WhatsApp Image 2020-07-02 at 17.01.17.jp

 

דו״ח סייבר שבועי

עדכון שבועי 03.11.2022

עיקרי הדברים

  1. ישראל: כשל אבטחה חמור במערכת ניהול הבחירות של ש״ס הוביל לדלף מידע של מצביעים בישראל. 

  2. חברת Dropbox מדווחת על דלף מידע; חברת הנחושת הגדולה באירופה והשנייה בגודלה בעולם חווה מתקפת סייבר.

  3. שלוש מדינות בשבוע: מתקפת סייבר המיוחסת לרוסיה משבשת אתרי מוסדות הממשלה ואתרי פרלמנט בבולגריה, בפולין ובסלובקיה. 

  4. כללי הגנת סייבר חדשים לתעופה האזרחית באיחוד האירופי: רגולציה חדשה מגבירה את רמת ההגנה של מגוון ארגונים במגזר.

  5. *אנו ממליצים לעדכן את המוצרים הבאים: עדכון חירום לדפדפן Google Chrome (חולשת (Zero-day); מערכת הפעלה Windows 10 (חולשת Zero-day); מוצרי הגיבוי של ConnectWise (קריטי); מוצרי Mitsubishi Electric (קריטי); המוצר Junos OS (גבוה); פלטפורמת Melis (קריטי); המוצרים FortiAnalyzer ו- FortiManager  של Fortinet (גבוה); מוצרי Cisco (גבוה); מוצרי Red Hat (בינוני).*

תוכן עניינים

הציטוט השבועי

איפה אפשר לקרוא את הדוחות

חולשות חדשות

עדכון חירום לדפדפן Google Chrome אשר נותן מענה לחולשת Zero-day יפורסם בימים הקרובים
עדכון אבטחה ל-Junos OS נותן מענה למספר חולשות, חלקן ברמת חומרה גבוהה
עדכון אבטחה לפלטפורמת Melis נותן מענה לחולשות קריטיות
מענה לא רשמי לחולשת Zero-day ב-Windows 10 המנוצלת כעת
עדכון אבטחה של Red Hat נותן מענה לחולשות ברבים ממוצריה, חלקן ברמת חומרה בינונית
מוצרים לאוטומציה במפעלים מתוצרת Mitsubishi Electric נמצאו פגיעים לחולשה קריטית
עדכון אבטחה לספריית OpenSSL שיפורסם בשבוע הבא ייתן מענה לשתי חולשות, אחת מהן קריטית
עדכוני אבטחה של חברת Cisco נותנים מענה ל-15 חולשות, חלקן ברמת חומרה גבוהה
עדכון אבטחה למוצרי הגיבוי של ConnectWise נותן מענה לחולשה קריטית
עדכון אבטחה ל-Sanitization Management System נותן מענה לחולשה ברמת חומרה גבוהה
עדכון אבטחה למוצרי Fortinet נותן מענה לחולשה ברמת חומרה גבוה

התקפות ואיומים

ספקית התקשורת Twilio, שחוותה אירוע אבטחה באוגוסט השנה, חושפת שחוותה אירוע נוסף בחודש יוני
חברת הנחושת הגדולה באירופה והשנייה בגודלה בעולם חווה מתקפת סייבר על מערכות המידע שלה
בולגריה: מוסדות הממשלה נפגעו במתקפת סייבר המיוחסת לרוסיה
בתי הפרלמנט בפולין ובסלובקיה הושבתו בעקבות מתקפת סייבר על רשתות המחשבים שלהם
באג ב-Samsung Galaxy Store עלול היה לאפשר להאקרים להתקין בסתר אפליקציות במכשירים
שיטת תקיפה חדשה של קבוצת התקיפה הסינית APT10 מכוונת נגד רשויות יפניו

השבוע בכופרה

קבוצות כופרה מגבירות את התקיפות נגד ארגונים תעשייתיים ברחבי העולם

המלחמה במזרח אירופה

נוזקה חדשה המתחזה לכזו המופעלת על ידי גדוד Azov האוקראיני מופצת ברשת באמצעות SmokeLoade

סייבר בעולם

האקרים משתמשים בלוגים של שרתי Microsoft IIS לשליטה בנוזקות
מפעיל ה״SilkRoad הגרמני״ ברשת האפלה נעצר
ה-CISA מוסיפה חולשה אחת ל״קטלוג החולשות הידועות המנוצלות״
חברת Dropbox מדווחת על דלף מיד

סייבר בישראל

כשל אבטחה חמור במערכת ניהול הבחירות הממוחשבת של ש״ס הפך אותה נגישה לפריצה באמצעות הדפדפן בלבד והביא לדליפת מיד

סייבר ופרטיות - רגולציה ותקינה

הבית הלבן מכנס בשנית את צוות המדינות נגד מתקפות כופרה, בו ישראל חברה: 8 פרויקטים חדשים ייצאו אל הדרך ב-2023
כללי הגנת סייבר חדשים לתעופה האזרחית באיחוד האירופי: רגולציה חדשה מגבירה את רמת ההגנה של מגוון ארגונים במגזר
בג"ץ מחייב את המדינה להצדיק את השארת סמכויות הניטור של השב"כ שנקבעו בתקופת מגפת הקורונה
ארה״ב: בניית כוח הסייבר כחלק אינטגרלי מאסטרטגיית ההגנה הלאומי

כנסים

 

הציטוט השבועי

״אם יש לך חברה קטנה שפעילותה העסקית מסכנת אחרים, אתה לא יכול להתחמק רק משום שאתה קטן. אתה צריך לקחת אחריות על הסיכון שאליו אתה חושף אחרים״ 

– ז'אן פול מורו, המתאם לענייני הגנת סייבר של הסוכנות האירופית לבטיחות אווירית (EASA), בנושא פרסום כללי הגנת הסייבר לתעופה האזרחית, The Wall Street Journal, 2.11.2022.

2222.jpg

איפה אפשר לקרוא את הדוחות

ערוץ הטלגרם
https://t.me/corona_cyber_news

33333.jpg
4444.jpg
55555.jpg

חולשות חדשות

עדכון חירום לדפדפן Google Chrome אשר נותן מענה לחולשת Zero-day יפורסם בימים הקרובים 

גרסה 107.0.5304.87 של הדפדפן עבור Mac ו-Linux וגרסה 107.0.5304.87/88 עבור Windows סוגרות חולשה (CVE-2022-3723) מסוג Type Confusion שרמת חומרתה גבוהה, ואשר עלולה לאפשר לתוקף להריץ קוד שרירותי ולהערים על הדפדפן להריץ קוד זדוני. לדברי Google, החולשה מנוצלת באופן פעיל והיא רלוונטית לכל גרסאות המוצר הקודמות לאלה החדשות.
צוות קונפידס ממליץ למשתמשי הדפדפן לעדכנו לגרסאותיו החדשות מיד עם שחרורן.


