מקור: דף הפייסבוק של ה-FBI

אתר בשם Ragebooter.net מאפשר למשתמשים לשלם עבור הסרתם של אתרים מהרשת, באמצעות התקפת DDoS. בניגוד לשאר האתרים הקיימים כיום המציעים שירותים דומים, ל-Ragebooter יש דלת אחורית מעניינת במיוחד, המובילה ישירות אל ה-FBI.

מציפים את הרשת

בתקופה האחרונה החלו להופיע יותר ויותר אתרים מפוקפקים המציעים שירות הנקרא DDoS-for-hire. כלומר, תמורת תשלום מסויים יכולים משתמשים לבחור את האתר שאינם אוהבים ולדאוג שיוסר מהרשת, גם אם לפרק זמן קצר. השירות שמציע Ragebooter הינו DNS Reflection Attack, מתקפה המציפה את האתרים בכמויות אדירות של מידע, עד ששרתיהם קורסים לחלוטין.

בריאן קרבס מבלוג האבטחה KrebsonSecurity בודק בקביעות אתרים מסוג זה, בנסיון להגיע אל המשתמשים המפעילים אותם. במסגרת בדיקותיו הנוכחיות, הצליח להגיע אל מפעיל האתר, בחור בשם ג'סטין פולנד הממוקם בממפיס טנסי. פולנד מצידו לא התנצל על השירות שמציע, ולמעשה ציין כי מדובר בשירות חוקי לכל דבר. מכיוון שמדובר בשירות ציבורי, בחיבור ציבורי המיועד ופונה אל שאר שרתים ציבוריים, למעשה נעשה שימוש במידע שזמין לכל מי שרק ירצה בכך, כאשר מעל לפני השטח מדובר בשירות בדיקות של שרתי האתר, שאינו נוגד את החוק.

פולנד מוסיף כי אינו מפרסם את האתר או השירות שמציע, וכמובן שאינו מעודד פעילות בלתי חוקית. האופן שבו משתמשים פרטיים בוחרים לנצל את המידע הוא באחריותם בלבד, ובמידה ואתרים אינם מעוניינים שישתמשו במידע המדובר נגדם, כל מה שעליהם לעשות הוא להפעיל את אפשרות Disable Recursive DNS בשרתיהם.

מתקיפים באישור ההורים

פריט המידע המעניין ביותר שקרבס הצליח למצוא במסגרת בדיקותיו, הוא דלת אחורית המובילה ישירות אל ה-FBI. פולנד הגדיל והצהיר כי מספק לוגים לכל רשויות אכיפת החוק, ושומר את הלוגים על שרתיו עד שבעה ימים והוסיף כי למעשה מועסק בשירותה של ה-FBI, כאשר זאת בתמורה מאפשרת לו להמשיך לנהל את העסק שלו, בתמורה לגישה מלאה למידע המגיע אליו.

פולנד הבהיר לקרבס שלשכת החקירות הפדרלית משתמשת באתר שלו על מנת לנטר את פעילות הגולשים ברשת, ולשם כך הוסיפו אל האתר IP Logger ששומר את כתובות ה-IP של כל הגולשים המגיעים לאתר. כמובן שדוברים מטעם ה-FBI לא הסכימו לאשר או להכחיש את הטענה.

קרמס המשיך לחקור גם לאחר שלא הצליח לקבל תשובה חד משמעית מה-FBI, והצליח לגלות את אותן "דלתות אחוריות" עליהן פולנד דיבר, שהושתלו כביכול במיוחד עבור ה-FBI. בשורה התחתונה, לא ברור אם אכן מדובר בבחור העובד עם הלשכה, או האקר עם שגעון גדלות שעדיין לא הוסר מהרשת – אך מה שבטוח הוא שהשירות עדיין חי ופועל, למרות העניין שהביע בו קרבס, ולמרות פרסום הכתבה המקורית בבלוג האישי שלו.

מקור: יח"צ

נראה כי הסיוט הגדול ביותר של ספוטיפיי התגשם: למשך זמן מה ניתן היה להוריד לכרום תוסף בשם Downloadify המאפשר להוריד למחשב כל שיר המתנגן באתר הזרמת המוזיקה הפופולארי, בחינם וללא שום מגבלה.

התוסף מנצל פרצה בקוד של הנגן החדש של ספוטיפיי, שלא קודד כראוי כאשר עלה לאוויר בגרסת בטא בחודש נובמבר האחרון. לאחר התקנה פשוטה שלו, היישר מחנות התוספים של כרום, ניתן להוריד קובץ MP3 מלא של השיר לו אתם מאזינים.

תמרור אזהרה

ספוטיפיי עצמה מאפשרת למשתמשים לשמור שירים על שרתי החברה, כל עוד הם משלמים את דמי המנוי החודשיים, מהם היא מפרישה נתח ניכר לאומנים ולחברות התקליטים. כעת, יכול כל אחד לעבור על מאגר השירים ולהוריד את כל שעולה על רוחו.

סביר להניח כי אנשי ספוטיפיי מיהרו לדווח לאנשי כרום על התוסף הלא חוקי, שכן שעות ספורות לאחר שהתפרסם דבר קיומו הוא נעלם מחנות התוספים. הגיוני, בהתחשב בכך שחוקי השימוש בחנות אוסרים על העלאת תוספים הפוגעים בנכסי צד שלישי כלשהו. עם זאת, ניתן למצוא אותו ללא בעיה ב-GitHub, כך שככל הנראה החברה תיאלץ לנקוט בפעולה כלשהי על-מנת להגן על שיריה ועל חוזיה עם גופי התעשייה.

