דו״ח סייבר שבועי
עדכון שבועי 30.07.2020
עיקרי הדברים
-
חולשה אבטחה חמורה באתר ההיכרויות OkCupid.
-
רשות הגנת הפרטיות בישראל הגישה את תזכיר חוק הגנת הפרטיות.
-
נציגים ממשטרת ישראל ישתתפו ב-webinar של Konfidas ו-ISACA בנושא כופרה.
-
קבוצת תקיפה המגובה על ידי ממשלת סין תוקפת את הוותיקן וארגונים קתוליים.
-
אנו ממליצים לעדכון את המוצרים הבאים: תוכנות Adaptive Security Appliance ו-Firepower Threat Defense של סיסקו, Citrix Workspace , דפדפן כרום של גוגל, פלאגין wpDiscuz של Wordpress, דפדפני Firefox של Mozilla ו- Adobe Magento והגדרות של Kubernetes.
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
חולשה בשתי תוכנות של Cisco
חולשה חמורה בשירות Citrix Workspace עלולה להוביל להשתלטות על תחנת קצה
עדכון אבטחה ל- Google Chrome Browser
חולשה קריטית התגלתה בפלאגין נפוץ בפלטפורמת WordPress
עדכוני אבטחה חדשים למוצרי Mozilla
עדכוני אבטחה חדשים למוצרי Magento
חולשה חמורה התגלתה בסביבת Kubernetes
התקפות ואיומים
Garmin הושבתה עקב מתקפת כופרה
פרטיהם של 7.5 מיליון משתמשי Dave נגנבו והתפרסמו בפורומי האקרים
מתקפת פישינג כנגד משתמשי Windows Active Directory ו-Microsoft 365
קמפיין התחזות נרחב מנסה לקדם אינטרסים רוסיים
נוזקת Doki מטרגטת שרתי Linux ו-Dockers בסביבות ענן
חולשה אבטחה חמורה באתר ההיכרויות OkCupid
בעיית פרטיות באפליקציית DJI GO 4 המותקנת על מכשירי אנדרואיד
סייבר בישראל
נציגים ממשטרת ישראל ישתתפו ב-webinar של Konfidas ו-ISACA בנושא כופרה
חברת Mitiga גייסה 7 מיליון דולר
מערך הסייבר הלאומי מפרסם מסמך המרכז את האיומים הקיימים בחיבור מרחוק
נחשפה דליפת נתונים מסוכנות ביטוח ישראלית גדולה
הרחבת שיתוף הפעולה בתחום הסייבר בין ישראל להודו
רשימת הקניות המקוונת של גולשי ״שופרסל״ ו-Be חשופה כמעט לכל גולש
מערך הסייבר הלאומי זיהה מתקפה על חברת MSSP ישראלית
סייבר בעולם
ה-NSA ו-CISA מפרסמות המלצות להתמודדות מול התקפות על תשתיות קריטיות
NoMoreRansom חוגג 4 שנים
קוד מקור של עשרות מסדי נתונים של חברות דלף לרשת
ב-FBI מזהירים מפני תוכנות סיניות לניהול מס המכילות פוגענים
קבוצת תקיפה המגובה על ידי ממשלת סין מטרגטת את הוותיקן וארגונים קתוליים
סייבר ופרטיות - רגולציה ותקינה
רשות הגנת הפרטיות בישראל הגישה את תזכיר חוק הגנת הפרטיות
חקירת ענקי הטק בבית הנבחרים: ביקורת קשה על ההתנהלות העסקית של אמאזון, אפל, אלפאבית ופייסבוק
המשך הסערה סביב פס"ד שרמס 2: לא תהיה תקופת "גרייס" לחברות אמריקאיות
אכיפה ראשונה של הנחיות הסייבר של מדינת ניו יורק: חברת המשכנתאות First American לא סיפקה הגנות סייבר למידע פיננסי
תקן חדש של ה-ITU וה-ISO מקדם את הדור הבא של יישומי וידאו
כנסים
הציטוט השבועי
״אני מאמין שחברות לא צריכות להכריע בעצמן בכל כך הרבה נושאים חשובים, כמו תוכן מזיק, פרטיות וניהול תקין של מערכות בחירות. לכן, אני תומך בכך שלממשלות ולרגולטורים יהיה תפקיד פעיל יותר, ובקיומם של כללים מעודכנים לניהול האינטרנט. אם נעשה זאת נכון, נוכל לשמר את הדבר המוצלח ביותר בטכנולוגיה הזו - החופש של אנשים להתחבר ולהביע את עצמם, ושל יזמים לבנות דברים חדשים, תוך כדי הגנה על החברה מפני פגיעות רחבות יותר.״
מארק צוקרברג, מייסד ומנכ"ל פייסבוק,
בנייר עמדה שהוגש לוועדת ההגבלים
העסקיים של בית הנבחרים בארה"ב
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
החברה פרסמה עדכון אבטחה לחולשה בתוכנות Adaptive Security Appliance ו-Firepower Threat Defense. החולשה, אשר מדורגת בדרגת חומרה CVSS 7.5, עלולה לאפשר לתוקף בעל התקשרות לא מאומתת לקבל גישה לקבצים במערכת הנגועה, ואף לקרוא אותם.
