http://news.yahoo.com/s/ap/20090708...ea_cyber_attack

על פי המדווח הותקפו אתרי אינטרנט של דרום קוריאה דוגמת אתר משרד ההגנה, אתר הנשיא וכן אתרים בארה"ב דוגמת אתרי האינטרנט של the Treasury Department, Secret Service, Federal Trade Commission and Transportation Department.

אינני יודע מה הביא את הצפוניים - אם אכן הם יוזמי"הפרויקט" הזה, לגילוי קלפיהם. ייתכן שהיה זה "ניסוי כלים", ייתכן שהיה זה בבחינת "יראו ויראו", או כל סיבה אחרת שהיא.

נקודה מעניינת למחשבה הינה העובדה שבמתאר הצפון קוריאני ביחסי הכוחות במובן ה"סייברי" של המילה, קיים, כך אני מניח, חוסר איזון עצום בינם לבין הדרומיים וארה"ב בכלל זה. המשטר בצפון, מעצם מהותו, איננו מבסס את פעולותיו השלטוניות (כלכלה, בריאות, משטרה, צבא, שלטון וסיוע ציבורי) על כלים בדוגמת מערכות המחשבים, מערכות הנתונים, מידע וקשר עם הציבור וכן צבא וביטחון, כפי שהדבר נעשה במערב. התלות של המשטר בצפון במערכות מיחשוב שילטוניות כנראה נמוכה מאד.

על כן במצב א-סימטרי שכזה, קשה להכין ולהשיב בעת צורך מלחמה "אינטרנטית", וקשה ובלתי יעיל לפגוע פגיעה אפקטיבית בתשתיות ובמערכות הצפוניות, תגובה הדומה לפעילות הזאת כלפי הדרום וארה"ב.

עוד מרכיב חשוב בעימותים א-סימטריים (חסרי איזון) בעולמנו הקטן.

בואו נעמיד דברים על דיוקם: מדובר בהתקפת DOS על שרתי אינטרנט פומביים. אין פה משהו מתוחכם יותר מדי, סה"כ מניעת שירות וגם היא לא הצליחה מי יודע מה.

אתה עוסק בתחום ? כי להעריך מה בדיוק היה שם מידיעה בעיתון נראה לי קצת חסר אחריות.
תקיפה של שרתים כאלה ואחרים יכולה להעשות גם למטרת איסוף מל"מ ודרכי תגובה.

וככל שהיא חמורה יחסית (ודאי תודות לשכירים מסין או מרוסיה), היא ככל הנראה ממשיכה את מדיניות התחזיקו אותי שאני לא אשתגע - או ליתר דיוק, שלמו לי כדי שלקים יהיה מספיק כסף לקימצ'י על הפיצה ואם לא, ווהוהוהו מה שיקרה לכם.

התקפות DDOS או DOS לא שיא התכחום כלל וכלל.
וכן, אפשר להעריך מה היה שם (אם יש לך הרקע והידע כמובן).

התקפות DDOS/DOS הן אפילו דיי פשוטות. ניתן אפילו לחפש ולהוריד מהאינטרנט תוכנות שעושות את זה... בגלל זה הן נחשבות להתקפות נחותות יחסית, וכיום לרוב השרתים שזוכים לתחזוקה שוטפת, יש מנגנוני הגנה מפני תקיפות כאלה.
כנראה שהצפון קוריאנים פשוט חיפשו ומצאו שרת כזה בתחומי ארה"ב שמשום-מה לא היה ממוגן - ותקפו...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

אגב, לא רק איסוף מודיעין, אם שמעת על המושג "מחשבי זומבי"?
עם קצת תיכחום וידע מתאים אפשר לנצל ולהפוך את המחשבים המותקפים לשותפים לתקיפה.

טוב, חפרתי ונסחפתי יותר מידי...

אבל הן מאוד יעילות. ולמעשה, כפי שאמרו לי כמה אנשי רשת ואבטחת מידע - בסופו של דבר אין הגנה מלאה מפניהן. אם מגייסים די מחשבי זומבי ומפציצים רשת כלשהי או אתר כלשהו בכמות מספקת של מידע - קרי המון המון המון מידע - אין כמעט דרך להתגונן מכך באופן מוחלט.

