חדש בישראל: "כיפת ברזל" נגד אתרים מזויפים
בטקס במעמד ראש מערך הסייבר הלאומי ומנכ"ל משרד התקשורת, הסתיים השלב הראשון בהקמת מערך DNSSEC ישראלי לאתרים הקיימים בארץ. המערכת תקשה על האקרים להפנות גלישה מאתרים אמיתיים לאתרים המנסים לגנוב מידע וכסף מגולשים תמימים
איגוד האינטרנט הישראלי, סיים השבוע את השלב הראשון של פרויקט סייבר תשתיתי ומתקדם, שיחזק את ההגנה על אתרים הנמצאים במרחב הרשת של il. מערכת ההצפנה המיוחדת, שהותקנה בשרתי איגוד האינטרנט הישראלי, תיפרש מעל כל רשת האינטרנט בארץ – כלומר כל הכתובות המסתיימות ב-il. מדובר בחתימה דיגיטלית מסוג DNSSEC שתצפין את הקשר שבין כתובת האתר (הכתובת המוכרת שגולשים מקלידים בדפדפן, המכונה בעגה המקצועית שם המתחם) ובין הכתובת המספרית של האתר בשרתי האינטרנט (כתובת שהיא סדרה של מספרים המכונה בעגה המקצועית כתובת IP).לעוד כתבות בערוץ הטכנולוגיה של nrg:
- הכירו את האפליקציות שיחסכו לכם אלפי שקלים
- זרקו את המטען: חיידקים יפעילו את הסמארטפון שלכם
- מעתיקים מאמרים? פיתוח חדש יעלה עליכם
- כל התכנים הכי מעניינים - בעמוד הפייסבוק שלנו
אחת משיטות גניבת המידע הפשוטות הקיימות ברשת האינטרנט היא ההתחזות של האקר לאתר לגיטימי. השיטה, המכונה לעיתים "חטיפת אתרים" עובדת כך: האקר מקים אתר שנראה זהה לאתר אמיתי שאליו נוהגים משתמשים להיכנס באמצעות סיסמה, או למסור בו פרטים אישיים כמו מספר ת"ז, כתובת ומספר טלפון.
הוא מעלה את האתר לרשת ונותן לו כתובת זהה לכתובת של האתר האמיתי. בשלב הבא הוא פורץ למערכת המנתבת את הגלישה, "חוטף" את הגולשים שמקלידים את הכתובת של האתר האמיתי ומעביר אותם לאתר המזויף שלו – כדי לגרום להם למסור לו, בלא ידיעתם, את הפרטים האישיים.
דרך פעולה זו היא כיום אחת הנפוצות ביותר כשלא פעם הגולש כלל לא שם לב לטעות שעשה עקב צורות פעולה מתוחכמות של הפושע. כדי למנוע מציאות זו, ניתן לייצר שכבת הגנה נוספת לאתרים ברשת, כך שההפניה מהקישור, שמופיע בשרת החיפוש של חברת גוגל למשל, לאתר תתבצע אך ורק כשקוד נסתר מחבר בין שני החלקים האלו.
בצורה זו קוד ייחודי נוסף גם לכלל ההפניות לבנק ברשת האינטרנט וגם לאתר של הבנק. ורק במקרה של התאמה בין שני הקודים הגולש יעבור לעמוד הבנק. עד היום שיטת ההצפנה הזו כיסתה רק חברות ואתרים שבקשו זאת. אולם כעת ארגון האינטרנט הישראלי בשיתוף מערך הסייבר הלאומי, פועלים לייצר הצפנה כזו לכלל האתרים שהסיומת שלהם היא הסיומת של מדינת ישראל ה-IL.
פרויקט החתימה הדיגיטלי של איגוד האינטרנט הישראלי
החתימה הדיגיטלית הייחודית, שמתחלפת מספר פעמים ביום, תזהה את האתרים האמיתיים הקיימים ברשת ותבטיח שהגישה אליהם נמצאת תחת "שרשרת אמון" – כלומר בכל שלב של הניווט אליהם יש בדיקה שמוודאת שמדובר באתר האמיתי ולא באתר המזויף. כך ניתן יהיה לסכל כל ניסיון של האקר להפנות גולשים לאתר שאינו האתר האמיתי שאליו הם התכוונו להגיע (משום שבאתר המזויף לא קיים מפתח ההצפנה הייחודי). משתמשי הרשת בישראל לא יחושו בהבדל. במקרה של זיוף DNS (כלומר ניסיון להפנות גולשים לאתר מזויף) הגולש לא יקבל התרעה אלא הגלישה תיכשל והאתר (המזויף) לא יעלה בדפדפן. מבחינת הגולש, החיווי יהיה כאילו כתובת האתר (שם המתחם) אינו קיים.
