להיתפס עם המכנסיים למטה זה לא נעים!
תשאלו את צורי רפאלי, שגריר ישראל באל סלבדור אשר נתפס על ידי שוטרים מקומיים בשנת 2007 כשהוא שוכב בחצר ביתו, ערום ומצויד באביזרי סאדו – לא כ”כ נעים.
להיתפס עם המכנסיים למטה בעולם הסייבר זה כאשר ישנה מתקפת אפס ימים (Zero day attack).
מתקפת אפס ימים Zero-day attack הוא כינוי לשימוש בפרצת אבטחה שלא הייתה ידועה עד כה, על ידי תוקפים שונים.
המילה “אפס” מתייחסת לכך שמאז פרסומה עברו אפס ימים (כלומר: זהו אותו היום).
לרוב, נהוג בקרב מומחי אבטחה להתריע על פרצה לפני מועד פרסומה בקרב הציבור הרחב, ולאפשר לחברה המתגוננת זמן לחקור ולתקן אותה, ולהפיץ ללקוחותיה Patch לפני שתפורסם (Patch זה טלאי תוכנה שמספק יצרן תוכנה לתקלה שהתגלתה במוצר תוכנה שלו ודורשת תיקון מיידי. הטלאי מגיע בדמות קובץ התקנה, שמחליף רכיב או רכיבים הטעונים תיקון, ללא התקנה מחדש של התוכנה כולה). מכיוון שבמתקפת יום-אפס מפורסמת פרצה לא מוכרת לשימוש מיידי, אין לה עדיין תיקון וכמו כן מוצרי אבטחה שונים לא מכירים ולא מזהים אותה.
מפגעים חדשים כאלו נוצרים בקצב יותר ויותר מהיר שקשה לעקוב אחריו ולפעול בהתאם. כתוצאה מכך האקרים נהנים מחלון הזדמנויות שהם יכולים לנצל, גם כאשר מדובר במערכות המעודכנות ביותר.
מתקפות יום-אפס לרוב נסמכות על פגיעות תוכנה לא מוכרת, כלומר, באג או תכנון לקוי של המערכת או הגדרותיה אשר מאפשר לתוקף לבצע שלב כלשהו בתקיפתו.
פגיעויות אפס ימים פרטיות (Private Zero-day Vulnerabilities) פגיעות תוכנה אשר מוכרת רק לגורם שמצא את אותן הפגיעות, ולגורמים אשר אליהם העביר את המידע. מכיוון שמדובר באיום אבטחתי חמור, פגיעויות כאלו עשויות להגיע למחירים גבוהים מאוד בשוק השחור של עולם אבטחת המידע. פגיעויות אלו אינן מהוות לרוב איום רחב, כיוון שאינן מוכרות לרבים. ואילו במידה וינוצלו באופן רחב, לרוב יתגלו על ידי אנשי אבטחת מידע ויאבדו את מעמדן כ”פרטיות”. עם זאת, התקפות מסוג זה עשויות להוות איום משמעותי עבור קורבנות המתקפה, שכן לרוב קשה מאוד לגלות אותן ולהתגונן מפניהן.
מתקפות אלו עשויות להיות חמורות ומסוכנות, אך לרוב יפגעו במספר מטרות מצומצם באופן יחסי.
פגיעות אפס ימים ציבוריות (Public Zero-day Vulnerabilities) פגיעויות תוכנה אשר פורסמו באופן גלוי באינטרנט. פגיעויות מסוג זה מהוות סכנה חמורה ורחבה, אך גופים בעלי תוכנית התמגנות יעילה, עשויים להגן על עצמם מהן.
בחברות רבות ישנן דרישות אבטחה להתמודדות עם התקפות של תוכן זדוני אשר עדיין לא מופו ואין להן חתימות (Zero-Day Attack).
התקפות ופרצות zero day נפוצות מאוד בשירותי הדואר האלקטרוני. מערכת סינון דואר סטנדרטית אינה יכולה לתת להם מענה שהרי תוכנות רוגלה ותוכנות זדוניות אלו עדיין לא זוהו ועדיין לא הוגדרו במערכות הסינון השונות.
