, אבל היא לא חסינה בפני טעויות. לכן הטכנולוגיה נכנסה גם לתחום הזה באמצעות כלים אוטומטיים הסורקים את הקוד תוך כדי כתיבתו. למשל linters המוודאים שהקוד עומד בדרישות הרלוונטיות. חסרונם נעוץ בכך שהם בוחנים את הקוד מפרספקטיבה של בקרת איכות הקוד ולא של אבטחה. קיימים הבודקים שאין בקוד מידע רגיש או סודות למיניהם, וכוללים גם סריקה עמוקה של קוד ותשתיות, בין אם זה בשפות Terraform ,CloudFormation ,Kubernetes או השפות הנוספות. הכלים האלה מאפשרים לוודא שבקוד לא קיימות בעיות תצורה (misconfiguration) שיכולות לחשוף את הארגון לפריצה וגניבת מידע.

הסורקים מהסוג הזה מאפשרים גם לארגונים לעמוד בתקנים כמו CIS controls, PCI-DSS controls, ISO27001, SOC2 Type 2 ואחרים. זוהי רשימת בקרות המיישמות את מדיניות אבטחת המידע (policies) של כלל הנכסים הדיגיטליים שהארגון מייצר, כולל המידע שהוא שומר, בין אם שלו או בין אם של הלקוחות שלו. הארגון מתחייב להיות כפוף להן בשביל לעמוד בתקינה, ויש חלק שלם בבקרות אשר מגדיר את האבטחה של קוד המקור ונגזרותיו, שכן הוא אחד המקורות לפריצת סייבר.

סיכום

קוד פומבי יכול להוביל לפריצה ולדליפת מידע. גם המפתח המקצועי ביותר הוא, בסופו של דבר בן אנוש מועד לטעויות. ההסתמכות על הטכנולוגיה כדי להקל על חייהם של מפתחים יכולה להוביל גם לחדירות סייבר, ויש לעשות כל מה שאפשר כדי למנוע אפשרות לתקיפה כזו בכל דרך שהיא. בפעם הבאה כשאתם מוסיפים עוד תוסף טכנולוגי לעבודה שלכם – תחשבו מה היתרונות שלו בהקשרי אבטחה, ולא רק מהי כמות העבודה שהוא מקצר.

המענה של יבמ למתקפות כופר: גיבוי סמוי וקלטות מגנטיות מנותקות מהרשת…

בתמונה למעלה: ניר קליינמן, מנהל טכנולוגיות בקבוצת מערכות, יבמ ישראל. צילום: אלעד מלכה

חברת יבמ החלה להפיץ בישראל ובעולם מערכת הגנה המיועדת לנטרל את הנזקים הנגרמים על-ידי מתקפות כופר, דוגמת המתקפה אשר השביתה לאחרונה את בית החולים הלל יפה בחדרה. הפתרון החדש מבוסס על גיבוי רציף של כל המידע הארגוני, אשר מתבצע במקביל לעבודה השוטפת. מדובר בגיבוי מאובטח שלא ניתן להגיע אליו באמצעות ממשקי הגישה הרגילים, אלא רק באמצעות גישה פיסית אל מחשב ספציפי – הנמצא באתר מוגן. מנהל הטכנולוגיות בקבוצת המערכות של יבמ ישראל, ניר קליינמן, סיפר ל-Techtime שהחברה מספקת את הפתרון במסגרת חבילת ההגנה הכוללת שלה, Zero Trust.

משתמש-העל נמחק – והגישה למידע נחסמה

קליינמן: "בדרך-כלל, כאשר האקר חודר למערכת הוא מנסה לאתר את כל הגיבויים הקיימים כדי למחוק אותם או לשנות אותם. אולם העותק הזה הוא בלתי נגיש (Safeguarded Copy), מכיוון שההגדרה שלו בוצעה באופן חד-פעמי באמצעות משתמש-על (Super User), אשר נמחק מהמערכת וכבר לא קיים בה יותר. הדרך היחידה להחיות את משתמש-העל ולקבל בחזרה את המידע המוגן, היא להגיע פיסית אל פורט טכנאים, שהאקר מקוון כמובן לא יכול להגיע אליו".

לדבריו, היכולת הזאת הוטמעה בכל מערכות האחסון ממשפחת FlashSystem של יבמ. "הרעיון הזה הגיע מעולם המיינפריים, וכעת אנחנו גם משווקים אותו  בעולם 'המערכות הפתוחות', כלומר מערכות שבהן מערך האחסון הוא מוצר בפני עצמו ולא חלק בלתי נפרד מהמחשב. הפתרון מתאים לכל מערכות ההפעלה הקיימות בשוק, ולא רק למערכת ההפעלה של המיינפריים. בעולם המיינפריים הוא כבר נמצא אצל רוב הלקוחות הגדולים. בסביבת המערכות הפתוחות אנחנו מבצעים כעת הטמעות ראשונות בארגונים בארץ".

טייפים מגנטיים עם הצפנה קוונטית

אלא שמרכיב הגיבוי הסמוי הוא רק חלק אחד בתפיסה הכוללת של חברת יבמ, אשר מאמינה שכדי להגן על המידע – חייבים לנתק אותו מהרשת. "הדרך היחידה להרחיק מידע מהרשת היא לנתק מגע פיסית ולשמור את המידע על-גבי קלטות טייפ מגנטיות שלא ניתן לגשת אליהן כחלק ממערכת הקבצים ולא ניתן לבצע בהן שינויים כמו מחיקה או עדכון. הלקוחות צריכים להחזיק אצלם ספרייה של טייפים מגנטיים. הם גדולים, חזקים ואמינים יותר מכל HDD המצוי בשוק". מדובר בטייפים מגנטיים בטכנולוגיית Linear Tape-Open שהחלה את דרכה כבר בשנות ה-90, וכיום התקנים שלה מוגדרים על-ידי הקונסורציום התעשייתי LTO Ultrium, אשר מנוהל על-ידי יבמ, HP וחברת Quantum Corporation.

