טיפים להגנת מערכת ה- NAS מפני Ransomware

הנה הטיפים שכדאי לכם לאמץ על ה- NAS שלכם על מנת להשאר בטוחים

6:00
  /  
29.09.2021
  

לאחרונה התפרסמה בתקשורת ידיעה מטרידה על דליפת פרטים אישיים של כ-7 מיליון אזרחי מדינת ישראל למאגר של פצחנים (האקרים). הידיעה התפרסמה בתחילת חודש ספטמבר 2021 והתחילה עם הציטוט הבא (בתרגום מאנגלית): "הצלחתי להשיג גישה למידע של רשויות מקומיות ישראליות. נא לעקוב למידע נוסף". בהמשך פרסם אותו גורם דוגמיות של אותו מידע שהכיל בעיקר הוראות תשלום לרשויות מקומיות, רישיונות רכב, תעודות זהות ועוד. לכבוד ראש השנה ויום הכיפורים, המשיך אותו גורם עלום להטריד עם פרסומים נוספים עם הכותרת באנגלית Shocked כשבהמשכה הבטחה ל"מתנה" ליום הכיפורים. אותה מתנה התגלתה כאפשרות להסרה אישית של פרטי אזרח זה או אחר ממאגר המידע הגנוב תמורת העברת 50 דולר לאותו גורם. כדי להחמיר את המצב, פרסם הפצחן לינק לאתר נסתר עם מנוע מיוחד שאם אתה מקליד לתוכו – ללא שם – את תעודת הזהות שלך, אתה מקבל תשובה מיידית. ובכן הדבר הזה עבד מצויין. אני הקלדתי לתוכו את תעודת הזהות שלי, וקבלתי בתשובה את שמי המדוייק ללא שם משפחה, כפי שניתן לראות בצילום המסך כאן למטה:

דוגמה לתשובת מאגר המידע הגנוב – פרטי תעודת הזהות שלי ושם המאגר נמחקו לצורך הכתבה

לכל המתואר כאן למעלה ניתן לקרוא Ransomware בגירסה משופרת. Ransomware הוא קוד תוכנה זדוני איתו ניתן לפרוץ או לחדור למערכות מחשבים ומידע ולחסום את המשתמש החוקי או הבעלים של אותו מחשב מגישה למידע ששיך לו. מניעת גישה למידע מבוצעת ע"י הצפנת אותו מידע ובקשה של הפורץ לכופר כספי שאחרי שיועבר לפורץ, זה האחרון יעביר לבעל המידע או המשתמש מפתח (decryption key) לשחרור החסימה מאותו מאגר מידע.

בעשור האחרון, עם הגידול בשימוש במערכות מיחשוב גלובליות בכל שטח ופינה בחיינו המודרניים, חלה עלייה בשימוש בתקיפות ממוחשבות מסוג Ransomware. אם פעם נתקלנו בוירוסי מחשב שבעיקר השביתו אותו וייצרו נזק מקומי, אמנם לפעמים קשה, אולם לא מסיבי, הרי שהתקפות Ransomware הן קשות ביותר, עלויות הטיפול בפריצה גבוהות במיוחד ולעיתים קרובות לא מניבות תוצאות חיוביות.

במבט לאחור, לפני כעשור, היה זה CryptoLocker שנחשב אז ל"סוס טרויאני" שהחל טרנד מדהים וקשה של פגיעה במחשבים מסביב לעולם, ודרישה כספית גבוהה כדי לקבל מפתח לשיחרור הקבצים המוצפנים. באותה תקופה היו אלו מחשבים בהם היתה מותקנת מערכת ההפעלה של מיקרוסופט WINDOWS. כיום נחשב ה- CryptoLocker לזה שהחל את הבלגן. מאז ועד היום כמות ההצפנות של מחשבים ומערכות מכפיל עצמו כל שנה. CryptoLocker הופץ בשנים 2013-2014 והתפשט בעזרת דואר אלקטרוני לכאורה תמים, שכלל קובץ נילווה מסוג ZIP שכלל קובץ מסוג EXE שהפעיל את כל מערכת השיבוש.

