התקפת הסייבר הכי פשוטה בעולם

7 באפריל מתקרב אלינו, במרכאות כפולות. חג הסייבר הלאומי, שבו עוכרי ישראל ינסו שוב לפגוע באתרים ובתשתיות הרשת - הכוונה היא כמובן לOpIsrael. אף שההתקפות בשנים האחרונות היו חסרות משמעות יחסית, אין לארגונים הישראלים ברירה אלא לשקוד ולהכין את טכנולוגיות ההגנה, מומחי המחשוב וצוותי הבקרה ליום זה.

אם לשפוט לפי אירועי השנים האחרונות, המתקיפים צפויים להשתמש במספר שיטות תקיפה: השחתת אתרים, פרסום מידע רגיש וסודי שלרוב נגנב חודשים רבים לפני, ועוד. אך, אין ספק כי שיטת התקיפה הוותיקה ביותר היא התקפת מניעת-השירות המכונה באנגלית DDoS ראשי תיבות של Distributed Denial of Service.

שיטת תקיפה זו מתסכלת ביותר בפשטות שלה. אין בה שום מרכיב של פריצה לאתר או ניצול פגיעות, אלא, מסתכמת בהצפה של השירות בבקשות לכאורה לגיטימיות. המתקיף מייצר בקשות רבות אשר מעמיסות את השירות עד שבסופו של דבר משתמשים רגילים לא מצליחים לקבל שירות. לשם השוואה, דמיינו כי לפני הכספומט השכונתי שלכם עומדים בתור חמישה אנשים זדוניים. לאותם אנשים דפוס פעולה קבוע: כאשר מגיע תורו של כל אחד מהם, הוא מזין בנקט, עובר מספר שלבים, אך בסופו של דבר מבטל את הפעולה וחוזר לתחילת התור. חמישה אנשים זדוניים אלה משביתים את הבנקט ומונעים ממנו לתת שירות ללקוחות האמיתיים.

באופן דומה, 30 אנשים זדוניים יכולים לשבש פעילות של בנק. במרחב המקוון התהליך אפילו עוד יותר פשוט. נניח כי אתר שמשרת באופן ממוצע מאה משתמשים בנוי כך שהוא יכול לטפל בעד אלף משתמשים, לכאורה די והותר, אך באינטרנט קל בצורה בלתי נתפסת לייצר אלף משתמשים זדוניים אשר כל עוד הם מעסיקים את האתר הוא אינו מגיב, ורק לאחר שהם מפסיקים פעולתם הוא חוזר לספק שירות.

זאת אולי ההתקפה הפשוטה ביותר לביצוע כיום. ככל שהמסה של הפעילות שלנו עוברת למרחב המקוון, ארגונים מוצאים את עצמם חשופים להתקפות מניעת שירות יותר ויותר. אם בעבר ארגונים היו מוכנים לסבול שעה של פגיעה בשירות היום הם אינם מוכנים לסבול אף דקה.

לקראת OpIsrael, חברת רד באטן ארגנה כנס מקצועי בנושא DDOS DAY ISRAEL 2016 המוקדש להבנת האיום וסקירת שיטות ההגנה. אז איך מגנים מפני התקפות אלו? ישנן טכנולוגיות אשר תפקידן לסמן את המשתמשים האמיתיים ולהבדיל אותם מהמחשבים המתקיפים. שיטה אחת לדוגמה היא ב-CAPTCHA.

טכניקת ה-CAPTCHA מבדילה בין משתמשים אנושיים, המתבקשים ומצליחים לזהות את המילה המעוותת, לבין מחשבים מתקיפים הנכשלים במבחן זה.

כל המשתמשים, אנושיים ותוכנות זדוניות כאחד, מתבקשים לזהות את

 המילה המעוות בטרם יגיעו לשירות, אך רק המשתמשים האנושיים עוברים את המבחן ומצליחים להגיע לשירות.

שיטה זו, ממחישה היטב את העיקרון העומד מאחורי ההגנות אך בפועל אינה בשימוש רב. זאת עקב העובדה כי היא פוגעת בחוויית המשתמש ובנגישות האתר, ולמעשה יוצרת בעצמה מניעת-שירות מסוימת. השיטות המקובלת הן שיטות דומות בעיקרן, אך, שקופות למשתמש. כאשר אנו ניגשים לאתרים אנו עוברים בדיקות שקטות, שמטרתן לבדוק האם אנו משתמשים אנושים או שמא מחשבים תוקפים, וכל זאת בלי שאנו מודעים לכך.

הכותב הוא מייסד ומנכ"ל רד באטן, חברת אבטחת מידע אשר מתמחה בטיפול בהתקפות מניעת-שירות, אשר קיימה כנס בנושא