• 053-9263856
  • mikel0174@gmail.com
Facebook-f Twitter Instagram Youtube Linkedin Whatsapp
מחירים
המלצות
יצירת קשר
חיפוש

אתר זה מקודם בגוגל בלי קישורים

המלצות

שירביט בהיבט אישי

כמה עובדות לפני ניתוח ספציפי של שירביט ובכלל

אירועי סייבר היו , מתרחשים כל רגע וימשיכו לקרות.

לא ניתן להתגונן ב100% אבל ניתן לצמצם נזקים.

דלף מידע אינו אירוע סייבר.

הנדסה חברתית הינה אירוע סייבר ופלילי לכל עניין ודבר.

מה מטרת הרעים באירוע שירביט?

כסף משירביט? לדעת כותב המאמר ממש לא.

מנהלי המו”מ מטעם שירביט חשבו שהתוקפים מטומטמים (יפלו למשל בביטויים כמו סלנג ברוסית) והתוצאה יצאה קצת אחרת.

 

מטרת התוקפים לא הייתה מעולם הוצאת כסף משירביט כי אם היה לשירביט כסף למה לא הגנה מפני האירוע לסביר להניח יגרום לסגירתה?

נ.ב

מדובר בדעה אישית ויכול להיות שאני טועה, רק משתף מה שחושב למטרת טובת הכלל.

אירוע שירביט- מה קרה ואיך זה התחיל?

מערך הסייבר הודיע ב1 לדצמבר על דלף מידע ענק ורגיש מחברת הביטוח שירביט.

מאגר עם מידע על כל מבוטחי שירביט ולא רק נופל לידיהם של האקרים.

סביר להניח שבתאריך ההודעה של מערך הסייבר קצת לפני גילו את הדליפה בחברת הביטוח 

או מישהו שמקושר או ממקור אחר בתחום הביטוח ואו אבטחת המידע העביר את הידיעה והבלאגן החל.

נניח ואני הייתי הרע, מה הייתי עושה כדי לבצע את ה”פריצה”?

לא ממש פריצה ע”פ ההגדרות שלי אישית למונחי סייבר.

שלב ראשון איסוף מודיעין\מידע\כלים שיעזרו לי להבין מהן החולשות.

שלב 2: 

ניצול החולשות אבל זו דרך יחסית מורכבת וארוכה מידי ואין לי זמן (נניח ואני האקר מאוד עסוק, רק נניח)

מרגע ההחלטה שלי שלא בא לי כל כך להתאמץ אני אבחר בהנדסה חברתית.

מה ניתן לדעת מבחוץ ומגוגל על האירוע ועל שירביט?

איך ולמה דבר כזה קורה?

הסיבה היא רשלנות, הפתרונות להגנה קיימים ב90% ועוד 9% נסגרים ע”י כוח אדם מיומן כגון אנשי אבטחת המידע בארגון ואו גוף חיצוני צד ג’ soc למשל כלשהו כשירות צד ג’.

מה ניתן ללמוד עם דפדפן, חיבור לאינטרנט וגוגל על פרשת שירביט?

מאחר ובחרתי בהנדסה חברתית אני צריך למצוא את האנשים שדרכם אנסה להשיג כניסה ומשם מידע שיכול להיות לי בעל ערך רב.

משימה ראשונה:

מיהם האחראים על אבטחת המידע בארגון?

משימה שנייה:

השגת כמה שיותר  מידע בכל הדרכים האפשריות הלגיטימיות והלא כל כך לגיטימיות  כדי להתקדם אבל במאמר זה יידונו רק השיטות הלגיטימיות דהיינו דרך גוגל במידע שפתוח לכל גולש חופשי חופשי.

הסרטון “אתר לא מאובטח”נכון לתאריך המצויין בסרטון  ה7 בדצמבר 2020

 

סעיף א’ : איך יהיה מנעול אם אין לאתר תעודת אבטחה אפילו חינמית איך?

סעיף ה’: 

האתר והתקשורת אליו לא מאובטחים ויכולים להיפגע ולפגוע אז מה זה משנה אם המחשב של המשתמשים יהיה נגוע? המשתמשים הם משתמשים ולא מבינים בסכנות סייבר.

