דו״ח סייבר שבועי
עדכון שבועי 01.12.2022
עיקרי הדברים
-
ישראל: עשרות מתקפות סייבר נגד חברות ישראליות בתחום השילוח במהלך סוף השבוע האחרון - מידע על מאות אלפי משלוחים של ישראלים דלף לרשת; מכון היצוא: יצוא מערכות הסייבר מישראל זינק בעשור האחרון ב-225%.
-
האקרים מנצלים אתגר TikTok על מנת לפתות קורבנות להורדת חבילה זדונית - מספר מדאיג של משתמשים נחשפו לקמפיין; קנס בסך 800,000 אירו על Discord בגין אי-עמידה ב-GDPR, בין השאר בשל אי-הגדרת תקופת שמירת הנתונים.
-
ונואטו: צוות בית החולים ״פורט וילה סנטרל״ עבר לניהול תשלומים באמצעות עט ונייר לאחר מתקפת כופרה שהכתה במגזר הציבורי; הולנד: פרצת אבטחה גדולה בשרת של המשטרה מביאה לדליפת אלפי מסמכים רגישים - חשש מזיוף זהויות עקב חשיפת הפרטים ברחבי הרשת; ארה״ב: מכללת סינסינטי סטייט שבאוהיו נפלה קורבן למתקפת כופרה ומתקשה להשיב את מערכותיה לפעילות תקינה.
-
איחוד באיחוד האירופי: שיתוף פעולה אסטרטגי בין המפקח האירופי להגנת מידע (EDPA) לסוכנות לאבטחת סייבר של האיחוד (ENISA); ארה״ב אוסרת על שימוש ושיווק מוצרי טלקום ומצלמות אבטחה של יצרניות סיניות; בריטניה מגבילה התקנתן של מצלמות אבטחה תוצרת סין.
-
*אנו ממליצים לעדכן את המוצרים הבאים: (גבוה); הדפדפן Google Chrome (חולשת Zero-day); הראוטר LTE3301-M209 של Zyxel (קריטי); המוצרים Apache Airflow Spark Provider ו-Apache Airflow (קריטי), מוצרי GitLab (גבוה).*
תוכן עניינים
הציטוט השבועי
איפה אפשר לקרוא את הדוחות
חולשות חדשות
עדכון חירום הנותן מענה לחולשת Zero-day בדפדפן Google Chrome יפורסם בימים הקרובים
עדכון אבטחה של Zyxel לראוטר LTE3301-M209 נותן מענה לחולשה קריטית
עדכון אבטחה למוצרים Apache Airflow Spark Provider ו-Apache Airflow נותן מענה לחולשה קריטית
עדכון אבטחה של Google Chrome ל-Stable Channel נותן מענה ל-28 חולשות, חלקן ברמת חומרה גבוהה
עדכון אבטחה של GitLab למוצרים Community Edition ו-Enterprise Edition נותן מענה ל-10 חולשות, חלקן ברמת חומרה גבוהה
התקפות ואיומים
האקרים מנצלים אתגר TikTok על מנת לפתות קורבנות להורדת חבילה זדונית; מספר מדאיג של משתמשים נחשפו לקמפיין
Trigona: זהו שמה של קבוצת כופרה אשר פעלה עד כה ברחבי הרשת באופן אנונימי
תקלה בספריית npm מונעת התרעה על חולשות בחבילות בטא
השבוע בכופרה
הכופרה RansomExx שודרגה לשפת Rust
הולנד: פרצת אבטחה גדולה בשרת של המשטרה מביאה לדליפת אלפי מסמכים רגישים; חשש מזיוף זהויות עקב חשיפת הפרטים ברחבי הרשת
ארה״ב: מכללת סינסינטי סטייט שבאוהיו נפלה קורבן למתקפת כופרה ומתקשה להשיב את מערכותיה לפעילות תקינ
המלחמה במזרח אירופה
הכופרה החדשה RansomBoggs זוהתה במתקפות נגד ארגונים אוקראינים; ככל הנראה מופעלת על ידי קבוצת התקיפה Sandworm
סייבר בעולם
סוכנות הידיעות האיראנית "פארס" נפגעה במתקפת סייבר
מידע על משתמשי טוויטר, לרבות ישראלים, נחשף בשנית בפורומים באינטרנט ומגביר את הסיכוי למתקפות פישינג ממושכות
ארה״ב אוסרת על שימוש ושיווק מוצרי טלקום ומצלמות אבטחה של יצרניות סיניות; בריטניה מגבילה התקנתן של מצלמות אבטחה תוצרת סין
ConnectWise סוגרת בכלי השליטה מרחוק שלה חולשת XSS שנוצלה על ידי תוקפים
מידע של כ-487 מיליון משתמשי WhatsApp מוצע למכירה ברשת
תוקנה חולשה בממשק הענן AWS, שסיכנה את את סביבות משתמשיה
ה-CISA מוסיפה שתי חולשות לקטלוג החולשות הידועות שלה
ונואטו: צוות בית החולים ״פורט וילה סנטרל״ עבר לניהול תשלומים באמצעות עט ונייר לאחר מתקפת כופרה שהכתה במגזר הציבורי
מידע רגיש דלף מספקית פתרונות הצפנת ה-USB של Sony משך יותר משנה, בעקבות חולשה שהתגלתה אצל ספק צד שלישי
LastPass מעדכנת את לקוחותיה כי חוותה אירוע אבטחת מידע נוסף
ארה״ב: מערכת הבריאות הקהילתית מודיעה על הפרת פרטיותם של נתונים אודות כ-1.5 מיליון משתמשי
סייבר בישראל
גל תקיפות של חברות משלוחים ולוגיסטיקה ישראליות; צוות קונפידס מעריך כי מדובר בניצול חולשה במערכת הניהול של חברת ״בלדר״
נפתחה תערוכת הסייבר והגנת המולדת ה-7 של מדינת ישראל; מכון היצוא: יצוא מערכות הסייבר מישראל זינק בעשור האחרון ב-225
סייבר ופרטיות - רגולציה ותקינה
משרד האוצר מפרסם דוח הכולל המלצות בנוגע לאסדרת שוק הנכסים הדיגיטליים: נדרשת תפיסה רגולטורית כוללנית לשם מזעור סיכונים
צרפת: הרשות להגנת הפרטיות מטילה קנס בסך 800,000 אירו על Discord בגין אי-עמידה ב-GDPR, בין השאר בשל אי-הגדרת תקופת שמירת הנתונים
איחוד באיחוד האירופי: שיתוף פעולה אסטרטגי בין המפקח האירופי להגנת מידע (EDPA) לסוכנות אבטחת הסייבר של האיחוד (ENISA)
הודו מקדמת חוק הגנת פרטיות חדש: ניסיון רביעי תוך 4 שנים
כנסים
הציטוט השבועי
״ברור לכולנו כי ככל שחולף הזמן, העולם הופך לנגיש וזמין בכל רגע נתון, ולמעשה דווקא כיבוד הריבונות בין המדינות, זו כלפי האחרת, מנוצל לרעה בידי עברייני הרשת, מקל על ביצוע עבירות ומסרבל את יכולת האכיפה של המדינות. בתחום זה, נדרשת פעילות אכיפה, מניעה וסיכול בזמן אמת של עבירות סייבר בכל מקום בו הן מתרחשות, ברחבי העולם״
- מפכ״ל המשטרה רב ניצב יעקב שבתאי, כנס ביטחון המולדת והסייבר השביעי, 28.11.22.
