שנת 2021 התאפיינה בלא מעט אירועי סייבר דרמטיים. בארה"ב חברת הנפט קולוניאל פייפליין שילמה 5 מיליון דולר לתוקפים שהשביתו את המחשב המנהל את הצינור המרכזי שלה. אירוע גדול עוד יותר, שפורסם לראשונה בדצמבר 2020 והמשיך להתגלגל בתחילת 2021, היה מתקפת הסייבר סולרווינדס, במסגרתה קבוצה בתמיכת ממשלת רוסיה חדרה לחלקים של הממשל האמריקאי.
בישראל בלאק שאדו, קבוצה המקושרת לאיראן שפרצה לחברת הביטוח שירביט, המשיכה וחשפה את מאגרי המידע של אתר ההיכרויות לקהילה הגאה אטרף וחברת מימון הרכב ק.ל.ס קפיטל. גם בית החולים הלל יפה התמודד עם מתקפת סייבר חמורה שהשביתה את מחשביו.
על אף השנה העמוסה, מומחי אבטחה מסמנים דווקא חולשה שנחשפה לפני כשלושה שבועות כאירוע שעלול להיות המשמעותי ביותר בעולם הסייבר ב-2022 ומעבר אליה. ב-24 בנובמבר דיווח צ'ן ג'אוגון, חוקר סיני בענן של עליבאבא, על חולשה בספריית קוד פתוח פופולרית בשפת ג'אווה בשם Log4j. החולשה פורסמה באופן רשמי ב-9 בספטמבר יחד עם תיקון שאמור היה לפתור אותה, אך התגלה כבעייתי בעצמו. מאז האירוע הספיק לרדת מהכותרות, אבל הוא עוד רחוק מלהסתיים.
"בהערכה שלי מדובר באירוע גדול יותר ממתקפת סולרווינדס. החולשה ב-Log4j היא אירוע שאנחנו עדיין לא רואים את ההשפעה המלאה שלו", אומר תומר שוורץ, מייסד-שותף וסמנכ"ל הטכנולוגיות בסטארט-אפ דאזז (Dazz), שמפתח מערכת לניהול ותיקון חולשות. "חברות רבות כבר נפגעו והמקרים האלה טרם יצאו לאור. ידרשו עוד כמה חודשים ואולי אפילו חצי שנה עד שנבין את מידת הנזק", מוסיף אסף רפפורט, מנכ"ל סטארט-אפ אבטחת הענן וויז. "זאת סערה שעדיין נמצאת בעיצומה. צריך לזכור גם שהחולשה נחשפה ממש ערב חג המולד וכך ארגונים השאירו את הרשת ויצאו לחופשה", מפרט לוטם פינקלשטיין, מנהל המחקר ומודיעין בצ׳ק פוינט.
אסף רפפורט. מנכ''ל וויז וממייסדיה / צילום: נתנאל טוביאס
"עדכון תוכנה הוא רק קצה הקרחון"
החומרה של החולשה, שקיבלה את השם Log4Shell, נובעת מהתפוצה האדירה של ספריית הקוד Log4j בה היא נמצאה. Log4j היא ספריה שרושמת את הפעילות בתוך אפליקציות שונות. כיוון שהיא זמינה בקוד פתוח, הספרייה הפכה פופולרית בקרב ארגונים קטנים וגדולים, שחסכו את הצורך לפתח רכיב כזה בעצמם. לפי חברת הסייבר הישראלית-בריטית סניק, יותר מ-39% מהיישומים בשפת ג'אווה השתמשו בספריה באופן ישיר וכ-61% חשופים אליה בצורה לא ישירה. בצ'ק פוינט מצאו כי חצי מהארגונים שדגמו חשופים לחולשה.
"ארגונים בכל הסקטורים חשופים אליה כי כולם משתמשים באפליקציות ג'אווה. זה יכול להיות מוצר למדידת דופק שמשתמש ב- Log4j כדי לאסוף את תוצאות המדידה או מערכת אבטחה שרושמת מי נכנס ומתי. גם ארגון שמעדכן את הקוד שלו תלוי במערכות חיצוניות שמוטמעות בו וגם אותן צריך לעדכן", מסביר פינקלשטיין.
בעיה נוספת היא שהחולשה קלה יחסית לניצול. כל מה שצריך זה לשלוח לאפליקציה את הקוד הזדוני הנכון, לחכות שהוא ירשם ב-Log4j ואז לקבל נגישות למערכת. בצ'ק פוינט דיווחו על מעל 60 וריאנטים של החולשה, סוגים שונים של קלט שניתן לשלוח לאפליקציה כדי להשתלט עליה מרחוק.
