דפ"א ב'* / מי ניסה להקריס את מדינת ישראל בספטמבר 2018?
*דפ"א - דרך פעולה אפשרית
תזכורת 1:
לאורך שבועיים בחודש ספטמבר 2018, נותקו מאות אלפי מנויים מרשת פלאפון, עקב מה שהוגדר רשמית תקלה ברכיב הHLR שעבר שדרוג. HLR - Home Location Registering, מבלי להכנס ליותר מדי הנדסת רשתות סלולר- מדובר על מערכת האחראית על רישום המנויים הפעילים ברשת, סוג של אינדקס דינאמי שמתעדכן בכל פעם שמנוי מבקש לקיים שיחה. רכיב הHLR יוצר והותקן על ידי חברת HPE, חברת אחות לחברת המחשבים HP. התקלה השפיעה בחלק מהזמן על 100% ממנויי חברת פלאפון (2.2 מליון מנויים, כרבע מכלל מנויי הסלולר בישראל) ובחלק ניכר מהזמן על 400,000 מנויים מסויימים - לאורך שעות רבות ובמצטבר מעל 36 שעות. יתכן וההשפעה הייתה ארוכה ונרחבת יותר, אך בשעות הלילה.
"אנחנו משדרגים את רכיב hlr, והתקלה נובעת מפרויקט השדרוג הזה. כשהבחנו בתקלות ברשת, הסרנו עומסים וגילינו שרת תקול שעליו מנויים שהמספרים שלהם מתחילים ב-6 ו-7", רן גוראון, YNET.
נכון ליום 14.9.18, חברת פלאפון החזירה את המצב לאחור ומשתמשת במערכות הישנות שלה.
תזכורת 2:
קפיצה קטנה ל2010:
דיווחים שמגיעים מאיראן מודיעים כי איראן חשפה תוכנת ריגול / וירוס / רוגלה שגרמה לנזק נרחב למפעל הצנטריפוגות שלה - רכיב מרכזי בפרויקט הגרעין האיראני. הרוגלה בשם STOXNET, תקפה את מערכת ההפעלה WINDOWS ורכיב הבקרה של חברת סימנס וגרמה לכך שהצנטריפגות יצאו מכלל פעולה. לפי דיווחים אחרים, STOXNET פותחה על ידי שירותי הביון של ישראל וארה"ב והוחדרה למערכות האיראניות עוד בשלב יצורן מחוץ לאיראן.
תזכורת 3:
בסמיכות לתקלות בחברת פלאפון, הותקפו מאות אלפים (יתכן מיליונים) ממנויי הסלולר בישראל במתקפת פישינג - קבלת הודעת סמס, המתחזה לגוף לגיטימי ונסיון לדוג פרטים אישיים ופרטי כרטיס אשראי. הנסיונות התחזו למפעילים הסלולריים ולשופרסל.
חזרה לספטמבר 2018:
מעבר לבעיות שנגרמו למאות אלפי אנשים בכך שנותקו מהעולם, היו עוד עשרות עד מאות אלפי מנויים דוממים - מחשבים, ציוד ומכשור המחוברים לעולם באמצעות סים של פלאפון המאפשר גלישת אינטרנט. מה הקרוי: IOT. ממערכות השקייה, ועד בקרת לולים, שערים, מערכות רמזורים, מכוניות ועוד.
בואו נדבר על המשמעויות:
1. כאשר 25% ממנויי הסלולר בישראל מנותקים מהרשת, הדבר משפיע מיידית גם על 75% האחרים - אלה שמנסים להתקשר למנויי חברת פלאפון, לא מצליחים - בטוחים שהבעיה ברשת שלהם ויוצרים עומסים על מוקדי השירות של הרשתות האחרות.
2. תחשבו על בעלי תפקידים חיוניים המנותקים תקשורתית (צבא, משטרה, מד"א, בתי חולים, כיבוי אש, שב"כ, מוסד, תקשורת) - הגופים הממשלתיים עורכים מכרז לבחירת המפעילים הסלולריים מדי כמה שנים וחלק מהגופים הם מנויי פלאלפון.
3. זוכרים את ציוד הIOT?
זוכרים שאמרו למנויי פלאפון שהתקלה טופלה ויש לכבות ולהדליק את הטלפונים שלהם? עכשיו תחשבו על אלפי פריטי ציוד מכוונים שעושים "אתחול".
