היום בו הותקף האינטרנט הישראלי

על דבר אחד מסכימים כולם בעניין המתקפה החמורה שניחתה על האינטרנט בישראל ביום ו' האחרון - היא מהווה תזכורת כואבת אשר לשבריריות של תשתיות הרשת המקומיות וסימן אזהרה לקראת מה שעלול לקרות ביום שישראל תותקף כחלק מלוחמה אלקטרונית מצד מדינה עויינת. בסוף השבוע האחרון בלט בהיעדרו גוף לתיאום בזמן אמת בין ספקי האינטרנט בישראל, כדי שיתמודדו עם איומי אבטחת מידע ביעילות ובמהירות.
הנה העובדות שהצלחנו ללקט ולאמת: ביום ו', ה-14.2.03, בסביבות השעה 15:00 החלה מתקפה על שרתי ה-DNS של ספקי אינטרנט בישראל. שרתים חיוניים אלה מתרגמים שמות של אתרים לכתובת המספרית שלהם.
המתקפה הורגשה בקושי לגשת לאתרי אינטרנט ברשתות של כל ספקי האינטרנט הגדולים אך חלקם נפגעו באופן ישיר וקשה יותר מהאחרים: 012 קווי זהב, בזק בינלאומי (ובמידה פחותה בהרבה - חברת ברק) ואינטרנט זהב. שלושה הספקים הראשונים הודו בעקבות פניית ynet כי נפגעו מהמתקפה, ואילו אינטרנט זהב הכחישה, למרות שבבדיקה התברר כי גם היא נפגעה.
מנויי הספקים שהותקפו סבלו מהאטה בגלישה לאתרים, ובמקרים מסוים שותקה הגלישה לחלוטין במהלך המתקפה. מרגע שאותרה התקלה, ספקי האינטרנט שסבלו ממנה החלו לטפל בבעיה, שנפתרה סופית רק בערב.
רבים מהגולשים שמחשביהם נטלו חלק במתקפה כלל אינם מודעים לתרומתם השלילית לאירוע, שכמעט שיתק לחלוטין חלקים גדולים מתקשורת האינטרנט בישראל. ככל הנראה, מדובר במחשבים בהם הותקנה תוכנה קטנה בשם NoPOP שחוסמת פרסומות קופצות בדפדפני המשתמשים.
מסיבה שעדיין אינה ידועה, תוכנה זו פנתה שוב ושוב לשרתי ה-DNS של ספקי האינטרנט וייצרה עומס מידע המזכיר מתקפת שלילת שירות מבוזרת (DDoS) - תהליך שבו תוקף משתלט על מאות או אלפי שרתים ומחשבים באינטרנט וביום פקודה קורא לכל המחשבים שבשליטתו (המכונים 'זומבים') לתקוף שרת או אתר מסוים באמצעות בקשות חוזרות ונשנות לקבלת מידע. עומס המידע עלול להאט מאוד את פעילות המערכת המותקפת ואף לגרום לשלילת השירות עבור משתמשים לגיטימיים.

גירסת התקלה

עד כאן העובדות. חקירת אירועי יום ו' עדיין לא הסתיימה, אך ספקי האינטרנט השונים חלוקים לעת עתה בדעותיהם באשר לפרשנות המתקפה והמניעים לה. בבזק בינלאומי סבורים כי מקור הבעיה הוא תקלה באתר האינטרנט של NoPOP, שחדל להיות זמין (להלן, גירסת התקלה). על-פי גירסה זו, תוכנות NoPOP במחשבי הגולשים ניסו לפנות שוב ושוב לשרתי ה-DNS של הספקים כדי לגשת לאתר למטרות שונות (למשל, כדי לבדוק אם יש גירסת עדכון חדשה') ויצרו עומס רב על המערכת.
"הדומיין של החברה המפעילה את תוכנת PopUp נעלם ממערך ה-DNS אך התוכנה המשיכה להפנות שאילתות אל האתר", אמר ערן בנו, מנהל תחום תשתיות מיחשוב ואינטרנט ב"בזק בינלאומי". "כל תוכנה ניסתה לפנות שוב ושוב לאתר באופן שמזכיר DDoS", אומר אלכס סלוץ', אחראי תחום אבטחת מידע בחברה, "זאת, למרות שמדובר בפניות לגיטימיות של משתמשים".
האם תוכנה פופולרית אחת שמותקנת במחשבים של משתמשים רבים אכן עלולה לשתק פעילות של ספק אינטרנט? על-פי סלוץ', הדבר בהחלט ייתכן. "אפשר לדמיין מה עלול לקרות אם חלילה יקרסו שרתי האינטרנט של תוכנת ICQ", הוא אומר, "עומס הפניות על שרתי ה-DNS יהיה עצום".
ב"בזק בינלאומי" מצאו פתרון נגד המתקפה בשעה 15:30, אך יישומו ארך מספר שעות נוספות. במקביל, גם ספקי האינטרנט האחרים החלו לטפל בבעיה, והמתקפה נוטרלה לחלוטין בשעה 21:00, על פי הדיווחים.