איפה אפשר לקרוא את הדוחות
ערוץ הטלגרם
https://t.me/corona_cyber_news
חולשות חדשות
עדכון חירום הנותן מענה לחולשת Zero-day בדפדפן Google Chrome יפורסם בימים הקרובים
גרסה 107.0.5304.121 של המוצר עבור Mac ו-Linux, גרסה 107.0.5304.121/122 עבור Windows וגרסה 107.0.5304.141 עבור Android סוגרות בכל גרסאות הדפדפן חולשה (CVE-2022-4135, טרם פורסם ציון חומרה) מסוג Heap buffer overflow שרמת חומרתה גבוהה, ואשר לדברי Google מנוצלת באופן פעיל. מקורה של החולשה הוא בזיכרון, והיא מאפשרת כתיבת נתונים מחוץ למיקומים המותרים. בכך, תוקף עלול ״לדרוס״ זיכרון של יישום כדי לגרום לשינוי נתיב ההרצה שלו, לקבל גישה חופשית למידע ולהריץ קוד שרירותי. חולשה זו היא חולשת ה-Zero-day השמינית המתוקנת על ידי החברה ב-2022.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסאותיו החדשות מיד עם פרסומן.
עדכון אבטחה של Zyxel לראוטר LTE3301-M209 נותן מענה לחולשה קריטית
העדכון של יצרנית מכשירי הרשת סוגר במוצר חולשה (CVE-2022-40602, CVSS 9.8) שמקורה בקונפיגורציה שגויה, ואשר עלולה לאפשר לתוקף לגשת למכשיר במצב בו תוכנת הניהול מרחוק הופעלה על ידי מנהל המערכת. החולשה רלוונטית לגרסה V1.00(ABLG.4)C0 ולגרסאות מוקדמות יותר.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו בהקדם לגרסתו האחרונה.
עדכון אבטחה למוצרים Apache Airflow Spark Provider ו-Apache Airflow נותן מענה לחולשה קריטית
החולשה (CVE-2022-40954, CVSS 9.8) שנמצאה במוצרים, המשמשים כפלטפורמת קוד פתוח לפיתוח, לתזמון משימות ולניהול מידע, עלולה לאפשר לתוקף מרוחק להריץ פקודות זדוניות על מערכת הקורבן, כל זאת בשל פגם בעת ביצוע משימה.
צוות קונפידס ממליץ לבעלי המוצרים לעדכנם ידנית לגרסאותיהם האחרונות:
Apache Airflow - גרסה 2.3.0
Apache Airflow Spark Provider - גרסה 4.0.0
עדכון אבטחה של Google Chrome ל-Stable Channel נותן מענה ל-28 חולשות, חלקן ברמת חומרה גבוהה
בעדכון, הרלוונטי ל-Mac ו-Linux (גרסה Chrome 108.0.5359.71) ולמערכת ההפעלה Windows (גרסה Chrome 108.0.5359.71/72), נסגרות חולשות ברמת חומרה גבוהה ובינונית, החמורה שבהן (CVE-2022-4174) עלולה לאפשר לתוקף מרוחק לפגוע בזיכרון האפליקציה שעל המכשיר, ובכך להריץ קוד שרירותי.
צוות קונפידס ממליץ למשתמשי המוצר לעדכנו לגרסתו האחרונה.
החולשות שנסגרו במוצרים, המשמשים כפלטפורמות קוד פתוח לפיתוח תוכנה עם בקרות מעקב וזיהוי תקלות, הן ברמות חומרה נמוכות עד גבוהות, החמורה שבהן (CVE-2022-4206, CVSS 7.7), שמקורה בסורק ה-DAST API, עלולה לאפשר דליפת מידע רגיש.
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.
התקפות ואיומים
באתגר ה-TikTok המכונה Invisible Challenge משתמשים מצלמים עצמם עירומים תוך שימוש באפקט ששמו Invisible Body, המסיר את גוף המצולם מהסרטון ומציג במקומו תמונה מטושטשת שנוצרת על בסיס הרקע המצולם. ניצול האתגר להורדת נוזקה מתבצע באמצעות סרטוני TikTok שמפרסמים האקרים, אשר כוללים קישורים לתוכנה המזויפת unfilter, שביכולתה להסיר, כביכול, את אפקט ה-Invisible Body מהסרטונים ולאפשר צפייה בהם לפני עריכתם, בהם המצולמים מופיעים בעירום. ואולם בפועל ההנחיות להורדת unfilter מפיצות את הנוזקה WASP stealer, המסתתרת בתוך חבילות Python זדוניות. הסרטונים שפרסמו התוקפים רשמו יותר ממיליון צפיות תוך ימים ספורים, ונוסף על כך ניתן למצוא ב-GitHub מאגרים השייכים להם ומכילים את הקוד הזדוני, שהגיעו לקטגוריית ה-Trending היומית של הפלטפורמה. עוד על פי דיווחים יותר מ-30,000 משתמשים הצטרפו לשרת Discord שבבעלות ההאקרים על מנת להוריד את unfilter, ומספר המצטרפים ממשיך לעלות. שרת ה-Discord ששימש את התוקפים נוצר לראשונה ב-10 בנובמבר, בעוד שהסרטונים באפליקציית TikTok נוצרו יום לאחר מכן, ביחד עם חבילות ה-Python באמצעותן התוקף הנגיש את הקוד הזדוני. זמן קצר לאחר מכן החבילות דווחו ל-PyPi כזדוניות והתוקפים נאלצו ליצור חבילות חדשות. ואולם, מכיוון שלמחרת גם האחרונות דווחו כזדוניות, התוקפים החליטו להנגיש את הקוד הזדוני מתוך הקובץ requirements.txt שבמאגר ה-GitHub שלהם, על מנת למנוע ממנועי AI ומחוקרים להמשיך ולזהות את חבילותיהם כזדוניות.