דוגמא למקרה אמיתי של הצפנת קבצים ובקשה לכופר (צילום מקורי: עופר הופמן)

כמה שנים מאוחר יותר, בשנת 2017 פרץ Ransomware חדש שאני מכנה אותו בעברית "בא לי לבכות" ובאנגלית WannaCry. יש לשער שלמנהלי מערכות מיחשוב ביותר מ-150 מדינות באמת בא לבכות לאחר שיותר (לפי הערכות) מ- 300,000 מחשבים נפגעו מאותו וירוס פוגעני שהצפין להם את כל המידע. גם במקרה זה נפגעו מערכות מחשוב בהן היו מותקנות מערכות הפעלה של מיקרוסופט. במחשבים שנפגעו הופיעה הודעת בקשה להעברת תשלום גבוה דרך ביטקוין בלבד. הנזק הכספי הוערך אז ב-8 מיליארד דולר. על פי מחקר שנערך בחברת אבטחת המידע קספרסקי, בשנת 2020, ארגונים במזרח התיכון סבלו מיותר מ-161 מיליון מתקפות malware במה שנראה כיום כגל של מגפת סייבר (cyber pandemics) שהחזירה לחיינו את המושג פנדמיק בנוסף לגל הקורונה שגם הוא פרץ לעולם בשנת 2020. ועל הקשר בין שתי הפנדמיות, בלינק כאן.

הודעת SHOCKED מתוך צילום מסך מהטלפון

המתקפות לא פוסחות על אף אחד

נכון להיום, מתקפות סייבר אלו אינן מוגבלות למגזרי האנטרפרייז או עסקים קטנים. למעשה אף אחד לא חסין 100 אחוז ממתקפות כאלו, גם לא משתמשי מחשב ביתיים, שלכאורה להם אין מידע ששווה מיליונים. עם ריבוי אביזרים מסוג IoT (Internet Of Things), גם הם לא חסינים ממתקפות סייבר ע"י פצחנים. אביזרי "האינטרנט של הדברים" כוללים טלפונים סלולריים, טלפוני אינטרנט (IP PHONES), מחשבים אישיים, שרתים ארגוניים, מצלמות IP, ואפילו לאחרונה ברי מים מסוג תמי 4 שהוציאו דגם שמחובר לרשת האינטרנט דרך חיבור WIFI. וכן מוצרי בית חכם כמו רמקולים חכמים, פעמוני דלת משוכללים ועוד. כל אלו ועוד חשופים למתקפות Ransomware. יש לציין שהנזק הראשי מפריצה למצלמת רשת ביתית, על פניו, לא נראה משמעותי מלבד אולי אופצייה לגניבת הסרטונים השמורים בה. אולם הנזק האמיתי והקשה יכול להתבטא בפריצה לשרתי קבצים ביתיים/משרדיים מסוג NAS (באנגלית – Network Attached Storage) שהן קופסאות איחסון קבצים בהם מערך דיסקים ומחוברות לרשת הביתית או המשרדית. לאחרונה נצפתה עלייה משמעותית במתקפות ובפריצה לכיוון משתמשי NAS.

וכדי להגן על מערכות ה- NAS כנגד מתקפות ראנסום, עלינו להערך מראש לסוג כזה של מתקפות ע"י נקיטת כמה פעולות שייפורטו כאן בהמשך, כדי להגן על ה- NAS שלנו מפריצה מבחוץ דרך רשת האינטרנט. ה-NAS עצמו יכול להגן על המידע שלנו גם ע"י שכפולו ל-NAS דומה או אחר מחוץ לבית או המשרד באתר אחר, אפילו במדינה אחרת.

בתמונה DiskStation DS1621xs+ של סינולוג'י (צילום : סינולוג'י)

חכמי המחשוב נתנו בהם סימנים וציינו שלושה סוגי של מתקפות RANSOMWARE

מתקפות Ransomware הכי נפוצות נקראות באנגלית Brute force authentication attacks. מתקפות אלו מפעילות מערכות מחשוב רבות הנגועות בסוג מסויים של וירוסי מחשב או קוד תוכנה שמנסה לפרוץ את סיסמת מנהל המערכת (ADMIN) ע"י שימוש בטכניקות שונות וגם בספריות ענקיות של ססמאות (לדוגמא הסיסמא ה"מצוינת" 12345678). עם הצלחת הפריצה, הפורץ מתקין במחשב הפרוץ קוד תוכנה זדוני שמתחיל לעבוד. פריצות אלו של Brute Force קורות כל הזמן ואינן מסובכות, וקלות למיגור.