בתמונה: כונן הגיבוי של יבמ הכולל קלטת טייפים לשמירת מידע בנפח של עד 45TB בכל קלטת

תקן LTO-8, למשל, מאפשר לאגור בקלטות מידע דחוס בנפח של 30TB בכל קלטת. התקן העדכני ביותר של הקבוצה, LTO-9, כולל קלטות מגנטיות במסד "19 המאפשרות לאגור מידע דחוס בנפח של עד 45TB בכל קלטת, ולאחזר אותו בקצב של עד 400MB/s. בינתיים רק יבמ, HP, סוני ופוג'יפילם קיבלו הסמכות למוצרים העומדים בתקן LTO-9. "כיום מתחילים הדיונים על תקן הדור הבא, LTO-1060, אשר יופיע ביחד עם הצפנה קוונטית. הוא יהיה אחד ממוצרי החומרה הראשונים בשוק עם הצפנת קוונטום. להערכת יבמ, הטייפים היו ויהיו הפתרון הנכון לשמור מידע בצורה נקייה ונתיקה".

מפת הדרכים של קונסוציום LTO Ultrium לביצועי קלטות הגיבוי המגנטיות
מפת הדרכים של קונסוציום LTO Ultrium לביצועי קלטות הגיבוי המגנטיות

כנס INNOTECH 2021 יתקיים ב-17-18 בנובמבר

הכנס והתערוכה הבינלאומיים לסייבר, HLS וחדשנות, INNOTECH 2021, יתקיים בימים ד'-ה', 17-18 בנובמבר 2021, במתחם אקספו תל אביב, ביתן 2 (שד' רוקח 101). הכנס יתמקד בהגנת תשתיות קריטיות, אתגרי סייבר ומודיעין לעולם המוניציפלי, ערים חכמות, תחבורה חכמה, אבטחת ענן, התקפות טרור, איומים על הביטחון הציבורי, ומרכיבי הסייבר בארועי פשע ואסונות טבע.

הכנס מתקיים בארגון חברת iHLS. הוא ייפתח בהרצאת מבוא של ראש מפא"ת, תא"ל (במיל.) דני גולד, ויתקיימו בו דיונים והרצאות בתחומים כמו זיהוי ותגובה של ארועי סייבר, הגנה על תשתיות קריטיות, מערכות תפעוליות ו-SCADA, כלים אוטונומיים במרחב העירוני, חסינות ושרידות של מערכות GPS ו-GNSS, מודיעין סייבר ועוד.

לצד הכנס תתקיים תערוכה בהשתתפות כ-150 חברות מובילות מהארץ ומהעולם. הכנס מיועד לחברות טכנולוגייות ולחברות סטארט-אפ, ולגורמים בכירים מהמגזר המוניציפלי וגמופי ביטחון, משטרה, מודיעין והתעשיות הביטחוניות.

למידע נוסף ורישום: iHLS INNOTECH 2021

עליה דרסטית בגילוי חולשות אבטחה במערכות בקרה תעשייתיות

חוקרי צוות Team82 של חברת קלארוטי (Claroty) הישראלית, מדווחים שבמחצית הראשונה של 2021 חלה עלייה של 41% בהיקף הגילוי של חולשות אבטחה במערכות בקרה תעשייתיות (Industrial Control Systems – ICS) בהשוואה לששת החודשים הקודמים. מדובר בעלייה משמעותית, לאור העובדה שבכל שנת 2020 הן גדלו ב-25% בלבד. מדובר ב-637 נקודות תורפה שנחשפו במערכות בקרה תעשייתיות, שכ-90% מהן הן בעלות מורכבות נמוכה, כלומר קל מאוד לנצל אותן והצלחת התקיפה מאוד ברורה.

חמור יותר הוא נתון הנזק הפוטנציאלי: 71% מהחולשות שהתגלו מסווגות כבעלות דרגת חומרה גבוהה מאוד, עד-כדי קריטית. חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. היא הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-235 מיליון דולר ומעסיקה כיום כ-200 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול. מנכ"ל החברה הוא יניב ורדי. מתוך החולשות שהתגלו השנה, 70 התגלו על-ידי קלארוטי.

בחודש מאי 2021 היא דיווחה על גילוי חולשת אבטחה חמורה בבקרי SIMATIC S7 1200/1500 של חברת סימנס, הנמצאים בשימוש נרחב בתעשייה. החולשה הזו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר ולהעניק לתוקפים יכולות מתקדמות יותר מאלה של Stuxnet, שהיה אחראי להשחתת חלק גדול מהסרקזות של תוכנית הגרעין האיראנית. כך למשל, היא מאפשרת לתוקפים להשתיל בבקר התעשייתי וירוס או תולעת אשר משבשים את פעולתו, בשעה שהוא מפיק דיווחי סרק המציגים חיווי של "סטטוס תקין" כביכול בכל המערכות.

טויוטה וסייבלום יספקו "תאומים דיגיטליים" ליצרניות רכב יפניות

חברת סייבלום (Cybellum) התל אביבית, וחברת Toyota Tsusho שהיא אחת מספקיות הרכיבים והטכנולוגיות המרכזיות של מכוניות טויוטה, חתמו על הסכם לשיתוף פעולה בפיתוח ואספקת מערכת אבטחה מבוססת "תאומים דיגיטליים", אשר תסייע ליצרניות רכב יפניות לעמוד בדרישות תקני האבטחה החדשים, UNECE WP. 29 ו-ISO 21434. בחודש פברואר 2021 השיקה סייבלום פלטפורמה לזיהוי אוטומטי וממוכן של חולשות אבטחה ובטיחות בכל מערכות התוכנה המצויות ברכב.

