מרגל בכל כיס

הדגמה של הודעה על תקיפה שמציגה מערכת אבטחת המובייל של Zimperium על מכשיר אנדרואיד

יום אחד הגיע מנכ"ל הסטארטאפ Skycure עדי שהרבני לחברה מוכרת כדי להדגים למקבלי ההחלטות מדוע כדאי להם לשים לב לאבטחת מידע בטלפונים הסלולריים. תוך כמה רגעים, מספר שהרבני, הציג המקרן שבחדר את הודאות הדואר האלקטרוני של מנכ"ל החברה. המנכ"ל המופתע נפל מהכיסא. מילולית.

לכל אחד מאתנו יש כזה בכיס. אנחנו קוראים בו את המיילים שלנו, מפטפטים בפייסבוק, מצייצים בטוויטר ובודקים את מצב חשבון הבנק שלנו. אנחנו גם משוחחים דרכו מדי פעם. כל כך הרבה מידע רגיש עובר דרך המכשיר הקטן הזה שמלווה אותנו לכל מקום. גם כשאנחנו לא מתכוונים להעביר דרכו מידע רגיש, מיקרופון ושתי מצלמות נמצאים בהיכון, רק מחכים לפקודה.

במעבדות של קספרסקי מספרים על 35 אלף אפליקציות זדוניות לאנדרואיד שאותרו בשנת 2012, והקצב ממשיך לעלות. "אנחנו מצפים ש-2013 תהיה מלאה בהתקפות נגד משתמשי אנדרואיד, בפגיעויות חדשות שטרם זוהו ובדליפת מידע", הם כותבים בדו"ח לסיכום 2012.

לאחרונה התפרסם ש-35 אחוז מיישומי האנדרואיד בסין אוספים מידע על המשתמש, מבלי שיהיה נחוץ לפעולתן. גם ביפן מספרים על פיצוץ של אפליקציות זדוניות. ממש לאחרונה התפרסמו ידיעות על תוכנת ריגול המפיצה את עצמה בקרב פעילים פוליטיים המתנגדים למשטר הסיני המשתמשים במכשירי אנדרואיד.

גם משתמשי האייפון צריכים להיזהר, ולא רק אלה שעשו למכשיר Jailbreak. כמה אפליקציות בודדות הצליחו לחדור לחנות האפליקציות של אפל כשהן מסתירות קוד לא לגיטימי, ואפילו להישאר שם לזמן מה. הן יכולות, למשל, לאסוף את פרטי אנשי הקשר שלכם ואת נתוני היומן שלכם. בחודש שעבר חשף שהרבני בכנס הרצליה גישה שבה יכולים תוקפים להשתלט על מכשירי אייפון (לקריאה נוספת: bit.ly/hetihack).

יצחק (צוק) אברהם, מנכ"ל הסטארטאפ הישראלי Zimperium, מסביר שלמרות הדעה הרווחת, מבחינתו מכשירי האייפון חשופים למתקפות חיצוניות, שלא דרך חנות האפליקציות, באותה מידה כמו מכשירי אנדרואיד. "המצב הנוכחי של הסמארטפונים הם כמו Windows XP לפני 10 שנים. חשבו שהוא בטוח בזמנו, אבל היום מבינים שהוא לא היה", הוא אומר.

בעיות האבטחה לא מוגבלות רק לאפליקציות זדוניות. רק לאחרונה דווח על פירצת אבטחה בשרת של אפל, שאפשרה להחליף סיסמה למישהו אחר באמצעות כתובת מייל ותאריך לידה בלבד. תוקף פוטנציאלי יכול היה לנצל זאת כדי לאתר את המיקום של הקורבן, להשיג את רשימת אנשי הקשר שלו, להיכנס לחשבונות המייל שלו, או למחוק את כל המידע מהמכשיר.