עדכון אבטחה ל-Junos OS נותן מענה למספר חולשות, חלקן ברמת חומרה גבוהה

חלק מהחולשות עלולות לאפשר לתוקף להריץ קוד מרחוק. החולשה בעלת דירוג החומרה הגבוה ביותר (CVE-2022-22241, CVSS 8.1) שנסגרת בעדכון היא מסוג Pre-authenticated PHP Archive File Deserialization ומקורה ברכיב J-Web של המוצר. לדברי פאולוס ייבלו מ-Octagon Networks, אשר גילה את החולשה, היא עלולה להיות מנוצלת על ידי תוקף שאינו מאומת לשם בנייה מחדש של קובצי ה-Phar. הדבר יכול להוביל לכתיבת קובץ שרירותית ולאפשר הרצת קוד מרחוק. חולשה נוספת ברמת חומרה גבוהה (CVE-2022-22246, CVSS 7.5) שנסגרת בעדכון היא מסוג Local File Inclusion, והיא עלולה לאפשר הרצת קוד PHP ממקור שאינו בטוח. לדברי ייבלו, הדבר עשוי לאפשר לתוקף לכלול בהרצה בשרת כל קובץ PHP המאוחסן בו, ובשילוב עם חולשה  אחרת, המאפשרת העלאת קבצים למערכת (ראו בהמשך), היא עלולה להוביל להרצת קוד מרחוק.

עוד התגלו במערכת 3 חולשות ברמת חומרה בינונית:
CVE-2022-22242, CVSS 6.1 - חולשה מסוג Pre-authenticated Reflected XSS בעמוד השגיאה error.php, העלולה לאפשר לתוקף לסנן ב-Junos OS סשנים של אדמין.

CVE-2022-22243 CVSS 4.3 ו-CVE-2022-22244 CVSS 5.3 - חולשות מסוג XPATH Injection, העלולות להיות מנוצלות לגניבת סשנים של אדמין במערכת.

CVE-2022-22245, CVSS 4.3 - חולשה מסוג מעבר בין ספריות, העלולה לאפשר לתוקף מאומת להעלות למערכת קבצי PHP.

צוות קונפידס ממליץ למשתמשים במוצרי Juniper לעדכן את המוצר לגרסתו האחרונה.


עדכון אבטחה לפלטפורמת Melis נותן מענה לחולשות קריטיות

לאחרונה, חוקרי חברת Sonar גילו ב-Melis (מערכת מסחר אלקטרוני וניהול תוכן [CMS] בקוד פתוח) מספר חולשות, החמורה שבהן (CVE-2022-39297, CVSS 9.8) עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE). החולשות רלוונטיות לגרסאות 2.2.0 ו-5.0.0 של הפלטפורמה.

צוות קונפידס ממליץ למשתמשי המערכת לעדכנה לגרסתה האחרונה - 5.0.1.


מענה לא רשמי לחולשת Zero-day ב-Windows 10 המנוצלת כעת

בעת פתיחת קובץ שהורד מהאינטרנט ללא חתימה דיגיטלית המוכרת למיקרוסופט, מערכת ההפעלה Windows תשהה את הרצת הקובץ ותקפיץ התראת אבטחה על מנת לוודא שהמשתמש מעוניין בהרצתו. ההתראה תכלול את שם הקובץ, סוג הקובץ, המוציא לאור (כפי שנלקח מהחתימה הדיגיטלית, אם יש כזו) ונתיבו המלא. ב-18 באוקטובר צייץ בטוויטר חוקר החולשות וויל דורמן אודות חולשת Zero-day המנוצלת כעת על ידי קבוצת התקיפה Magniber ומאפשרת עקיפה של אותה התראת אבטחה והרצה ישירה של הקובץ. ניצול החולשה מתאפשר כאשר יוצרים חתימה דיגיטלית מעוותת לקובץ, שיוצרת שגיאה לא ידועה. במצב כזה, למרות שמקור הקובץ באינטרנט והוא סומן על ידי מערכת ההפעלה ככזה שנדרשת עבורו התראת האבטחה, בעת הרצתו החתימה הדיגיטלית תיצור את השגיאה ותגרום למערכת ההפעלה לדלג על התראת האבטחה ולהריצו ישירות. חושף החולשה ציין שהיא משפיעה על מערכות Windows 10 ומקורה ברכיב החדש Check Apps And Files, שהוצג עם SmartScreen של Windows 10 תחת הגדרות האבטחה של מערכת ההפעלה. כאשר פונקציה זו מבוטלת, מערכת ההפעלה חוזרת לתצורתה המקורית ומציגה את התראת האבטחה ללא התייחסות לחתימה הדיגיטלית שמגיעה עם הקובץ שמנסה להיפתח.


עדכון אבטחה של Red Hat נותן מענה לחולשות ברבים ממוצריה, חלקן ברמת חומרה בינונית
העדכון שפרסמה החברה, המספקת לארגונים פתרונות תוכנה בקוד פתוח, נותן מענה לחולשות ברמת חומרה בינונית ונמוכה שהתגלו במגוון מוצרים, בהם גם: 

Red Hat Enterprise Linux Server - TUS

Red Hat Enterprise Linux Server - AUS

Red Hat Enterprise Linux Server for Power LE - Update Services for SAP Solutions

Red Hat Enterprise Linux for x86_64 - Update Services for SAP Solutions

עבור כל המוצרים עודכנה ליבת המערכת לתיקון חולשה העלולה לאפשר חשיפת מידע באמצעות גישה מקומית. עוד פורסם עדכון אבטחה לחולשה בספריית Libksba, העלולה לאפשר לתוקף להזריק קוד מרחוק.

צוות קונפידס ממליץ למשתמשים במוצרי Red Hat לעיין ברשימת העדכונים המלאה, ובמידת הצורך לעדכן את המוצרים שברשותם לגרסאותים האחרונות, כמפורט כאן.


מוצרים לאוטומציה במפעלים מתוצרת Mitsubishi Electric נמצאו פגיעים לחולשה קריטית 

ענקית האלקטרוניקה דיווחה לסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) על שתי חולשות במוצרים הבאים:
התוכנה GOT2000 compatible HMI
CC-Link IE TSN Industrial Managed Switch
MELSEC iQ-R Series OPC UA Server Module

CVE-2022-1292, CVSS 9.8 - חולשה שניצולה פשוט יחסית, העלולה לאפשר לתוקף להריץ קוד מרחוק (RCE).

CVE-2022-0778, CVSS 7.5 - חולשה העלולה לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS).