מפתח התוסף עצמו העיר בנושא עם לא מעט הומור: ”ספוטיפיי בנתה נגן HTML5 נפלא עבור השירות שלה… אבל היא שכחה את הקידוד. הי, אני לא אוהב קידוד אבל אני מת על ספוטיפיי. שלמו להם על התוכן הנפלא שלהם, ואני בטוח שהם יתקנו את הבעיה במהרה“. יש לציין, כמובן, כי מדובר בתוסף המעודד פעילות בלתי חוקית, שהעלה עליו את זעמם לא רק של אנשי ספוטיפיי, אלא גם שם חברות התקליטים והמפיצים.

מי אשם?

עם זאת, את האשם האמיתי, כדברי המפתח האלמוני, יש לתלות גם לדעתי בספוטיפיי – אם הקוד שלכם לא מאובטח, ואתם דורשים תשלום על השירות – לא מפתיע שנמצא מי שיעקוף את הבעיה.עדי היה שאתר הסטרימינג החוקי ילמד מכך ויאבטח את שרתיו כראוי.

אחרי הכל, התוסף החדש חשף את מערומי החברה בזמן הגרוע ביותר מבחינתה של ספוטיפיי. החוזים שלה עם שלוש חברות התקליטים הגדולות עומדים להסתיים ודורשים חידוש, והיא נמצאת עמוק בדיונים עם וורנר ויוניברסל. כל זאת, בעוד השמועות על שירות הזרמת המוזיקה החדש של אפל נושב בערפה.

מקור: יח"צ

אונבו, הסטארטאפ הישראלי שהיה מוכר עד היום בזכות האפליקציה שעוזרת למשתמשים לצמצם את עלויות הגלישה שלהם, השיק את האפליקציה החדשה שלו: Onavo Protect, המיועדת להגן על הדאטה של המשתמשים.

האפליקציה החדשה מציעה מספר סוגי הגנה שונים, במטרה למנוע מהמשתמשים לחשוף או לשתף את המידע האישי שלהם עם גורמים "לא מאושרים", ולשמור על בטחונם גם בעת גלישה באינטרנט.

חיבור מאובטח באמצעות VPN

כפי שרובנו כבר יודעים, האינטרנט הוא מקום לא כל כך בטוח עבור משתמשים שאינם יודעים להבדיל בין אתרים לגיטימיים לאתרים זדוניים. לעיתים אנו מוצאים את עצמנו מזמינים כרטיסים לסרט, משלמים על סחורה או פשוט שולחים את הפרטים האישיים שלנו מבלי לבדוק אם האתר או אפילו החיבור מאובטחים כמו שצריך. בנוסף, במידה ואנו יושבים בבית קפה ומתחברים אל ה-WiFi המקומי, משתמשים בעלי כוונות זדוניות יכולים, יחסית בקלות, להתחבר אל המכשירים שלנו ופשוט לנטר את המידע שאנו מעבירים על גבי הרשת.

בדיוק בנקודה זאת מעוניינת אפליקציית Protect של אונבו לפתור. לשם כך היא מציעה מספר שכבות ואמצעי הגנה, הכוללים בין היתר העברת המידע הנשלח מהמכשיר בצורה מוצפנת, התראה ואף חסימה של אתרים שאינם מאובטחים, או אתרים שנועדו להונאות פישינג כאלה ואחרות, ושמירה על המידע האישי של המשתמש הנשלח מהמכשיר, בין אם מדובר בשמו וכתובת המייל שלו, ובין אם מדובר במספר כרטיס האשראי שלו.

האפליקציה, המיועדת נכון להיום למכשירי iOS כמו האייפד, האייפד מיני, האייפוד טאץ' וכמובן, האייפון, שומרת על המשתמש בעת חיבור לרשת WiFi או 3G, ומהווה למעשה מעיין "אנטיוירוס" לאתרים ולדאטה של המשתמשים. בתוך האפליקציה עצמה תוכלו לגלות דו"ח מפורט של הסכנות האחרונות בהן נתקל המכשיר שלכם, אם בכלל, וכיצד אונבו הצליחה להגן על המידע שלכם.

חשוב להבהיר כי ההגנה שמציעה אונבו רלוונטית אך ורק לדפדפנים סלולריים, ואינה יכולה להגן על המשתמשים בתוך האפליקציות העצמאיות המותקנות על מכשיריהם. כך שבמידה ואחת מהאפליקציות שלכם מכילה בתוכה קודים זדוניים או כוונות "לא טהורות", יהיה עליכם להגן על המידע שלכם בעצמכם. בנוסף, בעוד שהאפליקציה זמינה רק למשתמשי iOS, אונבו מצהירה כי גרסת האנדרואיד בדרך, בתקווה שתגיע לשוק כבר בעתיד הקרוב.

משנה כיוון

בעוד שאפליקציית Protect אינה הראשונה או היחידה בשוק המיועדת לשמור על המידע של המשתמשים, השקתה מעידה בעיקר על כך שאונבו משנה את התמקדותה העיקרית, שהייתה כיווץ דאטה עבור משתמשים, וכעת מתפרסת אל שירותי הדאטה באופן רחב יותר – ומציעה למשתמשיה הגנה. אונבו אף מגדילה ומצהירה כי "פתרון ה-VPN שלה הוא הטוב ביותר בשוק", בהשוואה למתחרים הקיימים כיום.