צוות קונפידס ממליץ למשתמשי רשתות חברתיות להימנע מהורדת תוכנות ממקורות שאינם רשמיים.
Trigona: זהו שמה של קבוצת כופרה אשר פעלה עד כה ברחבי הרשת באופן אנונימי
הכינוי החדש ניתן לקבוצה לאחר שבאוקטובר השיקה בדפדפן Tor ״אתר משא ומתן״ בשם Trigona. לאחר שהקבוצה מצפינה את הקבצים בעלי הערך שהיא מאתרת במערכות הקורבן, היא מותירה בכל תיקיית קבצים הודעה מוצפנת עם הוראות גישה לאתר המשא ומתן. עם יצירת הקשר עם הקבוצה מקבל הקורבן מדריך נוסף, בו מוסבר כיצד להמיר את כספו למטבע הדיגיטלי Monero. על מנת לשכנע את הקורבן שהתוקף מתכוון ״לעמוד במילתו״ ולשחרר את הקבצים המוצפנים, בטרם מבוצע תשלום הכופרה הוא מאפשר לו לשחרר בחינם חמישה קבצים בגודל של עד 5MB כל אחד.
תקלה בספריית npm מונעת התרעה על חולשות בחבילות בטא
חוקרים מחברת JFrog מצאו כי ה-npm CLI, המסייע למשתמש בעת התקנת חבילות npm על עמדות, אינו מצליח לאתר חולשות בחבילות שלא שוחררו באופן רשמי (Pre-released). המנגנון האמור, אשר משתמשים רבים נעזרים בו ומסתמכים עליו בעת התקנת חבילות, סורק את החבילה המועמדת ומציג את מספר החולשות הקיימות בה ואת רמת חומרתן. החוקרים מצאו כי במקרים של חבילות בטא, שמספר הגרסה שלהן כולל לא רק ספרות ונקודות אלא גם מקפים ואותיות, בודק החולשות אינו מצליח לזהות שהחבילה פגיעה. חולשה זו עלולה לאפשר לתוקפים להזריק קוד לתוך חבילות תמימות, שיועברו למפתחים מבלי שהחולשות יזוהו בעת התקנתן. הדבר עלול להוביל בתורו לבניית אפליקציות ותוכנות הכוללת תכונות זדוניות ואף Backdoors. בשיחה שקיימו חוקרי JFrog עם מפתחי npm נטען כי אין צפי לתיקון התקלה. על מנת להתמגן מפני החולשה, יש להקפיד שלא להתקין ולא להשתמש בחבילות במצב Pre-release. כמו כן, ניתן לבדוק אם קיימות במחשב חבילות בטא שעלולות להיות פגיעות, באמצעות הרצת הפקודה הבאה ב-Linux:
npm list -a | grep -E @[0-9]+\.[0-9]+\.[0-9]+-
השבוע בכופרה
הכופרה RansomExx שודרגה לשפת Rust
חוקרים מחברת IBM זיהו גרסה חדשה של הכופרה, כחלק ממגמת העלייה במספר קבוצות התקיפה והכופרה המשתמשות ב-Rust לכתיבת נוזקות וכופרות. מגמה זו נובעת מיכולתם המופחתת של מנועי וכלי הגנה לזהות נוזקות הכתובות בשפת Rust, ומקושי שהדבר מציב בפני חוקרים המבקשים לבצע עבורן הנדסה לאחור. בשעה זו לא נראה שגרסת הכופרה הכתובה ב-Rust שונה מקודמתה, שנכתבה בשפת ++C, ואופן הפעולה שלהן זהה. כופרת RansomExx מופעלת על ידי הרצתה בצירוף כתובת התיקיות או הקבצים שהתוקף מבקש להצפין, והיא מתחילה מיד בהצפנת הקבצים באמצעות AES-256 ובהצפנת המפתח באמצעות מנגנון ה-RSA. הצפי הוא שבעתיד הקרוב יתועדו ועוד ועוד כלי תקיפה הכתובים בשפות כמו Rust ו-Go, עקב הקושי של תעשיית הגנת הסייבר להתמודד עם כלים מסוג זה ביעילות.
באחת מפרצות האבטחה הגדולות ביותר שחווה מוסד משטרתי, אלפי מסמכים ותמונות רגישים נגנבו ממאגר מידע השייך למשטרת הולנד ומתארח על שרת בו נמצאו ליקויי אבטחה חמורים. אתר החדשות VTM, שגילה את דלף המידע ואת המסמכים שפורסמו ברחבי הרשת, דיווח כי האימות הדו-שלבי (2FA) בהתחברות לשרת ה-Citrix המשמש את המשטרה לאחסון את מאגר הנתונים היה כבוי, ובכך נחשפו לעולם מידע מהשנים 2006 עד 2022. המצב האמור אפשר לתוקף ליצור גישה ראשונית לשרת על ידי ניחוש סיסמתו, ולאחר שניסה לסחוט את המשטרה פרסם את המידע דרך קישור Onion המוביל לרשת האפלה. המידע שנחשף כולל פרטים מלאים של אזרחים, הצהרות, תמונות, תלונות, שמות חשודים בפרשיות, דוחות, מספרי לוחיות רישוי של רכבים פרטיים, וכן פניות של המשטרה לחברות טלפוניה לקבלת תכנים של הודעות ויומני שיחות. בשל כמות הנתונים הגבוהה ורמת הרגישות והדיוק שלהם, קיים חשש כבד מפני זיוף זהויות של אזרחים.