ובמקרה של מדינה כישראל זה יכול להשפיע גם על הרשת הארצית. שוב, במידה ומדובר בהתקפה גדולה פי כמה מזו שבוצעה למשל בזמן עופרת יצוקה
http://www.haaretz.co.il/captain/pa...&itemNo=1093544

אכן אני כנראה לא יחיד בספקותי עליהן רמזתי לעיל לגבי מקור ה"מיתקפה".

להלן כתבה מעניינת שהופיעה אתמול ב- BusinessWeek:

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://businessweek.mobi/0m/better_small/t.gif]


Is North Korea Behind Cyber Attacks?

It’s easy to blame North Korea for nasty attacks on the global community. After all it is an international bogeyman facing sanctions by the U.N. for undertaking nuclear and missile tests in defiance of numerous calls for an end to its dangerous weapons programs. Yet the fact is there’s no evidence that Pyongyang is behind attacks on more than two dozen of major U.S. and South Korean websites in recent days, as suspected by Seoul’s spy agency.

It simply is too early to point fingers at North Korea or anyone else for the attacks that began on the July 4 U.S. Independence Day holiday. The widespread attacks, targeting websites of such government bodies as the White House, the Pentagon, the South Korean presidential office and the National Intelligence Service, Seoul’s equivalent of the CIA, are primarily designed to disrupt systems by deluging them with Internet traffic rather than penetrate them and obtain internal or classified files. The relatively simple attacks could have been waged by hackers looking to make money or prove their skill sets.

The National Intelligence Service has shown a tendency to quickly link North Korea to any maneuvering targeting key institutions in South Korea or its allies. For the latest attacks, the spy agency told the local media that they were “premeditated provocations aimed at paralyzing the Internet infrastructure.” But despite the widespread attacks, many government websites in the U.S. and South Korea resumed normal day-to-day operation after being affected for hours. In fact, a sophisticated state-sponsored organization with malicious intentions would not resort to the “denial of service” attacks that would attract a lot of attention and prompt cyber security experts to defend their networks.



Updated: 07/09/2009

http://www.haaretz.co.il/captain/spages/1100067.html
מי עומד מאחורי המתקפה האלקטרונית הכבדה על אתרי ממשל חשובים בארצות הברית ודרום קוריאה, ומה ישראל צריכה ללמוד מכך?
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.haaretz.co.il/hasite/images/0.gif]
תגיות: האקרים, צפון קוריאה, אבטחת מידע, דרום קוריאה
[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://www.haaretz.co.il/hasite/images/0.gif]


ארבעה ביולי, יום העצמאות האמריקאי, נהפך השנה דווקא לחגיגת כוחה הטכנולוגי של צפון קוריאה. בזמן שבארצות הברית חגגו במופעי זיקוקין דינור, יצאה צפון קוריאה במופע טילים משלה (ערכה ניסוי שיגור טילי סקאד) וככל הנראה, גם במתקפה אלקטרונית כבדה על אתרי ממשל חשובים בדרום קוריאה ובארצות הברית. בין האתרים המותקפים היו הבית הלבן ומקבילו הדרום-קוריאני - הבית הכחול. כמוהם הותקפו אתרי ה-NSA, סוכנות הביון הטכנולוגי האמריקאי. אבל לא פחות חשוב מכך, הותקפו גם אתרי הבורסה של ניו יורק ואתר הנאסד"ק. כמה מהאתרים שהותקפו בארצות הברית, כמו אתר משרד התחבורה, נפלו למשך ימים שלמים.

אלה היו התקפות פשוטות יחסית אבל יעילות. הן מכונות התקפות מניעת שירות (denial (of service או התקפות מניעת שירות מבוזרת (DDOS). בהתקפות אלה האתר מופצץ במידע עד שהוא קורס. ההתקפות יכולות להיות מתוחכמות מבחינה טכנית, אבל אין הכרח להשתמש בכלים מסובכים במיוחד. כל שצריך הוא מספר מסוים של מחשבים שבאמצעותם אפשר יהיה להפציץ את הרשת במידע.

ניסיון נפל


דורון שקמוני, מומחה אבטחת מידע וחבר הנהלת איגוד האינטרנט הישראלי, מסביר כי עיקר הנזק מתקיפות אלה הוא כלכלי. לדבריו, הנזק במדינה שהכלכלה שלה או השלטון שלה נשענים על האינטרנט תספוג מטבע הדברים נזק גדול יותר. כך קרה גם באסטוניה בעת המתיחות בינה לבין רוסיה. וההתקפות המקוונות שבוצעו כנגד אסטוניה גרמו לנזק גדול בגלל התלות שלה באינטרנט. במקרה של אתרים כמו אתרי בנקים ובורסה יכול להיגרם אף נזק חמור למסחר.

