לא עומדים בפרץ

מחקר חדש ומקיף של חברת הייעוץ והמחקר "מגלן" מנתח התקפות על אתרי אינטרנט בישראל בשנים 1999 עד 2002 וחושף לראשונה פרטים חדשים על היקף התופעה וסיבותיה. על פי המחקר, שלושה אתרים נפרצים בישראל מדי חודש, והנזקים המהותיים לעתים סמויים וחמורים יותר מאלה שגלויים לעין.
לצורך המחקר, בחברת "מגלן", העוסקת בתחומי לוחמת מידע, מודיעין רשת ומניעת חדירות ומפגעי אבטחת מידע ברשתות תקשורת, עקבו אחר אירועי הפריצה לשם הבנת התהליכים הקשורים בהם באופן ישיר ועקיף.
שמונה עובדי החברה אספו מידע ממקורות חסויים ושיטות שלא נחשפו, כמו גם ממקורות גלויים כמו אתרים שמפרסמים נתונים על תקיפות אתרים ורשימות דיוור של האקרים, ערוצי IRC, ודיווחים ישירים שהתקבלו בחברה. לאחר שאומתו ונותחו ניסיונות התקיפה, נעשה שחזור של חלק מאירועי הפריצה בתנאי מעבדה.

השיא - בין 2000 ל-2001

במסגרת המחקר הוגדרה פריצה לאתר אינטרנט "כגישה בלתי מורשית לספריה או קובץ שאינו חלק אינטגרלי מאתר האינטרנט ואינו משויך לו".
על פי הממצאים, בשנים 1999 עד 2002 נרשמו 338 מקרים של פריצות לאתרי אינטרנט בישראל, מהם 83 אחוז תקיפות שכללו השחתת פני האתרים והיתר פריצות מסוגים שונים. בשנת 2001 נרשם המספר הגדול ביותר של השחתת אתרי אינטרנט - 348 מקרים. חוקרי "מגלן" מודה כי סביר להניח שחלק מאירועי הפריצה לאתרים בישראל הוחמץ או לא נודע, למרות המשאבים הרבים שהושקעו באיסוף המידע.
"מגלן" קובעת כי חלה עלייה משמעותית בתקיפת אתרי אינטרנט בישראל בין נובמבר 2000 ליולי 2001. בפרק זמן זה נפרצו 467 אתרי אינטרנט ונפגעו מהשחתת פני האתר, כלומר, החלפת התכנים הרגילים במסרי מחאה. היקף הפריצות בפרק זמן זה משתווה לכ-56.1 אחוז מכלל ההתקפות שנרשמו בכל ארבע שנות המחקר.
על פי בחינה פרטנית של כל האירועים בתקופה זו, כ-98 אחוז מניסיונות התקיפה היו בתגובה לאינתיפאדת אל-אקצה. לרוב, תכניי האתרים שהותקפו הוחלפו בתכנים פרו פלסטיניים, פרו איסלאמיים ואנטי ציוניים.
מספר התקיפות הלך ופחת באופן משמעותי בשנת 2002, אך בחודשים ספטמבר עד נובמבר בשנה זו חלה עליה נוספת (166 אתרים נפגעו בפרק זמן זה). בכל 2002 נרשמו 262 פריצות.

ופרצת ופרצת

השחתת פני האתר (Web Defacment Attack ובקיצור - WDA) מוגדרת כפריצה לשרת ושינוי תוכני או גרפי של אחד מדפי האתר, לרוב מדובר בדפים הראשיים. על אף שהשחתת פני האתר זכתה לכינוי המקל "סייבר גרפיטי", פעולה זו מהווה פגיעה תדמיתית חמורה לבעלי האתר, בייחוד אם דבר הפריצה מתפרסם בתקשורת ונודע ללקוחות ובמקרים בהם מדובר באתרים של גופי ממשל, חברות מסחר אלקטרוני וחברות אבטחת מידע.
בראייה משפטית, פריצה לאתר והשחתת פניו דינה כחדירה למערכות ארגוניות, פגיעה בזכויות יוצרים וגניבת מידע. פריצות אלה חושפות את הארגון לסכנת השתלת סוסים טרויאניים ומסבה נזק איכותי ותדמיתי.
החוקרים סוקרים את תולדות תקיפות האתרים בישראל ומציינים, על פי שיחות עם האקרים ישראלים ותיקים, כי הפריצה הראשונה לאתר אינטרנט בישראל בוצעה ככל הנראה כבר בסוף שנת 1996. עם זאת, באתרים העוסקים בתיעוד פריצות לאתרים, העדות הראשונה להשחתת פני אתר היא משנת 1998 ומתייחסת לפריצה לאתר cool.co.il.