ארה״ב: מכללת סינסינטי סטייט שבאוהיו נפלה קורבן למתקפת כופרה ומתקשה להשיב את מערכותיה לפעילות תקינה
במהלך חודש נובמבר דיווחה המכללה כי חוותה מתקפת סייבר. בהמשך, מגזין אבטחת המידע BleepingComputer דיווח כי קבוצת הכופרה Vice Society, המרבה לתקוף מוסדות לימוד, לקחה אחריות על המתקפה והדליפה לרשת ממערכות המכללה מידע רב הנפרס על פני מספר שנים, העדכני שבו מתוארך ל-24 בנובמבר 2022. בעדכון האחרון מטעם מוסד הלימוד, שפורסם ב-22 בנובמבר, צוין כי מערכות התקשורת והמייל של הארגון שבו לפעול, ובמתכונת מצומצמת גם הגישה לאינטרנט ולמחשבים בכיתות. עם זאת, טרם עלה בידי הארגון להחזיר לפעילות תקינה את המדפסות ואת הגישה ל-VPN, לכוננים משותפים וליישומים מקוונים. בעקבות האירוע, הנהלת המכללה פרסמה לעובדים ולסטודנטים מדריכים, לפעילות בסביבת העבודה הזמנית שלרשותם.
המלחמה במזרח אירופה
לאחרונה היתה אוקראינה נתונה תחת מתקפות סייבר בלתי פוסקות מצד האקרים התומכים ברוסיה או פועלים בשירות הקרמלין, בחלק מהן זוהתה פעילות של כופרה שקיבלה את הכינוי RansomBoggs, אשר ייתכן ומופעלת על ידי קבוצת התקיפה Sandworm, המשויכת לקרמלין. חברת אבטחת המידע הסלובקית ESET זיהתה את פעילות של הכופרה החדשה החל מה-21 בנובמבר. לדבריה, הכופרה כתובה בשפת NET., אך צורת הפריסה שלה זהה לזו שאפיינה בעבר מתקפות ששויכו ל-Sandworm. על פי הדיווחים, RansomBoggs משתמשת ב-PowerShell לשם התפשטות לאחר שהשיגה אחיזה ראשונית ברשת, ומבנה הסקריפט שלה כמעט זהה לזה בו נעשה שימוש במתקפת הסייבר Industroyer2 שביצעה Sandworm באפריל האחרון. בחקירת הכופרה החדשה זיהתה ESET כי היא יוצרת מפתח רנדומלי, מצפינה קבצים באמצעות AES-256 במצב CBC ומוסיפה לקבצים המוצפנים את הסיומת "chsch.". קבוצת התקיפה Sandworm נקשרה בעבר למתקפת הסייבר ההרסנית NotPetya שפקדה את אוקראינה ומדינות נוספות ב-2017, וכן למתקפות הענק על רשת החשמל האוקראינית ב-2015 וב-2016.
סייבר בעולם
סוכנות הידיעות האיראנית "פארס" נפגעה במתקפת סייבר
לדברי הסוכנות, בשלהי ה-25 בנובמבר היא חוותה מתקפת סייבר מורכבת, כאשר האקרים שיבשו את פעילותה. ״פארס״ היא אחד ממקורות החדשות העיקריים שהפעילה המדינה במהלך ההפגנות שהצית מותה של מחסה אמיני, שנעצרה בספטמבר בגין הפרה, לכאורה, של קוד הלבוש המונהג במדינה עבור נשים. מ״פארס״ נמסר כי הטיפול במתקפת הסייבר עלול לגרום לבעיות בחלק משירותיה למשך מספר ימים, וכי מתקפות סייבר נגדה מתבצעות כמעט מדי יום ממדינות שונות, לרבות ״השטחים הכבושים״, כלומר ישראל. עוד בהקשר זה, ב-21 באוקטובר הצהירה קבוצה המכונה Black Reward כי השיגה מסמכים הקשורים לתוכנית הגרעין של איראן, ודרשה לשחרר את כל האסירים הפוליטיים ועצורי ההפגנות הכלואים באיראן, תוך 24 שעות. לאחר שפג תוקפו של האולטימטום, הקבוצה פרסמה ברשתות החברתיות סרטון קצר שלקוח, לכאורה, מאתר הקשור לתוכנית הגרעין האיראנית, לצד כמה מסמכים. בתוך כך, ב-23 בנובמבר הודה הארגון לאנרגיה אטומית של איראן שאחת מחברות הבת שלו הוותה מטרה ל"מדינה זרה ספציפית", תוך שהוא ממעיט בחשיבותם של המסמכים שפורסמו.
לדברי מומחה אבטחת הסייבר צ׳אד לודר הודלפו מאגרי מידע שהכילו נתונים רגישים אודות עשרות מיליוני משתמשי טוויטר, לרבות מספרי טלפון, שם וסטטוס החשבון, Twitter ID ועוד. ביולי אשתקד כבר נגנבו מהפלטפורמה, ולאחר מכן פורסמו בפורומים שונים, רשומות שהכילו מידע רגיש על משתמשיה, ושנוצלו על ידי האקרים שונים, בהתבסס על פגם שנמצא ב-API, שאיפשר להם להכניס את מספר הטלפון וכתובת המייל של הקורבן ולקבל את ה-Twitter ID המקושר אליהם. הדליפה שהתרחשה כעת מעלה את הסבירות למשלוח מיילי פישינג זדוניים למספר רב של משתמשים.
