מבוא) – The World Wide Web ‏WWW )
מאז שנולדה רשת האינטרנט, בתחילת שנות ה- 80 היא הפכה לרשת הגדולה בעולם, ואפשר לומר, גם היחידה שאינה מצנזרת את חופש הדיבור, הכתיבה, היצירה והביקורת. לטוב וכמובן שגם לרע. רשת האינטרנט המכונה גם כאוטוסטרדת המידע מפרסמת לרשות הרבים כמויות אינפורמציה אדירות שלא פעם עוברות בצורה גסה על חוקים ומשפט במדינות רבות כגון: חוק הגנת יוצרים, חוק הגנת הפרטיות ועוד. ברשת האינטרנט ניתן למצוא מידע אינפורמטיבי, גרפי, תצלומי, מקטעי וידאו ואודיו. ניתן ללמוד אסטרונומיה, פילוסופיה, אומנויות לחימה ואף כיצד לבנות פצצות אטום וכל זאת כמעט בטרם הספקתם ללחוץ על העכבר או המקלדת.
עם ההתחברות לאינטרנט כל אחד יכול להיות כל אדם הגולש באינטרנט, משוחח ב- AOL, Messenger או IRC (Internet Relay Chat) .כל אחד יכול לבחור את זהותו ולהתחזות למי שרק ירצה ולרשויות החוק המקומיות די קשה לגלות את זהותם האמיתית של מפרי חוק רק על פי כתובתם באינטרנט (כתובת IP) . התפתחות מדיית האינטרנט הפכה לכלי יעיל ואף נוח גם לארגוני טרור שמעבירים מסרים באופן חסוי למשטרה או לעיתונות וגם לנערים ונדליסטים שמעונינים להזיק לאתרי אינטרנט של חברות לא אהודות.
פורצי המחשבים או מי שמכונים על פי רוב האקרים (שעל סוגיהם נדון בהמשך) עתירי בידע כגון: תקשורת נתונים, שפות פיתוח, מאגרי מידע, חולשות של מערכות שונות וכדומה, ואינם בוחלים באמצעים כדי לתפוס שליטה מרחוק על המערכות שאותם הם תוקפים.
על מנת להסתיר את זהותם, האקרים רבים יטשטשו את עקבותיהם לאחר שהשיגו שליטה על המערכת ע"י מחיקת קבצי התראות (Log Files), שתילת דלתות אחוריות (Backdoors) ושינוי הגדרות של השרתים המותקפים כגון שרתי Proxy.

איור 1: בכל יום מותקפת המטרה העיקרית ע"י מחשב ביניים בכדי לטשטש את עקבות הפורץ.
עולם המחשבים השתנה באופן דרמטי בשלושים השנים האחרונות, בשלהי שנות ה- 70 רוב המחשבים היו מרוכזים ומנוהלים במקום אחד תוך הקפדה על נעילת חדרי המחשוב. הקישוריות לאתרים אחרים מעבר לאותו מרכז מחשוב הייתה יוצאת דופן והסכנות שהיו מצויות באותה תקופה על מערכות המחשב היו ידועות וקלות יחסית להתמודדות.
עולם המחשבים של היום, מאז שנות ה- 90, מתנהל אחרת ומתמודד עם איומים רבים וקשים יותר מבעבר. הפתרונות מורכבים ודורשים ידע רב ביישום והבנה של טכנולוגיות מורכבות. מערכות רבות מקושרות לאינטרנט ולרשתות נוספות כגון: חברות בת, ספקים וסניפים הפרושים ביבשות מרוחקות ולמעשה כל העולם מקושר מארה"ב, אירופה אסיה ואוסטרליה.
המלצות בעבר היו להקפיד לא לרשום את סיסמת הכניסה למערכת על נייר ולהניח אותו על השולחן או המחשב בכדי למנוע מקרים של גניבת סיסמא ע"י עובד הניקיון או עובד אחר בארגון, אולם היום פורץ מחשבים יכול לתקוף את המערכת מקצהו השני של הגלובוס. האינטרנט איפשר אתגר אלקטרוני לגנבים שתרים אחר דלתות וירטואליות פתוחות. מנהלי מערכות מידע נדרשים להבין את האיומים העומדים בפניהם, מה הסיכון והמחיר של האיומים הללו ובאילו פעולות עליהם לנקוט על מנת להקטין ככל הניתן את רמת הסיכון לדליפה, זמינות או שינוי מידע השמור על המדיה המגנטית של ארגונם.
אבטחת מידע הנו נושא מורכב ובעייתי. אחת הבעיות המרכזיות בתחום זה היא שככל שאנו נגביר את רמת האבטחה של הארגון כך גם נקשה על המשתמש הפשוט (העובד) לבצע את מטלותיו הכרוכות בעבודה מול מחשב(ראה ציור 1.1) עם זאת, תוך הבנה ברורה שאין דרך לספק את כל מאה האחוזים של ביטחון מפני פריצה ועל כן, יש לשקול את צעדינו ולתכנן היטב את מבנה המערכת וההגנה עליה.
לא פעם נתקלתי בחברות שהעמיסו על שרתי האינטרנט שלהם כמות אדירה של חומות הגנה המבוססים על טכנולוגיות שונות שהאטו באופן משמעותי את הביצועים של אותן מערכות ואף גרמו לקריסת מערכות מחשוב ע"י הגזמה בסגירת שירותים במערכות ההפעלה וזאת ללא תועלת ברורה. אחראים על תחום אבטחת המידע מצויים בפאניקה תמידית ולא פעם נוקטים בצעדים מיותרים כגון רכישת כמות מוגזמת של מערכות אבטחה כדי להגן על עמדתם בארגון וכך מבזבזים את כספי החברה. באחד מהפרוייקטים הגדולים בתחום המסחר האלקטרוני בהם השתתפתי נלקחה חברת יעוץ חיצונית שתסייע בהקמת תשתית מאובטחת לזירת המסחר הוירטואלית. חברת הייעוץ הקימה תשתית מאובטחת ו"דחפה" עשרות מוצרי אבטחה לפרויקט. מנהלי מערכות המידע של זירת המסחר "קנו" כמובן את כל המלצות היועצים וכשאלו נשאלו מדוע בחרו להטמיע מוצר אבטחה דווקא היכן שבחרו, השיבו היועצים "אז איפה לשים?", והמוצר המיותר שב למדף משווקיו מאחר שהיה מיותר לארגון ולפרוייקט המדובר. דוגמאות כאילו ואחרות מאוד פופולאריות כשמדובר בתחום אפור שבו אין גבולות ברורים ואין וודאות מוחלטת. על כן, אבטחת מידע בארגון חייבת להיות מתוכננת היטב ומכוונת לצרכיי הארגון.