גירסת המתקפה היזומה

גירסת התקלה סובלת מכמה כשלים עיקריים. ראשית, אריאל פיסצקי, מנהל תחום אבטחת מידע ב"נטוויז'ן" מעיד כי אתר האינטרנט של NoPop.net היה זמין בזמן המתקפה. שנית, ספקי אינטרנט ברחבי העולם וגם בישראל היו אמורים לסבול מתקלה זו באופן שווה, שכן ריכוז גבוה של משתמשי תוכנת NoPop דווקא אצל חלק מספקי האינטרנט בישראל אינו סביר. האפשרות של תקלה שתפגע רק במשתמשים ישראלים של התוכנה אינה סבירה אף היא.
אופיר ארקין, מנהל תחום אבטחת מידע ב"012 קווי זהב" אף הוא שולל אפשרות של תקלה. "על פי כמות הפניות שהגיעו לשרת ה-DNS שלנו, לא נראה לי שזה הגורם לבעיה", הוא אומר.
אתרי המחשבים והטכנולוגיה באירופה ובארה"ב לא דיווחו על בעיה מיוחדת בגלישה ביום ו' וגם רשימות התפוצה ואתרי האינטרנט של חברות האבטחה לא הזכירו מתקפה שכזו. ספקי אינטרנט מעטים ברחבי העולם דיווחו על בעיות בשרתי ה-DNS ביממה שקדמה למתקפה ונראה כי אופיין של הבעיות האלה שונה מהמתקפה בישראל, מציין פיסצקי.
"כל ספקי האינטרנט הגדולים עובדים עם טכנולוגיה דומה, ולכן, העובדה שחלק מהספקים נפגעו בעוד אחרים ניצלו גורמת לי להניח כי הייתה זו מתקפה מתואמת על ספקי אינטרנט מסוימים בישראל, אומר פיסצקי.
ארקין מציין כי עיקר העומס על שרתי "012 קווי זהב" נוצר עקב פניות של גולשים שאינם לקוחות החברה, אך פנו לשרתי ה-DNS שלה, ומחזק בכך את הסברה כי מדובר בהתקפה מתוכננת על ספקי אינטרנט מסוימים. "מדובר בפניות לגיטימיות לכאורה, שגרמו לשרתי ה-DNS לצרוך יותר CPU מהרגיל", הוא אומר.

האקרים ישראלים או פרו-פלסטינים?

האפשרות כי האקרים פרו-פלסטינים עומדים מאחורי המתקפה אינה בהכרח הסבירה ביותר, על-פי פיסצקי, שאינו שולל אפשרות כי האקרים ישראלים הם שהשיקו מתקפה מבוזרת נגד ספקי אינטרנט מסוימים בישראל. על פי התיאוריה הזו, צבא מחשבים "זומבים" של גולשים שאינם חושדים בדבר עמד לרשות התוקפים, לאחר שהצליחו לשתול בהם סוסים טרויאנים.
חקירת אירועי יום ו' נמשכת אצל כל ספקי האינטרנט בנפרד והיא תימשך בימים הקרובים. "לא ידוע לי על תלונה שהוגשה למשטרה בעניין זה", מציין פיסצקי.
הסיכוי שחברת Trek Blue, שפיתחה את תוכנת NoPop, היא זו שעומדת מאחורי האירוע נמוך ביותר, שכן תוקפים שמשיקים מתקפת DDoS אינם נוהגים להפנות תעבורת המידע לאתר שמקושר ישירות אליהם. לרוב, מדובר באתר תמים שסובל מהמתקפות האלה (על אף שבמקרה זה, האתר של NoPop לא היה היעד למתקפה). נכון לרגע זה, לא התקבלה תגובה מחברת Trek Blue.

לקחי המתקפה

פיסצקי סבור, כי המתקפה האחרונה תביא את ספקי האינטרנט להגדיר מחדש את כוח המיחשוב שהם מקצים לשרתים שלהם, ואילו ספקים שהתמהמהו בנקיטת צעדים נגד מתקפות DDoS יזדרזו כעת לפעול בעניין.
גם "בזק בינלאומי" ו"012 קווי זהב" מוסרים על כוונתן לנקוט אמצעים שונים כדי לנתב ולנטר את תעבורת המידע לשרתי ה-DNS שלהן, במסגרת הפקת הלקחים מהאירועים האחרונים.
"ההתפשטות של התולעת 'סלאמר' אולי לא המריצה את ספקי האינטרנט לפעול, מאחר שזו פגעה בעיקר בשרתים של ארגונים", אומר פיסצקי, "הפעם מדובר בבעיה בלב לבו של ספק האינטרנט".
משיחות עם האחראים על אבטחת המידע בספקי האינטרנט השונים עולה צורך ברור בערוץ קבוע לשיתוף במידע ולתיאום בזמן אמת בנושאי אבטחה קריטיים. ערוצי תקשורת ישירים ולא רשמיים מתקיימים בין חלק מספקי האינטרנט ואילו ספקים אחרים נעזרים בתקשורת דרך גורם מתווך לצורך החלפת מידע, אך אין בכך די. היערכות לקראת מתקפה חמורה יותר מזו שאירעה ביום ו' מחייבת הקמת מרכז חירום בנוסח CERT האמריקני, למענה על בעיות ברשת כמו פריצת מערכות אבטחת המידע של ספקי האינטרנט, טיפול נקודתי במתקפות DDoS ואזהרת הציבור מפני סיכוני אבטחת מידע.
נסיונות להקים מרכז דומה בעבר לא צלחו. "כנראה שהסיבה לכך היא שישראל היא מדינה קטנה מדי וקשה ליצור בה שיתופי פעולה בין חברות שמתחרות בדיוק באותו פלח שוק", אומר פיסצקי, "ספקי האינטרנט מתקשים להתעלות מעל התחרות המקומית ביניהם".
"המתקפה של יום ו' מוכיחה עד כמה פגיעה התשתית האינטרנט של מדינת ישראל", אומר ארקין, "חבל שלא מבינים שמדובר בתשתית חיונית".