מומלץ לעדכן אותן לגרסאותיהן האחרונות.
חולשה חמורה בשירות Citrix Workspace עלולה להוביל להשתלטות על תחנת קצה
השבוע דיווחה החברה ללקוחותיה על עדכון תוכנה ל-Workspace App עבור תחנות Windows, אשר מטרתו לסגור פרצת אבטחה שעשויה לאפשר העלאת הרשאות ליוזר רגיל בעמדה, או - במידה וה-Windows file sharing - SMB פתוח - מתקפה העלולה להסתיים בהשתלטות על עמדת קצה. יש להדגיש כי במצב בו ה-SMB דורש אותנטיקציה, ללא ביצועה אין אפשרות להוציא את המתקפה אל הפועל. החולשה סווגה בדרגת חומרה גבוהה (CVSS 8.8).
מומלץ לבצע עדכון תוכנה לגרסאות Citrix Workspace App 2006.1 ו-Citrix Workspace App 1912 LTSR CU1 או מאוחרות יותר. מזהה החולשה הוא CVE-2020-8207.
עדכון אבטחה ל- Google Chrome Browser
ביום שני ה-27 ביולי פרסמה Google את עדכון האבטחה 84.0.4147.105 לדפדפן Chrome, הפותר 8 חולשות אבטחה, 6 מהן ברמת חומרה גבוהה. עוד מסרה החברה כי פרטי החולשות יפורסמו לאחר שרוב המשתמשים יעדכנו את גרסת הדפדפן. לפי CIS, החולשות שנמצאו מאפשרות לתוקף להריץ קוד בשם הדפדפן, ולקרוא, לערוך ולמחוק קבצים במערכת, בהתאם להרשאות הדפדפן.
חולשה קריטית התגלתה בפלאגין נפוץ בפלטפורמת WordPress
קבוצת המודיעין של Wordfence דיווחה השבוע על חולשה קריטית שמצאה בפלאגין wpDiscuz, המאפשרת העלאת קבצים זדוניים לשרת כחלק ממעקף פונקציית אימות סוג הקובץ.
הפלאגין המדובר מאפשר תקשורת Hypertext בתגובות הגולשים באתר, והחולשה התגלתה לאחר ששוחרר עדכון שמטרתו לאפשר העלאת תמונות כתגובה. החולשה רלוונטית לגרסאות wpDiscuz 7.0.0-7.0.4 וסווגה בדרגת החומרה הגבוהה ביותר, CVSS 10.0, כחולשה קריטית. לפני כחודשיים חוו אתרים ישראלים מבוססי WordPress מתקפת השחתה רחבה, מה שמגביר עבורם את הסיכון להיפגע מהחולשה. על מנת להתחסן מפניה, יש לעדכן את גרסת התוסף ל-7.0.5 wpDiscuz.
עדכוני אבטחה חדשים למוצרי Mozilla
ביום שלישי ה-28 ביולי פרסמה החברה מספר עדכוני אבטחה למוצרים הבאים: Firefox, Firefox ESR, ו-Thunderbird. ניצול החולשות שהתגלו במוצרים אלה עלול להוביל לעקיפת מנגנון CORS (דרך להעברת מידע בין שני דומיינים), ובכך לאפשר גניבת מידע תוך כדי תהליך העברתו, הדלפת סיסמאות בדומיין אליו מחובר באותו רגע המשתמש, הורדת קבצים ללא שליטת המשתמש ועוד. טרם צוינה דרגת החומרה (ה-CVSS) של החולשות, אך כמה מהן כבר קוטלגו ברמת חומרה גבוהה.
במידה ונעשה בארגון שימוש במוצרים הללו, אנו ממליצים לעדכנם לגרסאותיהם האחרונות, בהתאם להנחיות החברה.
עדכוני אבטחה חדשים למוצרי Magento
ביום שלישי ה-28 ביולי פרסמה חברת Adobe עדכוני אבטחה חדשים לשניים ממוצריה, Magento Commerce 2 ו- Magento Open Source 2. העדכונים, Magento 2.4.0 ועדכון האבטחה 2.3.5-p2, נותנים מענה לארבע חולשות אבטחה חשובות וקריטיות לפי הגדרת החברה, אשר ניצולן עלול להוביל להרצת קוד זדוני ולעקיפת מנגנון אימות החתימה. החולשות להן ניתן מענה במסגרת עדכונים אלה הן CVE-2020-9689, CVE-2020-9690, CVE-2020-9691, ו-CVE-2020-9692.