בשורה התחתונה, עבור משתמשים בסיסיים שאינם מבינים יותר מידי באבטחה או בזיהוי אתרים זדוניים, מדובר על מוצר שיכול להציל אותם ואת הפרטים שלהם מלהחשף ולהגיע אל הידיים הלא נכונות. עבור משתמשים מתקדמים וכאלה שיודעים "לשמור על עצמם", ייתכן כי יראה שמדובר באפליקציה שאינה יכולה להציע יותר מידי, אך חשוב לזכור את פיצ'ר המפתח שלה: הצפנה של המידע הנשלח מהמכשיר, וייתכן שרק עבור זה שווה לכם להתנסות בה.

להורדת האפליקציה לפלטפורמת iOS.

וידאו: Onavo Protect

החשוד נעצר

סוון אולאף קאמפויס, אזרח הולנדי בן 35, נעצר בתחילת השבוע בצפון-מזרח ספרד בשל החשד כי הוא עומד מאחורי התקפת הסייבר הגדולה ביותר בתולדות האינטרנט, כך דיווחה סוכנות הידיעות האמריקנית איי.פי.

לפי הדיווח, החשוד התנייד ברחבי ספרד ברכב מסחרי כתום, בו עשה שימוש כמרכז מחשוב נייד. בהודעה מטעם משרד הפנים הספרדי צויין כי הרכב היה מצוייד ב“אנטנות רבות, המסוגלות לקלוט תדרים רבים“. המשטרה החרימה שני מחשבים ניידים, וציוד אלקטרוני נוסף, באמצעותו ככל הנראה התבצעה המתקפה.

"דיפלומט ברפובליקת סייברבאנקר"

השוטרים הספרדים עצרו את החשוד בעיר גרנוייר, צפונית לברצלונה, בזכות צו מעצר שהוציאו שלטונות הולנד, התקף בכל רחבי האיחוד האירופי. יש לציין כי החשוד, שככל הנראה מבין לא מעט באבטחת מידע, לא דאג לאבטח את עצמו כראוי – השוטרים עלו על עקבותיו לאחר שהעניק לכלי תקשורת בינלאומיים ראיונות היישר מרכבו.

לפי החשד, האיש תקף את חברת האנטי-ספאם הבריטית-שוויצרית ספאמהאוס, שמשימתה העיקרית היא למנוע מאלפי מיילים המוכרים ויאגרה וגלולות שונות ומשונות להגיע לתיבת הדואר שלכם. יש לציין כי מדובר בחברה שאינה למטרות רווח.

תחילת הפרשה בחודש מרץ האחרון, אז התריעו רשויות הולנד כי בשטחי ספרד מסתובב האקר, המפעיל מתקפות DDOS שפגעו בשרתים ברחבי הולנד, בריטניה וארצות הברית. המתקפה הגדולה ביותר מבין אלו המתוארות התרחשה במהירות של 300 מליארד ביטים בשנייה, והובילה להצפתן בזבל של המוני תיבות דואר אלקטרוני ברחבי העולם. בנוסף, הובילה המתקפה להאטה בגלישה של כל משתמשי האינטרנט באשר הם.

לפי החשד, קאמפויס בחר לתקוף את שרתי החברה בטענה כי מדובר בצנזורה. זאת, לאחר שכמה מכתובות הדואר מהן פעל הוספו לרשימות השחורות של החברה. הוא נעצר בעקבות מבצע מעקב משולב של ספרד, גרמניה, הולנד, בריטניה וארצות הברית.

עוד נטען בהודעה הספרדית כי החשוד הגדיר את עצמו כדיפלומט, המשתייך ל“משרד הטלקומניקציה ויחסי החוץ של רפובליקת סייברבאנקר“. בראיונות עברו, הוא אף תיאר עצמו כ“לוחם חופש אינטרנטי“. ”סייברבאנקר“ אותה הזכיר היא חברת אכסון האתרים שבבעלותו, שבעבר אירחה אתרים דוגמת פיראט ביי ווויקיליקס.

קאמפויס הכחיש את המיוחס לו, וטען כי הוא בסך הכל דובר של אחת הקבוצות שארגנה את המתקפה. עם זאת, ה“ניו יורק טיימס“ חשף כי הוא פרסם בעמוד הפייסבוק שלו הודעה המחפשת באופן אקטיבי אחר שותפים לפשע. כעת צפויה ספרד להסגירו להולנד, שם יעמוד למשפט.

מקור: RSA

חברת האבטחה RSA פרסמה בבלוג שלה כי הסוס הטרויאני הוותיק והמוכר Zeus, הפעיל מ-2007 והצליח להפיל ברשתו ארגונים רבים, חוזר לתודעת הרשת בזכות דף פייסבוק שהוקם במיוחד עבורו. בעוד שהדף המדובר כבר הוסר מהרשת החברתית, RSA מציינת כי כלל עדכונים בנוגע לבוטנטים השונים, פרצות אבטחה אותן ניתן לנצל וכמובן עדכונים שונים שהתווספו ל-Zeus.

בחסות הרשת החברתית

נראה כי הפלטפורמה האידיאלית לשיווק ולפרסום היום היא לא אחרת מאשר פייסבוק. הרשת החברתית המונה למעלה ממיליארד משתמשים היא כלי נוח, באמצעותו ניתן להגיע לקהל לקוחות רחב במיוחד, וליצור חשיפה מקסימלית למותג המבוקש. מותגים וחברות אינם היחידים שחושבים כך, וגם האקרים החליטו לעשות בה שימוש על מנת להפיץ את הקודים הזדוניים, הסוסים הטרוייאנים והבוטנטים לכל המעוניין.

