התמודדות עם אתגרי עוקף בידוק בשדות תעופה – טכנולוגיות, שיטות ותהליכי עבודה

Image by Pixabay

This post is also available in: English (אנגלית)

כתבה מאת אור שלום

בידוק בשדות תעופה מהווה מרכיב חיוני בשמירה על בטיחות הנוסעים והצוות. תהליך זה נועד לזהות ולאתר סכנות פוטנציאליות, כמו סיכוני טרור, הסתננויות, הברחה של  אמצעי לחימה, השגת גבול וכד'.

סוכנות ה-TSA (Transportation Security Administration) האמריקאית, האמונה על אבטחת התחבורה ושדות התעופה, דיווחה כי בשנה האחרונה אירעו למעלה מ-300 אירועים של תהליכים עוקפי בידוק (מתוכם כ- 200 בדרך החוצה משדה התעופה). [1] בתוך כך, 2 נשים נעצרו בנמל התעופה הבינלאומי סקיי הרבור בפיניקס, אריזונה, לאחר שנכנסו לשדה התעופה דרך שער היציאה, שלא היה מאובטח. באירוע נוסף, בשדה תעופה פאלם ספרינגס, עבר נוסע את עמדת הבידוק הגופני שהייתה לא מאוישת. באירוע אחר, שאירע בנמל התעופה נאשוויל, עלתה נוסעת לטיסה לאחר שעקפה את תהליך הבידוק כולו ובלי שהיה ברשותה כרטיס.

כדי לטפל ולצמצם אירועים שכאלה, נדרש להבין את האתגרים באכיפת תהליך הבידוק והקשיים האפשריים למניעת עקיפת אמצעי הבידוק והאבטחה. אלו נובעים בעיקרם בשילוב של הבאים: פערי אבטחה טכנולוגיים, ריבוי קהל ותנועה, חוסר תיאום בין גורמים בשדה, מניפולציות אנושיות, חוסר מודעות של נוסעים וקשיי אכיפה. אתגרים אלו דורשים פתרונות משולבים הכוללים ייעול טכנולוגי, הכשרת צוותים, שיפור נהלים והעלאת המודעות בקרב הנוסעים.

הפחתת עוקף בידוק בחסות אירועי סייבר:

תקיפות סייבר על מערכות בידוק בשדות תעופה מהוות איום משמעותי על ביטחון התעופה ועל תפקוד השדות עצמם.  הפעילות בשדות התעופה תלויה במידה רבה בטכנולוגיות מתקדמות ובמערכות מחשוב מגוונות. מערכות אלה כוללות לא רק רשתות IT (טכנולוגיית מידע) שמיועדות לניהול ותמיכה בפעילות העסקית, אלא גם רשתות ומערכות תפעוליות OT (טכנולוגיה תפעולית) המנהלות תהליכים תפעוליים פיזיים בשדה התעופה. לדוגמה, מערכות כמו ניהול מסוע המזוודות, מערכות לניהול מבנים (כמו בקרת אקלים או חשמל), ומערכות אבטחה (למעקב והגנה). כל המערכות הללו מחוברות ביניהן, וכוללות קישוריות רבה, מה שמביא לכך שמשתמשים רבים (צוותים שונים בשדה התעופה) פועלים בהן.שימושים אלו מייצרים סיכונים והזדמנויות תקיפה בראיית היריב. תוצאות התקיפה עשויות להשליך על רמת האבטחה, עיכובים בהמראות והנחיתות, ופגיעה בפרטיות הנוסעים והצוות. דוגמא קלאסית לכך היא התקיפה של האקרים על מערכות שדה התעופה הבינלאומי באטלנטה. התקיפה כללה חדירה למערכות המחשוב של השדה באופן ששיבש את תהליך הבידוק והוביל לעיכובים רבים בטיסות. [2]

סיכון סייבר מסוג אחר עלה במסגרת מחקר שביצעו החוקרים סם קארי ואיאן קרול לאחרונה. החוקרים גילו פרצת אבטחה חמורה במערכת FlyCASS – מערכת המשמשת לניהול גישה לצוותי אוויר במערכות Known Crewmember (KCM) ו-Cockpit Access Security System (CASS). במהלך המחקר, הם זיהו שאפשר לבצע SQL injection (הזרקת פקודות לא מורשות) בדף ההתחברות, מה שאפשר להם לעקוף את מנגנוני האימות ולהתחבר כמנהלים של חברת התעופה Air Transport International. לאחר שנכנסו למערכת עם הרשאות מנהל, החוקרים גילו שניתן להוסיף כל אדם כעובד מורשה במערכות KCM ו-CASS, ללא בדיקות אימות נוספות. המשמעות היא שניתן להעניק גישה לאזורים מוגבלים לאנשים לא מורשים באופן לא מבוקר ולפגוע משמעותית ברמת האבטחה. [3]