חולשה חמורה התגלתה בסביבת Kubernetes
בעיית האבטחה, שעל קיומה פורסם לאחרונה, גרמה לחשיפת שירותים פנימיים של Kubernetes Nodes, ללא ביצוע אותנטיקציה בגישה אל אותם שרתים. בסביבות מסוימות של קונטיינרים, החולשה עלולה להוביל לחשיפת ה-API-server ולביצוע השתלטות על הקלאסטר כולו על ידי תוקפים, כל זאת ללא צורך בהזדהות. החולשה קיבלה ציוני CVSS שונים - ״מבינונית״ ועד ״גבוהה״, וזאת משום שדירוג החולשה תלוי במבנה הסביבה, המשפיע על יכולת הניצול של שירותי ה-Kubernetes Nodes. החולשה רלוונטית לגרסאות v1.18.4, v1.17.7, ו-v1.16.11 של Kubernetes Cluster. מכיוון שהתקיפות מבוצעות מבחוץ על Nodes פנימיים, ניתן להתחסן כנגד החולשה באמצעות יישום הגדרה פשוטה: קביעת תצורה נכונה של ״הפלת״ תעבורת מידע המגיעה מבחוץ אל 127.0.0.1 Localhost.
התקפות ואיומים
Garmin הושבתה עקב מתקפת כופרה
ב-23 ביולי כיבתה חברת השעונים החכמים והמחשוב הלביש את שירותיה, כתוצאה ממתקפת כופרה בשם WastedLocker. במתקפה הוצפנו הרשת הפנימית של החברה ומספר מערכות נוספות, כאשר בעבור פענוח ההצפנה נדרשו דמי כופר בסך 10 מיליון דולר. בחשבון הטוויטר של החברה פורסם כי בשל המתקפה הושבתה מרכזיית השיחות של Garmin, באופן שלא אפשר קבלת שיחות טלפון וקיום תקשורת במיילים ובצ׳טים. זאת ועוד, מדיווחים של טייסים ל-ZDNet, נראה שגם אפליקציות ניווט התעופה של החברה לא היו זמינות. ב-30 ביולי מסרה החברה כי רבים משירותיה שבו לפעילות תקינה, חלקם במתכונת שאינה מלאה, וכי עדיין קיימים שירותים שאינם פעילים. לסטטוס עדכני של שירותי Garmin Connect, היכנסו ללינק זה.
פרטיהם של 7.5 מיליון משתמשי Dave נגנבו והתפרסמו בפורומי האקרים
פריצת סייבר למאגר מידע של חברת ה-FinTech האמריקאית, המספקת שירותי מתן מקדמה במזומן והגנה מפני משיכת יתר, הובילה לגניבת מידע אישי של 7.5 מיליון משתמשים. חברת Dave נפגעה כתוצאה בתיפקה של שרשרת האספקה, כאשר חברת Waydev, שהייתה בעבר ספקית צד שלישי שלה, נפלה קורבן למתקפת סייבר. עם זאת, מוקדם יותר החודש חברת מודיעין הסייבר Cyble התריעה בפני Dave כי קיים עניין במאגר המידע הספציפי בפורום הנמצא בשימוש האקרים. לפי הצהרת החברה, לא נגנב באירוע מידע פיננסי, אך נגנבו סיסמאות מוצפנות של משתמשים ומידע אישי, הכולל שמות, תאריכי לידה, כתובות מגורים, כתובות אימייל, מספרי טלפון ומספרי ביטוח לאומי אמריקאים מוצפנים. המידע הגנוב נמכר תחילה במכירה פומבית, ולאחר מכן פורסם בפורומי האקרים בחינם. התקרית דווחה לרשויות, בהן ה-FBI, וחברת Dave נוקטת בצעדים לחזרה בטוחה ומהירה לשימוש שגרתי בשירותיה. בין היתר, החברה החליפה סיסמאות לכלל משתמשיה. במידה ונעשה שימוש באותה סיסמה עבור שירותים אחרים, על המשתמשים להחליפה כליל, כדי למנוע פריצות נוספות.