עוד דיווחה ה-CISA שהמוצרים הפגיעים נמצאים בתפוצה עולמית ונעשה בהם שימוש על ידי מגזרים בעלי חשיבות קריטית.

צוות קונפידס ממליץ לכל בעלי המוצרים הפגיעים לסגור את החולשות בהקדם על ידי יישום הוראות היצרן המופיעות בידיעון האבטחה שפרסמה Mitsubishi Electric.


עדכון אבטחה לספריית OpenSSL שיפורסם בשבוע הבא ייתן מענה לשתי חולשות, אחת מהן קריטית

על פי ציוץ בטוויטר של מארק קוקס, מהנדס תוכנה ב-Red Hat וסמנכ"ל האבטחה של Apache Software Foundation, העדכון ישוחרר ב-8 בנובמבר. OpenSSL היא ספרייה חינמית המצפינה את תעבורת התקשורת ברשתות מחשבים ומגנה על התוכן מפני האזנה או זיהוי הצד שבקצה השני, כל זאת באמצעות יישום של פרוטוקולי SSL ו-TLS. הספרייה נמצאת בשימוש נרחב על ידי שרתי אינטרנט, לרבות מרבית אתרי ה-HTTPS, והיא זמינה עבור המערכות Windows ,macOS ,BSD ו-Linux.

החולשה הקריטית (CVE-2022-3602) שנסגרת בעדכון עלולה לאפשר לתוקף להריץ קוד מרחוק (RCE) על ידי ניצול פגם במנגנון אימות התעודות, כל זאת באמצעות תעודות שהוכנו מראש עבור ניצול הפגם ואשר מכילות קוד זדוני בפורמט Punycode (ייצוג של מחרוזות Unicode באמצעות תווי ASCII), המפוענח ומבוצע על ידי OpenSSL.

החולשה השנייה (CVE-2022-3786) שנסגרת בעדכון היא ברמת חומרה גבוהה, והיא עלולה לאפשר לתוקף לבצע מתקפת מניעת שירות (DDoS) באמצעות ניצול פגם בפונקציה הנמצאת בקוד: כאשר מתווספת נקודה (״.״) לסוף ה-Punycode, היא עשויה לצאת מגבולות הזיכרון המוקצה לה. אי לכך, הוספת מספר רב של נקודות יביא ל-Buffer overflow, שימנע שירות מהשרת הנגוע. 

מכיוון שהחולשה הראשונה סווגה כקריטית, והיות שספריית OpenSSL הינה נפוצה ביותר, סביר שבעתיד הקרוב היא תנוצל ותופץ באופן רוחבי. 

צוות קונפידס ממליץ להטמיע את העדכון בסמוך לפרסומו.


עדכוני אבטחה של חברת Cisco נותנים מענה ל-15 חולשות, חלקן ברמת חומרה גבוהה

העדכונים שפרסמה החברה ב-2 בנובמבר רלוונטיים למוצרים ISE - Identity Services Engine, BroadWorks CommPilot Application Software, Email Security Appliance ו-Cisco Umbrella. כמו כן, החברה פרסמה עדכונים למוצריה המושפעים מחולשות שהתגלו בספריית OpenSSL.

במוצר ISE נמצאו 5 חולשות שונות ברמות חומרה בינונית וגבוהה, החמורה שבהן (CVE-2022-20961, CVSS 8.8), שמקורה בממשק האינטרנטי, היא מסוג (Cross-site request forgery (CSRF והיא עלולה לאפשר לתוקף שאינו מאומת לבצע פעולות בשמו של הקורבן באתרים שונים ועל גבי מכשיר פגיע.

במוצר BroadWorks CommPilot Application נמצאו 2 חולשות ברמת חומרה גבוהה, החמורה שבהן (CVE-2022-20958, CVSS 8.3), שמקורה בממשק האינטרנטי, עלולה לאפשר לתוקף מאומת להריץ פקודות קוד מרחוק על מכשיר פגיע.

במוצר Email Security Appliance נמצאו 4 חולשות ברמות חומרה בינונית וגבוהה, החמורה שבהן (CVE-2022-20867, CVSS 4.7), שמקורה בניהול ממשק הדור הבא (Next-generation UI management), עלולה לאפשר הזרקת קוד בהרשאות Root במכשיר פגיע.

במוצר Cisco Umbrella נמצאה חולשה אחת (CVE-2022-20969, CVSS 4.8), שרמת חומרתה בינונית. מקור החולשה בניהול דפי המוצר והיא עלולה לאפשר לתוקף מאומת לבצע מתקפת XSS נגד משתמשיו.

החולשות שנמצאו ב-OpenSSL עלולות לאפשר לתוקף מרוחק להריץ פקודות זדוניות על מכשיר פגיע. עדכון האבטחה מכיל רשימות של מוצרים שהחולשה משפיעה עליהם, מוצרים שהחולשה אינה משפיעה עליהם ומוצרים שעדיין נבדק אם החולשה משפיעה עליהם.

צוות קונפידס ממליץ למשתמשים במוצרי Cisco לעיין ברשימת העדכונים שפורסמה, ובמידת הצורך לעדכנם לגרסאותיהם האחרונות.


עדכון אבטחה למוצרי הגיבוי של ConnectWise נותן מענה לחולשה קריטית

ConnectWise הינה פלטפורמת ניהול שירותי IT. החולשה, שהתגלתה במוצרים ConnectWise Recover ו-R1Soft Server Backup Manager, היא מסוג CWE-74 והיא עלולה לאפשר לתוקף להריץ קוד מרחוק ולגשת לנתונים רגישים. החולשה מתבטאת בנטרול לא תקין של אלמנטים מיוחדים בפלט בו עושה שימוש רכיב ה-Upstream, ומקורה בחולשה (CVE-2022-36537, CVSS 7.5) המאפשרת עקיפת אימות ב-Upstream בקוד הפתוח ZK.

מדוח מפורט שפרסמה חברת האבטחה Huntress עולה שהיא זיהתה יותר מ-5,000 מקרים של Server Backup Manager חשופים, דבר העלול לסכן חברות דרך שרשרת האספקה.

העדכונים שיש להטמיע במוצרים:
ConnectWise Recover - החולשה רלוונטית לגרסה v2.9.7 וגרסאות מוקדמות יותר - יש לעדכן לגרסה v2.9.9.

R1Soft - החולשה רלוונטית לגרסה SBM v6.16.3 וגרסאות מוקדמות יותר - יש לעדכן לגרסה v6.16.4.

צוות קונפידס ממליץ לבעלי המוצרים לעדכנם בהקדם לגרסאותיהם האחרונות.