4. מאות אלפי מנויי טלפון מנותקים מהעולם = היסטריה. במיוחד במציאות הישראלית הלחוצה. תחשבו על הורים שמבינים שהם מנותקים טלפונית ופשוט נוסעים להוציא את הילדים שלהם מהגן באמצע היום. לכמה פקקים זה גורם? תחשבו על בעלי תפקידים חיוניים שאינם זמינים ואינם יכולים להגיב או לקבל החלטה קריטית.
5. מה הקשר למתקפת הפישינג?
א. בכדי לשלוח הודעת סמס, יש להתחבר לשרתי ההודעות של חברות הסלולר. אין כאן משהו מיוחד ויש בישראל כמה וכמה חברות שעושות זאת ומאפשרות ללקוחות לשלוח הודעות סמס בכמויות - בתשלום כמובן. כלומר, להבדיל ממייל ויראלי, בכדי לשלוח סמס המזוהה על ידי המפעיל (ההודעות הגיעו עם שם המפעיל) יש לשלם סכומים לא מבוטלים כאשר מדובר במאות אלפי הודעות.
ב. כאשר מישהו מקבל הודעת פישינג ולוחץ על לינק המופיע בה, ישנה אפשרות להוריד לטלפון שלו תוכנה זדונית, במקביל לנסיון לדוג את פרטיו. התוכנה כזו יכולה לבצע משהו מאוד פשוט, לדוגמה: העלאת מספר הפעמים בהם המכשיר מזדהה מול הרשת. מX פעמים בדקה ל3X. התוצאה: עומס קיצוני וקריסת רשת.
ג. אף חברה שהתחזו אליה לא התייחסה למתקפת הפישינג בזמן אמת (במהלך הסופ"ש) ואף גורם ממלכתי (רשות הסייבר?) לא התייחס לכך.
התרחיש האפשרי:
במשך שבועיים, ישראל חוותה את אחת ממתקפות הסייבר היותר גדולות מעולם. המתקפה זיהתה נקודות תורפה: החלפת רכיב מהותי של מפעיל סלולר מרכזי וקלות היכולת לשליחת סמסים מתחזים באמצעות המפעילים ללא חסמים כלשהם.
דרכי הפעולה האפשרית: שתילת תוכנה זדונית ברכיב המערכת החדש (HLR) שהוסווה היטב והופעל על ידי טריגר במתקפת הפישינג - שהיוותה הסחה.
התוצאה: המתקפה הצליחה לגרום לקריסת תשתית חיונית וגרימת נזקים של מליוני שקלים.
ההערכה: מדובר בתרגול מערכות לקראת התקפה יותר משמעותית על 2, או יותר, מפעילים במקביל מתוך מטרה להשבית או לפגוע מהותית במשק הישראלי.
מועד אפשרי לביצוע התקפה כזו: ביום הבחירות או בסמוך לו.
לאורך שבועיים בחודש ספטמבר 2018, נותקו מאות אלפי מנויים מרשת פלאפון, עקב מה שהוגדר רשמית תקלה ברכיב הHLR שעבר שדרוג. HLR - Home Location Registering, מבלי להכנס ליותר מדי הנדסת רשתות סלולר- מדובר על מערכת האחראית על רישום המנויים הפעילים ברשת, סוג של אינדקס דינאמי שמתעדכן בכל פעם שמנוי מבקש לקיים שיחה. רכיב הHLR יוצר והותקן על ידי חברת HPE, חברת אחות לחברת המחשבים HP. התקלה השפיעה בחלק מהזמן על 100% ממנויי חברת פלאפון (2.2 מליון מנויים, כרבע מכלל מנויי הסלולר בישראל) ובחלק ניכר מהזמן על 400,000 מנויים מסויימים - לאורך שעות רבות ובמצטבר מעל 36 שעות. יתכן וההשפעה הייתה ארוכה ונרחבת יותר, אך בשעות הלילה.
"אנחנו משדרגים את רכיב hlr, והתקלה נובעת מפרויקט השדרוג הזה. כשהבחנו בתקלות ברשת, הסרנו עומסים וגילינו שרת תקול שעליו מנויים שהמספרים שלהם מתחילים ב-6 ו-7", רן גוראון, YNET.
נכון ליום 14.9.18, חברת פלאפון החזירה את המצב לאחור ומשתמשת במערכות הישנות שלה.