מתקפת פישינג כנגד משתמשי Windows Active Directory ו-Microsoft 365
אתר הטכנולוגיה Bleeping Computer פרסם כי ישנו גל של מתקפות פישינג המכוונת לחברות אשר משתמשות ב-Microsoft 365 או ב-Windows Active Directory. מייל הפישינג מדמה נוטיפיקציות מהשירות Sharepoint, ומכיל בתוכו את שם החברה אליה נשלח המייל, וזאת על מנת לשפר את אמינותו. בעת לחיצה על קישור המצורף למייל, המשתמש מופנה לאתר נחיתה מזויף של מיקרוסופט, בו עליו להזין את פרטי המשתמש והסיסמה. בווריאציה נוספת של הקמפיין, הלחיצה על הקישור מביאה להורדת קובץ pdf, המכיל בתוכו קישור שמפנה את המשתמש לאותו דף נחיתה זדוני.
אנו ממליצים לכל הארגונים המשתמשים במערכות אלה להגביר ערנות, לנהוג בזהירות בעת לחיצה על קישורים ובנוגע להורדת צרופות ממיילים המתקבלים בתיבת הדואר האלקטרוני.
קמפיין התחזות נרחב מנסה לקדם אינטרסים רוסיים
צוות איסוף המודיעין של חברת Mandiant קשר מספר ממצאים לקמפיין רחב יותר, הפועל ממרץ 2017 באתרים בליטא, בלטביה ובפולין, במטרה להשפיע על קהלים במדינות הללו לישר קו עם אינטרסים ביטחוניים רוסיים. במסגרת הקמפיין הפיצו הגורמים הזדוניים תוכן מפוברק, כולל זיוף התכתבויות בין גורמים צבאיים, כל זאת באמצעות חשבונות שנפרצו או דלפו וכתובות מייל מזויפות. לקמפיין הוענק השם ״Ghostwriter״, מאחר והוא עושה שימוש בהתחזות למקומיים, ובכלל זה לעיתונאים ולאנליסטים, במדינות המשמשות מטרה לקמפיין.
נוזקת Doki מטרגטת שרתי Linux ו-Dockers בסביבות ענןמאז זיהויה הראשוני בינואר 2020, לא אותרה הנוזקה על ידי אף מנוע זיהוי נוזקות מבין 60 המנועים הקיימים ב-Virustotal. נוזקת Doki מכוונת ל-Docker-ים בסביבות ענן שאינם מוגדרים כראוי, והיא מתבססת על סריקת פורטים פתוחים לגישת Docker API. כאשר Doki מזהה כאלה, היא מריצה על גבי תשתית הקורבן נוזקות, ומשיגה גישה לרכיבי תשתית נוספים שלו.
לזיהוי ומניעת תקיפה זו, אנו ממליצים להטמיע במערכות הניטור את המזהים המופיעים בקישור לדוח החקירה.
חולשה אבטחה חמורה באתר ההיכרויות OkCupid
חברת CheckPoint הישראלית חשפה באתר חולשה חמורה המאפשרת הרצת Cross-Site Scripting- XSS, דבר אשר בתורו מאפשר לתוקף גישה לכל פרטיו האישיים של הקורבן, בהם העדפות אישיות, כתובות מייל ואף הודעות. על מנת לנצל את החולשה, התוקף שולח לקורבן קישור, ועם פתיחתו ״מזריק״ קוד JavaScript זדוני, אשר מביא לכך שכל המידע של הקורבן מועבר לידיו. חברת CheckPoint הודיעה ל- OkCupid על החולשה וזו טופלה ע״י החברה באופן מיידי. OkCupid הודתה ל- CheckPoint על גילוי החולשה והוסיפה כי אף משתמש לא ניזוק מהחולשה שנחשפה.
בעיית פרטיות באפליקציית DJI GO 4 המותקנת על מכשירי אנדרואיד
חוקרים של החברות Synacktiv ו-GRIMM מדווחים על איום אפשרי לפרטיות משתמשי האפליקציה במכשירי אנדרואיד, הנובע מתכונות חשודות, למשל העובדה שהאפליקציה פועלת על המכשיר ברקע גם כשאינה בשימוש, או קיומן של טכניקות נוגדות-אנליזה באפליקציה, דבר שהשימוש בו אינו מקובל באפליקציות ובערכות לפיתוח תוכנה מסוג זה (ערכת SDK). לטענת החוקרים, ייתכן שתכונות אלה ואחרות מאפשרות לחברות DJI ו-Weibo, העומדות מאחורי ערכת הפיתוח, לגשת למידע אישי של המשתמשים, ובכך מעמידות את המשתמשים בסיכון. חברת DJI הכחישה את הטענות לפיהן נעשה שימוש לרעה בתכונות האפליקציה, וטענה כי מדובר במאפיינים טכנולוגיים שמטרתם להבטיח שימוש אופטימלי באפליקציה ושימוש בגרסתה העדכנית ביותר.