הפרויקט החדשני נחנך בטקס רשמי במתקן הדאטה סנטר של חברת MedOne במרכז הארץ, בהשתתפות ראש מערך הסייבר הלאומי, ד"ר אביתר מתניה ומנכ"ל משרד התקשורת, שלמה פילבר. הוא כולל הקמת מערך DNSSEC במסגרתו נחתם מידע ה-DNS, המקשר בין שמות מתחם וכתובות האינטרנט שלהם (IP) בחתימה דיגיטלית. במסגרת האירוע, נוצר במחשבי האיגוד מרכיב הצפנה מהותי בשרשרת אבטחת המידע והחתימה הדיגיטלית. בימים הקרובים יתווסף מרכיב זה לשרשרת האמון העולמית של ארגון ICANN, הארגון העולמי המנהל את שמות המתחם וכתובות האינטרנט ברמה העליונה.
"איגוד האינטרנט הישראלי השקיע בשנתיים האחרונות משאבים רבים כדי ליישם באופן מוצלח את רובד ההגנה שמספק DNSSEC", הסביר עו"ד יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי. "עד סוף השנה יוכל כל בעל שם מתחם להצטרף, באמצעות רשמי שמות המתחם הפועלים מטעם האיגוד, למערכת ההגנה ובכך להגן על משתמשי האינטרנט בשם המתחם שלו".
ראש מערך הסייבר הלאומי, ד"ר אביתר מתניה, אמר בטקס: "מערך הסייבר הלאומי מוביל מכלול נרחב של תהליכים במטרה להגן על פעילותם של אזרחים וחברות במרחב הסייבר. בתוך כך, התנעת היישום של DNSSEC בישראל, בהובלת איגוד האינטרנט הישראלי ובשיתוף המערך, היא צעד חשוב להבטחת גלישה בטוחה באינטרנט, שמהווה מרכיב הכרחי לחברה וכלכלה דיגיטלית. אנו נמשיך בשיתוף הפעולה הפורה עם איגוד האינטרנט הישראלי לטובת יישום המהלך בכלל המשק וקידום מהלכים משלימים".
בשלב הבא של הפרויקט, שכבת ההגנה תיושם בשרתים המרכזיים של האינטרנט בישראל, על כל הכתובות עם סיומת .il כך יוכלו בעלי האתרים למנוע מהאקרים לבצע "חטיפת אתרים", כדי לגנוב ממשתמשים פרטים אישיים בדרך של התחזות והונאה. סוג זה של מתקפות עלול לפגוע, לדוגמה, באתרי בנקים, להתחזות אליהם ולגנוב פרטי חשבון וסיסמאות כניסה של לקוחות תמימים.
ה-DNS היא מערכת שמתרגמת את התווים המרכיבים את השם של שירות אינטרנטי כלשהו לספרות המהוות את כתובת ה-IP של היעד. היא מבטיחה שרצף תווים מסוים (name), עם סיומת ספציפית (co.il), מפנה לאתר אחד שאליו משויך שם-המרשם (domain name) הספציפי (name.co.il). מערכת ה-DNS חשופה למתקפות של הזנתה במידע מזויף, או שידור מידע מזויף למשתמשים במקומה. ה-DNSSEC היא שכבת אבטחה נוספת המבוססת על יישום של חתימה דיגיטלית (digital signature) על גבי המידע של מערכת ה-DNS. הפעלת DNSSEC מייצרת חתימה דיגיטלית המאשרת שמידע ה-DNS לגבי שמות המתחם שהצטרפו למערכת הגיע ממקור מוסמך ולא שונה בדרך. בנוסף, חוסם DNSSEC את האפשרות לזייף את המידע לגבי שם מתחם שנחתם דיגיטלית, ואת האפשרות להסיט את הגלישה ממנו לאתר מתחזה.
לאחר הפרישה המלאה של DNSSEC בישראל, בעל שם מתחם שיבקש להגן על הגולשים אליו יוכל לייצר לעצמו מפתחות חתימה דיגיטלית, לחתום את המידע על שם המתחם שלו ולהעביר את החלק הציבורי של מפתח ההצפנה לאיגוד האינטרנט. האיגוד יחתום דיגיטלית על המפתח שהועבר וכך תיווצר "שרשרת אמון" על אודות שם המתחם ומידע ה-DNS שלו. מאותו רגע, כל גולש שיפנה לקבל מידע על שם מתחם זה יקבל מידע מאומת וחתום בלבד.
משתמשי הרשת בישראל לא יחושו בהבדל. במקרה של זיוף DNS הגולש לא יקבל התרעה, אלא לא יקבל מידע לגבי שם מתחם שבדיקת חתימתו נכשלה, והחיווי מבחינתו יהיה כאילו שם המתחם אינו קיים כלל.
עם זאת איגוד האינטרנט הישראלי ביקש להדגיש ששכבת האבטחה הזו לא מחליפה אמצעי זהירות ושמירה על פרטיות ואבטחת מידע הקיימים כיום, כגון גלישה מאובטחת (בפרוטוקול https למשל), אנטי וירוס, הימנעות מחשיפת מידע אישי, הימנעות משימוש באפליקציות לא בטוחות וכדומה.
אקו"ם