התמודדות ארגונים עם פשעי מחשב
השימוש במתקפת מניעת שירות ע"י האקרים יובל אלון וגיל ֶּב ר – משרד מבקר אל על מתקפות מניעת שירות משמשות האקרים ככלי להשבתת אתרים ושירותי אינטרנט ,ואף כהסוואה לפשעי מחשב אחרים :גניבת מידע ,השחתה ,ריגול תעשייתי והונאות .מידיי שנה מתמודדים ארגונים רבים עם מתקפות מניעת שירות ,אשר משתכללות ומשתנות ללא הרף .מהם הסיכונים ,והאם יש מענה למתקפות מניעת שירות? מתקפת מניעת שירות Distributed Denial of service (תקרא להלן (DDOS משמשת קאסם" פועלות כנגד גופים מסוימים ומתקיפות אתרי אינטרנט ושירותים. כפרקטיקת תקיפה שכיחה בעולם הסייבר , ומהווה מקור דאגה עבור ארגונים ,חברות .החשש גדול במיוחד באתרי סחר אלקטרוני וממשלות .מטרת מתקפת מניעת שירות כשמה ואתרים פיננסיים ,מבוססי .1Https כן היא – למנוע גישה לאתרים ולשירותים , במטרה לפגוע בארגון המציע את איך זה עובד? השירות .אולם ,כפי שיתואר בהמשך המאמר, מניעת שירות הנו פשע קיברנטי במסגרתו מטרת מתקפת מניעת שירות איננה בהכרח התוקף מלאכותית , השבתת אתר ,כי אם לעתים הסוואה לצורך החוסמת את הגישה לאתר עבור משתמשים ביצוע פשעי מחשב אחרים. לגיטימיים. מאמר זה יבקש לנתח את התופעה ,את דרכי ההתמודדות עמה מייצר ולהציע פתרונות ארגוניים. תעבורת הדבר דומה רשת להמוני אנשים המתגודדים במכוון בכניסה לבית עסק ,מתוך כוונה להפריע לגישת הלקוחות . מתקפות מניעת שירות החלו עוד מראשית מתקפות סייבר על מוסדות ובנקים ברחבי עידן האינטרנט ,כשמחשבי PCהודבקו בקוד העולם מסמנים עידן חדש בפשעי מחשב .מאז ספטמבר ,2102בנקים בארה"ב מתמודדים , תוך הצלחה חלקית בלבד ,עם מתקפות מניעת שירות של קבוצות האקרים ואקטיביסטים הפועלים על פי רוב מטעם עצמם .בחלק מהמקרים קבוצות האקרים מאורגנות דוגמת "לוחמי הסייבר – עז עדין אל .Hypertext Transfer Protocol Secure – Https 1זהו פרוטוקול תקשורת המבוסס על פרוטוקול ,Httpתוך הוספת שכבת SSL\TLSהמקנה יכולת הצפנת מידע. השימוש בפרוטוקול זה נעשה באתרים המבקשים לאבטח נתונים רגישים ואימות הנעשה מול המשתמש, ונועדו בראש ובראשונה לאתרים פיננסיים. יובל אלון וגיל בֶּר השימוש במתקפת מניעת שירות ע"י האקרים זדוני שנקרא .2Malwareמחשבים אלו נקראו "בוטים" או "זומבים". הכינוי בוט נולד מהמילה רובוט ,והוא מתאר תוכנה אוטומטית המבצעת פעולות וגישות ממחשבים ורשתות .בוטים נשלטים על ידי מפעיל 3C&Cהמצוי תחת שליטתו של התוקף , ההאקר ,אשר קרוי גם .Botmaster מחשב "יודבק" בקוד זדוני ע"פ רוב ע"י שתילה של קוד שהוצמד לתוכנה לגיטימית או שירות שהמשתמש היה מעוניין לקבל במחשב .לא חר הדבקת המחשב בקטע תוכנה זדוני ,ניתן לשדר למחשב פקודות לביצוע הפצת ,Sapmאירוח והפצה של קוד זדוני למחשבים אחרים ,תקיפת מחשבים אחרים וכל כיוצא באלה .