כשהוא נשאל אם הההתקפות הללו הן מעין גירסה מקוונת של קסאם - התקפות שנועדו להטריד מבלי להביא את הסכסוך למלחמה כוללת, הוא לא נשמע שש להשוואה, למרות שגם לדבריו אפשר למצוא דמיון בניסיון לשמור על סכסוך מוגבל. התקפות DDOS לא יכולות ליטול חיים, הוא מדגיש ומסביר, כי "האפקט של התקפות באינטרנט בשלב זה לפחות, אינו אפקט טרוריסטי קלאסי. DDOS לא זורע פחד באוכלוסיה, הוא יוצר הפרעה ומול ההפרעה הזאת פחות או יותר יודעים איך להתמודד. ברור שהפרמטר המרכזי פה הוא הגודל אבל בסופו של דבר ההשפעה היא השפעה כלכלית".

בועז דולב, מנהל תחום ממשל זמין במשרד האוצר ואחראי על פעילות האינטרנט של הממשלה, ואסף קרן, מנהל אבטחה מידע בממשל זמין, מספרים כי על פי המידע שהגיע מארצות הברית, זו היתה מתקפה די חלשה. "זה היה ניסיון נפל", אומר קרן. התקיפות היו בקצב של 25 מגה לשנייה - הרבה פחות מאלה שישראל ספגה למשל בתקופת מבצע "עופרת יצוקה". למעשה, הם מספרים שהאמריקאים בודקים כעת איך קרה שהאתרים נפלו אף שהההתקפות היו חלשות יחסית.


[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://images.mouse.co.il/storage/7/e/490_tokyo_ap.jpg]

דרום קוריאנים צופים בשיגור טילים. תצלום: אי-פי



אבל בדרום קוריאה ההתקפות היו ככל הנראה חזקות בהרבה. קווין צ'יונג מחברת dotCure סיפר להארץ בצ'ט מדרום קוריאה, כי שירות המודיעין של ארצו מעריך כי המתקפה לא רק נהגתה בצפון קוריאה, אלא גם בוצעה בידי יחידת ההאקרים של משטרו של קים ג'ונג איל.

גם ד"ר גיא פודולר, מומחה לקוריאה בחוג למזרח אסיה באוניברסיטת חיפה, כלל לא פוסל את האפשרות שכל העניין בוצע מתחילתו ועד סופו בידי צפון קוריאנים. אף כי הוא מדגיש שאין הוכחות חותכות, וכמוהו גם צ'יונג מספר שייתכן שלעולם לא נדע בוודאות מי עומד מאחורי המתקפה. כמו כן, קיימת גם האפשרות, שגם אם הדבר בוצע במצוות צפון קוריאה, מדובר בהאקרים להשכיר מרוסיה או סין.

פודולר הסביר כי דרום קוריאה אמנם ידועה בעולם כאחת המדינות המתקדמות ביותר בתחום האינטרנט וזה זמן רב הממשלה משקיעה בתשתית שכוללת חיבורי סיב אופטי עד הבית במהירויות שיכולות להגיע ל-40 מגה בייט לשנייה. ובמקרה הזה לפחות ייתכן שהתשתית המתקדמת היתה דווקא לרועץ. "הם השתמשו במחשבים הקוריאנים להפיל את אתרי הממשלה הקוריאנית", הסביר רביב רז, מומחה אבטחת מידע מחברת אפליקיור הישראלית, שפועלת בצוותא עם dotcure. רז מציג ניתוח טכני של המתקפות הקוריאניות בבלוג שלו: http://chaptersinwebsecurity.blogspot.com על פי נתוני התחקיר של סוכנות אבטחת המידע הקוריאנית KISA.

פודולר מספר שמה שפחות ידוע במערב הוא שגם צפון קוריאה, הדיקטטורה המסוגרת, לא התעלמה מהאינטרנט. אמנם הרוב המכריע של האזרחים לא זוכה להתחבר לרשת, אבל על פי דיווחים, קים ג'ונג איל, וככל הנראה גם צמרת הצבא והמפלגה יכולה להתחבר לרשת במקומות מאובטחים.