בנוסף, לא משנה כמה מערכת ההפעלה חסינה לתוכנות זדוניות, אם הרשת שדרכה אנחנו מחוברים לאינטרנט נמצאת תחת מתקפה, גם משתמשים זהירים ומודעים עלולים להיפגע, כמו במקרה הבא.

הדגמה של הקוננסולה של Zimperium שמציגה את מצב אבטחת המובייל של הארגון, ומראה על גבי מפה את כל המקומות שבהם התרחשו תקיפות נגד מכשירי הסלולר של העובדים

יהודה לוי, אתה תחת מתקפה

שלט גדול מקדם את פניהם של הנכנסים למשרדו הלב-תל אביבי של הסטארטאפ Zimperium. השלט מכריז בגאווה שההאקר האמריקני האגדי קווין מיטניק הצטרף לצוות. מיטניק, למי שלא זוכר, ריצה חמש שנות מאסר בארה"ב אחרי שהגזים קצת עם הפעלולים שלו. כשערכו אחריו מצוד סוכני ה-FBI, מיטניק מספר שהוא הצליח לחמוק מהם על ידי כך שאיתר את מיקומי מכשירי הטלפונים הסלולריים שלהם. בכל פעם שהתקרבו אליו, מיטניק דאג להתרחק, עד שבסופו של דבר הם הצליחו לשים עליו את ידיהם.

צוק אברהם, מיסד ומנכ"ל Zimperium

בחדר המנכ"ל הפונה לנוף התל אביבי יושב יצחק "צוק" אברהם, יוצא יחידת צבאית לאבטחת מידע, שחגג בחודש שעבר 25. לכבוד יום ההולדת שלו שקד אברהם על חיפוש פגיעויות בקבצי PDF, פגיעויות שמאפשרות לפרוץ למכשיר של כל מי שפותח את הקובץ. תוך פחות מ-12 שעות הוא מצא.

באמצע יום עבודה עמוס אחד ירד אברהם לבית הקפה הסמוך למשרד לפגישה עם חבר. החבר, שהמתין לו שם, היה מחובר בינתיים לרשת האלחוטית של בית הקפה. אברהם הגיע, התיישב לשולחן, שלף את המכשיר הסלולרי שלו והתחבר לרשת האלחוטית.

הסמארטפון של אברהם התריע מיד על תקיפה ברשת האלחוטית, הוא מספר. הוא הסתכל מסביב, ולפתע הבחין בשחקן יהודה לוי יושב באחד השולחנות הסמוכים. "כנראה שמישהו ניסה להוציא ממנו תמונות", משער אברהם. הוא הזהיר את כל הסובבים שהרשת נמצאת תחת תקיפה. כולם הזדרזו להתנתק מהרשת האלחוטית. לוי ארז את חפציו והסתלק.

גם אברהם וגם שהרבני מספרים שהצליחו לאתר ניסיונות תקיפה. שהרבני מספר לדוגמה על בדיקות שערך במקומות שונים. "ראיתי מספר מקרים שמישהו בפירוש עשה פתיחה וסגירה של מידע, וחתם עליו באמצעות חתימה לא מקורית", הוא מספר. המשמעות היא שהתוקף יכול היה לראות מידע מגוון מהמכשיר, כולל מידע מוצפן כגון סיסמת האימייל או פרטי חשבון הבנק.

מומחי אבטחה מעריכים שתקיפות גדולות ומשמעותיות נגד חברות כבר התרחשו ברחבי העולם. אבל חלק מהחברות אינן יודעות על כך בעצמן. אלה שיודעות, אינן מעוניינות להיחשף.

עשרת אלפים פרצות בארגון קוראות לגנב

יותר ויותר עסקים מאפשרים לעובדים שלהם להשתמש במכשירים הפרטיים שלהם לצורכי עבודה. הטרנד הזה, שזכה לכינוי Bring Your Own Device, או BYOD, צפוי רק ללכת ולגדול בשנים הקרובות. העובדים זוכים להשתמש במכשיר שהם אוהבים ורגילים אליו, ואילו המעסיקים לא נדרשים לעלויות של רכישת מכשירים נוספים. אבל אל הנוחות מתלווים אתגרים לא פשוטים.

