מעצמת סייבר: בישראל לא מיישמים DNSSEC
בשנת 2016 הקים איגוד האינטרנט הישראלי תשתית DNSSEC לטובת הגנה מפני איומי סייבר בעת גלישה באינטרנט בהשקעה של מאות אלפי ש"ח. ארבע שנים לאחר מכן - כמעט אף אחד לא משתמש בה
עמי רוחקס דומבה
| 20/05/2020
bigstock
בשנת 2016 הקים איגוד האינטרנט הישראלי תשתית DNSSEC לטובת הגנה מפני איומי סייבר בעת גלישה באינטרנט בהשקעה של מאות אלפי ש"ח. השקת התשתית הייתה מלווה בחגיגות ופרסומים בתקשורת. ארבע שנים לאחר מכן - כמעט אף אחד לא משתמש בה.
מהי תשתית DNSSEC? ובכן, מדובר במנגנון ש"חותם" את בעלות שם המתחם (דומיין) כך שניתן לוודא את נתיב התעבורה בין הדפדפן של הגולש לאתר שהוא רוצה להגיע אליו. באמצעות שיטת חתימה זו של שמות מתחם, הגולש יכול להיות בטוח שהוא גלש לאתר שהוא רצה, ושאף אחד לא הסית את התעבורה לאתר זדוני מתחזה ללא ידיעתו.
"בשונה משיטות הגנה על ארגונים, תשתית זו מספקת הגנה לאזרחים", מסביר עו"ד יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי, בראיון לישראל דיפנס. "המימוש נעשה על ידי בעל אתר האינטרנט מול רשם הדומיין או שירות האירוח. בעל האתר מחולל מפתחות בעצמו או רוכש שירות מרשם הדומיין או מארח האתר. תלוי בגודל הארגון. אם אתה בנק, אתה תעשה זאת לבד כי אתה מנהל את שרת הDNS. אם אתה עסק קטן תעשה זאת באמצעות מי שמספק לך את השירות."
בתהליך יצירת המפתחות, נקבע ערך מוצפן למפתח הציבורי (האש), אותו מעבירים לרשם או למארח, שמעביר אותו לאיגוד האינטרנט. ההאש נכנס לקובץ הדומיין עצמו, והוא מופץ על ידי האיגוד לכל רמות הדומיין העליונות עד ICANN המחזיק בשרתי השורש בעולם.
מוודאים את שרשרת שרתי הDNS
מאותו רגע, כל פעם שגולש רושם שם מתחם בדפדפן, מתחיל תהליך אימות (ולידציה) הדומיין מול האש של המפתח הציבורי של בעל האתר. בצורה כזו, כל שרשרת שרתי הDNS בין דפדפן הגולש לאתר מוודאת כי אכן זה האתר המבוקש באמצעות DNSSEC. "אם יש משהו שלא עובד כי המפתח לא תואם או המידע לא עדכני - אתה לא תגיע לאתר", מסביר הכהן. "המטרה היא להגן על הגולש מפני אתרים זדוניים. התהליך הזה כמעט ולא מפריע לגלישה. יש זמן תוספת של כמה אלפיות השנייה לצורך האימות, אבל הוא זניח."
בישראל כאמור כמעט אף אחד לא מיישם DNSSEC, למרות שהתשתית קיימת. משרדי ממשלה דרך ממשל זמין, אתרים של הצבא, תשתיות קריטיות ועד חברות ISP. כולם כמעט לא מיישמים מנגנון הגנה בסייבר זה. מדוע? אין תשובה חכמה. על אתרי הממשלה אחרי ממשל זמין שלא הגיב לשאלה בנושא. על ספקי האינטרנט (רק שלושה גדולים מיישמים) אחראי משרד התקשורת שלא הכניס זאת לתנאי הרישיון. על החוסן במשק ותשתיות קריטיות אחראי מערך הסייבר שגם לא הגיב לשאלה בנושא.
מדוע ספקי האינטרנט הם חוליה קריטית? מכיוון שהם חלק משרשרת הוידוא שהאתר שאליו הגולש פונה, הוא באמת האתר שהוא טוען שהוא. אם הISP לא בודק DNSSEC, אז הגולש יופנה לאתר מתחזה גם אם אין לו חתימה. אם לעומת זאת נערכת בדיקה, הגולש לא יופנה אתר שאין לו חתימה מתאימה.
רגולציה ותמרוץ
כאמור, אין רגולציה מחייבת לISP לבדוק DNSSEC. אם יש מתקפה על אתר בנק או שירות בריאות, היא מנצלת את זה שהדומיין לא חתום וניתן להסית ציבור לאתר מתחזה. בתיאוריה, אם גולש יפגע מכך, הוא יוכל לטעון בתביעה ייצוגית שהייתה טכנולוגיה למנוע זאת, אך לא יישמו אותה.
