מאת: שמואל פניג’ל, Wind River
תקציר מנהלים
גידול מהיר בתחכום של התקנים משובצים ובחיבור שבינם לבין עצמם מלווה בעלייה של איומי האבטחה. ההתקפות על התקנים אלו מתבצעות לא רק על ידי החשודים הרגילים, אלא על ידי זן חדש של האקרים בתמיכתם של אנשי פשע מאורגן, מדינות וארגוני טרור.
מפתחי התקנים חייבים להגיב על כך בנקיטה בגישה כוללת יותר לאבטחה – גישה שתיקח בחשבון נושאים של אבטחה בכל שכבה של שלבי הפיתוח – מהסיליקון דרך שכבות של הווירטואליזציה, מערכת ההפעלה, מערך ניהול הרשת (network stack), התקשורת ועד היישום.
מאמר זה דן בשיקולים החשובים הקשורים לגישה מקצה לקצה של אספקת פלטפורמה ביחס לאבטחת התקנים, ומספק עצה היכולה לסייע לקצץ במסגרת של זמן הפיתוח ובעליותיו, להתמודד עם סיכוני האבטחה הכוללים ולהמיר את האבטחה מאיום להזדמנות לקבלת יתרון תחרותי.
אבטחת התקנים משובצים
הנחשול האחרון בפיתוח התקנים משובצים היה ראוי לציון. מוצרים משובצים ברחבי העולם השולטים בתשתיות חיוניות הפכו להיות חכמים יותר ועברו מהתקנים פשוטים ועצמאיים למוצרי בקרה וניטור אוטונומיים מורכבים ומחוברים. המוצרים המשובצים של ימינו, מרחיבים את יכולת התקשורת ושיתוף המידע שלנו. אבל, לא רק. הם מסייעים בהפעלת טלפונים חכמים, מבצעים מדידות חכמות עבור ספקי תשתית, משתתפים בבקרת אוטומציה תעשייתית, מנטרים מערכות שמן ודלק לתובלה ורשתות תקשורת ונמצאים בלב התקנים רפואיים ניידים ששומרים אנשים במצב חיוני וחי, במלוא מובן המילה. פעילות גומלין בין מכונה למכונה, המסופקת על ידי רכיבים שכל הזמן הופכים לקטנים יותר ולחכמים יותר, מאפשרת יצירת רמות חדשות של ניתוחים מאופשרי חיישנים ובקרה ויוצרת מהפכה בפעולות עסקיות וממשלתיות.
המספר המוחלט של התקנים אלו ועצמאותם, צומחים אף הם במהירות רבה. קיימת הערכה שעד שנת 2020 יהיו בשימוש יותר מ-50 מיליארד התקנים מחוברים. לרוע המזל הגידול המהיר במוצרים משובצים מלווה בעלייה גדולה של איומי אבטחה. כל התקן חדש המחובר לרשת הופך להיות באופן פוטנציאלי החיבור החלש ביותר הבא של הרשת. על פי חברת McAfee, נחשפים בכל יום יותר מ-55,000 תוכניות תוכנה זדוניות ויותר מ-200,000 מחשבי זומבי, קיימים יותר מ-2 מיליון אתרי אינטרנט זדוניים, וצורות חדשות של התקפות ושל ניצול חורי אבטחה מופיעות מידי יום. כל איומי האבטחה האלו מקבלים תאוצה עם התרחבות ההתקנים המחוברים.
באותה המידה אפשר להיות מוטרדים מפעולות ניצול חורי אבטחה (exploit) המבוצעות על ידי זן חדש של האקרים. עכשיו, אלו אינם רק ילדים חכמים המנסים לפרוץ חומת אש “בשביל הספורט”. קבוצות מקצועיות ביותר ממומנות היטב – כולל פשע מאורגן, סוכנויות ממשלתיות ותאי טרוריסטים – מוצאות חורי אבטחה דרך התקנים משובצים ובדרכים יצירתיות ביותר. הן מנסות לפצח דרך אל תוך רשתות מאובטחות, לקבל גישה למידע רגיש, לשנות את ההתנהגות של מערכות חיוניות לבטיחות באופן שיגרום נזקים פיסיים לציוד ולאפשרות העמדת חיים בסכנה. כבר אין זו עלילה יצירתית של סרט פעולה או של סרט מדע בדיוני מהוליווד. זו יכולה להיות הפתיחה של מלחמת מנע עתידית במרחב הקיברנטי.