קישורים הנשלחים בדואר אשר מובילים לאתרים שנראים לגיטימיים אך בפועל בכל נקודת זמן עשויים להפוך לאתרים זדוניים העשויים להעביר תוכנות רוגלה, לבצע גניבת זהויות, פישינג וכדומה.
בכדי להתמודד עם מתקפות מסוג זה בדואר האלקטרוני, מיקרוסופט פיתחה שירות ענן הנקרא ATP (Advanced Threat Protection).
תשתית הענן ATP הינה שירות ענן עצמאי להגברת האבטחה ושיפור יכולות סינון דואר אלקטרוני, שירות זה יכול להוות תשתית נוספת מעל תשתית הסינון הבסיסית של Office365 המבוססת EOP – Exchange Online Protection, מערכת המציעה שירות אנטי וירוס (Multi Engine Anti Malware) רב שכבתי ומערכת סינון דואר זבל (Anti-SPAM).
תשתית ATP מוסיפה את היכולת לזהות וירוסים ותוכן זדוני בזמן אמת ללא חתימות (Zero Day Attack) באמצעות מערכת בדיקה המריצה את הקודים בצורה חיה על גבי תשתית הענן (Sand-Box) ומערכת סריקה ובדיקת קישורים המגיעים במיל (URL Reputation Filter).
מערכת בדיקת הקישורים למעשה עושה בדיקת Reputation לקישור ומאפשר או חוסמת את הגישה אליו.
על מנת למנוע מקרה בו קישור תקין הופך לזדוני המערכת מחליפה את הקישורים כך שכל פניה לקישור עוברת דרך תשתית הסינון, בדרך זו הקישור נבדק לא רק בזמן הגעת המייל אלא בכל נקודת זמן לאחר מכן בה לוחץ המשתמש על הקישור המופיע במייל.
כמובן שאין תחום טכנולוגי ללא כיסוי ישראלי ולכן גם למתקפות Zero day יש תשובה ישראלית ראויה.
הסטארטאפ הישראלי Cybellum מצאה את המתכון המנצח לפלטפורמת הגנה מפני מתקפותZero-Day . הפתרון מיועד לארגונים ונותן מענה להגנה מפני מתקפות הן ברשת הפנימית והן בענן ובכך מספקת פתרון מלא מקצה לקצה.
הטכנולוגיה מיועדת לעצור את מתקפות Zero-Days בשלבן ההתחלתי והקריטי ביותר.
תכלית הפתרון של Cybellum היא לעצור מתקפות Zero-Day שכן הוא יודע לזהות את רגע הפריצה ולחסום את ההתקפה בשלב הראשוני ביותר שלה, הרבה לפני שהתוקף חדר למערכת.
על מנת לבצע מתקפת Zero-Day על התוקף לאתר פרצת אבטחה חדשה שלא ידועה לאיש מלבדו. בעוד שפרצות האבטחה מגוונות ועשויות להימצא בכל מקום במערכת, ניצול הפרצות יפתח באופן זהה הידוע גם כהשחתת זיכרון (Memory Corruption).
למרות שניצול הפרצה מתבצע באופן זהה וידוע מראש, אין כיום את הטכנולוגיה לזהות את הפעולה הזאת. ולכן, פתרונות קיימים מנסים לעצור את ההתקפה לאחר שהפרצה נוצלה והתוקף כבר חדר למערכת, הרבה פעמים מאוחר מידי ואחרי שהנזק כבר בוצע.
בניגוד לפתרונות קיימים, Cybellum מצליחה לעצור גם מתקפות חדשות לחלוטין שטרם נראו בעבר, דבר שעדיין מוגדר ככמעט בלתי אפשרי. החברה מציעה פלטפורמת הגנה למתקפות מסוג זה בעיקר לארגונים לצורך הגנה מפני מתקפות אלו.