"אם אתה מכניס עשרת אלפים מכשירים לארגון, אלה עשרת אלפים נקודות כניסה לארגון", אומר אברהם.

גם אם אף אחד לא באמת מעוניין לתקוף את הארגון שלך, עובדי הארגון עדיין עלולים להיות קורבנות למתקפה כללית שלא מכוונת ליעדים ספציפיים. ברגע שאנחנו מתחברים לרשת אלחוטית ציבורית, יכול להיות שבאותה רשת נמצא תוקף שמעביר את תעבורת הרשת שלנו דרכו, ואוסף עלינו מידע. זה יכול להיות סיסמאות רגישות של הארגון, רשימת הלקוחות שבאנשי הקשר שבמכשיר, או פרטי הכניסה לחשבון הבנק.

התוקף אפילו לא חייב להיות נוכח במקום. "תולעים" המבצעות תקיפות שכאלה יכולות להסתתר בתוך מחשבים או במכשירים סלולריים של משתמשים תמימים, ולהפיץ את עצמן ממכשיר למכשיר.

"המובייל הפך לערוץ התקיפה הפשוט ביותר", אומר אברהם. לכן, אין לו ספק שתקיפות מובייל נגד ארגונים כבר מתקיימות, וימשיכו להתרבות.

הפתרון ש-Zimperium מפתחים לארגונים מכוון לפתור בדיוק את הבעיה הזאת. הם כבר גייסו 1.3 מיליון דולר, ונמצאים כרגע בסבב גיוס נוסף, וכבר יש להם כמה לקוחות גדולים ומעניינים שלא ניתן לחשוף כרגע את שמם שמריצים כבר את גרסת הבטא של פתרון אבטחת המובייל הארגוני שלהם. אבל קודם כל, בואו נבין אילו פתרונות אבטחת מובייל קיימים היום.

מעט הגנה במעט כסף

למשתמש הפרטי יש היום מעט מאוד פתרונות אבטחה מספקים לסמארטפון שלו.

יש מגוון רחב של תוכנות אנטי וירוס, בעיקר לאנדרואיד, וגם קצת לאייפון. רובם לא עולים כסף, או עולים מעט מאוד. Lookout, Sophos ו-Kaspersky הם רק כמה מהשמות. אבל כדאי לזכור שתוכנות אנטי וירוס יודעות להגן בעיקר בפני וירוסים ידועים. כלומר, אם יש וירוס שעדיין לא אותר ואובחן במעבדות החברה, לא תהיה לתוכנה אפשרות לגלות אותו או להתמודד איתו. עוד פחות מכך תהיה להם האפשרות להתמודד עם תקיפות המכוונות באופן ספציפי לאדם מסוים או לארגון מסוים.

נוסף על כך, אם אתם מקפידים להתקין תוכנות רק מחנויות האפליקציות הרשמיות של אפל ושל גוגל, תוספת האבטחה של אנטי וירוסים כאלה תהיה, סביר להניח, מזערית. זה לא שלא יכולות לעלות לחנויות האפליקציות הרשמיות תוכנות מזיקות למיניהן, אלא שהסיכוי שחברת האנטי וירוס הספציפית שאת התוכנה שלה התקנתם על המכשיר תזהה את הווירוס לפני שגוגל ואפל יזהו אותו הוא מוגבל. ההגנה שתוסיפו לכם מוגבלת לפער הזה שבין הזמן שבו חברת האנטי וירוס גילתה את הווירוס לבין זה שאפל או גוגל הסירו את האפליקציה הזדונית מהחנות, אם בכלל יהיה כזה.