רשות התקשורת הפדרלית של ארצות הברית (FCC) פרסמה כללים חדשים האוסרים על שימוש, ייבוא ושיווק של מוצרי טלקום ומצלמות אבטחה של מספר חברות סיניות, בהן Huawei Technologies ,ZTE Corporation ,Hytera Communications ו-Hangzhou Hikvision Digital Technology (לרשימה המלאה, לחצו כאן). הכללים שפורסמו מיישמים את חוק הציוד המאובטח, הנועד להגן על הביטחון הלאומי של ארצות הברית ולהבטיח שציוד תקשורת שאינו אמין לא יהיה מורשה לשימוש בגבולותיה. הצו יחול על הרשאות עתידיות בנוגע לציוד המופיע ברשימה שפרסמה ה-FCC. עוד אוסרת ה-FCC על שימוש בכספי ציבור לצורך רכישת הציוד או השירותים המופיעים ברשימה, והיא השיקה תוכנית להסרת ציוד שאינו מאובטח וכבר נמצא בארצות הברית. נוסף על כך, הרשות ביטלה את ההרשאה להשתמש בשירותים ובמוצרים של ספקים המצויים בבעלות ממשלת סין. הדוח המלא של ה-FCC מצוי כאן. בתוך כך, בריטניה אסרה על התקנת מצלמות אבטחה שנרכשו מסין באתרים ממשלתיים רגישים.
ConnectWise סוגרת בכלי השליטה מרחוק שלה חולשת XSS שנוצלה על ידי תוקפים
החברה, המציעה תוכנת שליטה מרחוק עבור ארגונים ולקוחות פרטיים, טיפלה בחודש אוגוסט בחולשה שאיפשרה לתוקפים להתחזות לחברות ולמחלקות תמיכה טכנית ולשכנע קורבנות להעניק להם גישה למחשביהם. באמצעות החולשה, שהתגלתה על ידי חברת Guardio הישראלית, התוקפים שינו והשפיעו על ״מרכזי תמיכה״ שניתן להקים באמצעות השירות של ConnectWise, אשר נועד ליצירת פורטלי תמיכה ניתנים לעיצוב, למשל על ידי קביעת רקע ולוגו הפורטל. תכונות אלה איפשרו לתוקפים להתחזות לשירותי תמיכה של חברות מוכרות, ולהביא קורבנות להוריד מהפורטלים המתחזים את תוכנת השליטה מרחוק. למרות שלרוב התוקפים ניצלו את גרסאות ה-Trial של השירות, הכוללות הודעה המזהירה משתמשים מפני תקשורת עם גורמים שאינם מוכרים, באמצעות החולשה התאפשר לתוקפים להסיר את ההודעה ולצקת בשירות נראות של מרכז תמיכה לגיטימי ורשמי. לאחר שהערימו על משתמשים וגרמו להם להוריד את הכלי, התוקפים קיבלו שליטה מלאה בעמדות של קורבנותיהם. מממצאי החוקרים עלה שרכיב ה-Page.Title באפליקציה של ל-ConnectWise לא ביצע סניטציה כראוי עבור התוכן אותו הוא מכיל, דבר שיצר חולשת Stored XSS שאיפשרה לתוקפים להכניס ברכיב (ומשם בכלל הפורטל המתחזה) כל תוכן או קוד כרצונם, לרבות קוד JavaScript. לאחר שחוקרי Guardio דיווחו על החולשה ל-ConnectWise, החברה מיהרה לסגור אותה באפליקציה, ואף ביטלה את אופציית העיצוב עבור המשתמשים בשירות ה-Trial.
מידע של כ-487 מיליון משתמשי WhatsApp מוצע למכירה ברשת
באמצע נובמבר פורסם בפורום מוכר של האקרים פוסט על ידי אדם הטוען כי בידיו מאגר מידע בהיקף עצום, המעודכן ל-2022 וכולל נתונים אודות כ-487 מיליון משתמשי WhatsApp. על פי הדיווחים, המידע שייך למשתמשים מ-84 מדינות, בהם כ-44 מיליון משתמשים ממצרים, כ-32 מיליון משתמשים אמריקאים, כ-11 מיליון משתמשים בריטים וכ-10 מיליון משתמשים רוסים. עבור המידע אודות המשתמשים האמריקאים מבקש המפרסם תשלום בגובה של 7,000 דולר, בעוד שהמחיר הנקוב עבור המידע אודות המשתמשים הבריטים עומד על 2,500 דולר. לרוב, מידע מסוג זה משמש האקרים למתקפות פישינג ו-וישינג (פישינג באמצעות שיחות טלפון). המחזיק במאגר לא פירט כיצד הצליח להשיג את המידע, שהיקפו עצום. מ-Meta, חברת האם של WhatsApp, טרם התקבלה תגובה לפרסומים.
צוות קונפידס ממליץ למשתמשי WhatsApp להימנע משיתוף מידע אישי, לרבות בשיחות טלפון המתקבלות ממספרים שאינם מוכרים, וכן מלחיצה על קישורים הנשלחים ממספרים שאינם מוכרים.
תוקנה חולשה בממשק הענן AWS, שסיכנה את את סביבות משתמשיה
צוות המחקר של Datadog איתר ב-AWS AppSync חולשה שניצולה עלול לאפשר לתוקף לבצע פעולות בכל החשבונות בהם מופעל AppSync. השירות AppSync מאפשר למפתחים ליצור ממשקי API של GraphQL ו-Pub/Sub, אך כאשר מפתח נדרש ליצור עבור ממשקים אלה מקור נתונים, האחרון יהיה חשוף בעת ניצול החולשה. מקור החולשה בערך serviceRoleArn, המייצג את השירות האפליקטיבי שפועל בתיאום עם ה-AppSync הייחודי של כל חשבון AWS, כאשר הפגם מאפשר הזנת ערך שונה לשם ביצוע מניפולציה על AppSync, כך שהשירות יחרוג מגבולות החשבון המבצע את הבקשה לחשבונות אחרים ויאפשר לתוקף לגשת למשאבים שונים. החולשה דווחה לצוות AWS, שתיקן אותה והבהיר כי אף לקוח לא נפגע ממנה, וכי לא תועד ניצול פעיל שלה. לדברי AWS, משתמשיה אינם נדרשים לבצע כל פעולה לשם החלת התיקון.
ה-CISA מוסיפה שתי חולשות לקטלוג החולשות הידועות שלה
החולשות שנוספו לקטלוג שמתחזקת הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) הן חולשה (CVSS 9.8 CVE-2021-35587) ב-Access Manager של חברת Oracle, העלולה לאפשר לתוקף שאינו מאומת בעל גישה לרשת באמצעות HTTP להשתלט על המוצר, וחולשה (CVE-2022-4135 CVSS 9.8) מסוג גלישת חוצץ (Buffer overflow) ב-Google Chrome, שעלולה לאפשר לתוקף לפרוץ את התוכנה ולהריץ קוד שרירותי. על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר.