אולם, ההשקעה הצפון קוריאנית בתחום לא מסתכמת רק בגלישה חינם לבכירים. לדבריו, עוד בתחילת שנות ה-90 הממשלה הצפון קוריאנית השקיעה כחצי מיליארד דולר אמריקני בפיתוח יכולות מחשוב במדינה, ומאז היא ממשיכה בפיתוח היכולות. לדבריו, כבר ב-2004 התקבלו דיווחים על אימונים של יחידה ללוחמת מידע שכללה כמה מאות האקרים. "אפשר לומר שאנחנו רואים עכשיו את הדו"ח הזה מול העיניים", הוא אומר ומסייג, "אם זה באמת הם".

לשאלה מהיכן הגיע הידע לצפון קוריאה הוא מספר שעל פי הדיווחים וההערכות נשלחו המומחים של צפון קוריאה לרוסיה, סין ואף הודו. למעשה, הפיתוחים הצפון קוריאנים לא משמשים רק לתקיפות. אנשי מחשבים צפון קוריאנים השתתפו בפיתוח תוכנות לסלולרים בעבור סמסונג והם מתקדמים למדי בנושאים כמו תלת מימד ומשחקים.

התקפה מתואמת ומסוות היטב

הכל החל בשיגור דואר זבל שהכיל לינקים ל-25 שרתים לפחות, שבהם המתין הקוד הזדוני להורדה. לדברי המשטרה בדרום קוריאה, לפחות 25 אלף מחשבים נדבקו, בעיקר בדרום קוריאה. הקוד, ששיגורו החל במאי, היה עצמאי וחיכה לתאריך היעד כדי לתקוף באופן מתואם. "ונראה שגם היה להם D-Day מתוזמן יפה".

רז מסביר שההתקפה הוסוותה טוב, אין כמעט דפוס שמאפשר לזהות כי מדובר בתקיפה. "אין שום דבר חריג בתקיפה, זה נראה כמו בקשה תמימה של דפדפן פשוט לשרת. זה נראה פעם אחת כאילו הגיעה מאקספלורר, או מפיירפוקס אבל זה לא נראה כמו איזה רובוט, זה נראה כמו דפדפן רגיל ואתה לא יכול לזהות שמדובר בהתקפה".

אם זה היה בא מסין, אין בעיה סוגרים את השאלטר לסין", מסביר רז. "יש להם מערכות זיהוי ויירוט תקיפות גדול כמו "חומת האש" של הסינים בקוריאה עצמה. ברגע שהממשלה קולטת שיש משהו גדול מסין, היא יכולה לסגור את כל החיבורים לסין. היא כבר עשתה את זה בעבר. אבל פה זו היתה מתקפה מתוך הבית", הוסיף.

מומחי אבטחה ורשת שונים שונים אומרים כי עומס כמו זה שהיה בשרתים בדרום קוריאה היה עשוי לפגוע באינטרנט בישראל. הכבל התת ימי של חברת מד נאוטילוס, שמספק כמעט את כל תעבורת האינטרנט של ישראל בנוסף לטלפוניה, יתקשה להתמודד עם התקפות בקצב של 10 ג'יגה בייט לשנייה.

"זו נקודת תורפה לישראל שכל התקשורת הבינלאומית הקווית שלה עוברת דרך ספק תקשורת אחד", אומר שקמוני. עם זאת, הוא אומר, ממילא נפח התעבורה הישראלי קטן אף מזה של ספקיות אינטרנט גדולות בארה"באו אירופה וזה דבר שחברות התקשורת יכולות להתמודד איתו. באיגוד האינטרנט, הוא מציין, פועלים לשפר את המצב של ישראל בתחום ולהתקין כבל נוסף.

אסף קרן סבור כי "כמה ג'יגה בייטים יכולים בהחלט ליצור בעיות ברמה הלאומית", אבל לדעתו, לכבל של מד נאוטילוס אין חשיבות במקרה של התקפה כמו זו שאירעה בדרום קוריאה כי היא בוצעה ממחשבים דרום-קוריאניים שהודבקו בווירוס. ובנוסף הוא מדגיש מאוד מאוד קשה להרים התקפה של כמה ג'יגה בייטים, במיוחד אם היא מגיעה מחו"ל.

מחברת מד נאוטילוס נמסר בתגובה כי הנושא הוא באחריות ספקיות האינטרנט ואינו קשור אליה.