דו״ח סייבר שבועי
עדכון שבועי 01.10.2020
עיקרי הדברים
-
חברות בישראל מתעלמות מאזהרות מערך הסייבר הלאומי ונפרצות.
-
דוח של האינטרפול: עלייה מדאיגה במתקפות הסייבר בעקבות משבר הקורונה
-
דרישות תשלום הכופר נמצאות במגמת עלייה. תקיפות כופר בולטות השבוע: רשת בתי החולים, חברת הספנות CMA CGM, ענקית הביטוח וניהול הסיכונים Gallagher, מוצרי אחסון של QNAP וחברת השעונים Swatch
-
"פערים משמעותיים" בדרך בה מפלגות מיישמות את הוראות דיני הגנת הפרטיות בישראל
-
אנו ממליצים לעדכן בהקדם את המוצרים הבאים: סיסקו IOS XE ו-IOS XR, גרסאות Catalina, High Sierra ו-Mojave של מערכת ההפעלה macOS, ולשירות האחסון iCloud עבור Windows 7 ו-Windows 1 של אפל ומוצרי Pulse Connect Secure ו-Pulse Policy Secure.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון אבטחה למוצרי Cisco
עדכון אבטחה למוצרי Apple
עדכון אבטחה למוצרי Pulse Secure
חברת Check Point מציגה מחקר על החלשה תיאורטית של קוד צד שלישי באינסטגרם
התקפות ואיומים
נוזקת Joker זוהתה ב-17 אפליקציות ב-Google Play
נחשף מידע אודות 600,000 לקוחות של Town Sports
המערך Operation SideCopy תוקף את אנשי צבא הודו מ-2019
דליפת מידע ענקית מחנות האופנה הפולנית BrandBQ
נמצאה דרך חדשה לניצול חולשת ZeroLogon
קבוצת התקיפה APT-C-23 עדכנה את נוזקת הריגול שלה ל-Android
עלייה במתקפות הכופר
רשת בתי החולים UHS הותקפה באמצעות כופרת Ryuk
חברת הספנות CMA CGM נתונה במתקפת כופרה
חברת הלוגיסטיקה GEFCO נפלה קורבן למתקפת סייבר
מתקפת סייבר על חברת השעונים Swatch
מפתחי תוכנת הכופרה REvil מפקידים 99 מטבעות ביטקוין בפורום האקרים רוסי
דרישות תשלום הכופר נמצאות במגמת עלייה
מתקפת כופרה על ענקית הביטוח וניהול הסיכונים Gallagher
גוברות מתקפות הכופר על מוצרי אחסון של QNAP
סייבר בישראל
מערך הסייבר הלאומי מזהיר מפני עלייה בניסיונות לתקיפות כופרה
בראיון ל״כלכליסט״ מנה רפאל פרנקו, ראש מכלול עמידות במערך הסייבר הלאומי, מספר בקרות אבטחה שיש ליישם באופן שוטף לשם צמצום הסיכויים להיפגע ממתקפות כופר, הנמצאות במגמת עלייה משמעותית ברמה הגלובלית. האמצעים שבהם יש לנקוט הם שינוי סיסמאות, הטמעת אימות דו שלבי, עדכוני תוכנה וביצוע גיבויים בזמן. עוד ציין פרנקו כי רמת המודעות של אזרחי ישראל לאיומי סייבר מצויה במגמת שיפור, וכי נעשים מאמצים בלתי פוסקים לשימור מודעות זו.
מערך הסייבר הלאומי: ביטוח ככלי להפחתת איומי כופרה
קול קורא להשתתפות בפרויקט בנושא תורת ההגנה בסייבר
חברות בישראל מתעלמות מאזהרות מערך הסייבר הלאומי ונפרצות חברות התעלמו מההתרעה ונפרצו
סייבר בעולם
מתקפת כופר על מכונת קפה חכמה
האקרים מתמקדים בשרשראות אספקה על מנת לפרוץ לחברות גדולות
האם הודלף קוד המקור של Windows XP?
דוח של האינטרפול:עלייה מדאיגה במתקפות הסייבר בעקבות משבר הקורונה
מתקפה עולמית על דומייני אימייל גובה יותר מ-15 מיליון דולר
סייבר ופרטיות - רגולציה ותקינה
רשות הגנת הפרטיות בישראל: גילוי דעת בהמשך לפס"ד "שרמס 2"
הודעה פומבית שנייה של ה-FBI לציבור הבוחרים בארה"ב: מסוכן להסתמך על מידע כוזב בנוגע לפריצות למערכת הבחירות בארה"ב
הודו מקדמת תוכנית לאומית שתרכז מידע אישי ובריאותי של כל אזרחיה
ארגון ה-UNCTAD מפרסם פלטפורמה להשוואה בין דיני הפשע המקוון של מדינות שונות
פרלמנט האיחוד האירופי מצביע בעד הסדרת שירותים דיגיטליים
"פערים משמעותיים" בדרך בה מפלגות מיישמות את הוראות דיני הגנת הפרטיות בישראל
כנסים
הציטוט השבועי
״הפרקטיקה של המפלגות לאסוף מידע ולהטמיעו ביישומים ללא הסכמת נושאי המידע לרבות העברת פרטים אלה בין המפלגות לבין עצמן והוספת אינדיקציה באשר לתמיכתם או אי תמיכתם במפלגה כזו או אחרת הינה, על פני הדברים, הפרה של הוראות חוק הגנת הפרטיות.״
רשות הגנת הפרטיות, דו"ח ממצאי הליך פיקוח הרוחב בקרב המפלגות שהתמודדו לבחירות הכלליות לכנסת ה- 23
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
העדכון, שפורסם בשבוע שעבר, רלוונטי למוצרים IOS XE ו-IOS XR, ומכיל תיקונים לעשרות חולשות, רובן בדרגת חומרה גבוהה. אנו ממליצים לארגונים המשתמשים באחת ממערכות ההפעלה המצוינות, לעדכן אותן לגרסתן האחרונה.