כחודש לאחר המתקפה שחוותה ממשלת ונואטו, מדינת איים קטנה השוכנת ממזרח לאוסטרליה, השירות הציבורי במדינה טרם התאושש. בעקבות המתקפה, שרתים ממשלתיים, שרתי מייל ומערכות מקוונות אחרות הושבתו, שירותי תשלומים הואטו וחלו עיכובים באספקת סחורות. על התרחשות האירוע הודיע צוות אבטחת סייבר מטעם המדינה לאחר, שאתרי אינטרנט ממשלתיים הפכו בלתי נגישים וחלקם החלו להפנות גולשים לאתרים של קבוצות אשר לדעת צוות האבטחה עומדות מאחורי המתקפה. לדברי השר לשינוי האקלים ראלף רגנוואנו, השבתת המערכות פוגעת בעבודת הממשלה ומתקפת הסייבר מהווה פגיעה חמורה בביטחון הלאומי של ארצו. בשל המצב, עובדי ממשל רבים החלו להשתמש במייל האישי שלהם להמשך עבודתם. בתוך כך, מבית החולים הראשי של ונואטו נמסר שלמרות שהמתקפה לא השפיעה על הטיפול בחולים, מערכת התשלומים המקוונת אינה מתפקדת, דבר שהביא לעיכובים בקבלת תרופות מספקים ובתשלום משכורות לעובדים. לדברי הנהלת בית החולים, בכוונתה לבחון את התקנתה של מערכת גיבוי אינטרנטית בארגון. במקביל, מומחים אוסטרלים מסייעים לוונואטו לבנות מחדש את רשת ה-IT שלה באופן שיסייע להגן עליה בעתיד. בעוד שטרם התברר מי עומד מאחורי המתקפה, על פי דיווחים שאינם רשמיים ממשלת ונואטו דחתה דרישת כופר שקיבלה מהתוקפים. לדברי גורמי בממשל, הרקע לתקיפה אינו ברור, אך ייתכן והמניע לכך הוא פיננסי או פוליטי, מתוקף היותה של ונואטו ״שחקנית חשובה באזור״.
חוקרי Cybernews גילו כי ENC Security ההולנדית, המספקת ״פתרונות הצפנה ברמה צבאית״ ומעניקה שירותים לחברות כמו Sony ,Lexar ו-SanDisk , היא החברה אשר משרת שבבעלותה דלפו קובצי תצורה וקובצי אישורים, בהם (Simple Mail Transfer Protocol (SMTP עבור ערוצי מכירה, מפתחות Adyen של פלטפורמת התשלום שלה, מפתחות API ל-Mailchimp, מפתחות API לרישוי תשלום, קודי אימות של הודעות HMAC ומפתחות ציבוריים ופרטיים המאוחסנים בפורמט ״.pem״. לדברי החוקר מרטינאס ורייקיס מ-Cybernews' מידע זה מהווה ״מכרה זהב״ עבור תוקפים. לטענת ENC Security, תצורה שגויה של ספק צד שלישי שלה היא שגרמה לבעיה, שעם גילויה תוקנה מיד והשרת האמור נסגר. ככל הנראה, הנתונים היו נגישים מה-27 במאי 2021 ועד ל-9 בנובמבר 2022, ועשויים להיות מנוצל למתקפות שונות, בהן פישינג וכופרה, שהשלכותיהן על הקורבנות עלולות להיות הרסניות.
LastPass מעדכנת את לקוחותיה כי חוותה אירוע אבטחת מידע נוסף
לאחר התקרית שאירעה באוגוסט (ראו ״הסייבר״, 1.9.22), כעת הודיעה החברה ללקוחותיה שלאחרונה זוהתה פעילות חריגה בשירות אחסון ענן של צד שלישי, אותו חולקות LastPass ושותפתה GoTo. מחקירה שערכה חברת Mandiant עלה כי גורם שאינו מורשה הצליח לגשת לרכיבי מידע של לקוחות LastPass, כל זאת באמצעות אינפורמציה שהושגה בתקרית הקודמת. לדברי LastPass, הסיסמאות של לקוחותיה נותרו מוצפנות ובטוחות הודות לארכיטקטורת ה-Zero Knowledge שלה. בשעה זו שירותי ומוצרי החברה פועלים כסדרם, וחקירת האירוע נמשכת. בתוך כך, החברה הודיעה כי היא פורסת בתשתיותיה יכולות ניטור ואמצעי אבטחה משופרים, על מנת לאתר ולמנוע פעילות נוספת מצד תוקפים.
ארה״ב: מערכת הבריאות הקהילתית מודיעה על הפרת פרטיותם של נתונים אודות כ-1.5 מיליון משתמשים
מקור ההפרה הוא בפרצת אבטחה שנבעה משימוש בטכנולוגיות מעקב של חברות צד שלישי, בהן פייסבוק ו-Google. השימוש בטכנולוגיות אלה נועד למעקב אחר מגמות שימוש של משתמשים, ואולם בפועל התגלה כי הן משמשות לאיסוף מידע רב יותר ממה שהיה ידוע למערכת הבריאות של אינדיאנה. בחודש שעבר דווח כי Meta, חברת האם של פייסבוק, ניצבת בפני ביקורת על השימוש שהיא עושה בכלי Pixels למעקב באתרי בתי חולים (ראו ״הסייבר״ 24.11.22), ואף בפורטלים של פטנטים המוגנים בסיסמה. במקרה הנוכחי, מערכת הבריאות טוענת כי השתמשה בטכנולוגיות המעקב על מנת להבין טוב יותר איזה שימוש עושים לקוחותיה באתרה, אך לאחר שנודע לה כי הן מותקנות בפורטל המטופלים ובכמה אתרים לזימון תורים, היא החלה להשבית ולהסיר את חלק מהכלים הללו מאתריה ויישומיה, מתוך הבנה כי הם עלולים להביא חשיפת מידע בהיקף רחב. חקירה שבוצעה בנושא לא העלתה ממצאים ודאיים בנוגע למידע שפרטיותו הופרה, אך הוא עשוי לכלול כתובות IP, מיקומים ושעות של תורים שנקבעו ועוד. בתוך כך, גם ספקית שירותי הבריאות האמריקאית Kaiser Permanente הודיעה על גישה לא נאותה למידע של 8,500 משתמשים, לאחר שעובד צפה ללא סיבה לגיטימית ברשומות רפואיות מגוונות, שכללו שמות, מספרי טלפון, תאריכי לידה, כתובות, מידע רפואי ותמונות. מן הארגון נמסר כי לא מצא ראיות לשימוש לרעה במידע, כי האדם שעמד מאחורי האירוע אינו מועסק עוד על ידו, וכי "אנו בוחנים את המדיניות ואת נהלינו המסדירים את הגישה לרשומות הרפואיות של המטופלים, כדי לקבוע אם יש צורך באמצעי הגנה נוספים למניעת אירועים עתידיים".
