home סייבר אבטחת סייבר אפשר לפרוץ למחשבי הנאסד"ק בעשר דקות

אפשר לפרוץ למחשבי הנאסד"ק בעשר דקות

Sep 25, 2013

This post is also available in: English (אנגלית)

האקר לא צריך יותר מעשר דקות כדי לפרוץ למחשבי הנאסד"ק, הבורסה האמריקאית. כך לדברי איליה קולוצ'נקו, ראש חברת אבטחת המידע השבדית High-Tech Bridge.

על פי הדיווח ב Security Affairs קולוצ'נקו כבר שלח כמה אזהרות בעבר בנוגע לנקודות תורפה באתר nasdaq.com, והאקרים שיפרצו לאתר יוכלו לפגוע בעולם הכלכלה במגוון דרכים. חברת האבטחה Group IB כבר חשפה לפני מספר חודשים נסיונות פגיעה בלקוחות ובפלטפורמות מסחר, וקולוצ'נקו הזהיר שהאקרים יוכלו לקבל גישה למידע רגיש ולגרום לנזק רב. מומחה האבטחה הדגיש שהבורסה האמריקאית לא עשתה דבר כדי להגן על שלום לקוחותיה.

"האקר טוב יכול לפרוץ לאתר הבורסה תוך כמה ימים, ותהיה לו את היכולת לעשות מה שירצה – לפרסם הודעה שקרית לפיה מניות פייסבוק איבדו 90% מערכן, למשל. הודעה כזאת תיצור תוהו ובוהו משמעותי… זה די מפחיד כשחושבים על זה. גיליתי את נקודות התורפה האלה אחרי חיפוש של עשר דקות, והשתמשתי בדפדפן Firefox רגיל ללא כלים או תוכנות מיוחדים… מה שמזעזע במיוחד זו הגישה של האנשים האלה וההתעלמות שלהם מאזהרות, במיוחד אחרי הכשל הטכני שממנו סבלו לאחרונה", אמר קולוצ'נקו.

תוקפים יכולים לפרוץ למחשבי אתר הנאסד"ק ולהשתלט עליו לחלוטין. לאחר מכן אותם העבריינים יכולים להתקין נוזקות שונות, לגנוב מידע רגיש ולערוך מתקפות phishing. האזהרה של קולוצ'נקו הגיעה לאחר ההפסקה בפעילות הבורסה, שנגרמה – כך לפי מקורות רשמיים – על ידי "כשל טכני". הפסקת הפעילות אירעה ב-22 באוגוסט ונמשכה 3 שעות.

לדברי מומחי מחשבים רבים האמת שמאחורי התקרית עלולה להיות מפחידה יותר – ייתכן שמתקפת סייבר על רקע לאומני הביאה להפסקת הפעילות. כולם מבינים שהבורסה נחשבת לתשתית חיונית, ומסיבה זו היא מהווה מטרה למתקפות מצד מדינות אויב. צבא סוריה האלקטרוני תקף את אתר הניו יורק טיימס בערך באותו הזמן שבו הפסיקו לפעול מחשבי הבורסה.

iHLS – Israel Homeland Security

בנוסף, קולוצ'נקו טוען שהצליח להחדיר קוד משלו לאתר הבורסה מבלי להתגלות. “זה אומר שכל אחד יוכל להחדיר קוד HTML משלו לאתר nasdaq.com, להציג טפסים מזויפים שאליהם יכניסו משתמשים כרטיסי אשראי ומידע אישי או להשתיל נוזקות בתוך מחשבי המשתמשים. אין גבול למה שהאקרים יוכלו לעשות", אמר.

החדרת קוד היא רק דרך לפרוץ לאתר, אבל קולוצ'נקו גילה נקודת תורפה אחרת שתאפשר להאקרים להשתלט ממש על אתר הבורסה. עובדי הבורסה עצמם חשופים גם הם למתקפות spear phishing. לדברי קולוצ'נקו ניתן גם לפרוץ לבורסה על ידי שליחת קישור מיוחד במסר פרטי לתמיכה הטכנית של הנאסד"ק או למנהלי הרשת, ולהמתין ללחיצה עליו כדי לגנוב מידע רגיש מהדפדפן של הקורבן.

נציגי הבורסה הכחישו את ההאשמות של קולוצ'נקו. “אנחנו לוקחים מאוד ברצינות את נושא האבטחה. אנו עובדים עם ספקיות אבטחה מובילות ויש לנו צוות מאומן ומקצועי שעוקב אחר כל האיומים על המשאבים הדיגיטליים שלנו", כך לפי הודעת דוברות הנאסד"ק.

צריך להתייחס בכובד ראש לנושא האבטחה בשירותים מקוונים כמו בורסות למסחר. בעזרת cross-site scripting, או XSS, האקר יכול להשתיל קוד באתר פגיע ומספר ההתקפות המוצלחות רק ילך ויעלה. אתרים שחשופים למתקפות מובילים בסופו של דבר לכך שגם החברות ולקוחותיהן יהיו חשופים.