חן בורשן, מנכ״ל סקייהוק סקיוריטי, באדיבות סקייהוק סקיוריטי
איך מתקפת כופרה כנגד העיר קולומבוס חושפת מחדלים באבטחת מידע ופרטיות שצריכים להדאיג את כולנו.
העיר קולומבוס שבמדינת אוהיו נקראת על שמו של כריסטופר קולומבוס, ש”גילה” את יבשת אמריקה. בפועל- קולומבוס לא באמת היה הראשון שגילה את אמריקה: הוא לא הגיע ממש ליבשת אלא רק לאי היספניולה, וגם לו היה מגיע- הוויקינגים הקדימו אותו בכמה מאות שנים. בכל מקרה, הביטוי “גילית את אמריקה!” נקלט בתרבות הפופולרית. לפני כמה שבועות נפגעה העיר שנקראת על שמו במתקפת כופרה, ובפרפראזה על סיפור קולומבוס וגילוי אמריקה, אפשר לומר שגם המתקפה הזו לא באמת מלמדת אותנו שום דבר חדש. אבל, כשבוחנים לעומק את סיפור המתקפה ואת הנזק שגרמה, אפשר בהחלט לקבל תובנות חדשות על מצבה העגום של אבטחת המידע ואולי ללמוד משהו לעתיד.
השתלשלות האירועים:
ב-18 ביולי העיר הותקפה במתקפת כופרה. אופן החדירה לא פורסם באופן רשמי (על אף שנאמר בהתחלה שעובד בעירייה הוריד למחשבו האישי קובץ ZIP שהכיל רושעה). מערכות ה-IT של העירייה נפגעו והושבתו, ואיתן אתר העירייה וגם המוקד העירוני ומוקד 911. על מנת להכיל את הפריצה מחלקת ה-IT הורידה באופן יזום חלק מהשירותים ולאחר כשבוע נראה היה שהאירוע הוכל- רוב השירותים חזרו לפעול כשגרה ולא נראה שמידע רב הוצפן או הושחת. אבל לאחר שבוע נוסף לקחה קבוצת הכופרה rhysida אחריות על הפריצה ופרסמה דרישת כופר של כ-30 ביטקוין (שווה ערך למיליון וחצי דולרים בערך). אם הסכום לא יועבר, כך טענו ההאקרים, הם יעלו לאתר שלהם 6.5 טרהבייט של מידע רגיש שגנבו משרתי העירייה. בשלב זה ראש העיר טען שהם מבלפים, ושמידע משמעותי לא נגנב. כשבוע לאחר מכן, לאחר שלא קיבלו את סכום הכופר המבוקש (יש לומר ביושר שעל אף שמדובר בסכום נמוך יחסית החוק בארצות הברית לא מתיר לרשויות לשלם כופר), התחילו חברי הקבוצה להעלות לאתר שלהם בדארקנט מידע שנגנב ולהציע אותו למכירה. גם בשלב זה התייחסה העיריה לעניין בביטול, וראש העיר שאישר שמידע אכן נגנב אך הושחת בתהליך ואינו מהווה איום לפרטיות התושבים אם יפורסם. חוקר אבטחה בשם קונור גודוולף נכנס לאתר הקבוצה, בחן חלקים מהמידע והגיע למסקנה שונה. הוא ניסה ליצור קשר עם העיריה ולהעמיד אותה על טעותה אולם לא נענה. הוא פנה לרשת טלוויזיה מקומית וסיפר שלא רק שנגנבו כמויות עצומות של מידע, אלא שהמידע שנגנב הוא רגיש בהחלט. בתגובה- העיר החליטה לתבוע את החוקר על כך שחשף את המידע הרגיש. במקביל- התאגדו שוטרים וכבאים (עובדי עירייה) והגישו תביעה ייצוגית כנגד העירייה על כך שהתרשלה בשמירה על פרטיהם האישיים.
מה נגנב?
מסתמן שבמתקפה נגנב מידע רב שאוחסן על גבי שרתי SQL לא מוצפנים. בין בסיסי הנתונים שנגנבו- זה של התובע המקומי (מעל ל-200 אלף תיקים), מערכת כ”א של העירייה (מכיל נתונים על עובדי עירייה בהווה ובעבר ובני משפחותיהם, כולל שוטרים וכבאים), בסיס הנתונים של מכבי האש (כולל מידע על כבאים וגם על אלפי קורבנות שריפה), בסיס נתונים שכלל 5700 מבקשי צווי הרחקה אזרחיים, וחמור מכל- בסיס מידע של חקירות ותביעות של פשעים כנגד קטינים. בסיס הנתונים הגדול ביותר כלל תיעוד של מבקרים בבנייני העיריה השונים- מדובר בצילומי רישיון של לפחות מאות אלפי אנשים שביקרו בבניינים השונים החל משנת 2006 ועד היום.