התקנים משובצים הפכו היום להיות המטרה של ארגוני פשע מאורגן, מדינות וארגונים טרוריסטיים
למרות תקני הבטיחות הייעודיים ההולכים ומתרבים כל העת לתחומי הממשל, המדינה, הרשויות המקומיות ולתעשייה ולמרות דרישות התאימות המתרבות, ההתקפות במרחב הקיברנטי ממשיכות לקצור הצלחות כפי שאפשר לראות מהמקרים המעניינים האחרונים הבאים:
Stuxnet, שהיא תוכנה זדונית מתוחכמת, שולחה בפברואר שנת 2010 נגד אתר ההעשרה הגרעיני בנתאנז שבאירן. Stuxnet תוכננה להסתנן דרך מערכות הבקרה בנתאנז, להסתתר ולגרום נזקי כיוונונים לסרקזות (צנטריפוגות) החיוניות. הווירוס Stuxnet שימש גם נגד תוכנת מערכת הבקרה בחודש יולי 2010 וחידש את הדאגה הקיימת זמן רב באשר ליכולתה של רשת החשמל בארה”ב לעמוד בהתקפות מכוונות במרחב הקיברנטי. במקרה זה, Stuxnet תוכננה לנצל את פגם “יום האפס” (כזה שאינו ידוע עדיין) של Windows על מנת לאתר ולגנוב נתונים תעשייתיים ממערכות בקרת פיקוח והרכשת נתונים (SCADA).
מבצע Aurora, התקפה במרחב הקיברנטי שהחלה באמצע שנת 2009 כוונה נגד Google ונגד תריסרי ארגונים אחרים, לרבות Adobe Systems, Juniper Networks, Rackspace ואחרים. נראה שהמטרה העיקרית של ההתקפה הייתה לקבל גישה אל מאגרי זיכרון של קוד מקור וככל הנראה גם לשנות אותם. “קובצי ניהול הקונפיגוריציה המאובטחת [SCM] היו פרוצים לרווחה,” אמר דמיטרי אלפרוביץ’, סגן נשיא למחקר איומים בחברת McAfee למגזין Wired. “איש לא חשב מעולם לאבטח אותם, ועם זאת הם היו יהלומי הכתר – הפרס הגדול – בעלי ערך רב הרבה יותר מכל הנתונים הכספיים או מנתונים המזוהים באופן אישי, שבהגנה עליהם הושקעו כל כך הרבה זמן ומאמצים.”
Night Dragon, התקפה שתחילתה בסין וכוונה נגד חברות חובקות עולם לנפט, לאנרגיה ולמוצרים פטרוכימיים, שולחה בנובמבר שנת 2009. היה זה איום מתקדם במיקוד עקבי (APT) שהתמקד בגניבת מידע סודי ביותר כמו למשל פרטי מבצעים, נתונים של מחקרי גישוש (exploration research) ונתונים כספיים. התקפה זו שילבה הנדסה חברתית והתקפות מתואמות היטב ומכוונות במרחב הקיברנטי באמצעות סוסים טרויאניים (תוכנה המאפשרת שליטה מרחוק) ותוכניות זדוניות אחרות. ייתכן ש–Night Dragon שיפרה טכניקות שנתגלו כבר בשנת 2008 ועודדה התקפות חדשות מידי יום.