איור 2: היחס בין רמת הנוחות לרמת האבטחה.
נקודות למחשבה שיש לקחת בחשבון לפני הקמתה של תשתית אבטחת המידע בארגון:
• מהם נקודות התורפה של הארגון?
• איזה מידע מוגדר כרגיש?
• איזה מידע אנו מעונינים לחשוף ואיזה לא?
• האם שינוי של המידע עשוי לפגוע בעסקי החברה או במוניטין?
• איזה מידע יהיה לנו קשה לשחזר?
• איזה מידע חשוב שיהיה זמין לציבור או לעובדי הארגון ומתי?
• איזה מידע לקוחותינו לא היו מעונינים שיפורסם לשאר הציבור? ועוד.
רק לאחר שקילה ממושכת ומדויקת שבה נבין שזמינות ושלמות הנתונים/המידע המקורי הם אכן מה שאנו צריכים ולגבי איזה חלקי מידע, נוכל לתפור פתרון אבטחה הולם.
מסמך זה הנו קצה הקרחון לעולם אבטחת המידע. אין בכוונתי להעמיק ולהתמודד עם כל מגוון תחומי האבטחה ואף לא לסקור את כולם. אולם לתת דגש על נקודות קריטיות לארגונים ולהבין את מהות החשיבות באבטחה יעילה, ובכדי לעשות זאת אדון בנושאים בסיסיים וחשובים כגון: מי הם התוקפים ומהם השיטות הנפוצות לתקיפה, מה הם הסיכונים שעומדים בפנינו כאשר אנו מעונינים להגן על מערכות המחשוב בארגונינו, ואילו טכנולוגיות עשויות להקשות על ההאקרים כאשר הם מעונינים לחדור למידע רגיש לנו.
מסמך זה לא ידון במוצרים ספציפיים ולא יערוך סקירה השוואתית בין מוצרים מאחר שמוצרים וטכנולוגיות משתנים כל הזמן. במסמך יינתנו דוגמאות טכניות מעטות תוך התייחסות לפלטפורמות מיקרוסופטיות המסייעות בהגנה על הבעיות שעולות מתוך המסמך.
הסכנות
בעבר הלא רחוק מירב הסכנות הסתכמו בוירוסי מחשב, גניבת סיסמאות ואולי החשש ממשתמשים בעלי רקע מועט במחשבים שעשויים להזיק לשרת המרכזי וגם להם בארגונים גדולים בדרך כלל הגישה לחדר מחשב הייתה מוגבלת. אני זוכר שבמקום העבודה הראשון שלי השרת המרכזי הייה מלא אבק והונח ליד חלון המשקיף לים, כשממש לצידו השיר עלעליו עציץ ירקרק לתפארת. מאיזו סיבה שעד היום לא ממש ברורה לי היה לי דחף לא מוסבר להזיז את הגרוטאה שמכערת את הפינה הירוקה במשרד ועל כן פשוט ניתקתי את המחשב מהחשמל והנחתי אותו במחסן. במשך יום שלם ניסינו להבין מדוע אף אחד בארגון לא יכול לבצע את עבודתו מול המחשב. כמובן שכשהשרת המאובק נמצא במחסן התעלומה נפתרה (כולנו מתחילים באיזו נקודה…). בארגונים ממוחשבים רבים בעיקר בסדרי גודל קטן עד בינוני לא היו חדרי מחשב והשרתים המרכזים שלהם היו מונחים במקומות פינתיים ונגישים לכל עובד.
בעידן האינטרנט והמסחר האלקטרוני הסיכונים העומדים בפני מנהלי מערכות המידע ובפני הארגון כולו יותר מגוונים ומסוכנים. ההדבקות בוירוסי מחשב גדולה בהרבה מבעבר. בשנות ה- 80 החשש העיקרי מוירוסי מחשב התבטא בעיקר בהעתקת קבצים באמצעות דיסקט או דרך רשת .LAN בתחילת שנות ה- 90 חלקנו כבר נחשפנו ל- BBS ולרשתות WAN. כשבסוף שנות ה- 90 ועד היום אחוז המנויים לספקי ISPs (אחוז מתחברים לאינטרנט) גדלה בצורה ניכרת הן כמות הצרכנים הפרטיים והן ארגונים שהתחברו לאינטרנט או לרשתות נוספות.
כעת הסבירות להידבק בוירוס מחשב גדלה במאות אחוזים, אולם גם הערנות והמודעות של הפרט גדלה.
כמובן שכיום בשנות ה- 2000 וירוסי המחשב מהווים רק אחוז מכלל הסכנות האורבות למאגר הנתונים שלנו.
בכל יום יותר ויותר אנשים נעשים תלויים במידת מה במחשב האישי שלהם ומנהלים את סדר יומם דרכו אם באמצעות דואר אלקטרוני, יומן אלקטרוני, מסמכים הנשמרים על המחשב ועוד. וניתן להידבק בוירוסים על ידי גלישה באינטרנט, העתקת קבצים מכל מדיה, קבלת קובץ המצורף לדואר אלקטרוני, הורדת קבצים מהאינטרנט ולא פעם גם משחקים.
ניתן לחלק את הסיכונים שאורבים לנו באינטרנט למספר קטגוריות מרכזיות (כמובן שרשימה זו הנה חלקית ביותר), בהם נדון בהמשך המאמר:
1. וירוסים לסוגיהם
2. חדירות Intrusion וגנבי מידע
3. Denial of service ‏(DOS Attack)

