סיכום מתקפת הסייבר: כמה קל לפרוץ לכל אחד ולמי מותר להיות עירום בשידור חי?

אביב הגיע, סייבר בא: החודש האחרון היה סוער מאוד בגזרת מתקפות הסייבר נגד ישראל, והשבוע נראה כי לאחר "יום ירושלים" האיראני הן נרגעו והגיע הזמן לסכם אותן.

כפי שמציין מומחה הסייבר ארז דסה במסמך סיכום שפרסם, פעילות המתקפות נגד ישראל השנה היתה גבוהה משמעותית מאשר בשנתיים-שלוש הקודמות.

למרות ריבוי המתקפות, האיכות שלהן נשארה ירודה למדי: בוצעו בעיקר מתקפות מניעת שירות מבוזרות (DDoS), שהופנו נגד אתרי ממשלה, דואר ישראל שחלק משירותיו הושבתו למשך יותר מיממה, רכבת ישראל שחוותה קריסה משמעותית של האתר והאפליקציה, הבנקים הגדולים, אוניברסיטאות, מכללות, ארגוני תקשורת (גם במובן של communications, כמו הוט וסלקום, וגם במובן של media, כמו כאן 11, ערוץ 14 ו-i24News) ואפילו מלכת הסייבר הישראלית – צ'קפוינט. רוב המותקפים התגברו על המתקפות תוך דקות ספורות, לפחות באופן מינימלי שאפשר את המשך השימוש, גם אם הוא היה איטי יחסית ליום או יומיים.

ההאקרים פרסמו גם כמה מאגרי מידע, שככל הנראה אינם חדשים וחלקם אף היו מומצאים. מתקפות אחרות כללו פריצות טיפשיות לטלוויזיות חכמות והקרנה של סרטוני תעמולה, והשחתת אתרים קטנים של בתי עסק זעירים, שקשה מאוד להתייחס אליה ברצינות ב-2023. עם זאת, מתקפה אחת לפחות היוותה "ניצחון" איכותי, כאשר מערכת השקיה בשדות חקלאיים בצפון הושבתה. בניגוד למתקפות האחרון, השבתה כזו עלולה לגרום נזק ממשי ומתמשך – גם אם במקרה הזה היא רק עיכבה מעט את השקיית היבול.

חושבים שהסיסמה שלכם לא תיפרץ? חשבו שוב

אם נראה לכם שבחירת סיסמה לפי הסטנדרטים המקובלים מהווה ביטוח נגד פריצות כאלו, גם זה כבר רחוק מלהיות נכון.

חברת Hive Systems פרסמה השבוע עדכון למדד השנתי שהיא עורכת מאז תחילת העשור, ומעריך את קלות הפענוח של סיסמאות שנמצאות במאגרי מידע שנגנבו על ידי האקרים – אפילו אם הן מוצפנות. החברה מצאה כי על ידי שימוש במחשב גיימינג עם כרטיס גרפי של אנבידיה (הכלי שנחשב ליעיל ביותר למשימות חישוב ממוקדות הצפנה, כמו כריית קריפטו ופיצוח סיסמאות), יכולים האקרים לפרוץ סיסמאות בסטנדרטים הנפוצים תוך שניות עד דקות בודדות על ידי ניחוש של פענוח ההצפנה שלהן שוב ושוב.

סיסמאות בנות עד 6 תווים נפרצות תוך פחות משנייה, ולא חשוב כמה הן מתוחכמות; סיסמת מספרים בלבד בת 12 תווים לוקחת בערך שנייה שלמה לפריצה. סיסמאות בנות 8 תווים, שב-2020 היה לוקח עד 8 שעות לפרוץ במידה וכללו מספרים, אותיות קטנות וגדולות וגם סימנים, לוקחות כעת בין שעה אחת לארבע. שימוש בשירותי הענן של אמזון מאפשר לקצר זאת לעד 20 דקות בלבד, והחברה מעריכה כי ל-ChatGPT ייקח שנייה בלבד לפרוץ סיסמא בת 8 תווים מהסוג המתוחכם ביותר (אותיות קטנות וגדולות, מספרים וסימנים).

הסיסמאות היחידות שנכון לרגע זה לוקחות יותר מתקופת חיים שלמה של אדם לפיצוח בדרכים הנפוצות (כולן חוץ מ-ChatGPT) הן כאלו הכוללות או לפחות 16 אותיות קטנות, או לפחות 13 אותיות קטנות וגדולות כאחד, או לפחות 13 אותיות קטנות וגדולות לצד מספרים, או לפחות 12 אותיות קטנות וגדולות, מספרים וסימנים.

ימים ספורים לפני הנתונים של Hive Systems העריכה Home Security Heroes, על סמך ניתוח דומה, כי בינה מלאכותית ייעודית לפענוח סיסמאות מסוגלת לפענח 51% מאלו הקיימות במאגרים מודלפים תוך פחות מדקה, 65% תוך פחות משעה, 71% תוך פחות מיממה ו-81% תוך פחות מחודש.