עדכון אבטחה למוצרי Apple
ב-25 בספטמבר פרסמה החברה עדכוני אבטחה לגרסאות Catalina, High Sierra ו-Mojave של מערכת ההפעלה macOS, ולשירות האחסון iCloud עבור Windows 7 ו-Windows 10.
אנו ממליצים לעדכן את מערכות ההפעלה ושירות האחסון לגרסאותיהם האחרונות.
עדכון אבטחה למוצרי Pulse Secure
המוצרים שעבורם פרסמה החברה עדכון הם Pulse Connect Secure ו-Pulse Policy Secure, כאשר העדכון רלוונטי לכל גרסאות המוצרים הקודמות ל-9.1R8.2. מבין הפגיעויות שזוהו, החמורה ביותר (CVE-2020-8243, CVSS 7.2) עלולה לאפשר הרצת קוד זדוני מרחוק למשתמש מאומת בעל גישה לממשק ניהול.
אנו ממליצים לעדכן את מוצרי החברה הרלוונטיים לגרסאותיהם האחרונות.
חברת Checkpoint מציגה מחקר על החלשה תיאורטית של קוד צד שלישי באינסטגרם
לטכניקה, שהוצעה על ידי חוקרי חברת Check Point, יש היתכנות תיאורטית בזכות הטמעה של פונקציה לפרסור תמונות מגורם צד שלישי, המהווה חלק מקוד לקליטה והעלאת תמונות באפליקציית אינסטגרם לאנדרואיד ול-iOS. חשוב לציין כי מבחינה פרקטית אין כרגע אפשרות להשמשת הטכניקה, זאת מכיוון שמפתחי אינסטגרם ערכו את קטע הקוד שהטמיעו והוסיפו בו שורה הקוטעת את ההשמשה, בגורמה לכך שכל תמונה שמועלית תומר לאחר קליטתה לפורמט RGBA, דבר שאינו מאפשר לקוד הזדוני לרוץ. מתווה תהליך ההשמשה: (א) העלאת תמונה ערוכה המכילה ממדים פגומים. (ב) הפונקציה המוחלשת קולטת את ממדי התמונה, אך אינה בודקת את תוכן הקלט. (ג) הממדים הערוכים עוברים את אורך הקלט המותר ומייצרים מצב של Buffer Overflow. המידע שעובר את האורך המותר מנותב ל-memcpy - פונקציה להקצאת זיכרון, המריצה את שאר המידע שהועבר בממדי התמונה. מידע זה הוא קוד זדוני, המפנה לשרת תקיפה. חולשה זו במנגנון העלאת הקבצים, CVE-2020-1895 (דירוג חומרה 7.8 CVSS), התגלתה כבר באפריל השנה, והיא רלוונטית לגרסאות אינסטגרם המוקדמות מ-128.0.0.26.128. המחקר מהווה הדגמה מצוינת לסיבה שבעטיה Fuzzing (בדיקת קוד המבוססת על הזנת מידע מעובד ובלתי צפוי לתוכנה) קבוע הוא קריטי למערכות.
התקפות ואיומים
נוזקת Joker זוהתה ב-17 אפליקציות ב-Google Play
אפליקציות אלה עלו לחנות האפליקציות בחודש ספטמבר וסך ההורדות שלהן עומד על כ-120,000. Joker, שנוכחותה באפליקציות זוהתה על ידי צוות המחקר של מעבדות חברת Zscaler, נמנית על הנוזקות הנפוצות במכשירי אנדרואיד ומזוהה עם יכולות ריגול, בהן גניבת הודעות SMS, פרטי אנשי קשר ומידע המצוי על המכשיר שעליו מותקנת הנוזקה. אנו ממליצים לגלות ערנות בנוגע לאפליקציות המורדות למכשירים הניידים ולבקשות חשודות למתן הרשאות, כגון הרשאה לקרוא SMS ושיחות, לגשת לאנשי קשר ועוד.
להלן שמותיהן של כל האפליקציות הנגועות שהתגלו, כולן הוסרו זה מכבר מחנות האפליקציות.
