עמוס רוזנבוים, אואזיס: "ניתן למנוע מתקפות DDoS על ידי גילוי 'אזרחות טובה'"

"מנמ"רים ויתר אנשי המקצוע שיגלו 'אזרחות טובה' ויתכוננו טוב יותר למתקפות DDoS יכולים למנוע אותן. הם יגלו דברים שסביר להניח שלא עלו בדעתם, וכך יידעו להיערך מפניהם. מדובר במתקפות רבות, אבל הן לא גזירת גורל", כך אמר עמוס רוזנבוים, ה-CTO של אואזיס טכנולוגיות (Oasis Technologies).

רוזנבוים דיבר במפגש הפורום הטכנולוגי השנתי של החברה, שנערך אתמול (ב') באולם האירועים סטוקו בהדר יוסף, תל אביב.

הוא ציין שבכל פעם שיש מתיחות ביטחונית, למשל במבצע צוק איתן בקיץ האחרון, חלה עלייה במספר המתקפות בכלל ובמספר מתקפות ה-DDoS בפרט על ארגונים – ציבוריים ופרטיים.

לדבריו, יש מספר מניעים נוספים לאירועים מסוג זה: מסחריים – "יש לנו לקוחות שמתחרים שלהם הורידו אותם מהרשת"; עברייניים – "פושעים מנסים לסחוט ארגונים, לשלוח להם מכתבי איום ומשאלה לא נענים, הם מנסים להוריד אותם מהרשת"; מתקפות של האקטיביסטים, כמו אנשי אנונימוס (Anonymous) או ההאקרים שביצעו את המתקפה על שרתי מסטרקארד (Mastercard) מאחר שהחברה חסמה את האפשרות לתרום דרכה לוויקיליקס (Wikileaks); ואנשים שמבצעים מתקפות DDoS "כי זה נורא קל. למשל, גיימר שרואה שהוא מפסיד ליריב מבצע נגדו מתקפה. בדרך הוא מוריד עשרות או מאות משתמשים אחרים".

"מתקפות DDoS מתבצעות בכל שכבות הרשת. לגרום לתעבורה רבה ו-'לסתום את הצינור' זה מאוד פרימיטיבי אבל מאוד יעיל", ציין.

רוזנבוים המליץ על כמה צעדים שיכולים לסייע במניעת מתקפות DDoS, בהם סקירה תקופתית של פורטים דרך האינטרנט – "תגלו בה דברים שלא חשבתם עליהם, שיפתיעו אתכם" – והפעלת פיצ'רים מתקדמים יותר בפיירוולים ובציוד תקשורת; ידיעה מעמיקה אודות הרשת הארגונית ומה שקורה בה, שמאפשרת לזהות חלק מהמתקפות לפני שהן מפילות את השירות; מעבר לפלטפורמת ענן; טיפול במתקפות בתוך הארגון, אם כי כאן הוא ציין ש-"כל מקרה לגופו"; הוספת רמת אינטליגנציה לשכבת האבטחה, קבלת פידים אילו מחשבים נגועים; והכי חשוב: "תיערכו למתקפות מבעוד מועד. תחשבו אילו בעיות יכולות להיות ותתרגלו אותן 'על רטוב'. תופתעו לגלות כל מיני היבטים שלא חשבתם עליהם בתרגול יבש".

המקרה של Tumblr

בהמשך סיפר אהרון פרת מאתר הבלוגים Tumblr, שנקנה לפני כשנה וחצי על ידי יאהו! (!Yahoo), על מתקפות DDoS שחווים השרתים שלו.

אהרון פרת, Tumblr. צילום: דוד ענבל

"Tumblr הוא קורבן למתקפות רבות – בערך 100 מתקפות גדולות בשנה האחרונה, עם ממוצע של 10 ג'יגה לשנייה בכל אחת מהן. במתקפה הגדולה ביותר הנתון עמד על 80 ג'יגה לשנייה, אבל גם היא לא הפילה אותנו", אמר.

"האקרים תוקפים שרתים שלנו בגלל כל מיני סיבות", ציין פרת. "למשל, האקר יכול לתקוף לאחר שמישהו פרסם תמונה שהוא לא אהב, הוא ביקש מהמפרסם להוריד אותה ונענה בשלילה, או מתקפות של אנונימוס וחבריהם, שאוהבים להפיל אותנו בשביל הכיף". עם זאת, הוא סייג ואמר כי "האקרים כאלה אוהבים יותר לנסות לתקוף את פייסבוק (Facebook) וטוויטר (Twitter).

ב-Tumblr מטפלים במתקפות האלה ובמניעתן במספר דרכים, ציין פרת. "יש לנו נתבים שמסוגלים לנתב 1 טרה לשנייה, עם פילטרים. הראוטרים שלנו גדולים ויש להם קישוריות מאוד רחבה לאינטרנט ולרשת הפנימית שלנו. בנינו קונבנציה: אנחנו דואגים שלא יהיו יותר מ-30% שימוש בכל שרת, או שהשימוש יהיה לפחות כפול מהמתקפות. אנחנו משתמשים בטכנולוגיית ECNP, שבה עד 128 שרתים משרתים כתובת IP אחת. כך אנחנו יכולים למצות כל כתובת IP עד הסוף. בנוסף, כל אחד מהשרתים שלנו יודע לשרת עד 10 ג'יגה של TCP Handshake, וזה נותן לנו יכולת לעצור מתקפות מאוד גדולות. אם כל זה לא עזר, יש לנו קישוריות ישירה לחברה שמטפלת בתחום".

ירון רפפורט, מנהל פתרונות ארכיטקטורה בישראל ב-SimpliVity. צילום: דוד ענבל

Hyper Convergence

ירון רפפורט, מנהל פתרונות ארכיטקטורה בישראל ב-SimpliVity, דיבר על Hyper Convergence – ארכיטקטורה שמשלבת בין מחשוב, אחסון, נטוורקינג ו-וירטואליזציה. הוא ציין שלושה דורות של Hyper Convergence: "הדור הראשון התמקד בהגנה על הנתונים, ביצועים, יעילות וניהול. הרעיון בדור השני הוא להריץ את השרתים והאחסון על Appliance אחד. זה חוסך, אבל עדיין יש צורך לרכוש בנפרד מוצרים שונים. SimpliVity מצויה כבר בדור 3.0. הפתרון שלנו כולל לא רק שרתים ואחסון אלא גם ביצועים, גיבוי, ענן ותוכנות גיבוי. זה פתרון מלא לדטה סנטר, שחוסך בעלויות, והמטרה שלנו היא לפשט את התשתיות", הוסיף.

האירוע הסתיים בהרצאתו של אוהד חמו, כתב השטחים של חדשות ערוץ 2, שחזר לפני ימים אחדים משהות בגבול טורקיה-עיראק, שלא רחוק ממנו מתנהלים קרבות בין הכוחות הכורדיים לדאעש. חמו סיפר על חוויותיו משם וחלק מניסיונו בדיווח גם מזירות לחימה קרובות יותר – רצועת עזה, למשל.