מחשב נייד שהיה נגוע איפשר באוקטובר 2010 לפרצני מחשבים לגשת אל מערכות מחשבים במתקן לטיהור מים בהאריסברג שבפנסילבניה. המחשב הנייד שימש כנקודת כניסה להתקנת וירוס מחשבים ותוכנת ריגול במערכת המחשבים של המתקן, כך על פי דיווח בחדשות רשת ABC.
נער בגיל ההתבגרות פרץ בפולין לתוך המערכת של החשמליות והוריד מהפסים ארבעה קרונות – פשוט על ידי התאמה של שלט רחק של מכשיר טלוויזיה כך שהיה יכול לשנות נקודות מסוט (לשינוי מסילה בהתפצלויות). שניים עשר בני אדם נפצעו באחת מהירידות מהפסים, כך על פי העיתון הבריטי The Telegraph.
נראה שחזית ההאקרים הבאה היא מכוניות. עובד שפוטר מסוכנות מכירת מכוניות, Texas Auto Center, התחבר למערכת המחשבים מבוססת האינטרנט של החברה, הפעיל מרחוק את הצופרים של יותר מ-100 כלי רכב וגרם לכך שנהגים לא היו יכולים להתניע את מכוניותיהם. העובד נעצר מאוחר יותר והואשם בחדירה לא חוקית למחשב.
בקצרה, התקנים משובצים הפכו כיום המטרה של ארגוני פשע מאורגן, של מדינות ושל ארגונים טרוריסטיים אשר מעונינים לשבש ולהשמיד את התשתיות שנחשבו בעבר מאובטחות מאוד ומוגנות היטב. והעלויות הנגרמות כתוצאה מפריצת אבטחה במערכות אלו יכולות להיות עצומות. יסודות עיקריים של הכלכלה והתשתיות שלנו תלויים במערכות משובצות. התקפה מוצלחת יחידה יכולה לסכן את הכל החל בשירותים ציבוריים חיוניים ביותר וכלה באיכות של שירותי הבריאות. בסיכומו של דבר, פעילויות החשובות ביותר לביצוע המשימה או חיי אדם נמצאים בסיכון בהשפעת האבטחה של התקנים משובצים.
מתן מענה לדרישות האבטחה המתפתחות
המפתח למניעתו של זן חדש זה של איומי האבטחה היא לנקוט בנקודת מבט של פלטפורמה מקיפה, ולא בגישה של רכיבים מועטים כשניגשים לענות על נושאי האבטחה. על מפתחי ההתקנים המשובצים לשקול את נושאי האבטחה בכל שכבה – מפלטפורמות החומרה וטכנולוגיות הווירטואליזציה עד למערכת ההפעלה, למערך ניהול הרשת, לחומרת הביניים הנוספת של התקשורת, לחבילות הנתונים המועברות ברחבי הרשת ועד ליישומים הייעודיים הנדרשים לתמיכה בפונקציונליות של ההתקן.
הצעד הראשון הוא לבצע הערכת איומי אבטחה על המערכת מקצה לקצה אשר תבחן את נושאי האבטחה לא רק מנקודת המבט של איש הפיתוח אלא מנקודת המבט של היצרנים, המפעילים ומשתמשי הקצה.
ברמת הייצור למשל, על האבטחה להפוך להיות חלק משולב של תכנון המערכת, של הבחירה בטכנולוגיה מסוימת, בתהליכי פיתוח היישומים ואפילו במשימות ניהול היישומים כמו למשל שילוב תיקוני טלאים ושדרוגים. עבור המפעילים, קיימת חובה לבצע ניתוחים של איומי אבטחה שהם חלק בלתי נפרד מתהליכי הקונפיגורציה וההתאמה האישית ולתת להם מענה. יש גם לתכנן את תהליכי ניהול התוכנה, העדכון והאספקה תוך התחשבות באבטחה. ברמת משתמש הקצה, ההערכה חייבת לכלול איומי אבטחה שיכולים להיות יזומים על ידי משתמש הקצה, כמו למשל תוכניות תוכנה זדוניות, וירוסים, וירוסי תולעת וסוסים טרויאניים, שכל אחד מהם עלול להשפיע על האמינות ועל הביצועים.
