בשבעה באוקטובר מדינת ישראל נאלצה להתמודד עם מתקפה חסרת תקדים בהיקפה ותוצאותיה. ייחודה היה בכך שהיא התנהלה, כנראה לראשונה, בארבעה ממדים במקביל – באוויר, בים, ביבשה וגם בממד הסייבר. בניגוד לשלושת הממדים הראשונים, ממד הסייבר תופס תאוצה בימים אלה. גבולותיו ויכולותיו עדיין אינם ברורים אך ניכר שיש ביכולתו להיות הרסני לא פחות
מאת: שגיא זלינגר, CTO 2Bsecure
אחד מסוגי מתקפת הסייבר הנפוצים ביותר בזמן עימות צבאי ובטחוני הוא ‘מתקפת מניעת שירות’ ובאנגלית DDOS (Distributed Denial-Of-Service attack). מתקפה זו צוברת תאוצה ככל שיש יותר ויותר שירותים דיגיטליים חשופים לאינטרנט וכאשר לגורמים עוינים יש אינטרס להשבית שירותים על מנת לפגוע תדמיתית במדינה או בשלטון בהם הם נלחמים.
מהות המתקפה היא מניעת שירותים מבוססי מחשב ממשתמשים לגיטימיים. בין אם מדובר בממשק אדם מחשב ובין אם מדובר בממשק מחשב מול מחשב (“האינטרנט של הדברים” – מחשבים/מכשירים שונים שמקושרים ביניהם). כך לדוגמה מניעת שירות יכולה לפגוע במבוטחי קופות חולים שרוצים להזמין תור לרופא באמצעות אפליקציה או לקוחות של בנקים שמעוניינים לבצע פעולה בנקאית כלשהי ולא יכולים לעשות זאת. לעיתים זו רק מניעה של קבלת מידע מאתר אינטרנט כלשהו ואז הפגיעה היא בעיקר תדמיתית לארגון או חוסר נוחות לאזרחים, אבל גם במקרים אלה הנזקים יכולים להיות משמעותיים. בתוך כך גם מניעת ממשקים בין מחשבים שונים המבוססים על “האינטרנט של הדברים” יכולה לפגוע במערכות מחשוב קריטיות. אפילו מערכות ביטחוניות.
עקרון הפעולה של מתקפת DDOS הוא פגיעה בזמינות המידע. כמעט כל האקר מתחיל יכול לייצר מתקפה כזו עם היערכות מראש והחלטה על זמן פקודה כלשהו, לרוב בזמן עימות בטחוני, צבאי ואף פוליטי ולעיתים גם מתוזמן בשילוב כמה האקרים עויינים במקביל, מה שהופך למכפיל כוח של המתקפה.
אופן הביצוע של מתקפת DDOS מתחיל בהאקר שמדביק מחשבים אחרים ברשת בווירוס שהוא סוג של בוט. וירוס שעל פניו לא עושה כלום למחשב הנגוע אלא רק מתחבר למנהל ה-BOT ומחכה ליום פקודה של ההאקר. ברגע שההאקר הצליח להדביק המון מחשבים (לעיתים אלפים ואף יותר) הוא יכול להחליט על זמן פקודה שבו כל המחשבים הנגועים בווירוס יגלשו לאתר או יבקשו לצרוך שירות דיגיטלי באותו הזמן בדיוק, מבלי שבעלי המחשב ירגישו זאת. בכך הוא מציף את מערכת המחשוב או אתר האינטרנט בכמות פניות שהם לא ערוכים אליו, מה שבמקרה הטוב מונע שירות ממשתמשים אחרים ובמקרה הגרוע יותר מוביל לקריסתם.
כדי להמחיש זאת דמיינו לרגע חנות עוגיות בתל אביב. ביום שגרתי לחנות יש בכל יום 100 לקוחות קבועים שצורכים 100 עוגיות. עכשיו דמיינו שביום אחד בלי התרעה מראש מגיעים אליו מיליון לקוחות בבת אחת, באותה שעה, באותה דקה, באותה שנייה. לקוחות שרק רוצים “לברר” על העוגייה ובכלל לא לקנות אותה. אין סיכוי שבעולם שהחנות תצליח לתת להם שירות וכנראה שהחנות גם לא תצליח למכור 100 עוגיות כי רוב הלקוחות באו רק להתעניין. במקרה כזה החנות תפסיד, תקרוס מהלחץ ותיסגר. סביר שגם הלקוחות הקבועים (הלקוחות הלגיטימיים) של החנות לא ייהנו מהעוגייה שלהם באותו יום.