דף הפייסבוק המדובר, לצד דפי פייסבוק נוספים המתחילים לצוץ ברחבי הרשת החברתית מציעים מגוון רחב של קודים זדוניים, כגון Zeus, SpyEye, Ice IX או Citadel במסגרת Fraud-as-a-Service. כלומר, תמורת מחיר של כמה מאות דולרים יכולים המשתמשים לאחוז בכלים שיאפשרו להם לפרוץ, לגנוב ולחבל בכל מערכת שרק ירצו. גם במידה והמשתמשים אינם יודעים לבצע פעולות שכאלה, אותם דפים מציעים לכל מי שרוצה ברעתם של אחרים אך לא אוחז במידע הטכני, לבצע את שירותי ההאקינג על ידי "צוות מומחים" תמורת תשלום נוסף.

בעוד ש-Zeus הוא קוד זדוני ישן יחסית, RSA מבהירה כי עם הכלים הנכונים והמפתחים העומדים מאחוריו ניתן לחזור ולפגוע משמעותית באתרים, משתמשים וארגונים שונים. למעשה, בדף שהוסר הוצג ממשק הניהול עבור האדמין, ואף הוצע קישור לאתר חיצוני המיועד עבור רוכשים פוטנציאלים, שהדגים את יכולותיו של Zeus.

נגיש ופתוח לכולם?

עד היום, הצעות ועסקים מסוג FaaS התבצעו בפורומים אפלים ואתרים חשוכים שהסתתרו ברשת, אליהם הגיעו המשתמשים שידעו היכן לחפש והיו מוכנים "לקחת את הסיכון" במטרה לפגוע באתרים או חברות שונות. כעת, עם הגעתם של המפתחים וההאקרים אל פייסבוק, המציעה תפוצה בינלאומית לכל מוצר או שירות הקיים כיום בשוק, נראה כי האפשרויות פתוחות לכל מי שרק ירצה.

בעוד שאין ספק כי פייסבוק תעבוד קשה מאוד על מנת למצוא ולהסיר דפים מסוג זה, סביר להניח כי לא תצליח לעמוד בעומס ומידי פעם יצליחו מנהלי העמוד להציג את מוצריהם למספר ימים ארוכים אולי אפילו שבועות – במהלכם משתמשים רבים יצליחו לשים את ידיהם על אותם קודים זדוניים במטרה לפגוע באחרים. בשורה התחתונה, נראה כי כעת זה הזמן הטוב ביותר להמנע מלחיצה על קישורים לא מוכרים ברשת, לפקוח עיניים בכל הנוגע לאתרים הדורשים מכם מידע, ואולי אפילו להחליף את הסיסמאות כדי שלא יהיו תואמות בכמה וכמה שירותים.

דף הניהול. מקור: RSA

מקור: Flickr, cc-by-zcopley

מחקר חדש שבדק את ענף הסחר במטבע ה-Bitcoin מצא כי 45 אחוזים מהשירותים המציעים סחר במטבע הוירטואלי נופלים או יוצאים מהשוק, כאשר אלו ששורדים הם השירותים המטפלים במרבית התנועה המתבצעת במטבע אך סובלים בהתאם מהתקפות סייבר נרחבות. בחלק מהמקרים, הכסף שהושקע לא מוחזר למשתמשים.

קמים ונופלים

החוקרים, טיילר מור מאוניברסיטת דאלאס וניקולס קריסטין מאוניברסיטת קרנג'י מלון מצאו כי מתוך 40 מקומות אשר הציעו שירותי סחר במטבע ה-BitCoin ואפשרו למשתמשים בהם להחליף את המטבעות הוירטואליים למטבעות אחרים ובחזרה, 18 נסגרו – מתוכם 5 מפאת פרצות אבטחה שאילצו אותם לעשות כן.

אחד מהשירותים הגדולים ביותר שסובלים מהתקפות חוזרות ונשנות אך עדיין עומד על רגליו הוא Mt Gox, שבשיאו טיפל ביותר מ-40,000 עסקאות במטבע ה-BitCoin ביום, בהשוואה ל-1,716 עסקאות בממוצע בשאר האתרים. האתר היה קורבן למספר עצום של התקפות DDOS בחודש האחרון, במיוחד כאשר הגיעה תקופת השיא של המטבע. מספר העסקאות הרב אשר בוצעו תחת Mt Gox היו בעוכריו בסופו של דבר, כאשר החוקרים גילו כי בורסות BitCoin צריכות לשמור על היקף עסקאות מסויים כדי לשרוד, אך כאשר הן הופכות לגדולות מספיק בכדי לשרוד הן גם הופכות ליעד אטרקטיבי עבור האקרים.

גם הרגולציה בארצות הברית מהווה מכשול למטבע הוירטואלי לאחר שלפחות שלוש בורסות שסחרו במטבע ה-BitCoin בארצות הברית נסגרו, ככל הנראה כתוצאה מהנחיות שהוציאה רשות אכיפת הפשעים הפיננסיים בחודש שעבר. מתברר, כי הסוכנות מהווה איום גדול הרבה יותר למטבע אפילו מאשר התנודות הנרחבות במטבע והתקפות ההאקרים. מבין 18 הבורסות שנסגרו, רק שש החזירו את כספי הלקוחות חסרי האונים, כאשר חמש לא החזירו ומשבע החברות הנותרות לא התקבלו מספיק ראיות המעידות על החזר או אי-החזר של הכספים שהושקעו.

