האם אתם מוכנים לשלם כופר בעבור המידע שלכם?
מאת:
ערן חיים, 26.9.16, 07:00
אין זה מפתיע, שמרבית העסקים מחליטים לשלם את הכופר בסופו של דבר. איך מתכוננים לאיומים העתידים לבוא?
כמה כסף אתם חושבים, שעסק-ארגון בינוני-גדול יהיה מוכן לשלם, אם כל הקבצים והנתונים, שאיתם הוא מקיים את העסק שלו, ייעלמו בצורה פתאומית?
עד מאות אלפי דולרים (וברוב המקרים משלמים ב
ביטקוין). את העובדה הזו יודעים היטב ההאקרים המפתחים תוכנות כופר. הם מעלימים את קבצי העסק-הארגון בהצפנה מסוימת ודורשים בתמורה להחזרתם סכומי כסף נאים.
אין זה מפתיע, שמרבית העסקים (וגם אנשים פרטיים) מחליטים לשלם את הכופר בסופו של דבר. חלקם לא תמיד יודעים כיצד להתמודד עם הביטקוין ונדרשים לסיוע של מי שמעורה בתחום זה כדי לשלם. גם העסק של ההאקר בנוי על אמינות, ולכן, כאשר ה"לקוח" משלם, "בעל העסק" מבטל את ההצפנה והכל ממשיך כרגיל
.
כשתעשיית ההאקרים החלה את דרכה (במקביל להתפתחות עולם המחשבים והאינטרנט כמובן), היא גילתה, שהרשתות והפרוטוקולים, שמעבירים מידע עליהם, מכילים פרצות רבות המאפשרות להאקרים לנצלן ולפגוע בנו במגוון דרכים. הם החלו במתקפות
DDOS בסיסיות (מתקפות מניעת שירות), שמטרתן לשתק את משאבי העסק (והן פשוטות מאוד לביצוע), והגיעו עד לפריצות מתוחכמות, שמטרתן להשתלט על משאבים פנימיים ולגנוב מידע רגיש.
כיום ההאקרים מבינים את הכוח הטמון במידע, שנמצא על המחשבים של הקורבנות. בין אם זו גניבה תעשייתית, השתלטות של האקר על מחשב לצורך שליטה ובקרה מרחוק, או נעילת הכונן הקשיח ושחרורו באמצעות כופר - יש כאן עסק המגלגל הרבה כסף.
ולא מדובר רק בתוכנות כופר. גם
כיום עסקים רבים לא מודעים לכך, שניתן לתקוף את אתר האינטרנט שלהם די בקלות, להוציא פרטי משתמשים, סיסמאות ומידע רגיש. הם עדיין מאמינים, ש-
firewall עם אנטי וירוס יגן עליהם, אך הם טועים ורחוקים מהמציאות.
כאשר ארגון מציע שירות אינטרנטי, הוא רוצה, שהשירות יישאר זמין ללקוחות שלו – להבטיח המשכיות עסקית. לכן, הדבר הקל ביותר עבור תוקף יהיה למנוע ממנו לתת שירות, במילים אחרות מתקפת
DDOS.
אם כוונותיו הן יותר מאשר מניעת שירות, הוא יכול לבחור להתקיף את האתר באמצעות מגוון סוגי התקפות ולגנוב ממנו מידע, וכל זה עוד הרבה לפני שדיברנו על תוכנות הכופר.
מצבים אלו לא תלושים מהמציאות, שכן לא מזמן נגנבו פרטי כרטיס אשראי של כ-160 מיליון משתמשים מ-
eBay.
המצבים האלה יכולים לגרום לתחרות עסקית קשה: אם
eBay לא תהיה זמינה במצב של התקפת
DDOS, הלקוחות יעברו לקנות מוצרים באמזון וב-
Aliexpress.
רק לאחרונה
פורסם עלvDOS - שירות להפלת אתרים, שהופעל ע"י 2 האקרים ישראלים צעירים, שקבלו תשלומים בביטקוין. האתר שלהם מכר חבילות בתלות במספר השניות של מתקפות ה-
DDOS. בתקופה בין אפריל 2016 ליולי 2016 היה
vDOS אחראי ל-227 מיליון שניות זמן התקפה. האתר הרוויח למעלה מ-600,000 דולרים בשנתיים האחרונות בשירות
Attack-for-Hire להפעלת 150,000 התקפות מניעת שירות על אתרי אינטרנט. מדובר בעיקר בהפלת אתרי עסקים ע"י מתחרים ואנשים שפעלו להפילם מתוך אינטרסים שונים.
סוג אחר של מתקפה מגיע בצורה של קוד זדוני המתחבא בתוך פרוטוקול לגיטימי. אנו רואים היום מגמה של מתקפות המתחבאות בתוך תעבורת
SSL מוצפנת, שברוב המקרים עוברת את כל קווי ההגנה ללא בדיקה בגלל שהיא מוצפנת. כך אנו רואים בעצם שימוש לרעה במנגנון, שנועד להגן על השרתים ומשתמשי הקצה.
אז מה עושים? אם אנו מבינים, שאבטחת מידע זה תחום שתמיד מתפתח, גדל ומסתבך, איך נכין את עצמנו לאיומים העתידים להגיע?
לכך יש 2 תשובות:
- הטכנולוגיות המתקדמות המתאימות לאבטחת מידע,
- האנשים המתאימים.
השוק משופע בפתרונות מתקדמים לפתור מגוון שלם של בעיות אבטחת מידע,
רק צריך לבחור. כדי לבחור יש צורך בידע מתאים. ידע הוא המשאב החשוב ביותר והוא נמצא אצל
מומחי אבטחת המידע.
איך יודעים מי המומחה המתאים?
לא תמיד זו משימה פשוטה למצוא אחד כזה. מומחה אבטחת מידע כיום צריך להכיר, לדעת, להתעניין בנושאים חדשים, טכנולוגיות, ללמוד ולקרוא מה קורה בחוץ, בין אם זה באמצעות קורסים רשמיים של יצרנים, לימוד ב"שטח" על ציוד, עזרה מחברים בעבודה, ואפילו דרך גוגל. הוא חייב למצוא את הדרך להעשיר את הידע שלו ולהתעדכן ,שכן זהו הדבר החשוב ביותר. איש טכני, שיישאר מקובע על האיומים הקיימים כיום, יצטרף בסופו של דבר לרשימת הלא רלוונטיים.
לעולם לא נצליח להגיע לרשת סטרילית לגמרי, שכן תמיד יגלו פרצות חדשות. מה שאנו כן יכולים לעשות זה את המאמץ המרבי להכיר את הפרצות הללו, להרים הגנות בהתאם עם הטכנולוגיות המתאימות ולהציב בראשן את האדם, שיהיה מסוגל לעמוד בדרישות של התפקיד החשוב הזה. רק כך נוכל להימנע ממצב, שבו העסק יצטרך לשלם הרבה כסף ככופר להאקרים.
מאת:
ערן חיים, יועץ תקשורת נתונים ואבטחת מידע ב-
Arrows ECS