לחנך את המפתחים לא להוציא מוצר אשר לא נבדק עד הסוף

דף הבית >> דעות ומחקרים >> מה חדש באקדמיה? >> לחנך את המפתחים לא להוציא מוצר אשר לא נבדק עד הסוף
לחנך את המפתחים לא להוציא מוצר אשר לא נבדק עד הסוף
מאת: מערכת Telecom News, 7.4.14, 16:30הטכניון
 
ביום עיון בטכניון על התקפות סייבר: הפתרון לחולשות האבטחה בכל ההתקנים והפרוטוקולים – לחנך את המפתחים לא להוציא מוצר, שלא נבדק עד הסוף מהיבט האבטחה.
 
כך אמר פרופ' אלי ביהם ביום עיון בסייבר ואבטחת מידע, שנערך היום בטכניון. את הכנס ארגנו פרופ' אלי ביהם, ד"ר שרה ביתן והמרכז להנדסת מחשבים בטכניון (TCE) המשותף לפקולטה למדעי המחשב ולפקולטה להנדסת חשמל.

אוהד בוברוב מחברת לקון: "קל מאוד לתכנן פריצה לצורך ריגול אחר אדם מסוים בכל מכשיר סלולרי. אחד מכל אלף מכשירים סלולריים מכיל מערכת ריגול ייעודית. הבעיה היא, שהיצרניות יודעות על הפרצות, אך לוקח להן זמן ארוך להגיב".
פרופ' אלי ביהם הטכניון
פרופ' ביהם (בתמונה משמאל): "הבעיה לא נעוצה בכך, שהאקרים פורצים למחשבים ולטלפונים ניידים, אלא בחולשות המאפשרות זאת. יש בעיה מהותית בחינוך של מתכנתים בכל העולם, שלא דואגים לכך, שמי שיוצא ממוסד הלימודים יהיה מודע לכל הבעיות שהתוכנה, שהוא מפתח, עלולה לגרום. כל אלה המנסים להוציא מוצר לקראת דדליין מוותרים על האבטחה. הבעיה היא, שללקוחות לא אכפת והם מוכנים לקנות את המוצרים הללו בלי אבטחה, בין אם זה בשוק המובייל, בשוק ה-PC ובכל מוצר שהוא.

התיקון לבעיית החינוך הבסיסי יגיע רק אם הצרכנים לא יסכימו לרכוש מוצרים, שלא נבדקו מהיבטי אבטחת המידע. עוד לא ראיתי אדם המוכן ללכת לדואר ולקנות מעטפה שקופה כדי לשלוח דואר אפילו אם זה בחצי מחיר. אבל כשמדובר בטלפונים או במחשבים הם לא שואלים אם זה שקוף".

באשר לעיתוי הכנס, ביום בו מתוכננת מתקפה המונית על שרתים בישראל, אמר פרופ' ביהם: "התקפות מסוגים שונים ומשונים מתרחשות כל הזמן, ואינן מנותבות ליום מסוים: המיוחד היום הוא בהתארגנות למתקפות מניעת שירות (Denial of Service). סוג כזה של מתקפה מצליח רק אם מגיעות בקשות רבות לאותו שרת בו זמנית. היו שאמרו, שאולי נסגור שרתים ביום זה. התשובה שלי היא, שזה בדיוק מה שהתוקפים רוצים – לסגור לנו את השרתים, מדוע שנעזור להם?"

במושב הראשון של הכנס הציגה פרופ' ארנה גרימברג מהפקולטה למדעי המחשב בטכניון מערכת, שפיתחה ביחד עם חוקרים נוספים - אלגוריתם המחפש באופן אוטומטי פרצות אבטחה בפרוטוקול תעבורת הרשת OSPF הקובע באיזה מסלול יעברו מנות הנתונים הנשלחים ממחשב למחשב. פרוטוקול OSPF לומד את המבנה של הרשת כדי לדעת איך להעביר, ואי אפשר להעביר רשת בלי פרוטוקול כזה. עד כה הדרך היחידה לאתר פרצות הייתה באמצעות מומחים, שבדקו ידנית את הקוד. האלגוריתם הצליח לדמות אירועי פריצה, שהפתיעו את החוקרים.
 
אוהד בוברוב, ממייסדי חברת  לקון, הצליח להראות כיצד באמצעים פשוטים ונפוצים הניתנים להורדה מהרשת, ניתן לפרוץ לכל טלפון נייד, לצפות ברשימת אנשי הקשר, להאזין למיקרופון, להפעיל את המצלמה, וכל מה שעולה על דעתו של התוקף.

"הדוגמאות היו מדהימות. תמיד ידעתי, שזה נורא ואיום שקל לפרוץ לכל מכשיר סלולרי ולכל פרוטוקול בסיסי בתעבורת האינטרנט, אבל היום נדהמתי לראות עד כמה זה קל", סיכם פרופ' ביהם.

בתמונה : פרופ' אלי ביהם היום בכנס. צילום : שיצו שירותי צילום, דוברות הטכניון.
כנס בטכניון



 
 
Bookmark and Share