מפתחים של התקנים משובצים צריכים לקחת בחשבון את נושאי האבטחה בכל שכבה.
הערכת האבטחה חייבת גם לבחון את נקודות הפגיעות האפשריות בכל שכבה: ווירטואליזציה, מערכת ההפעלה, מערך ניהול הרשת (network stack), חומרת הביניים (middleware) ושכבת היישום. לדוגמה, בשכבת הווירטואליזציה או בשכבת מערכת ההפעלה, אנשי הפיתוח צריכים להיות מודעים לאופן שבו פרצני המחשבים מחפשים לנצל חורי אבטחה במערכת ההפעלה.
מרגע שהובנו נקודות הפגיעות האלו, אפשר להשתמש בטכניקות ייחודיות על מנת לסכל התקפות. למשל, חברת Wind River תומכת בכמה מפתחות הצפנה בעלי חוזק עליון ובכמה יכולות נוספות כמו למשל IPsec והחלפת מפתחות באינטרנט (IKE) ומספקת תאימות למערך ניהול הרשת לפי FIPS 140-2 ובדיקות עם כמה סוויטות של תיקוף אבטחה כמו למשל Common Criteria, Wurldtech וכיוצא באלה. זמני הפעולה של Wind River נבדקים אל מול הטכניקות המתרחבות כל העת אשר משמשות לפריצה לתוך מערכות הפעלה. בנוסף, חברת Wind River מספקת קווי הנחיה לתכנון אבטחה על מנת לסייע בפיתוח התקני הדור הבא תוך מינוף של טכניקות חדשות, הפרדה באמצעות ווירטואליזציה, רכיבים מאושרים לשימוש בזמן הפעולה (run-time), אינטגרציה של טכנולוגיות של “יצירת רשימות לבנות” (white-listing) וכיו”ב.
אבטחת מחסנית התוכנה
הצעד הבא הוא להעביר את הגנת האבטחה ברחבי מחסנית התוכנה של מערכת ההתקן – מהסיליקון לאורך כל הדרך עד לשכבת היישום:
סיליקון: בשכבת הסיליקון יש הזדמנות לשבץ בתוך הקושחה (firmware) של השבב טכנולוגיות שונות כדוגמת ווירטואליזציה, מסירה שניתן לבטוח בה (trusted), אתחול שניתן לבטוח בו וטכנולוגיות נוספות על מנת להגדיל את העמידות של מערכת ההפעלה.
תוכנת פיקוח על (hypervisor): טכנולוגיות של ווירטואליזציה יכולות לשמש הצורה מיוחדת כדי לחזק את האבטחה על ידי שימוש בהפרדה. רבים מבין אנשי הפיתוח חושבים בדרך כלל על ווירטואליזציה ועל המקרים לדוגמה הארגוניים שלה בשיתוף של התקני מערכת. יחד עם זאת, על מנת להרחיב את האבטחה בהתקנים משובצים, הווירטואליזציה משמשת באופן הולך ומתרחב כדי לבצע הפרדה בשימושי ההתקן, להפריד את מערכות ההפעלה של ממשק האדם מכונה (HMI) ממערכת ההפעלה המשמשת לבקרה, להפריד את הממשק הפיסי ממערכת ההפעלה המשמשת לבקרה וכך הלאה. השימוש המורחב הזה בהפרדה בתוך התכנון של ההתקן יכול לספק שיפורים משמעותיים באבטחה.
מחסנית מערכת ההפעלה ומחסנית התקשורת: בחירה במערכת ההפעלה הפכה להיות מכריעה עבור ההתקנים של היום המצויים ברמת חיבור גבוהה. מחסנית מערכת ההפעלה ומחסנית התקשורת חייבות להימצא בתאימות עם דרישות האבטחה המתקדמות ביותר שמוגדרות עבור השימוש המיועד. בנוסף, יש להעביר את המוצרים האלה תהליך אישור על ידי סוויטות תיקוף אבטחה של מגזר השוק. לדוגמה, אנשי פיתוח של התקני בקרה תעשייתית צריכים לחפש מערכות הפעלה ומחסניות שעברו תיקוף לפי אישור Achilles של חברת Wurldtech. התוכנית Achilles מבצעת הערכה של עמידות הרשת של ההתקן והפלטפורמה ומאשרת שהם עברו מערך מקיף של בדיקות אבטחה.