All Good PDF Scanner
Mint Leaf Message-Your Private Message
Unique Keyboard - Fancy Fonts & Free Emoticons
Tangram App Lock
Direct Messenger
Private SMS
One Sentence Translator - Multifunctional Translator
Style Photo Collage
Meticulous Scanner
Desire Translate
Talent Photo Editor - Blur focus
Care Message
Part Message
Paper Doc Scanner
Blue Scanner
Hummingbird PDF Converter - Photo to PDF
נחשף מידע אודות 600,000 לקוחות של Town Sports
מקור דליפת המידע הוא במסד נתונים של רשת מכוני הכושר, אשר בספטמבר 2020 התגלה כי היה חשוף עוד מנובמבר 2019. בין פרטי המידע שהיו חשופים מצויים שמות מלאים, כתובות מגורים, מספרי טלפון, כתובות אימייל, ספרות אחרונות של מספרי כרטיסי אשראי, תאריכי תפוגה של כרטיסי אשראי והיסטוריית חיובים.
המערך Operation SideCopy תוקף את אנשי צבא הודו מ-2019
קמפיין התקיפה המתקדם, שזוהה על ידי חוקרי חברת אבטחת המידע ההודית Quick Heal, נותר עד כה "מתחת לרדאר" באמצעות חיקוי טקטיקות של מערכים אחרים, העיקרי שבהם הוא SideWinder. המערך, שתוקף אנשי צבא וממשל הודים במטרה להשיג מידע אישי אודותם, משתמש ב-Spear Phishing כשיטת ההדבקה בנוזקות ושולח אימיילים שמכילים מסמכים זדוניים, המתחזים למסמכים לגיטימיים מטעם משרד ההגנה ההודי או הצבא ההודי. אחת משרשראות ההדבקה המעניינות שמפעילה הקבוצה עושה שימוש בחולשה בת 20 שנה ב-Microsoft Office, המאפשרת הרצת קוד מרחוק. החולשה (CVE-2017-11882) תקפה, כמובן, רק למחשבים שלא עודכנו מזה זמן רב, ואינה מהווה שרשרת הדבקה מרכזית. ההדבקה בכל השרשראות מתבצעת בפורמט רב שלבי, המתחיל מביצוע בדיקת איכות ובחינת קיומם של מוצרי אבטחה וקצירת סיסמאות על מחשב הקורבן. בשלב השני מודבק המחשב בכלי עצמו. נכון לרגע זה, זהות המערך או שיוכו אינם ידועים.
דליפת מידע ענקית מחנות האופנה הפולנית BrandBQ
החנות, הפועלת בעיקר בפורמט מקוון אך גם באמצעות חנויות פיזיות, נפלה קורבן לתקיפת סייבר בה נחשף מידע אישי של כ-6.7 מיליון לקוחות ממדינות מזרח אירופה. המידע שנחשף כולל שמות פרטיים, כתובות מגורים, כתובות אימייל ופרטים אודות תשלומים שבוצעו (ללא פרטי כרטיסי אשראי). למרות שעיקר הדלף כלל מסמכים מסווגים הנוגעים לחנויות להן מספקת החברה מוצרים, נחשפו גם מספרי אשראי של החנויות הללו, דרכי תשלום, אנשי קשר ועוד. לא ברור באיזו דרך נחשף מאגר המידע, אך נכון לעכשיו הוא מאובטח.
נמצאה דרך חדשה לניצול חולשת ZeroLogon
החולשה, שפורסמה בעדכון התוכנה של Microsoft לחודש אוגוסט, ממשיכה לצבור תאוצה, כשהיא משמשת תוקפים בצורות שונות ומגוונות. בעוד שאופן הניצול ה״קלאסי״ של חולשה זו מאפשר לשנות את סיסמת הגישה ל-DC למחרוזת ריקה, ובכך לבצע פעולות בהרשאות הגבוהות ביותר בדומיין, בינתיים התגלו דרכים נוספות לניצול החולשה, הפעם באמצעות פרוטוקול ה-NTLM. כפי שצויין בעבר, ציון החומרה של החולשה הוא 10.0 CVSS, והיא מאפשרת השתלטות מלאה על דומיין הארגון.
אנו ממליצים להטמיע בהקדם האפשרי את העדכון האחרון ל-Windows
מתקפת סייבר על חברת השעונים Swatch
לדבריה של החברה השווייצרית, התקיפה שהתרחשה בסוף השבוע האחרון כוונה אל רשתות הארגון ומוגרה על אנשי ה-IT שלה, שאף התקינו על הרשת אמצעי מניעה כנגד מתקפות דומות בעתיד. בעוד ש-Swatch אינה חושפת את מהות התקיפה, ההערכה היא כי מדובר במתקפת כופרה.
אנו ממליצים לחצות את רשת הארגון לוגית, להטמיע פתרונות הגנה על אמצעי התקשורת באימייל ועל עמדות הקצה של ארגונכם, ולוודא שסיסמאות האדמינים המקומיים בעמדות הקצה יהיו שונות ממחשב למחשב. כל האמצעים הללו נועדו למנוע התפשטות של תוכנת כופרה.
קבוצת התקיפה APT-C-23 עדכנה את נוזקת הריגול שלה ל-Android
הגרסה החדשה של הנוזקה Android/SpyC23.A זוהתה ופורסמה על ידי חברת ESET. קבוצת התקיפה APT-C-23, הידועה גם בשם ״עקרב דו-זנבי״ (Two-tailed Scorpion), פועלת בעיקר במזרח התיכון ומפיצה את תוכנת הריגול שלה באמצעות אפליקציות מזויפות, המועלות לחנויות אפליקציות שאינן רשמיות.