סייבר בישראל
נציגים ממשטרת ישראל ישתתפו ב-webinar של Konfidas ו-ISACA בנושא כופרה
ביום רביעי, ה-5 באוגוסט, Konfidas תקיים webinar בשיתוף ISACA בנושא מתקפות כופרה, ששכיחותן וחומרתן עלתה בשנים האחרונות (Garmin, Honda ו-Travelex הן רק דוגמאות ספורות לכך). על המומחים שיקחו חלק באירוע נמנים שני דוברים מטעם משטרת ישראל, רפ"ק אלעד (בילי) בליבאום, מפקד יחידת הסייבר הארצית בלהב 433, ורפ"ק גלעד בנט, ראש מדור אסטרטגיה ומדיניות בחטיבת הסייבר סיגנט, שידברו על זווית האכיפה והעבודה מול גורמי החוק בגזרת תקיפות הכופרה. מומחים נוספים שישתתפו באירוע הם רננה פרידריך, דירקטורית וראשת תחום הגנת סייבר גלובלי, PayPal; מוטי קריסטל, מומחה למשא ומתן במצבי משבר, Nest Consulting; עו״ד סיגל שלימוף, נציגת ״לוידס״ בישראל ושותפה מייסדת ב״גרוס, אורעד, שלימוף ושות׳״; ברק ג׳אן, ראש תחום ביקורת סייבר, אגף הביקורת הפנימית, בנק דיסקונט; יובל שגב, ראש מרכז מתודולוגיה ובדיקות חוסן, מערך הסייבר הלאומי; ואלי זילברמן-כספי, מייסד שותף וראש תחום Konfidas, IR. מנחה: רם לוי, מייסד ומנכ״ל,Konfidas.
לחצו כאן להרשמה לאירוע.
חברת Mitiga גייסה 7 מיליון דולר
החברה הינה סטארטאפ ישראלי בתחום הסייבר, שאינו עוסק בהגנה מפני פריצות אלא בחקירת הפריצה לאחר שהתרחשה, כמו גם בסיוע במיטיגציה של האירוע. “היום יש הבנה בשוק שזו לא שאלה של ‘האם יפרצו אליי’, אלא ‘מתי'”, דבריו של עופר מאור, CTO ושותף ב-Mitiga, בשיחה עם האתר ״גיקטיים״. ביום שישי האחרון, ה-24 ביולי, דיווחה החברה כי השלימה סבב גיוס ראשוני (Seed) בהיקף של 7 מיליון דולר, כשעל המשקיעים נמנים Clearsky Security, Glilot Capital , Flint Capital, Rain Capital ו-DNX Ventures.
מערך הסייבר הלאומי מפרסם מסמך המרכז את האיומים הקיימים בחיבור מרחוק
בשל המעבר לעבודה מהבית והשלכותיו, המסמך שפורסם מנתח את האיומים הקיימים בשימוש בפלטפורמות גישה מרחוק, כגון ניצול לרעה של אפשרות ההתחברות מרחוק על ידי גורם זדוני. המסמך נועד לאפשר למקבלי החלטות לנהל את האיומים באופן מושכל, בכל הנוגע להטמעה ולשימוש בפלטפורמות הרלוונטיות. עוד מפורטות במסמך מספר המלצות הגנה שונות נוכח האיומים, הנוגעות לתהליך בחירת והתקנת הפלטפורמה, לאופן השימוש בה ואף לתהליך סיום הפעילות במסגרתה, וכן המלצות בדבר אבטחת שרשרת האספקה של הארגון.
נחשפה דליפת נתונים מסוכנות ביטוח ישראלית גדולה
לחוקר הסייבר הישראלי עידו נאור הגיע מידע קונקרטי אודות פרצת אבטחה בסוכנות ביטוח אשר אפשרה גישה לפרטים אישיים של עשרות אלפים מלקוחותיה. בין הנתונים אליהם נחשף נאור מצויים גובה דמי הפנסיה של לקוחות, חלוקת כספים בין פוליסות ביטוח, מספרי תעודות זהות, צילומים של מסמכים ועוד. נאור הביא את הדבר לידיעת מערך הסייבר הלאומי והפרטים נחסמו לגישה בלתי נאותה.
הרחבת שיתוף הפעולה בתחום הסייבר בין ישראל להודו
ב-27 ביולי חתמו ראש מערך הסייבר הלאומי יגאל אונא ושגריר הודו בישראל Sanjeev Singla על הסכם שיתוף פעולה מורחב בין הודו וישראל בתחום הסייבר. בין היתר, הוסכם כי שתי המדינות יחליפו ביניהן מידע אודות איומי סייבר. מאז נכנס ההסכם המקורי לתוקפו בינואר 2018, קיימו ישראל והודו מספר סמינרים משותפים בתחום וביקורים מקצועיים הדדיים. נזכיר כי בדומה להסכם זה, בחודש יוני נחתם הסכם שיתוף פעולה בתחום הסייבר בין ישראל ויוון. את דיווחנו בנושא ניתן למצוא כאן.