שירותי VPN למיניהם מאפשרים להבטיח גלישה מוצפנת ואמינה כשנמצאים ברשתות ציבוריות. כך אתם יכולים לוודא שתעבורת האינטרנט שלכם לא עוברת דרך גורם עוין. Hotspot Shield למשל מציע שירות שכזה עבור 3.90 ש"ח בחודש. אבל מכיוון שכל התעבורה צריכה לעבור דרך שרת ה-VPN הגלישה נעשית איטית יותר. השירותים האלה גם אינם מסוגלים להגן על המכשיר שלכם מפני אתרים המריצים קוד זדוני או בפני וירוסים, תולעים וסוסים טרויאנים.

לבסוף, קיימות כמה תוכנות Firewall לאנדרואיד המסננות השימוש באינטרנט לפי רצונכם. לא בדקתי אף אחת מהן, כי הן דורשות להעביר את המכשיר תהליך של Root, תהליך שפותח בפניהן את האפשרויות הנחוצות להן, אבל באותו הזמן הופך את הטלפון לפגיע יותר. ראיתי תוכנת Firewall אחת שלא דורשת Root, אבל נראה שהשימוש שלה מוגבל מאוד ומאפשר למשתמש בעיקר לאפשר או לחסום גישה לאינטרנט של אפליקציות שונות.

פתרונות לארגונים

מייסדי Zimperium, עדי שהרבני (מימין) ויאיר עמית

עדי שהרבני, 34, עבד בתפקידי אבטחת מידע בכירים ב-IBM, עד שפרש והקים יחד עם יאיר עמית את הסטארטאפ Skycure המפתח פתרון אבטחת מובייל לארגונים. בין חדרם של שני המייסדים מפרידים חלון זכוכית גדול, ודלת שנשארת פתוחה כדי להקל על התקשורת. בחדר הצמוד להם עובדים במרץ אנשי הפיתוח, ומדי פעם צועקים לעבר חדרי המייסדים "זה מוכן!"

לפני שעדי שהרבני מסביר לי על הפתרון הייחודי של Skycure, הוא סוקר בפני את מגוון הפתרונות הארגוניים הקיימים כיום, ואת המגבלות של כל אחד מהם. ראשית, קיימים פתרונות לניהול הטלפונים הסלולריים שבארגון, Mobile Device Management. הם מאפשרים לאיש המחשבים של הארגון לעקוב אחר המכשירים המשויכים לארגון, ולאכוף הגדרות שונות מרחוק. הוא יכול להגדיר למשל שהמשתמש יהיה מחוייב לנעול את המכשיר שלו בסיסמה, ושהטלפון יינעל אוטומטית תוך שתי דקות, וכך להגביר את רמת האבטחה.

שנית, קיימים יישומים מאובטחים למטרות ארגוניות, כמו יישום מייל מאובטח, או יישום לוח שנה מאובטח. הם אכן יכולים להיות מאובטחים יותר מיישומים אחרים, אבל אם מערכת ההפעלה עצמה נפרצה, או שהרשת שאליה אנחנו מחוברים נמצאת תחת מתקפה, הם לא יוכלו למנוע את הנזק.

כדי למנוע התקפות ברמת המערכת, נדרשים פתרונות מורכבים יותר. אחד מהם הוא וירטואליזציה. הפתרון הזה מוגבל למכשירי אנדרואיד בעיקר. המשמעות היא שמכשיר סלולרי אחר יריץ שתי מערכות הפעלה במקביל – אחת לשימוש פרטי, ואחת לשימוש הארגוני. הניתוק מהמערכת הפרטית מאפשר להגביר את רמת האבטחה של המערכת הארגונית. גם אם הותקנה אפליקציה זדונית על המערכת הפרטית, או או שחדר אליה וירוס, המערכת הארגונית אמורה עדיין להישאר מוגנת. לפני שנעבור לפתרון הרביעי, שאותו מציע שהרבני, נתעכב רגע אחד על הרעיון של וירטואליזציה. גם כאן יש לסטארטאפ ישראלי תרומה מעניינת לעולם.