אנו ממליצים שלא להוריד אפליקציות מחנויות לא מוכרות או אפליקציות ״פרוצות״ המבטיחות לספק בחינם שירותים של אפליקציות בתשלום.
עליה במתקפות הכופר
רשת בתי החולים UHS הותקפה באמצעות כופרת Ryuk
רשת השירותים הרפואיים, המתפעלת יותר מ-400 בתי חולים ברחבי ארה״ב, דיווחה כי מערכות השייכות למוסדות הארגון הושבתו בעקבות תקיפה שהתרחשה ב-27 בספטמבר. על פי דיווחים של עובדי UHS, אין גישה למחשבי הארגון ולמערכות הטלפוניות שלו במדינות קליפורניה, טקסס, וושינגטון ואריזונה. עוד דווח כי המקפה גבתה את חייהם של ארבעה מטופלים, זאת בשל גישה לקויה לתוצאות מעבדה קריטיות. בתוך כך, חוקר אבטחת המידע ויטאלי קרמז דיווח ל-BleepingComputer כי מתקפת הכופר בוצעה באמצעות הודעת פישינג.
חברת הספנות CMA CGM נתונה במתקפת כופרה
בבוקר ה-28 בספטמבר דיווחה החברה הצרפתית כי הגישה החיצונית לאפליקציות ה-IT שלה אינה זמינה, וכי לשם ביצוע הזמנות חדשות יש ליצור קשר עם סוכנויות החברה ברחבי העולם. מאוחר יותר באותו יום אישר סגן נשיא החברה כי היא נתונה תחת מתקפת סייבר. מאז פרסמה CMA CGM מספר הצהרות שנועדו להרגעת הציבור, ובהן פרטה כיצד היא פועלת למניעת התפשטות הנוזקה ולחקירת התקיפה. ממקורות שונים עולה כי התקיפה השפיעה על פעילות החברה באסיה ובאוסטרליה. לפי הודעת הכופר שהופיעה במחשבי החברה, הנוזקה שבה נעשה שימוש במתקפה היא Ragnar Locker, אשר זוהתה לראשונה בסוף 2019. נוזקת כופרה זו פוגעת במכשירים מבוססי מערכת ההפעלה Windows והיא מתאפיינת, בין היתר, בניצול לרעה של תוכנת ניהול מרחוק ובהקמת מכונות וירטואליות על המכשירים הנתקפים, כדי להימנע מאיתורה על ידי אמצעי הגנה. זאת ועוד, הקבוצה המזוהה כמפעילת הנוזקה ידועה ככזו הנוהגת להדליף מידע במקרים שבהם הדרישה לתשלום כופר נתקלת בסירוב מצד הקורבן. מבדיקה שבצעה ״קונפידס״ ב-29 בספטמבר עלה כי נכון לאותה שעה לא פורסם בעמוד ההדלפות של הקבוצה מידע השייך ל-CMA CGM.
מתקפת סייבר על חברת השעונים Swatch
לדבריה של החברה השווייצרית, התקיפה שהתרחשה בסוף השבוע האחרון כוונה אל רשתות הארגון ומוגרה על אנשי ה-IT שלה, שאף התקינו על הרשת אמצעי מניעה כנגד מתקפות דומות בעתיד. בעוד ש-Swatch אינה חושפת את מהות התקיפה, ההערכה היא כי מדובר במתקפת כופרה.
אנו ממליצים לחצות את רשת הארגון לוגית, להטמיע פתרונות הגנה על אמצעי התקשורת באימייל ועל עמדות הקצה של ארגונכם, ולוודא שסיסמאות האדמינים המקומיים בעמדות הקצה יהיו שונות ממחשב למחשב. כל האמצעים הללו נועדו למנוע התפשטות של תוכנת כופרה.
חברת הלוגיסטיקה GEFCO נפלה קורבן למתקפת סייבר
חברת השילוח הבינלאומי הצרפתית פרסמה באתר האינטרנט שלה הצהרה רשמית, בה היא מאשרת כי ב-20 בספטמבר חוותה מתקפת סייבר. נכון לרגע זה לא ידועים פרטים נוספים אודות המתקפה, אך נראה כי פעילות החברה בים ובאוויר לא נפגעו כתוצאה ממנה. מ-GEFCO נמסר כי אנשי אבטחת המידע וה-IT של החברה עומלים כעת על פתרון הבעיה. מתקפה זו מגיעה על רקע מגמה הולכת וגוברת של תקיפות סייבר המכוונות אל ענף הלוגיסטיקה.
מפתחי תוכנת הכופרה REvil מפקידים 99 מטבעות ביטקוין בפורום האקרים רוסי
ההפקדה, שבוצעה לתוך ארנק וירטואלי השייך לפורום, נועדה לגיוס האקרים נוספים שיפיצו את תוכנת הכופרה בקרב חברות ברחבי העולם. להאקרים שיצטרפו למאמץ מובטחים 80% מדמי הכופר שישולמו על ידי הקורבנות, בעוד שה-20% הנותרים יועברו למפתחי הכופרה. ההפקדה, שערכה מקביל לכמיליון דולר, נועדה להפגין בפני חברי הפורום את רצינות כוונותיהם של מפתחי REvil.
