Download Report

‫הנדון‪ :‬מידע היערכותי לקראת תקיפה אנטי‪-‬ישראלית בסייבר "‪ "#OpIsrael‬בתאריך ה‪7-‬‬
‫לאפריל‬
‫רקע‪:‬‬
‫"מבצע ‪ "OpIsrael‬הינה פעילות התקפית אנטי‪-‬ישראלית מתואמת במרחב הסייבר‪,‬‬
‫המתבצעת על‪-‬ידי מספר קבוצות האקרים מרחבי העולם בתאריך ה‪ 7-‬באפריל (המועד‬
‫עליו הכריזו בפומבי קבוצות אלו)‪ ,‬כל שנה מאז שנת ‪.2013‬‬
‫קבוצות אלו מזהות עצמן עם קהילת האקטיביסטים ‪ Anonymous1‬ועל פי רוב‪ ,‬מעשי הפשיעה בסייבר‬
‫שהן יוזמות במהלך פעילותן מיועדים ליצירת הד תקשורתי‪ ,‬הפחדת הציבור והעברת מסרים פוליטיים‪.‬‬
‫לאור ניסיון העבר מהשנתיים האחרונות‪ ,‬פעילות זו התרחשה בימים שלפני ואחרי מועדה הפומבי של‬
‫התקיפה ב‪ 7-‬בפאריל‪ ,‬לפיכך‪ ,‬עולה הסבירות כי גם השנה מתקפה זו תתפרס על פני מספר ימים‪.‬‬
‫סוגי תקיפות‪:‬‬
‫במסגרת פעילות זו ישנן מספר סוגי תקיפות נפוצות (כאשר לכל אחת מהתקיפות מגוון רחב של דרכים‬
‫וכלים לביצוע)‪ ,‬להלן‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫התקפות מניעת שירות ‪ DoS2‬ובפרט התקפות מניעת שירות מבוזרות ‪DDoS‬‬
‫חדירה למאגרי נתונים והדלפת מידע‬
‫תוכנות כופר ‪RansomWare3‬‬
‫השחתת אתרי אינטרנט ‪Defacement4‬‬
‫יעדים לתקיפה‪:‬‬
‫יעדי התקיפה הטיפוסיים על בסיס ממתקפות קודמות הם‪ :‬אתרי ממשל‪ ,‬בנקים‪ ,‬אוניברסיטאות‪ ,‬עמותות‪,‬‬
‫עסקים קטנים‪ ,‬עיתונים בישראל ואף משתמשים פרטיים‪ .‬בשנים עברו היקף הפגיעה היה שולי יחסית‪,‬‬
‫והתקיפות שנצפו לא היו ממוקדות‪ .‬אולם‪ ,‬אין לכך כל ערובה ויתכן כי בחסותה של פעילות זו יבצעו‬
‫התוקפים תקיפות ממוקדות נגד ארגונים או יעדים ספציפיים‪.‬‬
‫סימנים מקדימים לתקיפה‪:‬‬
‫בשבועות האחרונים‪ ,‬מזוהה התארגנות לקראת מתקפה בהיקף נרחב ואנו עדים למספר סימנים מקדימים‬
‫במרחב הסייבר הישראלי‪:‬‬
‫‪‬‬
‫פרסום הודעה פומבית ברשת‬
‫כדוגמאות לפרסום ניתן להתייחס להודעות להלן‪ :‬בחודש דצמבר ‪ 2014‬פורסם בשמם של‬
‫קבוצת התוקפים ‪ AnonGhot‬סרטון בשם "‪ 5"Cyber Saudi #OpIsrael 7/4/2015‬הקורא‬
‫לפתיחת סבב תקיפות ב‪ 7-‬לאפריל ‪ .2015‬כמו כן‪ ,‬הודעה ברוח דומה פורסמה בדף הטוויטר‬
‫"‪.6"OpIsrael‬‬
‫‪‬‬
‫הדלפת מידע שנגנב בפריצה למאגרי נתונים‬
