הסיפור המוזר של ההאקר הצעיר מאשקלון בשעת לילה מאוחרת
מאת: ניר סמיונוביץ, 27.3.17, 09:40

חשיפת השיטות והטכנולוגיות מאחורי התוצאה המבעיתה של מה שנראה כמו סרט הוליוודי בו ההאקר נתפס "על חם",  מענה לשאלה "אם הכל כל כך מסובך אז איך בכל זאת תפסו אותו?"  והצעדים ההכרחיים, שיש לנקוט אם רוצים לוודא, שמערכת ה-VoIP הארגונית מוגנת, לא רק בשביל שיהיה תיעוד, אלא שבמקרה שפרצו, שתוכלו להוכיח, "שיש לכם אחות".

סיפורי האקרים הם תמיד מקור נפלא לחדשות. יש בהם את כל האלמנטים לסיפור מעולה: אינדיבידואל עם אג'נדה (ספק אנארכיסטית, ספק אישית), קורבנות תמימים הסובלים ממתקפות ההאקר ושלטונות החוק הנראים כאילו אוזלת ידם לא מאפשרת להם לתופסו. ואז, כאילו בתפנית של סרט הוליוודי, ההאקר "נתפס על חם".

לפני מספר שבועות, עלו לאוויר מספר רב של "מתקפות טלפוניות" על מוקדי קהילה יהודיים בחו"ל, מניו-זילנד ועד ארה"ב. על פניו, היה נשמע, שכל האיומים נבעו מאותו אדם, שמתקשר בצורה מתוחכמת אל מוקדי הקהילה, מדווח על קיומה של "פצצה" בתוך המבנה ומבשר למוקדן על "מרחץ הדמים" הממשמש ובא.

מקורות יודעי דבר ב-FBI טענו: "ההאקר מתוחכם ביותר, ומשתמש באמצעי מיסוך רבים המקשים על איתורו". האמת היא, שבעידן בו האנונימיות ברשת בכלל, וקנאת פרטיות הרשת של ספקי הטלפוניה בפרט, הופך כל נושא איתור התקיפות האלה לאתגר מעניין. נשאלת השאלה – "אם כל כך מסובך וקשה, איך בכל זאת תפסו אותו?"

אז בואו נתחיל ממשהו מאוד בסיסי. מאחורי כל התקפה כזו, בסופו של דבר, עומדות כתובות ,IP שקשה מאוד למסך אותן לחלוטין. אבל, כדי להמחיש על מה מדובר, בואו נסתכל לרגע על המבנה של הודעת SIP סטנדרטית, כפי שהוא מועברת היום בין מפעילים שונים בעולם:  
בדוגמא המובאת מעלה, שבמקרה זה נלקחה מתוך מערכת הענן שלנו, אפשר לראות מספר כתובות IP המציינות את מקור השיחה. בדה"כ, מה שיעניין אותנו הוא מקור ה-Media, או בעברית מאיפה באמת שולחים לנו את הקול – ולא רק את איתותי השיחה.

בדוגמא המובאת פה, ניתן לראות, שכתובת המדיה היא 10.163.4.104. כמובן, כל בר דעת, שקצת מבין ב-IP, יבין מיד, שמשהו פה מוזר, ובעצם מה שמעניין פה הוא השימוש ב-rport כיוון שבמקרה זה מדובר ב-Client המחובר מאחורי NAT. אז, נסתכל על רכיב ה-Contact, שירמז לנו על חיבור מהכתובת 109.253.131.79. נפלא, מה זו הכתובת הזו בכלל? למי היא שייכת?  
נפלא, במקרה הפשוט שלנו, ה-Client התחבר מרשת סלקום. כל שנשאר זה לגשת לסלקום, לבדוק מי היה מחובר בכתובת הזו בשעת החיבור – והרי לנו הפושע.

הלוואי והחיים באמת היו נראים ככה.. .כל כך פשוטים, שטוחים, חסרי בעיות והכי פשוט – חסרי הגנות ומחסומים.