דרישות תשלום הכופר נמצאות במגמת עלייה
הניתוח המקיף שפרסם בשבוע החולף צוות המחקר, כולל מבט מעמיק על כלי ההצפנה העיקריים עימם התמודד וגזירת מסקנות על סמך התפלגות התקיפות (על פי חלוקה לחודשים) ואיכות האירועים עצמם. המסקנות העיקריות העולות מהדוח: (א) הסכומים הנקובים בדרישות תשלום הכופר נמצאים במגמת עלייה. סכום הכופר הגדול ביותר שנדרש עד כה עמד על כ-40 מיליון דולר. (ב) פעולות באמצעות הכלי Sodinokibi מהוות שליש מכלל המתקפות להן הגיב הצוות, מה שהופך אותו לכלי הפופולרי ביותר נכון לרגע זה. (ג) התוקפים עברו שינוי תפיסתי והחלו לטרגט אוניברסיטאות ובתי ספר. מוסדות אלה הפכו למטרה נפוצה בעקבות המעבר ללמידה מרחוק. (ד) 41% מכלל תקיפות הכופרה שנותחו התבצעו ברשתות בעלות אופי תפעולי (OT network), המכילות מערכות פיקוד ובקרה. הדוח מסתיים בהמלצות הבאות למניעת הדבקות בכופרה: (א) להחזיק גיבויים אופליין של מידע ערכי. (ב) להשמיש פתרונות UBA הנעזרים בסטטיסטיקה וניתוח התנהגות משתמשים לצורך זיהוי חריגות ואירועי סייבר. (ג) להשמיש Multi Factor Authentication בכל עמדות הקצה. פעולה זו היא קריטית לצורך התגוננות מפני כופרות. (ד) לבצע Pentesting לזיהוי מערכות ואפליקציות מוחלשות בארגון.
מתקפת כופרה על ענקית הביטוח וניהול הסיכונים Gallagher
בדוח ה-8-K שהגישה לבורסה האמריקאית [(U.S. Securities and Exchange Commission (SEC], דיווחה החברה שב-26 בספטמבר זיהתה כי היא נתונה במתקפת סייבר מסוג כופרה, אשר השפיעה על חלק ממערכותיה הפנים ארגוניות. כאמצעי הגנה, החברה ניתקה את כלל מערכותיה הגלובליות מהרשת, הפעילה נהלי תגובה ותכניות רלוונטיות להמשכיות עסקית והחלה בחקירת האירוע באמצעות שירותיהם של מומחי אבטחת מידע ופורנזיקה חיצוניים. החברה נמצאת כעת בעיצומו של תהליך שיקום מערכות, זאת במקביל למאמצים לעמוד על היקף האירוע. טרם נשללה האפשרות של גניבת, ניצול לרעה או השחתת מידע במהלך התקיפה. כמו כן, החברה דיווחה כי אינה צופה שהאירוע יגרום נזק מהותי לעסקיה ולאופרציה שלה. בתוך כך, על פי דיווח של Bad Packets ל-BleepingComputer, לפני תקיפת הכופרה עשתה חברת Gallagher שימוש בשני שרתים הפגיעים לחולשה המאפשרת הרצת קוד מרחוק (CVE-2020-5902).
גוברות מתקפות הכופר על מוצרי אחסון של QNAP
על פי דיווחי החברה, נמשך גל המתקפות על מוצרי ה-NAS, במהלכן מצפינים התוקפים את תכני האחסון החיצוני. התקיפה מתבצעת באמצעות סריקה אחר מוצרי QNAP NAS הפתוחים לאינטרנט, ואשר שירות ה-Photo Station שלהם אינו מעודכן.
אנחנו ממליצים לבעלי QNAP Storage לבצע עדכון לגרסה האחרונה של מוצרי ה-QNAP NAS שברשותם.
סייבר בישראל
מערך הסייבר הלאומי מזהיר מפני עלייה בניסיונות לתקיפות כופרה
בראיון ל״כלכליסט״ מנה רפאל פרנקו, ראש מכלול עמידות במערך הסייבר הלאומי, מספר בקרות אבטחה שיש ליישם באופן שוטף לשם צמצום הסיכויים להיפגע ממתקפות כופר, הנמצאות במגמת עלייה משמעותית ברמה הגלובלית. האמצעים שבהם יש לנקוט הם שינוי סיסמאות, הטמעת אימות דו שלבי, עדכוני תוכנה וביצוע גיבויים בזמן. עוד ציין פרנקו כי רמת המודעות של אזרחי ישראל לאיומי סייבר מצויה במגמת שיפור, וכי נעשים מאמצים בלתי פוסקים לשימור מודעות זו.