‫בשמה של קבוצת התוקפים "‪ "AnonGhost‬פורסמו הודעות באתרי שיתוף שונים‪ ,‬בהן צוינו כי‬
‫חבריה פרצו למאגרי נתונים ישראליים וכי בכוונתם להדליף ב‪ 7-‬לאפריל את המידע שנגנב‬
‫במסגרת פעילות "‪ ."#OpIsrael‬כמו כן‪ ,‬בתקופה האחרונה מפורסמות רשימות הכוללות שמות‬
‫‪Wikipedia – Anonymous 1‬‬
‫‪Wikipedia - DoS 2‬‬
‫‪- RansomWare 3‬‬
‫‪Wikipedia - Defacement 4‬‬
‫‪https://vid.me/Ucbf 5‬‬
‫‪https://twitter.com/op_israel 6‬‬
‫משתמש‪ ,‬סיסמאות ופרטי כרטיס אשראי כביכול של ישראלים‪ .‬בעוד שמרבית הפרסומים‬
‫מכילים פרטים שגויים או לא עדכניים המיועדים לצבירת הצלחה תודעתית בלבד‪ ,‬מיעוטן של‬
‫הרשימות מכילות מידע אותנטי‪.‬‬
‫‪‬‬
‫פריצה מקדימה לאתרים ישראלים והשחתתם‬
‫בזמן האחרון מורגשת עליה בניסיונות של קבוצות האקרים עצמאיות להשחית עשרות אתרי‬
‫אינטרנט ישראלים שונים‪ ,‬עד כה בהצלחה מוגבלת מול אתרים קטנים בלבד‪ .‬אפשר‪ ,‬כי מדובר‬
‫בפעילות מקדימה לקראת "‪."#OpIsrael‬‬
‫כלי תקיפה אשר שימשו בהתקפות קודמות‪:‬‬
‫כלי מניעת שירות ‪DoS‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪ - LOIC7‬משמש לביצוע מתקפת מניעת שירות מבוזרת (‪ )DDoS‬על‪-‬ידי צירוף מספר רב של‬
‫תוקפים במקביל להצפת ‪ TCP‬או ‪ UDP‬המיועדות ליצור עומס על חומרת השרת הנתקף‪.‬‬
‫‪ – HOIC‬כלי מקביל ל‪ .LOIC-‬מאפשר לתקוף באמצעות הצפת ‪HTTP‬ומכיל אמצעים להגברת‬
‫אפקטיביות התקיפה כמו רשימה מתחלפת של עד ‪ 256‬יעדים מותקפים‪.‬‬
‫‪ – Anonymous External Attack‬כלי שורת פקודה הבנוי בשפת ‪ ,#C‬המשמש להצפת‬
‫הקורבן ב‪ 4096-‬חבילות מידע (‪ )Packets‬בשניה‪.‬‬
‫‪ – ByteDoS‬משמש לתקיפות הצפת ‪SYN‬ו‪ ,ICMP-‬המיועדות ליצור עומס על חומרת השרת‬
‫הנתקף‪.‬‬
‫‪ – PyLoris‬כלי בשפת ‪ Pyton‬המשמש לניצול חולשת ‪ SlowLoris‬לצורך פתיחת מספר רב של‬
‫התקשרויות ‪ TCP‬מלאות במקביל על מנת לחרוג ממגבלת התוכנה של השירות הנתקף‪.‬‬
‫‪ – DoSHtTTP, BerBoToss, Moroccan Attacker, Anonymous Doser‬כלים שונים לתקיפת‬
‫יעד בודד באמצעות הצפת ‪.HTTP‬‬
‫כלי ‪SQL Injection‬‬
‫‪‬‬
‫‪ - Havij‬מאפשר סריקה אוטומטית של אתרים לאיתור וניצול חולשות ‪.SQLi‬‬
