דף הבית   על אודות   צרו קשר   לפני האיתחול  
8 בינואר2019

תכלה שנה ופרצותיה - סייברסייבר מסכמים את 2018


נכון, הפודקאסט בן פרק אחד בלבד עד כה, אבל בגלל שכולם עושים את זה החלטנו גם אנחנו בכל זאת לסכם את שנת 2018 בסייבר סייבר. על מנת להאזין לפרק, כל מה שצריך לעשות זה להקליק כאן

DDoS

השנה נשברו שיאים חדשים בהיקף ובאיכות מתקפות מניעת השירות המבוזרות ברשת. על מתקפות מהסוג הזה כתבתי באריכות בבלוג של לודה ובלעם, אבל בגדול זו מתקפה בה מחשבים רבים פונים בעת ובעונה אחת לאתר אחד, או מערכת אחת, בניסיון להפריע למהלך התקין של הפעילות. פלטפורמת שיתוף הקוד גיטהאב, שנרכשה על ידי מיקרוסופט באמצע השנה ב-7.5 מיליארד דולר, סבלה כמה חודשים לפני כן ממתקפה כזו בהיקף של 1.3 טרהביט לשניה - הגדולה ביותר שנרשמה עד אז. הדרך שבה בוצעה המתקפה הזו שווה הטיה של המגבעת בכבוד - באמצעות שרתי memcached, שזה סוג של מסד נתונים שרץ בזיכרון. למרבה האימה, התקנה רגילה של מסד הנתונים הזה לא דורשת סיסמה, כך שבמקרים רבים אפשר פשוט לגשת אליו בחופשיות.

כמו כן, הסוג הספציפי הזה של מסד הנתונים גם מאפשר מה שנקרא בעגה המקצועית “הגברה” של מתקפה, וזה הולך בערך ככה: תוקף מרושע פונה למסד הנתונים עם בקשה בתוך חבילה קטנטנה במשקל 203 בייט, ומקבל בחזרה תשובה של 100 מגהבייט. זה מקדם של כמעט 50,000. עכשיו, התוקף המרושע יכול לזייף את הבקשה שלו כך שיראה כאילו הבקשה נשלחה מכתובת אחרת, במקרה שלנו הכתובת של הקורבן. הזיוף הזה מתבצע באמצעות שימוש בפרוטוקול UDP (בניגוד לפרוטוקול הנפוץ יותר - TCP) שפשוט לא מבצע שום בדיקה לגבי תוכן הבקשה. אני יכול להגיד שאני דונלד טראמפ, ואף אחד לא ישאל שום שאלות. המערכת תגיד “ברוך הבא מר טראמפ, את התשובה לשאילתה שלך אשלח ישירות לבית הלבן”. מכיוון שבדוגמה שלנו המון אנשים התחזו למר טראמפ, הבית הלבן קרס מעודף פניות.

על פי ההערכות, בפברואר היו כ-88,000 שרתי ממקאשד פגיעים כאלה ברחבי הרשת, כך שמספיק היה לבצע מספר בקשות לא גדול יחסית כדי לקבל אפקט מרשים ביותר של תקיפה. לא רע!

הדרך בה טופלה המתקפה הזו, אגב, היתה פשוטה יחסית. כל מה שהיו צריכים המגינים לעשות זה לחסום את פורט 11211, שזה פורט ברירת המחדל דרכו ניגשים לממקאשד, לגישה בפרוטוקול UDP.

fatair

ביג ביג דאטה

גם השנה עקבו אחרינו ואספו עלינו תועפות של מידע, וגם השנה המידע הזה הופעל נגדנו. בראשית השנה נחשפנו לפועלה המשוקץ של חברת “קיימברידג’ אנליטיקה”, שגוייסה לסייע לדונלד טראמפ לזכות בנשיאות ארה”ב. החברה רכשה מידע פייסבוקי על אזרחי ארה”ב והצליבה אותו עם מידע ממקורות אחרים - מי יכול היה להעלות על דעתו שפייסבוק תאפשר לרוגלה גישה למידע לא רק על מי שהיה תמים מספיק להתקין אותה, אלא גם על מי שהתאמלל מזלו להיות חברבוק של תמים כזה? במהלך החקירה של הברדק שהתגלה שם, נחשף כי קיימברידג’ אנליטיקה עשתה יד אחת עם עובד של חברת הרשע “פלנטיר”, המצליבה אפילו יותר נתונים מיותר מקורות מידע, בין השאר ממסדי נתונים ממשלתיים, מרישומי שיחות טלפון, מנתוני מערכות פיננסיות, וממצלמות אבטחה, על מנת להגשים את חזונו של אורוול לגבי 1984 בצורה יעילה אף יותר. אגב, המייסד השותף של פלנטיר, פיטר תיל, היה גם המשקיע החיצוני הראשון בתאגיד הריגול האזרחי פייסבוק וחבר דירקטוריון בו, וגם האיש שמימן תביעת דיבה שהביאה לסגירת אימפריית העיתונות הבועטת גוקר. ניק דנטון, מייסד גוקר, אמר על תיל: “אתה מגדיר את עצמך מחדש כנבל מספרי קומיקס”. באופן אירוני, התביעה הזאת עסקה בפגיעה בפרטיותו של המתאגרף הולק הוגן, שגוקר פרסמו סרטון סקס שלו.

