חברת אבטחת המידע ESET חושפת מחקר חדש על התקני רשת עסקיים שיצאו משימוש ונמכרו כיד שנייה. לאחר בחינת ההגדרות של 12 התקני רשת שונים, ESET גילתה שלמעלה מ-56% (תשעה נתבים ["ראוטרים"]) כללו נתונים רגישים של החברה שהחזיקה בהם. בתשע הרשתות האלה, התגלה המידע הבא:

• ב-22% מהנתבים נמצאו נתוני לקוחות;

• ב-33% מהנתבים היה מידע חשוף שאפשר חיבורים חיצוניים לרשת;

• ב-44% מהנתבים נותרו שמות משתמש וסיסמאות שאפשרו להתחבר לרשתות אחרות כגורם בטוח;

• ב-89% מהנתבים אותרו פרטי התחברות ליישומונים מסוימים;

• ב-89% מהנתבים אותרו מפתחות-אימות שמאפשרים תקשורת בין הנתב לנתבים אחרים;

• ב-100% מהנתבים אותר מפתח אחד או יותר להתחברות ל-VPN או IPsec, או סיסמאות מנהל מערכת מוצפנות;

• ב-100% מהנתבים נמצא מספיק מידע כדי לזהות בוודאות את הבעלים/המפעילים הקודמים של הנתב.

"ההשפעה הפוטנציאלית של הממצאים שלנו מדאיגה במיוחד וצריכה לשמש כקריאת השכמה", מסביר קמרון קמפ, חוקר האבטחה של ESET שהוביל את המחקר. "היינו מצפים שחברות בינוניות, חברות גדולות וארגונים יפעלו לפי חבילה מוגדרת של נהלי אבטחה לפני שנפטרים מהתקנים כאלה, אך גילינו את ההפך הגמור. ארגונים צריכים להיזהר הרבה יותר בנוגע למה שנשאר על המכשירים שיוצאים משימוש, שכן מרבית המכשירים שרכשנו בשוק המשומשים כללו טביעת רגל דיגיטלית של החברה שהחזיקה בהם, שכוללת (אך אינה מוגבלת ל-) מידע בסיסי על הרשת, נתונים על ישומונים, שמות משתמש וסיסמאות, ומידע על אודות שותפים, ספקים ולקוחות".

אחריות למחיקת הנתונים

במקרים רבים, ארגונים ממחזרים מכשירים טכנולוגים באמצעות חברות חיצוניות שאחראיות על השמדת או מחזור הציוד הדיגיטלי ועל מחיקת הנתונים המוחזקים בציוד הזה. בין אם השגיאה נעשתה בגלל כשלים בהליך השמדת המידע של החברה העוסקת בזבל האלקטרוני או של החברה שהחזיקה בציוד מלכתחילה, היה ניתן למצוא מגוון רחב של נתונים בנתבים ביניהם:

• נתוני צד ג׳ - כפי שאירע במתקפות סייבר אמיתיות, פריצה לרשת של חברה יכולה להתפשט ללקוחותיהם, לשותפיהם ולעסקים אחרים שאיתם הם נמצאים בקשר.

• גורמים אמינים - גורמים אמינים (שניתן להתחזות אליהם כווקטור התקפה משני) יאפשרו גישה לאחר קבלת תעודת אישור או מפתח הצפנה שנמצא במכשירים האלה, מה שיסייע לבצע מתקפות "גורם זדוני בתווך" (Adversary in The Middle - AiTM) באמצעות האישורים שייתנו גישה לסודות החברה לפרקי זמן ארוכים מבלי שהלקוחות יהיו מודעים לכך.

• נתוני לקוחות - ESET הצליחה לאתר מפות שלמות של פלטפורמות היישומונים בהן השתמשו הארגונים (הן ישומונים מקומיים והן ישומוני ענן) שהיו מפוזרות באופן חופשי בהגדרות המכשירים האלה. בין הישומונים האלה היה ניתן למצוא פלטפורמות דוא"ל עסקיות, חיבורי רשת מאובטחים המיועדים ללקוחות, התקנים הנוגעים לאבטחה פיזית של המבנה כמו חיישנים לכרטיסי גישה ורשתות של מצלמות אבטחה, ופלטפורמות בהן משתמשים ספקים, אנשי מכירות ולקוחות. בנוסף, חוקרי ESET הצליחו לקבוע באילו "פורטים" ומאילו נקודות גישה נוצרת תקשורת אל היישומונים האלה, באילו גורמים הם בוטחים ובאילו לא. הודות למידת הפירוט של המידע על היישומונים - שבמקרים מסוימים כלל את הגרסה המסוימת של היישומון בו השתמשו), ניתן היה לנצל פרצות ידועות בטופולוגיית הרשת ולמפות אותן לצרכיו של הגורם שמנסה לתקוף את הרשת.