שיטה נוספת לפריצה למחשבים היא שימוש בפגיעות המחשב (Vulnerability). פגיעות זו יכולה להיות פגם או חולשה במערכת, ובעיקר במערכת ההפעלה של המחשב או הרשת. הפצחנים יחדרו לרשת או למחשב דרך חולשה זו ללא צורך בסיסמאות מערכת וייגרמו נזק לפני שמנהלי הרשת יהיו מודעים לפגיעה. ניתן להשוות מקרים אלו למלחמה הבלתי נגמרת של המשטרה בפשיעה. תמיד מישהו ינסה לעשות משהו ואז המשטרה תהיה בעיקבותיו. דוגמא מצויינת לכך ראינו לאחרונה בישראל לאחר הבריחה הגדולה מהכלא בצפון הארץ והמשאבים שהושקעו לאחר מכן, כשחלק גדול של אמצעי הבריחה היו לכאורה ידועים. במקרים של Vulnerability שנקראים גם מתקפות Zero-Day, הבעייה הגדולה היא חולשות מערכת ההפעלה של מיקרוסופט ואחרות שמתגלות לעיתים קרובות ע"י חוקרים, פצחנים, מומחי מחשוב ואחרים שמנצלים חולשות אלו לפגיעה מערכתית קשה. לדוגמא, חברת מיקרוסופט מוציאה עדכוני מערכות הפעלה לעיתים קרובות ומפרסמת זאת ברשומות. על מנהל הרשת בארגון לדאוג להתקנת עדכון התוכנה. והיה ולא עדכן, הוא חושף את המערכת שלו למתקפת האקרים קשה.

(photo: AdobeStock Free)

ולבסוף, דוגמא שלישית בצורת מתקפת Phishing שמבוססת בעיקר על "הנדסה חברתית" (באנגלית זה נשמע יותר טוב- social engineering), שנועד בעיקר לגנוב מידע, ובעיקר מידע רגיש כמו פרטים אישיים, שם משתמש וסיסמא לאתרים, ופרטי כרטיס אשראי. השבוע לדוגמא, דווח בחדשות הערב בטלוויזיה על ישראלים שביצעו הזמנת אוכל דרך אפליקצייה ידועה, וזמן קצר אחרי ביצוע העיסקה, קבלו צלצול טלפון לכאורה מהמסעדה ממנה הזמינו בטוענה שכרטיס האשראי לא עבר, ומתבקשים להקריא למטלפן את פרטי הכרטיס שוב. זהו סוג מוצלח של פישינג. שיטה אחרת היא לייצר דף אינטרנט זהה לזה של הבנק שלך, עם הקלדת פרטי ההתחברות הנכונים, פרטי המקליד נשאבים ישירות למאגר המידע של הפצחנים, ומשם הדרך לגניבה מוצלחת קצר. לי אישית זכורים מקרים כמו קרוב משפחה שקיבל מייל "תמים" שהדודה תקועה בלונדון ללא כסף, והוא מתבקש לגשת לבנק ולהפקיד לה מזומן לחשבון. על פי עדותו של קרוב המשפחה הוא כבר יצא לכיוון הבנק כשהבין לפתע שהוא כנראה בסצינה כבדה של פישינג כמעט מוצלח. אני אישית מקבל עשרות מיילים בשנה עם סיפורים מופלאים על חשבון בנק בניגרייה שממש מחכה שאני אחלץ אותו ע"י העברת פרטים כאלו ואחרים לשולח המייל. או מייל תמים שאתה לוחץ עליו שגורם לתגובת שרשרת של התקנת תוכנה זדונית במחשב שלך, והסיפורים האלו לא נגמרים. בתמונה המצורפת כאן למטה אנחנו רואים מייל שנשלח אלי ומופנה ל"קרן" וטוען שקרן היא זוכה בהגרלה כלשהי בסכום עצום, ובמייל מבקש הכותב להעביר מספר פרטים אישיים למייל כלשהו שמופיע בהודעה:

6 שיטות להגן על ה- NAS שלך

וכדי להגן על המידע שלך ערכנו רשימה של פעולות פשוטות שניתן לבצע כדי להגן על ה-NAS שלך מפני מתקפת Ransomware.