תזכורת 2:
קפיצה קטנה ל2010:
דיווחים שמגיעים מאיראן מודיעים כי איראן חשפה תוכנת ריגול / וירוס / רוגלה שגרמה לנזק נרחב למפעל הצנטריפוגות שלה - רכיב מרכזי בפרויקט הגרעין האיראני. הרוגלה בשם STOXNET, תקפה את מערכת ההפעלה WINDOWS ורכיב הבקרה של חברת סימנס וגרמה לכך שהצנטריפגות יצאו מכלל פעולה. לפי דיווחים אחרים, STOXNET פותחה על ידי שירותי הביון של ישראל וארה"ב והוחדרה למערכות האיראניות עוד בשלב יצורן מחוץ לאיראן.
תזכורת 3:
בסמיכות לתקלות בחברת פלאפון, הותקפו מאות אלפים (יתכן מיליונים) ממנויי הסלולר בישראל במתקפת פישינג - קבלת הודעת סמס, המתחזה לגוף לגיטימי ונסיון לדוג פרטים אישיים ופרטי כרטיס אשראי. הנסיונות התחזו למפעילים הסלולריים ולשופרסל.
חזרה לספטמבר 2018:
מעבר לבעיות שנגרמו למאות אלפי אנשים בכך שנותקו מהעולם, היו עוד עשרות עד מאות אלפי מנויים דוממים - מחשבים, ציוד ומכשור המחוברים לעולם באמצעות סים של פלאפון המאפשר גלישת אינטרנט. מה הקרוי: IOT. ממערכות השקייה, ועד בקרת לולים, שערים, מערכות רמזורים, מכוניות ועוד.
בואו נדבר על המשמעויות:
1. כאשר 25% ממנויי הסלולר בישראל מנותקים מהרשת, הדבר משפיע מיידית גם על 75% האחרים - אלה שמנסים להתקשר למנויי חברת פלאפון, לא מצליחים - בטוחים שהבעיה ברשת שלהם ויוצרים עומסים על מוקדי השירות של הרשתות האחרות.
2. תחשבו על בעלי תפקידים חיוניים המנותקים תקשורתית (צבא, משטרה, מד"א, בתי חולים, כיבוי אש, שב"כ, מוסד, תקשורת) - הגופים הממשלתיים עורכים מכרז לבחירת המפעילים הסלולריים מדי כמה שנים וחלק מהגופים הם מנויי פלאלפון.
3. זוכרים את ציוד הIOT?
זוכרים שאמרו למנויי פלאפון שהתקלה טופלה ויש לכבות ולהדליק את הטלפונים שלהם? עכשיו תחשבו על אלפי פריטי ציוד מכוונים שעושים "אתחול".
4. מאות אלפי מנויי טלפון מנותקים מהעולם = היסטריה. במיוחד במציאות הישראלית הלחוצה. תחשבו על הורים שמבינים שהם מנותקים טלפונית ופשוט נוסעים להוציא את הילדים שלהם מהגן באמצע היום. לכמה פקקים זה גורם? תחשבו על בעלי תפקידים חיוניים שאינם זמינים ואינם יכולים להגיב או לקבל החלטה קריטית.
5. מה הקשר למתקפת הפישינג?
א. בכדי לשלוח הודעת סמס, יש להתחבר לשרתי ההודעות של חברות הסלולר. אין כאן משהו מיוחד ויש בישראל כמה וכמה חברות שעושות זאת ומאפשרות ללקוחות לשלוח הודעות סמס בכמויות - בתשלום כמובן. כלומר, להבדיל ממייל ויראלי, בכדי לשלוח סמס המזוהה על ידי המפעיל (ההודעות הגיעו עם שם המפעיל) יש לשלם סכומים לא מבוטלים כאשר מדובר במאות אלפי הודעות.
ב. כאשר מישהו מקבל הודעת פישינג ולוחץ על לינק המופיע בה, ישנה אפשרות להוריד לטלפון שלו תוכנה זדונית, במקביל לנסיון לדוג את פרטיו. התוכנה כזו יכולה לבצע משהו מאוד פשוט, לדוגמה: העלאת מספר הפעמים בהם המכשיר מזדהה מול הרשת. מX פעמים בדקה ל3X. התוצאה: עומס קיצוני וקריסת רשת.
ג. אף חברה שהתחזו אליה לא התייחסה למתקפת הפישינג בזמן אמת (במהלך הסופ"ש) ואף גורם ממלכתי (רשות הסייבר?) לא התייחס לכך.