הפלטפורמה מבוססת על יצירת "תאום דיגיטלי" (Cybellum Cyber Digital Twins) של כל מערכות התוכנה ברכב, החל מבקרי המנוע ומערכות התמסורת, וכלה במערכות הניהוג והחיישנים. היא כוללת תיעוד מלא של רשימת החומרים (BoM), הממשקים, מערכות ההפעלה, מערכות ההצפנה, גרסאות התוכנה, מרכיבי קוד פתוח ועוד. המערכת של החברה סורקת את התאום הדיגיטלי של הרכב ומאתרת וממפה את כל הסיכונים של המערכת. השימוש בהעתק הדיגיטלי של הרכב יאפשר ליצרן לזהות את כל נקודות החולשה לפני הוצאת הרכב לשוק, להוכיח לרשויות שהוא עומד בתקנים הבינלאומיים, ולאחר מכן לזהות התפתחות סיכונים חדשים כדי לעדכן את המכוניות שכבר נמסרו ללקוחות.

בגלל שרשרת האספקה המורכבת של תעשיית הרכב והשימוש הגובר במחשבים ובתוכנות בתוך הרכב, ליצרנים אין כיום יכולת ראייה כוללת של כל משאבי התוכנה המצויים ברכב, ולכן הם לא יכולים לוודא עמידה מלאה בדרישות הבטיחות והאבטחה של התוכנות. המערכת של סייבלום מעניקה להם את היכולת הזאת. מדובר באתגר שיילך ויתגבר. הערכת חברת IHS Markit, בתוך מספר שנים יהיו בעולם כ-620 מכוניות מקושרות. חברת המחקר הבריטית Uswitch צופה שהן יאספו מידע אישי בקצב של כ-25GB בשעה. להערכתה, המכונית המקושרת היא יעד לעברייני סייבר, כאשר התקיפות נגד מכוניות מקושרות זינקו בכ-99% בשנה האחרונה.

 

רפאל מובילה את מאגד הסייבר להגנת תשתיות קריטיות

חברת רפאל מערכות לחימה מתקדמות (RAFAEL) מובילה את המאגד הישראלי החדש להגנת תשתיות קריטיות בפני תקיפות סייבר. המאגד החדש, IOTCC – Israeli Operational Technologies Cyber Consortium, מוקם בליווי מערך הסייבר הלאומי האחראי על הנחיית הגנת הסייבר בתשתיות קריטיות, ובהשתתפות 11 חברות ישראליות: חברת חשמל לישראל, Waterfall, Trapx, MobileGroup, Radiflow, CyberPro, XMCyber, Cervello, Cynerio וחברת תש"ן (תשתיות נפט ואנרגיה בע"מ).

סמנכ"ל פיתוח עסקי בחטיבת אוויר ומודיעין ברפאל, גידי וייס, אמר שהמאגד יציב את מדינת ישראל כמובילה בתחום הבקרה התעשייתית (Operational Technologies -OT) בעולם. "המאגד ישלב את כל טכנולוגיות אבטחת הסייבר שפותחו על-ידי החברות השותפות בומאגד. הוא יעניק לנו גמישות מסחרית וישפר את היכולת של רפאל לשתף פעולה עם תעשיות ועם ארגוני הגנת סייבר בשווקים שלנו". כיום רפאל מספקת הגנת סייבר לגופי תשתית קריטיים כמו רכבת ישראל ומאגר נתוני האשראי הלאומי. מטרת המאגד היא לפתח פתרונות מקיפים להגנת שירותים ותשתיות קריטיות ברמה הלאומית, כמו תשתיות תחבורה, נפט וגז, ייצור, מים וביוב ותשתיות אנרגיה.

הנושאים האלה קיבלו עדיפות גבוהה בתוכנית העבודה של מערך הסייבר הלאומי. מדו"ח הפעילות השנתית שלו שפורסם באפריל 2021, עולה שבחודש אפריל 2020 זוהה ניסיון למתקפת סייבר על מערכות שליטה ובקרה במגזר המים בישראל, בניסיון .לפגוע במערכות השליטה והבקרה של מכוני טיהור שפכים ותחנות שאיבה וביוב השייכים לספקי מים מקומיים במרחב הכפרי. במקביל, מוקמת בימים אלה מעבדת ICS לאומית שתתמחה בתחום ההגנה על בקרי SCADA בתחום התשתיות הקריטיות. המעבדה תספק סביבה המדמה תשתיות OT תעשייתיות, על-מנת לאפשר לגופים שונים לבחון כלים ומתודולוגיות להגנת הסייבר.

למאבק הזה יש היבטים מפתיעים: כיום בוחן מערך הסייבר הלאומי את הקמתה של רשת סנכרון זמן מדינתית, במטרה לספק לארגונים בישראל שעון זמן מדוייק ומוגן. זאת מכיוון שהשיבוש של מנגנוני סנכרון זמן (באמצעות תקיפת סייבר) עשוי לייצר פגיעה נרחבת בתיפקוד של גופי תשתית, פיננסים ותקשורת. חברת רפאל מעסיקה כ-8,000 עובדים באופן ישיר ועוד כ-20 אלף בתי-אב באופן עקיף. בשנת 2020 הסתכמו מכירותיה בכ-9.45 מיליארד שקל. צבר ההזמנות שלה מסתכם בכ-9.9 מיליארד שקל.