איסוף מידע מחייב ניהול מאגר, למה אין לכם ולמה הרשות להגנת הפרטיות לא אכפה את החוק והתקנות על חברת ביטוח שמבטחת את האוכלוסייה בין היתר הרגישה ביותר מבחינת נזק אפשרי. (מוסדות ממשלתיים ובטחון)

מיהם האחראים על אבטחת המידע? 

למי יש הכי הרבה גישה מעל כולם למשל מי הsuper admin\root?

כדי שלא אצטרך לבצע privilege escalation כי אני עסוק ורוצה לחסוך זמן?

בבירור למי שייך הדומיין של שירביט או מי רשום עליו כאיש קשר נמצא כי

אלו האחראים: 

מצד שמאל לטקסט זה בתצוגת עמוד בשולחני

המידע שהושג עד כה בפחות מדקה:

Avi Bar-Zakai
barzakai@shirbit.co.il
Kostya Ludrinsky
Kostya@shirbit.co.il


לאחר 10 דק’  (כי עשיתי הפסקת אספרסו וחיפשתי סוכר שנגמר) יש לי תמונות והיסטוריה מקצועית כמו גם חברים וקולגות ואנשי קשר.

רשימת הסאבדומיינים שהם גם הגישה למקומות רגישים מאוד וכ70% מהם לא היו ממש מאובטחים (בלשון המעטה)

mail2.shirbit.co.il

mail3.shirbit.co.il

mail4.shirbit.co.il

qa.shirbit.co.il

owa.shirbit.co.il

safe.shirbit.co.il

ark.shirbit.co.il

mail.shirbit.co.il

ssl.shirbit.co.il

campaigns.shirbit.co.il

bit.shirbit.co.il

agnt.shirbit.co.il

int.shirbit.co.il

www.shirbit.co.il

ibay.shirbit.co.il

campaigns.shirbit.co.il

cpanel.campaigns.shirbit.co.il

cpcalendars.campaigns.shirbit.co.il

cpcontacts.campaigns.shirbit.co.il

mail.campaigns.shirbit.co.il

webdisk.campaigns.shirbit.co.il

webmail.campaigns.shirbit.co.il

www.campaigns.shirbit.co.il

campaigns.shirbit.co.il

cpanel.campaigns.shirbit.co.il

mail.campaigns.shirbit.co.il

webdisk.campaigns.shirbit.co.il

webmail.campaigns.shirbit.co.il

www.campaigns.shirbit.co.il

qa.shirbit.co.il

www.qa.shirbit.co.il

shirbit.co.il

www.shirbit.co.il

וקטור ההתקפה בו אני הייתי משתמש אם הייתי מהרעים (אני לא).

דרך הנתונים הקיימים באינטרנט\גוגל ופתוחים ונגישים לכל העולם ללא ידע טכני מקצועי מיוחד הייתי מייצר את השלבים הבאים:

  1. יוזם קשר עם חברת קאלי (סילבניה) ועם הפיזיותרפיסט ומייצר קשר אישי כלקוח או חבר חדש שמעוניין בקשר עסקי שהנ”ל (המטרות רק יוכלו להרוויח ממנו).
 
  1. איסוף נתונים כדרך אגב מיחסי חברות או יצירת קשר ע”ב פן מקצועי עד להתקנת תוכנת איסוף\ריגול.
 
  1. שימוש בהנדסה חברתית על האחראים לאבטחת המידע בארגון עד להשגת reverse shell או קשר אחר ואז priv escalation לאדמין ואז לאט לאט תוך כדי שיבוש הליכי בקרה אם קיימים במערכות למשל
  2. הרשאות AD או הורדת ושיבוש rules בFW והמשך לips\ids שלא היו קיימים במקרה הנ”ל.
 
  1. אם סעיף 3 הולך קשה הייתי מיישם קשר שבו אני אוכל לבצע שיחה מפל’ של אחת המטרות ואז הדרך להתקנת מעקב הינו פחות מחצי דקה בהסוואה של שיחה.
  2.   כמובן שניתן לבצע זאת גם מרחוק בדרך שלא תפורט כאן במאמר זה או בכלל.
כאמור אני מהטובים אז לא הייתי עושה שום דבר מהמוזכר כאן !!