עדכון אבטחה ל-Sanitization Management System נותן מענה לחולשה ברמת חומרה גבוהה

החולשה החדשה (CVE-2022-43355, CVSS 7.2) הינה מסוג SQL Injection ועלולה לאפשר לתוקף מאומת במערכת לשלוח שאילתות SQL זדוניות אל סקריפט ה-PHP שנמצא ב-URL זה: /php-sms/classes/Master.php, כל זאת על ידי עריכת הפרמטר id כך שתתאפשר צפייה, מחיקה והוספת ערכים המצוים ב-Database שב-Backend האתר.


עדכון אבטחה למוצרי Fortinet נותן מענה לחולשה ברמת חומרה גבוהה

החולשה (CVE-2022-39950, CVSS 7.6) התגלתה בגרסאות הישנות הבאות של המוצרים FortiManager ו-FortiAnalyzer:

7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 6.4.8, 6.4.7, 6.4.6, 6.4.5, 6.4.4, 6.4.3, 6.4.2, 6.4.1, 6.4.0, 6.2.9, 6.2.8, 6.2.7, 6.2.6, 6.2.5, 6.2.4, 6.2.3, 6.2.2, 6.2.1, 6.2.0, 6.0.9, 6.0.8, 6.0.7, 6.0.6, 6.0.5, 6.0.4, 6.0.3, 6.0.2, 6.0.11, 6.0.10, 6.0.1, 6.0.0

מקור החולשה באימות לקוי של קלט בתבניות הדיווח של שני המוצרים, והיא עלולה לאפשר לתוקף בעל הרשאות נמוכות לבצע מתקפת XSS על ידי שליחת תגובה ״מוגנת״ בעזרת CKEditor. 
צוות קונפידס ממליץ למשתמשי המוצרים לעדכנם לגרסאותיהם האחרונות.  

התקפות ואיומים

ספקית התקשורת Twilio, שחוותה אירוע אבטחה באוגוסט השנה, חושפת שחוותה אירוע נוסף בחודש יוני
לדברי החברה, מדובר ב"תקרית אבטחה קצרה" שבוצעה על ידי אותו גורם שעמד מאחורי הפריצה באוגוסט, בה הושגה גישה לא-מורשית למידע של לקוחות (ראו ״הסייבר״, 11.8.22 ו״הסייבר״, 1.9.22). האירוע הראשון התרחש ב-29 ביוני, כך התברר השבוע מסיכום ממצאי חקירת הפריצה שאירעה באוגוסט, כאשר לדברי Twilio אחד מעובדי החברה נפל קורבן למתקפת וישינג (פישינג באמצעות שיחת טלפון) וסיפק לגורם זדוני את פרטי ההתחברות למשתמש שלו. הדבר איפשר לתוקף לגשת למערכות פנימיות של החברה ולצפות במידע של מספר לקוחות, כאשר החברה הצליחה לזהות ולחסום את גישתו תוך 12 שעות והודיעה על האירוע ללקוחות שפרטיהם נחשפו. בשעה זו לא ידוע כמה לקוחות נפגעו בתקיפה שבוצעה ביוני, או מדוע החברה דיווחה על התרחשותה רק כעבור ארבעה חודשים. בתוך כך, Twilio עדכנה שבפריצה האחרונה, שאירעה באוגוסט, נחשף מידע של 209 לקוחות, ולא 163, כפי שפורסם ב-24 באוגוסט.


חברת הנחושת הגדולה באירופה והשנייה בגודלה בעולם חווה מתקפת סייבר על מערכות המידע שלה

המתקפה שחוותה חברת Aurubis בליל ה-28 באוקטובר אילצה את אנשי ה-IT של החברה להשבית מספר מערכות ולנתקן מהרשת, כאמצעי מניעה ראשוני. בשעה זו החברה פועלת להערכת הנזקים שנגרמו כתוצאה מהתקיפה, אך לדבריה פס הייצור והבקרה על הסחורות היוצאות והנכנסות פועלים כסדרם.


בולגריה: מוסדות הממשלה נפגעו במתקפת סייבר המיוחסת לרוסיה

האירוע, שהתרחש בסוף השבוע, דווח בציוץ בטוויטר על ידי התובע הראשי של בולגריה איוואן גשב, כאשר על פי האתר Euractiv מדובר במתקפת מניעת שירות (DDoS) מאסיבית על מספר אתרים של משרדי ממשלה, בהם אתר משרד הפנים, משרד הביטחון, משרד המשפטים ובית המשפט לחוקה. ממשלת בולגריה פתחה בחקירת המקרה והזהירה שההתקפות מאיימות על יסודות המדינה. המתקפה החלה ביום שבת ה-29 באוקטובר, ומומחים מאמינים שבוצעה על ידי תוקפים רוסים. לדברי סגן התובע הראשי ומנהל החקירה הלאומית בוריסלב סראפוב, מחקירה ראשונית עלה שמקור התקיפה במגניטוגורסק, רוסיה, אך לטענתו מידע זה אינו מספיק על מנת לייחס את המתקפה לקבוצת תקיפה או לגוף ספציפי. סראפוב הוסיף כי הרשויות המקומיות זיהו לפחות אדם אחד שהיה מעורב בתקיפה ויבקשו את הסגרתו, למרות שאין ספק, לדבריו, שממשלת רוסיה לא תענה לבקשת הבולגרים. בתוך כך, קבוצת התקיפה הפרו-רוסית Killnet לקחה אחריות על המתקפה וכתבה בעמוד הטלגרם שלה כי מדובר בעונש "על בגידה ברוסיה ואספקת נשק לאוקראינה".


בתי הפרלמנט בפולין ובסלובקיה הושבתו בעקבות מתקפת סייבר על רשתות המחשבים שלהם 

המתקפות, שהתרחשו ב-27 באוקטובר, הביאו להשבתת המחשבים וקווי הטלפון של שני בתי הנבחרים, ובכך למניעת קיומן של הצבעות בפרלמנטים. לטענת הפולנים, התקיפה התבצעה ממספר מקומות שונים, אחד מהם הוא ככל הנראה רוסיה. להערכתם, הגורם למתקפה הוא הכרזתה של פולין יום קודם לכן, לפיה המשטר הרוסי הוא ״משטר טרור״. במקביל, יו״ר הפרלמנט הסלובקי בוריס קולאר אמר כי טרם התגבשה הבנה בנוגע למקור הבעיה, וכי הוא סבור שיעלה בידיו של צוות ה-IT של הפרלמנט לפתור אותה.