אבל, האמת היא, שבין המתקשר התמים (או הלא תמים) לבין יעד הקצה יש הרבה מאוד נקודות באמצע. חלקן מבוססות IP וחלקן לא. התווך בין ההאקר לבין יעד התקיפה, לרוב יראה כך:
   
וזה מקרה פשוט. דמיינו לעצמכם, שכל אחת מהעננות המופיעות בתרשים בעצם נראית כמו כל התרשים המצוייר. כלומר, אנו מתייחסים לרשת מסועפת, בעלת כמות קישורים אקספוננציאלית, שמשתנה ומתעדכנת מספר פעמים ביום (במקרה הטוב) או מספר פעמים בשעה (במקרה הרע). כמו כן, כיוון שכמעט של מפעיל משתמש כיום ברכיבי SBC הכוללים יכולות Topology Hiding, נוצרת תופעה בה כתובת המדיה וה-Contact תמיד מרמזת לנו רק על הספק הבא בתור.

אם כך, איך באמת מוצאים את ההאקר? כמו הפתגם הסיני העתיק: "מסע של אלף צעדים, תמיד מתחיל בצעד אחד". ניגשים ליעד ההתקפה, ומתחילים לחקור משם. כמעט לכל ספק תקשורת יש מערכות ניטור תנועה, ויש להן המון שמות וגדלים. לספקים הגדולים לרוב תהיה מערכת בסגנון Paladiun של חברת אורקל (לשעבר IPtego), או מערכת דומה של Tekelec, או במקרה כמו שלנו הענן שלנו, מערכת קוד פתוח הנקראת  Homer SIP Capture.

מערכות אלו מסוגלות לייצר עבור כל שיחה במערכת תרשים הנראה כך:  
בד"כ, כאשר מערכות הניטור מכירות את השרתים המעורבים, הן תסמנה אותם בשמות. אך מרכיבים לא מוכרים יסומנו בכתובת IP. כלומר, אם ניגש לספק הראשון בתור, ונבקש ממנו לקבל את תרשים השיחה, הנתונים אצלו יראו לנו על נקודת החיבור הבאה. כלומר, ספק השירות הבא בתור. וכך, אנו ממשיכים לחפור ולחפור לתוך תרשים הניתוב, כדי לגלות את נקודת המקור. כל עוד לכל אחד מהמקורות יש מערכת ניטור דומה, מעקב אחרי מהלך השיחה יהיה יחסית פשוט – אך מצריך זמן בירוקרטיה.

מהרגע שהגענו אל נקודת המקור של השיחה, קרי, מספר ה-IP ממנו יצאה השיחה במקור, עלינו למצוא את מקור השיחה הפיסי. זה קצת יותר מתוחכם לפעמים, בייחוד כאשר ההאקר משתמש באמצעים למיסוך עצמי, כמו למשל, חיבור לאינטרנט במערכת VPN בסגנון NordVPN או Anonymizer למיניהו, ונוסיף על כך רכיבי חומרה המאפשרים לבצע Leaching של חיבור אינטרנט מהשכנים, והתוצאה היא מיסוך לא רע בכלל.

למי שלא מכיר, ניתן לבנות אנטנה כיוונית לגניבת חיבור אינטרנט ע"י שימוש בכרטיס USB וקופסת Pringles:
http://www.makeuseof.com/tag/how-to-make-a-wifi-antenna-out-of-a-pringles-can-nb/

לא רק שהאנטנה הזו עובדת, היא אפילו נמצאת בשימוש די רחב אצל שכנינו בגבול הדרומי, ומשמשת במקרים רבים כאמצעי יעיל וזול, להעברת טווח תקשורת IP על גבי מרחק גדול, בצורה זולה.