"בהיבט עלויות תפעול אתר זה תקציב זניח", מסביר הכהן. "זו אחריות של המדינה ליישם זאת. בארה"ב יישמו את זה לפני ששרתי השורש של ICAN היו חתומים. באירופה זה מיושם בצורה עמוקה. המצב בישראל עגום. עכשיו אנחנו מחליפים ציוד קריפטוגרפי שהתיישן מאז השקנו את התשתית. רק הציוד עלה 300 אלפי ש"ח. בנינו בשביל המדינה, ואף אחד לא משתמש בזה."
ככל הנראה אחת הסיבות לכך טמונה בעובדה שניהול הDNS לא יושב תחת אבטחת מידע, אלא תחת IT. ולכן, אנשי אבטחת מידע לא רואים בDNSSEC מרכיב הגנה חיוני. במשפחת דומיינים חדשה בסיומת .bank למשל, הפעלת DNSSEC היא מנדטורית בעת רישום הדומיין. אולם, זהו TLD יוצא דופן בהיבט דרישות האבטחה שלו. במציאות, איגוד האינטרנט לא יכול להכפיף אף בעל דומיין ליישם DNSSEC. רק רגולטורים יכולים לעשות זאת.
"בחו"ל חינכו את השוק דרך רגולציה ותמרוץ", מסביר הכהן. "רגולציה זה למשל שמשרד הביטחון מגדיר שכל ספק שלו מחויב ביישום DNSSEC. אם החשב הכללי, או משהב"ט, או לפ"מ, מצהירים שהם לא עושים עסקים עם אתרים ללא DNSSEC, תוך שלושה שבועות, כולם יגדירו. מקבילים שלנו באירופה הצהירו שרשם שאחוז מסוים של הדומיינים שלו יהיה חתום בDNSSEC יקבל סוג של הטבה פיננסית. היות והאיגוד הוא עמותה עם תקציב מוגבל, אין לנו משאבים לתת גזרים. למרות זאת, לאחרונה שני רשמים ישראלים הסכימו ויכניסו שירות DNSSEC במהלך רישום הדומיין אצלם. זאת מתוך הבנה שהם עוזרים לבעל האתר להגן על הגולשים שלו ועל עצמו מפני תביעות עתידיות."
בשנת 2016 הקים איגוד האינטרנט הישראלי תשתית DNSSEC לטובת הגנה מפני איומי סייבר בעת גלישה באינטרנט בהשקעה של מאות אלפי ש"ח. ארבע שנים לאחר מכן - כמעט אף אחד לא משתמש בה
bigstock
בשנת 2016 הקים איגוד האינטרנט הישראלי תשתית DNSSEC לטובת הגנה מפני איומי סייבר בעת גלישה באינטרנט בהשקעה של מאות אלפי ש"ח. השקת התשתית הייתה מלווה בחגיגות ופרסומים בתקשורת. ארבע שנים לאחר מכן - כמעט אף אחד לא משתמש בה.
מהי תשתית DNSSEC? ובכן, מדובר במנגנון ש"חותם" את בעלות שם המתחם (דומיין) כך שניתן לוודא את נתיב התעבורה בין הדפדפן של הגולש לאתר שהוא רוצה להגיע אליו. באמצעות שיטת חתימה זו של שמות מתחם, הגולש יכול להיות בטוח שהוא גלש לאתר שהוא רצה, ושאף אחד לא הסית את התעבורה לאתר זדוני מתחזה ללא ידיעתו.
"בשונה משיטות הגנה על ארגונים, תשתית זו מספקת הגנה לאזרחים", מסביר עו"ד יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי, בראיון לישראל דיפנס. "המימוש נעשה על ידי בעל אתר האינטרנט מול רשם הדומיין או שירות האירוח. בעל האתר מחולל מפתחות בעצמו או רוכש שירות מרשם הדומיין או מארח האתר. תלוי בגודל הארגון. אם אתה בנק, אתה תעשה זאת לבד כי אתה מנהל את שרת הDNS. אם אתה עסק קטן תעשה זאת באמצעות מי שמספק לך את השירות."
בתהליך יצירת המפתחות, נקבע ערך מוצפן למפתח הציבורי (האש), אותו מעבירים לרשם או למארח, שמעביר אותו לאיגוד האינטרנט. ההאש נכנס לקובץ הדומיין עצמו, והוא מופץ על ידי האיגוד לכל רמות הדומיין העליונות עד ICANN המחזיק בשרתי השורש בעולם.