באג ב-Samsung Galaxy Store עלול היה לאפשר להאקרים להתקין בסתר אפליקציות במכשירים

על פי פרסום של SSD Secure Disclosure, פגם אבטחה שתוקן יכול היה להפעיל את האפשרות להריץ פקודות מרחוק במכשירים סלולריים פגיעים עליהם היתה מותקנת אפליקציית ה-Galaxy Store בגרסה 4.5.32.4. הבאג האמור, שהינו מסוג XSS, מתרחש בעת טיפול ב-Deeplinks מסוימים - קישורים שלחיצה עליהם שולחת את המשתמש ישירות לאפליקציה, במקום לאתר או לחנות ההורדות. הקרדיט על זיהוי הבאג ניתן לחוקר אבטחה עצמאי.
התקפות XSS מאפשרות ליריב להחדיר ולהפעיל קוד JavaScript זדוני בעת ביקור באתר דרך דפדפן או אפליקציה אחרת. מקור הבעיה שזוהתה באפליקציית Galaxy Store הוא באופן התצורה של Deeplinks עבור שירות השיווק והתוכן של סמסונג MCS) Samsung), שעלול להוביל לתרחיש בו מורץ קוד שרירותי המוזרק לאתר MCS.
בהודעתה של SSD Secure Disclosure נאמר כי אי-בדיקת ה-Deeplinks בצורה מאובטחת כאשר משתמש ניגש לקישור מאתר המכיל אותו, עלולה לאפשר לתוקף להפעיל קוד JavaScript ב-Webview של אפליקציית Galaxy Store, ולמנף את הדבר להורדת והתקנת אפליקציות מרובות נוזקות במכשיר Samsung בעת ביקור בקישור. החוקרים ציינו שכדי להצליח לנצל את הבאג ואת שרת הקורבן, ראשית יש צורך לעקוף את פרוטוקולי ה-HTTPS וה-CORS של Chrome


שיטת תקיפה חדשה של קבוצת התקיפה הסינית APT10 מכוונת נגד רשויות יפניות

APT10, המתמקדת בתקיפת ארגונים ציבוריים, ממשלתיים, תקשורתיים ודיפלומטיים ביפן, נצפתה משתמשת בקבוצת הנוזקות החדשה LODEINFO, כך על פי פרסומים של חברת Kaspersky. התוקפים מתמקדים בדמויות מפתח ומתחילים את תקיפותיהם בניסיון להביא את הקורבנות, באמצעות Spear phishing, לפתוח קובץ Word זדוני שבתוכו קוד מאקרו, המניע את תהליך הדבקה. בעת הרצת המאקרו, מוצא אל הפועל קוד VBA היוצר קובץ ZIP שבתוכו קובץ DLL זדוני וקובץ הרצה לגיטימי. זה האחרון משמש להרצת קבצי DLL, ולמעשה מאפשר את טעינת קובץ ה-DLL לזיכרון באמצעות מתקפת DLL-Side Loading. ה-Shellcode של LODEINFO נמצא בתוך ה-DLL, כך שבטעינתו לזיכרון התוקפים מקבלים גישה למחשב. זאת ועוד, חוקרי Kaspersky זיהו תהליך הדבקה נוסף שבו נשלח לקורבן קובץ מסוג SFX מכווץ ב-RAR, אשר עם פתיחתו נראה רק קובץ Word תמים. ואולם, מאחורי הקלעים נוצר קובץ ZIP שגם בתוכו מצויים קובץ ההרצה הלגיטימי וקובץ DLL זדוני, שמוזרק לזיכרון באמצעות קובץ ההרצה.
צוות קונפידס ממליץ לנהוג בחשדנות בנוגע לצרופות או לקישורים המתקבלים במייל. בטרם פתיחתם או לחיצה עליהם יש להבין היטב את ההקשר שבגינו נשלחו, ובמידת הצורך לשאול את השולח במה מדובר ולקבל הסבר מספק.

השבוע בכופרה

קבוצות כופרה מגבירות את התקיפות נגד ארגונים תעשייתיים ברחבי העולם

על פי דוח שפרסמה חברת Dragos לרבעון השלישי של השנה, תוכנות כופרה ממשיכות להוות את אחד מהסיכונים הפיננסיים והתפעוליים הגדולים ביותר על ארגונים תעשייתיים ברחבי העולם. תחזית החברה, לפיה הרבעון יתאפיין בעלייה בפעילותן קבוצות הכופרה ובשיבוש הפעילות התעשייתית, ובהופעתן של קבוצות כופרה חדשות - התממשה, ובמהלך הרבעון זוהו מספר קבוצות כופרה חדשות הפועלות נגד גופים תעשייתיים, בהן SPARTA BLOG ,BIANLIAN ,Donuts ,ONYX ו-YANLUOWANG. מן הדוח עולות המגמות הבאות: 1. תקיפות הכופרה קשורות לאירועים פוליטיים וכלכליים, כגון הסכסוך בין רוסיה לאוקראינה והמתיחות הפוליטית בין איראן לאלבניה. 2. מתוך 48 קבוצות בתחום, רק 25 היו פעילות במהלך הרבעון השלישי, ומספר התקיפות עמד על 128, לעומת 125 ברבעון שקדם לו. עיקר התקיפות התרחשו בצפון אמריקה ובאירופה. 3. קבוצת LockBit עמדה מאחורי יותר משליש מסך התקריות העולמיות (35%), בעוד שכמה שמות ידועים אחרים התמקדו במגזר האנרגיה. עוד ניכר כי לכל קבוצת תקיפה התמחות שונה (לדוגמה, LockBit 3.0 היא הקבוצה היחידה שהתמקדה בכימיקלים, בקידוחים, באספקה ​​תעשייתית וענף עיצוב הפנים). 4. כ- 68% מהתקפות כוונו נגד מגזר הייצור (88 תקריות), 9% מהן כוונו נגד סקטור המזון והמשקאות (12 תקריות), 6% בוצעו נגד גופים בסקטור הנפט והגז הטבעי (8 תקריות), 10% כוונו אל גופים במגזרי האנרגיה והתרופות, ולבסוף - מגזרי הכימיקלים, הכרייה, ההנדסה ומערכות המים והשפכים חוו מתקפה אח כל אחד. לקראת הרבעון הרביעי, Dragos מעריכה שכופרות ימשיכו לשבש את הפעילות התעשייתית ושיופיעו קבוצות תקיפה נוספות שיתמקדו בארגונים תעשייתיים. 

