האקרים פרו-פלסטינים פרצו לשרתי דואר של נטוויז'ן

חדשות ואקטואליה
, , , ,
1

האקרים פרו-פלסטינים “פרצו” לסלקום\נטוויז’ן, ושלחו דואר-אלקטרוני שהכיל קבצים זדוניים שאפשרו לתוקפים לשלוט במחשב הקורבן. על-פי הדיווח “הפריצה” התאפשרה בשל כך שהיה מדובר בשרת דוא"ל שהוגדר כ-Open Mail Relay, משמע ניתן להתחבר אל השרת דוא"ל מבלי להזדהות ולשלוח אימיילים - גם לכתובות (או ליתר דיוק דומיינים) שלא מנוהלים על-ידי אותו שרת דוא"ל.

הכתבה ב-Ynet לא הכילה מידע רב לגבי הפריצה, הוזכר שם “Open Relay”, התחזות לדומיינים עם הסיומת gov.il (מוכר גם כ-Email spoofing), וקבצים (כנראה מסמכים מסוג doc או pdf) שהכילו זדונה שאיפשרה השתלטות מרחוק של התוקפים על מחשב הקורבן שפתח את הקובץ המוצמד. עוד צויין כי האימיילים הללו לא זוהו כספאם, כי עמדו בדרישות של SPF ו-DMARC (מה עם DKIM?), והתוכן נראה “לגיטימי” עבור הארגון ממנו נשלח.

נתי טל, חוקר אבטחת מידע ב-Guard.io, מציין מספר דוגמאות של אתרים שהם הצליחו לזייף מהדומיין שלהם דוא"ל, ישרוטל, בנק הפועלים, נמל אשדוד ועיריית נתניה, ואכן לכולם התייחסות לשרת כלשהו שמתארח בנטויזן, אם כי, לא הצלחתי למצוא שרת שחוזר שוב בדומיין אחר ברשימה הקצרצרה.

$ dig [DOMAIN.TLD] TXT

נאמר שהתוקפים גם התחזות לדומיינים תחת ה-gov.il, תו"כ איזכור שני גופים, המשטרה ורשות המיסים, אבל מבדיקה מהירה הדומיין של המשטרה police.gov.il מכיל רשומת SPF תקינה:

police.gov.il.		600	IN	TXT	"v=spf1 include:spf.protection.outlook.com include:spfa.cpmails.com -all"

וכן רשומת dmarc תקינה:

_dmarc.police.gov.il.	600	IN	TXT	"v=DMARC1; p=reject; rua=mailto:dmarc@police.gov.il; sp=reject; adkim=s; aspf=s;"

ואילו taxes.gov.il מכיל רשומות יותר מקלות:

taxes.gov.il.		600	IN	TXT	"v=spf1 ip4:147.237.70.0/24 include:spf.protection.outlook.com include:inforumail.com ~all"

dmarc:

dmarc.dmarc.gov.il.	600	IN	TXT	"v=DMARC1; p=none; sp=none; adkim=r; aspf=r; rua=mailto:reports@dmarc.gov.il; ruf=mailto:reports@dmarc.gov.il; rf=afrf; pct=100; ri=3600"

הרשומות של רשות המיסים הרבה יותר מקלות, מה שמאפשר לזייף אותן, ובחלק מהמקרים שכן יופיעו לכם ב-inbox. אז אני יכול להבין איך מיילים מישרוטל, נמל אשדוד, וכו ניתן לזייף, אבל לא איך הם הצליחו לזייף מיילים מדומיינים gov.il. ניסתי גם לחפש את השרתים המדוברים ב-Shodan, אבל לא מצאתי אותם, אז לא כל כך ברור לי איך בדיוק היה מדובר ב-Open mail relay (יכול להיות שהוא היה פתוח אך ורק לטווח כתובות של סלקום\ נטוויז’ן?).

מקווה שהחברה ב-Guard.io יפרסמו בשלב מסויים בבלוג [1] [2] שלהם ניתוח מקיף יותר, שכולל דוגמאות ואת ההאדרים.

בכל אופן, יש לי חומר לפוסט הבא, איך ליישם SPF, DKIM ו-DMARC בצורה נכונה :nerd_face:

לייק 1