שני טלפונים במכשיר אחד

וירטואליזציה מגיעה בדרך כלל באחת משתי צורות. אחת מתפשרת על נוחות השימוש לטובת אבטחה גבוהה יותר. השנייה מתפשרת על רמת האבטחה לטובת נוחות שימוש גבוהה יותר. בסטארטאפ הישראלי Cellrox מסבירים שהם הצליחו למצוא את הנוסחה המנצחת שלא תתפשר על אף אחד מההיבטים.

הסטארטאפ מתבסס על טכנולוגיה שפיתח ד"ר אורן לעדן במסגרת הדוקטורט שלו באוניברסיטת קולומביה. הוא הקים ביחד עם אומר איפרמן ורנית פינק את החברה, והיום עובדים בה עוד 15 עובדי פיתוח.

כמה חברות עובדות היום בעולם על פתרונות וירטואליזציה לאנדרואיד. חלקן בעלות אלפי עובדים וניסיון ארוך שנים בווירטואליזציה. אולי זאת אחת הסיבות שהופתעתי כל כך לראות את הפתרון החדשני של החברה הישראלית הצעירה והרזה.

"אנחנו יודעים להריץ שני טלפונים וירטואליים, או יותר, על טלפון פיזי אחד", הסבירה לי רנית פינק, מנהלת הפיתוח העסקי. "החוזק שלנו הוא שאין שום פגיעה בביצועים של הטלפון, וגם לא בזמן הסוללה". וזה בהחלט מפתיע. פתרונות וירטואליזציה שמוכרים לי עד היום צורכים משאבים משמעותיים מאוד. ייחודיות נוספת של Cellrox היא שבעזרת שיתוף פעולה עם השירות של Movius, כל אחד מהטלפונים הווירטואלים יכול לפעול על מספר טלפון אחר.

חוויית השימוש גם היא מפתיעה בנוחיותה: מחליקים את האצבע מלמטה למעלה, והטלפון עובר מיד, ללא זמן טעינה, למצב עבודה. החלקה נוספת, והטלפון חוזר למצב פרטי. בסביבה הפרטית אנחנו יכולים להתקין כל אפליקציה שנרצה. הסביבה הארגונית נשלטת על ידי איש ה-IT של החברה.

פינק עצמה מריצה על המכשיר שלה שלוש פרסונות שונות. אחת פרטית, אחת בשביל העבודה, ועוד אחת בשביל הילדים, כדי שיוכלו להתקין משחקים שונים מבלי שתצטרך לחשוש.

Cellrox כבר גייסה יותר מ-6.2 מיליון דולר, וכבר מריצה פיילוט עם כמה לקוחות.

שומר ראש אישי במכשיר שלכם

לפתרונות הווירטואליזציה יש שני חסרונות עיקריים. אחד הוא הצורך לתחזק שתי סביבות נפרדות, ולעבור בכל פעם מאחת לשנייה. השני הוא שהם עדיין לא מספקים פתרון למקרה שבו יש מתקפה על הרשת עצמה, או מתקפה מכוונת שיכולה לפגוע גם בסביבת העבודה המוגנת.

לכן שהרבני מאמין שהפתרון הטוב ביותר הוא הפתרון מהסוג שהוא וחבריו מפתחים ב-Skycure: מעין Firewall מתוחכם שנמצא בתוך הסמארטפון, ושומר עליו מהמגוון הרחב של האיומים.

הדגמה של תקיפת אייפון באמצעות פרופיל זדוני המאפשר לתוקף להשתלט על המכשיר, כפי ששהרבני חשף בכנס הרצליה

הפתרון שמפתחים ב-Skycure פועל בשקט ברקע במכשיר, מבלי להפריע, והוא כמעט ולא גוזל משאבים וסוללה. משם הוא משגיח על כל העברות המידע ברשת. אם הוא מזהה תקיפה על הרשת או קוד זדוני שמנסה לפעול, גם אם מדובר בתקיפה שאינה מוכרת עדיין לתוכנות אנטי וירוס, הוא מונע אותה ומציג התרעה. באותו זמן הוא מעביר דיווח לאיש ה-IT של החברה.