מה הנזק הפוטנציאלי?
באופן כללי המידע שנגנב מהווה אוצר בלום עבור האקרים ופושעים. עם מידע כגון שמות, כתובות, מספרי ביטוח לאומי, מספרי טלפון הם מסוגלים לבצע תרמיות שונות- החל מפישינג, פריצה לחשבונות בנק ועד להתחזות. מידע רגיש יותר כגון זה שמצוי בתיקיה חקירה פליליים או אזרחים (כגון בקשה לצו הרחקה) יכול לשמש לסחיטה או איומים. עם צילומים עדכניים של רישיונות נהיגה ניתן לפתוח חשבון בנק או להגיש בקשה לכרטיס אשראי בשם הקורבן, וניתן גם להתגבר על מנגנוני אימות מתוחכמים שדורשים סריקת תעודת זהות או רישיון נהיגה בפתיחת חשבון או הרשמה לאפליקציה. מדובר במידע שעלול להשפיע על עשרות אלפי בני אדם מתוך אוכלוסיית העיר שמונה קרוב ל-2 מיליון תושבים.
מה הכשלים שנחשפו בתקרית?
קודם כל, הובהר שמערכות ה-IT של העיר אינן מאובטחות כראוי. אם אכן עובד הוריד קובץ ZIP (פעולה שלא אמורה להיות מאופשרת על ידי מדיניות אבטחה ראויה), ואותו קובץ גרם להתפרצות כופרה בכלל המחשבים, הרי שמערכות ההגנה כשלו לחלוטין (באופן מקרי- התקרית ארעה באותו שבוע של ההשבתה הגלובאלית של חברת Crowdstrike, אבל לא נראה שיש קשר בין המקרים). מסתמן גם שלא הייתה סגמנטציה בין המחשבים השונים ברשתות העירייה, וכך התוקפים יכלו לנוע בקלות, לאתר את השרתים ולהוציא מהם מידע בלי הפרעה. וכאן אנו מגיעים לנקודת התורפה העיקרית- שרתי הנתונים של העיר, שלא היו מאובטחים כראוי, המידע שעליהם לא היה מוצפן וכנראה שכלל גם המון מידע שנשמר שלא לצורך (או אולי אפילו בניגוד לרגולציית אבטחה ופרטיות).
שמירה לנצח :
מסתמן שמערכת ה-IT של העיר חובבת של שרתי SQL לשמירת מידע. נראה גם, שלא חשבו שם שצריך להצפין את המידע על השרתים. אבל מה שחמור מכל הוא, שהמידע על גבי השרתים, נשמר, לכאורה- לנצח. חלק מבסיסי הנתונים שמרו על מידע עוד משנת 2004. בעוד שלגבי חלק מהמידע קיימת הצדקה לשמור אותו לטווח ארוך (לדוגמא- עובדי עירייה שעובדים ברצף מעל 20 שנה, או כאלו שיצאו לגמלאות), הרי שלגבי חלק מהמידע שנאסף, לא הייתה שום סיבה לשמור אותו לנצח. הדוגמא הטובה (והרעה) ביותר היא בסיס הנתונים של מערכת בקרת כניסה שהותקנה בבנייני העירייה. מדובר בקיוסק של חברת HID (בשם Easyportal) שבו המבקר סורק רישיון נהיגה ומונפק לו תג, אותו הוא סורק בכניסה וביציאה. מערכת זאת מאפשרת שליטה קלה במבקרים בבניין בזמן אמת וניתן להיעזר בה גם בדיעבד (נניח- אם נגנב פריט כלשהו ניתן לשחזר מי היה בבניין באותו זמן). אבל בכל מקרה אין סיבה לשמור את המידע הזה לתקופה ארוכה מאוד, – בוודאי שלא שנים. מיותר לציין שהמבקרים בבניין לא ידעו שהמערכת שומרת את הנתונים שלהם לעד. מכיוון שהמערכת הספציפית הזו מאוד יעילה בכיווץ המידע (רשומה רגילה “שוקלת” כ 10k, רשומה שכוללת צילום רישיון- 0k2) אפשר לשער שלולא הפריצה הזו המערכת הייתה ממשיכה לתעד מבקרים ולשמור את נתוניהם לעד.