‫‪Wikipedia - LOIC 7‬‬
‫הנחיות אבטחת מידע מומלצות‪:‬‬
‫‪ .1‬התמודדות עם מתקפות ‪:DDoS/DoS‬‬
‫‪ ‬ישנם מספר דרכים להתמודד עם מתקפת ‪ – DDoS/DoS‬כדי להתמודד עם מתקפות מניעת‬
‫שירות ‪ , DoS‬ומומלץ לארגונים בישראל לקדם מענה מול מתקפות מניעת שירות באמצעות‬
‫שירותים הניתנים על ידי גופים שונים בישראל‪ ,‬הכוללים פתרונות לזיהוי והפחתת מתקפות‬
‫נפח ו‪/‬או שימוש במוצרים בתחום הזה‪ .‬להרחבה בנושא ניתן לקרוא בקישור הבא‪:‬‬
‫‪A Cisco Guide to Defending Against Distributed Denial of Service Attacks‬‬
‫‪ .2‬התמודדות עם תקיפות אתרים‪:‬‬
‫‪ ‬יש לבצע באופן שוטף עדכוני אבטחה לשרתי ה‪ Web-‬ולמערכות ההפעלה‪.‬‬
‫‪ ‬במקרה של שימוש במערכות ‪ )Content Management Systems(CMS‬נפוצות‪ ,‬כגון‪:‬‬
‫‪ Wordpress, Joomla, Drupal‬וכיו"ב – מומלץ לבדוק את הגרסה המותקנת ובפרט את‬
‫גרסותיהם של התוספים (‪ – Plugins‬בהם מצויות רוב החולשות)‪ .‬לבדוק האם קיימת חולשה‬
‫ידועה לרכיבים אלו ולהתקין את עדכון האבטחה שהופץ עבורה‪ .‬ככלל‪ ,‬מומלץ מאוד לעדכן‬
‫לגרסה האחרונה שהופצה‪ .‬בנוסף‪ ,‬חשוב לבצע עדכון גרסאות לתוכנות אפליקטיביות מסוג‬
‫‪ Flash, Adobe Reader, Office, Java‬וכדומה‪.‬‬
‫‪ ‬יש לבדוק את תקינותם של שדות הקלט באתר ולוודא כי אינם מאפשרים הכנסת תווים‬
‫שאינם נדרשים או תואמים את הערכים הצפויים‪.‬‬
‫‪ ‬להפעיל ניטור לוגים (‪ )Logs‬על שרת ה‪Web-‬לאיתור פניות חריגות ובכדי לאפשר יכולת זיהוי‬
‫תקיפות בדיעבד‪.‬‬
‫‪ ‬לוודא כי ה‪ Firewall-‬החיצוני מגן על השרתים ומאפשר רקגישה בפרוטוקולים המתאימים‪.‬‬
‫‪ .3‬התמודדות עם פוגענים למחיקת‪/‬הצפנת נתונים (‪:)RansomWare/Wipers‬‬
‫‪ ‬לוודא קיומו של ‪ Anti-Virus‬מעודכן עדיף כזה הכולל מנגנון ‪.Host-IDS‬‬
‫‪ ‬מומלץ שמערכות סינון הדואר האלקטרוני יחסמו כניסת קבצי הרצה כגון‪EXE, MSI, CAB, :‬‬
‫‪ BAT, CMD‬וכדומה‪.‬‬
‫‪ ‬להדריך ולחנך את העובדים לאבטחת מידע‪ .‬להגביר את המודעות באופן כללי ובפרט בזמן‬
‫זה‪ .‬לא להתפתות לפתוח הודעות מגורמים לא מוכרים או קבצים חשודים‪.‬‬
‫‪ ‬לחדד את נהלי אבטחת המידע ואכיפתם‪.‬‬
‫‪ ‬לבדוק כי מערך הגיבוי פועל ועובד בתורה תקינה‪ .‬במידה ולא קיים גיבוי‪ ,‬לבצע גיבוי‬