מתקפות וירוסים

במאמר זה



מבוא


וירוסים


חדירות Intrusion וגנבי מידע


Denial of service ‏(DOS Attack)







תוכנות עוינות היו כבר בתחילת העשור האלקטרוני. היינו מקבלים דיסקט ומתקינים ממנו משחק הרפתקאות מדהים ומיד לאחר ההתקנה, התוכנה הייתה מציגה הודעה כגון: "המתן עד סיום טעינת הנשק האולטימטיבי" ובזמן שהיינו ממתינים עם החייל הווירטואלי שלנו ליציאה למשימה שתציל את העולם, המחשב היה קורס ולא עולה יותר. ואז, אומנם באיחור מה היינו מגלים שהזמן שהמתנו עבור טעינת הנשק היה למעשה הזמן שבו התוכנה מחקה לנו את הכונן הקשיח ואת כל האינפורמציה החשובה שהייתה שמורה בו. תוכנות כאלו נקראות סוסים טרויאנים על שם הלוחמה המפורסמת מהמיתולוגיה היוונית שבה חיילי ספרטה חטפו את הלנה מטרויה ובזמן חגיגת הניצחון קבלו מנחה מחיילי טרויה, סוס עץ ענק. עם תום החגיגות יצאו מבטנו של הסוס מיטב חיילי טרויה והצילו את הלנה. תוכנות עוינות אילו נקראות סוסים טרויאנים מאחר שהם הדמיה של משהו כגון משחק לחימה, כאשר בזמן הרצת המשחק למעשה רץ על המחשב שלנו קוד עוין שמטרתו להרוס לנו את הנתונים שעל המחשב. לעיתים תוכנות טרויאניות כאילו מכילות וירוסי מחשב, תולעי מחשב, בקטריות ועוד.
סוס טרויאני (Trojan Horse) היא תוכנה או מקטע קוד שמסתיר תוכנית אחרת. סוס טרויאני ישלח בד"כ באמצעות הדואר האלקטרוני או יהיה זמין להורדה דרך האינטרנט ויוצג כתוכנית יעילה מאוד או כמשחק מחשב. סוס טרויאני יכול להיות קצה חוט עבור האקר שרוצה לשלוט על המערכת מרחוק ולהוות עבורו תוכנת Backdoor (דלת אחורית) שדרכה יוכל לפלוש למערכת ולהשיג את מבוקשו.
וירוס מחשב הוא מקטע קוד קצר בעל יכולת לשכפל עצמו ולהוסיף עצמו לתוכניות הרצה אחרות ואף לשנות את דרך הרצתן. וירוס מחשב הוא לא תוכנה בלתי תלויה והוא חייב ל"הדבק" לתוכנית הרצה אחרת. ברגע שנדבקת בוירוס תוכנות רבות עשויות להיות נגועות בו ולהדביק מחשבים נוספים ברשת על ידי כך שהוירוס מפיץ עצמו גם למקטעי קוד אחרים. ישנם סוגים שונים של וירוסים, כגון וירוסים שמתפוצצים (Bomb Virus) עם ביצוע פעולה מסוימת או בתאריך מסוים ולכן יתכן מצב שבו נדבקתם בוירוס, אולם המחשב מתפקד כרגיל במשך חודשים עד שתבצעו סידרת פעולות שתגרום להפעלת הוירוס או לחלופין "הוירוס ישן" בזיכרון המחשב עד תאריך מסוים ואז הוא תוקף את הזיכרון, מוחק קבצים מסוג מסוים, מפיץ עצמו באמצעות הדואר האלקטרוני לרשימת התפוצה שלכם ועוד.
וירוס מאקרו (Macro virus) זהו וירוס שנכתב בשפת מאקרו של מעבדי התמלילים, גיליונות אלקטרונים ואפליקציות נוספות הניתנות להרחבה או לאוטומציה ע"י פיתוח של מאקרואים. בצורה זו הוירוס הוא Cross-Platform, לא תלוי בסביבת עבודה כזו או אחרת. וירוס מאקרו פופולארי במעבדי תמלילים והוא תוקף ברגע שמריצים אותו בתוך האפליקציה.(כמובן שניתן להגן בפניו ע"י חסימה או התראה מפני הפעלת קובץ מאקרו בתוך מעבד התמלילים המיקרוסופטי).
וירוס הארנבת/בקטריות (Rabbits/Bacteria) זוהי תוכנה שאינה פוגעת במערכת באופן ישיר, אלא מתרבה עד שהיא תופסת את כל משאבי המחשב, יש שמקטלגים תוכנה זו כסוג של מתקפת DOS ולא כוירוס בגלל שיטת הפעולה של תוכנית זו. וירוס הארנבת נטען לזיכרון ומשכפל עצמו עד שהוא ממלא את הדיסק הקשיח או לחלופין מעמיס על ה- RAM וגורם למחשב להגיב באיטיות לפקודות המשתמש ואף עשוי להפילו. בשונה מוירוס רגיל וירוס הארנבת אינו "נדבק" לקובץ או תוכנית חיצוניים, אלא רץ בצורה עצמאית.
וירוס התולעת (Worms) בדומה לוירוס הארנבת גם וירוס זה משכפל עצמו בתאי זיכרון ואף הוא אינו תלוי בתוכנית חיצונית בכדי לרוץ, אולם התולעים מסוגלות גם להדביק מחשבים אחרים דרך הרשת.
סלאמי (Salamis) היא תוכנית שחותכת מקטעים נתונים ומסוכנת בעיקר כשהיא רצה לאורך זמן ממושך במחשב "ומכרסמת" מסמכים ותוכניות עד תום.