נכון לשבוע זה, צ'ק פוינט כבר זיהתה 5.4 מיליון נסיונות לנצל את החולשה שנחסמו במערכותיה. חלק מהמנצלים היו כורי קריפטו, שביקשו לסחוט את המשאבים של המחשבים שנפרצו לטובת כרייה. לצידם זיהתה החברה גם קבוצות מאיראן שתקפו אתרים ישראליים המשתמשים בספריה. חברות אבטחה אחרות מצאו ניסיונות לבצע מתקפות כופרה באמצעות הפרצה שנפתחה.
מדגם שערך הסטארט-אפ וויז יחד עם ארנסט ויאנג מצא כי רק 45% מהארגונים הפגיעים להתקפה התקינו בתוך עשרה ימים מפרסום החולשה את העדכונים הנדרשים בסביבת הענן שלהם . לכן יהיה זה כנראה נאיבי לחשוב שכל נסיונות התקיפה באמצעות החולשה נכשלו עד כה. יותר סביר שתוקפים רבים, כאלו שבאים לרגל או שבאים לסחוט כסף, כבר חדרו לתוך מערכות המחשב של ארגונים וכעת מנסים לסלול את דרכם עמוק יותר בתוך אותן מערכות.
"יש כאן ממש מרוץ בין הטובים לרעים. אנשי האבטחה מנסים מסביב לשעון לגלות כמה שיותר מהר מקומות בהן החולשה נמצאת ולתקן אותם והתוקפים רוצים להגיע לשם לפני. הבעיה היא שלארגונים גדולים יש עשרות אלפי או מאות אלפי מערכות בענן ולך תדע איפה אתה צריך לתקן", אומר רפפורט.
"התהליך של החלפת הקוד הוא מאוד מורכב וזה שיש לך עדכון תוכנה זה רק קצה הקרחון. כשעבדתי במיקרוספט אני זוכר שלקח לנו חודשים לפעמים כדי להגיע לכל האנשים שאחראיים לתקן את חלקי הקוד השונים", אומר שוורץ. "ובסוף, מספיק שפספסת מקום אחד ואתה עלול להפוך לחברה שתקבל כותרות על זה שהיא לא תיקנה את הבעיה ומישהו יאבד את המשרה שלו".
תומר שוורץ, מייסד-שותף וסמנכ''ל הטכנולוגיות בסטארט-אפ דאזז / צילום: נתנאל טוביאס
לשם המחשה, החולשה EternalBlue בפרוטוקול של מיקרוספט הודלפה באפריל 2017. אף שבזמן ההדלפה כבר היה תיקון לחולשה, החולשה שימשה למתקפות כופרה נרחבות בארה"ב ובאירופה במאי ויוני אותה שנה על מחשבים שטרם עדכנו את התיקון. אפילו שנה לאחר מכן שימשה חולשה זאת לתקיפת מפעל השבבים TSMC בטיוואן, תקיפה שעלתה לו עשרות מיליוני דולרים באובדן ייצור.
האם החולשה היא מקדם מכירות?
פרצת האבטחה המסוכנת היא כמובן גם הזדמנות עסקית פוטנציאלית לחברות סייבר להרחיב את מאגר לקוחותיהם. ואכן, לאחר פרסום החולשה, הודיעה חברות רבות, החל מענקית הענן סנופלייק ועד וויז הישראלית, כי יספקו חינם כלים לארגונים לזהות את החשיפה לחולשה החדשה, בתקווה שהם יהפכו בהמשך ללקוחות משלמים.
רפפורט אומר ש-Log4j אכן הגדיל את הפעילות של וויז. "הסביבה שאנחנו מגנים עליה גדלה פי שלושה בתוך שבוע, כאשר לקוחות קיימים התקינו אותנו בבת אחת על 100% ממערכות הענן שלהם, משהו שבדרך כלל לוקח זמן. במקביל מי שהיו במהלך תהליך מכירה הפכו ללקוחות", הוא אומר.
דאזז השיקה את המוצר שלה ממש במקביל לגילוי חולשת Log4Shell, תזמון לא רע בכלל. "אירוע כזה שמקבל פוקוס נותן לנו רוח גבית. אנחנו רואים שהתהליכים עם לקוחות הואצו בשל הרצון שלהם לפתור את הבעיה מהר ולצאת לחופשת החג בראש יותר שקט", אומר שוורץ.
לעומת זאת, פינקלשטיין מצ'ק פוינט סקפטי יותר לגבי ההשפעה של אירוע כזה על המכירות. "כמובן שזה מעלה את המודעות לסייבר ואנחנו רואים שההוצאה של ארגונים על אבטחת מידע הולכת ועולה לאורך זמן, אבל האירוע עצמו הוא לא באמת מקדם מכירות וההשפעה שלו על התוצאות זניחה".
לתשומת לבכם: מערכת גלובס חותרת לשיח מגוון, ענייני ומכבד בהתאם ל
קוד האתי
המופיע
בדו"ח האמון
לפיו אנו פועלים. ביטויי אלימות, גזענות, הסתה או כל שיח בלתי הולם אחר מסוננים בצורה
אוטומטית ולא יפורסמו באתר.