מערך הסייבר הלאומי: ביטוח ככלי להפחתת איומי כופרה
בטיוטה שפרסם בנושא ״התמודדות לאומית עם איום הכופר״ מציג אגף תשתיות העמידות במערך הסייבר הלאומי את רעיון ביטוח הסייבר, ככלי שיסייע משמעותית להפחתת נזקי והסתברות איומי כופרה. הרעיון מבוסס על המחשבה ששיח בנושא בין חברות ביטוח לחברות טכנולוגיות עשוי לשנות את עולם ביטוחי הסייבר הנוכחי לכזה שיהיה כדאי ומשתלם יותר. הדבר נועד להרחיב את מעגל החברות החותמות על פוליסת ביטוח סייבר, ובכך להביא לצמצום משמעותי בנזקי הסייבר בכלל, ובנזקי איומי כופרה בפרט.
קול קורא להשתתפות בפרויקט בנושא תורת ההגנה בסייבר
מערך הסייבר החל בפיתוח גרסה חדשה לתורת ההגנה בסייבר לארגון, אשר פורסמה לראשונה ביוני 2017. במסגרת מאמצי ההתחדשות פונה הקול הקורא לארגונים המעוניינים להשתתף בפרויקט, השתתפות אשר תקנה להם ליווי מקצועי בביצוע סקר אבטחת מידע, הדרכה מתודולוגית פרטנית ותמיכה בהטמעתה בארגון. בקשות להשתתפות ניתן להגיש באמצעות כתובת הדוא"ל tora@cyber.gov.il, עד ל-15 באוקטובר 2020.
חברות בישראל מתעלמות מאזהרות מערך הסייבר הלאומי ונפרצות חברות התעלמו מההתרעה ונפרצו
עקב המעבר החד לעבודה מהבית, רכיבי VPN הפכו למוקד תקיפה נפוץ ונגיש לגורמים עוינים. בשל כך, ארגונים שאינם מתמידים בעדכון מוצרים אלה, נתונים בסיכון רב. למרות זאת, מערך הסייבר הלאומי מתריע כי ארגונים רבים בישראל טרם טיפלו בפרצת אבטחה חמורה שנתגלתה ברכיב VPN, ואשר שימשה כאחד מנתיבי הכניסה העיקריים לחדירה לארגונים בישראל למטרות גניבת מידע וכופרה. הפרצה התגלתה לאחר חקירה מאומצת של פעולות סייבר נגד ארגונים בישראל, שנמשכה כשנה.
אנו ממליצים לעדכן באופן שוטף את מערכות ה-VPN שברשותכם, על מנת לצמצם את הסיכוי שארגונכם יפול קורבן למתקפת סייבר.
סייבר בעולם
חוקר אבטחת מידע בכיר בחברת Avast פרץ למכונת קפה חכמה של iKettle, זאת מבלי לבצע פריצה לרשת או לנתבים. התקיפה מדגימה את הסכנה הטמונה ברכיבי IoT ואת העובדה שניתן לפרוץ אליהם ללא תלות ברשת אליה הם מחוברים. החוקר, אשר זיהה שברגע פתיחת המכונה היא מדליקה נקודת WiFi המנהלת תקשורת לא מאובטחת מול אפליקציה במכשיר אנדרואיד, ניתח את האפליקציה במחשבו ויצר סקריפט המזייף תהליך עדכון המתבצע באפליקציה. באופן זה הצליח לחדור להגדרות המכונה ולשתול בה הודעת כופר.
האקרים מתמקדים בשרשראות אספקה על מנת לפרוץ לחברות גדולות
במחקר שביצעה חברת אבטחת המידע BlueVoyant, נמצא כי לארגונים ישנם 1013 ספקים בממוצע. עוד העלה המחקר כי 82% מהפריצות המוצלחות שבוצעו בשנה האחרונה התאפשרו בשל כשל אבטחתי אצל ספקי הארגון הנפרץ. ההיגיון העומד מאחורי המיקוד בשרשראות אספקה נובע מכך שלחברות גדולות ישנה מודעות רבה יותר לסיכונים, ובכלל זה לסיכוני סייבר, ומשאבים נרחבים יותר ליצירת שכבות הגנה לארגון. כדי להתגבר על מכשול זה, האקרים מתמקדים במציאת חולשות בקרב הספקים, ודרכם משיגים גישה למערכות הארגון.
אנו ממליצים לבעלי עסקים למפות את הספקים הקריטיים עמם הם עובדים ולוודא שאופן התקשורת בין מערכות הארגון למערכות הספקים מתבצע בהתאם לסטנדרט האבטחה המקובל
האם הודלף קוד המקור של Windows XP?
בשבוע שעבר פורסמה ברשת תמונה של ההדלפה, לכאורה, באמצעות האתר 4chan, המשמש לפרסום תמונות ויצירת שיח אודותן באופן אנונימי. למרות שעוד ב-2014 הפסיקה חברת Microsoft לתמוך במערכת ההפעלה XP, מחשבי Windows XP עדיין מהווים 1.26% מכלל המחשבים המייצרים תעבורת רשת בעולם. אי לכך, הדלפת קוד המקור עלולה לחשוף חולשות רלוונטיות חדשות. מדובר חברת Microsoft נמסר לאתר Windows Central כי העניין מצוי בחקירה. הדלפה זו מגיעה לאחר שבחודש מאי השנה פורסם קוד המקור של ה-Xbox הראשון.