  1. שינוי סיסמת מנהל (ADMIN) לחזקה יותר – סיסמאות חזקות מכילות שילוב של 10 תווים, אותיות ומספרים, וסימני פיסוק, אותיות גדולות וקטנות וכו' לייצירת סיסמא חזקה. הימנע מסיסמאות פשוטות וידועות, כמו מאחד עד שמונה לדוגמא, וכן שמות משתמש ידועים, מכיוון שהם חשופים ל- Brute Force. אל תשתמש באותה סיסמא פעמיים, כמוכן תבדוק שהפרטים שלך לא דלפו ע"י שימוש בכלי ניטור מכובדים. שקול להשתמש בשירות של C2 Password לניהול סיסמאות קל יותר שעוזר לייצירת סיסמאות חזקות בקלות ובמהירות. לתוספת אבטחת מידע השתמש בחוקי תחביר וקביעת "פג תוקף" לסיסמאות בתוך מערכת ההפעלה של סינולוג'י, ה- DSM.
  2. הפעל Auto Block ו- Account Protection במערכת ה- DSM – ה- AUTO BLOCK מגן על ה-NAS שלך ע"י חסימת כתובת ה-IP אחרי מספר מסויים של ניסיונות התחברות כושלים למערכת ה-NAS. במקביל Account Protection נועל את חשבון ה- DSM שלך אחרי מספר מוגדר של ניסיונות כושלים להתחבר אליו. ביצוע השינויים האלה ב -CONTROL PANEL של ה- DSM.
  3. השבתת SSH/Telnet כשהם לא בשימוש – שני הפרוטוקולים הידועים SSH ו- TELNET מאפשרים גישה למחשב או התקן NAS, ולכן אם פצחן הצליח להשיג סיסמאות מערכת, הוא עלול להצליח לחדור למערכת דרך פרוטוקולים אלו. לכן רצוי לשמור אותם סגורים (disabled) כשהם לא בשימוש. ואם הם נחוצים 24/7, רצוי להקצות להם סיסמאות חזקות וכן לשנות את פורט הגישה הדיפולטי של SSH שהוא 22 למשהו אחר, לתוספת אבטחה והסתרה.
  4. השבתת שירותים (services) כשהם לא בשימוש – שירותים נוספים וחבילות תוכנה מותקנות (installed packages) ובמיוחד אלו מצד שלישי, מגדילות את פוטנציאל הפגיעה במערכת. רצוי לעשות בדיקות תקופתיות לרכיבי מערכת כמו שירותים, חבילות התקנה, קונטיינרים ומכונות וירטואליות (VM) שלא בשימוש ולחסום אותם.
  5. Enable two-step verification – אם ברצונך להוסיף שכבה נוספת של הגנה לחשבון שלך, אנחנו ממליצים להפעיל two-step verification. כדי להפעיל שיטה זו שנקראת גם בעברית "אימות דו-גורמי" על החשבון שלך ב-DSM, ובהתקן הסינולוג'י, עליך להצטייד בטלפון סלולרי ואפליקציית אימות (Authenticator app) שתומכת בפרוטוקול שנקרא Time-based One-Time Password (TOTP). התחברות למערכת תדרוש ממך שם משתמש/סיסמא, וכן קוד בן 6 ספרות מוגבל בזמן, שיתקבל ממערכת האימות אותה התקנת בטלפון הסלולרי. יש ארגונים גדולים כמו מיקרוסופט או גוגל שמאפשרים הורדת אפליקציות כאלה בחינם לטלפון הסלולרי. (להרחבה בנושא בלינק כאן)
  6. פעולה נוספת וסופר חשובה שניתן לעשות עם מערכת ה-NAS של סינולוג'י היא לעדכן אותו לגירסת מערכת DSM 7.0, ולהנות מאחד השיפורים המשמעותיים בתחום האבטחה של מערכת ה-NAS. שיפור זה הוא אפליקציית Secure SignIn שמאפשרת לך כניסה למערכת באימות דו-גורמי (two-factor authentication). מערכת ההפעלה DSM 7.0 תומכת גם במפתחות אבטחה תואמות חומרה מסוג FIDO2 (באנגלית – FIDO2-compatible hardware security keys), לייתר אבטחה.

סדרת טיפים לאבטחה משופרת

ואם קודם לכן דיברנו על מתקפות ZERO-DAY, הנה מספר טיפים איך להגן על המידע שלך:

  1. טיפ ראשון – עדכן את ה-DSM והתוכנות המותקנות באופן קבוע מכיוון שהן מספקות שיפורי ביצועים ופונקציונליות. למרבית המשתמשים אנחנו ממליצים לאפשר עדכונים אוטומאטיים שיעדכנו את מערכת ה-NAS באופן קבוע. עוד המלצה חשובה היא להיות ער למקרים חריגים, התרעות ואירועים שונים בזמן שהם קורים. מערכת ה-NAS מאפשרת קבלת הודעות מערכת דרך דואר אלקטרוני, SMS בסלולרי, והודעות בדפדפן שלך עם פרוץ אירועים שונים במערכת או כשקורות שגיאות. בתמונה המצורפת כאן ניתן לראות דוגמא אמיתית להודעת מערכת של סינולוג'י על מצב אחד הדיסקים (מתוך 4) שמצבו לא מזהיר בגלל סקטורים תקולים:

