איך אפשר לגנוב סודות ונתונים עסקיים של חברות ב-50 עד 150 דולרים בלבד?

איך אפשר לגנוב סודות, סיסמאות ונתוני לקוחות, שותפים וספקים של חברות ב-50 עד 150 דולרים בלבד?
מאת: מערכת Telecom News, 23.4.23, 15:38
 
מחקר חושף קיום של סודות ונתונים עסקיים בנתבי יד שניה שנקנו מחברות. זרקתם את הראוטר הישן? ב-100% מנתבי החברות, שיצאו משימוש ונמכרו כיד שנייה, נמצא מספיק מידע כדי לזהות את הבעלים/המפעילים הקודמים. נמצאו בהם נתוני לקוחות, שותפים וספקים, שמות משתמש, סיסמאות, פרטי גישה ל-VPN, מפתחות הצפנה, חיבורי רשת מאובטחים, מידע מפורט על ניתובי הליבה ועוד.
 
חברת אבטחת המידע ESET חושפת מחקר על התקני רשת עסקיים, שיצאו משימוש ונמכרו כיד שנייה. לאחר בחינת ההגדרות של 12 התקני רשת שונים, החברה גילתה, שמעל 56% (תשעה נתבים) כללו נתונים רגישים של החברה שהחזיקה בהם.
ב-9 הרשתות האלו התגלה המידע הבא:

• ב-22% מהנתבים נמצאו נתוני לקוחות,
• ב-33% מהנתבים היה מידע חשוף, שאפשר חיבורים חיצוניים לרשת,
• ב-44% מהנתבים נותרו שמות משתמש וסיסמאות, שאפשרו להתחבר לרשתות אחרות כגורם בטוח,
• ב-89% מהנתבים אותרו פרטי התחברות לאפליקציות ספציפיות,
• ב-89% מהנתבים אותרו מפתחות אימות המאפשרים תקשורת בין הנתב לנתבים אחרים,
• ב-100% מהנתבים אותר מפתח אחד או יותר להתחברות ל-VPN או IPsec, או סיסמאות מנהל מערכת מוצפנות,
• ב-100% מהנתבים נמצא מספיק מידע כדי לזהות בוודאות את הבעלים/המפעילים הקודמים של הנתב.

 
במקרים רבים ארגונים ממחזרים מכשירים טכנולוגים באמצעות חברות חיצוניות, שאחראיות על השמדת או מחזור הציוד הדיגיטלי ועל מחיקת הנתונים המוחזקים בציוד הזה. בין אם השגיאה נעשתה בגלל כשלים בהליך השמדת המידע של החברה העוסקת בזבל האלקטרוני או של החברה, שהחזיקה בציוד מלכתחילה, היה ניתן למצוא מגוון רחב של נתונים בנתבים ביניהם:

נתוני צד ג׳: כפי שנראה במתקפות סייבר אמיתיות, פריצה לרשת של חברה יכולה להתפשט ללקוחותיהם, שותפיהם ולעסקים אחרים, שאיתם הם נמצאים בקשר.
 
גורמים אמינים: גורמים אמינים (שניתן להתחזות אליהם כווקטור התקפה משני) יאפשרו גישה לאחר קבלת תעודת אישור או מפתח הצפנה, שנמצא במכשירים האלה, מה שיסייע לבצע מתקפות ״גורם זדוני בתווך״ (Adversary in The Middle – AiTM) באמצעות האישורים, שייתנו גישה לסודות החברה לפרקי זמן ארוכים מבלי שהלקוחות יהיו מודעים לכך.
 
נתוני לקוחות: אותרו מפות שלמות של פלטפורמות האפליקציות בהם השתמשו הארגונים (גם אפליקציות מקומיות וגם אפליקציות ענן), שהיו מפוזרות באופן חופשי בהגדרות המכשירים האלה. בין האפליקציות האלו היה ניתן למצוא פלטפורמות דוא״ל עסקיות, חיבורי רשת מאובטחים המיועדים ללקוחות, התקנים הנוגעים לאבטחה פיזית של המבנה כמו חיישנים לכרטיסי גישה ורשתות של מצלמות אבטחה, ופלטפורמות בהם משתמשים ספקים, אנשי מכירות ולקוחות.
 
בנוסף, חוקרי החברה הצליחו לקבוע באילו פורטים ומאילו נקודות גישה נוצרת תקשורת אל האפליקציות האלו, באילו גורמים הם בוטחים ובאילו לא. הודות למידת הפירוט של המידע על האפליקציות (שבמקרים מסוימים כלל את הגרסה הספציפית של האפליקציה בה השתמשו), ניתן היה לנצל פרצות ידועות בטופולוגיית הרשת ולמפות אותן לצרכיו של הגורם המנסה לתקוף את הרשת.

מידע מפורט על ניתובי הליבה: החל מניתובי ליבה (Core routes) של הרשת וכלה בצימודי BGP, OSPF, RIP ואחרים, החברה חשפה תבניות שלמות של דרכי העבודה הפנימיות של ארגונים שונים, שיספקו מידע מקיף על הרשת ועלולים לשמש לאחר מכן לתקיפה - אם המכשירים האלה יגיעו לידיו של גורם זדוני.
 