קלארוטי חשפה חולשת אבטחה חמורה בבקרי PLC של סימנס

חברת הסייבר התעשייתי התל אביבית קלארוטי (Claroty) חשפה חולשת אבטחה חמורה בסדרת הבקרים העדכנית של סימנס SIMATIC S7 1200/1500, הנמצאים בשימוש נרחב בתעשייה. החולשה הזו מאפשרת לתוקפים להחדיר קוד בצורה סמויה, שאיננה ניתנת לזיהוי, לתוך מערכת ההפעלה של הבקר. מדובר ביכולת הנחשבת ל"גביע הקדוש" של האקרים, ואשר הושגה עד עתה רק במקרים בודדים, שאחד מהם הוא Stuxnet שהיה אחראי להשחתת חלק גדול מהסרקזות של תוכנית הגרעין האיראנית.

החברה מעריכה שהחולשה שהתגלתה עשויה להעניק לתוקפים יכולות מתקדמות יותר מאלה של Stuxnet, כמו למשל השתלת וירוס/תולעת בבקר אשר ישבש את פעולת הברים אולם יפיק דיווחי סרק המציגים חיווי של "סטטוס תקין" כביכול בכל המערכות. צוות המחקר של קלארוטי שאיתר את החולשה לא מצא אף מקרה של ניצול החולשה הזו. בתגובה לזיהוי החולשה, עידכנה סימנס את הקושחה של בקרי ה-PLC החשופים והוציאה קריאה לכל המשתמשים לעדכן בהקדם את בקרי ה-PLC שלהם לגרסאות המעודכנות. היא מדווחת על הפרטים החיוניים בקישור הבא: SSA-434534.

טכנולוגיה של יוצאי 8200

חשיפת החולשה התאפשרה הודות לקשר הקרוב בין סימנס וקלארוטי. התיאום בין שתי החברות כולל החלפת פרטים טכניים, מידע על טכניקות התקפה וסיוע שקלארוטי העניקה לסימנס בבניית עדכון האבטחה. במסמך המתאר את העידכון, היא הוסיפה תודה מיוחדת לצוות החוקרים של בראשות קרן טל. חברת קלארוטי מתמקדת בתחום הסייבר התעשייתי. חברת קלארוטי הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-100 מיליון דולר ומעסיקה כיום כ-200 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול.

בחודש ספטמבר 2020 היא חשפה חולשות אבטחה קריטיות בתוכנת CodeMeter של חברת Wibu-Systems AG, שהיא אחת מהתוכנות הנפוצות בעולם המותקנת במערכות בקרה תעשייתיות (ICS). התוכנה מגינה על יצרני תוכנה מפני הונאה, הפצה פיראטית וביצוע מניפולציה בקוד קנייני. בין השאר, היא מבצעת הצפנה של התוכנות בבקר התעשייתי, כדי להגן עליהן מפני התעסקות לא מורשית, הנדסה לאחור, פיראטיות ועוד. החולשות שהחברהע גילתה מאפשרות לעקוף את החתימות הדיגיטליות המגינות על המוצר, לשנות רישיונות קיימים ואפילו לזייף רישיונות תקפים.

 

קמיליון ו-Xilinx מפתחות מעבד-עזר מבוסס FPGA לאבטחת שרתים

חברת קמיליון (Kameleon Security) מקיסריה תפתח ביחד עם חברת זיילינקס (Xilinx) מעבד-עזר מסוג חדש אשר יסיר מה-CPU חלק ניכר ממשימות האבטחה המוטלות על השרת במרכזי נתונים, ויגן עליו בשלב האיתחול הנחשב לשלב רגיש וקריטי ביותר, מכיוון שבמהלכו המחשב כבר עובד אולם מערכת ההפעלה עדיין לא נכנסת לתפקוד מלא. החברות מתכננות להטמיע את הטכנולוגיה בתוך מעבדי ה-FPGA של זיילינקס הבנויים בארכיטקטורת MPSoC, ולהוציא אותו לשוק לקראת סוף 2021.

שבב האבטחה מקדים את מערכת ההפעלה

קמיליון הוקמה בשנת 2019 על-ידי המנכ"ל חורחה מיז'נה וקבוצה של יוצאי מיקרוסופט, קואלקום ו-8200. היא וקיבלה השקעות מקרן הסיד State Of Mind Ventures היושבת בהרצליה ומפנחס בוכריס. הפתרון המשותף עם זיילינקס ייצא לשוק תחת השם ProSPU, שהוא קיצור של הביטוי Proactive Security Processing Unit. "הגישה הייחודית של קמיליון מאפשרת להגן על המחשבים באמצעות רכיבי ה-FPGA שלנו גם בשלבי האיתחול וגם לאורך הפעילות השוטפת שלהם", אמר סגI נשיא למכירות בזיילינקס העולמית, סינה סולטאני. "הפתרון הזה מעניק הזדמנויות רבות מאוד בשוק. אנחנו מצפים בקוצר רוח להשקתו".

המנכ"ל חורחה מיז'נה, סיפר ל-Techtime שהטכנולוגיה של החברה תואמת למיפרט Root of Trust העדכני ביותר של קבוצת שיתוף הפעולה התעשייתית, Open Compute Project. מיז'נה: "בכל מעבד קיימת תוכנה אשר שמורה בדרך-כלל בזיכרון פלאש הנמצא על לוח האם. כאשר מפעילים את המחשב מועברת התוכנה הזאת אל המעבד ולאחר מכן הוא מבצע את תהליך האיתחול ומעלה את מערכת ההפעלה. הבעיה היא שצריך לוודא שהקוד המגיע מהפלאש אל המעבד הוא קוד תקין שלא עבר שינוי.