תזכורת קטנה שמדובר בדיעות אישיות שלי כותב המאמר ואין הוכחות חותכות מלבד הגיון בריא ו"קצת ידע טכני" 🙂

שאלות שעל חלקן לא ממש קל לענות:

  • מי אחראי מבחינת החוק על המחדל?
  • האם מדובר בהתקפה אישית נגדר חברת ביטוח שירביט או נגד גוף ממשלתי למשל האוצר\הביטוח (הרגולטור) ואו מערך אבטחת מידע כלשהו אפילו ברמת האחסון?
 
  • האם המטרה הייתה כסף מכיוון של כופר או סחיטה או אולי עסקי של גוף מתחרה לשירביט?
  • האם ניתן למנוע את הדלף הבא  בסדר הגודל הנ”ל וכיצד?

האם ההתנהלות מול התוקפים\גנבים הייתה מקצועית או נבעה מתוך חוסר מקצועיות מאחר

 ובמבחן התוצאה לא ממש ניתן היה למנוע נזק, אם הייתה הבנה מקצועית בנושאי דלף אזי

 לא היה מתנהל בכלל משא ומתן כי המדיניות של ממשלת\מדינת ישראל היא לא לנהל מו”מ עם חוטפים או סחטנים ולאו דווקא בנושא אבטחת מידע.

  • האם גורמים ישראליים מעורבים ומה ההיתכנות שכן?
אין מניעה מלחשוב שהתוקפים ישראלים אם חושבים על מי בעצם מרוויח מאירוע דליפת \זליגת המידע הנ”ל ומי שכר את שירותיהם של אותם עבריינים\האקרים.

  • מי הכי מרוויח מכל הסיפור ומי הכי מפסיד?
אם אני הייתי חברת ביטוח מתחרה ונלחם בכל רובד שהוא
וכל האמצעים כשרים אזי הייתי מנסה לחבל אצל מתחרים כמו שעושים בפוליטיקה ובעולם  העסקים ובמציאות היומיומית במיוחד במנטליות הישראלית.

 

נניח ויש לי חברת ביטוח שאני מעוניין לקלוט 10% מלקוחות שירביט הרי שאם שירביט תובך בצורה כזו או אחרת הלקוחות כמו אנרגיה לא ייעלמו אלא יתפזרו לחברות ביטוח אחרות.

מאוד מאוד פשוט!!

אם חברות ביטוח אחרות היו יכולות לצעוק : רק לא שירביט כמו ה….  שצועקים רק לא ביבי החיים היו פשוטים יותר.

 

אני בטוח (כותב המאמר) שחברות ביטוח אחת לפחות אם לא כמה התארגנו וארגנו את אותו מחדל ושירביט לא ממש הייתה יכולה לעשות משהו אלא כל חטאה היה שגדלה יותר מידי לדעת המתחרים שלה.

דעה פרטית והמלצה איך להימנע מקטסטרופה דומה ולא רק לחברות ביטוח או גדולות.

להלן דעותיי בהקשר ואינן נובעות ממעורבות כלשהי או ידע נסתר ואו אינטרס לא טהור לעזור למניעה של הישנות דליפות מהסוג הנ”ל:

כשממנים ciso כזה או אחר חשוב לבדוק שאכן הידע המקצועי על איומים קיים אפילו ברמת hands on בצוות ולא להסתמך על צד ג’ כי עליו קשה יותר לפקח.

ciso של ארגון מהסוג האמון על מידע רגיש כל כך למשל ת.ז וכרטיסי אשראי ותעודות שחרור ועוד פרטים רגישים מאוד כדאי שיעבור על ידי גופים ממשלתיים ביקורות שנתיות למשל 

יישום תקנים כגון 27001 או אפילו מחמירים יותר כגון 62443 לגופים רגישים אפילו עוד יותר למשל תמ”ק.

יישום חובת הדרכות ומבחנים מטעם צד ג’ נייטרלי אובייקטיבי לבחינת רמה מקצועית ומודעות לסיכונים.

בתחילת פוסט זה מובאות דוג’ עם תמונות לכמה רגיש הוא החומר שאותו כל אחד מאיתנו (לפחות חלקנו) 

משתף עם כל העולם וזה בסדר אבל חשוב לזכור שגורמים לא כל כך חיוביים יכולים לעשות בו שימוש לרעה כאמור. 

תוייג