מה עומד מאחורי לוחמת הסייבר של סין

גבי סיבוני וי"ר

"במלחמה הדרך היא להימנע ממה שחזק ולתקוף את מה שחלש"
(סון טסו, אמנות המלחמה)

מבוא

סין מפתחת זה כמה שנים יכולות מבצעיות בתחום לוחמת הסייבר. למרות ההכחשות של הממשל הסיני מקובלת בקרב החוקרים התפיסה
שסין עומדת מאחורי שורה של מתקפות סייבר על ארצות־הברית, יפן, צרפת, אוסטרליה ומדינות נוספות במערב. ההגדרה של תקיפת סייבר
היא: חדירה שלא ברשות למערכות המחשוב והתקשורת של יחידים ושל ארגונים לשם ריגול וגנבת מידע, זאת כדי לשבש את תפקודן או לפגוע
בהן, וכן לשם פגיעה במערכות נוספות המבוססות עליהן — לעתים אף עד כדי גרימת נזק פיזי.

הפעילות של סין בלוחמת הסייבר מנוהלת באינטנסיביות ובאגרסיביות. נראה כי סין מתמקדת באיסוף נרחב של מידע מודיעיני ומסחרי במגוון
תחומים — החל בחברות בעלות ידע טכנולוגי ייחודי וכלה בארגונים בעלי מידע פיננסי וכלכלי, כמו תקיפת המחשבים של קרן המטבע הבין־
לאומית בסוף 2011. ואולם, העובדה שהותקפו גם חברות וארגונים המספקים שירותים חיוניים ותשתיות תקשורת מעידה כי ייתכן שקיימים
מניעים נוספים. לנוכח זאת, מתעוררות השאלות: מה עומד מאחורי המתקפות והאם ניתן לזהות את המתווה האסטרטגי שעל־פיו פועלת סין
במערב בכלל, ובארצות־הברית בפרט. לשם כך יש לבחון את האסטרטגיה שגיבשה סין בתחום לוחמת הסייבר, את הגופים העוסקים בכך בסין
בשנים האחרונות ואת המשאבים המושקעים למימוש היעדים שסין מבקשת להשיג באמצעות הלוחמה הזאת. מקובלת ההנחה שלפני שנת 2009
הופנו רוב התקיפות שיוחסו לסין נגד רשתות של גורמי צבא וממשל, כמו מבצע Titan Rain שהופעל נגד ארגונים ממשלתיים בארצות־הברית,
ומבצע GhostNet נגד מטרות דיפלומטיות באו"ם. לעומת זאת, בשנים האחרונות התקיפות המיוחסות לסין נערכו נגד מטרות אזרחיות, בהן
תשתיות לאומיות בעלות חשיבות קריטית, חברות המהוות חוליות בשרשרת הנגישוּת לאותן המטרות וחברות שתקיפתן משרתת צורך כלכלי־
מסחרי.

בשנים האחרונות נערכו תקיפות על תשתיות שהיו בבחינת קפיצת־מדרגה. הראשונה הייתה סדרת התקיפות Shady RAT שהחלו באמצע
2006 ונמשכו עד פברואר 2011. סדרת התקיפות השנייה הייתה מבצע Aurora שהיה מתוחכם במיוחד ובו הותקפה בין היתר חברת Google
המהווה תשתית חיונית ברמה העולמית. התקיפות האלה נערכו מאמצע 2009 ועד דצמבר אותה השנה. סדרת התקיפות השלישית — שלה
היו הדים רבים בתקשורת — הייתה על חברת RSA, חברה העוסקת באבטחת מידע ושרתי אינטרנט והמספקת בין היתר שירותי SecureID
והרשאות כניסה חד־פעמיות (One Time Password - OTP). השערת המחקר במאמר הזה היא שניתוח המידע הגלוי שהתפרסם בנוגע
לתקיפות האחרונות מאפשר לאשש את ההנחה שסין עומדת מאחורי התקיפות האלה, ואף לזהות התאמה בין האסטרטגיה של סין בתחום
לוחמת הסייבר לבין בחירת יעדי המתקפה.