רשימת הקניות המקוונת של גולשי ״שופרסל״ ו-Be חשופה כמעט לכל גולש
למרות שבאתרי האינטרנט של ״שופרסל״, רשת המזון הגדולה בישראל, ושל מותג הפארמה שלה Be, המאפשרים רכישה מקוונת, יש כ-100 אלף משתמשים, החברה לא אכפה מדיניות של אימות רב-שלבי, כנהוג באתרים מסוג זה. אי לכך, באמצעות מספר תעודת זהות ומספר טלפון נייד בלבד, ניתן היה להשיג גישה לרשימת הקניות של משתמשים באתר, ואף לכתובות המגורים שלהם. יש להבהיר כי לא נחשפו נתונים אודות פרטי ואמצעי תשלום. תגובתה של חברת ״שופרסל״ לאתר TheMarker: "נבחן את הנושא ונבצע התאמות ככל שיידרשו".
מערך הסייבר הלאומי זיהה מתקפה על חברת MSSP ישראלית
מערך הסייבר הלאומי מדווח כי לאחרונה נתקפה חברת MSSP ישראלית וזאת ע״י גורם מדינתי. במהלך התקיפה ניצל התוקף חולשה בשרת VPN של חברה על מנת לקבל גישה לסביבת הניהול שלה, ומשם להתפשט ללקוחותיה. באמצעות הגישה לשרת ה-VPN פתח לעצמו התוקף גישה לעמדות ברשת הארגונית, הגדיר משתמש מקומי בהרשאות מנהל, התקין כלים לאיסוף מידע על גבי המחשב ושלח מידע לשרת התוקף בערוץ מוצפן. על מנת להימנע ממתקפה דומה יש ליישם מספר המלצות:
-
עדכון רציף של מוצרי תקשורת, וניטור שינויים בהם.
-
שימוש במנגנון לניהול סיסמאות גישה למנהלנים, כגון LAPS.
-
הגבלת הפעלה של קבצי הרצה (שימוש ב-application whitelisting).
-
שימוש ב-2FA ככל הניתן.
-
ניטור מזהי התקיפה (IOCs המצורפים להתראה).
סייבר בעולם
ה-NSA ו-CISA מפרסמות המלצות להתמודדות מול התקפות על תשתיות קריטיות
בהמשך למתקפות החוזרות ונשנות על תשתיות קריטיות תוך ניצול גישה מרחוק לטכנולוגיות תפעוליות, שתי הסוכנויות קוראות לביצוע פעולות מנע להפחתת החשיפה בפלטפורמות הרלוונטיות. במסמך שפורסם מפורטים האיומים הקיימים והשלכותיהם, ומופיעות המלצות לארגונים, בהן פיתוח תוכנית התאוששות מפגיעה, תרגול תוכנית תגובה לאירועים, הקשחת רשת התקשורת, ביצוע הערכת סיכונים למערכות קריטיות והטמעת מערכות לבקרה ולניטור הפעילות.
הארגון, הפועל ללא כוונות רווח במטרה לסייע למי שחוו מתקפת כופר, סייע עד כה לכ-4 מיליון קורבנות מ-188 מדינות. הארגון מורכב מ-163 שותפים, בהם משטרת ישראל, אשר אנשיהם תורמים מזמנם ומהידע שלהם לטובת הפרויקט,כל זאת ב-36 שפות, מספר הממשיך לעלות תדיר. עד כה הוליד שיתוף הפעולה 28 כלים לביטול הצפנתן של כ-140 כופרות. לרשימת הכלים ולהתרשמות מפועלו של הארגון: nomoreransom.org.
קוד מקור של עשרות מסדי נתונים של חברות דלף לרשת
בין החברות שקוד המקור שלהן דלף מצויות Microsoft, Adobe, Lenovo, AMD, Qualcomm, Nintendo, והרשימה עודנה מתארכת. נושא זה נחשף על ידי חוקר אבטחת המידע טילי קוטמן ממספר מקורות ובכלים שונים לאיסוף מידע. רב המידע הרגיש פשוט נשמר במסד נתונים פתוח של GitLab. לפי קוטמן, בקודים שנחשפו קיימים פרטי הזדהות הנמצאים בתוך קטע הקוד עצמו (אותם הוא ניסה להסיר מהקוד, על מנת למנוע נזק ישיר לחברות).
