פרסום ראשון: לומדים ביום, פורצים בלילה

לפי מחקר של חברת מגלן-טכנולוגיות הגנת מידע, כ-200 אתרים ומערכות מחשוב אקדמיות נפרצו בשלוש שנים האחרונות. הפריצות, כמסתבר, נעשו דווקא לשרתים וסביבות עבודה אקדמיות ולאו דווקא אתרים חזותיים. כמו כן, שרתי לינוקס נפרצו באופן שווה לשרתים מבוססי מיקרוסופט.

מחקר של חברת מגלן-טכנולוגיות הגנת מידע בנושא פריצות למערכות אינטרנט אקדמאיות AC.IL בישראל חושף בעיות אבטחת מידע קשות באתרי האינטרנט ומערכות המחשב של אוניברסיטאות ומכללות.

“סיכום הפריצות לאתרים מסוג AC.IL השייכים באופן כולל לגורמי האקדמיה בישראל הראה כי בין השנים 2009-2007 נפרצו 136 אתרים ומערכות מחשב. חלק לא מבוטל מהמחשבים שנפרצו מרשת האינטרנט הם שרתי וסביבות עבודה אקדמאיות ואינם דווקא אתר אינטרנט חזותי קלאסי. בחנו כל פריצה שנרשמה, במטרה לאמת את החדירה ולאסוף מידע טכני המתייחס אליה. להערכתנו בפועל נפרצו כ-200 שרתי אקדמיה אולם בחלקם לא ניתן היה לקבוע או לקבל אסמכתא ברורה לכך”, מציין שי בליצבלאו, מנכ”ל מגלן.

מגלן-טכנולוגיות הגנת מידע מפעילה מזה כעשור מעבדת מחקר העוקבת אחר אירועי אבטחת מידע שוטפים. מעבדת המחקר של מגלן חוקרת בין היתר אירועי פריצות אתרי אינטרנט ופריצות מערכות מחשב בישראל ובעולם. המחקר בוחן אספקטים טכניים נרחבים הקשורים לטכניקות הפריצה, מערכות ההפעלה ותשתיות התוכנה ומהם נגזרים אספקטים הגנתיים פרטניים ורוחביים.

מנתוני המחקר שבחן את אירועי הפריצה לאתרי אינטרנט ומערכות מידע אקדמיות עולה עוד כי שנת 2009 היתה השנה הקשה ביותר לאקדמיה בארץ במהלכה נפרצו 78 שרתי AC.IL, כמעט פי 4 משנת 2008.

סה”כ ב-3 השנים האחרונות נפרצו שרתים השייכים ל-21 ארגוני אקדמיה בהם: המכללה לחינוך גופני וספורט וינגייט, מכללת אורנים, לסלי קולג’, מכון טכנולוגי חולון, מכללת רופין, מכללת לוינסקי לחינוך, מכללת ספיר, המכללה האקדמית כנרת ומכללת סכנין.

הנפרצים המובילים: הטכניון ואוניברסיטת חיפה

בולט במיוחד אחוז הפריצות הגבוה (בכל 3 השנים האחרונות) למערכות מחשב ומידע בטכניון –  36% ולאוניברסיטת חיפה 32%. מרבית הפריצות לטכניון היו מסוג חדירה “מרובת-דומיינים” שכוונה לשרת המכיל בתוכו עשרות אתרי AC.IL בו זמנית, אך יחד עם זאת נפרצו גם שרתי מעבדות ומחקר.בין האתרים ומערכות שנפרצו בטכניון ניתן למצוא את אתר ארגון העובדים המנהליים בטכניון, שרתי המחשוב של המעבדה לביו-רובוטיקה וביומכניקה ושרתים שונים של מרכז המחשבים בטכניון. באוניברסיטת חיפה זכו לביקור: השרת של הפקולטה למשפטים, השרת של הפקולטה למדעי החברה ואתריים ושרתים שונים של מחלקת המחשוב ושירותי המחשב.