את הפקודות מקבל המחשב באמצעות מחשב הפיקוד ( ,)C&Cבאמצעות מסרי צ'אט ( )IRCאו באמצעות רשתות נקודה לנקודה (.)P2P סוגים של מתקפות :DDOS מתקפות DDOSניתן לסווג לשלושה סוגים עיקריים: . 1מתקפת הצפה :במסגרת מתקפת הצפה ,ההאקר מנסה לתפוס את כל רוחב הפס של השרת המותקף .הפניה תעשה במגוון פרוטוקולים,4UDP : – Malware 2נוזקה :תוכנה שמטרתה לחדור או להזיק למשתמש ללא ידיעתו של המשתמש בו .ייקרא להלן "הקוד הזדוני". – Command and Control Server 3שרת פיקוד ובקרה. :User Datagram Protocol -UDP 4פרוטוקול תקשורת השייך לשכבת התעבורה במודל שבע השכבות של .OSIהפרוטוקול מאפשר העברת נתונים בלתי מהימנה הנועדה לשירותים בהן יש לספק דיוור מהיר ואין הכרח ב דיוור חוזר של מנות מידע אשר הושחתו או לא הגיעו ליעדן .דוגמאות.VOIP ,DNS : 5ICMPו ,6DNS-עד למצב שמשתמש לגיטימי המבקש לפנות לאתר לא יצליח לעשות כן .דוגמא :התוקף שולח לשרת המותקף כמות אדירה של תעבורת הודעות .השרת המותקף מקבל את ההודעות ומתקשה לתפקד לאורך זמן ,כיוון שכל רוחב הפס של חיבור האינטרנט שלו "נסתם" על ידי הודעות סרק. . 2מתקפת מצב -חיבור :לכל התקני הרשת ,דוגמת חומת אש ,שרתי אינטרנט וכד' ,יש טבלאות פנימיות המתעדות חיבורים פעילים לשרת . במסגרת מתקפת מצב -חיבור ,ההאקר מייצר חיבורים רבים לשרת המותקף ו - "מזבל" את טבלת החיבורים הפעילים עד שהיא מלאה .במצב זה ,משתמש לגיטימי שמבקש ליזום Sessionחדש לשרת המותקף ,מקבל הודעת שגיאה כיוון שהשירות המתעד את החיבורים הפעילים עמוס לעייפה בחיבורי סרק . דוגמא :התוקף פונה לשרת המותקף ומתנתק ,וחוזר חלילה .טבלת "חיבורים פעילים" מתמלאת עד כדי מצב שמשתמש לגיטימי אינו יכול להתחבר כחיבור פעיל כיוון שטבלה זו מתמלאת עד אפס מקום . . 3מתקפת זליגת זיכרון :בדומה למתקפת מצב -חיבור ,התוקף פותח Sessions :Internet Control Message Protocol- ICMP 5שירות שהנו חלק מחבילת פרוטוקולי תקשורת ברמת שכבת הרשת במודל שבע השכבות של ICMP .OSIהוא שירות המייצר הודעות אבחון וניתוב בפרוטוקול ,IP ולרוב משמש כשירות אבחון תקלות .בדומה ל ,UDP-גם הודעות אלה עטופות ישירות בחבילות IPאחת ולכן אין הבטחת מסירה במסגרת שירות זה. :Domain Name Server – DNS 6פרוטוקול המאפשר גישה לבסיס נתונים מבוזר ,על מנת שיחידות קצה ברשת האינטרנט יוכלו לתרגם שמות תחום ( )Domain nameהנוחים יותר לשימוש אנושי טבעי (ה )URL-לכתובות הנומריות האמיתיות (כתובות )IPאליהן הן יפנו בזמן ההתקשרות .באמצעות הDNS- ניתן להציע שירותים מבוססי שם נוספים ,כגון רישום של שרתי דואר. יובל אלון וגיל בֶּר השימוש במתקפת מניעת שירות ע"י האקרים רבים ברמת האפליקציה עד כדי מצב שבו כל המשאבים האפליקטיביים "חנוקים" .