יישומים: יש צורך לפתח את היישומים תוך מחשבה על האבטחה מתחילת התהליך. יישומים יכולים לנצל את הטכנולוגיות החדישות הנמצאות בפיתוח כדי שיסייעו לעמידות האבטחה על ידי שיפור של יצירת “רשימות אפורות” או רשימות לבנות. בכל אופן, על אנשי הפיתוח לתכנן יישומים עם עקרונות אבטחה מחמירים, שאם לא כן, יישומי ההתקנים שהם יספקו עלולים בסופו של דבר לשמש “כדלתות אחוריות” לפעילות זדונית.
הגדלת החשיבות של קבלת אישור
אנשי הפיתוח צריכים לחפש דרכים לשלב בכל רמה בתכנון עקרונות של אבטחה ורכיבי זמן פעולה בעלי אישור אבטחה: מערכות הפעלה מאושרות, מחסניות רשת מאושרות וחומרת ביניים מאושרת. קבלת האישור מספקת תיקוף עצמאי מאת מומחה שניתן לסמוך עליו המאשר שרכיב או פלטפורמה נתונים עומדים בתקנים מוגדרים ושהם נמצאים בתאימות עם דרישות מוגדרות. כמו כן היא מספקת מבחן ביצועים שיכול לשמש כבסיס להשוואה.
יצרני ציוד רבים החלו זה מכבר לדרוש אישורים, לאור הגידול בתקנות ממשלתיות שהעמידה בהם נדרשת כיום בשווקים רבים ועבור ההתקנים הקשורים בהם.
בזירת האוטומציה התעשייתית, תוכנית האישור Achilles של חברת Wurldtech היא אחת התוכניות בעלות ההכרה הנרחבת ביותר. בקרים משובצים, התקנים מארחים, יישומי בקרה ורכיבי רשתות יכולים כולם לקבל את אישור האבטחה למרחב הקיברנטי מאת Achilles.
קבלת האישור מספקת תיקוף עצמאי מאת מומחה שניתן לסמוך עליו המאשר שרכיב או פלטפורמה נתונים עומדים בתקנים מוגדרים.
כשבוחנים יותר מקרוב את הגורמים שמגדילים את הפגיעות במרחב הקיברנטי, הופכים היתרונות של האישור להיות מודגשים יותר:
מיזוג: טכנולוגיות חדשות, כמו למשל מעבדים בעלי ריבוי ליבות, יצרו הזדמנויות חדשות להקטנת העלויות במיזוג של מערכות. כתוצאה מכך, המצב הזה הניע את הצורך של התעשיות לשתף פעולה ולקבוע תקנים חזקים יותר ופרדיגמות של אבטחה עבור התקנים חדשים ששילבו קודם לכן פונקציות נפרדות. מצב זה הפך להיות מורכב עוד יותר כתוצאה מדרישות הקישוריות החדשות. אישור האבטחה במרחב הקיברנטי מגדיר ומתקף תאימות עם לתקנים ולפרדיגמות אלו.
קישוריות: כל המוצרים החל בהתקנים נפרדים וכלה במערכות שברצפת הייצור במפעל מחוברים למערכות עסקיות, למערכות ניהול שרשרת האספקה ולענן המחשוב. בעקבות ההתפתחות של הפרדיגמה מכונה–למכונה (M2M) ושל חיבור “האינטרנט של דברים”, הפכו ההתקנים המשובצים להיות חשופים להתקפות של המרחב הקיברנטי ברמות ללא תקדים. יחד עם זאת, באמצעות אישור אבטחה למרחב הקיברנטי, אפשר ליצור תקנים ואפשר לשלוט בסיכונים ולשכך אותם.