מעבדי אבטחה ייעודיים

"אם יש באג בזכרון הפלאש, המערכת כולה תעלה עם הבאג הזה. ומכיוון שהבאג נכנס למעבד לפני שמערכת ההפעלה עלתה – אין אף מערכת תוכנה שיכולה לאתר אותו". הפתרון של החברה מבוסס על הרעיון של Root of Trust, שאומץ על-ידי OCP. מדובר במעגל חומרה אשר מוודא את תקינות הקוד הראשוני בזכרון הפלאש, פני העברתו למעבד. הוא מוודא שהעלייה תתבצע באמצעות הקוד התקין וכאשר הוא מגלה קוד שהושחת, הוא יודע לשחזר את קד המקור לפני שהמעבד נטען בקוד שגוי.

"ברגע שאנחנו רצים במעבד נפרד והחיבור למערכת ההפעלה נעשה באמצעות חומרה, התוקף לא יכול לקבל מידע על המערכת. מצבו דומה לשודד בנק שלא אסף מודיעין לפני ביצוע השוד". להערכת מיז'נה, מדובר ברעיון החורג הרבה מעבר לעוד מעגל הגנה מקומי: "העולם שבו כל המערכות נוהלו באמצעות מעבדי CPU אחידים הולך ונעלם. התעשייה מאצמצת שימוש במעבדים ייעודיים למטלות שונות, כמו למשל מעבדים ייעודיים למשימות בינה מלאכותית. לדעתנו השלב הבא יהיה מעבדים ייעודיים לאבטחת המחשבים והשרתים".

מהי רמת שיתוף הפעולה עם זיילינקס?

מיז'נה: "אנחנו הולכים להביא ביחד לשוק פתרון עבור ספקיות שירותי ענן ומרכזי נתונים. זהו פתרון המתאים לכל סוגי התשתיות: מרכזי מחשוב, תעשיית הרכב ועוד. כל מערך המכירות של זיילינקס עומד מאחורי המוצר החדש. אנחנו פונים ביחד אל שוק המבין את הצורך בפתרון הזה ומוכן לשלם עבורו".

הפתרון של ננולוק יותקן בעשרות מיליוני מונים חכמים בהודו

חברת הסייבר התעשייתי ננולוק (NanoLock) מניצני עוז הכריזה על שיתוף פעולה אסטרטגי בשוק החשמל ההודי עם Genus Power Infrastructures, חברת תשתיות החשמל הגדולה בהודו. שוק החשמל ההודי מצוי בשנים האחרונות בתהליך נרחב של דיגיטליזציה ומעבר לשימוש במונים חכמים, ו-GPI היא יצרנית המונים החכמים המובילה במדינה. במסגרת שיתוף הפעולה, הפתרון של ננולוק יוטמע במונים החכמים מתוצרת GPI ויספקו הגנה ברמת המכשיר מפני הונאות חשמל ומתקפות סייבר על הרשת.

שיתוף הפעולה עם GPI עשוי להוביל לפריסה של עשרות מיליוני מונים חכמים המצוידים בפתרון של ננולוק. GPI היא אחת הספקיות המובילות של מונים חכמים לחברת החשמל הגדולה בהודו, EESL, שהכריזה לא מכבר על תוכנית שאפתנית לפרוס כ-240 מיליון מונים חכמים במדינה עד 2023. לפי ההערכות, GPI תספק ל-EESL לפחות 50% מכלל המונים. בחודש אוגוסט הכריזה GPI כי כבר סיפקה ל-EESL כ-1.5 מיליון מונים חכמים. GPI מייצרת כ-10 מיליון מונים חכמים בשנה.

ננו-לוק, שהוקמה ב-2016, פיתחה טכנולוגיה המגינה על רכיבי קצה ממתקפות סייבר ומתקפות פנים-ארגוניות, על-ידי חסימת הכתיבה לזיכרון מכשיר הקצה ויצירת ערוץ מאובטח לעדכוני קושחה. הדבר חיוני במיוחד להתקני IoT, אשר מבוססים על פתיחת מערכות קריטיות בפני רשתות תקשורת רבות, שרמת האבטחה שלהן אינה ידועה. הפתרון של ננו-לוק הינו אגנוסטי, כלומר יכול לפעול על כל מעבד ובכל מערכת הפעלה. כמו כן, הוא אינו צורך כלל כוחות עיבוד או חיי סוללה, ועל כן מתאים במיוחד לאביזרי IoT בעלי משאבי עיבוד והספק מוגבלים כמו מדי מים וגז חכמים.

מנכ"ל ננולוק ערן פיין הסביר ל-Techtime: "אנחנו יושבים בין הזיכרון הבלתי-נדיף לבין המעבד. שם נמצאות כל ההגדרות של הרכיב, והפתרון שלנו חוסם כל ניסיון לשנות את ההגדרות הקריטיות, ומדווח למערכת הניהול על ניסיון השינוי. לרבים מאביזרי ה-IoT יש מעבד דל משאבים, מערכת הפעלה פשוטה, סוללה קטנה, והאתגר הוא למצוא פתרון שיכול לספק הגנה למכשירים כאלה". ננולוק עובדת עם חברות תשתיות ותעשייה ועם ספקיות שירות ביפן, הודו, ספרד, שוויץ, סינגפור, הולנד, ארצות הברית וישראל.

הפסקת חשמל בזמן פסטיבל דתי

שוק המונים החכמים בעולם נמצא בעלייה מתמדת כחלק מפריסה של רשתות חשמל חכמות (SMART GRID), אולם הן גם פגיעות מאוד. פיין: "ספקי תשתיות ופתרונות לערים חכמות מתמודדים עם התקפות חדשות כל הזמן, וכל מכשיר מחובר יכול להוות נקודת כניסה לתוקפים. אנו נותנים לספקי תשתיות חשמל, גז ומים כמו גם חברות תעשייתיות כלי שמאפשר ניהול, עדכון והגנה על תשתיות בצורה מאובטחת, תוך מניעת גניבות והונאות, שיוצרות הפסד משמעותי בהכנסות".

