Sans-serif

Aa

Serif

Aa

Font size

+ -

Line height

+ -
Light
Dark
Sepia

מפעימות הלב ועד לסודות צבאיים: הנזק האמיתי של מתקפת הכופר על גרמין

ההתקפה על ענקית מערכות הניווט, שנראה כי הסתיימה בתשלום כופר של 10 מיליון דולר, מעלה שאלות חמורות - לא רק ברמת הגנת הפרטיות, אלא גם בנושאי ביטחון לאומי
איתי מאור

רוב ההאקרים המודרניים מנסים להישאר מתחת לרדאר. הם משתמשים בכלים ובטכניקות שונות כדי לחדור לרשת אותה הם תוקפים, זאת מבלי להפעיל נורות אזהרה כלשהן, ממפים את התשתיות וגונבים נתונים בשקט ובסודיות.

אך זהו לא המקרה כשמדובר בתוכנות כופר. לאחר הפעלתן, תוכנות הכופר נראות לעין ומפריעות מאוד. הן דורשות סכומי כסף גדולים עבור שחרור הנתונים, ובמקרים מסוימים – תשלומים נוספים כדי לא לשחרר את הנתונים הגנובים באופן פומבי. הקורבן האחרון של מתקפה כזו היא ענקית התקני ה-GPS – חברת Garmin.

קבוצת EvilCorp, הידועה בהתקפותיה על מוסדות פיננסיים, הפסיקה באמצעות מתקפת תוכנת כופר את פעילות גרמין ודרשה תשלום של 10 מיליון דולר. המשתמשים במוצרי גרמין הבחינו מיד בבעיות כשניסו לחבר ולסנכרן את המכשירים שלהם עם שרתי החברה. אך צמידי ושעוני הספורט הם לא היחידים שהתקשו בסנכרון הנתונים. טייסים לא יכלו להוריד מפות ליישום FlyGarmin שלהם, יישום עליו מתבססות מערכות ניווט; אפליקציית הטייס של גרמין, המשמשת לתזמון ותכנון טיסות חוותה קשיים; כמו גם שעוני גרמין ששימשו את טייסי הקרב בחיל האוויר.

נתונים רגישים

ישנן סוגיות פרטיות רבות בכל הנוגע לצמידי כושר. בזמן שמדובר בפתרון נהדר בדמות יומן מפורט של הפעילות הספורטיבית שלנו וצפייה בהתקדמות שלנו לאורך זמן – מה שאנחנו צריכים לשאול הוא היכן מאוחסנים הנתונים האלה ומי יכול לגשת אליהם. רגישותם של נתונים אלה הודגמה כבר לפני מספר שנים כאשר חוקר השתמש בנתוני אפליקציית הכושר Strava כדי להראות היכן אנשי הצבא מבצעים את האימון היומיומי שלהם.

שעון גרמין. צילום: shutterstock
שעון גרמין. צילום: shutterstock

שילוב הנתונים הללו עם גוגל אפשר לזהות בסיסים צבאיים סודיים. הבעיה, למרבה הצער, לא מסתיימת בנתוני המיקום. צמידי ושעוני הכושר של היום מאפשרים למשתמשים להזין נתונים רפואיים נוספים באופן ידני או להשתלב עם שירותים ויישומים אחרים ולשתף את הנתונים על פני מספר שירותים. זה מעלה בעיות פרטיות ותאימות מרובות בנוסף לדליפת מידע אישי.

תשלום כפול

בחודשים האחרונים רואים חוקרי IntSights עלייה בהתקפות כופר של “תשלום כפול”. התקפות כאלה דורשות גם תשלום עבור שחרור ההצפנה, וגם עבור התחייבות של הפורצים שלא לחלוק את הנתונים הגנובים עם שאר העולם. במקרה של גרמין, EvilCorp ביקשה (לפחות עד כה) כסף רק עבור שחרור הקבצים הנעולים.

רגישותם של נתונים אלה הודגמה כבר לפני מספר שנים כאשר חוקר השתמש בנתוני אפליקציית הכושר Strava כדי להראות היכן אנשי הצבא מבצעים את האימון היומיומי שלהם


ההתקפה על גרמין, שעל פי העדכונים האחרונים נפתרה (השמועות הן שהכופר אכן שולם) מעלה שאלות חמורות, לא רק ברמת הפרטיות האישית, אלא גם של ביטחון לאומי ומוכנות מבצעית. לרוע המזל, זו לא תהיה ההתקפה רחבת ההיקף האחרונה של תוכנות הכופר.

פרנק אבגנייל (שעל סיפורו מבוסס הסרט של שפילברג “תפוס אותי אם תוכל”) אמר באחת מהשיחות שלו: “כל הפרה מתרחשת מכיוון שמישהו בארגון עשה משהו שלא היה צריך לעשות, או לא עשה משהו שהיה צריך לעשות” – אנשים שנופלים קורבן להתקפות דיוג ועד מערכות שלא טופלו או לא מאובטחות כראוי. שום טכנולוגיה לא יכולה לגרום לארגונים להיות חסינים מפני שגיאות אנושיות, וככל שיותר התקנים מחוברים, ארגונים וממשלות צריכים לבצע צלילה עמוקה יותר לניהול סיכונים, וליצור מודיעין לאיומי סייבר ומוכנות לתקיפה אפשרית.

איתי מאור הוא מומחה אבטחה בחברת הסייבר IntSights

צילום התמונה הראשית: shutterstock