ביום שלישי אחר הצהריים, אתר האינטרנט של הניו יורק טיימס הפך לבלתי נגיש והיה נקודתי בחלק גדול של יום רביעי. איך יכלה אחת מחברות המדיה הגדולות בעולם לרדת ליום או יותר?
מסתבר שהאתר של הניו יורק טיימס נפגע במתקפת מערכת שמות דומיין, שבה האקרים מכוונים את המערכת התואמת כתובת אתר אינטרנט - כמו nytimes.com - לשרתים שבהם מאוחסן תוכן האתר הזה. אף אחד מהתוכן של הניו יורק טיימס לא הושפע; אנשים פשוט לא מצאו את זה.
הבועט: נימוסי אבטחה פשוטים עשויים היו למנוע את ההתקפה.
רשומות ה-DNS של הניו יורק טיימס מנוהלות על ידי חברה אוסטרלית בשם Melbourne IT, רשם דומיינים הדומה לחברה האמריקאית GoDaddy.
נראה שההאקרים שפגעו בניו יורק טיימס הצליחו לחדור לאבטחת ה-IT של מלבורן על ידי רכישת שם משתמש וסיסמה של מנהל מערכת.
מארק פרונס, קצין המידע הראשי של ה"טיימס", אמר במאמר של העיתון עצמו על הפריצה שנראה שהאשם הוא "הצבא האלקטרוני הסורי, או מישהו שמשתדל מאוד להיות הם".
זה לא אומר לנו הרבה. ה-SEA היא קבוצת האקרים שנראית קשורה באופן רופף למשטרו של נשיא סוריה בשאר אל-אסד או אוהדת אותו. גם ה-SEA פעיל מאוד לאחרונה: בחודשים האחרונים הוא לקח אחריות על התקפות על The Onion, National Public Radio והבלוג של הכתב הבריטי ג'ון סנואו (אין קשר למשחקי הכס).
מהי התקפת DNS?
DNS הוא חלק חיוני מארכיטקטורת המידע של האינטרנט.
"DNS קיים בעיקרו מאז שהרשת התחילה... [ו] מהמקור שלו הוא לא נבנה כדי לתמוך באינטרנט כפי שהוא קיים היום", אמר קווין אובריאן, ארכיטקט פתרונות ארגוניים מ-Cloudlock, חברה מבוססת ענן חברת אבטחת מידע.
לפי אובריאן, ל-DNS יש מספר פגמים מבניים, שההאקרים של הניו יורק טיימס ניצלו כדי להפיל את האתר.
כך עובד DNS: כאשר אתה רוצה להיכנס לאתר, אתה מקליד את שם הדומיין של האתר. במקרה של הניו יורק טיימס, זה nytimes.com, הזכויות עליהן רכש מרשם שמות מתחם, במקרה זה, Melbourne IT.
כאשר מלבורן IT רשמה את שם הדומיין הזה, היא יצרה ערך ברישום ה-DNS שחיבר את "nytimes.com" לכתובת פרוטוקול האינטרנט של שרתי הניו יורק טיימס, 170.149.168.130.
רישום זה הכרחי מכיוון ששמות תחום תוכננו כך שיובנו בקלות על ידי בני אדם, לא על ידי מחשבים. שמות מתחם אינם מצביעים על תוכן אינטרנט באופן שמחשב יכול להבין. באופן דומה, כתובות IP אינן ידידותיות למשתמש עבור בני אדם.
אז כשאתה מקליד "nytimes.com", דפדפן האינטרנט שלך מחבר אותך לאחד משרתי ה-DNS הרבים שבהם מאוחסן הרישום ומתאים את הטקסט הזה לכתובת ה-IP הרשומה המתאימה 170.149.168.130.
ההאקרים הסתכלו על המקור. הם רכשו שם משתמש וסיסמה IT במלבורן, נכנסו למערכת של הרשם ושינו את רשומות ה-DNS שיצאו לאחר מכן לשרתי DNS ברחבי האינטרנט.
אובריאן השווה שרתי DNS לספר טלפונים: אנשים יכולים לחפש בספר לפי שם של אדם ולמצוא את הערך שמחבר את האדם למספר טלפון. מה שההאקרים עשו זה כמו לשנות את המספר ליד שמו של הניו יורק טיימס בספר הטלפונים.
