בעקבות מתקפת הסייבר: בישראל עוקבים מקרוב אחרי הפרשה
תמונה
פסקה עם עדכון _ IOT
48 שעות חלפו מאז שמתקפת הסייבר, שהכתה בשרתי חברת Dyn, הובילה לשיבושים נרחבים בשירותי רשת בעולם - ואנחנו נותרים עם יותר שאלות מתשובות. מהפרטים שהתפרסמו עולה, כי החברה הותקפה על ידי צי של מכשירי IOT ("האינטרנט של הדברים"- מכשירים המחוברים לרשת כמצלמות, מכשירי הקלטה, מדפסות, מוניטורים לתינוקות וכו..) ששועבדו על ידי גורם זדוני במטרה לייצר עומס, ובכך לשבש את פעילות החברה. למרות ההשלכות הנרחבות של המתקפה, הרי שרק Dyn הותקפה בארוע - מדוע אם כך נגרמו שיבושים כל כך נרחבים?
ובכן, Dyn מספקת שירותי DNS (ראשי תיבות של Domain Name System) לכמה מהחברות הגדולות בעולם. מה זה DNS אתם שואלים? מדובר מערכת שתפקידה לתרגם בין שמות של דומיינים (מתחמים) לבין כתובות IP. על רגל אחת נספר לכם כי רשת האינטרנט משתמשת בכתובות IP כדי לדעת לאן לכוון את התקשורת. אולם, מכיוון שלבני אדם נוח יותר להשתמש בשמות דומיין מילוליים ולא במספרים חסרי משמעות ׁ( מה נח לכם יותר להקיש? שם אתר או מספר דוגמת: 62.0.18.221), הרי שיש צורך במערכת שמתרגמת בין כתובות ה-IP לשמות הדומיין ולהפך -וזוהי מערכת ה-DNS. מכאן, שכל שיבוש בפעילותה של Dyn, יוביל לשיבוש בניתוב התנועה ללקוחותיה- במקרה הזה מדובר ברשימת לקוחות מכובדת הכוללת חברות כטוויטר, ויזה, פייפאל, סוני, Airbnb, נטפליקס וכו.
הקדמה על איגו דהאינרטנט וראיון
רבות דובר ביממה האחרונה על חלקם של מוצרי ה-IOT במתקפה הזו. מהדיווחים האחרונים עולה כי התוקף עשה שימוש במערך שלם של מכשירים המחוברים לרשת, המורכב בין היתר, ממליוני מצלמות רשת, מוניטורים של תינוקות ומערכות הקלטה במעגל סגור. כל אלו "שועבדו" למתקפת DDOS ( השבתת שירות מבוזרת - Distributed Denial of Service) - כזו שמטרתה פגיעה עד כדי השבתה של שירותי מיחשוב, על ידי יצירת עומס חריג על משאבי המערכת של המותקף. כאמור, עדיין לא ברור מי עומד מאחורי הארוע הזה, אך מכיוון שלא נעשה כאן שימוש בטכנולוגיה חדשנית או חריגה במיוחד- הרי שהסבירות עולה כי נראה יותר ויותר מתקפות שכאלו בשבועות ובחודשים הקרובים.
המתקפה הזו כוונה אמנם כוונה נגד חברה אמריקנית, אך השפיעה למעשה על משתמשים מרחבי העולם. האם מתקפה בסדר גודל תתכן בישראל? והאם ישנה בקרה לגבי מכשירי ה-IOT שנמכרים בארץ? פנינו לעו"ד יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי עם השאלות הללו:
האם איגוד האינטרנט והרשויות הרלוונטיות- מעורים בפרטי הארוע הארוע? והאם נננקטו צעדי מנע מיוחדים בארץ במקביל?
"איגוד האינטרנט מעורה בפרטים ועוקב אחר הדיווחים ותחקור הנושא. אין באפשרותנו לענות בשם כלל מדינת ישראל, אך יש לזכור כי הכשל העיקרי אצל הגופים שנפגעו היה הסתמכותם על שירות DNS אחד (DYN), וכאשר הוא חדל מלפעול נפגע השירות. גופים אשר עושים שימוש בכמה שירותי DNS במקביל, דוגמת איגוד האינטרנט, חשופים פחות באופן משמעותי לאפשרות הצלחתה של תקיפה מסוג זו".
לאור התגברות מתקפות הDDoS מה הסיכוי שארוע משתק, בדומה לזה שארע בארה"ב יתרחש בישראל?