דוגמא :פניה לאתר Https מאובטח והקלדת שם משתמש וסיסמא שגוים .המערכת בודקת את הנתונים ומחזרה תשובה כי שם המשתמש והסיסמא שגוים .התוקף חוזר על פעולה זאת שוב ושוב עד מצב שבו שירות שם המשתמש והסיסמא עסוק בכ" כ הרבה בקשות סרק עד כדי שבקשות לגיטימיות לא מטופלות או מטופלות בשיהוי ניכר אשר גורם למשתמשים לגיטימיים להתנתק. העוצמה ,משך הזמן ותדירות מתקפות ה - DDOSעלת ה באופן ניכר בשנים האחרונות . בהתאם לדיווח חברה לאבטחת מידע ,ניכרה עליה של כ 88%-בכמות מתקפות ה DDOS - ברבעון השלישי של ,2112בהשוואה לתקופה אשתקד .כמות המנות לשנייה ( )PPSעלה אף הוא בהשוואה לרוחב הפס .ב 2113/3/11- שרתי דואר אינטרנטיים הואטו העולם ושידורי משמעותית וידיאו בעקבות מתקפת הסייבר הגדולה בהיסטוריה ,אשר כוונה נגד ספמהאוס – ארגון עולמי הפועל מלונדון ומז'נבה במטרה לנקות את האינטרנט מדואר זבל .עד מהרה הוכתרה כמתקפה הגדולה ביותר בהיסטוריה :בשעות השיא נמדדו תעבורות רשת ואתרים . סיכונים שמייצרת מתקפת : DDOS בטרם יוצגו מענים אפשריים להתמודדות עם ,DDOSיש למפות את הסיכונים והאיומים הפוטנציאליים. מעבר לאיום הטבעי של מתקפת של .300Gb\Sec במסגרת המתקפה ,הופלו שירותי DNSרבים ובעקבותיהם נחסמה הגישה לבנקים ואתרים מאובטחים באבטחה החזקה ביותר האפשרית . DDOS שהינו השבתה של שירות או אתר למשתמשים לגיטימיים ,מתקפות DDOSטומנות סיכון נוסף ,והוא שימוש במתקפת DDOSכהסוואה לפשעי מחשב אחרים :על פי ניתוח מגמות בעולם הפשע הקיברנטי ,מתקפות מגמות במתקפות :DDOS בכל הכרוכים במתקפות אלה לשלל יישומים DDOS מתרחשות לעתים קרובות בשילוב של פשעי מחשב אחרים .במקרים אחדים התגלה כי מתקפת DDOSבאה לחפות על ניסיון חדירה לרשת וגניבת מידע .מטרת המתקפה הייתה להעסיק את אנשי התשתיות בארגון במתקפת מניעת שירות ,בעוד והמטרה האמיתית נותרה נוחה וחפה מבקרה הדוקה .הדבר מתיישב היטב עם הערכה שבוצעה ע"י ,Sonyלפיה מתקפות קיברנטיות שלוו במתקפות DDOS גרמו לנזקים ישירים בהיקף של 7$170Mבשל גניבת נתונים על לקוחות, מספרי כ.א , סיסמאות ונתונים רגישים אחרים .גם מחלקת החקירות בממשל הפדרלי של ארה" ב הזהירו את המוסדות הפיננסיים שחל ק ממתקפות ה - DDOSנועדו ע" פ רוב לשמש כהסחה .ע"פ האזהרה ,המתקפות החלו לפני או אחרי ביצוע פשעי מחשב ונועדו להסיט את תשומת לבם של אנשי התשתיות בעוד והאקרים גונבים מקרה זה יכול ללמד היטב מה כוחה של מתקפת DDOSמאורגנת היטב ,ומה הסיכונים 7לקריאה מורחבת ראו: http://www.reuters.com/article/2011/04/26/usSony sony-stoldendata-idUSTRE73P6WB20110426 PlayStation suffers massive data breach יובל אלון וגיל בֶּר השימוש במתקפת מניעת שירות ע"י האקרים מידע ,גורמים נזקים לתשתית הטכנולוגית של הארגון המותקף או מבצעים ריגול תעשייתי . היבטים עסקיים במתקפות :DDOS השלכות של מתקפת DDOSעשויה להיות סיכון נוסף שמייצרת מתקפת DDOSהנה משמעותית לכל ארגון או שירות המחזיק אתר מחשוב הענן .