התרחיש האפשרי:
במשך שבועיים, ישראל חוותה את אחת ממתקפות הסייבר היותר גדולות מעולם. המתקפה זיהתה נקודות תורפה: החלפת רכיב מהותי של מפעיל סלולר מרכזי וקלות היכולת לשליחת סמסים מתחזים באמצעות המפעילים ללא חסמים כלשהם.
דרכי הפעולה האפשרית: שתילת תוכנה זדונית ברכיב המערכת החדש (HLR) שהוסווה היטב והופעל על ידי טריגר במתקפת הפישינג - שהיוותה הסחה.
התוצאה: המתקפה הצליחה לגרום לקריסת תשתית חיונית וגרימת נזקים של מליוני שקלים.
ההערכה: מדובר בתרגול מערכות לקראת התקפה יותר משמעותית על 2, או יותר, מפעילים במקביל מתוך מטרה להשבית או לפגוע מהותית במשק הישראלי.
מועד אפשרי לביצוע התקפה כזו: ביום הבחירות או בסמוך לו.
For more innovation news: t.me/innovationow
חשוב מאוד לבחון את האפשרות הזו, אני אתפלא מאוד אם זה לא בוצע בפועל, וכמובן שאם זה בוצע זו לא תהיה פעילות שחשופה לציבור, וכנראה גם לא למרבית עובדי פלאפון
השבמחקועדיין, בנק הפועלים היה מושבת לפני כמה שנים לכמעט שבוע, בגלל שדרוג לקוי במערכת בסיס הנתונים שלו (אם אני זוכר DB2 של המיינפריים) שלא לקח בחשבון מספר נתונים לגבי המערכת שבדיעבד כמובן זה נראה נורא דבילי שלא לקחו אותם בחשבון
בשנת 2004 הגעתי לעבוד בחברה שהבעיה העיקרית שלה הייתה תוכנה עם המון בעיות, שהלקוחות שלהם לא רצו לשדרג את התוכנה שלהם כי השדרוגים פגעו בדברים שכבר עבדו (מה שנקרא regression). הם השתדלו מאוד לתקן את הרושם הזה, אבל גם שם וגם במקומות אחרים כאשר עושים שדרוג תוכנה, זה לא תמיד עובד כמו שצריך.
הפקטורים של מורכבות המערכת ומספר המשתמשים שהמערכת משפיעה עליהם הם גורמים משפיעים באופן מעריכי על המורכבות של השדרוגים והיכולת לצפות את כל ההתפתחויות האפשריות מראש.
ולאחר שכתבתי מה שכתבתי מבחינה מקצועית, אני מבחינה אישית מתעב את חברת פלאפון, מעולם לא הייתי לקוח שלהם ולעולם לא אהיה ולא משנה כמה הנחה הם יתנו לי, ולדעתי האישית הם תופסים תחת על המשתמשים שלהם עוד מהימים שהם היו ספק יחיד בארץ, וזה למרות חלוף הזמן והתחלפות דורות דבר שמאוד קשה לשרש מהתרבות החברתית.
שימו לב שחברת "גולן טלקום" הם לא ספק תשתית אלא רק ספק טלפוניה, מה שאומר שאין להם תשתית תקשורת משלהם. למה זה חשוב? זה חשוב בגלל שמהסיבה הזו אין להם מחוייבות לחברת תשתית אחת, והם אכן חתומים על חוזים תשתיתיים עם יותר מחברה סלולרית אחת, מה שאומר שהקליטה של מנויי גולן טלקום היא תמיד יותר טובה מאשר של כל חברה אחרת בנפרד. גילוי נאות אני מנוי מרוצה מאוד מאוד שלהם כבר הרבה מאוד שנים
היי זאפוד (42?),
מחקזה נכון שבעת שדרוג תשתיות שיט האפנס, זה לא פוסל את האפשרות לניצול הזדמנות להתקפת סייבר.
התקנה / שדרוג רכיב HLR היא תהליך שכל מפעיל עובר כל כמה שנים והוא אמור להיות שקוף למשתמשים ויתכן באמת שזו רק התקנה לא תקינה. שילוב האירועים וחוסר התגובה למתקפת הפישינג - מעלה את התהיות שהעליתי.
מאחל לך שימוש נעים וחוויית לקוח איכותית בכל מפעיל שתבחר. שנה טובה :)