קטגוריה: Uncategorized

מתקפת ממסר (Relay Attack)

בעולם אבטחת הרשתות, מתקפות "אדם בתווך" (Man-in-the-Middle) נחשבות לאיום קלאסי. עם זאת, וריאציה מתוחכמת ומסוכנת במיוחד של מתקפה זו היא "מתקפת ממסר" (Relay Attack), המנצלת חולשות יסוד בפרוטוקולי אימות (Authentication) רבים.

בניגוד למתקפת "שידור חוזר" (Replay Attack), שבה התוקף מקליט נתוני אימות (כמו גיבוב סיסמה) ומנסה להשתמש בהם במועד מאוחר יותר, מתקפת הממסר פועלת בזמן אמת.

מהי מתקפת ממסר?

מתקפת ממסר היא טכניקה שבה התוקף ממקם את עצמו בין קורבן לגיטימי (Client) לבין שרת היעד (Server) ומשמש כ"גשר" או "צינור" שקוף. התוקף אינו צריך לפצח סיסמאות או לפענח הצפנה; הוא פשוט מעביר (relays) את תעבורת האימות "החיה" בין שני הצדדים, וחוטף את הסשן המאומת לעצמו.

האנטומיה של המתקפה

התרחיש הקלאסי דורש שלושה רכיבים:

  1. הקורבן (Client): משתמש לגיטימי המנסה להתחבר לשירות.
  2. השרת (Target): שרת היעד המאובטח אליו הקורבן מנסה לגשת.
  3. התוקף (Attacker): פועל כשליח (Proxy) דו-כיווני בין הקורבן לשרת.

שלבי המתקפה:

  1. יירוט (Intercept): הקורבן יוזם חיבור לגיטימי. התוקף מיירט את הבקשה הזו (למשל, באמצעות ARP Spoofing ברשת מקומית, או הונאת DNS).
  2. יצירת קשר (Initiate): התוקף פותח סשן נפרד מול שרת היעד, ומתחזה להיות הקורבן.
  3. הממסר (The Relay):
    • שרת היעד שולח "אתגר" (Challenge) לתוקף (מתוך מחשבה שהוא מדבר עם הקורבן).
    • התוקף מעביר (relays) את האתגר הזה באופן מידי לקורבן.
    • הקורבן, שמאמין שהוא מדבר ישירות עם השרת, פותר את האתגר (למשל, חותם עליו עם ה-Credentials שלו) ושולח את ה"תגובה" (Response) בחזרה.
    • התוקף מיירט את התגובה החוקית ומעביר אותה לשרת היעד.
  4. הצלחה (Success): שרת היעד מאמת את התגובה, מאשר את הסשן, ומעניק לתוקף גישה מלאה.

מדוע מתקפה זו כל כך אפקטיבית?

מתקפות Relay מצליחות לעקוף מנגנוני הגנה מודרניים רבים, כולל סיסמאות חד-פעמיות (OTP) ואימות מבוסס-אתגר (Challenge-Response), מכיוון שהתוקף אינו צריך לדעת את הסוד. הוא פשוט משתמש בקורבן הלגיטימי כ"אורקל" חי הפותר עבורו את האתגרים בזמן אמת.

החולשה הבסיסית נעוצה בפרוטוקולים שאינם כוללים "כריכת ערוץ" (Channel Binding) – כלומר, פרוטוקולים שבהם תהליך האימות אינו קשור קריפטוגרפית לערוץ התקשורת המאובטח (כמו ה-TLS) שבו הוא מתבצע.

דוגמאות נפוצות ושיטות הגנה

  • NTLM Relay: מתקפה קלאסית ברשתות ווינדוס. ניתן למנוע אותה על ידי אכיפת SMB Signing (המונעת יירוט תעבורת SMB) ושימוש בפרוטוקולים עמידים יותר כמו Kerberos.
  • NFC / Contactless Relay: כפי שנצפה לאחרונה, ניתן לבצע Relay גם לפרוטוקולים פיזיים. הנוזקה במכשיר הקורבן מיירטת את אות ה-NFC מול מסוף התשלום (PoS) ומשדרת אותו דרך האינטרנט למכשיר התוקף, שנמצא מול מסוף PoS אחר.
  • OAuth Relay: ניצול לרעה של תהליכי אישור (Consent) שבהם אסימון הגישה (Access Token) נשלח לתוקף במקום לאפליקציה הלגיטימית.