מוודאים את שרשרת שרתי הDNS
מאותו רגע, כל פעם שגולש רושם שם מתחם בדפדפן, מתחיל תהליך אימות (ולידציה) הדומיין מול האש של המפתח הציבורי של בעל האתר. בצורה כזו, כל שרשרת שרתי הDNS בין דפדפן הגולש לאתר מוודאת כי אכן זה האתר המבוקש באמצעות DNSSEC. "אם יש משהו שלא עובד כי המפתח לא תואם או המידע לא עדכני - אתה לא תגיע לאתר", מסביר הכהן. "המטרה היא להגן על הגולש מפני אתרים זדוניים. התהליך הזה כמעט ולא מפריע לגלישה. יש זמן תוספת של כמה אלפיות השנייה לצורך האימות, אבל הוא זניח."
בישראל כאמור כמעט אף אחד לא מיישם DNSSEC, למרות שהתשתית קיימת. משרדי ממשלה דרך ממשל זמין, אתרים של הצבא, תשתיות קריטיות ועד חברות ISP. כולם כמעט לא מיישמים מנגנון הגנה בסייבר זה. מדוע? אין תשובה חכמה. על אתרי הממשלה אחרי ממשל זמין שלא הגיב לשאלה בנושא. על ספקי האינטרנט (רק שלושה גדולים מיישמים) אחראי משרד התקשורת שלא הכניס זאת לתנאי הרישיון. על החוסן במשק ותשתיות קריטיות אחראי מערך הסייבר שגם לא הגיב לשאלה בנושא.
מדוע ספקי האינטרנט הם חוליה קריטית? מכיוון שהם חלק משרשרת הוידוא שהאתר שאליו הגולש פונה, הוא באמת האתר שהוא טוען שהוא. אם הISP לא בודק DNSSEC, אז הגולש יופנה לאתר מתחזה גם אם אין לו חתימה. אם לעומת זאת נערכת בדיקה, הגולש לא יופנה אתר שאין לו חתימה מתאימה.
רגולציה ותמרוץ
כאמור, אין רגולציה מחייבת לISP לבדוק DNSSEC. אם יש מתקפה על אתר בנק או שירות בריאות, היא מנצלת את זה שהדומיין לא חתום וניתן להסית ציבור לאתר מתחזה. בתיאוריה, אם גולש יפגע מכך, הוא יוכל לטעון בתביעה ייצוגית שהייתה טכנולוגיה למנוע זאת, אך לא יישמו אותה.
"בהיבט עלויות תפעול אתר זה תקציב זניח", מסביר הכהן. "זו אחריות של המדינה ליישם זאת. בארה"ב יישמו את זה לפני ששרתי השורש של ICAN היו חתומים. באירופה זה מיושם בצורה עמוקה. המצב בישראל עגום. עכשיו אנחנו מחליפים ציוד קריפטוגרפי שהתיישן מאז השקנו את התשתית. רק הציוד עלה 300 אלפי ש"ח. בנינו בשביל המדינה, ואף אחד לא משתמש בזה."
ככל הנראה אחת הסיבות לכך טמונה בעובדה שניהול הDNS לא יושב תחת אבטחת מידע, אלא תחת IT. ולכן, אנשי אבטחת מידע לא רואים בDNSSEC מרכיב הגנה חיוני. במשפחת דומיינים חדשה בסיומת .bank למשל, הפעלת DNSSEC היא מנדטורית בעת רישום הדומיין. אולם, זהו TLD יוצא דופן בהיבט דרישות האבטחה שלו. במציאות, איגוד האינטרנט לא יכול להכפיף אף בעל דומיין ליישם DNSSEC. רק רגולטורים יכולים לעשות זאת.
"בחו"ל חינכו את השוק דרך רגולציה ותמרוץ", מסביר הכהן. "רגולציה זה למשל שמשרד הביטחון מגדיר שכל ספק שלו מחויב ביישום DNSSEC. אם החשב הכללי, או משהב"ט, או לפ"מ, מצהירים שהם לא עושים עסקים עם אתרים ללא DNSSEC, תוך שלושה שבועות, כולם יגדירו. מקבילים שלנו באירופה הצהירו שרשם שאחוז מסוים של הדומיינים שלו יהיה חתום בDNSSEC יקבל סוג של הטבה פיננסית. היות והאיגוד הוא עמותה עם תקציב מוגבל, אין לנו משאבים לתת גזרים. למרות זאת, לאחרונה שני רשמים ישראלים הסכימו ויכניסו שירות DNSSEC במהלך רישום הדומיין אצלם. זאת מתוך הבנה שהם עוזרים לבעל האתר להגן על הגולשים שלו ועל עצמו מפני תביעות עתידיות."