אחוזי סגירה גבוהים

"הבורסות המציעות מסחר במטבע הוירטואלי ומנהלות עסקאות בשווי 275 BitCoin ליום, עומדות בפני סיכון של 20 אחוזים ליפול על ידי התקפות סייבר, זאת בהשוואה לסיכויים של 70 אחוזים עבור בורסות שמנהלות מסחר יומי בשווי 5570 BitCoin" סיפרו החוקרים. מור וכריסטין מעריכים כי תוחלת החיים הממוצעת של כל בורסה כזו היא 381 ימים, כאשר לכל בורסה חדשה שנפתחת ועוסקת במסחר במטבע הוירטואלי יש 29.9 אחוזים של סיכויי סגירה תוך שנה מפתיחתה.

העובדה שמטבע ה-BitCoin ממשיך לשרוד עם כל כך הרבה כוחות חזקים ומאוחדים נגדו היא עדות לעמידות ולנחישות המטבע. אין ספק, כי גורמים רבים, ברשת ומחוצה לה מנסים להכשיל את המטבע ממניעים שונים. שורה ארוכה של התקפות סייבר בנוסף לקשיים רגולטורים בחלק מהמדינות משאירה את חותמה עליו ועל המסחר בו. יציבות באבטחה של המטבע ושל הבורסות הסוחרות בו תושג רק עוד זמן רב, אם בכלל ועד אז, התנודות במטבע תמשכנה להיות חדות והסחר בו ימשיך להיות לא יציב. עם זאת, מי יודע, גם פייפאל בתחילת דרכו סומן כבעייתי וזכה לעדנה מאוחר יותר ולאמון מלא מהמשתמשים.

מקור: יח"צ, עיבוד תמונה

מידי שבוע נפרסם כאן סקירת סטארטאפ אחת מתוכנית Windows Azure @ Startup Nation שלנו, המאפשרת לסטארטאפים צעירים לקבל חשיפה בניוזגיק. רוצים שניוזגיק יכתוב גם עליכם במסגרת הסקירה השבועית של התוכנית? כל מה שעליכם לעשות הוא למלא את הטופס בלינק הבא ולשלוח אלינו. 

שם: BioCatch

פיץ' במשפט: מפתחת טכנולוגיה חדשנית לזיהוי משתמשים המבוססת על דפוסי ההתנהגות שלהם.

כיצד משתמשים ב-Windows Azure: על מנת להגיע ליעילות הפעלה מירבית ולנצל את יתרון הגודל נמצאת המערכת שמציעה BioCatch בענן, עיבוד המידע וחישוב הפרופילים הקוגניטיבים – התנהגותיים מתבצעים ב- Microsoft Azure, שירות הענן של מיקרוסופט.

אחת מהבעיות הכי גדולות בתחום אבטחת המידע והעברת המידע ברשת האינטרנט כיום היא הצורך בשיטה חלופית לסיסמאות. חברות רבות מיישמות הגנות נוספות, אשר בדרך כלל בודקות נתונים הנוגעים למשתמש בשיטת ה-2 Step Verification כך שפרט למידע המוזן, קיים אימות נוסף באמצעות מכשיר השייך למשתמש. בשיטה זו פועלות כבר גוגל, מיקרוסופט אפל וחברות נוספות ובכל זאת, התחום צמא ליצירתיות שתוכל לאמת שהאדם שנמצא מהעבר השני הוא אכן הגורם האמיתי.

הדור הבא של הסיסמאות?

הבעיה העיקרית עם סיסמאות, היא שישנם הרבה מאוד רוגלות, סוסים טרוייאנים וטכניקות אחרות שיודעים פחות או יותר לפצח את כל ההגנות הקיימות, בין אם בעזרת שימוש בכוח ברוטאלי לגילוי סיסמא או הדבקת עובדים בארגון בנוזקה בצורה שקטה. הרבה מאוד משיטות ההגנה הולכות ונשחקות והתעשייה מחפשת כבר זמן מה אחר פתרון חדש שיהווה את "הדור הבא" של הסיסמאות.

אחת מהחברות הבולטות בזמן האחרון שהצליחו לפתח פתרון טכנולוגי בעל פוטנציאל אמיתי לענות על הבעיה הזו היא חברת BioCatch הישראלית. החברה מפתחת טכנולוגיה בעלת גישה חדשנית המבוססת על מספר מחקרים שנערכו בתעשייה וקבעו כי משתמשי מחשב יכולים להיות מזוהים באופן אבסולוטי, ב-99 אחוז מהמקרים על ידי דפוסי ההתנהגות שלהם הכוללים הקלדה, תנועות עכבר ועוד.

BioCatch לקחה את הגישה הזו צעד אחד קדימה והביאה את הרעיון לכדי מימוש בתחום אבטחת המידע. החברה יודעת לזהות את דפוס ההתנהגות של המשתמש במכשיר, בין אם מדובר על שימוש במחשב נייח (מקלדת, עכבר) לבין שימוש במכשירים מבוססי מגע (טאבלטים, סמארטפונים) ועוד.

דפוס ההתנהגות של המשתמש ככלי לאבטחת מידע

החברה למעשה מסתמכת בעיקר על שיטה סמויה המייצרת חריגות בתנועה היוצרות עבודה משטח נתונים המורכב מ-350 פרמטרים שונים וייחודי עבור כל משתמש, כאשר התוצאה סמויה מהעין האנושית ולא מהווה איזשהי הפרעה שהמשתמש יכול לשים אליה לב בעת הגלישה או השימוש בשירות.