המלחמה במזרח אירופה

 
 

נוזקה חדשה המתחזה לכזו המופעלת על ידי גדוד Azov האוקראיני מופצת ברשת באמצעות SmokeLoaderֿ

נוזקת Azov Ransomware מופצת בימים אלו ברשת באמצעות הבוטנט הידוע SmokeLoader (המפיץ גם את כופרת STOP ואת נוזקת RedLine Stealer) ומצפינה את קבצי הקורבן בשם גדוד Azov האוקראיני (ראו ״הסייבר״, 21.7.22). כפי שלרוב קורה בעת פעולתן של נוזקות וכופרות, עם הצפנת הקבצים נוצר המסביר לקורבן כיצד יוכל לשחרר את קבציו החשובים. ואולם, קובץ ההסבר שמייצרת Azov Ransomware מפנה את הקורבן לחשבונות הטוויטר של מספר חוקרים ועיתונאים ידועים, בהם לורנס אברמס, Hasherazade ו-MalwareHunterTeam, שבפועל אין להם כל קשר לנוזקה. אי לכך, מדובר בנוזקה הרסנית המשחיתה את קובצי הקורבן מבלי לאפשר לו לשחזרם. מכיוון ש-SmokeLoader מפיץ כופרות של גורמים זדוניים שונים בעבור תשלום, קורבנות שנפגעו מהנוזקה החדשה עלולים להיפגע בו-זמנית גם מנוזקות אחרות המופצות על ידי הבוטנט. בזמן כתיבת שורות אלה טרם נתגלו דרכים להסרת Azov Ransomware, ועל מי שנפגע ממנה לשנות בהקדם את הסיסמאות לחשבונותיו הדיגיטיליים, במיוחד החשובים והרגישים שבהם. 

סייבר בעולם

 
 

האקרים משתמשים בלוגים של שרתי Microsoft IIS לשליטה בנוזקות

קבוצת ההאקרים Cranefly, הידועה גם בשם UNC3524, נצפתה משתמשת בלוגים של השרתים לשליטה בנוזקה המותקנת במכשירים נגועים. טכניקה זו טרם נצפתה עד כה, וככל הנראה מהווה שיטה חדשה לשליטה מרחוק בנוזקות. (Microsoft Internet Information Services (IIS הוא שרת אינטרנט המאפשר אחסון אתרים ואפליקציות, ומשמש גם בתוכנות כמו Outlook Web. בדומה לכל שרת אינטרנט, כשמשתמש מרוחק ניגש לדף אינטרנט, שרת ה-IIS יכתוב קובץ לוג של הבקשה, שיכלול חותמת זמן, IP מקור, URL של הבקשה, הסטטוס שלה ועוד. לרוב משמשים לוגים אלה לצורכי אנליזה ופתרון תקלות, אך דוח חדש של חברת Symantec מראה ש-Cranefly מנצלת אותם לשליחת פקודות לנוזקות Backdoor המותקנות על מכשירים. לרוב, נוזקות מקבלות פקודות על ידי חיבור רשת לשרת C&C, אך ארגונים רבים מנטרים תעבורת רשת למציאת תקשורת זדונית. ואולם לוגים של שרתי אינטרנט מאחסנים את בקשותיו של כל משתמש מכל רחבי העולם, והם מנוטרים לעתים רחוקות בלבד. לכן, הם מהווים מקור טוב לשמירת פקודות זדוניות, תוך צמצום הסיכוי לגילויים. טכניקה זו דומה לטכניקה שנצפתה במאי השנה, והתבססה על החבאת נוזקה בלוגים של Windows על מנת להימנע מגילוי. לדברי חוקרי Symantec, גם שיטה זו נצפתה בעבר בשימוש פעיל על ידי Cranefly. קבוצת התקיפה משתמשת בתוכנה החדשה ״Trojan.Geppei״ להורדת הנוזקה (Dropper), שמתקינה נוזקה בשם ״Trojan.Danfuan״. Geppei מתוכנתת כך שתקרא פקודות הישר מתוך הלוגים של שרתי IIS, על ידי חיפוש מילות מפתח ספציפיות (Wrde ֿ,Exco ,Cllo) אשר נשלחות בבקשות HTTP אל שרת ה-Web לשם לשליטה בנוזקה. לדברי החוקרים, בדרך כלל מילות המפתח בהן משתמשת הנוזקה אינן מופיעות בלוגים של IIS, והופעתן מעידה על בקשת HTTP זדונית שמעובדת על ידי Geppei. בהתאם למילת המפתח שמופיעה בלוג, Geppei תתקין נוזקות נוספות (Wrde), תריץ פקודות (Exco) או תוריד כלי המבטל את כתיבת הלוגים של השרת (Cllo). קבוצת התקיפה משתמשת בטכניקה זו כדי לשמר אחיזה בשרתים פרוצים ולאסוף מידע באופן שקט, תוך התחמקות מגילוי על ידי רשויות אכיפת חוק וחוקרים. הדבר מתאפשר משום שבטכניקה זו התוקף יכול להעביר פקודות דרך מספר אמצעים, כמו שרתי פרוקסי, דפדפן Tor, שירותי VPN או סביבות פיתוח אינטרנטיות.

צוות קונפידס ממליץ לארגונים לנטר את מילות המפתח האמורות בלוגים של שרתי IIS, על מנת לאתר תקשורת לנוזקה באמצעות שיטה זו. עוד מומלץ להזין במערכות האנטי-וירוס וה-EDR את מזהי התקיפה (IOCs) המופיעים כאן.


מפעיל ה״SilkRoad הגרמני״ ברשת האפלה נעצר

בפעולה משותפת של משטרת הפלילים הפדרלית הגרמנית (BKA) והמשרד המרכזי לפשעי סייבר של מדינת בוואריה (ZCB) נעצר ב-25 באוקטובר סטודנט בן 22 מבוואריה שהינו החשוד המרכזי בהפעלת אתר המסחר Deutschland im Deep Web (״גרמניה ברשת העמוקה״). האתר היווה מעין גרסה גרמנית של ״SilkRoad" האמריקאי, שהיה לאחד מאתרי המסחר הלא-חוקיים הראשונים והפופולריים ביותר ברשת האפלה. האתר האמריקאי, שכבר אינו פעיל, הציע למכירה סמים קלים וקשים, ואף כלי נשק. בעת המעצר החרים הכוח הגרמני מגוון רחב של ראיות, לרבות מחשבים, ציוד אחסון מידע ומכשירים סלולריים שהיו ברשותו של החשוד. האתר הפופולרי שהפעיל הינו ״גלגולו״ השלישי של אתר שנסגר בעבר פעמיים, בפעם הראשונה ב-2017, לאחר אירוע ירי המוני במינכן שבוצע בכלי נשק שנרכש באתר על היורה. על פי החשדות, העצור הפעיל את האתר מאז נובמבר 2018ֿ, והוא צפוי לעונש של עד 10 שנות מאסר. הפלטפורמה שניהל כללה כ-16 אלף משתמשים רשומים ו-72 סוחרים פעילים, והיתה לאחת מהפלטפורמות דוברות הגרמנית המובילות ברשת. 