בסופו של יום, היכולות הטכניות הדרושות כדי לבצע התקפה מסוג זה אינן מיוחדות. המידע זמין באינטרנט, מדריכים מדוייקים ופשוטים. כמו כן, שירותי אינטרנט שונים, שמאפשרים מיסוך כתובות, מיסוך מספרי טלפון, עיוות קולי ועוד, הופכים את האמצעים לזמינים ואפילו חינמיים בהרבה מקרים. המרחק בין נער חומד לצון, לבין האקר אלים ומסוכן מיטשטש מהר מאוד, וכאשר מוסיפים לזה את הצורך בריגושים, התוצאה עלולה להיות מבעיתה.

ככל שספקי הסלולר למיניהם יוסיפו יכולות Wifi Calling ופתרונות קישור Wifi בתוך הבית, מספר ההתקפות מסוג זה, שמשתמשות בתשתיות הספקים הלגיטימיים כאמצעי ,Transit רק תיגדלנה. ספקי התקשורת פורסים מערכות Wifi Calling של חברות רבות, במקרים רבים, בלי לשים לב לחשיפה של הבטן הרכה שלהם. לדוגמא, ספק המאפשר קישור ישיר אל מערכות ה-Broadsoft שלו, אפילו דרך SBC, עדיין חושף חלק ניכר ממערכות התקשורת שלו לאינטרנט הציבורי ללא כל פילטר ייעודי, אלא רק SBC המשמש כ-B2BUA.

הספקיות השונות צריכות להבין, שזו אחריותן הבלעדית לסייע במניעה של אירועים כאלה, ע"י שימוש באמצעי הגנה שונים, שיהיו מוטמעים ישירות אל המערכת המותקנת, תוכנת הקצה המותקנת בטלפון, ה-Router המותקן ללקוחות בבית וכו'. הפתרון צריך להיות מערכתי ולא נקודתי.

לדוגמא, מערכת הענן של גרינפילדטק כוללת זיהוי חד-חד ערכי של כל מכשיר מחובר, וכוללת מנגנון חתימות משתנה עבור כל שיחה, אלמנט היוצר מצב בו משתמש לא מורשה לא יכול לייצר שיחה, כיוון שעליו לעבור 5 מנגנוני אבטחה דינמיים, שמשנים את תצורתם תוך כדי תנועה.

ספקי השירותים בונים מערכות סטטיות, כלומר, יש להן תצורה קבועה וצפויה. זה הופך אותן לצפויות ולמטרות קלות, אפילו להאקר מתחיל יחסית – טוב, לפחות כל עוד הן מחוברות בצורה ישירה לאינטרנט. גישת ה-"גן הסגור" של חברת בזק מאפשרת שליטה יותר טובה, אבל אף אחד לא מבטיח לבזק, שאיזה חוכמולוג לא יתקין Raspberry-Pi באחד הקצוות שלהם ויתחיל לעשות בלאגן.

רוצים לוודא שמערכת ה-VoIP הארגונית שלכם מוגנת, או לפחות, במקרה של פריצה או שימוש לא נאות, יהיה לכם תעוד מתאים? דאגו להתקין את המערכות ההיקפיות הדרושות:

1. מערכת תיעוד תנועה בסגנון Homer SIP Capture
2. מערכת תעוד שיחות – בין ייעודית או בענן, כדוגמת www.humbuglabs.org
3. דאגו לחבר מערכת בקשר שגיאות, כגון Rollbar

ויש עוד הרבה מאוד צעדים, אבל אלה הם הכרחיים, לא רק בשביל שיהיה לכם תיעוד, אלא שבמקרה שפרצו וביצעו פעולות לא לגיטימיות, שתוכלו להוכיח, "שיש לכם אחות".

מאת: ניר סמיונוביץ,  מרץ 2017.
מנכ"ל  GreenfieldTech 
www.greenfieldtech.net
nirs@greenfieldtech.net

עדכון 7.4.1 : חוקרי סייבר של משטר ישראל איתרו ביטקוין בשיווי מיליוני ש"ח במחשב של ההאקר מאשקלון. עפ"י החשד, הוא סחר ברשת האפלה בדרכונים, סמים ורישיונות ותעודות זהות מזויפים.