By: Amit Rechavi
מחקר מדעי מתבסס על תאוריה ועל נתונים שעשויים להפריך או לאושש אותה. כאשר מתגלים נתונים המפריכים את התאוריה השלטת אנו נדרים לברוא תאוריה חדשה הכוללת בתוכנה גם את ההסבר לניתוחם של הנתונים החדשים שהתגלו. כך מתפתח ומתעצב המדע המודרני, על פי תפישתו של Kuhn (1962). אולם מה קורה כאשר יש תאוריה אבל אין נתונים על מנת לבדוק אותה, במקרה זה אנו משתמשים בנתונים עקיפים, נתונים אשר מודדים בצורה לא ישירה את התופעה אותה אנו חוקרים. שימשו מושכל בגישה זו אנו מוצאים בתחומי הפיזיקה ואנו השתמשו בגישה זו גם במחקר הנוכחי שביצענו בחקר רשתות האקרים.
עולם האקרים מטבעו בגלל אופיו הלא חוקי , הינו עולם נסתר מן העין בו הגורמים הפועלים, שיטות הפעולה, ולפעמים אפילו מניעי הפעולה – אינם ידועים. הטענה הרווחת היא שאפילו תוצאות הפעולה של ההאקרים הטובים באמת אינן מתגלות או במילים אחרות, נשוא התקיפה אינו יודע ככל שבוצעה תקיפה. דוגמאות לתקיפות מומלחות שכאלו הינן שינוי נתונים במערכות מידע מבלי שהשינוי אובחן, חסימת חלק מהנתונים או ממקורות הנתונים כך שלא יגיעו אל יעודם, שינוי האלגוריתם המשמש לקבל החלטות במידה כזו שלא ניתן לדעת שהוא אכן שונה, פגיע מושכלת במשאבי מחשוב כך שלא ניתן לממש את יכולתם האמיתית ועוד.
המחקר עסק בסחר של נתוני תקיפה בין מדינות בעולם. באמצעות שימוש במלכודות דבש (מחשבים המיועדים שיפרצו אליהן על מנת לגלות את התנהגות ההאקרים), מצאנו כי מדינות שונות (או נכון לומר תוקפים המזוהים ממדינות שונות), בוחרים לתקוף אתרי מחשוב באופנים שונים. חלק מהתקיפות מבוצע באמצעות Brute Force מהלך בו ללא תחכום מנסים האקרים (או בוטים) להכנס למערכת מידע תוך שימוש באלפי נסיונות של שם משתמש וסיסמא. תקיפות מסוג שני מתאפיינות בכניסה לתוך מערכות המידע וביצוע פעילויות זדוניות שונות (כפי שתוארו בפיסקה הקודמת).
במחקר גילינו כי חלק מההאקרים (ואף ניתן להכליל ולומר כי חלק מהמדינות מהן זיהינו פעילויות כזו) בוחר להשתמש ברובוטים על מנת להשיג שם משתמש וסיסמא למערכת המידע וחלק מההאקרים (חלק מהמדינות מהן זיהינו כניסה של האקרים) מבצע חדירה ממש אל מערכות המידע. עד כאן, הסיפור נשמע פשוט למדי. השאלה ששאלנו הייתה האם וכיצד עובר המידע מהאקרים המשתמשים בהשגת שם משתמש וסיסמא להאקרים המתמחים בכניסה למערכות מידע וביצוע פעילות במערכת המידע ממש. כלומר הנחנו שקיימות דרכים בהו עובר מידע זה אולם מכיוון שפעילויות אלו של מסחר שמות משתמש ובסיסמאות אינן חוקיות, לא ניתן לאתר האם וכיצד מתבעת ההערה של המידע החשוב הזה (שמות משתמש וסיסמא). יחד עם זאת, מכיוון שיכולנו לדעת לגבי כל פריצה כמה נסיונות נעשו עד שהפורץ ניחש את שם המשתמד והסיסמא הנכונים, יכולנו לאתר את כל ההאקרים אשר נכנסו למערכת עם אמצעי הזיהוי המדויקים בפעם הראשונה. מכיון שהסיכוי של ניחוש נכון של שם המשתמש והסיסמא בפעם הראשונה ללא טעות הינו אפסי ידענו במסגרת המחקר לשייך האקרים אלו להאקרים שפעלו בארצות אחרות והשיגו את שמות המשתמש והסיסמאות של מערכות מידע הספציפיות הללו.
כך למעשה באמצעות ניתוח רשתי מיפינו רשת עולמית (ברמת הפרט וברמה המדינה) בין האקרים מסוג ראשון המשיגים שמות משתמש וסיסמאות להאקרים מסוג שני העושים פעילויות זדוניות במערכת אליהן הם נכנסים. כפי שהסברנו לא יכולנו לעקוב או לזהות את האינטרקציות באופן ישיר מכיון שהן מתחוללות באופן סמוי מן העין ככל הנראה ב Darknet. יחד עם זאת, באמצעות עקבות הפעילות (ראה פסקה פותחת), הצלחנו למפות את הרשת העולמית של פעילות בין האקרים מסוגים שונים בעולם. מסתבר כי רשת זו פועלת בצור אופטימלית להפצת ידע ובה מרכז קטן של מומחים עומד בקשר עם פזורה העושה שימשו בידע (זדוני) זה. מיפוי הרשת הינו צעד ראשון בהתמודדות מולה.
Kuhn, T. S. (1962). The Structure of Scientific Revolutions.