פייסבוק, מקור מידע עצום, סבלה גם היא ממספר “דליפות” לא נעימות שחשפו מידע אישי ופרטי על עשרות מיליוני משתמשים, לכל הפחות. אבל לא רק דליפות בשוגג - הניו יורק טיימס חשף הסכמים בין החברה לבין 150 חברות אחרות לשיתוף מידע ש(פוטנציאלית) כלל גם הודעות פרטיות של המשתמשים בשלל מוצרי החברה. לא נעים.

הצפנה

ממשלת אוסטרליה, בחכמתה האינסופית, המתחרה רק בזו של חבר הכנסת מיקי זוהר, העבירה חוק הדורש מחברות טכנולוגיה להכניס דלתות אחוריות במערכות שלהן על מנת לאפשר לה גישה למידע מוצפן. ממשלת רוסיה גם היא לא טמנה את ידה בצלחת וקבעה כי על החברה מאחורי אפליקציית המסרים המיידים הפופולרית “טלגרם” להעביר לידיה את מפתחות ההצפנה שיאפשרו לה לנטר את ההודעות המועברות דרכה.

זה אולי הזמן להגיד כמה מילים על “טלגרם”, שנחשבת משום מה ל”פרטית” ו”בטוחה”, בשעה שהעובדות לא תמיד מתיישבות עם ההנחות הללו. העובדה שלטלגרם בכלל יש מפתחות שאפשר להעביר למישהו במידת הצורך היא דגל אדום עם ציור של דג מבאיש, שכן על פי הטענות ההצפנה שם היא כביכול “מקצה לקצה”, אז מה פתאום לחברה יש מפתחות שמאפשרים לה לקרוא את ההודעות?

כמו כן, כל הודעה שנשלחת באמצעות האפליקציה עוברת דרך דובאי, מדינה שחוקי הפרטיות בה הם, אפעס, פחות נוקשים. אני באמת לא מבין את אלה מכם שבוחרים להשתמש בה למרות כל האינדיקטורים שמדובר בסכנה ממשית לפרטיותכם, אבל - אני משתדל לבוז בדממה ולא לשפוט יותר מדי.

אגב, אולי שווה להתעכב שניה על המונח הזה “הצפנה מקצה לקצה”, כי הוא די חשוב. בגדול, כשאנחנו מתקשרים עם פייסבוק, למשל, הדפדפן שלנו מצפין באמצעות המפתח שלנו את ההודעה שאנחנו רוצים לשלוח, ומעביר אותה לפייסבוק באמצעות המפתח הציבורי שלהם. לודה ובלעם כתבו על זה בבלוג שלהם, מוזמנים לסור לשם ולקרוא על איך זה עובד. פייסבוק אחר כך לוקחת את ההודעה, מצפינה אותה, ומעבירה אותה למי שאתם מתכתבים איתו. בדרך, כפי ששמתם לב, פייסבוק יכולה לקרוא בדיוק מה אמרתם, כי היא מקבלת מידע מוצפן, מפענחת אותו, מצפינה אותו שוב, ושולחת אותו מוצפן. לא משהו. הצפנה מקצה לקצה אומרת שהמידע מוצפן בצד שלי באמצעות המפתח של בן (או בת) שיחי, ופייסבוק (או השרת שיושב באמצע) רק מקבל בלוק של טקסט מוצפן שהוא לא יודע לקרוא, ומעביר אותו הלאה. ככה אף אחד לא יודע לקרוא מה שכתבתי פרט לי ולבן (או בת) שיחי. העובדה שלטלגרם יש את המפתחות בכלל כדי לתת (או לסרב לתת, לכאורה, במקרה שלהם) - מדאיגה מאוד. התשובה שלהם היתה צריכה להיות כמו זו של סיגנל: “זה בלתי אפשרי כי פשוט אין לנו את המפתחות”.

ואפרופו סיגנל, האפליקציה היחידה שפועלת בקוד פתוח מלא ועברה ביקורות אבטחה רציניות, זה בדיוק מה שהם עשו: בעקבות החוק שעבר באוסטרליה, מסרה הפלטפורמה שגם אם ממש היתה רוצה - והיא לא - הטכנולוגיה שעומדת בבסיס המערכת לא מאפשרת הכנסה של דלתות אחוריות כאלה.