כשמדובר בעוגיות אז מניעת השירות מובילה רק לנזק מינימלי, אבל כשחושבים על מניעת שירות שיש בה פוטנציאל סכנה לאזרחים או למדינה הדבר עלול להיות הרסני ביותר.
איך מתמודדים עם מתקפת DDOS?
על פי החברות הבינלאומיות אמזון וגוגל, בתקופה זו של מלחמת חרבות ברזל הן עדות למתקפות ה-DDOS הגדולות ביותר אי פעם לכיוון ישראל. בעיקר על אתרי ממשלה אך לא רק. זאת כאשר בעבר היה ידוע גם על מתקפת DDOS ש”רתמה” יותר מ-18 אלף מחשבים נגועים שממוקמים ב-107 מדינות.
החדשות הטובות לעניין מתקפה מסוג זה הן שיש דרך גם להתגונן מפניה. יחד עם זאת הדבר דורש היערכות מתאימה ומקצועית.
ברמת שכבת האפליקציה ישנם פתרונות תוכנה מסוג WAF (Web Application Firewall), שמזהים אילו פניות מתבצעות לאפליקציה או שירות דיגיטלי כלשהו, אם הן חריגות או שיש תבנית מסוימת שחוזרת על עצמה, לדוגמה עם אותו שם משתמש. בהתאם הפתרון יכול להגביל את כמות הפניות שניתן לבצע באתר/שירות ממקור מסוים ובכך מרחיקים את המתקפה מהם כדי שהזמינות שלהם לא תיפגע. דרך נוספת ליישם את הפתרון היא באמצעות התקנה של מנגנון ההגנה נגד מתקפת ה-DDOS בענן או בשרת ארגוני שמבצע סינון של הפניות לפני שהן מגיעות לאפליקציה או לשירות.
פתרון נוסף ברמת הרשת (Network) הוא מסוג DDOS Integration שמנתח את התעבורה לאתר/שירות ולומד איך נראית תעבורה לגיטימית לעומת תעבורה חריגה (ניתוח אנומליה). ככלל אחת הדרכים המהירות להימנע מ-DDOS היא לדאוג לחסום את מה שבטוח לא רצוי, כגון גישה ממדינות מסוימות הידועות כעויינות לישראל וכך מצמצים את מרחב התקיפה.
כדי לשמור על הארגון מפני מתקפה זו כדאי לבנות פרופיל התקנה והטמעה מתאים למאפייני הפעילות שלו ולבצע את היישום, התמיכה והניטור בהתאם, ע”י חמ”ל סייבר שיינטר ויבחן את התעבורה בכל עת וכמובן שידע להגיב מהר לכל תרחיש. גם ברמת המשתמש כדאי לצמצם סיכון וסיכוי ש”תתגייסו” בלי לשים לב לצבא עוין של האקר זה או אחר באמצעות המחשב האישי שלכם. חשוב להקפיד שלמחשב שלכם יש תוכנת אנטי וירוס תקפה או פתרון EDR (Endpoint Detection and Response) שכולל אפשרות לזיהוי סיכונים בתחנות קצה. מחשבים שמוגנים על ידי Firewall ידעו לזהות שנעשה בהם שימוש לא רצוי ויחסמו את הגישה למי שנותן את הפקודה.
כמו כן, חשוב להיזהר מכל מיני הצעות דיגיטליות מפתות מגורם לא מוכר כאשר חשוב לדעת שלעיתים עצם פתיחת מייל שהוגדרה בו טעינת תמונה אוטומטית יכולה להדביק את המחשב בווירוס. אם יש חשש לחדירת ווירוס למחשב שלכם כדאי לעדכן את אנשי המחשוב בארגון ולבצע סריקה של המחשב באמצעות תוכנה הגנה, דוגמת AV ו-EDR . במקרה של חשש אמיתי מומלץ לשקול הפעלת צוות Incident Response לתחקור מעמיק יותר של המחשב והרשת.