עד כאן רשימת הכשלים שאפשרו את הפריצה, אך ההתנהלות לאחריה – חמורה לא פחות.
הכחשה, בריחה מאחריות, שקרים והאשמת חוקרי אבטחה
זמן קצר לאחר היוודע דבר המתקפה התייצב ראש העיר והודיע בציוץ בטוויטר שהעירייה מודעת ומטפל בנושא. בסך הכל תגובה מהירה ועניינית (חוץ מהאשמת עובד זוטר שפתח קובץ ZIP. זה מרגיש כמו מציאת שעיר לעזאזל). אבל ההתנהלות מול התקשורת מאותה נקודת זמן הייתה רצופה בחוסר שקיפות. העירייה התכחשה לכך שנגנב מידע, לאחר מכן טען שהמידע שנגנב אילו משמעותי, ולבסוף, החליטה לתבוע את החוקר שהתריע על היקף הפריצה וחומרתה. סעיף אחרון זה מרגיז במיוחד. לטענת העירייה- החוקר נעזר בכישורים מיוחדים כדי להגיע למידע שנגנב ולכן הוא בעצם אשם בחדירה לפרטיות של הקורבנות שהמידע שלהם נגנב. בפועל, החוקר ביצע פעולה די סטנדרטית של גישה לאתר בדארקנט והוריד חלק מהמידע שהוצג שם. הוא נהג באחריות כשפנה קודם כל לעירייה ורק אחר כך לתקשורת. הוא לא חשף מידע רגיש בעצמו אלא רק דיווח בפירוט על סוג המידע שנגנב והסביר אתה המשמעויות לגבי הקורבנות. התביעה הזו נראית כמו סוג של הטלת אשמה בניסיון להתחמק מאחריות ניהולית ברורה של הנהלת העיר, וכנראה של אשמה ישירה של אנשי ה-IT ואבטחת מידע שכנראה התרשלו בתפקידם.
סיכום
תקרית הכופרה של העיר קולומבוס לא לימדה אותנו שום דבר חדש. כבר כמה שנים ידוע שערים חשופות במיוחד למתקפות סייבר, ושפושעי סייבר מנצלים את העובדה הזו וגורמים לשיבושים ונזקים קשים. אבל, המתקפה הזו חשפה שורה של כשלים בתשתיות ה-IT של העיר, בשמירה על פרטיות האזרחים וגם באופן ההתמודדות עם תקריות סייבר שאינו תואם את התקופה הנוכחית. על אף שהכל היה ידוע ומוכר, העיר אספה מידע רב מדי זמן רב מדי, לא אבטחה אותו כראוי וכשארעה תקרית- מיהרה להאשים את הגורם שניסה דווקא לסייע. יש להניח שככל שיחלוף זמן ויתבררו ממדי התקרית וההשלכות על התושבים הרגולטורים השונים ידרשו לפעולה כלפי אלו שלכאורה לא מילאו את תפקידם כראוי. חשוב להבין שמערכת בקרת כניסה כגון זו שנעשה בה שימוש בקולומבוס נמצאת בשימוש נרחב גם פה אצלנו בארץ. אני מקווה מאוד שמנהלי האבטחה (וכאן מדובר גם במנהלי אבטחה פיזית שאחראים על המערכת הזו וגם במנהלי אבטחת מידע) ילמדו את הלקח מתקרית קולומבוס ויוודאו שהשרתים ששומרים את המידע אכן מאובטחים, וכדאי גם שהמידע שעליהם ימחק מפעם לפעם כדי להקטין את פוטנציאל הנזק במקרה של דליפה. ככלל, חומרת האיומים הקונקרטיים כלפי בסיסי נתונים שנמצאים פיזית בארגונים (אותם חדרי שרתים עצומים שרואים בסרטים) מחייבים ארגונים לבחון העברה של (לפחות חלק) מהמידע לענן. בענן קל יותר לפקח על המידע, ואם אין בו צורך- למחוק אותו באופן תקופתי (לדוגמא- על ידי הפעלת מדיניות מחיקת מידע אוטומטית של S3- פיצ’ר שקיים ברבות ממערכות האבטחה לענן).
