סטודנטיות בטכניון מימשו מתקפת סייבר על “Waze”
בתמונה מימין: פרופסור ערן יהב, הדוקטורנט נמרוד פרטוש, מיטל בן סיני ושיר ידיד
סטודנטיות מהטכניון יצרו מערכת הגורמת לתכנת הניווט הפופולארית לדווח על פקקים מדומים. יצרו פקק מדומה שנמשך שעות וגרמו לנהגים לסטות מדרכם; המנחים שלהן בטכניון דווחו על כך ל”Waze” שבודקת דרכים למנוע מתקפות נוספות מסוג זה.
שתי סטודנטיות מהטכניון בנו, במסגרת פרוייקט בפקולטה למדעי המחשב, מערכת הגורמת לתכנת הניווט הפופולארית “Waze” לדווח על פקקים מדומים. באמצעות התכנה שבנו, הצליחו הסטודנטיות ליצור פקק שנמשך שעות וגרמו לנהגים לסטות מדרכם. המנחים שלהן הודיעו על המתקפה ל”Waze”, פירטו את הדרך שבה בוצעה ונענו על ידי סגן הנשיא לתפעול כי החברה בודקת דרכים למנוע מתקפות כאלה.
הרעיון לפרוייקט עלה במוחו של הדוקטורנט נמרוד פרטוש, כשנתקע בפקק ביחד עם המנחה שלו, פרופסור ערן יהב. “זה היה בקיץ שעבר. אמרתי לערן שאם היינו גורמים ל’Waze’, לפני צאתנו לדרך, לדווח לנהגים על פקק בכביש החוף, האפליקציה הייתה מפנה נהגים לכביש 4 ואנחנו היינו נוסעים לתל אביב על כביש החוף, בלי פקקים”, הוא נזכר בחיוך.
פרופסור יהב: “צחקנו והנושא לא עלה עד תחילת סמסטר חורף, אז פגשתי שתי סטודנטיות מצטיינות. הצעתי לנמרוד להציג להן את הרעיון ולתת להן להתמודד עם האתגר הזה, כפרוייקט סטודנטים”.
נמרוד הצליח לסקרן את שתי הסטודנטיות, שיר ידיד ומיטל בן סיני, הלומדות בטכניון במסגרת הפרוייקט היוקרתי “פסגות” – תוכנית המצויינות של העתודה האקדמית. שתיהן לומדות לתואר בהנדסת תוכנה והן לקראת סיומה של שנת לימודיהן הרביעית. “לא ידענו לקראת מה אנו הולכות”, הן מספרות. “ההצלחה בפרוייקט לא הייתה מובטחת, אמנם הרעיון לא נשמע חדשני אך יישומו מורכב ולכן נדרש מאיתנו להשקיע הרבה מאוד זמן ומאמץ”.
בהנחיתם של נמרוד ופרופסור יהב הן החלו בעבודה. תחילה כתבו תוכנה אשר מאפשרת יצירה אוטומטית של משתמשי “Waze” מדומים, עם כל תהליך ההרשמה. את רישום ה”משתמשים” החדשים, ביצעו באופן אוטומטי לחלוטין באמצעות כלי המדמה טלפונים חכמים על גבי המחשב. שתי הסטודנטיות נדרשו לכמה עשרות משתמשים מדומים כדי לבנות כל שלב של המתקפה, אך במהלך העבודה המאומצת הן יצרו ל”Waze” אלפי משתמשים פיקטיביים.
פרופסור יהב: “הן בנו מערכת שיודעת לעבוד מול האפליקציה של ‘Waze’, לרשום משתמשים חדשים באופן אוטומטי ולאחר מכן לזייף להם מיקום GPS, ובכך לדמות המצאות של המשתמשים הללו במקום מסוים”.
“בנינו אפליקציה המזייפת מיקום GPS וגורמת למערכת לחשוב שהמשתמש נוסע במיקום לבחירתנו. מאוד הופתענו ש’Waze’ התיחס לזה”, צוחקות שיר ומיטל.
בשלב השלישי הן יצרו תבנית נסיעה שתגרום ל”Waze” לחשוב שמדובר בפקק. הן ניסו וריאציות שונות. “זה היה החלק הכי קשה בפרוייקט”, הן אומרות. “היינו צריכות להיכנס לראש של ‘Waze’. עשינו המון ניסויים ברחבי קמפוס הטכניון בחיפה. התחלנו בדימוי נסיעה איטית ורצופה, לאחר מכן הוספנו נסיעה מהירה לפני הנסיעה האיטית ובשלב האחרון הוספנו עצירות בנקודות זמן שונות”.
לבסוף עלו על הנוסחה ואכן הצליחו ליצור פקק של כמה שעות.
למתקפה שיצרו הסטודנטיות עשויות להיות השלכות מרחיקות לכת, שכן היא יכולה להרחיק נהגים מכביש אגרה ולגרום לו לפשיטת רגל, או ליצור פקקים מדומים ליד מרכולים או מרכזי קניות ולגרום ללקוחות לנסוע למתחרים.
“אנו מאמינים שבעקבות פנייתנו תדע ‘Waze’ למצוא דרך למנוע מתקפות כאלה”, אומר נמרוד פרטוש, העושה את הדוקטורט שלו באנליזה של תכנה, בהנחיית פרופסור ערן יהב, מומחה לאנליזה של תכנה.
פרופסור יהב: “ברצוני להודות לנוסעים האחרים שלנו בקיץ ההוא, שתרמו רעיונות רבים. בנוסף גם לדוקטורנט מוטי גורי מאוניברסיטת בן-גוריון שהציע רעיונות להגנה מפני ההתקפה, ולמטה הסייבר הלאומי ומשרד המדע שתומכים במחקרים מסוג זה”.
לינק לסרטון של נמרוד פרטוש המסביר את הפרוייקט:
http://www.cs.technion.ac.il/~nimi/waze/waze.html