$
פטנטים וקניין רוחני

בלעדי לכלכליסט

לא רק הליכוד: נחשפו פרטי ההתחברות מרחוק של כ-1,500 חברות וארגונים ישראליים

על פי חשיפת חוקרי חברת קספרסקי, האקרים יכולים לקבל גישה לחברות ברשימה בזכות פרצת אבטחה חמורה שזוהתה כבר אשתקד באפליקציות התחברות מרחוק (VPN). בין החברות שנפרצו - חברות ביטחוניות וצבאיות, תעשייה כבדה, קבלני בניין, חברות מזון וחקלאות, חברות תקשורת וגופים נוספים

רפאל קאהאן 10:5120.02.20

סיסמאות ושמות משתמשים לכ-1,500 חברות וארגונים חשופות ברשת לשימוש של האקרים ופושעי סייבר, כך גילו חוקרי סייבר של חברת קספרסקי. החשיפה של פרטי ההתחברות היא תוצאה של רשלנותם של הגופים עצמם. האקרים יכולים לאתר את החברות הפגיעות משום שמדובר בפרצת אבטחה נפוצה מאוד שזוהתה כבר אשתקד.

 

מקורה של הפירצה שנבדקה בתוכנת ההתחברות מרחוק (VPN) של חברת פורטינט, אך הפרצה קיימת גם באפליקציות של פאלו-אלטו וכן VPN pulse secure. עם זאת יש לציין שהבדיקה בוצעה רק בגישה מרחוק דרך אפליקציית פורטינט. בעת חיבור שכזה יש להקיש שם וסיסמה – ואלה מאומתים מול קובץ המכיל את בעלי ההרשאה לגישה מרחוק - קובץ אשר נמצא חשוף לכל משתמש המבקר בעמוד הפגיע של אתר התוכנה.

 

פורטינט, יצרנית האפליקציה, וכך גם האפליקציות של פאלו אלטו ו-VPN pulse secure עדכנו את לקוחותיהן העושים בה שימוש כבר בשנה שעברה שמדובר באירוע מסוכן ושעליהם לעדכן בהקדם את מערכות הגישה מרחוק. ככל שהעדכון לא מותקן, ניתן בחסות אותה פרצה, לעקוף את כל מנגנוני ההגנה ולקבל גישה לקבצי שמות המשתמשים והסיסמאות שמשמשים לאישור ההתחברות מרחוק של עובדים, בכירים וכל גורם אחר שהתחברותו אושרה.

 

חוקרי חברת קספרסקי בישראל שגילו את רשימת החברות שחשופות לניצול הפרצה הסבירו שהפריצה למחשבים מתאפשרת כי חברות בישראל, ביניהן חברות ביטחוניות וחברות מרכזיות במשק, לא דאגו להגן כראוי על הסיסמאות המאפשרות התחברות מרחוק לרשת הפנימית ולשרתי הדוא"ל שלהן. את הרשימה של החברות ניתן למצוא בקלות יחסית ולא רק באתרי דארקנט כפי שנוכחו לזהות חוקרי הסייבר. המשמעות של האירוע היא שמתאפשר כך לתוקפים, תוך שימוש בכלים המוכרים היטב לכל האקר, לגלות את הסיסמאות של אפליקציית ההתחברות מרחוק, ולייצר לעצמם נתיב גישה חופשי כדי לחדור לאותן חברות, לנטר או לשבש את פעילותן ואפילו לגרום לפגיעה בביטחון.

 

עידו נאור, קספרסקי עידו נאור, קספרסקי

 

בקספרסקי סירבו למסור את שמות החברות מסיבות מובנות, אך בין אלה שלא דאגו להגן על הסיסמאות ישנן חברות ביטחוניות וצבאיות, תעשיה כבדה, קבלני בניין, חברות מזון וחקלאות, חברות מסחריות גדולות, חברת שליחויות גדולה מאוד, חברות תקשורת – רדיו וטלוויזיה – גופי אקדמיה, חברות טכנולוגיה ופירמות עו"ד גדולות.

 

עידו נאור, מנהל המחקר בקספרסקי ישראל מסר לכלכליסט: "החולשה בתוכנת פורטיגייט היתה מוכרת לנו וביצענו בדיקה במטרה לבחון אילו חברות לא עדכנו אותה ולא חסמו את הגישה החופשית לקובץ הסיסמאות. הופתענו לגלות שמדובר במספר רב של חברות, ביניהן חברות ביטחוניות או ספקיות של ציוד לחברות ביטחוניות. גילינו גם חברות משמעותיות במשק שלחדירה אליהן יכולה להיות השפעה כלכלית הרסנית על המשק".

 

"הפעולות שעשינו פשוטות למדי; אלה הפעולות שכל תוקף היה מבצע - ומקבל את המידע שקיבלנו. עם המידע הזה יכולים תוקפים לחדור בעצמם לאותן חברות ממניעים פיננסיים; אם מדובר בתוקף בעל מניעים אחרים, הוא יכול היה גם לבצע פעולות בעלות פוטנציאל חמור ומסוכן. לחילופין – תוקפים היו יכולים להשיג את קבצי הסיסמאות ולמכור אותם, שוב ושוב, לגורמים עלומים ועוינים".