לעומת הטכניון וחיפה, שלוש האוניברסיטאות הגדולות האחרות: תל-אביב, בן-גוריון והאוניברסיטה העברית זכו לכמות פריצות נמוכה יחסית המתסכמת במקרים בודדים וגם אלו, לשרתים זניחים יחסית.

רק משחזרים, לא מתקנים

מסקנות המחקר של מגלן מגלות כי חלק לא מבוטל מהטיפול בפריצות לאתרי AC.IL מסתכם בשחזור חלק האתר או המערכת שנפגע ואינו כולל מחיקה מלאה (format) של השרת והתקנתו מחדש, לרבות מערכת ההפעלה – במקרה שכזה ההטמנה אינה נעלמת כי אם ממשיכה לתפקד. חלק לא מבוטל מהפריצות כלל השחתת פני-אתר “defacement” (השתלת דף עם סיסמאות שונות, חלקן בגנות ישראל ובעד הפלסטינים, חלקן אודות אירועים בעולם). ברוב המקרים, מתקפת  השחתת פני-אתר מהווה “פעולות הסחה” קלאסית ובפועל מבוצעת הטמנת קוד עוין malicious) code implantation / rootkit injection) בתוך השרת המאפשר להופכו לתחנת תקיפה או “מנתב תקשורת” ליעד פריצה אחר. מדובר בשיטה קלאסית ונפוצה של הסתרת עקבות.

גם לינוקס, גם מיקרוסופט, כולם פרוצים

עוד עולה מניתוח הנתונים שנאסף במחקר זה כי מתוך כלל שרתי ה-AC.IL שנפרצו בשנים 2007-2009 לא נמצאה פגיעות יתר במערכת ההפעלה שנעשה בו שימוש ע”י המוסד האקדמי. השרתים שנפרצו היו מחולקים כמעט באופן שווה בבסיס מערכות ההפעלה עליהם הותקנו: Microsoft Windows / IIS ו Linux / Apache. הדבר מוכיח באופן חד-משמעי, שנה אחר שנה, כי תשתיות Linux אינן בהכרח מאובטחות יותר מתשתיות Microsoft וכי פרמטר ההגנה העיקרי הוא הגדרות היישום בפועל, מערכות ההגנה הנלוות, כגון Firewalls ומגנוני הגנה על קוד המערכת.

ומי אחראי לכל הסיפור?

בתוצאות המחקר לא פורסמו נתונים חד משמעיים לגבי זהות התוקפים, אך צויין כי אין במידע הקיים משום התייחסות ייחודית המשייכת את התקיפות לפעילות יזומה של גורמים עוינים ממדינות אויב. לפיכך ולפי התפזרות כמות הפריצות הגבוהה בטכניון וחיפה, קשה לנו שלא לשייך את הפריצות לסטודנטים באוניברסיטה עצמה. בעוד הסטודנטים בת”א, ירושלים ובאר-שבע עובדים קשה כדי לעבור את הבחינות, נראה שהסטודנטים בחיפה נהנים מזמן פנוי שמאפשר להם לנצל את הכישורים שלמדו לצורך פריצה למערכות של האוניברסיטה עצמה. האם הטכניון, המוסד הלימודי הנתפס כבעל התוכנית למדעי המחשב האיכותית בישראל, כל-כך טוב עד שבעצם הוא יורה לעצמו ברגל?

“השאלה מדוע אתרים ושרתי AC.IL של חלק מגופי האקדמיה בישראל במצב אבטחת מידע כה בעייתי והם יעד לפורצי מחשבים העסיקה רבות את מומחי מגלן. העובדה כי באוניברסיטאות הגדולות: תל-אביב, באר-שבע וירושלים (העברית) כמות המחשבים והשרתים מסוג AC.IL אינה נופלת ממספר השרתים בטכניון ובאוניברסיטת חיפה ובכל זאת נשמרה שם רמת אבטחת מידע גבוהה, מעלה את שאלת ההתייחסות של כל גוף אקדמיה לנושאי אבטחת המידע ובפועל למודעות, משאבים וידע טכני” מסכם בליצבאו.