הפתרון של BioCatch מגיע בכמה צורות בהתאם לקהל המבקש להטמיע אותו במערכת. במידה ומדובר באפליקציה סלולארית, BioCatch מציעה SDK שיודע לעקוב אחר המשתמשים ולנטר את התנועות שלהם על פי מסך המגע. במידה ומדובר על אתר אינטרנט, כמו לדוגמא אתרי Online Banking, הפתרון מוצע באמצעות קוד Javascript המוטמע על השרת ומבצע את המעקב אחר המשתמשים. בכל מקרה, מדובר על פתרונות מבוססי ענן ולא משהו שאמור להפריע לתפקוד השוטף של האתר או האפליקציה.

בניגוד לפתרונות שמציעות חברות אחרות המחפשות אנומליות בקודים של אתרי אינטרנט או אפליקציות ויודעות לסנן כניסות ותנועות חשודות באתר, הפתרון של BioCatch משתמש בגישה ההפוכה המייצרת את האנומליות בעצמה ובודקת את תגובת המשתמש בכדי לראות האם מדובר בבעל החשבון או שמא בגורם חיצוני המנסה לחדור אליו.

חברת BioCatch נוסדה בשנת 2011 על ידי המייסדים אבי תורג'מן היושב בבוסטון ובני רוזנבאום, כאשר איש אבטחת המידע אורי ריבנר הצטרף לשניים בתור Co-Founder לאחר מכן. מאז הקמתה, השלימה החברה סבבי גיוס בגובה 2.6 מיליון דולרים מקרנות הון סיכון ומשקיעים פרטייים.

סרטון וידאו: הדגמה של יכולות המערכת של BioCatch

בחסות

Windows Azure, פלטפורמת הענן של מיקרוסופט, מאפשרת לכם לבנות ולנהל יישומים במהירות ברשת מרכזי הנתונים המנוהלים של החברה.

הפלטפורמה מאפשרת לבנות יישומים באמצעות כל מערכת הפעלה, שפה או כלי וניתן לעשות בה שימוש בדרכים רבות ומגוונות – החל מהרצת מכונות וירטואליות לפיתוח ובדיקה, ועד לבניית אתרי אינטרנט וניהול והפצת מדיה.

למידע נוסף אודות Windows Azure

Windows Azure ב-4 צעדים פשוטים

לבלוג של Windows Azure בעברית

תמונה: flickr, cc-by, Uncalno

מחקר שנעשה במחלקה להנדסת מערכות מידע באוניברסיטת בן-גוריון בנגב מציג שיטה חדשה לזיהוי של תוכנות זדוניות בטלפון הסלולרי אשר אינן ניתנות לזיהוי בשיטות מקובלות, ועושה שימוש בשיטות מתקדמות של Machine learning – "למידת מכונה"

אבטחת טלפונים סלולרים חכמים הינו תחום שנחקר באינטנסיביות רבה על-ידי חברות אבטחה וגופי מחקר ברחבי העולם, מאז הפצת מכשירי G1 מבוססי מערכת ההפעלה אנדרואיד בשנת 2009.

לאחרונה נתגלה סוג חדש ומתוחכם של תוכנה זדונית (סוס טרויאני) בשם Android.Dropdialer, אשר הופצה בחנות האפליקציות של גוגל. תוכנה זדונית זו למעשה מותקנת כתוכנה לגיטימית לחלוטין על-ידי המשתמש. הקוד העוין מותקן למעשה מאוחר יותר באמצעות היכולת של "עדכון אוטומטי" שבה משתמשת התוכנה ומאפשרת לה "למשוך" עדכוני תוכנה באופן עצמאי משרת מרוחק. באופן זה יכולה התוכנה הזדונית להתפשט למספר רב של מכשירים מבלי שאפשר יהיה לזהות אותה. משיכת הקוד העוין יכולה להתרחש בזמן אקראי או מוגדר בעתיד, או כתוצאה מפקודה שמקבלת התוכנה משרת מרוחק. יכולת זו יכולה להיות מיושמת בכל אפליקציה זדונית.

עמידות בפני תוכנות אנטי וירוס

תוכנות אנטי וירוס סטנדרטיות אינן יכולות לזהות סוג זה של תוכנות זדוניות (self-updating malware) היות והאפליקציה המקורית הינה תמימה לחלוטין ולכן יכולה לחמוק מכל שיטת ניתוח סטאטי (ניתוח הקוד עצמו ללא הרצת הקוד) או ניתוח דינאמי (ניטור התוכנה בזמן ריצה). הקושי בזיהוי של תוכנה זדונית כזו נובע גם מהעובדה שהיכולת לעדכון עצמי (self-updating) משמשת מפתחי אפליקציות לצרכים לגיטימיים כגון שידרוג גרסת האפליקציה, הוספת שלבים במשחקים שונים, תיקוני באגים ועוד.

במחקר שנערך במחלקה להנדסת מערכות מידע באוניברסיטת בן-גוריון בנגב בהובלת ד"ר אסף שבתאי, מתארים החוקרים שיטה חדשה לזיהוי self-updating malware. שיטה זו משתמשת באלגוריתמים מתקדמים של למידת מכונה אשר לומדים את ההתנהגות הנורמאלית של האפליקציות ובכך מאפשרים לזהות חריגות בהתנהגות בזמן אמת אשר עלולות להצביע על כך שהאפליקציה היא זדונית. ניתוח של אפליקציות זדוניות למכשירי טלפון סלולרים חכמים מראה שכ-70% מהאפליקציות מתמקדות בגניבת מידע רגיש. לכן, במחקר זה אנו משתמשים במאפייני רשת על מנת ללמוד את ההתנהגות של האפליקציות היות והם יכולים להצביע על זליגת מידע.