הגנה אפקטיבית מפני מתקפות Relay דורשת הגנה רב-שכבתית: אכיפת פרוטוקולי אימות הדדי (Mutual Authentication), יישום קפדני של הגנות כמו EPA (Extended Protection for Authentication) בווינדוס, וניטור רשת לאיתור תנועות חשודות המעידות על יירוט תעבורה.

 

אנטומיה של פריצה

מהי "פגיעוּת" (Vulnerability) ומהו "אקספלויט" (Exploit)?

כדי להבין באמת את חומרת אירוע הפריצה ל-F5, אנחנו חייבים להכיר שני מושגי יסוד מעולם הסייבר: "פגיעוּת" ו"אקספלויט". אלו הם ה"א'-ב'" של כל מתקפת האקינג, והם לב הסיפור כולו.

חלק 1: מהי "פגיעוּת" (Vulnerability)?

במילים פשוטות, פגיעוּת היא חולשה.

תחשבו על כל תוכנה, אפליקציה, או רכיב רשת (כמו הציוד של F5) כעל בניין מורכב ומאובטח. הפגיעות היא "באג" בתכנון או בבנייה, זה יכול להיות חלון שנשכח פתוח בקומה העשירית, דלת חירום עם מנעול פגום או קיר חלש שבטעות נבנה מחומרים לא נכונים

פגיעות היא מצב פסיבי. היא פשוט קיימת שם, חולשה שמחכה שמישהו ימצא אותה. רוב הזמן, גם היצרן (במקרה הזה F5) וגם הלקוחות כלל לא מודעים לקיומה.

חלק 2: מהו "אקספלויט" (Exploit)?

אם הפגיעות היא החולשה, האקספלויט הוא הכלי או השיטה לניצול החולשה הזו.

נחזור לאנלוגיית הבניין: אם הפגיעות היא החלון הפתוח, האקספלויט הוא הסולם המדויק שהתוקף בנה כדי להגיע אליו או אם הפגיעות היא המנעול הפגום, האקספלויט הוא מפתח הפורצים (skeleton key) שתוכנן במיוחד כדי לפתוח אותו, אם הפגיעות היא הקיר החלש, האקספלויט הוא הפטיש שנועד לשבור בדיוק את הנקודה הזו

האקספלויט הוא פיסת קוד, סקריפט או סדרת פקודות, שהתוקף יוצר במיוחד כדי "לתקוף" את הפגיעות הספציפית ודרכה לחדור למערכת.

פגיעות ללא אקספלויט היא כמו דלת לא נעולה שאף אחד לא יודע עליה. אקספלויט הוא הפעולה של איתור הדלת ופתיחתה.

הקשר הקריטי לפריצה ל-F5: למה זה כל כך מסוכן?

כעת אנחנו מבינים את חומרת המצב. ההאקרים שפרצו ל-F5 לא סתם פרצו לבניין אחד. הם עשו משהו הרבה יותר גרוע: הם גנבו את השרטוטים ההנדסיים (קוד המקור) של כל הבניינים.

עם השרטוטים האלה ביד, הם יכולים לשבת בשקט, לנתח אותם, ולמצוא "פגיעויות" שאף אחד אחר בעולם עוד לא גילה. אלו נקראות פגיעויות "Zero-Day" (יום אפס) – כי למגנים יש אפס ימים להתכונן אליהן.

לאחר שהם מצאו את הפגיעויות הסודיות האלה, הם יכולים לבנות "מפתחות מאסטר" (אקספלויטים) עבורן.

הסכנה היא אדירה: ברגע זה, התוקפים כנראה מחזיקים באקספלויטים שמאפשרים להם לפרוץ לאלפי ארגונים, בנקים וממשלות המשתמשים בציוד של F5 – והארגונים האלה אפילו לא יודעים שהם בסכנה, כי הפגיעות עצמה סודית.

המסקנה: המרוץ לעדכון (Patch)

כאשר חברה כמו F5 מגלה פגיעות כזו, היא ממהרת לייצר "תיקון" – עדכון תוכנה (Patch). העדכון הזה הוא כמו לשלוח צוות טכנאים לכל אלפי הבניינים כדי שיתקנו את המנעול הפגום ויסגרו את החלון.

זו הסיבה שמתקיים "מרוץ חימוש" תמידי: התוקפים מנסים לנצל את הפגיעות לפני שהלקוחות יספיקו להתקין את העדכון. וזו הסיבה שחיוני להתקין עדכוני אבטחה ברגע שהם יוצאים.