סייבר בישראל
ב-27 בנובמבר הודיעה קבוצת ה״האקטיביסטים״ החדשה Black Magic כי ברשותה 50GB של מידע השייך לעובדים וללקוחות של מספר חברות ישראליות, לצד קבלות ופרטי משלוח. במקביל, הקבוצה פרסמה סרטון באיכות גבוהה מאוד, בו מוצגים מאגרי המידע אליהם השיגה גישה. צוות קונפידס סבור כי קבוצת התקיפה פועלת ממניע לאומני. עוד נראה כי באמצעות אחת מקבוצות הטלגרם של הקבוצה היא מנסה להתחזות לישראלים לשם ביצוע מתקפות מניעת שירות (DDoS) על אתרים שאינם מוגנים, כל זאת בתקווה למצוא פרצות שיאפשרו לה גישה למאגרי מידע נוספים.
בתוך כך, ב-30 בנובמבר פורסם ב-TheMarker כי חברות שילוח ולוגיסטיקה ישראליות נפרצו על ידי ניצול חולשה במערכת שפותחה על ידי חברת ״בלדר״ הישראלית. המערכת האמורה הינה תוכנה לניהול מערכי הפצה לחברות לוגיסטיקה ומשלוחים, שבאמצעותה חברות מנהלות הזמנות של לקוחות ואת מערך השליחים והנהגים שלהן. מכיוון שצוות קונפידס הצליח לזהות כי המערכת מותקנת באתרים של החברות הישראליות שנפרצו על ידי Black Magic, עולה חשד גדול לקשר בין הדיווחים, ולכך שהמערכת של ״בלדר״ שימשה את התוקפים לביצוע פעולותיהם. לדברי TheMarker, טרם התברר אם דלף מידע מלקוחותיה של חברת ״בלדר״ שנפגעו באירוע, ואולם חיפוש מהיר בערוץ הטלגרם של Black Magic ובפורומים של האקרים מראה כי אכן מידע רב דלף מן החברות שהותקפו.
לפני מספר שבועות, מערך הסייבר הלאומי והרשות להגנת הפרטיות התריעו בפני ״בלדר״ על חשש להימצאותה של חולשה בתוכנה שפיתחה. מהרשות להגנת הפרטיות נמסר כעת כי נבדקת שאלת אחריותה של החברה, מבחינת מודעתה לקיום החולשה ונקיטת פעולה ראויה לטיפול בה. מ״בלדר״ נמסר כי ״החברה נקטה ונוקטת אמצעי אבטחה מתקדמים כדי להגן על המוצר, והיא מבצעת בדיקות חדירה באופן שוטף. החברה התריעה בפני לקוחותיה כי יש לבצע פעולות מיגון כדי למנוע התקפות סייבר, בייחוד בתקופה רגישה זו, ובעקבות זאת מרבית לקוחותיה אכן היו מוגנים״. לדברי הרשות להגנת הפרטיות, "הרשות מתחקרת את האירוע והיא פתחה בהליך פיקוח. מטבע הדברים, בשלב זה לא ניתן למסור מידע נוסף בנושא. בתום בחינה ראשונית של האירוע, היקפו, השלכותיו ונסיבותיו, תעדכן הרשות את הציבור". להלן תמונה של הפרסום המקורי מטעם Black Magic.
(מקור: Black Magic בטלגרם, 27.11.22)
לאחר הפסקה בת 4 שנים בשל מגפת הקורונה, נפתחה בפעם השביעית התערוכה, במסגרתה 65 חברות ישראליות הציגו בפני יותר מ-700 אורחים פיתוחים וחידושים בתחומי הגנת הסייבר, המיועדים להתמודדות והגנה רב-ממדיות עם תרחישים כגון איומים על ערים וחברות ספנות גדולות, ומתקפות סייבר על מאגרי מידע של מוסדות רפואיים, חברות מסחריות גדולות ומתקנים של תשתיות קריטיות ושדות תעופה. בשיחה לעיתון ״כלכליסט״ אמר טל סימנטוב, מנהל תחום הביטחון והסייבר במכון היצוא, כי המערכות שמוצגות בתערוכה אינן כוללות אמצעים המשמשים לפעולות סייבר התקפיות וזדוניות, וכי הדגש מושם על מערכות המיועדות לאכיפה ולהגנה על מאגרי מידע ותשתיות חיוניות.