מסד נתונים עם כלל החברות שנחשף קוד המקור שלהן
ב-FBI מזהירים מפני תוכנות סיניות לניהול מס המכילות פוגענים
בהתרעה שפרסמה, מזהיר ה-FBI חברות אמריקאיות בתחומי הרפואה, הכימיקלים והפיננסים מפני פעילות זדונית של הממשלה הסינית. חברות אמריקאיות הפועלות בשוק הסיני נדרשות לבצע תשלומי מס לסין לצורך פעילותן העסקית, ובכך הן חשופות לתוכנות לניהול מס מטעם הממשלה הסינית. לאחרונה זוהו תוכנות מסוג זה שהכילו בתוכן פוגען בשם GoldenSpy (שככל הנראה נוצר ב-2016), המסוגל להחדיר ״Backdoor״ (קטע קוד המשאיר גישה לתוקף) לרשתות הארגוניות של אותן חברות. כרגע לא ידוע כמה ארגונים ניזוקו מהפוגען. להתרעת ה-FBI מצורפים מזהים של הפוגען ודומיינים המשמשים אותו, שיש לנטרם.
קבוצת תקיפה המגובה על ידי ממשלת סין מטרגטת את הוותיקן וארגונים קתוליים
חברת Recorded Future פרסמה ניתוח של המתקפה, שבוצעה על ידי קבוצת התקיפה RedDelta, אותה מגבה ממשלת סין. בחודש מאי 2020 החלה הקבוצה בסדרה של תקיפות נגד הוותיקן וארגונים קתוליים בהונג-קונג ובאיטליה, זאת לקראת חידוש ההסכם הנוגע למינוי בישוף קתולי בסין.
תקיפת הוותיקן אפשרה לתוקפים להשיג הרשאות לתשתיות המחשוב והרשת של המדינה, המהווה מרכז לנצרות הקתולית בעולם, ובכך לשים את ידיהם על עיקרי המו״מ הקרוב. ממשלת סין הגיבה לדברים בהצהרה לפיה היא ״מתנגדת ואף נאבקת במתקפות סייבר״. עד לשעה זו, לא נמסרה תגובה רשמית מהוותיקן.
סייבר ופרטיות - רגולציה ותקינה
רשות הגנת הפרטיות בישראל הגישה את תזכיר חוק הגנת הפרטיות
בימים האחרונים פרסמה הרשות שני מסמכי מפתח רגולטוריים, המעידים על מעורבותה הפעילה בתקופה האחרונה, מעורבות העשויה לעיתים להיות שנויה במחלוקת. המסמך הראשון הוא סיכום ביניים של פעילות הרשות בעת משבר הקורונה, והוא מכסה את ההנחיות, את חוות הדעת ואת ההבהרות שפרסמה הרשות בין החודשים מרץ ליוני 2020. המסמך השני הוא תזכיר חוק הגנת הפרטיות, שפורסם על ידי משרד המשפטים ב-23 ביולי. תזכיר החוק הראשון, מתוך מספר תזכירים המצופים בהמשך, מציע תיקונים לחוק הגנת הפרטיות, התשמ"א-1981, ועוסק בקביעת הגדרות חדשות של מספר מושגי מפתח, כמו "מידע" ("נתון הנוגע לאדם מזוהה או אדם ניתן לזיהוי, במישרין או בעקיפין, באמצעים סבירים, לרבות מספר זהות, מידע ביומטרי, וכל נתון מזהה ייחודי אחר"); "שימוש" במידע (שמורחב ומפורט ביחס להגדרה הקיימת); ו"עיבוד" (שנוסף לראשונה, כדי לשקף היבטים שונים של פעולות בתחום המידע האישי). התזכיר קובע גם צמצום בחובת הרישום של מאגרי מידע אצל רשם המאגרים, במטרה "...למקד את הפעילות הרגולטורית במאגרים המציבים איומים משמעותיים לפרטיות ובפעולות פיקוח ואכיפה". הציבור מוזמן להגיש הערות לתזכיר עד ל-6.8.2020 באתר משרד המשפטים.