המערכת יודעת גם להבחין כשישומים שולחים החוצה מידע פרטי על המשתמש. פעילות שכזאת יכולה להיות לגיטימית, כמו למשל ביישום WhatsApp לשליחת מסרונים בחינם, שצריך לדעת מי מאנשי הקשר שבטלפון שלנו מנויים לשירות. אבל היא גם יכולה להיות לא לגיטימית, כמו למשל במקרה המפורסם של האפליקציה Find and Call שאספה את נתוני אנשי הקשר של המשתמש כדי לשלוח להם הודעות ספאם. המערכת של Skycure נותנת לנו שליטה בנושא הזה.

שהרבני מסביר שאחד ההיבטים הייחודיים בפתרון של Skycure, שעליו הם גם רשמו פטנט, הוא היכולת של המערכת שלהם לשבת בתור הרחבה של מערכת ההפעלה, אפילו במכשירים שלא עברו Jailbreak. באופן זה המערכת גם יכולה לוודא שכל פעילות נמצאת תחת בקרה, ושלא ניתן יהיה לסגור את המערכת. כשיש צורך לבצע ניתוחים מורכבים יותר, המערכת יודעת לשלוח את העבודה לשרת של Skycure כדי לחסוך במשאבים ובבטריה.

Skycure כבר גייסה 3 מיליון דולר, ומריצה פיילוטים בכמה חברות.

מנוע שמבדיל בין טוב לרע

פתרון מרתק נוסף לאבטחת מובייל הוא הפתרון של Zimperium. הוא כבר נמצא בפיילוט במספר חברות.

"בנינו מנוע שיודע להפריד בין רע לטוב", מסביר אנטוני גווידה, מנהל הפיתוח העסקי. "באמצעות המחקר שלנו והמידע שאספנו, אנחנו מבינים איך נראית התנהגות רעה, ואיך נראית התנהגות טובה".

צוק אברהם, המנכ"ל, מסביר שמדובר במערכת שלמה ומקיפה למניעת תקיפות מכל סוג. מכיוון שהיא מבוססת על זיהוי התנהגויות, היא לא מסתפקת בטיפול בווירוסים ובבעיות שכבר התגלו. המערכת יודעת למשל לזהות שקובץ שקיבלתם במייל מכיל למעשה קוד זדוני, ולמנוע את ההפעלה שלו. היא גם יודעת לזהות אם הרשת האלחוטית שהתחברתם אליה נמצאת תחת מתקפה, או אם האפליקציה שהתקנתם מבצעת פעילות שהיא לא אמורה לבצע.

באותו זמן, איש ה-IT של החברה יכול לגשת מהמחשב שלו לקונסולה שמאפשרת לו לראות את כל תקיפות המובייל שהתבצעו על עובדי החברה, באיזה מקום התבצעה כל תקיפה, ואיזה סוג של תקיפה התבצע.

המערכת יודעת להבחין אם יש עובד מסוים בארגון שאליו מכוונים התוקפים. לדוגמה, אם המערכת מבחינה בסוגים שונים של תקיפות על אותו עובד, למשל, היא מתריעה על כך, ומאפשרת לאיש ה-IT לחזק את רמת ההגנה על העובד שהפך ליעד.

שלושת הפתרונות שהצגתי כאן מיועדים למשתמשים ארגוניים בשלב הזה, ונמצאים עדיין בפיתוח. אם מעניין אתכם לנסות את הפתרונות האלה בארגון שלכם, אתם יכולים לנסות את מזלכם ולהציע להצטרף לפיילוט