גם רפא"ל ואלאדין בנפגעים

בכל שנות המחקר עלה חלקן של תקיפות WDA בין כל פריצות המחשבים בישראל ב-27.7 אחוז, ככל הנראה כתוצאה מהתרחבות אירועי האקטיביזם (Hacktivism - חיבור בין 'האקינג' ו-'אקטיביזם', התקפת שרתים למטרת הפצת מסרים פוליטיים) ברחבי העולם.
דומה שאין גוף החסין מפגיעת ההתקפות. בין האתרים שנפלו קורבן לתקיפת WDA, על פי המחקר, גם אתר האינטרנט של המכון הבינלאומי לחקר הטרור במרכז הבינתחומי בהרצליה, אתר האינטרנט של חברת האבטחה אלאדין, הטכניון, אמריקן אקספרס, אתר "בזק חיפה", אוניברסיטת בן גוריון, אתר רפא"ל, הליכוד, סוכנות רויטרס ועוד.
בניגוד לסברה מקובלת, מספר אתרי האינטרנט שנפרצו לא גדל לרוב בחופשות חג, חופשות לימודים וכו'. למשל, בשנת 1999 התפלגו הפריצות בכל חודשי השנה במידה שווה וללא כל תנודות חריגות. בממוצע, נפרצו עד שלושה אתרים בחודש.

רוב האתרים בסיומת co.il

חלוקת האתרים שנפרצו ונפגעו מתקיפות WDA על פי סוגים מראה כי מרביתם (75 אחוז) הם אתרים מסחריים (בעלי הסיומת co.il), עשרים אחוז אתרים של ארגונים (org.il) והשאר מסוגים שונים. חוקרי "מגלן" מניחים כי האתרים המסחריים נפרצו עקב שכיחותם הגבוהה לעומת אתרים בסיומות אחרות.
התפלגות כלל הפריצות לאתרי אינטרנט על פי סוג מערכת ההפעלה בשרת המותקף הראתה כי בשנת 2002, 82.1 אחוז מהם היו מבוססות "חלונות", 8.5 אחוז לינוקס והשאר כללו מערכות הפעלה אחרות כמו BSD וסולאריס.
באשר לשרת האינטרנט באתרים שנפרצו, "מגלן" גילתה כי 82 אחוזים של שרתי האינטרנט שנפרצו בישראל בין השנים 1999 ו-2002 פעלו עם תוכנת IIS של מיקרוסופט, 17 אחוז התבססו על שרת הקוד הפתוח אפאצ'י ובודדים (1 אחוז) הפעילו שרתי אינטרנט מסוגים אחרים.
למרות המספר הגדול של שרתי IIS שנפרצו וסבלו מפגיעות WDA, החוקרים קובעים כי מספר הפירצות בשרתי IIS פחת בכ-35 אחוז משנה לשנה, על אף שמספר שרתי האינטרנט שנפרצו גדל בצורה דרמטית.
במהלך המחקר בוצעה בדיקה פרטנית לאתרי אינטרנט שנפגעו מהתקפות WDA השייכים למשרדי ממשלה, רשויות, תאגידים, חברות וארגונים גדולים במשק הישראלי. מתברר כי מרבית האתרים שנפרצו היו מוגנים לפחות באמצעות Firewall ולעתים גם ברכיבי הגנה משלימים כמו מערכת איתור חדירות (Intrusion Detection System), מערכות אנטי וירוס ומערכות סינון תעבורה ברמת היישום.