הניתוח כלל בחינה של מאפייני החברות שהותקפו כדי לזהות מניעים אפשריים לתקיפה, לדוגמה: תקיפה של חברות וארגונים ספקי טכנולוגיה
מאפשרת נגישוּת לטכנולוגיה עילית, לטכנולוגיה צבאית וכדומה. ניתן להניח שהמניעים לתקיפות כאלה הם גנבה של יכולות וריגול תעשייתי של
מדינות או של חברות מתחרות. תקיפה של חברות וארגונים מן המגזר הפיננסי, המגזר הכלכלי ואף המגזר הפוליטי מאפשרת נגישוּת למודיעין
בעל ערך בתחומים האלה. לעומת זאת, הערך המודיעיני לשימוש מידי של תקיפת חברות המספקות תשתיות חיוניות ושירותי תקשורת נמוך
בדרך־כלל באופן יחסי. השגת נגישוּת, ולוּ לחלק מספקי שירותי התקשורת והאינטרנט במערב ובארצות־הברית, עלולה להקנות לתוקף יכולת
לפגוע בשירותים האלה.

...

ד"ר גבי סיבוני הוא ראש תכנית צבא ואסטרטגיה וראש תכנית לוחמת סייבר הנתמכת על ידי קרן ניובאוואר במכון למחקרי
ביטחון לאומי.
י"ר הוא עובד בכיר במשרד ראש הממשלה.




פורסם בגיליון ספטמבר 2012 של הז'ורנל צבא ואסטרטגיה של INSS. ראיתי לפני מספר שבועות, ואם כבר מדבר על סין, זה משעשע למדי לקריאה...
המאמר המלא בקישור: http://www.inss.org.il/upload/(FILE)1349279652.pdf

ציטוט:

במקור נכתב על ידי פסטן ואם כבר מדבר על סין, זה משעשע למדי לקריאה...

יפה אמרת...

קיוויתי שתחבב את זה.

מצד שני, אם י"ר אומר - מי אנחנו שנתווכח?
יש להם את ה-NYT וחדשות CBS כמקורות. אז מה שסין מכחישה? הרי כל מה שאומרים בחדשות זה נכון...
(אני מחכה למאמר שלהם בנוגע לכרישים הקיברנטיים המהונדסים-גנטית של המוסד...)

וזה אפילו לא הדבר הכי גרוע במאמר הזה...

לא כל הקוראים יודעי ח''ן בנושא סין וסייבר. הבנתי כי המאמר לוקה במובנים אחדים, ואשמח אם תאירו ותעירו.

הבעיה המתודולוגית העיקרת לדעתי היא שמתבססים על אגדות.
זה שפורסם ב-NYT שהסינים פרצו לגוגל או לדלאי לאמה או ללא-משנה-מי לא מוכיח כלום.
גם זה ש"יש תמימות דעים בין החוקרים" שסין אחראית, למרות הכחשותיה רחוק מלהרשים.
חשוב להדגיש את הנקודות הבאות:

• קל מאוד לקנות מחשב בסין (או לפרוץ למחשב בסין) ולעבוד ממנו.
• זה שנראה שסין היא זאת שתרוויח מהתקיפה לא אומר כלום, בגלל הקלות להתחזות, וכו'

אם אתה לא סומך עלי, אומר את זה גם מרטין ליביקי מ-RAND בספר Cyberdeterrence and Cyberwar, שהוא חוקר סייבר אגדי, או משהו כזה.
(אגב, פורסם גם מאמר שלו בגיליון קודם של 'צבא ואסטרטגיה'). ראה עמוד 44 כאן: www.rand.org/pubs/monographs/2009/RAND_MG877.pdf

• עד היום אין ולו מקרה אחד שבו התגלה בוודאות המקור לתקיפה כזו שעומד בשני תנאים בסיסיים: (1) ידוע פומבית; (2) מבוסס על טיעון טכני.