חקירת ענקי הטק בבית הנבחרים: ביקורת קשה על ההתנהלות העסקית של אמאזון, אפל, אלפאבית ופייסבוק
ביום רביעי ה-29 ביולי קיימה הוועדה המשפטית של בית הנבחרים בארה"ב (House Committee on the Judiciary) ישיבת דיון וחקירה של ארבע החברות המובילות של פלטפורמות טכנולוגיות בארה"ב. הוועדה ראיינה במשך יותר מ-5 שעות את מרק צוקרברג (פייסבוק), ג'ף בזוס (אמאזון), טים קוק (אפל) וסונדאר פיצ'אי (אלפבית, חברת האם של גוגל), בכדי לבחון אם התנהלותן העסקית של חברות אלה מפרה את כללי התחרות ההוגנת ואת דיני ההגבלים העסקיים שבדין האמריקאי - סוגיה שעלתה פעמים רבות בשנים האחרונות. דיוני הוועדה נערכו באופן וירטואלי, כשכל אחד מהמרואיינים הגיש את עמדתו לגבי חקירת הוועדה מראש ובכתב. חברי הוועדה, רפובליקנים ודמוקרטיים כאחד, מתחו ביקורת קשה על התנהלותן העסקית של ארבע החברות, בין השאר בנושאי רכישת חברות מתחרות ואופן השימוש במידע של משתמשי הפלטפורמות שלהן. הצעד הבא במסגרת החקירה שמנהל בית הנבחרים יהיה פרסום הדוח המסכם של החקירה, במהלך בשבועות הקרובים. על סמך ממצאי הדוח והמלצותיו, תתקבלנה החלטות בעניין סנקציות על החברות, כולל במסגרת דיני ההגבלים העסקיים.
המשך הסערה סביב פס"ד שרמס 2: לא תהיה תקופת "גרייס" לחברות אמריקאיות
בהמשך לדיווחנו בשבוע שעבר, לא שוככת הסערה סביב השלכות פסק הדין של בית הדין האירופי, אשר פסל את הסדר ה-Privacy Shield, שחל על העברת מידע אישי בין ה-EU לארה"ב. כעת מבהיר הרגולטור האירופי - European Data Protection Board - כי לא ניתן עוד להישען על ההסדר המופיע ב-Privacy Shield, וכל חברה שתעשה זאת תחשב כמפרה את דיני הגנת הפרטיות של האיחוד. זאת ועוד, הפתרונות האחרים הקיימים ברגולציה האירופית להעברות מידע אישי, בהם (Standard Contractual Clauses (SCCs ו-Binding Corporate Rules (BCR - חייבים גם הם לעמוד בדרישות רף ההגנות של הדין הלאומי במדינה אליה מועבר המידע האישי. לאור פס"ד שרמס 2, חברות בארה"ב נאלצות כעת להתארגן מחדש ולייצר הסדרים חדשים כדי לטפל כנדרש בהעברת מידע אישי ממדינות ה-EU ומדינות נוספות, כולל ישראל.
אכיפה ראשונה של הנחיות הסייבר של מדינת ניו יורק: חברת המשכנתאות First American לא סיפקה הגנות סייבר למידע פיננסי
מחלקת השירותים הפיננסיים של מדינת ניו יורק (New York Department of Financial Services) הגישה תביעה מנהלית תקדימית נגד חברת .First American Title Insurance Co, על הפרתה את הכללים שנקבעו בעניין הגנת סייבר, שנכנסו לתוקף במרץ 2017. על פי התביעה, החברה לא סיפקה הגנות מספקות מפני פגיעות סייבר למידע אישי ופיננסי של לקוחותיה, למרות שידעה על חולשות וחשיפתן כבר בדצמבר 2018. המדובר הוא בחשיפה במערכות המידע של החברה, המאפשרת למשתמשים לא מורשים גישה למסמכים רגישים על ידי שינוי פשוט בסיומת כתובת ה - URL. החברה תערער על התביעה. הגוף הרגולטורי התובע פועל גם במישור הפיקוח על מילוי חובות השקיפות המוטלות על חברות ביחס למשקיעים ולציבור, ובשנים האחרונות מקדם שקיפות בהקשר של סיכוני סייבר.
תקן חדש של ה-ITU וה-ISO מקדם את הדור הבא של יישומי וידאו
התקן החדש שפרסם איגוד הטלקומוניקציה הבינלאומי (ITU) בעניין ה- (Versatile Video Coding (VVC, מאפשר קפיצת מדרגה ביישומים העושים שימוש בכלים שונים בתחום החוזי במרחב הסייבר. הסטנדרט מקדם את יכולות דחיסת הווידאו באופן תקדימי, ומאפשר יישומים חדשים, כגון מולטימדיה ב-360 מעלות, שיתוף מסכים מרחוק, שיתופי פעולה חדשים מבוססי ענן ועוד. התקן תומך בפיתוח סרטים בווידאו באיכות אולטרה גבוהה ובחדות גבוהה (UHD) וסרטי וידאו עם טווח דינמי גבוה (HDR). התקן יתפרסם גם בשם ISO/IEC 23090-3.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: שרון פישר, אלי שמי, רוני עזורי, עמית מוזס, רז ראש, רונה פורמצ׳נקו, רם לוי, דב האוסן-כוריאל, אלי זילברמן כספי, גיא פינקלשטיין.