‫ולאחסנו במקום נפרד ומוגן‪ .‬לרענן את נהלי השחזור של הגיבוייים המקוריים ואף לערוך‬
‫ניסוי מצומצם לשחזור מגיבוי לבדיקת תקינות הגיבויים‪.‬‬
‫‪ .4‬הנחיות כלליות נוספות‪:‬‬
‫‪ ‬להקשיח את מערכת ההפעלה של השרתים‪ ,‬תחנות עבודה חשובות וציוד תקשורת לפי‬
‫הנחיות יצרן או המלצות לאבטחת מידע‪.‬‬
‫‪ ‬לבדוק כי כל תחנות העבודה והשרתים עם מערכת הפעלה ‪ Windows‬מעודכנות בעדכוני‬
‫האבטחה האחרונים ומותקנת מערכת אנטי‪-‬וירוס ותאריך החתימות מעודכן לתאריך‬
‫האחרון‪.‬‬
‫‪ ‬להסיר הרשאות מיותרות במערכות הפעלה ואפליקציות‪ ,‬במיוחד את הרשאות מנהל‬
‫המערכת ‪ .Administrator‬להסיר חשבונות ברירת מחדל (‪.)Default Accounts‬‬
‫‪ ‬לשנות סיסמאות בתחנות‪ ,‬שרתים וציוד תקשורת לסיסמאות מורכבות בעלות ‪ 14‬תווים או‬
‫יותר הכוללות‪ :‬תווים גדולים וקטנים‪ ,‬ספרות וסימנים מיוחדים‪ .‬כמו כן‪ ,‬מומלץ להחליף‬
‫סיסמא בטווח של ‪ 30-90‬ימים‪.‬‬
‫‪ ‬להפעיל לוגים בשרתים ואפליקציות ולנטר אותם בתכיפות גבוהה יותר לממצאים חשודים‪.‬‬
‫באם קיימת מערכת ‪ SIEM‬מומלץ לוודא שהניטור פועל באופן תקין ויש חיווים למערכות‬
‫הקריטיות בפרט לאלה החשופות לאינטרנט ולפי החיווים וההתקפות שצויינות‪.‬‬
‫‪ ‬להגביר את פעילות הניטור במערכות השונות (‪ FW, IDS, IPS, AV‬וכיו"ב)‪ ,‬בדגש על סוגי‬
‫התקיפה שצויינו‪.‬‬
‫‪ ‬לוודא שאפליקציות ‪WEB‬תומכות לפחות ב‪ .OWASP Top10-‬להרחבה בנושא ניתן לקרוא‬
‫בקישור הבא‪https://www.owasp.org/images/c/cd/OWASP_Top_10_Heb.pdf :‬‬
‫‪ ‬לרענן את התוכנית הארגונית להתאוששות מאירוע סייבר‪ .‬אם לא קיימת כזו‪ ,‬זהו הזמן‬
‫ליצור אותה‪.‬‬
‫‪ ‬לחדד את המודעות הארגונית הכללית לאבטחת מידע‪ ,‬כמו גם לסימנים העשויים להעיד על‬
‫תקיפת סייבר על רשתות הארגון‪.‬‬
‫שירותים שהחברה מציעה – ‪www.SecuRegion.com‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫ניטור ההתקפות המתבצעות על הבנק (באמצעות שימוש ב‪ ,)Probes-‬גילוי של ההתקפות‬
‫בזמן אמת‪.‬‬
‫שיתוף של החברה בכוננות ‪ 24X7‬עבור איתור וטיפול בהתקפות (החברה פיתחה אפליקציה‬
‫למובייל שמאפשרת לכלל הנוגעים בדבר להתעדכן בהתקפות)‬
‫עזרה אקטיבית בעת התקפות‪.‬‬