תגובות

מהטכניון נמסר: “הטכניון קלט באחרונה מנהל אבטחת מידע ואין לו ספק כי מעתה יחול שיפור מיידי במצב. יצויין כי נפרץ מחשב אחד בלבד שהחזיק מספר אתרים ונעשתה עבודת הקשחה שתמנע פריצה דומה בעתיד.”

מאוניברסיטת חיפה טרם התקבלה תגובה.

סטודנטים באחת מהאוניברסיטאות הגדולות? גם לכם יצא לטייל במערכות המחשוב של האוניברסיטה? מה אתם אומרים על המצב?

Avatar

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

5 תגובות על "פרסום ראשון: לומדים ביום, פורצים בלילה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
גורו יאיא
Guest

הטענה שאין הבדל במידת האבטחה בין שתי מערכות ההפעלה, אינה מגובה בטענה שמספר השרתים שנפרצו משתי מערכות ההפעלה הם זהים. השאלה שיש לשאול, היא מה מידת הנזק שנגרם. אם הייתה נערכת השוואה בין זמני ההשבתה בשני השרתים או עלות התיקונים – אז הטענה כי אין הבדל בין מידת האבטחה בין שתי הטכנולוגיות, הייתה טענה רלוונטית.

יגאל
Guest
הדבר לא מראה שום דבר על שתית לינוקס או מיקרוסופט. זה רק מראה שאין למוסדות האדמאים מושג באבטחה של שרת ווב, וכנראה הם גם לא נוטים לבחור סיסמאות קשות במיוחד. כאשר מערכת לינוקס מותקנת על שרת, גם אם היא מערכת יעודית, היא אינה מאובטחת כמעט כלל, ולא קשה לפרוץ למערכת כזאת. יש רשימה ארוכה של הגדרות שצריך לעשות על שרת כזה, הבעיה היא ששרת המגיש תוכן לכלל העולם בעצם פותח דלתות מסויימות לכולם, בעית אבטחה בפני עצמה, צריך לדאוג שהדלתות האילו יהיו מוגנות כראוי. למשל אחד הדברים הבסיססים שיש לעשות זה לחסום גישת משתמש root דרך SSH, שחס וחלילה שירות… Read more »
אור
Guest

למה לא לבטל גם את סיסמת רוט? :)

יגאל
Guest

אפשר לבטל (ואפילו מומלץ) גם את הסיסמה של הרוט, אבל בשביל זה צריך הגדרות קצת יותר מסובכות במערכת. מי שאינו יודע להגדיר מפתחות כמו שצריך יכול להגיע למצב בו הוא נועל את עצמו מחוץ למערכת בלי אפשרות גישה.

אור
Guest
כמו שגורו יאיא אומר, הטענה שאין קשר לפלטפורמה בה השתמשו היא לא כל כך רלוונטית. לא תיארו את סוג הפריצות ומה היה הנזק שנגרם כתוצאה מכך. נראה כי הם פשוט החזיקו “מונה” כלשהו של כמות הפריצות, היה יותר מעניין לראות פרטים כמו סוג הפריצות הנפוץ יותר ומה היה הנזק שלהן. כמו שכולם יודעים, בישראל כמו בישראל, החובבניות שולטת. בעיקר במוסדות ציבוריים. מישהו טרח לבדוק אם לא היה שם איזה סטודנט שעבד באחת ממעבדות המחשבים, הייתה לו גישה (עם סיסמה) והוא רב עם אחד המרצים אז החליט להתנקם? לדעתי, סקריפטקיד או סקריפט-סטודנט שהוריד כלי מהאינטרנט שסורק את האתר ל SQL Injection… Read more »
wpDiscuz

תגיות לכתבה: