מתקפת הסייבר החמורה בהיסטוריה

דורון סיון, מנכ"ל Cronus Cyber Technologies מתייחס למתקפת הסייבר החמורה שארעה אמש ונחשבת בעיני רבים לאחת מהחמורות מאז ומעולם.

ערוץ 7 , י"ז באייר תשע"ז

מחלקת סייבר בצה"ל
מחלקת סייבר בצה"ל
צילום אילוסטרציה: דובר צה''ל

דורון סיון, מנכ"ל Cronus Cyber Technologies מחלוצי תעשיית הסייבר בישראל ובעולם מתייחס למתקפת הסייבר החמורה שארעה אמש ונחשבת בעיני רבים לאחת מהחמורות מאז ומעולם.

סיון מציין כי ארגון NSA (הסוכנות לביטחון לאומי בארה"ב), עוסק מן הסתם בין היתר בנושא סייבר.

במסגרת זו הארגון מזהה חולשות במערכות קיימות וכותב עבורן exploit, כלומר קטע תוכנה שיכול לנצל את הפגיעות לשם חדירה למחשב. לאחר פעולת החדירה מוזרקת למערכת ההפעלה תוכנה שמאפשרת מגוון פעילות זדוניות, לדוגמה: הצפנת קבצים, השתלטות על המחשב ועוד. הבעיה במקרה זה, היא שהאקרים, במקרה זה ארגון Shadowbrokers, מצליחים לגנוב את הכלים והקוד שה-NSA פיתח, ואז הם עושים בו שימוש לצרכיהם הפרטיים.

במקרה זה, החולשה שאותרה היתה בפרוטוקול SMB, אשר מאפשר גישה משותפת אל קבצים, מדפסות ותקשורת בין מחשבים ברשת. השימוש בו מערב כמובן את נושא הרשאות הגישה למידע והוא בשימוש בעיקר במערכות Windows, אם כי גם מערכות לינוקס יכולות להתקין תמיכה ב-SMB".

"עכשיו נשאלת השאלה, כיצד ה-exploit מגיע אל המחשב? והתשובה פשוטה, או כקובץ מצורף במייל, מתוך ציפיה שמשתמש יפעיל את הקובץ. או שמערכות אבטחת המידע בארגון מאפשרות גישה ל-SMB גם מחוץ לארגון פנימה. דבר שהוא מאד מסוכן ולא מומלץ", מסביר סיון.

"מיד לאחר שהודלף המידע מה-NSA, פרסמה מיקרוסופט עדכון תוכנה (patch) שמספרו MS17-010, אולם ארגונים רבים לא התקינו אותו. הסיבה לכך היא שבמרבית הארגונים מבצעים עדכוני גרסה פעם בחודש, עקב נהלי עבודה ישנים והטרחה שקשורה בכך כגון, ביצוע אתחול למחשבים ושרתים. כך נוצר מצב שהפגיעות מופצת בעולם, ארגונים לא מתקינים את העדכון ולוואקום הזה מגיעים האקרים ששולחים קובץ שמנצל את הפגיעות לשם הצפנת המחשבים ובקשת כופר, מה שנקרא ransomware ובמקרה זה שמו הוא WannaCry"

מנכ"ל Cronus Cyber Technologies מסביר "שכדי להימנע ממתקפה מסוג זה על כל ארגון לבצע עדכון מיידי של ה-Patch, ייש לוודא שהגישה ב-SMB מחוץ לארגון פנימה חסומה ובמקרה ואין מנוס לבקר ולנטר את התעבורה. כמו כן, יש לעדכן את מערכות אבטחת המידע, דוגמת אנטי וירוס ומערכות IDS, אשר מזהות פעילות חריגה ברשת. הסיבה לכך היא שהחתימה של הקובץ, כלומר קטע קוד שמאפשר זיהוי של הקובץ כבר אותר ופורסם ולכן מערכות אלו יזהו את הקובץ הזדוני ויחסמו אותו".

"ברמה המדינית, ניהול סייבר הופך לא רק לבעיה של ארגון אלא לבעיה מדינית, אין מנוס מהתייחסות ברמת מדינה, מאחר ולה יש כלים רבים המאפשרים ניטור תעבורה לתוך המדינה. המסקנה השניה היא שאין מנוס מניטור 24/7 של כל מערכות המידע בארגון, ניטור כזה ועדכונים בהתאם היו מונעים את המתקפה הזו. בתי חולים הם חוליה חלשה יחסית עקב המורכבות הרבה של ניהול סניפים, בתי חולים ומרפאות ברמה מאובטחת גבוהה ובפרט עקב ריבוי הממשקים שקיימים בארגונים גדולים ומבוזרים כאלו. זו הסיבה שהם היוו יעד הפעם, בפרט כאשר מדובר במידע רגיש ואישי והרגולציה עדין לא מספיק קשיחה שם", מוסיף סיון.

הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il