"היכולת לתקוף בקלות עסקים קטנים – סקנדל"

"למרות שהיכולות של ההאקרים לתקוף מתרחבות ומתחזקות, מה שרואים לאחרונה בעיקר הוא יותר התקפות כנגד יותר עסקים, וזה הולך ומתרחב כל העת. למרות שאפשר – וזה קורה – לאסוף הרבה מאוד כוחות ומשאבים כדי לתקוף שרת DNS של ארגון גדול, כדי להתקיף עסק קטן אתה לא זקוק להרבה משאבים, והיכולת לקנות בקלות קוד מוכן כמעט לחלוטין ועליו לבנות את מה שצריך כדי לבצע התקפה כזו, זה אחד המניעים להתרחבות הזו. אי אפשר להגדיר את זה אלא כסקנדל", כך אמר ג'ון קריין, מנהל האבטחה הראשי של ICANN בראיון שנתן לאנשים ומחשבים.

קריין הגיע לתל אביב השבוע כדי להשתתף בכנס של איגוד האינטרנט הישראלי בנושא אבטחת DNS. הכנס ייערך מחר (ה') בתל אביב והוא שיאו של שבוע מיוחד שעורך האיגוד בנושא הזה, ועל ההשפעות של הסייבר על ה-DNS.

ICANN הוא ארגון הגג העולמי שאחראי להקצאת כתובות ושמות לאתרי האינטרנט השונים, והוא גם זה שמכוון אליהם באמצעות שרתי שמות המתחם, או ה-DNS. אם תרצו מדובר בסוג של Waze ליקום של האינטרנט, אבל עם התוספות של ההקצאה ולא רק המיפוי של כל הכתובות – מיפוי שבעצם הוא זה שמאפשר לגולשים להגיע ליעדים שלהם, ולא משנה אם מדובר באתר אינטרנט או באפליקציה בטלפון שלמעשה גם היא צריכה כתובת כדי לגשת לקבל מידע ולהעביר אותו למשתמש.

קרין מגיע לישראל כשנה לאחר שהאיגוד הפעיל במדינה את DNSSEC, טכנולוגיית אבטחה חדשה המשתמשת במפתחות מוצפנים כדי להבטיח שהגולשים יגיעו לאתרים אליהם הם מתכוונים להגיע. הסיבה לטכנולוגיה החדשה הזו היא האיומים ההולכים וגוברים.

אפשר להילחם בפשיעה – אבל אי אפשר לעצור אותה

"יש שני צדדים לאיומים שאורבים ל-DNS. אחד מהם הוא לתשתית עצמה, למכונות בהן משתמשים כדי לשלוח שאילתות ולבדוק כתובות של אתרים, בין השאר", מספר קריין.

"אחד האיומים המוכרים הוא מניעת שירות, DoS, וההתקפות הללו שואבות יותר ויותר משאבים והן הופכות ליותר גדולות מפעם לפעם. היום עם כל הרושעות ועם כל הבוטנטים שמסתובבים זה אפילו מאוד קל לבנות התקפה גדולה מהסוג הזה, כך שאפשר לשלוח הרבה מאוד שאילתות לשרת ה-DNS ובכך בעצם כמעט לשתק אותו. ואם שרת ה-DNS שלך לא עובד, כל תשתית הרשת שלך לא עובדת. אנשים לא יכולים להגיע לכתובת שלך, לאתר שלך. הצד השני הוא הסכנה למידע עצמו, למה ששמור בשרת ה-DNS, האפשרות לשנות מידע שכולל מצביעים לאתרים אחרים, החוצה ואל תוך הארגון כאחד".

להבדל מהתקפות פישינג, שמנסות לגרום לאנשים בדרכים שונות לפנות לאתרים אחרים מאלה שהם התכוונו אליהם, תוך התחזות לאתרים המקוריים, במקרה של חטיפת DNS האדם גולש לכתובת 'הנכונה', אך לא מגיע לאתר שהוא התכוון אליו, אלא מופנה למעשה לשרת אחר ברשת. השאלה היא אפשר לעצור את זה"?

"האם בעולם האמיתי, לא באינטרנט, עצרנו את כל הפשיעה? האם אין יותר גניבות? כך זה גם באינטרנט. אתה יכול לחנך אנשים, אתה יכול להילחם בפשיעה, אבל אתה לא יכול לעצור אותה. זה אומר שבדיוק כמו בחיים האמיתיים אנחנו צריכים ללמוד לחיות עם המצב הזה, ולשמור על עצמנו כמה שיותר טוב, לנסות להדוף את ההתקפות ככל האפשר, אבל הדבר הכי חשוב אולי הוא ההתאוששות, היכולת לחזור לעבודה אחרי התקפות כאלה, וכמה שיותר מהר ועם כמה שפחות פגיעות".

ומה זה אומר מבחינת המשתמש שרוצה להגיע לאתר שלך?
"אני חושב שמטרה חשובה במצב כזה, בו יש התקפה על ה-DNS, היא להגיע למצב בו מי שכן מנסה להגיע לאתר שלך ידע שיש בעיה. הוא אולי לא יוכל לגלוש באתר שלך, אבל הוא לא יופנה לאתר אחר מזויף שמשתמש בכתובת שלך שהוא חטף. זה אחד הכלים העיקריים שאנחנו רוצים להקנות באמצעות המפתחות של DNSSEC".

מה הכוונה?
"המפתח שמאשר שהאתר הוא שלך, שרשמת אותו לשם שלך, מחולק לשניים. החלק הציבורי נמצא אצל כולם, אבל הפרטי רק אצלך. המטרה היא שגם אם יחטפו לך את כתובת ה-DNS, החצי השני של המפתח לא יהיה אצל החוטף, וכך בעצם ניתן יהיה לדעת שזה לא האתר הנכון".

האם כולם יחויבו להשתמש ב-DNSSEC?
"לא. זו בחירה ברמה של מדינה, וגם ברמה של משתמש. אנחנו ב-ICANN מנחילים את זה בכמה רמות של אבטחה שמתחילות כבר בשרתי ה-DNS שלנו, שמי שמחפש להגיע לאתר במדינה מסוימת ידע שהוא הגיע לשם, כחלק הראשון של המסע, אבל ההחלטה לאחר מכן היא כאמור מקומית, ואני שמח שבישראל אמצו זאת מבחינת הארגון".

ומה שלא יאמץ, איך תתנהגו מולו?
"אנחנו כארגון גג מחויבים לתמוך בכולם, במי שכן יאמץ את DNSSEC ובמי שלא, זה חלק מהפתיחות של האינטרנט, כמו שאנחנו גם תומכים בפרוטוקולים שונים של היישום של צורת האבטחה הזו ולא רק באחד".