סייבר ופרטיות - רגולציה ותקינה
משרד האוצר מפרסם דוח הכולל המלצות בנוגע לאסדרת שוק הנכסים הדיגיטליים: נדרשת תפיסה רגולטורית כוללנית לשם מזעור סיכונים
בדוח, שהתפרסם ב-28 בנובמבר ונכתב בהובלת הכלכלנית הראשית של משרד האוצר שירה גרינברג ובהתייעצות עם גורמי ממשל רלוונטיים ומומחים חיצוניים מישראל ומהעולם, מוצגת תפיסה רגולטורית מקיפה לטיפול בסוגיית הנכסים הדיגיטליים בישראל. נכסים אלה, המהווים תופעה גלובלית חדשה יחסית, כוללים הן נכסים המגובים מוניטרית על ידי נכסים אחרים, כגון מטבעות מדינתיים, והן כאלה שאינם מגובים. הדוח מתייחס לנכסים משני הסוגים האמורים המשתמשים בטכנולוגיה מבוזרת מסוג Distributed Ledger Technology, או DLT. נכסים כאלה מייצרים סיכונים חדשים ומשמעותיים למערכת הכלכלית והפיננסית, לרבות בתחומי הלבנת ההון, היציבות הפיננסית והמוניטרית ואובדן ההכנסות המדינתיות ממיסים. הדוח ממליץ על תפיסה רגולטורית ישראלית מקיפה בנושא, לצד שורת המלצות פרטניות לקידום תפיסה זאת. התרשים להלן מדגים את התהליך הרגולטורי בנוגע ל-DLTs במדינות אחרות, לשם ההשוואה עם התהליך בישראל. לדברי גרינברג במבוא לדוח, מטרתה העיקרית של העבודה על הדוח היתה לצמצם ולנהל את הסיכונים שבשימוש בנכסים האמורים לאור התפתחויות בשוק, ולגבש אסדרה מושכלת ומקיפה בנושא, שתהלום את הסטנדרטים המתפתחים בעולם המערבי. בהמשך לפרסום הדוח אמר שר האוצר אביגדור ליברמן כי "תחום הנכסים הדיגיטליים, שעשוי להפוך לחלק אינטגרלי במערכת הפיננסית והכלכלית, עדיין מתאפיין בסיכונים ובאי ודאות גבוהים הן לצרכנים והן למערכת כולה. כל אלה מחייבים מדיניות מושכלת של הממשלה. אני מודה לכלכלנית הראשית על העבודה המקיפה, המקצועית והמסורה שבוצעה על ידה ועל ידי צוותה בנושא, המהווה את הדו"ח המקיף והעדכני ביותר שקיים כיום בנושא זה לשימוש הממשלה, ומצפה כי הדו"ח ישמש בסיס להחלטות ולחקיקה עתידית בנושא".
(מקור: דו"ח אסדרת תחום הנכסים הדיגיטליים, נובמבר 2022, עמ' 48.)
צרפת: הרשות להגנת הפרטיות מטילה קנס בסך 800,000 אירו על Discord בגין אי-עמידה ב-GDPR, בין השאר בשל אי-הגדרת תקופת שמירת הנתונים
החברה האמריקאית, המספקת שירותי תקשורת לקהילת משחקי הווידאו, קיבלה את הקנס מה-CNIL בגין מספר הפרות של הרגולציה הכללית להגנה על מידע (GDPR), כל זאת בהליך יוצא דופן, לאור העובדה שאין מדובר בפריצה למערכות Discord שגרמה לדלף מידע אישי, אלא בשורה של אי-סדרים במשילות התאגידית, המהווים הפרה של הרגולציה האמורה. בין היתר, הקנס הוטל משום שהחברה לא הגדירה תקופה להחזקת מידע אישי בידי הארגון, לא יישמה מדיניות נאותה של ניהול סיסמאות ולא ערכה תסקיר השפעה בנוגע להגנה על מידע אישי (DPIA) ביחס לתהליכים שדרשו זאת על פי ה-GDPR. נימוק לא שגרתי נוסף שסיפקה ה-CNIL למהלך הוא הפרה של סעיף 25.2 של הרגולציה, המחייבת ארגונים ליישם תהליכים של הגנה על מידע אישי כברירת מחדל. Discord נוקטת כעת במספר צעדים לסגירת פערי הציות ביחס לדרישות ה-GDPR.
איחוד באיחוד האירופי: שיתוף פעולה אסטרטגי בין המפקח האירופי להגנת מידע (EDPA) לסוכנות אבטחת הסייבר של האיחוד (ENISA)
ב-30 בנובמבר נחתם מזכר הבנות בין הרגולטור של האיחוד האירופי בתחום הגנת המידע האישי (EDPA) לבין הסוכנות להגנת סייבר של האיחוד האירופי (ENISA). עד כה, שני הארגונים עסקו בנפרד בפיתוח רגולציה ממוקדת בהיבטים שתחת סמכותו של כל אחד מהם, חרף החפיפה המהותית הרבה בין תחום הסייבר ותחום הגנת המידע האישי. שתי דוגמאות בולטות לאותה רגולציה נפרדת הן ה-Network and Information Security Directive שה-ENISA תומכת ביישומה ככלי רגולטורי בתחום הסייבר (ראו גם פרסום משבוע זה בנושא השקעות בהגנת סייבר שמבצעות מדינות האיחוד תחת רגולציה זאת), והרגולציה הכללית להגנה על מידע (GDPR) של ה-EDPA. מזכר ההבנות שנחתם כעת כולל התחייבויות שמקדמות את שיתוף הפעולה האסטרטגי בין הארגונים בנוגע להיבטים סייבריים של הגנה על מידע אישי, לרבות פיתוח טכנולוגיות לאבטחת מידע אישי ועבודה במסגרת רשת הנדסת הפרטיות באינטרנט (Internet Privacy Engineering Network). מזכר ההבנות נכנס לתוקף באופן מיידי.
הודו מקדמת חוק הגנת פרטיות חדש: ניסיון רביעי תוך 4 שנים
ב-18 בנובמבר פרסם המשרד ההודי לטכנולוגיות אלקטרוניות ומידע טיוטה של חוק הגנת מידע אישי חדש, ה-Digital Personal Data Protection Bill, 2022. הצעה זו היא הרביעית במניין מאז פסק הדין של בית המשפט העליון של הודו מ-2017, לפיו הזכות לפרטיות הינה זכות בסיסית שיש להגן עליה בחקיקה. שלושה ניסיונות קודמים לקדם חקיקה בנושא, שנעשו בשנים 2018, 2019 ו-2021, נכשלו בשל חוסר הסכמה על המודל הראוי לה. הטיוטה שהתפרסמה כעת כוללת 7 עקרונות יסוד שינחו את השימוש במידע אישי של תושבי הודו, והיא צפויה להגיע לדיון פרלמנטרי ראשון בתחילת 2023.
כנסים
דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן.
בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, לאוניה חלדייב, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי וגיא פינקלשטיין.