בהקשר של Zero day attack ישנו מונח מגניב (למתכנתים או לחנונים שבנינו בעיקר) ששמו אקספלויט (Exploit) – קטע תוכנה או מידע המנצלים פרצת אבטחה או באג בתוכנה או בחומרה.
מטרת האקספלויט היא לשנות את ההתנהגות המתוכננת של הרכיב עליו הוא מופעל בהתאם לצורכי המפעיל ולרצונותיו. שימוש באקספלויטים נפוץ על ידי האקרים למטרות הפעלת קוד תוכנה זדוני
אקספלויטים נכתבים ברחבי העולם בידי האקרים בעלי ידע בשפות תכנות שונות, ובחלק מהמקרים הם ניתנים להורדה חופשית ברשת האינטרנט באתרים ייעודיים לנושא.
באתרים האלה קיימים בדרך כלל הסברים על מטרת האקספלויט ואופן הרצתו, עניין המייתר במידת מה את הצורך בידיעת שפות תכנות כדי לבצע התקפות האקינג אלו.
במקרים מסוימים, בעת פרסומו, האקספלויט ינצל חולשת Zero-Day במקרים כאלה הוא עלול להוות סיכון גבוה על המערכות הרלוונטיות, מכיוון שטרם הופץ עבורו טלאי תוכנה מתאים.
התקפות אקספלויטים על מחשבים מרוחקים מאופיינות לעתים קרובות באינטראקציה מסוימת עם המשתמש המותקף או עם המערכת המותקפת, ניצול שדות קלט בעלי יכולת חדירה למחשב מקבל הקלט, וכן שימוש בטכניקות הנדסה חברתית.
במקרים מסוימים, בהתאם לסוג הפרצה שנמצאה במערכת המותקפת, האקספלויט יכול להכיל גם Shellcode.
כאשר הוא קיים, ה-Shellcode מאפשר לתוקף לקבוע את הפעולות שיתבצעו על המערכת המותקפת לאחר שנוצלה הפרצה על ידי האקספלויט.
תחשבו על זה באופן הבא:
אתם בונים טיל, לוקחים מתכת חלולה מכניסים דלק, מנוע, צובעים ועושים לטיל כל מה שצריך בכדי שיגיע למטרה ואפילו ייראה מפחיד.
אבל מה חסר לכם?
ראש הקרב – המטרה הסופית שלשמה נשלח הטיל. (או אולי לווין משוגר, אבל אל תהיו קטנוניים).
הקוד הייעודי (Shellcode) שהוא כמו הראש קרב הוא זה שמבצע את הפעולות עצמן.
האקספלויט פותח את האפשרות להרצת הקוד הייעודי ואילו הקוד הייעודי מבצע את זממו.
הקוד הייעודי בדרך כלל מתחיל בפקודת מעטפת שמאפשרת לשלוט במחשב המותקף. הוא נקרא כך כי הוא נכתב לרוב בשפת מכונה, ולכן בדרך כלל, מתאים רק לצירוף אחד מסוים של מעבד, מערכת הפעלה וחבילת עדכון (Service Pack), ולכן הוא ייעודי. לצירוף כזה של מעבד, מערכת הפעלה וחבילת עדכון נהוג לקרוא “פלטפורמה”.
בהקשר זה, לעתים, ניתן לכתוב קוד ייעודי שמתאים ליותר מפלטפורמה אחת.
כתיבת קוד ייעודי, ניתוח מה הוא עושה, ההתאמה לפלטפורמות שונות, היכולת לפתח ווריאציות שלו כדי להתחמק מתוכנות אנטי וירוס וכדומה – הם מרכיב משמעותי בלוחמת סייבר.
לאחר שהבנו עוד מושג בתחום מתקפות הסייבר, אפשר יהיה לסכם את עולם הסייבר באמצעות בדיחה הרווחת בקרב מומחי הסייבר:
אם היה מד מוכנות שמודד את רמת ה”מוכנות לאירוע סייבר” שבארגון, המצב היה נע על הסקלה שבין “רע” ל”גרוע מאוד”.