כאמור, טיעוני "סין מרוויחה מהפריצה לדלאי לאמה ולכן בטח סין עשתה זאת", "ישראל ואמריקה מרוויחות מהרס הצנטריפוגות ולכן הן עשו זאת" אינם
מקובלים. לכן הביסוס הדרוש הוא טכני. ביסוס כזה לא הוצג, אף שהבינארים כבר זמינים פומבית (הבאתי קישורים באשכולות הקודמים), ובעיקרון כל
אדם יכול לחקור את הדברים לבד. קספרסקי, לדוגמה, מודים שאינם יכולים לקבוע מי עומד מאחורי התקיפות האחרונות במזרח התיכון. הדמות
הבולטית שחושבת שהיא יכולה לקבוע זאת היא לאנגנר, שלא הציג טיעון מבוסס מבחינה טכנית, וחלק מהטענות מביכות ביותר ("מצאנו מספר שאם
מפרשים אותו כתאריך, אז בין מיליון הדברים שקרו באותו תאריך,היה גם יהודי איראני שהוצא להורג באותו תאריך! האא!!111").

אולי מישהו באמת ביצע מחקר טכני מעמיק וגילה מי עומד מאחורי התקיפות, אבל אין ידע כזה בפומבי. תאורטית, אפשר להתחיל לפרוץ לשרתי ה-C&C
אחד-אחד, ומהם לנסות להגיע למחשבים של המתפעלים. בפועל, זה לא קרה.


מעבר לכך, במאמר יש מספר טעויות מביכות מאוד, שפוגעות מאוד באמינות שלו באופן כללי.
לדוגמה, כותבי המאמר המציאו את המונח "ZeroDate" (עמ' 50 על הנייר), ומוסבר ש:

חולשות הן פרצות אבטחה בתוכנה המאפשרות להחדיר דרכן את הקוד המפגע. לעתים החולשה היא חולשה מקורית שזוהתה
בתהליך איתור חולשות על־ידי המפגע (כך נעשה כנראה במבצע Aurora), ולעתים החולשה ידועה ומפורסמת (ZeroDate)
כשהתוקף מסתמך על האפשרות שבמחשבי היעד עדיין לא הותקן טלאי תיקון לחולשה הזאת.

ובסוף הפסק יש הפניה להערה 35 בה חוזרים על השטות הזו:

חולשות ZeroDate הן פרצות אבטחה בתוכנות המזוהות ומפורסמות ברבים. עם הפרסום ניתן בדרך־כלל מענה על־ידי המפתח
טלאי תיקון המופץ ברבים. בדרך־כלל עובר זמן בין הפצת טלאי התיקון עד להתקנתו במחשבי המשתמשים. חלון ההזדמנויות
לתוקף הנו הזמן שבין פרסום החולשה לבין הזמן שבו מותקן טלאי התיקון במחשב היעד. בזמן הזה יכול התקף להחדיר קוד מפגע
דרך אותה פרצה.

אלא שכל זה בעצם טעות על-גבי טעות על-גבי טעות.
ראשית, אין בכלל דבר כזה "ZeroDate". המושג הוא Zero Day Vulnerability. רק מי ששמע את הביטוי בטלפון ומשתמש בו כדי להישמע מאאגניב,
ולא ראה אותו כתוב מעולם, יכול להתבלבל כך.
שנית, חולשת zero-day איננה "חולשה ידועה ומפורסמת". להפך, זו חולשה שאינה מוכרת בפומבי. הפוך ממה שהם כתבו.
שלישית, הזמן שסופרים הוא מרגע שמתפרסם תיקון ("טלאי אבטחה"), עד לרגע שבו כל המשועממים בוחנים איזו חולשה התיקון סוגר, ומפתחים
ניצולים עבורה נגד המשתמשים שלא התעדכנו. לכן חולשת "יום אפס" היא כזו שמתמשים בה לא יום או יומיים או שלושה אחרי פרסום הטלאי, אלא
ביום האפס לפרסום הטלאי (או מינוס שבוע, או מינוס כלשהו בעצם, אבל זה לא נשמע טוב כל כך).