• מידע מפורט על ניתובי הליבה - החל בניתובי ליבה (Core routes) של הרשת וכלה בצימודי BGP, OSPF, RIP ואחרים, ESET חשפה תבניות שלמות של דרכי העבודה הפנימיות של ארגונים שונים, שיספקו מידע מקיף על הרשת ועלולים לשמש לאחר מכן לתקיפה - אם המכשירים האלה יגיעו לידיו של גורם זדוני. ההגדרות ששוחזרו כללו גם מידע על מיקומים רבים של משרדים ומרכזי פעילות במדינת ברטיסלבה (שם נערך המחקר) ומחוץ לה, שכלל גם את הקשר ביניהם לבין המשרד הראשי - מידע נוסף שיהיה בעל ערך רב לתוקף פוטנציאלי. IPsec tunneling יכול לשמש כדי לחבר בין נתבים ולהיות חלק מצימוד בין נתבים וכו׳.

• מפעילים אמינים - על המכשירים מצאנו שמות משתמש וסיסמאות של החברה שאותם היה ניתן לפרוץ או להשתמש בהם כמו שהם - ביניהם סיסמאות למשתמשי מנהל מערכת, פרטי גישה ל-VPN ומפתחות הצפנה - שיאפשרו לגורמים זדוניים להפוך לגורם אמין לכאורה ללא בעיה וכך לקבל גישה לרשת כולה.

"ישנם תהליכים מוגדרים היטב לסיום עבודה תקין עם חומרה, והמחקר הזה מראה שחברות רבות לא עוקבות אחריהם בקפדנות במהלך הכנת המכשירים למכירה בשוק היד-שנייה", אמר טוני אנסקומבי, מומחה בכיר לחדשנות בעולם אבטחת הסייבר מטעם ESET. "ניצול של פרצה או דיוג מכוון (Spearfishing) של שמות משתמש וסיסמאות עשויים להיות עבודה קשה מאוד. אך המחקר שלנו מראה שהרבה יותר פשוט לשים את ידיך על הנתונים הנדרשים למתקפה כזאת, ויותר מכך. אנו דוחקים בארגונים העוסקים בהיפטרות ממכשירים, בהשמדת נתונים ובמכירה מחדש של מכשירים לבחון לעומק את התהליכים שלהם ולוודא שהם עומדים בדרישות ובתקנים עדכניים להשמדת נתונים". עוד הסביר: "הנתבים בהם השתמשנו במחקר הזה הגיעו מארגונים בגדלים שונים - החל מחברות בינוניות וכלה בארגוני ענק בינלאומיים, ממגוון רחב של תעשיות (מרכזי נתונים, עורכי דין, ספקי טכנולוגיה חיצוניים, יצרנים וחברות טכנולוגיה, משרדי פרסום ומפתחי תוכנה). כחלק מתהליך המחקר, במקרים בהם הדבר התאפשר, חברת ESET העבירה את הממצאים לכל ארגון שזוהה - חלקם ארגונים מוכרים - ושיתפה איתם פעולה כדי לוודא שהם מודעים לפרטים שאולי נחשפו ע"י אחרים במהלך תהליך העברת הבעלות על המכשירים האלה. חלק מהארגונים שבהם המידע נחשף לא הגיבו כלל לניסיונות החוזרים והנשנים של ESET להתקשרות עימם באופן מעורר פליאה, בעוד שאחרים הראו מקצועיות והתייחסו לאירוע כפרצת אבטחה של ממש".

מה ניתן לעשות

בחברת אבטחת המידע מבקשים להזכיר לארגונים לוודא שהם משתמשים בגורם חיצוני אמין ומהימן כדי להיפטר ממכשירים דיגיטליים, או שהם נוקטים את כל אמצעי הזהירות הנדרשים אם הם נפטרים מהמכשירים בעצמם. התזכורת אינה נוגעת רק לנתבים ולהתקני אחסון, אלא לכל אחד ואחד מהמכשירים שנמצא ברשת. סביר להניח שרבים מהארגונים שנחשפו במחקר הזה האמינו שהם מתקשרים עם ספקים אמינים, אך למרות זאת המידע שלהם דלף. לכן, מומלץ לארגונים לעקוב אחר ההוראות של יצרני רכיבי החומרה להשמדת מידע שעל מכשירים לפני שהם יוצאים מהמשרד או המפעל - צעד פשוט שצוות ה-IT יוכל להתמודד איתו ללא בעיה. בנוסף, מומלץ לארגונים להתייחס ברצינות להתרעות על חשיפת נתונים. אם לא יעשו זאת, הם עשויים להישאר חשופים לדליפת מידע יקרה שתגרור נזק משמעותי למוניטין.