אירועים כדוגמת אלו ממחישים היטב את המורכבות בהגנת סייבר בשדות התעופה לאור הצורך בקישוריות, נוחות משתמשים, גמישות בהזנת נתונים של צוותים מתחלפים, ועוד. עם זאת, מורכבות זו גם מדגישה את החשיבות במיפוי ואיתור הזדמנויות על בסיס חולשות קיימות ותקשורת מבוססת אינטרנט. [4]

 

פרקטיקה למניעת שלבי ההתארגנות ותהליך עוקף בידוק באמצעות אנליטיקה מבוססת אנומליה:

היכולת להתחקות אחר חשודים בתוך תנועת המונים, כמו בתחנות רכבת או שדות תעופה, היא מורכבת. תנועה בתוך קהל מאפשרת ליריב להיטמע גם בשלב ההתארגנות וגם לאחר הפעולה עצמה. באירועים כאלה, בהם יש לאתר את החריג בסביבות של ריבוי קהל, יש יתרון משמעותי לשימוש באנליטיקה, בייחוד בשילוב AI.

מימוש מערכת לניתוח התנהגות (User Behavior) בשדות תעופה ובמעברי גבול, יכול לסייע לאיתור חשודים על ידי זיהוי דפוסים והתנהגויות חריגות שמצביעות על כוונות חשודות. הכיול של המערכות מאפשר הקפצת התראה במידה וניתן לחזות בדפוסי התנהגות שונים או בהצלבה של חוקיי התנהגות, כגון זיהוי זמני שהייה ממושכים באזורי מעברי גבול, שימוש חוזר באותו מעבר גבול בפרק זמן קצר יחסית (כחלק משלבי ההתארגנות והלימוד), ופעולות להימנעות מחיכוך עם המאבטחים, הסורקים או תהליך הבדיקה.

לא מעט תהליכי הזדנבות / היצמדות (Piggybacking) בנקודות מעבר אותרו בשל ערנות אנשי האבטחה. על כן, המצלמות צריכות להיות מכוילות בהתאם לתוכנית האבטחה והאיומים הנגזרים מתא השטח כדי לאתר דפוס זה. כחלק מהכיול, יש לייצר תהליך של הקפצת התרעה במידה ונצפית התנהגות המעידה על ניסיון או ביצוע של הזדנבות (הגדרת חוק של היצמדות לדוגמא) וכן התרעה על התנהגות המעידה על עקיפה פיזית של המכשול (הגדרת חוק של זחילה או קפיצה מעליו, או השתהות זמן ממושך בקרבתו). זו דוגמא קלאסית להשגת שליטה טובה גם ללא פיקוח אנושי רציף. ההתרעה גם מסייעת במקרים בהם תהליך הניטור דורש פיצול קשב. עוד ניתן לחשוב על מנגנון אוטומטי של כריזה מקומית הפונה לחשוד עם הנחיות תוך מטרה לעכב אותו במקומו. מימוש נוסף לשימוש באנליטיקה וכריזה אוטומטית יכול להתבצע גם בשעות בהן תנועת הנוסעים פוחתת באופן שמצמצם גם את הפיקוח האנושי ומאפשר ליריב חופש תנועה בהגעה למערכות עצמן לצורך התערבות להטמנה או שינוי או חקירת המערכת לצורך איתור הזדמנויות תקיפה. בגיבוש תוכנית האבטחה והשימוש באנליטיקה והמצלמות יש לבחון את תנאי הסביבה אל מול דרכי פעולה אפשריים של היריב ולהגדיר זיהוי התנהגות חשודה בהתאם לרדיוס, ביחס לנסיבות הזמן והפעולה עצמה, כאשר המטרה היא להימנע מהטרדת תמימים. על כן, ככל שמיצוי המידע יהיה מקיף יותר ויישען גם על מידע ממעגלים שונים, כך תשופר יכולת ההערכה והניקוד המתאימה לרמת האיום והימנעות מהטרדת תמימים. [5]