בהיותם מבוססי תוכנה, המונים החכמים חשופים לצורות שונות של מניפולציות של האקרים, שבאמצעות התממשקות פיזית משנים את קריאת הצריכה ומפחיתים את חשבון החשמל. מתברר שמדובר בתופעה נרחבת המסבה הפסדים עצומים לחברות החשמל. להערכת חברת המחקר Northeast Group לפני כמה שנים, הנזק הכולל מגניבות חשמל בעולם נאמד בכ-96 מיליארד דולר בשנה.

ואולם, המונים החכמים מייצרים סיכונים נוספים לתפקוד הרציף של רשת החשמל. בחודש אוגוסט השנה, במהלך חג הינדי, אירעה ברשת החשמל של מדינת Uttar Pradesh בהודו תקלה שהובילה לניתוק החשמל של מספר שעות בכ-300 בתי-אב במדינה, שבהם הותקנו באחרונה מונים חכמים. בדיקה שנערכה העלתה כי התקלה נבעה מטעות של טכנאי שככל ניסה לשנות את ההגדרות והביא לתגובת שרשרת שגרמה לנפילת הרשת. המונים החכמים שבהם נגרמה התקלה היו מתוצרת L&T, הספקית המרכזית השנייה של מונים חכמים לפרויקט הפריסה של EESL.

לדברי פיין, הפתרון של ננולוק מספק הגנה לא רק מפני הונאות חשמל מכוונות אלא גם מטעויות של עובדים בעלי גישה. "האירוע הזה טלטל את שוק החשמל בהודו והבהיר לכולם את החשיבות באבטחת סייבר. הפתרון שלנו היה מונע את התקלה הזו. רוב הפתרונות הסייבר מתבססים על זיהוי אנומליות, אבל זה לא יעיל כאשר מדובר בעובד פנימי. הפתרון שלנו מונע שינויים לא מורשים בהגדרות בין אם מדובר בתוקף חיצוני או בעובד פנימי עם סיסמאות".

[מקור תמונה ראשית: EESL]

אלוט הפכה את נתב ה-Wi-Fi לעמדת הגנת סייבר

בתמונה למעלה: איל יאיר (מימין) ומרק שטיימן

חברת אלוט (Allot) מבצעת בימים אלה השקה חרישית של מערכת הגנה חדשה לעסקים קטנים ובינוניים, המבוססת על שימוש בנתב התקשורת כנקודת הגנת הסייבר על תשתית התקשורת של העסק. כך נודע ל-Techtime במהלך ביקור בחברה. לדברי איל יאיר, סגן נשיא לתחום מכירות קו מוצרי Home Secure ומייסד חברת Netonomy התל אביבית שנרכשה על-ידי אלוט בשנת 2018, המערכת מבוססת על טכנולוגיה שפותחה בנטונומי עבור הגנת המשתמשים הביתיים.

בשנים האחרונות הפכו הנתבים לפיסת נדל"ן שבאמצעותה ספקיות התקשורת משווקות שירותים שונים ללקוחות. חלק מהספקיות אפילו פתחו חנויות אפליקציה, עבור יישומים אשר מותקנים בנתב ה-Wi-Fi הביתי. אלוט פיתחה קוד חסכוני ביותר הכתוב בשפת C, אשר מאפשר להגן על התקשורת העוברת דרך הנתב. יאיר: "פיתחנו תוכנה מאוד רזה אשר מותקנת בנתב ומנתחת את התנועה העוברת בו. התוכנה כוללת בסיס נתונים של כתובות אינטרנט שהוגדרו כמסוכנות".

20 מכשירים מקושרים בכל בית

"ברגע שאחד מהמכשירים מנסה להגיע אל כתובת כזאת, הנתב עוצר את התנועה". מאחורי הנתב נמצאת מערכת אחורית הפועלת בשרתי הענן של ספק התקשורת. היא מתעדכנת ברציפות על מפת האיומים, ומייצרת פרופיל שימוש בנתבים. המפעיל משתמש במערכת כדי לעדכן את בסיסי הנתונים בנתבים השונים, כדי להבין את התנועה ברשת שלו וכדי להפעיל תוכנת בינה מלאכותית העוקבת אחר הפרופילים ומזהה מצבים שבהם יש להתריע בפני הלקוחות על פעילות חשודה ברשת הפנימית שלהם.

לדבריו, עם השקת המערכת, זיהתה ספקית תקשורת גדולה שהאופן שבו מגינים על בתים הכוללים מספר מכשירים מקושרים, דומה מאוד למתכונת ההגנה על הרשת של עסקים קטנים קטנים ובינוניים. "במדינות המפותחות יש כיום כ-20 מכשירים בממוצע המקושרים אל האינטרנט, ולרוב הם חסרים אפילו אבטחה בסיסית. בעקבות הבקשה של המפעיל בנינו את היישום העסקי החדש. הוא מאפשר לאכוף מדיניות אבטחה על כל המשאבים בעסק, ולקבל מהמפעיל שירותי אבטחה בתשלום".

הטלפון הזול שהפך לנתב תקשורת יקר

חברת אלוט פועלת מול חברות התקשורת המספקות שירות ללקוחות הקצה. החברה מהוד השרון מעסיקה כיום כ-700 עובדים, מהם כ-40 בתל אביב, ומתמקדת במתן פתרונות אבטחה לספקיות תקשורת, אשר חלק גדול מהם מבוסס על טכנולוגיית הליבה המקורית של החברה לניתוח עומק של חבילות תקשורת (Deep Packet Inspection). הלקוחות שלה משתמשים בטכנולוגיה הזאת כדי לספק שירותי אבטחה ללקוחות הקצה שלהן. אולם לכושר הניתוח הזה יש משמעויות עסקיות החורגות מתחום האבטחה.