חדירות – Intrusion

במאמר זה



מבוא


וירוסים


חדירות Intrusion וגנבי מידע


Denial of service ‏(DOS Attack)







חדירה למחשב היא משאלה מבוקשת מאוד בקרב האקרים וישנן מתודיקות שונות לתקיפה לשם חדירה למערכת, כאשר המטרה לשמה מבוצעת החדירה משתנה ותלויה באופי הפורץ (ראה בהמשך)‏.
יש חדירות המבוצעות מתוך סקרנות ויש לצורכי ריגול תעשייתי, כאשר שיטת הפעולה משתנה.
להלן מספר שיטות תקיפה:
• גנבה ופיצוח סיסמאות
• חשיפת מידע סוציאלית
• ניצול שגיאות תוכנה ושימוש בדלתות אחוריות (exploiting vulnerabilities and Backdoors)
גנבת סיסמאות
הדרך המקובלת לכניסה למערכת היא ע"י ביצוע Logon ולצורך כך זקוק המשתמש לחשבון כניסה (Account) המורכב משם משתמש (user name) וסיסמא (password) הרשומים במערכת ומזהים אותו בפניה. כיום ניתן בקלות יחסית, להשיג את שם המשתמש המהווה 50% מהאינפורמציה הנדרשת לשם כניסה חוקית למערכת (ראה מתקפות מסוג DOS בהמשך) וברגע שיש בידינו 50% מהמידע הרצוי, כל שנותר הוא למצוא את החצי החסר, הסיסמא. ישנן שיטות שונות לפיצוח או גנבת סיסמאות, אך תחילה יש להדגיש את נושא מדיניות הסיסמאות. מדיניות סיסמאות עבור ארגונים הוא אחד הדברים החשובים שיש להקפיד עליהם מרמת המנכ"ל/ית ועד העובד האחרון בארגון. לפני מספר שנים בצעתי מחקר קצר שתכליתו הייתה לבדוק את איכות מדיניות אבטחת המידע בארגון, התוצאות היו מחרידות, סיסמאות כגון 12345, 55555 היו כמעט נוהל סטנדרטי. כדי למנוע תופעות חמורות כאילו יש להקפיד להמציא מדיניות סיסמאות החלטית, ברורה ולא מסובכת מידי עבור המשתמשים. מדיניות סבירה תחייב את כל משתמשי הארגון להמציא פעם במספר חודשים (ההמלצה היא בד"כ כל חודשיים) סיסמא חדשה שעונה על הכללים הבאים:
1. הסיסמא תהיה בעלת לפחות 7 תווים
2. הסיסמא תכיל מספרים או תווים (*,$, @… 1,2,3,)
3. הסיסמא תכיל אותיות (a,b,c…)
4. הסיסמא תכיל גם אותיות גדולות (A,B,C…)
5. הסיסמא לא תהיה זהה לשם המשתמש
6. משתמש יוכל לחזור על אותה סיסמא רק לאחר שהחליף לפחות 5 סיסמאות שונות מאז השימוש הראשון באותה סיסמא.

איור 3: סיסמאות חזקות
למשתמשים יש נטייה להמציא סיסמאות כשמות בני המשפחה, חיות מחמד, מספר בית, תאריכי לידה של קרובים ועוד, גם נתונים אילו עשויים להיחשף ע"י האקר הפועל בשיטות סוציאליות כדי לחשוף פירטי חשבון ועל כן, יש לנסות ולהימנע משימוש בפרטים אילו בעת בחירת הסיסמא.
כדי ליישם מדיניות כזו ניתן להשתמש בתוכנות חיצוניות או בכלים של מערכת ההפעלה כגון: עבור פלטפורמת Ms WinNT 4.0 יש להשתמש ).- Passfilt.dll (למידע נוסף, עיין במאמר התמיכה Q161990
עבור פלטפורמה המבוססת על Win2000 יש להיעזר ב- Group Policy Editor (למידע נוסף, עיין במאמר התמיכה Q225230).
מדיניות כזו כמו כל מדיניות חברה חייבת להיות מוטעמת בארגון בצורה הדרגתית תוך הסברת המניעים שהביאו להחלטת הארגון לנקוט דווקא במדיניות זו וכמובן תוך הבהרת תוכנה. משתמשים עשויים להירתע ממורכבותה של מדיניות המחייבת סיסמאות קשות לזכירה ובמקרים מסוימים העובדים עשויים להמציא סיסמאות כה מורכבות שיחייבו אותם לרשום את הסיסמא על מנת לא לשכוח. לפני כחמש שנים עבדתי באחת מחברות יצרני החומרה ומשיטוט תמים במסדרונות ובין עמדות העובדים ניתן היה להבחין במדבקות שאיתרו את מסכי המחשב ועליהן היו רשימות של סיסמאות למערכת ולתוכנות שונות ויותר מכך, לא פעם ראיתי בחדרי שרתים מדבקות עם סיסמאות למערכת NT, ול- FireWall ליד כל שרת ושרת. בכדי למנוע תופעה שכיחה זו יש להדגיש לעובדים שניתן לענות על הקריטריונים המחייבים של המדיניות תוך שימוש בסיסמאות יצירתיות הניתנות לזכירה כגון:
• YK’ntToriRead?
• 1N1&1=3?
• U2_TheOne1
במערכות מבוססות Windows חשבונות משתמשים שמוגדרים בצורה לוקאלית נשמרים בקובץ SAM. ולכן רצוי ומומלץ ע"י מיקרוסופט להשתמש ב- Syskey כמערכת הגנה לקובץ SAM והצפנת הקובץ. ויותר מכך, מומלץ להשתמש ביכולות הפרטניות של Syskey כדוגמת חיוב בדיסקט boot בזמן העלאת המערכת.
תוכנות פריצת סיסמאות מסוג זה עובדות לפי מספר שיטות כגון: פיצוח אלגוריתם ההצפנה, שיטת אלמינציה (ניחוש התווים והאותיות עד פיצוח הסיסמא) או פריצה ע"י ניסיון כל צרוף אפשרי לפי מילון מילים בעלות משמעות או לפי מאגר נתונים שבונה הפורץ בעצמו.