השינוי הזה לקח כנראה בערך 15 דקות לעשות, אמר או'בריאן. לאחר שההאקרים ביצעו את השינוי, לקח זמן עד שהשינוי הזה התפשט לשרתי ה-DNS של האינטרנט.
לחלון קצר, הקלדת nytimes.com בדפדפן שלך הובילה אותך, לא לשרתי הטיימס, אלא לאתר אינטרנט בנושא SEA המכיל את ההודעה "פרוץ על ידי הצבא הסורי האלקטרוני".
עם זאת, רוב הזמן דפדפנים פשוט לא הצליחו לאתר כתובת IP המשויכת לשם התחום www.nytimes.com, וכתוצאה מכך הודעת שגיאה בדפדפן.
מבחינה טכנית, אתרי אינטרנט אינם זקוקים לשמות דומיין, ואתר הטיימס מעולם לא באמת ירד. אבל כדי לגשת אליו, היית צריך לדעת את כתובת ה-IP 170.149.168.130 ולהזין אותה בדפדפן שלך.
כיצד למנוע התקפת DNS
האם הניו יורק טיימס יכול היה למנוע את ההתקפה הזו? כמו תמיד במקרה של אבטחה מקוונת, אין דבר כזה חסין תקלות. עם זאת, יש כמה דברים שהטיימס, ומלבורן IT, היו יכולים לעשות כדי להפוך את המתקפה הזו לקשה יותר ואולי אפילו בלתי אפשרית לביצוע.
לדוגמה, הם יכלו לעשות נעילת רישום. לעתים קרובות, רשמי DNS נותנים ללקוחות שלהם את האפשרות הזו, שכאשר היא מיושמת מקשה מאוד על כל אחד לשנות את רשומות ה-DNS השולטות בקישורים בין שם דומיין לכתובת IP. החיסרון של נעילת רישום הוא בכך שהיא מאריכה את משך הזמן הדרוש לביצוע שינויים מבניים כלשהם ברישום.
עם זאת, אובריאן ציין שההאקרים לא גרמו נזק מהותי לא לארכיטקטורת האתר של הניו יורק טיימס ולא של מלבורן IT. במקום זאת, הם רכשו אישורי כניסה, בין אם על ידי גניבה או על ידי הטעיית עובד לחשוף אותם. זה ההבדל בין לחבוט בדלת לבין גניבת מפתח.
"הסיבה שאאפיין את הפריצה הזו כבלתי בשלה היא [מכיוון] שמישהו קיבל שם משתמש וסיסמה ונכנס למערכת [Melbourne IT]. הם לא עשו שום דבר סופר-טכני או מסובך. זה לא היה ה-IT של מלבורן נכשל מיסודו, זה שאמצעי זהירות לא הופעלו".
אמצעי הזהירות שניתן היה ליישם כוללים אימות דו-שלבי, המחייב אנשים המעוניינים להיכנס למערכת לדעת סיסמה ואז להזין פיסת מידע שנייה - בדרך כלל מחרוזת מספרים שנשלחת לטלפון סלולרי. ללא הסלולרי הנכון - שקשה יותר לגנוב מסיסמה - האקרים לא יוכלו לחדור למערכת.
אבל מה לגבי ארכיטקטורת ה-DNS עצמה? אם עמוד השדרה של האינטרנט פגום מיסודו או מיושן, האם הגיע הזמן להחליף DNS במערכת טובה יותר?
"זה צץ מעת לעת, ויש רעיונות לסוגים אחרים של ניהול תקליטים", אמר אובריאן. לדוגמה, כמה מומחים הציעו סוג כלשהו של הרחבות לדפדפן שיסייעו "לחלוק את העומס" של חיבור שמות דומיין עם כתובות IP.
עם זאת, יישום סוג כזה של שינוי גורף פירושו שיפוץ מסיבי לאופן הפעולה של האינטרנט. "תזדקק למישהו עם סמכות ברמה ממשלתית, וכנראה ברמה בין-ממשלתית, כדי ליצור אינטרנט שלא מסתמך על DNS", אמר או'בריאן.
ארכיטקטורת האינטרנט לא השתנתה במשך שנים, מה שאומר שהיא לא צפויה להשתנות בזמן הקרוב.
"אתה יכול לחזור לאמצע שנות ה-90 ולראות שבאותה תקופה כמה נקודות תורפה די משמעותיות [ב-DNS] נחשפו על ידי האקרים בולטים", אמר אובריאן. "והנה אנחנו ב-2013, ואנחנו עדיין פגיעים".
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