מחשוב הענן מהווה מגמה אינטרנט. כספיים בולטת מאוד בעולם ה .IT -חברות וארגונים ותדמיתיים ,כפי שמראה הדוגמא של חברת מידע .Sonyמס' שעות בהן אתר סחר אלקטרוני או ואפליקציות הנגישות מכל מקום .מתקפות אתר מכר של חברת תעופה מושבת – עשויות DDOSעשויות לחסום גישה למשאבי ענן ובכך להיות מתורגמות להפסד של מיליוני דולרים, לא רק ליצור מניעת שירות קלאסית – בפני להכעיס לקוחות רבים המסתמכים על שירות רבים ענני מייצרים מידע ומהם זאת, לנזקים בנוסף לקוחות או משתמשים לגיטימיים ,כי אם Line לשתק פעילות פנים ארגונית .לדוגמא :מערכת ציבוריים עשויים להיגרם נזקי עתק כתוצאה אפליקטיבית המשרתת סניפים של חברה מהשבתת האתר. .On לארגונים המספקים שירותים הפזורים בכל רחבי הארץ אינה פועלת ,בשל חסימת רוחב הפס של שירות הענן .תרחיש זה האתגר – מי חשוף בצריח? יכול בהחלט להקשות על פעולות של ארגונים כל מרכיב המחובר לאינטרנט עד אחרון ושירותים ,ויש לקחתו בחשבון בעידן מחשוב השרתים ,חשוף למתקפת .DDOSנהוג להניח הענן. כי כיום מרכיבים רבים אינם ממוגנים בפני המוטיבציה למתקפת :DDOS התקפות .DDOSאמנם ה "-לקוח" העיקרי של המניע הראשון והעיקרי של מתקפות ,DDOS היה ונותר אקטיביזם ומחאה של האקרים הפועלים ממניע אידאולוגי .לאחר מכן ניצבים מניעים אחרים ,דוגמת הונאות כספיות ותחרות מסחרית בין חברות. מתקפות על רקע אידאולוגי או פוליטי יהיו לרוב כנגד מטרות פוליטיות ,ממשלתיות או ארגונים חברתיים המזוהים עם המטרה שבה נלחם ההאקר. אמנם פעילות האקרים ממניעים אידאולוגיים אינה דבר חדש ,אולם כלי מניעת שירות ממכונים – המאפשרים לכל המעוניין להצטרף למתקפות DDOSכנגד ארגונים או מוסדות – היא חידוש של ממש בתחום .ישנם כלים ממוכנים דוגמת תוכנת LOICו HOIC - המאפשרים למשתמש לתקוף עד 252כתובות Webבכלי אחד . השלכות מתקפת :DDOS פגיעה במותג ובתדמית הפרת חוזה והפרת רמת שירות אליה מחויב הארגון אבדן ביטחון של משקיעים הפרעה לשירות ומכירות הפרעה לקיום תהליכים בליבת הפעילות העסקית הוצאות שיווק ,פרסום ובקרת נזקים לאחר אירוע DDOS מתקפות DDOS הנו ממשלות וחברות יובל אלון וגיל בֶּר השימוש במתקפת מניעת שירות ע"י האקרים המספקות שירותים ציבוריים ,אשר מטבע פניות ממקור מסוים ,ובכך להוציא את העוקץ הדברים צברו להן "אויבים" ,אולם יש להניח כי של מתקפה המגיעה ממקום מסוים. ככל שתורחב הנגישות לרשת האינטרנט ,ובד בדומה ל ,ISP- קיימים ספקים בתחום בבד מתקפות ה DDOS -יגדלו ,גם חברות אבטחת בינוניות וקטנות יעמדו בפני מתקפות בשל להתמודדות עם מתקפות – DDOSכלי ניטור סכסוכים עסקיים ואולי אף סכסוכים