הנתונים הללו מצביעים על צורך דחוף לשפר את נהלי האבטחה של חשבונות ברשת – גם על ידי הצפנה חזקה בהרבה של סיסמאות (משהו שרק האתרים והאפליקציות יכולים ליישם), גם על ידי בחירת סיסמאות מורכבות הרבה יותר על ידי המשתמשים, וגם על ידי מעבר לשימוש באמצעי זיהוי אחרים, כמו נתונים ביומטריים.

יש לכם האקר במשרד

ואפילו אם תעשו כל מה שאתם יכולים כדי למנוע פריצה לחשבונות שלכם, יכול להיות שהמכשירים שדרכם אתם גולשים חושפים אתכם להאקרים: גופי אבטחת מידע וביון בארה"ב ובריטניה פרסמו השבוע אזהרה לפיה קבוצת האקרים רוסית מנצלת חולשה ישנה בנתבים של חברת סיסקו – ספקית רכיבי התקשורת הגדולה ביותר עבור ארגונים. לפי האזהרה, הקבוצה הקשורה לכאורה לממשל פוטין פורצת לנתבים בעלי תוכנה לא מעודכנת שסובלת מבעיית אבטחה, ושותלת בהם רכיבי ריגול שמאפשרת להם גישה לכל התקשורת שעוברת דרך הנתבים, וכך מידע עסקי רגיש נמצא בסיכון. כל מה שצריך לעשות כדי למנוע זאת הוא לדאוג שאנשי הטכנולוגיה בכל ארגון ידאגו לעדכן את הנתבים (העדכון לבעיה הספציפית הזו יצא כבר ב-2017, אך חברות רבות מעולם לא ביצעו אותו).

בנוסף, חברת האבטחה ESET צפויה להציג בשבוע הבא בוועידה בנושא שתיערך בסן פרנסיסקו, מחקר לפיו לא רק שארגונים לא טורחים לעדכן את הנתבים שלהם כאשר מתגלית פרצה בתוכנה שלהם, אלא גם מחליפים נתבים ישנים בחדשים ומוכרים את המשומשים לעסקים 'חסכניים' יותר – בלי למחוק נתונים שנשמרו על זיכרון הנתבים, כמו שמות משתמש וסיסמאות ונתוני גישה לרשת הארגונית.

האנונימיות מתה

בינתיים, גם ממשלות יכולות לחשוף עלינו פרטים שהעדפנו שיישארו אנונימיים, כפי שעולה משני סיפורים נפרדים מהימים האחרונים:

בהולנד נשלחו לאחרונה אלפי מיילים ומכתבים לתושבי המדינה החשודים כמי שרכשו מידע גנוב באמצעות הפורום המחתרתי RaidForums. משטרת הולנד מאיימת בהתכתבויות, ולפי הידיעה אף בביקורי בית, על אלפי הולנדים שהיו פעילים באתר, כי פרטי הפעילות המפוקפקת שלהם ידועים לרשויות יחד עם זהותם האמיתית.

המשטרה לא מסרה על כוונה לתבוע את כל אלפי המשתמשים, ולכן נראה כי מדובר בקמפיין הפחדה אגרסיבי "למען יראו וייראו", בניסיון לרמוז כי אין שום פעילות ברשת שלא ניתן להתחקות אחרי מבצעיה.

אפילו תחום הקריפטו, שכל מטרתו היתה לאפשר העברות כספיות ללא פרטי זהות, נכשל לחלוטין; בשבוע שעבר פורסם כי אחד מממקרי שוד הקריפטו הראשונים, שבוצע ב-2012, פוצח ב-2021 והגיע לשלב גזר הדין בסוף השבוע האחרון, פוענח הודות לשיטות חדשות שמתבססות על מעקב אחר השימוש בכסף קריפטו גנוב או מולבן (שאפשרי הודות לעובדה שכל הפעולות מתועדות בפומבי).

עירום אמתי מותר, עירום מזויף אסור

עולם הגיימינג סוער בימים האחרונים לאחר ש-Twitch, אתר הזרמת הווידאו ממוקד-המשחקים שבבעלות אמזון, חסם את חשבונו של קאי סֶנֶט, אחד הסטרימרים המצליחים ביותר בהיסטוריה של האתר. החשבון שלו נחסם בתחילת השבוע, ואתר חדשות המשחקים Dexerto דיווח כי הסיבה לכך היא שידורי המשחק GTA V של סנט, שכללו מעשים מגונים וירטואליים עם דמויות של נשים.

סנט וטוויץ' לא אמרו אף מילה רשמית בנושא, אך אחד מעמיתיו של סנט, סטרימר מצליח אחר בשם אַדין רוס, טוען כי האתר המתחרה שבו הוא משדר, Kick, החתים "כוכב-על ענק" נוסף. מדובר באתר חדש למדי, שרוס עצמו ערק אליו לאחר שנחסם מטוויץ' מסיבה דומה לסנט. הוא אף תקף את טוויץ', עוד לפני המהומה הנוכחית, על הסטנדרט הכפול, לדבריו, של האתר שמרשה לסטרימרים לשדר בעירום כמעט מלא אך חוסם אותם אם במשחקים רואים דמויות דמיוניות במצבים דומים. טוויץ' נאלצה לשנות את המדיניות הזו מספר פעמים בשנים האחרונות, לאחר שהותקפה בשל שמרנות יתר, ומייד לאחר מכן בשל מתירנות יתר.