כך לדוגמא, קיימות לא מעט טכנולוגיות ייעודיות לאיסוף מידע אודות הכוונת טרור ופיגועים מהרשת. תהליכים אלו מתבססים על ניתוח קשרים, ידיעות ופוסטים ברשתות החברתיות, והצלבות שמות במאגרים שונים בהקשרי פח"ע. יכולת נוספת, שגם אותה סקרתי בעבר, היא ניתוח המטא-דאטה (מידע על מידע): יכולת זו מאפשרת מבט רטרוספקטיבי על רצף האירועים, קשרים בין ישויות ברשתות חברתיות, מידע על עסקאות פיננסיות (כדוגמת רכישת כרטיסי טיסה באופן לא שגרתי), ועוד. עיבוי בין מיידעים יאפשר הצלבה טובה יותר במעגלים השונים ובמכלול כולו והעלאת רמת מהימנות ביחס לתרחיש והמצב. גם כאן, הגדרת החוקים והכיול חייבים להתבצע מראיית תוקף ומתוך למידה מאירועים גלובליים וחילוץ תובנות וחוקים חדשים.

 

מניפולציה על מערכות טכנולוגיות:

השימוש במערכות טכנולוגיות (לרבות אנליטיקה, מערכות ביומטריות, מערכות סריקה ו-X-RAY, וכד') מגביר את הניסיונות (כמו גם המחקרים) לבצע מניפולציה על המערכות (בסייבר אך לא רק). בתוך כך, המניפולציה מתבצעת לעיתים על המערכת עצמה או בקרבתה. אציג 3 מקרים שונים מזוויות שונות המאפשרות להתרשם משיטות המניפולציה:

  1. עוקף בידוק באמצעות מניפולציה על מערכת לזיהוי פנים:

במחקר שבוצע באוניברסיטת בן גוריון בשנת 2018 הוכחה יכולת מניפולטיבית מעניינת בעוקף בידוק. יכולת זו נשענה על הונאת מערכת לזיהוי פנים ע"י שימוש באיפור. באמצעות ניתוח והצבעה על חולשות התוכנה בתהליך AML (Adversarial Machine Learning) התקבלו תובנות סביב שימוש באיפור הנראה טבעי לצורך הערמה על המערכת. המחקר מעניין גם בשל העובדה שהאיפור, שהוא פופלארי בסביבות שדה תעופה ובחיי היום יום, לא הציף את החריג (המאופר במקרה זה) בסביבות כדוגמת שדה תעופה. [6] אירוע זה ממחיש את הצורך בשימוש במעגלים נוספים לבדיקה וללא תלות ביניהם, תשאול אקראי ועוד.

 

  1. חילול תבניות ביומטריות שכיחות במטרה לעקוף מערכות ביומטריות:

רוב המערכות לזיהוי טביעת אצבעות סורקות מקטעים ביומטריים נקודתיים מטביעת האצבע בעת הבדיקה. זאת, בעיקר מטעמים ארגונומיים בממשק שבין אדם והמכונה ובמטרה לצמצם את זמן הבדיקה באופן משמעותי. בדיקה בכיסוי רחב עוברת תהליך השוואתי ממושך אל מול הדגימות הקיימות במאגר ועל כן עלולה לגרום להמתנה ארוכה יותר ולפגוע בנוחות וחווית הנבדק. עובדה נוספת היא שלמרות שטביעות האצבעות הן ייחודיות, קיימות תכונות ואזורים שכיחים ודומים לרוב האוכלוסייה. כלומר, מראיית תוקף, שימוש בהם יצמצם את כמות הניחושים למערכת. כך הוכיח גם מחקר של אוניברסיטת מישיגן בארה"ב שהשתמש בתוכנת AI כדי לחולל את הטביעות השכיחות וע"י כך הוריד עוד את כמות הניחושים האפשריים. המשמעות היא שימוש בהתקפת ניחוש סיסמאות Brute force הכוללת תבניות וטביעות שכיחות אלו. תקיפה נוספת היא השגה פיזית של נתוני טביעות אצבעות ושימוש בהם בין אם ידוע כי הן משמשות לאותה מערכת במעבר הגבול ובין אם כחלק ממאגר Brute Force [7]. קיימים לא מעט מחקרים על מניפולציות על מדדים פיזיולוגיים, ואירוע זה מעלה בין היתר את הצורך לבדיקת חיות (שמטרתה לקבוע שהיא מתממשקת עם בן אנוש ולא עם חפץ, בוט או ספאם). זאת,  על בסיס מדדי דופק, ניתוח זרימת דם ועוד. ניתן גם להשתמש במערכות המבצעות דגימה של מספר אזורים כדוגמת העברת היד מעל סורק הדוגם טביעות למס' אצבעות ונותן מענה מצוין לחוויית המשתמש ורמת אבטחה גבוהה. כל שכן, סריקה זו מתבצעת ללא מגע פיזי עם המערכת אלא כמעבר מעל הסורק. הגנה נוספת היא צמצום כמות הניחושים הכושלים ולחלופין התרעה בעת אי יכולת לאמת את המדד הנבדק.

