עבודת דוקטורט של חוקר ישראלי מאוניברסיטת תל אביב הביאה לחשיפתה של פרצה מסוכנת בשרתים המנתבים את הגישה לכתובות ברשת האינטרנט (DNS), שהייתה עלולה לשתק חלקים נרחבים וקריטיים מהרשת העולמית.
מדובר בתקיפה בעלת פוטנציאל הרסני הגדול במאות אחוזים מתקיפת הסייבר הגדולה בהיסטוריה, באוקטובר 2016, שזכתה לכינוי Mirai ושיתקה אז מאות אתרים ושירותי אינטרנט, בהם אלה של אמזון, פייפאל, נטפליקס, ספוטיפיי, טוויטר וחברות רבות נוספות. מדובר בפרצת DDoS ("מניעת שירות מבוזרת"), שאם אינה מתגלה בזמן מאפשרת מתקפה על תשתיות, שירותים פופולריים ואתרים והשבתה שלהם בדרך פשוטה יחסית - באמצעות יצירת עומס פתאומי חריג של מיליוני או מיליארדי פניות בשנייה.
כותב הדוקטורט, ליאור שפיר, 39, ושני המנחים שלו, פרופ' יהודה אפק, לשעבר ראש החוג למדעי המחשב באוניברסיטת תל אביב, ופרופ' ענת ברמלר-בר, סגנית דיקן בית הספר למדעי המחשב במרכז הבינתחומי, דיווחו בדיסקרטיות על הפרצה שחשפו לכל ארגוני התקינה והגופים הרלוונטיים בתעשייה כבר לפני כשלושה חודשים, והציעו פתרונות לסגירתה תוך שמירה על חשאיות מלאה. זאת, על פי הנוהל המקובל במקרים של גילוי "חולשות" מחשוב מסוכנות, המיועד לאפשר לחברות לפתח ולהתקין במהירות את עדכוני האבטחה הנדרשים לפני החשיפה בציבור.
בין עשרות החברות המובילות בתעשיית האינטרנט שנאלצו בעקבות הגילוי לנקוט פעולות הגנה על השרתים שלהן – גוגל, מיקרוסופט, IBM, אורקל, אמזון, ISC BIND, Verisign, Cloudflare ואחרות. בשל פוטנציאל הנזק העצום, חלק מהחברות, שהן יריבות מרות בשוק, שיתפו ביניהן פעולה לגיבוש אלגוריתמים ושכבות הגנה לצורך הפתרון. רק היום, לאחר שהעדכונים הנדרשים הושלמו בתשתיות של החברות עצמן, ולאחר שהפיצו תיקונים גם למוצרים המותקנים על תשתיות אחרות, ייחשף הבאג ברחבי העולם.
שפיר הוא בעברו מהנדס תוכנה באינטל. סטארט-אפ שהקים, HotelsBI, פיתח כלי ניתוח לתעשיית המלונאות ונמכר לפני כשנה לחברת "פורנובה". הוא ושני המנחים שלו גילו את הפרצה המסוכנת במהלך בחינה של פתרונות ההגנה להתקפה הגדולה ב-2016. שפיר: "לאחר התבוננות וניתוח של אלפי זרמי תעבורת DNS, שמתי לב לתופעה נוספת, שעלולה להוביל לחוסר יעילות בשרתי DNS. לאחר חודשי מחקר נוספים גיליתי ש'חוסר היעילות' הזה הוא למעשה 'חולשה' ושאם התוקף מודע לה, היא יכולה לשמש להתקפה הרסנית מאוד".
"רק בהמשך העבודה ולאחר ניסויים נוספים, גילינו שה'מוקש' שחשפנו מוקף למעשה ב'מוקשים' גדולים בהרבה, ושמתקפה אפשרית דרכם מסוכנת ובעלת פוטנציאל נזק גדול עשרות מונים ממה שחשבנו", מוסיף שפיר. בהמשך התברר לחוקרים כי שירותי ה-DNS של החברות המובילות בעולם, כולל התוכנה המותקנת על רוב שרתי ה-DNS בעולם, ISC BIND, פגיעים וחשופים לתקיפה.
ה-DNS הוא מעין "ספר הטלפונים" של האינטרנט, ואחראי לתרגום שמות של שירותים ושרתים לכתובות רשת (כתובות IP). כיוון שהוא כל כך הכרחי ליצירת כל סוג של תקשורת באינטרנט, שרתי ה-DNS הפכו ל"בטן הרכה" של האינטרנט, וליעד אטרקטיבי במיוחד של תקיפות זדוניות. התקפות DDoS מסוכנות מתבצעות בדרך כלל באמצעות שימוש במחשב חזק, או ב"צבא" של מחשבים או מכשירים חכמים, שהודבקו בתוכנה זדונית ובשעת פקודה שולחים הודעה תמימה ליעד כלשהו. בהתקפה המפורסמת של 2016, למשל, נשלחו ההודעות מכ-200 אלף מדפסות, ממירי כבלים ומכשירי בית חכמים שהודבקו מראש בנוזקה, ללא ידיעת בעליהם.