מינוף טכנולוגיות ייעודיות ליישום
הגנת האבטחה למרחב ההתקנים המשובצים והגנת האבטחה לזירת היישומים היו עד כה איים נפרדים. יחד עם זאת, בהינתן האופי של ההתקנים המשובצים שקיימים כיום, של חיבור הולך ומתהדק, הטיפול הכוללני באיומי אבטחה הפך להיות הכרח מבחינה אסטרטגית.
מאחר שהתקנים משובצים צריכים לעמוד בדרישות טכנולוגיות שונות מאלו שעמדו בעבר בפני ציוד של טכנולוגיית המידע – כלומר, מגבלות של הספק מוגבל, זיכרון ומגבלות של ביצועים – פתרונות האבטחה של העבר כבר אינם מספיקים. בעזרת ההתחברות של McAfee ושל Wind River לצוות, אנשי הפיתוח של התקנים משובצים יכולים לממש אמצעי אבטחה בכל השכבות של מחסנית התוכנה לרבות שכבת היישום.
וחשובה לא פחות היא היכולת של McAfee ו-Wind River לשלב את התפישה של יצירת רשימות לבנות עם תפיסת “המודיעין מבוסס המוניטין” כדי לספק אבטחה בעלת יכולת רבה יותר להתקנים משובצים. הגישה של יצירת רשימות לבנות, שכבר נפוצה בשימוש במרכזי הנתונים התעשייתיים, הרפואיים והארגוניים, מתמקדת בכך שהיא מתירה רק מה שידוע לגביו שהוא תקין. על ידי שילוב תפישות אלו עם יצירה של רשימות אפורות, שבהן הערכת איומי האבטחה מתבססת על מוניטין, Wind River ו-McAfee יכולות לספק פרדיגמת אבטחה חדשה שנותנת מענה לטווח המלא של בעיות, איומים וניסיונות ניצול חורי אבטחה.
יחד, McAfee ו–Wind River יכולות לשלב את התפישה של יצירת “רשימות לבנות” עם תפיסת “המודיעין מבוסס המוניטין” כדי לספק אבטחה בעלת יכולת רבה יותר להתקנים משובצים
האינטגרציה הראשונית בין מערכת Linux של Wind River לבין פתרונות האבטחה של McAfee תלווה בהמשך באינטגרציה נוספת עם מערכות הפעלה נוספות ועם טכנולוגיות ווירטואליזציה משובצות של Wind River.
מסקנות
ברור שהיום הוא הזמן לשינוי פרדיגמה בפיתוח התקנים משובצים. במקרה זה, שינוי פרדיגמה אמיתי מתחיל בנקודת מבט רעננה ביחס לחשיבות שיש לאבטחה – לא רק תכונה נוספת אלא כתכונה מובנית של הדור הבא של התקנים משובצים. במילים פשוטות, אנשי הפיתוח צריכים לתכנן ולעצב מוצרים משובצים באופן שיעמוד בדרישות שמציבים אתגרי האבטחה, לפני שאלו יהפכו להיות בעיות רחבות בהרבה.
בעזרת העברת נקודת המבט של הפלטפורמה אל האבטחה ועל ידי רתימת היעילות של רכיבים בעלי אישור אבטחה למרחב הקיברנטי, אפשר לקצץ בהוצאות הפיתוח ובמסגרות הזמן תוך הפחתה ממשית של סיכוני האבטחה הכוללים. זה יותר מאשר שינוי פרדיגמה עבור אנשי הפיתוח של התקנים משובצים. זהו שינוי שמספק תשתית מאובטחת יותר, תוצאות כספיות חזקות יותר, שקט נפשי גדול יותר ודרך חיים טובה יותר.
הכותב: שמואל פניג’ל, מנהל הנדסה אזורי, Wind River ישראל