השימוש במספר מצומצם של מאפיינים (מאפייני רשת) וסוג האלגוריתם המוצע מאפשר לבצע את למידת ההתנהגות הרשתית של אפליקציות ואת הניטור והזיהוי על המכשיר עצמו אשר מוגבל במשאבים (סוללה).

דוגמא למאפיינים אשר משמשים ללמידת התנהגות הרשתית של אפליקציות הם: כמות הבטים (Bytes) שנשלחו או התקבלו בחלונות זמן של 5 דקות, הזמן שעבר מאז שהאפליקציה הייתה פעילה רשתית ועוד (סה"כ 9 מאפיינים).

מתמטיקה למתקדמים

למידת ההתנהגות הרשתית של אפליקציה מבוצע ע"י שימוש באלגוריתם המבוסס על טכניקה שנקראת Cross-Feature Analysis אשר "לומדת" את הקשר של כל מאפיין ביחס לשאר המאפיינים מתוך ההתנהגות הרשתית הנורמאלית. בשלב הניטור, לכל דגימה בודקים לכל מאפיין האם אותו קשר עם שאר המאפיינים נשמר. במילים אחרות, לכל מאפיין מחשבים את ההסתברות שהוא נורמאלי בהינתן הערכים של שאר המאפיינים הנצפים, ומשקללים את ההסתברויות ביחד לערך שמייצג את המרחק של הדגימה מהתנהגות הנורמאלית. מרחק גדול יותר נותן אינדיקציה להתנהגות חריגה יותר. במידה ומזוהה התנהגות חריגה (כלומר מרחק הגבוה מערך סף שנקבע מראש) בשלוש או יותר דגימות מתוך העשר דגימות האחרונות, מועלת התראה למשתמש.

שיטה זו נבדקה עם חמש אפליקציות לגיטימיות וחמש אפליקציות זדוניות אשר למעשה הן אותן חמש אפליקציות לגיטימיות אשר הודבקו עם קוד עוין. בנוסף, השתמשנו בחמש אפליקציות לגיטימיות אשר הוספנו להם את היכולת של self-updating. עם הורדת הקוד העוין משרת מרוחק, האפליקציה גונבת את רשימת אנשי הקשר בטלפון ושולחת אותה לשרת מרוחק ובנוסף מדווחת על מיקום המשתמש ומספרי הטלפון שהוא מחייג כל שתי דקות.

אפליקציות אלו הופעלו על מספר טלפונים סלולרים כאשר ברקע רצה תוכנה שנכתבה במיוחד למחקר זה. תוכנה זו מנטרת את ההתנהגות הרשתית ושומרת אותם לתוך קובצי לוג אשר בעזרתם בדקנו את השיטה המוצעת.

בתמונה ניתן לראות את הקשר בין מספר זוגות של מאפיינים עבור הגרסה הלגיטימית והגרסה הזדונית של אפליקציה שנקראת ShotGun. ניתן לראות בבירור את ההבדל בין הדגימות של הגרסה הלגיטימית (בירוק) והדגימות של הגרסה הזדונית (באדום).

תוצאות הבדיקה של האלגוריתם המוצע על האפליקציות שנבדקו מראות שבכל המקרים זוהה העדכון של האפליקציה הלגיטימית עם הקוד הזדוני, כאשר בכ-80% מהמקרים הזיהוי היה בפרק זמן של פחות מחמש דקות (הזמן המקסימלי 30 דקות). בנוסף רק שתי התראות שווא עלו במהלך הניסוי.

בדיקת צריכת המעבד והזיכרון של המכשיר עם ובלי תוכנת הניטור שפותחה עבור המחקר מראה צריכת זיכרון מינימלית המאפשרת הפעלת השיטה על המכשיר ללא השפעה מורגשת של המשתמש.

בחסות אוניברסיטת בן גוריון בנגב

בואו להכיר את התארים המתקדמים של אוניברסית בן-גוריון בנגב. אתם מוזמנים ליום ייעוץ והכוונה ללימודי תואר שני ותואר שלישי במדעי ההנדסה, מדעי הטבע ובמדעי הבריאות, בננוטכנולוגיה, בביוטכנולוגיה ובחקר המדבר. באוניברסיטת בן-גוריון בנגב תוכלו להשתלב בקבוצות מחקר בין-תחומיות וליהנות ממלגות נדיבות למחקר ולדוקטורנטים מצטיינים. הצטרפו לדרך והתקדמו לתארים שני ושלישי.

האפליקציות הנגועות

רוגלה זדונית חדשה מתפשטת לה ברחבי גוגל פליי, ומאיימת על מליוני משתמשי האנדרואיד, כך עולה מדיווח של חברת אבטחת הרשת לוקאאוט. החדשות הטובות הן שנדבקתם רק אם הורדתם אפליקצייה משונה ברוסית, שנועדה לתעתק אפליקציות אחרות המוכרות בשוק. החדשות הרעות: כנראה שמדובר באפליקציות פופולאריות, כי מליוני משתמשים כבר נדבקו.

הרוגלה זכתה לשם הלא מפתיע ”חדשות רעות“, ונכון לעכשיו היא אותרה בקרב 32 אפליקציות שונות, מבית היוצר של ארבעה מפתחים שונים. אין לדעת כמה מכשירים נפגעו, מכיוון שגוגל פליי לא מציגה מספר מדויק של הורדות, אלא רק טווחים נרחבים יחסית, כך שכל שניתן לומר כעת הוא שמדובר בין שני מיליון לתשעה מיליון, לא רע, יחסית לרוגלה חדשה.