מפייסבוק, הבעלים של אפליקצית המסרים המיידיים הפופולרית “ווטצאפ”, נמסר: “חחחחחח, פרטיות”.

מלחמות הראוטרים

אנחנו לא תמיד חושבים עליהם ככה, אבל הנתבים (ראוטרים), המכשירים שבאמצעותם אנחנו מתחברים לרשת, הם בעצם מחשבים קטנים. מכיוון שכך, כמו כל מחשב, גם הם חשופים לפריצות, וזה בדיוק מה שקורה. זה לא חדש, כמובן, אבל השנה מספר המתקפות האלה עלה, וכך גם איכותן: במחצית הראשונה של השנה נחשף כי קבוצה “מכובדת” של האקרים רוסים עמדה מאחורי המתקפה שנקראה “VPN Filter” ושהדביקה קרוב לחצי מיליון נתבים מאוד פופולריים מתוצרת החברות לינקסיס, נטגיר ומיקרוטיק.

ההדבקה הזו היתה עשויה לאפשר לתוקפים הן לגנוב מידע שעובר דרך הנתב בדרכו לאתרי הרשת, והן “לכבות” את הגישה לרשת למאות אלפי בני אדם בבת אחת (על ידי השבתה מלאה של המכשיר לצמיתות, מה שנקרא Bricking, כלומר הפיכתו ללבנה או מעצור לדלת), ופוטנציאלית גם לשמש כרשת בוטים לצרכי DDoS אימתנzי.

על פי ניתוח של חברת “סיסקו”, מי שעומד מאחורי המתקפה הזו היא ככל הנראה קבוצת האקרים בשם “אנרגיהשחורה” (BlackEnergy APT), שככל הנראה קשורה בעבותות ל-, או מופעלת כולה על ידי-, ארגונים ממשלתיים רוסיים.

באוגוסט נחשפה רשת נוספת, שהפעם התמקדה בנתבים מתוצרת “מיקרוטיק”, אשר נועדה לכרייה של מטבעות קריפטו כדוגמת מונרו ואחרים. כדי לכרות מטבעות כאלו, צריך להפעיל מחשבים שיבצעו פעולות חישוב שמצריכות כוח חישוב גדול. אחת הדרכים האהובה על נוכלים היא כרייה באמצעות כמות גדולה של מחשבים, שקוד כרייה מושתל בהם בלי ידיעת בעליהם. המתקפה, שהחלה בברזיל, התפשטה ברחבי העולם ובשיאה ישבה על כ-170,000 מכשירים נגועים. הקטע כאן הוא שמיקרוטיק זיהו את החולשה שאיפשרה השתלטות על הנתב ושיחררו תיקון עוד באפריל, אבל בעלי המכשירים התעצלו, או לא ידעו איך, להתקין את התיקון הזה, ובכך חשפו את עצמם למתקפה המפוארת הזו. עוד נזכיר את מתקפת “רוגטקה”, או “סלינגשוט” בלעז, שהשתלטה על ראוטרים על מנת לתקוף מחשבים בלתי מוגנים ברשתות הפנימיות וככל הנראה הופעלה על ידי ארגון גדול שיתכן שעומדת מאחוריו מדינה, ואת “דממהנצחית” (EternalSilence) שהשתלטה על כ-45,000 נתבים במטרה לפרוץ לרשתות הפנימיות עליהם הם מגינים.

פרצות

גם השנה הצליחו גורמים פחות נחמדים לבזוז מידע משורה ארוכה של מערכות, כשהגדולה ביניהן היתה המערכת של רשת המלונות “מאריוט”, ממנה הצליחו אותם גורמים לשאוב מידע על כ-500 מיליון בני אדם, נתון מרשים בכל קנה מידה. על פי הדיווחים, המערכת נפרצה עוד ב-2014 ומאז עשו בה הפורצים כרצונם.

מערכת נוספת שנפרצה היתה זו של “Under Armour”, המפעילה את שירות “MyFitnessPal” למעקב ושיפור התזונה והפעילות הגופנית. הפורצים הצליחו לגשת למידע על כ-150 מיליון משתמשים, והקטע המדאיג בסיפור הזה הוא שהסיסמאות הוגנו על ידי אלגוריתם הצפנה בשם SHA-1, שהוא כל כך מיושן עד שסבא שלי נשלח הביתה מהגן בבושת פנים אחרי שהציע להשתמש בו, אי שם בווילנה של ראשית המאה הקודמת.