ה-CISA מוסיפה חולשה אחת ל״קטלוג החולשות הידועות המנוצלות״

ב-28 באוקטובר הסוכנות האמריקאית להגנת סייבר ותשתיות (CISA) הוסיפה חולשה קריטית לקטלוג שהיא מתחזקת, בהתבסס על עדויות לניצולה האקטיבי על ידי תוקפים. החולשה (CVE-2022-3723) מצויה במנוע ה-JavaScript (המכונה V8) בדפדפן Google Chrome. החולשה ב-Chrome רלוונטית לכל גרסאות הדפדפן מלבד זו החדשה, ו-Google לא תפרסם פרטים נוספים אודותיה עד שהעדכון יוטמע על ידי מרבית משתמשי המוצר. על אף שרק סוכנויות פדרליות מחויבות לטפל בחולשות המופיעות ברשימה, ה-CISA ממליצה לכל ארגון לפעול לטיפול בהן, על מנת לצמצם את חשיפתו לתקיפות סייבר.

צוות קונפידס ממליץ למשתמשי Google Chrome לעדכנו לגרסתו האחרונה: גרסה 107.0.5304.87/.88 עבור Mac ו-Linux וגרסה 107.0.5304.87 עבור Windows. עוד מומלץ להקפיד על הטמעה שוטפת של עדכונים.


חברת Dropbox מדווחת על דלף מידע

השבוע חשפה החברה שהדלף התרחש לאחר שתוקף ניגש לכ-130 חשבונות GitHub באמצעות פרטי גישה שנגנבו מאחד מעובדיה, שנפל קורבן למתקפת פישינג. האירוע התגלה לחברה לאחר ש-GitHub דיווחה לה על פעולות חשודות בחשבונותיה בפלטפורמה. לדברי Dropbox, צוותי אבטחת המידע שלה פועלים במרץ להבנת היקף הדלף, ובהמשך יספקו למשתמשים המלצות להתמגנות. נכון לכתיבת שורות אלה, כל פרטי ההתחברות של החברה לפלטפורמת ה-GitHub שלה הוחלפו, ולכן היא מניחה שהגישה הלא-מורשית נחסמה.

סייבר בישראל

 

כשל אבטחה חמור במערכת ניהול הבחירות הממוחשבת של ש״ס הפך אותה נגישה לפריצה באמצעות הדפדפן בלבד והביא לדליפת מידע

על פי דיווח של רן בר-זיק בעיתון TheMarker, הכשל מאפשר לכל אדם בעל ידע טכני מינימלי לחדור אל המערכת ולהיחשף לנתונים אישיים מפורטים, לרבות כאלה שאינם כלולים בפנקס הבוחרים, ואשר שייכים לכלל אזרחי ישראל בעלי זכות הצבעה, ולא רק לתומכי ש"ס. המידע האמור כולל את פנקס הבוחרים המלא (שמות פרטיים, שמות משפחה, מספרי תעודות זהות וכתובות), מין הבוחר ומספרי טלפון קוויים וניידים המשויכים אליו (ואם המכשירים כשרים או לא), וכן קשרים משפחתיים תחת ההגדרה "בית אב" (תיעוד לקשרי נישואים ולקשרים עם ילדים בוגרים, אם אלה מתגוררים באותה עיר בה מתגוררים הוריהם). המידע היה אמור להיות זמין למנהלי המערכת ולפעילי המפלגה בלבד (עבור האחרונים הצפייה היתה מוגבלת לערים שונות בלבד), אך בעקבות הכשל נחשפו פרטים אישיים רגישים של מיליוני אזרחים בעלי זכות הצבעה.

המערכת הינה מערכת משוכללת שהוקמה עבור ש״ס על ידי חברה חיצונית ומתוחזקת על ידי המפלגה, והיא מאפשרת למפעילי מערכת בדרגות שונות לצפות בפרטים שונים אודות מצביעים ופעילים, כדי לתמרץ אותם להצביע למפלגה. מלבד זאת, היא כוללת מערכת של הפקת דוחות בזמן אמת, המאפשרת לעקוב ביום הבחירות אחר אחוזי ההצבעה ולפעול בהתאם לעידוד הצבעה.
המידע על הכשל נמסר על ידי האקר אנונימי שטען כי הצליח למצוא את הפרצה במערכת.. מקור הכשל הוא בחולשה ותיקה ומוכרת במערכות מבוססות PHP, הנובעת מכך שבודק שגיאות תוכנה (Debugger) הותקן על המערכת, שהגישה אליה היא באמצעות ממשק אינטרנטי. התקנתו של Debugger על אתר ״חי״ אסורה, משום שניתן להיכנס אליו באמצעות כל דפדפן, לצפות בכל פעולות האתר ולהוציא ממנו מידע, כגון סיסמאות השמורות בעוגיות, אשר מאפשרות לפורץ להיכנס אל המערכת כמשתמש רגיל. אי לכך, כל גולש בעל ידע טכני מינימלי יכול, באמצעות מניפולציה פשוטה בשורת ה-URL, לנצל את הפרצה, להיכנס אל המערכת, "להתחזות" מנהל אזור, למנהל עיר או אף למנהל הכללי של המערכת, ולהיחשף אל הנתונים האישיים הרבים המצויים בה.
מש״ס נמסר שמיד עם קבלת הפנייה בדבר הכשל, ובעקבות המידע שנמסר מהמפלגה, נערכה בדיקה מקיפה של מאגר המידע באמצעות מומחי אבטחה ויושמו בו מספר שינויים מיידית, כך שכל המידע יישמר באופן מאובטח. ש"ס ממשיכה בבדיקה מקיפה של מערכות מאגר המידע, ולדבריה תפעל ככל שיידרש נגד כל גורם שיימצא כי פעל בניגוד לדין.

סייבר ופרטיות - רגולציה ותקינה

 

הבית הלבן מכנס בשנית את צוות המדינות נגד מתקפות כופרה, בו ישראל חברה: 8 פרויקטים חדשים ייצאו אל הדרך ב-2023

ב-31 באוקטובר וב-1 בנובמבר השתתפו עשרות מדינות בכנס השני שיזם הבית הלבן בנושא המאמצים להקטנת השפעתן של מתקפות כופרה. היוזמה, המכונה International Counter Ransomware Initiative (או CRI), שיצאה לדרך באוקוטובר אשתקד (ראו ״הסייבר״, 28.10.21), תחל לפעול בשנה הקרובה במסגרת 8 פרויקטים ספציפיים: הקמת צוות משימה בינלאומי, ייסוד מרכז לשיתוף מידע ופעולה בליטא, גיבוש "ארגז כלים" לשימושם של חוקרי מתקפות כופר, שילוב חברות פרטיות בעבודתו של צוות המשימה, פרסום אזהרות משותפות על פעילותם של תוקפים, בניית שיתופי פעולה בין הסקטור הפרטי לגורמי ממשל ועריכת תרגילים משותפים. ישראל השתתפה בשני כנסי ה-CRI, כאשר בהודעה משותפת לעיתונות אמרו המדינות המשתתפות כי "עבודת ה-CRI תומכת ביישום מסגרת האו"ם להתנהגות אחראית של מדינות במרחב הסייבר, במיוחד הנורמה הוולונטרית לפיה על מדינות לשתף פעולה 'כדי להחליף מידע, לסייע זו לזו, להעמיד לדין בגין שימוש בטרור ופשיעה [עם כלי סייבר] וליישם אמצעים שיתופיים אחרים כדי לטפל באיומים כאלה'.״ עוד חיברו המדינות את עבודת ה-CRI לתהליך המתרחש כעת באו"ם לגיבוש אמנה נגד פשע מקוון, זאת באמצעות ועדה מיוחדת שהוקמה תחת מזכ"ל האו"ם. ישראל חברה גם בוועדה זו (ראו ״הסייבר״, 17.3.22, ״הסייבר״, 11.8.22 ו״הסייבר״, 1.9.22)