לדברי סמנכ"ל מוצרים בחברה, מרק שטיימן, הדבר התבטא לאחרונה בצורה מאוד ציורית: "חברת Rakuten Mobile השיקה באפריל השנה רשת 4G ביפן וכעת היא נמצאת בתהליך הקמת התשתית עבור 5G. אנחנו מספקים להם שירותי DPI ואנליטיקס כדי לבדוק את הרשת. במסגרת השקת הרשת, רקוטן השיקה מכשיר טלפון זול מאוד, במחיר של 50 דולר בלבד, אבל היא הצמידה אליו חבילת גלישה בלתי מוגבלת (Unlimited). לאחר ההשקה המערכת שלנו גילתה תופעה בלתי צפויה: אנשים רכשו את הטלפון הזול והשתמשו בו כנתב ביתי המעניק להם שירותי אינטרנט מלאים בכמעט חינם".

כיצד הדור החמישי משפיע על המוצרים שלכם?

שטיימן: "המעבר לדור החמישי יגדיל בשיעור גדול מאוד את הפריסה של המוצרים שלנו, מכיוון שרשתות הדור החמישי יתבססו על אלפי אתרים זעירים שיש להגן עליהם ועל העיבוד שיתבצע בהם בקצות הרשת. לשם המחשה, כיום מעריכים בתעשייה שרשתות הדור החמישי יידרשו לתמוך במיליוני אבזרי IoT לכל קמ"ר".

טאואר מתאוששת ממתקפת הסייבר. תשפיע על תוצאות הרבעון

חברת טאואר סמיקונדקטור ממגדל העמק (Tower Semiconductor) מתחילה להתאושש בהדרגה מתקיפת הסייבר שהשביתה לפני כשבוע את מתקני הייצור שלה. היום (ה') החברה דיווחה שכל אתרי הייצור של החברה שבו לפעילות ברמות שונות. החברה אמרה היא "פועלת במטרה לחזור ליכולת ייצור מלאה בתוך מספר ימים". החברה פירסמה הודעה שלפיה "בזכות יישום מיידי של נהלים, טאואר אינה צופה נזקים לחומרי העבודה הנמצאים בתהליך הייצור.

"כל נתוני החברה והלקוחות נותרו מוגנים. נוכח העצירה בתהליך הייצור, החברה צופה השפעה מסוימת על תוצאות הרבעון השלישי". בתחילת השבוע טאואר מסרה שמערכות אבטחת המידע שלה זיהו חדירה למערכות מסוימות, וכצעד מניעתי היא השביתה חלק מהשרתים ועצרה באופן יזום את פעילות הייצור. במקביל, היא יידעה את רשויות החוק ופועלת עם מומחי סייבר לפתרון הבעיה כדי להפעיל מחדש את המערכות המושבתות. בטאואר התקשו להעריך את היקף הנזק שנגרם לחברה בעקבות התקרית.

חברת מפעילה 6 מתקני ייצור שבבים הממוקמים בישראל, בארצות הברית וביפן. שני המפעלים בישראל מתמחים בייצור רכיבים דיסקרטיים ואנלוגיים כמו רכיבי MEMS, הספק, RF, חיישני CMOS ועוד, בגיאומטריות של 0.13µm-1.0µm. אחד המפעלים מייצר בפרוסות של 150 מילימטר, והשני בפרוסות של 200 מילימטר. שני מתקני הייצור בארה"ב מייצרים שבבים בפרוסות סיליקון של 200 מ"מ, וביפן יש לחברה מתקן ייצור אחד של 300 מ"מ ושני מתקני ייצור של 200 מ"מ.

התנודה במניות טאואר בנסד"ק לא מאפשרת לזהות האם המשקיעים הושפעו מהדיווח על תקיפת הסייבר. חברת טאואר נסחרת בנסד"ק לפי שווי שוק של כ-1.96 מיליארד דולר. במחצית הראשונה של 2020 הסתכמו מכירותיה בכ-610 מיליון דולר, בהשוואה למכירות של כ-616 מיליון דולר במחצית הראשונה של 2019. תחזית המכירות לרבעון השלישי היתה כ-320 מיליון דולר.

חולשות אבטחה מסכנות מאות-אלפי בקרים תעשייתיים בארץ ובעולם

בתמונה למעלה: אמיר פרמינגר, סמנכ"ל המחקר של קלארוטי. צילום:קרן מזור

מחלקת המחקר של חברת קלארוטי (Claroty) הישראלית חשפה חולשות אבטחה קריטיות באחת מהתוכנות הנפוצות בעולם המותקנת במערכות בקרה תעשייתיות (Industrial Control Systems- ICS). מדובר בתוכנת CodeMeter של חברת Wibu-Systems AG. התוכנה נועדה להגן על יצרני תוכנה מפני הונאה, הפצה פיראטית וביצוע מניפולציה בקוד קנייני. בין השאר, היא מבצעת הצפנה של התוכנות בבקר התעשייתי, כדי להגן עליו מפני התעסקות לא מורשית, הנדסה לאחור, פיראטיות ועוד.