מתקפה אחרת, מגניבה לגמרי, נוהלה על ידי קבוצה תוקפנית בשם “מייגקארט” (Magecart). מה שעשתה הקבוצה הזו היה להשתלט על “שרשרת האספקה” של אתרים מכובדים, שזה אומר שהם לא חדרו למערכות עצמן, אלא רק החדירו קוד מרושע דרך ספקי צד ג’, ממש כמו בתוספי הנגישות, שמוכרים למאזיני הפרק הראשון של סייברסייבר. נניח שבמערכת של “טיקט מאסטר”, אתר מכירת כרטיסים מאוד פופולרי, שהיתה מוגנת במיטב ההגנות, התוקפים שינו קוד של מערכת אחרת בכלל, אבל כזו שהאתר עשה בה שימוש (למעשה היה מדובר בכמה מערכות - כמו Inbenta, תוספי שיתוף ברשתות חברתיות, מערכת CMS, ועוד). כך הקוד המרושע הגיע לדף התשלום של האתר, ותועפות של פרטי כרטיסי אשראי ובעליהם - פשוט נשלחו לשרתים זדוניים. על פי ההערכות, “מייגקארט” הצליחו להחדיר את הקוד שלהם למעל 800 מערכות בדרך הזו, ולקחו המון המון פרטים. לא נעים.

בריטיש איירוויז גם היא נהנתה השנה מפריצה לא נעימה, כאשר האקרים מתוחכמים לקחו פרטים על כ-380,000 לקוחות אשר שילמו בכרטיסי אשראי, כולל מספרי האשראי שלהם. המתקפה, אשר היתה דומה באופן חשוד למתקפות אחרות של קבוצת “מייגקארט”, השתילה קוד זדוני בדפי האתר ושלחה את המידע הנאסף לשרתים חיצוניים. ישנן טענות שמדובר בעצם באותה קבוצה, בעיקר בכלל האופי הדומה של המתקפה, אבל ראיות, אפעס, עדיין אין.

פרצות נוספות ששווה להזכיר היו באתר השאלות והתשובות קוורה (Quora) משם נלקחו פרטים על כ-100 מיליון משתמשים, חברת השיווק אקסקטיס (Exactis) ש”שכחה” קבצים עם מידע מלא על כ-340 מיליון משתמשי רשת על שרת פתוח, חברת הגניאולוגיה מיי-הריטג’ (MyHeritage) עם 92 מיליון משתמשים, תאגיד משחק הכדור FIFA עם 70 מיליון מסמכים ש”הושאלו” מהמערכות שלהם, גוגל פלוס עם חשיפה פוטנציאלית של 500 מיליון משתמשים (פירצה שהיתה המסמר האחרון בארון הקבורה של הרשת החברתית הכושלת), ופייסבוק, עליהם כבר דיברנו, עם (לכל הפחות) 87 מיליון משתמשים, למרות שבפועל כנראה מדובר על מספר גבוה משמעותית.

אחרון חביב - אדהאאר - המאגר הביומטרי ההודי. שר המשפטים וההייטק של הודו, ראווי שנקאר פראסד (Ravi Shankar Prasad), התרברב שהמערכת “שמורה במצב בטוח ומאובטח, שאי אפשר לפצח אפילו בשיטה המיליארד שתרצו לנסות”. ובכן. המאגר נפרץ לחלוטין, ופרטים שדלפו ממנו על 1.1 מיליארד אזרחי המדינה נמכרים במחירים מגוחכים לכל דורש. מזל שאצלנו זה לא יקרה והמאגר הביומטרי הישראלי לעולם לעולם לא ידלוף.

ובארץ

השנה היתה שנה כיפית במיוחד מבחינת חולשות האבטחה בארץ. שורה ארוכה מאוד של מערכות מצאו את עצמן עם כותרות בעיתונים על האקר נאה וחובב פחמימות שמצא את עצמו במערכות שלהם, אבל לא רק הוא. שירות בתי הסוהר, רשות התעופה האזרחית, איתוראן, שורה ארוכה של מערכות ממשלתיות, משרד הפנים, משרד החינוך שהמידע שלו דלף כבר 4 פעמים לפחות (ופירצה באפליקציית רמיני חשפה מיליון תמונות של ילדי גן ופרטי עשרות אלפי הורים), כביש 6, מגן דוד אדום, נמל אשדוד, כרטיסי סיבוס, דואר ישראל Be של שופרסל, זאפ, קופ”ח מאוחדת ועוד ועוד. בפעם האחרונה שבדקתי המספר שאני מודע אליו עמד על כ-130 מערכות, שזה לא מעט.

לכל המנמ”רים: נתראה ב-2019. תכינו את הבורקסים.


על מנת להאזין לפרק, כל מה שצריך לעשות זה להקליק כאן