כללי הגנת סייבר חדשים לתעופה האזרחית באיחוד האירופי: רגולציה חדשה מגבירה את רמת ההגנה של מגוון ארגונים במגזר 

ב-2 בנובמבר הודיע האיחוד האירופי על רגולציה חדשה המחייבת את הגברת רמת הגנת הסייבר במגזר התעופה האזרחית. בשל התלות ההדדית הרבה מאוד של ספקים במגזר, הרגולציה, שתיכנס לתוקף בשנת 2025, תחול על מגוון רחב של ארגונים בשרשרת האספקה של תעשיית התעופה האזרחית, בהם יצרני מטוסים, חברות תעופה, שדות תעופה, בתי ספר לתעופה, יצרני ציוד נלווה, ואפילו חברות קייטרינג. הסוכנות האירופית לבטיחות אווירית (EASA), שהובילה את תהליך גיבושם של הכללים החדשים, פרסמה ביוני אשתקד חוות דעת בעניין הגנת סייבר בתעופה האזרחית, ששימשה באופן חלקי כבסיס לכללים. בין היתר, ארגונים יידרשו ליישם אמצעי אבטחת מידע ומנגנוני פיקוח על מערכותיהם הדיגיטליות ולהטמיע מערכת לניהול אבטחת מידע. הדבר יביא לשינויים רבים בהתנהלותם של גופי תעופה, דבר אשר מעלה את סוגיית איוש התפקידים שיידרשו על מנת לספק את רמת הגנת הסייבר החדשה הנדרשת. אכיפת הרגולציה החדשה מוטלת על רשויות התעופה המדינתיות באיחוד האירופי. 


בג"ץ מחייב את המדינה להצדיק את השארת סמכויות הניטור של השב"כ שנקבעו בתקופת מגפת הקורונה   

בעתירה שהוגשה על ידי האגודה לזכויות האזרח בישראל, בג״ץ נדרש לשאלת צמצום סמכויות הניטור והאיכון שהופקדו בידי השב"כ במהלך תקופת הקורונה, והחזרת היקפן של סמכויות אלה למתכונת הקודמת. למרות שהעתירה הוגשה ביולי 2021, בית המשפט קבע בהחלטה מה-19 באוקטובר כי על המשיבים (הממשלה, השב"כ ו-ועדת החוץ והביטחון) להתייצב בפני בית המשפט ולהסביר: (א) מדוע לא תוגבל הפעלת הסמכות לפי חוק שירות הביטחון הכללי, התשס"ב - 2002 (חוק השב"כ) לנסיבות דחופות, או כאשר הדבר נדרש מטעמי חשאיות; (ב) מדוע לא תותנה הפעלת הסמכות בביקורת תקופתית של הרשויות המוסמכות לכך. חוק השב"כ, המסדיר את פעולת השב"כ, קובע את הנסיבות שבהן ניתן להרחיב את סמכויות הארגון. בזמן מגפת הקורונה הוסמך השב"כ על פי דין לעסוק באיכון אזרחים ותושבים, כדי למזער את השפעת המחלה. העתירה הנוכחית של האגודה לזכויות האזרח דורשת את ביטולן של החלטות הממשלה שאפשרו להרחיב את תפקידי וסמכויות השב"כ לצורך צמצום השפעת המגפה, ולדרוש פיקוח פרלמנטרי על הרחבות שתתדרשנה בעתיד. למשיבים נקבעו 90 יום להגשת תצהירי תשובה.


ארה״ב: בניית כוח הסייבר כחלק אינטגרלי מאסטרטגיית ההגנה הלאומית

ב-27 באוקטובר פרסם משרד ההגנה האמריקאי את ה-National Defence Strategy, בה מפורטים דגשים להגנה בהקשרים גלובליים שונים עבור השנה הקרובה. במסמך מצהיר משרד ההגנה כי "אנו נבצע פעולות סייבר לדרדור פעילות הסייבר הזדונית של מתחרים, ולהכנת יכולות סייבר לשימוש במשבר או עימות" (עמ' 12-13). באופן ספציפי, ארצות הברית מתכננת להגביר את יכולות הסייבר שלה ושל בנות בריתה, כמו גם יכולות הגנתיות נוספות, באזור הגבול המזרחי של אירופה, והיא תמשיך להשקיע במחקר ופיתוח בתחום הסייבר. זאת ועוד, משרד ההגנה מגדיר עצמו כמשרד בעל יכולת הסתגלות מהירה לפיתוחים במגזר הפרטי. בחודשים הקרובים, הבית הלבן מתכנן לפרסם אסטרטגיית סייבר, שתתייחס באופן מלא לתפיסתו של ממשל ביידן בנושא.

כנסים

דיסקליימר: המידע שמופיע בדו"ח זה מיועד להרחבת הידע של הקוראים והקוראות בלבד, ואינו מהווה תחליף לייעוץ רגולטורי, משפטי ו/או טכני בתחומים אליהם מתיחס הדו"ח. חברת קונפידס אינה אחראית לתוצאות של הסתמכות הקוראים על המידע שמוצג בדו"ח, ואינה נושאת באחריות כלשהי עבור אופן השימוש בו ו/או נזקים כתוצאה מכך. אזכור מקור מידע כלשהו אינו מהווה אישור למהימנותו; ואנו שומרים את הזכות לעדכן ולתקן את המידע שבדו"ח בכל זמן. 

בכתיבת הדו״ח השתתפו: רחל ביניאשוילי, רם לוי, דבּ האוסן-כוריאל, אלי זילברמן-כספי, שלומית רודין, אלינה מיטלמן-כהן, דוד יחנין, יובל אוחנה, רוני עזורי, עמית מוזס, מאור אנג׳ל, אור דותן, בת-אל גטנך, עמרי סרויה, עדי טרבלסי, נעמי גליצקי, תמר מרדיקס וגיא פינקלשטיין.