התוכנה נמצאת במכונות ייצור ובמערכות בקרה קריטיות, שבהן היא מותקנת כרכיב צד שלישי בתוך התוכנה של היצרן המקורי. החוקרים שרון בריזינוב וטל קרן מצוות המחקר של קלארוטי, גילו את החולשות והעריכו שעשרות חברות ישראליות נחשפו לחולשות אבטחה האלה, מאחר והן עושות שימוש במערכות ICS שבהן מותקן CodeMeter. החולשות שהתגלו מאפשרות לעקוף את החתימות הדיגיטליות המגינות על המוצר ולשנות רישיונות קיימים או לזייף רישיונות תקפים.

איטיות מחרידה

רישיונות מזויפים אלה יכולים לשמש לביצוע תקיפות נוספות: משתילים אותם באתר הנמצא בשליטת התוקף ומפתים קורבנות להיכנס אליו באמצעות הנדסה חברתית. על-ידי כך "מזהמים" את המחשב שלהם, והוא מעביר את הזיהום הלאה, אל מתקן הייצור או הבקרה שמולו הוא עובד. כדי לסייע ללקוחות לדעת האם הם חשופים לפגיעות, קלארוטי העלתה לרשת כלי מקוון המספק חיווי מיידי אם ה-CodeMeter ברשות המשתמשים אכן פגיע. לביצוע הבדיקה הקליקו כאן: CodeMeter Vulnerability Tester.

כמקובל בתחום האבטחת הסייבר, הממצאים הועברו מיד לחברת Wibu-Systems, אולם שלא כמקובל בתעשייה, התגובה של יצרנית התוכנה היתה איטית להחריד: היא קיבלה את המידע בחודש פברואר 2019, ורק באוגוסט 2020 היא שחררה גרסת תוכנה (CodeMeter v7.10) הכוללת את כל התיקונים הנחוצים. גם בחברת קלארוטי הרימו גבות בתדהמה לנוכח האיטיות הזאת.

צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter
צילום מסך של חוקרי קלארוטי, המראה ניצול של אחת מהחולשות שהתגלו בתוכנת CodeMeter

בראיון ל-Techtime הסביר סמנכ"ל המחקר של קלארוטי, אמיר פרמינגר, שרמת האבטחה של בקרים תעשייתיים היא ירודה ביותר, עד-כדי לא קיימת במקרים רבים. פרמינגר: "המצב בתעשייה רע מאוד. אנחנו מבצעים מחקרים רבים לאיתור חולשות, אבל במקרים רבים מתאר התקיפה כלל לא זקוק לזיהוי של חולשה, מכיוון שהבקרים פשוט לא מאובטחים". הבעיה, הוא מסביר, נובעת משתי סיבות מרכזיות: ההיסטוריה של תחום הבקרים התעשייתיים והמודעות הנמוכה של המשתמשים בתעשיית הייצור והבקרה.

הבקרים לא תוכננו לאינטרנט, אבל התחברו אליה

"הבקרים המיתכנתים התפתחו כמערכות פשוטות שהיו מקושרות אל המכונות או אל מרכזי פיקוד מקומיים בערוצים ייעודיים, כמו למשל ערוץ התקשורת הטורית RS-232 או בערוצים קנייניים של היצרנים. מכיוון שאלה מערכות סגורות שאינן מתחברות לרשת, ומכיוון שחלק גדול מהן מבוסס על מיקרו-בקרים פשוטים, לא הותקנו בהן אמצעי הגנה בסיסיים ביותר כמו למשל דרישת ססמא או הצפנת מידע. בשנים האחרונות התעשייה מאמצת את פרוטוקול האינטרנט (IP) כערוץ התקשורת המרכזי לכל היישומים, וכאן נוצרה בעיה חדשה: מערכות שאין להן תשתיות הגנה הולמות המקושרות אל תשתית האינטרנט".

לכך יש להוסיף מרכיבים נוספים: בקרים רבים מופיעים כשהם כבר משולבים בתוך המערכות ולכן המשתמשים לא תמיד מודעים לקיומם, לאופן שבו יש יש לטפל בהם ולעתים אפילו לעצם העובדה שהם מקושרים. "רוב הבקרים מהדור החדש מחוברים לרשת IP, אולם או שאין בהם אפילו דרישה להתקנת ססמא או שהמפעילים לא מודעים לצורך בהתקנת ססמא. קל מאוד לחדור אליהם, להפעיל את תוכנת הבקרה הנדסית ולהשיג שליטה בבקר המותקף".

כיצד אתם מספקים פתרון לבעיה הזו?

"אחד מהפתרונות שלנו, Continuous Threat Detection למשל, מבוסס על כך שאנחנו מקבלים מהלקוח את כל הנתונים העוברים במתג שלו. אנחנו מנתחים אותם ומזהים את כל הפרוטוקולים של ספקי הציוד השונים. המערכת מבצעת מיפוי מלא של כל רשתות הבקרה, כולל זיהוי הרכיבים ואיזה גרסאות תוכנה מותקנות בהן. בשלב הבא אנחנו משווים את הממצאים אל בסיס הנתונים שלנו ומזהים מה הן החולשות של כל אחד מהרכיבים וממליצים על אמצעי ההגנה הדרוש.

"לאחר מכן אנחנו מבצעים מעקב אחר התנועה ברשת של הלקוח, מנתחים אותה ומזהים פעילות לא שגרתית או לא צפויה של הבקר (Anomaly Detection), אשר מלמדת על פגיעה בו". חברת קלארוטי הוקמה בשנת 2015 באמצעות קבוצת Team8 שהוקמה על-ידי יוצאי 8200. עד היום היא גייסה כ-100 מיליון דולר ומעסיקה כיום כ-180 עובדים בעולם, יותר ממחציתם במרכז הפיתוח בתל אביב. בין המשקיעים האסטרטגיים בחברה, יצרני מכונות ומערכות בקרה תעשייתיות דוגמת סימנס, שניידר אלקטריק ורוקוול.