 

  1. מניפולציה על מערכות לסריקות גופניות (Body Scanners): [8]

מחקר  Security Analysis of a Full-Body Scanner שהתבצע ע"י אוניברסיטת סן דייגו ואוניברסיטת מישיגן עסק בניתוח של סורקי גוף מלא המשמשים במעברי גבול ובשדות תעופה לזיהוי חפצים מוסתרים על גוף הנוסעים, ובחן בניסוי וטעיה את היכולת להתל בהם ולפגוע בדיוקם בדרכים שונות (כדוגמת פגיעה ברזולוציה). גם כאן, מסקנת המחקר מעלה את הסיכון הקיים בניסוי וטעיה בראיית התוקף. לכן, יש לבצע כיול מחדש של המערכות והתוכנות בהתאם לאיומים והיכולות מפורסמות במחקרים ומתוך אירועים שקורים בשטח. המחקר מציע גם המלצות לשדרוג האבטחה כדי להתמודד עם האיומים המשתנים. אירוע זה ממחיש גם את אופן החשיבה בהגנה על מערכות הבידוק עצמן כתחנות קצה, על אחת כמה וכמה שחלקן מבדולות מהרשת ואינן מנוטרות או מפוקחות, מה שמאפשר סיכונים כדוגמת השבתה, שינוי פונקציונאליות וכד'. כך לדוגמא, היכולת להשיג נגישות למערכת בידוק בשעות בהן לא קיימות טיסות ולבצע תזמון להשבתה או שינוי פרמטרים והגדרות. אופן זה מחייב כאמור תהליך של הקשחת המערכת כתחנת קצה (לרבות ניטרול ממשקים וחיבורים ומניעת יכולת להחלפת שקעים), בקרות פיזיות למניעת התעסקות (Anti- Tamper)  אך גם תהליך פיקוח וניטור כדוגמת מצלמת אבטחה חיישנים או לחילופין תחת השגחה פיזית וכד'. [9]

אירועי התקיפה, הידע והניסיון המצטבר, לצד מוטיבציית היריב, מחייבים הפעלת צוותים אדומים לבחינת תרחישים מתקדמים אלו. אל מול שיטות העבודה והאיומים בעוקף בידוק, הנחת העבודה צריכה להבטיח כי כל מעגל אבטחה הוא מעגל נפרד, ללא תלות במעגל הקודם. כלומר, מעגל זה יבצע את תהליך העבודה והבדיקות ללא התחשבות בתוצאות הבדיקה שקדמו לו. הגם שהרציונל מבחינתנו הפוך, הוא משמש את היריב בצורה הפוכה לפיה כל מעגל שעבר זו למעשה התגברות על עוד מכשול ו/או חסם. לשיטה זו, תהליך התשאול חייב להיות מקצועי, תוך הבנה שלעתים הוא המוצא האחרון. לדוגמא: נוסע שעבר את כל מעגלי האבטחה, אך בתהליך התשאול נמצאו הצהרות שקריות, מסמכים מזויפים (גם אם לא נעשה בהם שימוש) ועוד.

 

הכותב הינו מומחה לתחומי האבטחה, טכנולוגיות HLS וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק. בוגר תואר שני ובעל הסמכות ממלכתיות ואזרחיות בעולמות האבטחה והסייבר. בין היתר עוסק בייעוץ ופיתוח עסקי לגופים וחברות ביטחוניות בנושאי תיכנון ובניית הגנה,  חדשנות וטכנולוגית אבטחה, תרגולים ואימונים בזירות האבטחה והסייבר.

 

 

 

[1] https://www.youtube.com/watch?v=8lO36l3RQGk

[2] https://www.youtube.com/watch?v=gDbfFUPACoI

[3] https://ian.sh/tsa

[4] https://i-hls.com/he/archives/99316

[5] https://i-hls.com/he/archives/107457

[6] https://i-hls.com/he/archives/117079

[7] https://arxiv.org/pdf/1705.07386

[8] https://cseweb.ucsd.edu/~kmowery/papers/secure-1000.pdf

[9] https://www.kth.se/social/files/59102ef5f276540f03507109/hardware_security__2017_05_08.pdf

 

למידע נוסף הרשמה לניוזלטר

RELATED ARTICLESMORE FROM AUTHOR