ההגדרות ששוחזרו כללו גם מידע על מיקומים רבים של משרדים ומרכזי פעילות במדינה ומחוץ לה, שכלל גם את הקשר ביניהם לבין המשרד הראשי - מידע נוסף, שיהיה בעל ערך רב לתוקף פוטנציאלי. IPsec tunneling יכול לשמש כדי לחבר בין נתבים ולהיות חלק מצימוד בין נתבים וכו׳.
 
מפעילים אמינים: על המכשירים נמצאו שמות משתמש וסיסמאות של החברה שאותם היה ניתן לפרוץ או להשתמש בהם כמו שהם - ביניהם סיסמאות למשתמשי מנהל מערכת, פרטי גישה ל-VPN ומפתחות הצפנה –- שיאפשרו לגורמים זדוניים להפוך לגורם אמין, לכאורה, ללא בעיה וכך לקבל גישה לרשת כולה.
 
הנתבים בהם השתמשו במחקר הזה הגיעו מארגונים בגדלים שונים - החל מחברות בינוניות וכלה בארגוני ענק בינלאומיים, ממגוון רחב של תעשיות (מרכזי נתונים, עורכי דין, ספקי טכנולוגיה חיצוניים, יצרנים וחברות טכנולוגיה, משרדי פרסום ומפתחי תוכנה). כחלק מתהליך המחקר, במקרים בהם הדבר התאפשר, החבר העבירה את הממצאים לכל ארגון שזוהה –- חלקם ארגונים מוכרים - ושיתפה איתם פעולה כדי לוודא, שהם מודעים לפרטים, שאולי נחשפו ע״י אחרים במהלך תהליך העברת הבעלות על המכשירים האלה.

חלק מהארגונים, שבהם המידע נחשף, לא הגיבו כלל לניסיונות החוזרים והנשנים של החברה להתקשרות עימם באופן מעורר פליאה, בעוד שאחרים הראו מקצועיות והתייחסו לאירוע כפרצת אבטחה של ממש.

בחברה מבקשים להזכיר לארגונים לוודא, שהם משתמשים בגורם חיצוני אמין ומהימן כדי להיפטר ממכשירים דיגיטליים, או שהם נוקטים בכל אמצעי הזהירות הנדרשים אם הם נפטרים מהמכשירים בעצמם.

התזכורת אינה נוגעת רק לנתבים ולהתקני אחסון, אלא לכל אחד ואחד מהמכשירים הנמצא ברשת. סביר להניח, שרבים מהארגונים, שנחשפו במחקר הזה, האמינו, שהם מתקשרים עם ספקים אמינים, אך למרות זאת המידע שלהם דלף. לכן, מומלץ לארגונים לעקוב אחר ההוראות של יצרני רכיבי החומרה להשמדת מידע שעל מכשירים לפני שהם יוצאים מהמשרד או המפעל - צעד פשוט, שצוות ה-IT יוכל להתמודד איתו ללא בעיה.

בנוסף, מומלץ לארגונים להתייחס ברצינות להתרעות על חשיפת נתונים. אם לא יעשו זאת, הם עלולים להישאר חשופים לדליפת מידע יקרה, שתגרור נזק משמעותי למוניטין.
 
קמרון קמפ, חוקר האבטחה של ESET שהוביל את הפרויקט: ״ההשפעה הפוטנציאלית של הממצאים מדאיגה במיוחד וצריכה לשמש כקריאת השכמה. היינו מצפים, שחברות בינוניות, חברות גדולות וארגונים יפעלו לפי סט מוגדר של נהלי אבטחה לפני שנפטרים מהתקנים כאלה, אך התגלה את ההפך הגמור.

ארגונים צריכים להיזהר הרבה יותר בנוגע למה שנשאר על המכשירים היוצאים משימוש, שכן מרבית המכשירים, שנרכשו בשוק המשומשים, כללו טביעת רגל דיגיטלית של החברה, שהחזיקה בהם, שכוללת (אך אינה מוגבלת ל-) מידע בסיסי על הרשת, נתונים על אפליקציות, שמות משתמש וסיסמאות, ומידע אודות שותפים, ספקים ולקוחות״.
 
טוני אנסקומבי, מומחה בכיר לחדשנות בעולם אבטחת הסייבר מטעם ESET: ״ישנם תהליכים מוגדרים היטב לסיום עבודה תקין עם חומרה, והמחקר הזה מראה, שחברות רבות לא עוקבות אחריהם בקפדנות במהלך הכנת המכשירים למכירה בשוק היד-שנייה. ניצול של פרצה או פישינג מכוון (Spearfishing) של שמות משתמש וסיסמאות עשויים להיות עבודה קשה מאוד. אך המחקר שלנו מראה שהרבה יותר פשוט לשים את ידיך על הנתונים הנדרשים למתקפה כזאת, ויותר מכך.

אנו דוחקים בארגונים העוסקים בהיפטרות ממכשירים, בהשמדת נתונים ובמכירה מחדש של מכשירים לבחון לעומק את התהליכים שלהם ולוודא, שהם עומדים בדרישות ותקנים עדכניים להשמדת נתונים״.
 
המחקר המלא - כאן.