איור 4
מנהלי אתרי אינטרנט משאירים לעצמם אפשרות לניהול מרחוק של האתר בכדי שיוכלו לשנות דפי HTML או ASP במידת הצורך, גם לאחר שעות העבודה. האקר יכול להפעיל תוכנות פיצוח סיסמאות, להיכנס למערכת ולשנות את דפי האתר לכתובות נאצה או מחאה שעשויים לפגוע במוניטין החברה. לכן חשוב מאוד להקפיד להמציא סיסמאות מורכבות בעיקר כאשר מדובר בחשבון שיכול להתחבר מרחוק ולא מחויבת להימצא במשרדי החברה. כדי להקשות על ההאקר במקרים אילו ודומיהם ניתן להגביל את ההתחברות מרחוק לכתובת IP מסוימת, להשתמש בכרטיס חכם (Smartcard) לשם ביצוע כניסה למערכת או להשתמש לשם כך בכל אמצעי זיהוי ביומטרי.
להלן דוגמה לתהליך שינוי סיסמת Administrator של מנהל אתר אינטרנט. התהליך מתחיל בניסיון לשנות את סיסמת ה- Administrator של האתר וזאת ע"י ניחוש או הרצת תוכנה צד שלישי המנסה לפצח את הסיסמא. ברגע שנפרצת הסיסמא ניתן לבצע תהליך Logon מרוחק המאפשר שינוי הגדרות בשרת Web.
כדי למנוע ניסיונות לניחוש סיסמאות יש להגביל במערכת ההפעלה את מספר הניסיונות הכושלים לכניסה למערכת. בד"כ נהוג להגדיר שמשתמש יכול להיכשל בהקלדת הסיסמא הנכונה עד 5 פעמים, כאשר בפעם השישית שאותו משתמש יכניס סיסמא שגויה, המערכת תקפיא את חשבונו עד שחרור החשבון ע"י מנהל הרשת או לחלופין שחרור החשבון יתבצע באופן אוטומטי לאחר מספר דקות שייקבע מראש. מגבלה כזו מומלצת מאוד ובמידה ומנהל הרשת יגדיר רישום (Log) עבור כישלונות כניסה למערכת, תתאפשר בקרה לניסיונות פריצה מסוג זה.
ישנן פריצות למערכות Web שתכליתן לשנות את התכנים המוצגים באתרי אינטרנט נראו בעיקר באתרים המציגים דעות פוליטיות, אתרים של אישיים מפורסמים ואפילו נראו שינוים של כתבות בעיתונים יומיים ברשת. דוגמאות ידועות לפריצות מסוג זה נתגלו בזמן הבחירות לרשות הממשלה בשנת 2001, כאשר האתר של אחד המועמדים לרשות הממשלה נפרץ ונוספו לו משפטי "נאצה".
מידע סוציאלי
בסרטים כדוגמת סניקרס במאי הסרט מציג בפנינו נערים בגיל העשרה יושבים מרותקים מול מסך מחשב קטנטן, כשהם מביטים מבעד לזגוגיות משקפיהם ברצף מספרים כמעט אינסופי וכבר בתחילת הסרט הם יבצעו במיוחד עבורנו הצופים חדירה למערכת המאובטחת ביותר בעולם כגון הסי.אי.אי או יעבירו מיליוני דולרים מחשבון בנק אחד לאחר וכו`. המציאות לא ממש רחוקה מכך, אך לא בהכרח כזו. יש סוגים שונים של פורצים בעלי מניעים שונים. ישנם פורצים הנוקטים תחילה בדרכים סוציאליות בכדי להגיע למידע רגיש בארגון ורק לאחר שאספו מספיק מידע כדי לחדור למערכת הם יעברו לטקטיקה השניה שהיא פריצה באמצעות הרשת, פורצי מחשב אילו נקראים האקרים סוציאליים.
באחת מהחברות בארץ, מקפידים בצורה יוצאת דופן על נושא אבטחת המידע. עובדי החברה מודעים ללא יוצאים מהכלל, לכל הנהלים הקשורים באבטחה מנשיאת תג עובד ועד גריסת כל המסמכים עם סיום יום העבודה. אחד הסיפורים היותר מרשימים ששמעתי שם היה שבתום יום עבודה מצא קצין האבטחה של הארגון מסמכים סודיים שנזרקו לפח האשפה הרגיל ולא לפח המיועד לגריסת ניירת. לצורך בדיקה בלבד, נסע קצין האבטחה למתקן האשפה האזורי ושם להפתעתו, גילה שיש כמות נכבדה של ישראלים שיודעים לעשות כסף והרבה כסף מאשפה של אחרים או ונאמר זאת אחרת, מטעויותיהם של אחרים. מולו נראו מספר גברברים מלאי התלהבות, העסוקים במיון סוגים שונים של אשפה כגון זכוכית, פחיות, פלסטיק וכיוצא בזה וכמובן, גם מסמכים של חברות הייטק. לדאבונו ולדאבוננו, לאחר בירור קצר התברר שאותם מסמכים מוצעים למכירה לכל מעין דבעי שרק ינקוב במחיר הגבוהה מבין כל המבקשים. קצין האבטחה נאלץ לרכוש את כל ערמת המסמכים הסודיים של הארגון בטרם ירכשו ע"י חברה מתחרה. אין לי שום ספק שהאקר שפועל בדרכים סוציאליות לשם איסוף מידע ישמח למלא את משרדו בערמת אשפה של ארגון זה או אחר וזאת כמובן אם התשלום עבור הפריצה יהיה בהתאם. יש יותר ממסקנה אחת מסיפור זה ודומיו, ידע זה כוח, וכוח שווה כסף, וכן, יש בוודאי לגנוז מסמכים וגם אילו הנראים כחסרי חשיבות יהפכו לקצה חוט עבור האקר מקצועי. והכי חשוב האקרים מקצוענים יפעלו בכל דרך על מנת להשיג פיסות אינפורמציה שבסוף ירכיבו עבורם תמונה של ממש.
סיפור נוסף שעשוי להתקשר להאקר סוציאלי ולסיסמאות הוא תרגיל ניסיוני שערכתי עבור אחת מחברות ההייטק. המטרה הייתה יצירת חשבון משתמש חדש בעל זכויות של Administrator ובדיקת ערנות טכנאי חדר המחשב, האמצעים היו חיוך רחב והסרת תג האורח והממצאים לא היו ממש מפתיעים, אולי רק לאחדים מאתנו בחדר מחשב. בוקר יום שני, נעמדתי בכניסת חדר המחשב של הארגון שנעול ע"י קוד זיהוי שנדרשים להקליד כדי להיכנס לרחבת השרתים. לא עברו שתי דקות והגיע טכנאי מחשב למפתן החדר, הקיש את הקוד ונכנס. ברכתי אתו בבוקר טוב ונכנסתי אחריו. ידעתי שאני צריכה להיות זריזה, יעילה ולפעול מהר ככל הניתן. הבטתי סביבי ותהיתי לאיזה שרת לגשת. כל הארונות סביבי גדושים בקופסאות מתחת שמחוברות לחשמל, שרתי מחשב גבוהי קומה. טקטיקת החשיבה חלפה די מהר ועברתי למצב פעולה. ניגשתי לאחד הארונות וראיתי שומר מסך שחור, הזזתי את העכבר ונתקלתי במסך Logon של השרת. התחלה טובה, אך לא מספקת מאחר שאין בידי אף סיסמא או שם משתמש שיעזרו לי להיכנס למערכת. (ישנן שיטות פחות זהירות העשויות לגרום נזק לשרת ברגע שיש גישה פיזית אליו, אך לא רציתי להשבית ולו למספר דקות, אף שרת). עברתי למחשב נוסף הזזתי את העכבר ושוב נתקלתי במסך Logon של השרת. בשלב הזה כבר הבחנתי בהתלחשות סביבי, עד שניגש אלי אחד הטכנאים ובקש שאזדהה. הצגתי את עצמי כטכנאית של חברת חומרה חיצונית חבשתי מבט אולי קצת כועס מעצם השאלה ועברתי לשרת הבא בטור. הטכנאי שב לעיסוקיו. למרבה הפתעתי הפעם כשהזזתי את העכבר לא נתבקשתי להקיש שם משתמש וסיסמא וכבר הייתי בתוך המערכת. מיהרתי ויצרתי משתמש חדש, הוספתי אותו לקבוצת מנהלי הרשת שהיא קבוצה הקיימת כברירת מחדל ברוב ממערכות השרת ומעניקה לחבריה באופן אוטומטי הרשאות של מנהל רשת. התרגיל עבר בהצלחה, היו הרבה טכנאים כעוסים אך לפחות מלומדי ניסיון. המסקנה המתבקשת הפעם היא שטוב שיש קוד כניסה למערכת אך טוב יותר אם נגלה ערנות שמא נתפס, שלא לאומר, אם המכנסיים למטה.
כל השיטות המתוארות לעיל הנן שיטות פעולה לגיטימיות לאיסוף מידע או חדירה למערכות מחשב לאו דווקא בדרך שהיינו מדמיינים לעצמנו.