דוח של האינטרפול:עלייה מדאיגה במתקפות הסייבר בעקבות משבר הקורונה
מהערכה שביצע הארגון בנוגע להשפעת התפרצות המגפה על מתקפות סייבר, עולה כי תוקפים החלו להסיט את מיקוד התקיפות מאזרחים פרטיים וחברות קטנות לגופי ממשל, חברות ענק ותשתיות קריטיות. נראה כי תהליך ההצטיידות של חברות וגופים גדולים במטרה לתת מענה לעבודה אפקטיבית מהבית יצר כאוס אבטחתי בהטמעת סגנון העבודה החדש, ובכך פתח שלל הזדמנויות תקיפה חדשות. עוד עולה מהדוח כי קמפייני תקיפה המנצלים את הפחד וחוסר הוודאות האופפים את הקורונה מצויים במגמת עלייה, ובהם קמפייני פישינג המשתמשים בהתפרצות המחלה לשידול קורבנות ללחוץ על קישורים או על צרופות. בדוח מופיעה התפלגות כמותית של סוגי התקיפות, כאשר פישינג הוא צורת התקיפה הנפוצה ביותר, המשמשת ל-59% מכלל התקיפות, כופרות ונוזקות מצויות במקום השני ומהוות 36% מכלל התקיפות, דומיינים זדוניים הם צורת התקיפה ב-22% מהאירועים, ואילו 14% מהתקיפות מתבססות על מיסאינפורמציה. מן הדוח עולה הצפי הבא: (א) המשך עלייה בכמות המתקפות. (ב) המשך ניצול משבר הקורונה לקמפייני פישינג. (ג) עלייה בכמות מתקפות ה-Spear Phishing נגד גופים גדולים. (ד) מציאת חיסון לנגיף תוליד גל של מתקפות פישינג שיעסקו בנושא זה.
מתקפה עולמית על דומייני אימייל גובה יותר מ-15 מיליון דולר
חברת Mitiga חשפה קמפיין הונאה מבוסס פישינג (BEC - Business Email Compromise), במהלכו פרצו האקרים לחשבונות Office 365 של חברות ושמו ידיהם על התכתבויות הנוגעות להעברות כספים. ההאקרים העבירו מהדומיינים לאימייל חיצוני ובאופן אוטומטי התכתבויות הקשורות להעברות כספים, ובכך השיגו שקיפות מלאה בנוגע לתוכן ההתכתבויות בין החברות. זאת ועוד, התוקפים רכשו דומיינים הדומים לאלה של החברות שלחשבונותיהם פרצו, ובכך התאפשר להם לשלוח הודעות ערוכות ״בשמן״. באימייל האחרון בהתכתבות הועברו פרטי חשבונות, אותם ערכו התוקפים והעבירו לחברה המשלמת. לאחר ההעברה המוצלחת, המשיכו התוקפים והשתמשו בפילטרים הקיימים בדומייני האימייל של החברות, למניעת התקשרות ביניהן ולהגדלת פרק הזמן עד לחשיפת התרמית, שאפשרה גניבת מיליוני דולרים.
אנחנו ממליצים להפעיל אימות דו שלבי, פוליסת חוזק סיסמה ורענון סיסמה תדיר בחשבונות האימייל של הארגון. כמו כן, יש להגביר ערנות כאשר מדובר באימיילים הנוגעים להעברות כספים.
סייבר ופרטיות - רגולציה ותקינה
רשות הגנת הפרטיות בישראל: גילוי דעת בהמשך לפס"ד "שרמס 2"
פרסום גילוי הדעת על ידי הרשות מגיע בהמשך לפסק הדין "שרמס 2", אשר נקבע באמצע חודש יולי השנה בבית הדין האירופי לצדק (ראו הבלוג "גבולות נסגרים: גם לדאטה שלך"). גילוי הדעת, שפורסם השבוע, מנחה ארגונים ישראליים בכל הנוגע להשלכות פסק הדין. כזכור, קביעתו העיקרית של פסק הדין היתה פסילת הסדר ה-Privacy Shield להעברת מידע אישי בין האיחוד האירופי לארה"ב, זאת לאחר שבית הדין האירופי הכריע שהחקיקה האמריקאית אינה עומדת ברף ההגנה על מידע אישי הנדרש בדין האירופי, ובפרט בהוראות רגולציית ה-GDPR. כעת רשות הגנת הפרטיות מבהירה בגילוי הדעת כי קיים בישראל מנגנון דומה, הקובע תנאים מסוימים המגבילים את העברתו של מידע אישי אל מחוץ לישראל. מנגנון זה נקבע בתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה), תשס"א– 2001. על כן, על פי הפרסום האחרון, "עם ביטולו של הסדר ה-Privacy Shield [...], שבה הרשות ומבהירה כי לא ניתן להעביר מידע אישי מישראל אל ארה"ב בהסתמך על ההסדר שנקבע בתקנות העברת מידע", כיוון שארה"ב אינה עומדת בתנאים שנקבעו בתקנות אלה. עם זאת, בדומה להכרעת בית הדין האירופי לצדק, גילוי הדעת קובע כי "...אין מניעה להמשיך ולהעביר מידע מישראל לארה"ב, בהסתמך על שאר החריגים המנויים בסעיפי המשנה של תקנה 2 לתקנות העברת מידע, כאשר הם רלבנטיים".
