"תשתיות האינטרנט של ישראל חלשות מדי"

בועז דולב, מנכ"ל קלירסקיי ומאושיות הסייבר הישראלי, הוא אחד מהאנשים שמתריעים בשער בתחום זה. אחד מאלה שמתריעים מפני האויב ש-"מתדפק על דלתנו" – או, יותר נכון, על מערכות המחשוב שלנו. אתמול (א') הוא עשה זאת שוב, בכנס InfoSec של אנשים ומחשבים. הפעם הוא דיבר על ההגנה על תשתיות האינטרנט.

"בהיבט התשתיתי, המצב לא טוב. תשתיות האינטרנט של ישראל חלשות, חלשות מדי", אמר בכיר הסייבר באירוע, שהתקיים בלאגו בראשון לציון, בהשתתפות מאות מקצועני אבטחת מידע והגנת סייבר, ובהנחיית יהודה קונפורטס, העורך הראשי של אנשים ומחשבים. הוא קרא ל-"קברניטים במדינה", כלשונו, "להשקיע הרבה יותר משאבים בחיזוק ההגנה על התשתיות וכן במיקבול שלהן. מתוך יותר מ-12 מיליארד השקלים שהוקצו לכמה מפלגות במסגרת התקציב המוצע, הייתי מציע להקצות סכום של כמיליארד שקלים לטובת הטיפול בהיבט החשוב של תשתיות האינטרנט – זה קריטי".

על פי דולב, "ישראל לא עמדה טוב במתקפה האחרונה. החולייה החלשה בשרשרת היא האיומים נגד שרשרת האספקה. גם אם נעשה את הדברים הטובים ביותר בהיבט ההגנתי, הרי שהיכולת שלנו לטפל באיום ספציפי זה היא לגמרי לא מובטחת".

כך, אמר, "לפני ימים אחדים פורסם שמפתחות Boot Guard של MSI, שמשמשים להגנה על המחשב האישי מפני נוזקות בשלב ההפעלה, נחשפו באינטרנט לאחר שהאקרים חדרו לשרתי החברה בשנה שעברה. החשיפה עלולה לאפשר לתוקפים לנצל מערכות המבוססות על לוחות אם של MSI ולהתערב בתהליך האימות של המערכת".

Boot Guard היא תכונה של אינטל, שמאפשרת לייצרני לוחות אם לחתום על ה-BIOS שלהם באמצעות מפתח אבטחה. ההאקרים תקפו את MSI בכופרה, הם גנבו מידע, שבתוכו הסתתרו מפתחות פרטיים של אינטל, שעימם ניתן לייצר דרייברים ועל בסיסם לתקוף בנוזקות, בלי שניתן יהיה למצוא את הדרייבר שנחתמו על ידי המפתח הפרטי של אינטל.

"היכולת לחשוף את כלל המתקפות – מוגבלת"

דולב אמר כי "היכולת של כלל התעשיה, והמגנים בתוכה, לחשוף את כלל המתקפות היא מוגבלת. התוקפים לסוגיהם השונים – גם שלוחי מדינות וגם אלה שפועלים ממניעים כספיים – הבינו את החולשה הזו והם מנצלים את כל החולשות הללו בחו"ל וגם בישראל".

הוא הוסיף ש-"באחרונה דווח על מתקפת שרשרת אספקה נגד 3CX, תוכנת VoIP ליישום מרכזיה טלפונית (PBX) ו-SoftPhone. לחברה יש לקוחות ארגוניים בישראל והיא מיוצגת בארץ על ידי פרטנר. הייחודיות של המתקפה הזו על שרשרת האספקה היא בהיותה מתקפה כפולה. כך, בלא דעת, החברה הפיצה גרסאות מעודכנות של הפיתוח שלה ללקוחותיה, כאשר בעדכון מוטמנת נוזקה. ההפצה אף היא הייתה מאוד מדויקת: האקרים מצפון קוריאה הם שערכו את המתקפה, וכיוונו אותה לעבר חלק מ-600 אלף הלקוחות הארגוניים של הקורבן. ההאקרים החדירו קוד רעיל לתוכנה שמטפלת בהשקעות קריפטו, ואחד מאלה שהודבקו היה מהנדס שעובד ב-3CX. ההאקרים שהבחינו בכך ראו שיש פה פוטנציאל עבורם, נכנסו דרכו והדביקו את התוכנה פרי פיתוח של 3CX. כלומר, הם יצרו מתקפה כפולה של שרשרת אספקה, עם הזרקה כפולה של קוד רעיל".

"כך", הסביר, "נוצרה תוכנה שמעדכנת את המערכות שלהם, אולם 'על הדרך' הרעילה את מערכי המחשוב שלהם, ונתנה להם יכולת שליטה וחדירה מרחוק".

"ההאקרים מצפון קוריאה עושים עבודה מצוינת"

לדברי דולב, "ההאקרים מצפון קוריאה פועלים בשליחות הממשל הדיקטטורי ועושים עבודה מצוינת בעולם פשעי הסייבר. בין השאר, הם מממנים את פעילות פיתוח הגרעין של המדינה באמצעות פשעי סייבר".

לסיכום הוא ציין ש-"היכולת של המגנים באשר הם למצוא מתקפה כפולה על שרשרת האספקה היא נמוכה. גם ישראל חווה מתקפות של שרשרת אספקה, כאשר חברות לוגיסטיקה בישראל מותקפות הכי הרבה על ידי האקרים מאיראן".