ניצול שגיאות תוכנה ושימוש בדלתות אחוריות (Exploit, Vulnerability and Back Doors).
חדירה למערכת יכולה להתבצע בשכבות שונות של הרשת, משכבת ה- Network כגון הפלת המערכת ע"י ביצוע מתקפת Syn, Ping of death ועד שכבת ה- Application. השכבה הקשה ביותר להגנה היא השכבה השביעית במודל 7 השכבות ה- Application layer. הסיבה לכך נעוצה במספר עובדות האחת, בשכבה זו האחריות למניעת פריצות מצויה בידי האפליקציה ומפתחיה, כל באג (טעות כתיבה בקוד התוכנה) עשוי להוות פתח לפריצת המערכת או הפלתה ע"י Buffer Over Flow שמשמעותו היא שימוש לא נכון בזיכרון המחשב או שליחת כמות מוגזמת של נתונים, כאשר התוכנה המיועדת מצפה לכמות קטנה יותר ולכן אינה יודעת כיצד להתנהג עם שאר הנתונים שהתקבלו. והסיבה השניה היא מורכבות הטיפול בנתונים שמתקבלים. לדוגמא: כדי להתמודד עם בעיה ברמת ה- Network יש לבדוק כל חבילת מידע (Packet) המגיעה למערכת לעומת זאת בדיקה של הודעת דואר אלקטרוני מורכבת יותר מאחר שתחילה יש לאסוף את כל חבילות המידע, להרכיב מהם את ההודעה ולבסוף לבצע את הבדיקה הרצויה.
חדירות למחשבים ע"י ניצול לרעה של חולשות המערכת (Vulnerability) מאוד נפוצות בקרב האקרים וכדי להגן מבפניהם יש צורך בפעולת הקשחת שרתים (הסרת השירותים הלא רלוונטים והעלאת אמת האבטחה של השרת), ובבניית שכבות הגנה נוספות כגון התקנת אנטי וירוס, עדכון Hotfixes ומערכות IDS וכו`.
בדר"כ ארגונים מסתפקים בהתקנת שרת Firewall כגון שרת ISA מבית מיקרוסופט המספק הגנה הכרחית. שרת Firewall נועד בתכליתו לסגירה ופתיחה של Ports (כל Port מיצג שרות במערכת) בהתאמה לסט חוקים (Rules/Policies) שנקבע מראש. כדוגמא מנהל אבטחת מידע יכול להגדיר ע"פ מדיניות הארגון האם לאפשר או לא לאפשר כניסה ויציאה דרך פורט 25 המיצג את פרוטוקול SMTP (שירות דואר) או לאפשר כניסה ויציאה של תעבורת הרשת בפורט 80 המייצג את פרוטוקול HTTP. כיום שרתי Firewall הרבה יותר מתוחכמים ולכן מסוגלים לתת שרותי אבטחה מתקדמים.
כמעט כל ארגון מאפשר לעובדיו לגלוש באינטרנט באופן שוטף ועל כן, במידה וקיים שרת FireWall יוגדר חוק המאפשר כניסה ויציאה של תעבורת רשת בפורט 80 (HTTP). חוק זה מאפשר שימוש בדפדפן אינטרנט לשם שיטוט באינטרנט כגון: http://www.RemoteWebSite.co.il/index.asp אולם, במידה ונוסיף לשורה זו פרמטרים נוספים נוכל במקרים מסוימים לקבל הרבה יותר מסתם דף HTML במידה והשרת לא הוקשח כנדרש.