הודעה פומבית שנייה של ה-FBI לציבור הבוחרים בארה"ב: מסוכן להסתמך על מידע כוזב בנוגע לפריצות למערכת הבחירות בארה"ב
בהודעה פומבית שמסרו ב-28 בספטמבר, הזהירו ה-FBI ו-CISA כי על הציבור האמריקאי להימנע מהסתמכות על מידע כוזב המתפרסם באינטרנט, בו נטען כי מתבצעות, לכאורה, תקיפות סייבר על מערכת הבחירות הלאומית. זוהי הודעתן השנייה של שתי הרשויות במטרה להגביר את המודעות הציבורית בארה"ב ליוזמות דיסאינפורמציה של גורמים עויניים, הטומנות בחובן סיכונים רבים, ולהמליץ על צעדים שבהם ניתן לנקוט לבחינת מהימנות הידיעות הנוגעות למערכת הבחירות. בתוך כך, ה-FBI הקים דף מידע מיוחד, המכיל הסברים אודות פשע מקוון בנוגע למערכת הבחירות.
הודו מקדמת תוכנית לאומית שתרכז מידע אישי ובריאותי של כל אזרחיה
המדיניות הלאומית החדשה שמקדמת ממשלת הודו נועדה לריכוז כל המידע הבריאותי של 1.3 מיליארד אזרחיה במערכת דיגיטלית אחת. מדיניות זו תיושם במסגרת ה-National Digital Health Mission, ותתבצע בשלב הראשון על בסיס התנדבותי. מטרת היוזמה היא לאפשר נגישות מרבית של אזרחי המדינה לשירותים רפואיים, ולאסוף מידע בריאותי הרלוונטי לשיפור רמת הבריאות הציבורית בהודו. התכנית נמצאת כעת בשלבי גיבוש לקראת פריסתה בכל רחבי המדינה, אך 100,000 תעודות Health ID כבר הונפקו במסגרתה בשישה מחוזות. המדיניות החדשה מעוררת מחלוקת ציבורית בשל העדר הסדרה של דיני הגנת הפרטיות של המידע האישי בהודו, בדומה לתגובה שעוררה ב-2014 היוזמה ההודית להשקת תעודת זהות ביומטרית המכונה Aadhaar.
ארגון ה-UNCTAD מפרסם פלטפורמה להשוואה בין דיני הפשע המקוון של מדינות שונות
המשאב ההשוואתי העולמי שפיתח ארגון ה-UNCTAD (United Nations Conference on Trade and (Development, הפועל תחת חסותו של האו"ם, כולל 154 מדינות (79% ממדינות העולם) שעל פי ניתוח שערך הארגון כבר אימצו חקיקה בתחום. חלק מההבדלים הקיימים בחקיקה נגד פשע מקוון נובעים משוני אזורי וכלכלי, כאשר ישנן מדינות אשר טרם בצעו כל התקדמות בתהליך החקיקתי בתחום זה.
פרלמנט האיחוד האירופי מצביע בעד הסדרת שירותים דיגיטליים
ב-28 בספטמבר הצביעו חברי הפרלמנט בעד אימוץ דוח המשרטט קווי יסוד לחקיקה כלל-אירופית בעניין הספקת שירותים דיגיטליים, ה-Digital Services Act. הדוח מדגיש את הצורך בחידוש ההסדרה בתחום, אשר נשען כעת על ה-e-Commerce Directive משנת 2000. על פי ממצאי הדוח שאומץ, ההסדרה האירופית החדשה תתייחס לצורך בשקיפות של מוכרים מול צרכנים, לכללי הגנת הצרכן, לשימוש בבינה מלאכותית כחלק מתהליכי השיווק והמכירה ולהסרת תכנים בלתי-חוקיים מפלטפורמות מכירה מקוונות. ההצעה לרגולציה החדשה צפויה להתגבש עד סוף 2020.
"פערים משמעותיים" בדרך בה מפלגות מיישמות את הוראות דיני הגנת הפרטיות בישראל
ממצאי הדוח (ששמו המלא "ממצאי הליך פיקוח הרוחב בקרב המפלגות שהתמודדו לבחירות הכלליות לכנסת ה-23"), מצביעים על "פערים משמעותיים" בדרך בה מפלגות מיישמות את הוראות דיני הגנת הפרטיות בישראל. באופן מיוחד, מתקיימת בקרב מפלגות בישראל פרקטיקה של איסוף מידע אישי של נושאי מידע ללא הסכמתם והעברת מידע זה ביניהן, ביחד עם אינדיקציה אודות הנטיות הפוליטיות של נושאי המידע. הרשות קובעת כי התנהלות זו מהווה "הפרה של הוראות חוק הגנת הפרטיות". פילוח ההפרות מופיע בתרשים להלן.
דו"ח ממצאי הליך פיקוח הרוחב בקרב המפלגות שהתמודדו לבחירות הכלליות לכנסת ה- 23, 30.9.2020
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, אלי שמי, רוני עזורי, עמית מוזס, רז ראש, רם דודש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.