    הודעת מערכת של סינולוג'י על סקטורים פגומים בדיסק (צילום מסך מתוך הודעת דוא"ל)
  2. טיפ 2 – הפעל ותריץ Security Advisor – – האפליקצייה Security Advisor היא אפליקצייה שמותקנת מראש שנועדה לסרוק את את ה-NAS שלך ולגלות בעיות נפוצות במערכת ה- DSM ובקונפיגורצייה שלה. לאחר סריקה כזו, המערכת תציע מה עליך לעשות כדי שה-NAS שלך יהיה בטוח. לדוגמא, הסריקה תתריע על פרוטוקול SSH פתוח, תתריע על ניסיונות כניסה חריגות למערכת, או אם קבצי מערכת של DSM עברו שינוי. אנחנו גם ממליצים לאפשר בחשבון הסינולוג'י שלך (Synology Account) לקבל ניוזלטר של יועץ האבטחה של סינולוג'י ולהיות מעודכן בכל עדכוני המערכת שסינולוג'י מוציאה.
  3. טיפ 3 – בטח בספק הציוד שלך (סינולוג'י) Synology Product Security Incident Response Team (PSIRT) הוא אחראי להגיב ומהר על אירועי אבטחת מידע במוצרי סינולוג'י. כשקורים אירועים כאלה, מערכת Synology PSIRT תערוך תחקיר והערכת מצב תוך 8 שעות מקבלת מידע על האירוע ותוציא עדכון מערכת (PATCH) תוך 15 שעות כדי למנוע נזק פוטנציאלי נוסף ממתקפות של ZERO-DAY.
סינולוג'י PSIRT (צילום מסך אתר סינולוג'י)

אבטחה בראש מעייננו

אצל סינולוג'י, אבטחת מידע היא בעדיפות ראשונה. חברת סינולוג'י מחוייבת לסטנדרטים גבוהים של בטיחות, ולכן עורכת תוכניות יחודיות לפצחנים (HACKERS) מובילים בתחומם לשפר את אמצעי האבטחה של מוצרי סינולוג'י. חברת סינולוג'י מחוייבת גם לדאוג שמוצריה אמינים ובטוחים. סינולוג'י מכנה תוכניות אלו בשם – Bounty Program, ומקצה פרסים מכובדים לטובי המשתתפים בתוכנית.

פרסים גבוהים למצטייני התוכנית (צילום מסך אתר סינולוג'י)

ועוד כמה טיפים חשובים

מלבד כל מה שנכתב בסקירה מקיפה זו לשיפור אבטחת המידע במוצרי סינולוג'י, רצוי גם לעקוב וליישם את נוהלי הגלישה הבטוחה שלנו באינטרנט בכלל,  הנה כמה מהם:

  • לעולם אל תקיש על לינקים לא בטוחים שעלולים לסכן את המערכת שלך.
  • הימנע מפרסום אינפורמציה אישית ברשת האינטרנט.
  • אל תפתח קבצים נילווים חשודים לדוא"ל.
  • בזמן הורדת קבצים מרשת האינטרנט, השתמש במקורות בטוחים.
  • השתמש בסיסמאות חזקות ועדכן אותם באופן קבוע.
  • גבה את המידע שלך באופן קבוע ובצורה אוטומטית.

ולסיום

איומים באונליין תמיד מתפתחים ולכן אבטחת מידע חייבת להיות רבת פנים. וככל שאביזרי רשת מתרבים בבית או במשרד, קל יותר לפצחנים לגלות חורי אבטחה ולפרוץ לרשת שלנו. פעולות אבטחת מידע לרשת שלנו, למחשבים ולמערך האיחסון אינן אירוע חד פעמי. זהו תהליך שחייבים להיות מודעים לו כל הזמן ולפעול בהתאם. וכדי לדעת שהמידע שלנו בטוח גם במיקרים של אירוע קשה, על כל אחד מאיתנו להפעיל תוכנית גיבוי סדורה. במאמר הבא נסקור מספר פתרונות גיבוי שיעזרו לנו להגן על המידע שלנו במיקרה שמשהו ישתבש.

לשרשור תגובות לחץ כאן


6:00
  /  
29.9.2021
  

1