מתקפה מסוג DOS ‏(Denial of Service)

במאמר זה



מבוא


וירוסים


חדירות Intrusion וגנבי מידע


Denial of service ‏(DOS Attack)







המטרה העיקרית של מתקפה זו היא להשבית את המערכת ע"י העמסת משאביה כגון: המעבד, הזיכרון, רוחב הפס (התקשורת) וכו`. אחת התוצאות האפשריות של מתקפה כזו עשויה להיות הפרעה למשתמשים לעבוד עם המערכת, או במקרים אחרים שליטה של התוקף על המערכת. מנהל מערכת שהותקפה ע"י DOS עשוי להציג מסך המלווה בהודעת שגיאה או במקרים חמורים יותר תהיה נפילה מצומצמת יותר אך לעיתים קשה יותר לאבחנה כגון השבתה של שירות (Service) מסוים במערכת כגון השרות שמנהל את אתר האינטרנט.
מתקפת DOS מאוד פופולארית מאחר שהיא יחסית קלה לביצוע ומשיגה את המטרה העיקרית שהאקר ונדליסט מעוניין בה והיא הפלת המערכת. חלק נכבד מפורצי המחשב עונים לקטגוריה של האקר ונדליסט שמשאת נפשו היא אך ורק לגרום נזק. לא פעם מתקפת DOS מהווה רק דלת כניסה ראשונית למערכת שדרכה ההאקר שותל קבצי הרצה, וירוסים או כתוצאה מנפילת המערכת הוא משיג הרשאות גבוהות יותר מאילו שהיו לו בהתחלה. ניקח כדוגמה את כתובת הדואר האלקטרוני שלי שמופץ באמצעות הכרטיס ביקור שלי וחושף את כתובת הדואר האלקטרוני במקום העבודה – soltz@microsoft.com. ברוב הארגונים ה- alias name שהוא החלק הראשון של כתובת הדואר האלקטרוני הוא גם שם החשבון שאיתו אנו מבצעים Logon למערכת. במקרה הזה שם החשבון יהיה soltz. את המידע הזה כל האקר יכול להשיג משיחת חולין עם עובד בארגון מסוים או לחלופין באמצעות שימוש בפקודה VRFY * (במידה ולא חסמת אפשרות זו כדי לבצע זאת בהקדם). כאשר מתחברים ב- Telnet לפורט 25 (SMTP). בצורה כזו ההאקר כבר השיג 50% מחשבון המשתמש ומה שנותר לו להשיג כעת הוא סיסמת המשתמש, שלא פעם היא 12345 או 11111 וכו.
תת-קטגוריה של מתקפת DOS נקראת Syn Attack שמטרתה לשבש תהליך הנקרא three-way handshake ובכך למנוע את היכולת לעבוד מול המערכת המותקפת. שיטת הפעולה היא לא לסיים במזיד תקשורת שהחלה. כדי להבין כיצד מתבצעת מתקפת Syn יש להבין תחילה כמה מושגי מפתח בפרוטוקול התקשורת TCP/IP. כדי לבצע תקשורת בין שני מחשבים באמצעות פרוטוקול TCP/IP מתקיים תהליך שנקרא במונחים מקצועיים three-way handshake. תהליך זה מתאר את הדרך שבה שני מחשבים מסכימים על פתיחה בשיחה (Session). לצורך כך, נניח שאליס ובוב מעונינים לשוחח. אליס פונה לבוב בבקשה לשיחה (Syn) ובוב מאשר את בקשתה של אליס ע"י שליחת Syn/Ack ‏(Acknowledgment), אך עדיין ממתין לאשרור מאליס על מנת לוודא שהיא אכן מודעת לכך שבוב מעוניין לשוחח איתה. ברגע שאליס תשלח לבוב אשרור (Ack), בוב יפתח בשיחה.

איור 5: תהליך יצירת תקשורת בין שני מחשבים
ציור 5 מתאר תהליך תקין של יצירת connection בין מחשב A למחשב B. בהנחה שהמשתמש במחשב A מעוניין להשבית את מחשב B התהליך המתואר יתחיל אולם לעולם לא יסתיים. שלב 3 ו- 4 לעולם לא יושלמו כפי שמתואר בציור 6.