ראשית, ראוי לציין כי האירוע לא אירע בארה"ב, אלא בשירות כלל עולמי שנמצא בארה"ב, ולכן נפגעו כל מי שהשתמש בו באופן בלעדי, מכל מדינות העולם. ניסיונות DDOS מתקיימים כל יום, לרבות על גורמים בישראל. איגוד האינטרנט ספג מתקפה דומה בעת מבצע "צוק איתן", אך הצליח להתמודד עמה. כמובן שמכל אירוע כזה מופקים לקחים, ובעקבותיו משתפרת רמת ההגנה.
ש: האם הרשויות בארץ ערוכות להתמודד עם שיבושים נרחבים בשירותי המיחשוב, בדומה למה שחוו בארה"ב?
ת:"לעניין זה חשוב להבהיר, כי התקפה על אתר כ-twitter.com שקול בארץ להתקפה על walla.co.il, כלומר חובת ההערכות בנושא היא של האתר עצמו (ורצוי שהוא יסתמך על יותר משירות DNS אחד). ברמה המדינתית, מטה הסייבר הלאומי והרשות להגנת הסייבר עוקבת ומנחה כמובן את הגופים הרלוונטיים".
ש: האם משתמשים ביתיים צריכים לדאוג שמוצרי IOT שרכשו עלולים לשמש יום אחד כנשק נגדם?
ת: "בדרך כלל השימוש במוצרים אלה למתקפת DDOS אינם נגד בעל המוצר, אלא באמצעות בעל המוצר והמוצר כנגד אתר מרוחק. המתקפה מנצלת חורי אבטחת מידע והגדרות לא נכונות של המוצרים על ידי משתמשים, לביצוע מתקפה מתוזמנת על אתרים שהם חפצים לפגוע בתפקודם".
ש: עם כל הדיבורים מסביב על נקודות התורפה במוצרי ה-IOT , האם לדעתך, בעקבות הארוע אמש, יצאו הנחיות חדשות לגבי שימוש במוצרים המשתייכם למשפחה הזו? במידה ולא, כיצד לדעתך יש להתגונן מפני סכנה שכזו?
ת: "אין ספק שנדרשת מודעות גדולה יותר אצל יצרני מוצרי ה-IOT לסוגיות אבטחת מידע העולות מהמוצרים שהם מייצרים ולכן החובה הראשונית מוטלת בעיקר עליהם. המשתמש הביתי צריך לוודא שהוא משנה את סיסמאות ברירת המחדל של המוצר שקנה (מצלמת רשת, נתב וכד') לכזו שאינה סטנדרטית ונפוצה, כדי שלא ניתן יהיה לשלוט בה בקלות מרחוק. המלצה זו טובה גם כדי למנוע שימוש לרעה במוצר כנגד בעליו, כגון השתלטות על המצלמה לצורך מעקב אחרי יושבי הבית".
עו"ד הכהן, שימש כרגולטור המדינתי בנושאים של הגנת פרטיות במידע, וייצג את מדינת ישראל בפורומים בינלאומיים רבים בסוגיות של מדיניות בנושאים טכנולוגיים, לרבות ארגון ה-OECD. לפני סיום ניסינו לבדוק עימו האם יש מקום לרגולציה מסוג חדש על מכשור חכם.
ש: בתור מי שמגיע מרקע עשיר בנושא הרגולציה- האם לדעתך יש לבחון מחדש מתן אישורים להפעלת מכשירי IOT בישראל? האם בכלל קיים פיקוח על השוק הזה?
ת: "אין ספק שיש לבצע חשיבה רגולטורית מחדש בנושא. ראשית, יש לבחון האם יש רגולטור רלוונטי, ואם לאו - יש לקבוע אותו. יבוא של מוצרים לישראל נמצא בדרך כלל תחת מערך התקינה של מכון התקנים, ולא ברור אם הוא הגוף הרלוונטי לנושא ואם בכלל יש יכולת להסדיר את הנושא. יש כמובן הבדל בין מוצרי תקשורת הנמצאים בשימוש של גופי מדינה ותשתיות חשובות, ובין מוצרים הנמצאים בשימושו של האזרח הפשוט. וכמובן, יש לבחון האם ההתמודדות עם האיום יכולה להעשות באופן מרכזי על ידי גופים כגון ספקי גישה לאינטרנט, אשר יכולים לחסום את השימוש הזדוני באופן מרכזי".