הנזקים העקיפים של השחתת פני אתרים

על פי ניתוח הממצאים, 93 אחוז מאתרי האינטרנט שנפגעו בתקיפת WDA שוקמו בפרק זמן ממוצע של 44 שעות מזמן התקיפה, כאשר שבעה אחוז שוקמו תוך פרק זמן ארוך, לרוב גדול מ-72 שעות.
המחקר מונה את הנזקים העקיפים העיקריים של פריצות אלה, בהם נטישה של גולשים (בייחוד כאשר מדובר באתרי מסחר אלקטרוני שהפירצה אליהם סיכנה מידע פרטי כמו פרטי כרטיסי אשראי), גניבת מידע חסוי ומסווג מסחרי או ביטחוני (ריגול תעשייתי), שתילת סוסים טרויאניים ומשדרי תוכנה המאפשרים לפורץ המערכת לגשת אליה גם לאחר שמפגעי האבטחה טופלו ותוקנו, ופריצות משנה סמויות (Sub-Intrusion Covert Action) לאתרים ומערכות נלוות.
מנכ"ל חברת מגלן, שי בליצבלאו, מסביר, כי פריצת משנה סמויה היא תהליך של פריצה לרשת של חברה מסוימת, המתבצע באופן סמוי במקביל לתקיפת WDA ולרוב אינו מזוהה על ידי מנהל המערכת ומשתמשיה. לרוב, התוקפים פורצים לרשת הארגונית דרך קישור של חברה אחרת, לרוב מדובר בשותפה עסקית.
הפורצים לרוב אינם מקצוענים ומשתמשים בשיטת תקיפה המכונה Leapfrog (קפיצות חמור) - התוקף משתמש ביישום המאפשר לו לחדור לשרת א', להשיג שם משתמש וסיסמה במערכת ובאמצעותו לחדור לשרת ב' באותה רשת או ברשת אחרת ומשרת ב' ממשיך התוקף לשרת ג' וכדומה.
בליצבלאו מזכיר מקרה אחד של פורץ שחדר למערכת של חברת אנרגיה ישראלית למשך שלושה חודשים באמצעות שיטה זו. על אף שמערכות חיוניות אינן אמורות להיות מקושרות לאינטרנט, בליצבלאו מציין כי חיבור עקיף לרשת מתקיים לעתים, מסיבות שונות כמו אי קיום הוראות מערכת הביטחון, חיבורים זמניים לאינטרנט. נוסף על כך, לעתים הפורצים יכולים לבצע פעולות ברשתות האינטראנט של הארגון שישפיעו על הרשתות המסווגות שלהם.
המחקר אינו מוצא קשר ברור וחד משמעי בין השחתת פני האתר (WDA) לבין פריצת המשנה הסמויה אך לכל פריצות משנה סמויות שאותרו קדמו אירועים של השחתות פני האתרים בשרתים שהותקפו.

בעתיד - התקפות דרך מדפסות

"ההנחה כי גורמים מקצוענים, לרוב כחלק מפעילות של ריגול תעשייתי, עושים שימוש בהתקפות WDA כפעולת כיסוי לחדירה סמויה למערכת לא הוכחה, אבל לא ניתן לשלול אותה באופן מוחלט", אומר בליצבלאו, "עם זאת, לעתים התוקפים קוראים על השחתות אתרים בתקשורת והדבר מספק להם את התמריץ לפרוץ".
בליצבלאו מציין כי הניסיון מלמד דווקא כי גורמים מקצוענים העוסקים בתחום יעדיפו לרוב לחדור למערכת בשקט ללא התקפת WDA נלווית שתשתית את פני האתר, שכן הם עלולים לחשוף עצמם והיתרון המודיעיני ייעלם. "עם זאת, ברור שהתוקפים משתמשים בהתקפות WDA לצורך לימוד מערכת האבטחה ברשת", הוא אומר.
בליצבלאו צופה כי בעתיד ישתכללו המתקפות ויכללו הפצת תולעים שמשנות עד 90 אחוז ממבנה הקוד שלהם עם הדבקת המחשב, התקפות דרך מדפסות ועוד.