בדלת האחורית של גוגל

החכמה הגדולה הטמונה ברוגלה הספציפית הזו היא כי היא מותקנת בצורת שרת פרסומות הדוחף התרעות למשתמשים בשלב מאוחר יותר. או במלים אחרות: האפליקציה עצמה לא נראית מסוכנת בשלב ההתחלתי, או כאשר היא מוצבת בחנות האפליקציות, מכיוון שאין שום ביטוי ראשוני לרוגלה, ש“מתעוררת“ רק לאחר זמן מה.

יש לציין כי אין לדעת אם כל מפתחי האפליקציות הנגועות התכוונו להרע. ייתכן כי הם בסך הכל תכננו לפתח אפליקציה ידידותית למשתמש ולמכשירו, אך איתרע מזלם והם רכשו פלטפורמה נגועה. אחת ההמלצות, אם כך, שלוחה למפתחי האפליקציות לאנדרואיד: שימו לב היטב לספריות צד-שלישי המופיעות אצלכם באפליקציה. גם אם התכוונתם לטוב, ייתכן כי אתם מעמידים את המשתמשים שלכם בסכנה.

אז מה עושה הרוגלה המדוברת? שני דברים שהייתם שמחים מאוד אם לא היו קורים להתקן שלכם. ראשית, היא שולחת התרעות מזויפות המעודדות אתכם להוריד אפליקציות נגועות אחרות, ביניהן למשל אפליקציית AlphaSMS, שנרשמת בשמכם וללא אישורכם לשירותי פרימיום למסרונים, שעולים בסופו של דבר לא מעט כסף.

שנית, היא שולחת למפתחי הרוגלה את מספר הטלפון שלכם ואת מספר הזיהוי הייחודי שלו – שני נתונים שכאשר הם נמצאים בידי הידיים הלא נכונות – השמיים הם הגבול.

אתם כמובן מניחים שגוגל עושה משהו על-מנת שרוגלות לא יחדרו לחנות האפליקציות שלה. אתם צודקים. החברה מפעילה את ”באונסר“, שירות שסורק את האפליקציות בתוכנה מחפש אחר עקבות רוגלה, אך מדובר בקרב מאסף מתמשך, בו אף חברה לא יכולה תמיד לנצח. אפילו לא גוגל. נכון להיום, גוגל הורידה מהחנות את כל האפליקציות הידועות כנגועות. מצד שני, מדובר רק באלה הידועות, לא ברור כמה בלתי ידועות עוד מסתובבות שם בשוק.

קבוצת אנונימוס. מקור: ויקיפדיה

קבוצת ההאקרים "אנונימוס" החליטה להרחיב את הנראות שלה ברשת ומלבד חשבון הטוויטר ובלוג ה-Tumblr המזוהים עם הקבוצה פונה כעת להקמתו של אתר חדשות ייעודי בשם The Anon News. לשם כך, גייסה הקבוצה סכום של 54,798 דולרים באמצעות גיוס המונים דרך קמפיין בפלטפורמת הגיוסים Indiegogo.

שיפור יחסי הציבור ומודעות הקבוצה

הקבוצה השיקה את הפרוייקט עם יעד ראשוני של מימון על סך 2,000 דולרים, אשר היו אמורים לשמש לכיסוי חלק מהעלויות של תהליך הפיתוח הראשוני והאירוח, אלא שיעד המימון הראשוני שקבעה התגלה כנמוך ביחס לרוח ההתנדבות ברשת למען המיזם החדש שהצליח לגרוף עד עתה למעלה מ-54,000 דולרים.

אתר החדשות ישמש את מי-שלא-מנהל-אותו להביא לתומכי, מתנגדי וכל מי שמתעניין בקבוצה חדשות הנוגעות לפעילות הקבוצה, דיווחים ובלוגים מעיתונאים עצמאיים המעוניינים לכתב ולהתפרסם דרך המיתוג המחודש של The Anon News. בסרטון שהופץ על ידי הקבוצה, אנונימוס מספרת כי האתר גם יספק מקום לאנשים או עיתונאים לפרסם אירועים ב-Livestream בעת שהם מתרחשים.

תתקרב עוד יותר לספוטלייט?

כיום, אנונימוס אינה רחוקה יותר מידי מאור הזרקורים ומגיעה כמעט תמיד לכותרות המרכזיות בשל ההפגנות השונות שהיא עורכת ברחבי העולם ופעילויות הסייבר השונות המאורגנות על ידה, ביניהן הפלת אתר GoDaddy כמחאה, ככל הנראה על תמיכת החברה ב-SOPA. מוקדם יותר השבוע, דווח כי הקבוצה הצליחה לפרוץ לכמה אתרים בולטים בצפון קוריאה כולל אתרי חדשות ומידע מרכזיים במדינה.

בשבועות האחרונים, התארגנה הקבוצה, יחד עם האקרים פרו-פלסטינים רבים נוספים מסביב לעולם, וביצעה מספר התקפות סייבר על ישראל. המתקפה, אשר קיבלה את השם #OpIsrael לא הצליחה לגרום לנזק רב, אך יתכן שזה בדיוק מה שיסדר האתר החדש שצפוי ליצור קול אחיד ומאורגן יותר עבור הקבוצה.

סרטון וידאו: Your Anon News Website Project