איור 6: תהליך יצירת תקשורת בין שני מחשבים
בכדי ליישם מתקפה מסוג Syn כל שצריך לעשות הוא לדאוג לשלוח בקשה לתקשורת ולעולם לא לסיים את הבקשה וכך השרת המותקף שומר בזיכרון (Cache memory) בקשות להתקשרות, ושולח Syn/Ack חמש פעמים נוספות ובכל פעם מגדיל את זמן ההמתנה לאשרור מהמחשב ששלח את הבקשה. ההמתנה הראשונה לאשרור נמשכת כ- 3 שניות, במידה והמחשב לא מקבל אשרור הוא שולח שוב Syn/Ack והפעם ממתין 6 שיניות במידה ושוב הוא לא קיבל אשרור הוא ישלח פעם נוספת Syn/Ack והפעם ימתין 12 שניות וכן הלאה עד הפעם החמישית והאחרונה. סה"כ זמן ההמתנה לאשרור יכול להגיע לכ- 189 שניות. במידה וכמות הבקשות גדולה מאוד ואף בקשה כזו לא מסתיימת המחשב המותקף עשוי לקרוס.
לדוגמה: מחשב A שולח למחשב B כמות בלתי מוגבלת של בקשת Syn כאשר כתובת ה- IP של ה- Source אינה נכונה או לחלופין כתובת ה- IP של ה- Source וה- Destination הן אותה כתובת (מתקפה זו הנה תת קטגוריה של DOS attack והיא מכונה Land attack). כאשר מחשב B ינסה להשיב Syn/Ack למחשב A, הוא לעולם לא יקבל אשרור חזרה ממחשב A מאחר שהכתובת שניתנה לא הייתה נכונה.

איור 7: מתקפת Syn
במידה וקיים חשש שמחשב מסוים עומד תחת מתקפת Syn ניתן להריץ את הפקודה הבא כדי לאשר או לבטל את החשש :
C:\> netstat -n -p tcp
Active Connections
Proto Local Address Foreign AddressState
TCP127.0.0.1:1030127.0.0.1:1032ESTABLISHED
TCP127.0.0.1:1032127.0.0.1:1030ESTABLISHED
TCP10.57.8.190:2110.57.14.154:1256 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1257 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1258 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1259 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1260 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1261 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1262 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1263 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1264 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1265 SYN_RECEIVED
TCP10.57.8.190:2110.57.14.154:1266 SYN_RECEIVED
TCP10.57.8.190:4801 10.57.14.221:139 TIME_WAIT
מתקפות מסוג Syn מתבצעות בשכבות נמוכות מאוד בד"כ בשכבת ה- Network ולכן בדרך כלל ההגנה מפניהם היא ע"י מערכת ההפעלה או ע"י אפליקציה השולטת ב- TCP stuck . מערכת ההפעלה Windows 2000 מאפשרת הגנה מפני מתקפות כאלו ע"י עריכה ישירה של ה- Registry. וכמובן שמעבר לכך רצוי להתקין שרת Firewall שיספק רמת אבטחה נוספת כגון שרת ISA.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\ SynAttackProtect
Value Type: REG_DWORD
Valid Range: 0, 1, 2
0 (no synattack protection)
1 (reduced retransmission retries and delayed RCE (route cache entry) creation if
the TcpMaxHalfOpen and TcpMaxHalfOpenRetried settings are satisfied.)
2 (in addition to 1 a delayed indication to Winsock is made.)
דוגמאות נוספות למתקפות DOS הן ICMP Bombing ו- Ping of Death. מתקפות אילו פועלות על פי אותו עקרון ומטרתם להפיל את המחשב הנתקף. הפקודה Ping.exe נועדה לאפשר בדיקת תקשורת בין מחשבים המחוברים ברשת וזאת על ידי שליחת ארבעה Packet של 32 bytes. פקודה זו מבוססת על פרוטוקול ICMP בסביבות מיקרוסופטיות (בסביבת Unix היא מבוססת על ICMP או על UDP). בכדי להפיל מחשב בצורה כזו ניתן להגדיל את כמות ה- Packets שנשלחים, למשל במקום ארבעה נשלח מספר בלתי מוגבל או אינסופי של Packets, ובמקום שכל אחד מהם יהיה 32 bytes נגדיל ל- 1000 bytes וכך נעמיס על המחשב המותקף.
C:\ > ping 169.254.1.1 -l 1000 -t
Pinging 169.254.1.1 with 1000 bytes of data:
Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255
Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255
Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255
Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255
Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255
Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255
Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255
Reply from 169.254.1.1: bytes=1000 time<10ms TTL=255
מתקפה זו הייתה בעבר מאוד פופולארית, אולם כיום כשהמחשבים בעלי רכיבי חומרה מתקדמת, קשה יותר להפיל את המערכת ובמקרה החמור ביותר אנו רק מעמיסים על רוחב הפס שלנו ושל המחשב המותקף ובכך מאיטים את התקשורת של כל המשתמשים עם המערכת.
אם נפתח את הרעיון הזה ניתן לשלוח Ping of death יותר קטלני במידה ונערוך את ה- Packets שאנחנו שולחים ונשנה בכתובת IP את כתובת ה- Source ובמקום הכתובת של המחשב שלנו נשלח את הכתובת של המחשב המיועד או לחלופין את כתובת ה- Broadcast של הרשת אליה משתייך המחשב המותקף. הפעם נשיג אפקט פחות מאכזב, המחשב המותקף יקבל אינסוף Packets כאשר כתובת השולח של אותם Packets היא הרשת עצמה. המחשב המותקף יענה בפרוטוקול ICMP לכל המחשבים ברשת ואילו יענו לו חזרה וכן הלאה.

איור 8
1. Ping Email.microsoft.com
2. Reply received 208.217.177.120: bytes = 32 time = 20ms TTL=116
ראוי לציין שכיום השיטות למתקפת Ping of death לא בהכרח מבוססות על פרוטוקול ICMP.