פורסם ביום: 20 דצמבר, 2009
הפלת אתר twitter ע"י גורמי איראניים מעידה שוב על ההתגברות המשמעותית בתקופה האחרונה של התקפות מסוג חטיפת דומיין (Domain Hijacking). הפעם ההתקפה היתה על שרת ה-DNS שעליו מוגדר שם הדומיין (שם האתר) של twitter. שרת ה-DNS הוא מעין "ספר טלפונים" – המקשר בין שם האתר למספר של השרת עליו מאוחסנים קבצי האתר ברשת האינטרנט. ההאקרים האירניים הצליחו לשנות את הקישור הזה והפנו את שם הדומיין לשרת אחר עליו העלו את דף הפריצה שלהם. ההאקרים לא טרחו בכלל לפרוץ לשרתי האתר של twitter – ובמקום זאת נצלו את אחת מנקודות החולשה הגדולות היום ברשת – מערכת ה-DNS.
בעבר מרבית ההתקפות שהסתיימו בהפלת אתרים הצליחו לאחר שהאקרים חדרו לשרתים של החברות שהתקיפו, או שבצעו התקפות מסוג Denial of Service – יצירת עומס על השרת שגורם להפסקת פעולתו. אולם עקב התפתחותן של מערכות אבטחה מתוחכמות שונות המופעלות ע"י הארגון, כמו מערכות Firewall לסוגיהן, מערכות Anti-Virus, Anti-Spam ומערכות בקרה שונות, יכולות החדירה לארגונים הלכה והצטמצמה. ההאקרים נאלצו לחפש נקודות חולשה אחרות – ולכן פונים בעת האחרונה יותר ויותר להתקפות הקשורות לשם הדומיין של החברה ולמערכות שמפעילות אותו.
ברוב המקרים ההתקפות מסוג חטיפת דומיין (Domain Hijacking) לא מתבצעות כלל על הארגון עצמו – אלא מתבצעות על שרתי ה-DNS של ספק שרותי האינטרנט של הארגון (כמו במקרה של twitter), על חשבון הדומיין ברשם שמות הדומיין או במרשם שמות הדומיין. בכל המקרים הללו מדובר על התקפה במקומות שאינם בשליטת הארגון המותקף, כלומר התקפות שמתבצעות למעשה מעבר ל-Firewall של הארגון. חטיפות דומיין הן חלק מתהליך הולך וגובר ברשת שבו מנצלים גורמים עויינים או גורמים פליליים את החולשות מבניות בתחום שמות הדומיין ובמערכות ה-DNS המפעילות את שמות הדומיין. נתונים שנאספו בשוק בשנה האחרונה מעידים על התגברות משמעותית בשימוש בשמות דומיין לביצוע הונאות מסוג Phishing, וכן על התגברות של התקפות מסוג Pharming, המבוצעות בדרך כלל ע"י התקפה על שרתי DNS של ספקי אינטרנט והפניית הגולשים לאתר מתחזה (התקפה מסוג זה בוצעה בישראל על אתר של אחת מהחברות בגדולות במשק לפני כחודשיים אך לא זכתה לפרסום).
התקפות מסוג חטיפת דומיין (Domain Hijacking) – יכולות להתבצע במספר אופנים:
1. שינוי רשומות ה-DNS של שרת ה-DNS עליו מנוהל שם הדומיין (כפי שקרה במקרה של twitter) ע"י חדירה למערכת המנהלת את רשומות ה-DNS. החדירה עשויה להתבצע באופן שהוא לכאורה מורשה – כלומר ע"י השגת שם המשתמש והסיסמא המאפשרים להיכנס למערכת ניהול רשומות ה-DNS. מערכת זו מצוייה בדרך כלל אצל ספק האינטרנט של הארגון או אצל רשם שמות הדומיין.
2. שינוי ההגדרות של שרתי ה- DNS המנהלים את הדומיין. שינוי זה ניתן לבצע דרך רשם שמות הדומיין או ישירות במרשם שמות הדומיין.
3. חטיפת הבעלות בדומיין – העברת בעלות לא מורשת בדומיין שבעקבותיה מבוצעים שינויים בהגדרות ה- DNS או ברשומות ה-DNS כפי שהוסבר לעיל. החטיפה יכולה להתבצע או דרך רשם שמות דומיין שמאפשר העברת בעלות באופן פשוט (למשל ע"י כניסה עם שם משתמש וסיסמא או באמצעות הצגת מסמכים לא מאומתים) או אם הדומיין כן מנוהל ברשם המקפיד על הנהלים ע"י העברה בלתי מורשית של הדומיין לרשם דומיין אחר שאינו מקפיד על כך.
ההתחזות לצורך ביצוע כל אחד מסוגי החטיפות המוזכרים לעיל עשויה להיות ע"י השתלטות על תיבת דואר אלקטרוני של גורם בארגון ובקשה לגיטימית לכאורה לשינוי סיסמא, ובעקבותיה כניסה לחשבון משתמש המאפשר ניהול הרשומות הקריטיות, או ע"י ניצול הגורם האנושי – שכנוע של תומך בספק אינטרנט, רשם דומיינים או מרשם דומיינים לשנות סיסמא או ספק פרטים קריטיים שמאפשרים להשתלט על הדומיין.
חברת דומיין דה נט הינה אחת החברות היחידות בעולם המתמחות בתחום Digital Brand Security ומספקת פתרונות ניהול שמות דומיין. החברה מפתחת פתרונות ייחודיים מסוג SAS (Software As Service) בתחום ה-Anti‑Pharming, Anti-Phishing ומניעת חטיפת שמות דומיין (Domain Hijacking Prevention). לחברה פתרונות ייחודיים שונים המיועדים למנוע מקרים כמו ארוע ההתקפה שבוצע על twitter. בין לקוחות החברה בתחום נמנות חברות מהמובילות בישראל בענפי ההיי-טק, התקשורת, הבנקאות, הקמעונאות ועוד, וכן חברות בינלאומיות מובילות.