כל הטעויות המביכות האלה היו נמנעות על ידי מבט קליל אפילו בויקיפדיה: http://en.wikipedia.org/wiki/Zero-day_attack

בהקבלה לתחום עיסוקך, כל השטויות האלה משולות לאמירה בסגנון "אי אפשר לשגר לויינים עם דלק מוצק כי הוא לא יכול להכניס את הטיל למסלול
בליסטי ובכלל מהירות ההימלטות יותר גבוהה מהמאסה הסגולית של הדלק" - סתם ברבור חסר משמעות של מונחים יעני-מקצועיים.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.

תודה על ההסבר מאיר העיניים!

אכן תשובה נהדרת. אוסיף רק שאופן תיאור מבנה "הכוח הלוחם (הסייברי)" הסיני מטעה, לוקח דברים שאינם ברורים כלל ומציג אותם כברורים, ואף מזניח חלקים במערכת הביטחון הסינית שקשה לקטלג אותם כראוי. למשל, כל תפיסתו את מושג המיליציה הסיני קלוקל, ולזרוק מספר כמו 130000 ורק בהערת השוליים להוסיף משהו בסגנון "או לא" זה בעייתי. אפשר להכנס הלאה לרזולוציה של השימוש שלו במקורות לנושא זה, אבל נראה לי שהרעיון ברור ופסטן כבר נתן את הפרטים.

תודה לך.

כמו שאמרת, זו הייתה רק דוגמה לבעייתיות. ויתרתי על התייחסות למספר 130,000, אבל אפילו אם נתעלם מההערה שאומרת "אולי לא", המספר חסר משמעות. הוא הרי מתייחס לכל הגוף שעוסק במודיעין תקשורת. במונחים ישראלים: אלחוטנים, קב"רים, דסקאים, וכו'. כמה מהם בכלל קשורים לכל סיפור הסייבר הזה? אולי 50. אולי 5000. כל שהמספר הזה עושה הוא לתת חסם עליון ומגוחך למדי. נוצרת ההרגשה שהמטרה היא ציון מספר גבוה מאוד למטרות הפחדה. אם מנסים להפחיד אותנו, שלפחות יעשו זאת כמו שצריך.

אפשר גם להזכיר את ההתייחסות לגוגל כאל "תשתית חיונית ברמה העולמית" (עמ' 44), שנשמע לי קצת הגזמה בהשוואה לחשמל, מים, תקשורת, תחבורה ותעבורה, ועוד. אפילו אם נתעלם מחשמל ומים, אני מניח שאם הטלפונים (הקווים והניידים) מפסיקים לפעול, זה יפריע לרוב האנשים יותר מזה שגוגל לא עולה (מפחיד ככל שיהיה תרחיש נורא כזה!).

1. בהחלט יתכן כי ניתן להוכיח מודיענית או טכנולוגית, כי סין עומדת מאחורי התקפות הסייבר. אלא שלא כל מה שיודעים ניתן לפרסם. מאחר ומדובר במאמר המפורסם בפרסום גלוי, נוח להם לכותבי המאמר, להיתלות בפרסומים העיתונאיים בענין. נדמה כי לפחות לאחד מכותבי המאמר יש נגישות למידע מודיעיני בנושא וחזקה עליו כי הוא אינו משחית את זמנו לריק.

2. גבי סיבוני זה הוא מדליף מסמך הרפז לתקשורת. (אלא אם יש גבי סיבוני אחר)

3. כהרגלך, כתבת יפה.

1. (קצת ארוך)

א. הדגשתי שזה אפשרי לחלוטין - אין מניעה עקרונית; העניין הוא שזה מאוד לא פרקטי בלי השקעה מאוד לא-טריביאלית. המידע שכן יש נסיבתי מאוד:

• מצאו debug information בסינית בתוך חלק מהבינארים. זה משול למציאת כיתוב בעברית על מערכת ריגול שמצאו מוחבאת
  בתוך סלעים בלבנון. הסינים (או הישראלים) לא חשבו למחוק סימנים מזהים כאלה? וכמה קשה לבצע מבצע false-flag דווקא
  באמצעות הוספת כמה אותיות בשפה זרה?
• שרתי ה-C&C נמצאים במדינות מערביות, אבל מי שרכש ושילם עליהם היה אזרח סיני כלשהו. אולי זה חדש למישהו, אבל בכל
  סניף דואר בארץ אפשר לקנות במזומן (ללא הצגת שום תעודה מזהה) כרטיס ויזה חד-פעמי בינלאומי (בן 16 ספרות, מתחיל
  ב-4580), ולשלם בעזרתו באינטרנט. חיוב בכרטיס יעבוד בהזנת כל שם לחיוב וכל כתובת לחיוב. זה אומר, לדוגמה, שכל תייר
  סיני יכול לקנות כמה כרטיסים כאלה בארץ, להרים שרת של תוכנת ריגול כזאת במדינה אירופית כלשהי, ולחייב אותו עם כרטיס
  ישראלי על שם ישראל ישראלי מרחוב ישראל שולתתתת 111, תל-אביב. מישהו חושב שקשה יותר 'להפליל' את סין בצורה כזאת?

אז עקרונית, אתה יכול להגיע לשרתי ה-C&C, ובמקום לרוץ לספר על זה בבלוג של חברת האבטחה שלך, לנסות לעקוב אחריהם בחשאי, לראות
מאיפה המפעילים מתחברים אליהם, להתקין תוכנות ריגול בחזרה אצל המפעילים, ולנסות לגלות מי הם.

פרקטית, חשוב כמה קל להרים 10 או מאה מחשבים ברחבי העולם, ובמקום להתחבר ישירות מהמטה בלאנגלי/מוסקבה/לונדון ליעדים באמריקה,
לשרשר 101 חיבורים (בשביל הכיף - כל תחנה בדרך במדינה אחרת, נרכשת בזהות אחרת, על מערכת הפעלה אחרת, תוך שימוש במדינות שעימן
אין יחסים דיפלומטיים ידידותיים במיוחד וירצו לעזור במעקב אחרי התוקפים), כשהאחרון בבייג'ינג. ייקח נצח להגיע למקור, ועז אז המפעילים כבר יסגרו
את כל הסיפור, כך או אחרת.


ב. הפרסום הזה אינו ייחודי בכך שהוא משתמש במקורות עיתונאיים. הבעיה איננה השימוש במקורות גלויים - מובן שפרסום אקדמי יתבסס על מקורות
גלויים. הבעיה היא שהמקורות הללו אינם ניתנים לאימות. אם עושים ניסוי (בפסיכולוגיה או כימיה, או גאולוגיה...), עקרונית אתה יכול לפנות לחוקרים
ולבקש לראות את פרוטוקול הניסוי המלא, את המידע הגולמי לפני הניתוח שפורסם, וכו'. כאן לעיתונאי יש את המקורות החסויים (והבכירים - תמיד
"מקור בכיר" מוסר לעיתונאי משהו, זה אף-פעם לא איזה סגן או SSgt משועמם) שאין לך דרך לדעת עד כמה הם מבוססים. בהתחשב בזה שעל
כל ידיעה עיתונאית שאומרת X, יש גם ידיעה שאומרת בדיוק את ההפך, במה טובים המקורות שאומרים שזו סין על פני המקורות שאומרים שמפלילים
את סין?


(אדגיש שאינני טוען שסין לא עמדה מאחורי התקיפות האלה. אני בהחלט יכול להאמין בזה. אבל אני גם יכול להאמין באלטרנטיבה. הנתונים לכאורה
והעדויות לכאורה אינם מספיקים כדי להכריע לכאן או לכאן.)


ג. "איפה אתה עובד?"
"במשרד ראש הממשלה, אני לא יכול לספר."
מי שעונה דבר כזה אולי עובד בלמ"ס או בלשכת העיתונות.
מהטעויות המביכות, כמו זו שציינתי למעלה, עולה החשד שי"ר איננו מומחה אמיתי מהמוסד, אלא "מומחה" מהמטה הקיברנטי הלאומי (שבמקרה גם
נמצא תחת משרד רה"מ).
לדעתי, אין סיבה להניח שלישראל יש ידע מיוחד על תקיפות סיניות על יעדים אמריקאיים. איכשהו אני מפקפק שזה נמצא בצי"ח הישראלי...


2. אכן, זהו גבי סיבוני הזה.


3. תודה רבה לך, ולחברים מעלינו.

(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.