אישיים . תעבורת רשת המסוגלים להתמודד עם הצפה. המידע ה מציעים מספר כלים כלים אלו מותאמים לארגונים קטנים ותאגידי איך מתמודדים? ענק. חשוב כי לזכור כלים ייעודיים לאחר שנסקרו התמורות והשינויים שחלו להתמודדות עם DDOSיהיו לעולם עדיפים על ב עת האחרונה בכל הקשור למתקפות ,DDOS מודול (פיצ'ר) כזה או אחר בחומת האש ותרחישי הארגונית ,שכן הטכניקות משתנות ללא הרף מתקפות שכאלה ,נשאלת שאלת ההתמודדות ורק כלי מעודכן על בסיס יומי יצליח לנטר והתגובה של חברות ,ממשלות וארגונים כנגד ולסייע במניעת מתקפות . ולאחר שביצענו מיפוי סיכונים מתקפות .DDOSכיום ,מוצעים מספר פתרונות האמורים להגן על הארגון מפני מתקפות :DDOS יש לזכור כי מניעה מוצלחת של DDOS תעבורת הרשת מחייבת ניטור 22/ 7 של הנכנסת .ב כל עת חשוב להבחין בין תעבורה 8 - ISPהמפתח לגיטימית לבין מתקפה .יש לזכור כי לא כל DDOSמצוי לרוב אצל "גל" של פניות לאתר הנו בהכרח מתקפה. ספקית האינטרנט .לספקית האינטרנט יכולת פניות המוניות לשירות מסוים יכולות להיגרם ניטור מתקדמת של תעבורת רשת אל שרתים לאחר פרסומת בטלוויזיה ,בעת הכרזת מבצע של ארגון מסוים – הן מכיוון שיש לה את או ביום אחרון לתשלום של שירות מסוים .לכן הכלים הטכנולוגיים ,והן בשל העובדה שיש מעבר לאבחון וניטור חשוב שאנשי התשתיות לה מקורות ייחוס (אתרים ומשאבים אחרים ומערכות המידע יהיו מודעים לאסטרטגיה להם הספקית נותנת שירות) .בשל כך ,קיימים העסקית של הארגון והשינויים המקצועיים בו . שירות אבחון ומניעה של למניעת מתקפות כלים המסוגלים לאבחן בזמן אמת מתקפה ולהסיט פניות ממקור מסוים לשרתים אחרים . סיכום כך ,פניה מסוג מסוים אשר אובחנה כמתקפת מתקפות DDOSהטביעו ללא ספק חותם DDOSתנותב באמצעות ה DNS-לשרת משמעותי בעידן המידע .כלים חינמיים ,קבצים כלשהו ,בעוד פניה של לקוח לגיטימי תנותב באתרי שיתוף ותוכנות תמימות ,מכילות נוזקות לאתר הפעיל של הארגון .זהו אמנם לא סגירה וקודים זדוניים אשר הופכים את המחשב הרמטית ,אולם יש בו כדי לסכל "גלים" של לזומבי וכלי שרת בידיהם של האקרים .ביום פקודה, אלפי מחשבים לוקחים חלק במתקפות כנגד שרתים וזאת בלא ידיעת 8 :Internet Service Provider –ISPספקית האינטרנט. הבעלים של המחשבים או רשותם .זאת , יובל אלון וגיל בֶּר השימוש במתקפת מניעת שירות ע"י האקרים במקביל לכלים ממוסדים אשר מאפשרים לכל לשים לב היטב לתעבורת הרשת הנכנסת המעוניין להקליד כתובות של אתרים ולהתקיף אליהם ,ותוך שימוש בכלי בקרה וניטור לדעת אותם בשל אג'נדה כזאת או אחרת .בשל כך, לתת מענה מהיר כדי להתמודד עם הסיכון רב ביעדים מתקפות DDOS מסוגלות לייצר נזק לארגונים ,ממשלות ויחידים .על האחרונים שבמניעת השירות, העסקיים של הארגון משרד מבקר אל על | מרץ2104 , תוך פגיעה
© Copyright 2024