 

מיד עם הגילוי העבירה קספרסקי את המידע למערך הסייבר הלאומי שבדק את הנושא והחל בפעולה יזומה לצמצום מספר הממשקים החשופים. על פי המערך, כ-80% מהחברות טיפלו בפרצה לאחר שפנו אליהם מה-CERT של מערך הסייבר. אך מדובר עדיין בכ-20% מהחברות שעדיין לא ביצעו את הצעדים הנדרשים ושבמקרים מסוימים אף הובילו לחדירה כפי שמסר נעם פרוימוביץ, מנכ''ל קספרסקי ישראל.

 

"חברת תשתיות גדולה כבר נפרצה תוך שימוש בפרצה הזו לפני כחודש. כשבאו אלינו עם הסיפור הזה זה היה נראה כל כך פשוט שזה מדהים. גם מועצות מקומיות, חברות ביטחוניות, המון פירמות עו''ד שהם גם חשופים לתקנות הפרטיות היו חשופות לפירצה בנוסף לכך", עם זאת פרוימוביץ לא ציין אם גם בחברות האלו זוהו חדירות שבוצעו בחסות הפירצה. "אין תהליכים ומודעות לטפל בפרצות קלות ושדיווחו עליהן. והתגובה של החברות הישראליות, אני רואה אנשים ממשיכים הלאה למרות שהם מודעים לפירצה".

 

נועם פרוימוביץ' מנכ''ל קספרסקי ישראל נועם פרוימוביץ' מנכ''ל קספרסקי ישראל צילום: באדיבות קספרסקי ישראל

 

פרוימוביץ גם מציין שמדובר פה בהתנהגות בעייתית של הקורבנות עצמם. "אנשים לא מודעים לזה, אבל גישה ל-VPN זה כמו צינור גישה ישיר למערכות של החברה שעוקף את כל ההגנות שיש מסביב, אנטי-וירוס, פיירוולים וכד'. זה פשוט פשע לא לעדכן את האפליקציה. הסיפור כאן הוא שכולם פעלו כמו שצריך, היצרנית עדכנה את הלקוחות, מערך הסייבר סייע, היתה מודעות. אבל לא עשו עם זה שום דבר".

 

קשה להעריך עד כמה הפגיעה הפוטנציאלית עשויה להיות חמורה. דין תעשיין אינו כדין משרד עו''ד או רו''ח. לאחרונים למשל יש מידע חסוי ובעל ערך רב שגניבתו עשויה לגרום לנזק כלכלי כבד. עם זאת, כל עוד חוק הסייבר עדיין "תקוע" במסדרונות הכנסת מזה מספר שנים אין לרשויות בישראל שום דרך להכריח את החברות והגופים במשק שאינם נמצאים תחת ההגדרה של תשתית קריטית לטפל בהגנה וחסימה של פרצות סייבר בתשתיות המחשוב שלהם.

 

כיום כל רגולטור אחראי לתקן תקנות ולהגדיר את החובות בתחום הסייבר של הגופים שנמצאים תחת אחריותו. כך למשל משרד הבריאות אחראי לבתי החולים, קופות החולים, הקליניקות והחברות בתחום; המפקח על הבנקים אחראי לבנקים, המפקח על הביטוח על חברות הביטוח, רשות ההון על חברות הפיננסיות והציבוריות ומערך הסייבר על חברות וגופים המוגדרים כתשתית קריטית כגון חברות אנרגיה, הממשלה וזרועות הביטחון. אך משרדי עו''ד למשל חוסים תחת תקנות הגנת הפרטיות שאינן מתייחסות לאירועי סייבר אלא להגנה על מאגרי המידע המוחזקים בידיהם. המשמעות היא שכל עוד לא נגנב מאגר מידע - אין שום סנקציה שניתן להשית עליהם אם לא דאגו להגן על עצמם - כמו למשל במקרה של עדכון תוכנה קריטי שלא בוצע תקופה ארוכה.

 

במערך הסייבר הלאומי שאחראי על ניהול מדיניות הסייבר בישראל הסבירו ל"כלכליסט" שמדובר בבעיה שקשה מאוד לפתור. "למערך יחידה ייעודית הפועלת מול המשק לצמצום החשיפה לחולשות מרכזיות. בעקבות פנייה יזומה של המערך, טיפלו הרוב המכריע של החברות המשמעותיות בחולשה במערכותיהן. בסופו של יום, האחריות של כל גוף להגן על עצמו ועל לקוחותיו. המערך מציע סיוע בחיוג ישיר 119. מי שלא סוגר, מסתכן ומסכן אחרים", כך הוסבר. במקרה דומה שפגע בתוכנת ההתחברות VPN pulse secure ביצע מערך הסייבר הלאומי פנייה יזומה לכ-3,000 ארגונים שבעקבותיה צומצם מספר הארגונים שהיו חשופים לפגיעה בכ-95%. ישראל אף דורגה ראשונה בעולם בקצב צמצום החשיפה על פי דירוג עולמי של Bad Packets. אך במקרה הנוכחי מסתבר שהפעילות של המערך לא הספיקה.  
בטל שלח
    לכל התגובות
    x