מחקר: ב-100% מנתבים שיצאו משימוש ונמכרו כיד שנייה נמצא מידע רגיש
ESET: "אנו דוחקים בארגונים העוסקים בהיפטרות ממכשירים, בהשמדת נתונים ובמכירה מחדש של מכשירים לבחון לעומק את התהליכים שלהם ולוודא שהם עומדים בדרישות ותקנים עדכניים להשמדת נתונים״
לפי מחקר חדש של חברת אבטחת המידע ESET, יותר מ-56% מהתקני רשת עסקיים שיצאו משימוש והנמכרו כיד שנייה כללו נתונים רגישים של החברה שהחזיקה בהם.
במקרים רבים ארגונים ממחזרים מכשירים טכנולוגיים באמצעות חברות חיצוניות שאחראיות על השמדת הציוד הדיגיטלי או מחזורו ועל מחיקת הנתונים המוחזקים בו. בין אם השגיאה נעשתה בגלל כשלים בהליך השמדת המידע של החברה העוסקת בפסולת האלקטרונית, או של החברה שהחזיקה בציוד מלכתחילה, היה ניתן למצוא מגוון רחב של נתונים בנתבים, בהם:
נתוני צד ג׳: כפי שראינו במתקפות סייבר אמיתיות, פריצה לרשת של חברה יכולה להתפשט ללקוחותיהם, שותפיהם ולעסקים אחרים שאיתם הם נמצאים בקשר.
גורמים אמינים: גורמים אמינים (שניתן להתחזות אליהם כווקטור התקפה משני) יאפשרו גישה לאחר קבלת תעודת אישור או מפתח הצפנה שנמצא במכשירים האלה, מה שיסייע לבצע מתקפות ״גורם זדוני בתווך״ (Adversary in The Middle – AiTM) באמצעות האישורים, שייתנו גישה לסודות החברה לפרקי זמן ארוכים מבלי שהלקוחות יהיו מודעים לכך.
נתוני לקוחות: מפות שלמות של פלטפורמות האפליקציות שבהן השתמשו הארגונים (גם אפליקציות מקומיות וגם אפליקציות ענן), שהיו מפוזרות באופן חופשי בהגדרות המכשירים האלה. בין האפליקציות האלה היה ניתן למצוא פלטפורמות דוא״ל עסקיות, חיבורי רשת מאובטחים המיועדים ללקוחות, התקנים הנוגעים לאבטחה פיזית של המבנה, כמו חיישנים לכרטיסי גישה ורשתות של מצלמות אבטחה, ופלטפורמות שבהן משתמשים ספקים, אנשי מכירות ולקוחות.
בנוסף, חוקרי ESET הצליחו לקבוע באילו פורטים ומאילו נקודות גישה נוצרת תקשורת אל האפליקציות האלה, באילו גורמים הם בוטחים ובאילו לא. הודות למידת הפירוט של המידע על האפליקציות (שבמקרים מסוימים כלל את הגרסה הספציפית של האפליקציה בה השתמשו), ניתן היה לנצל פרצות ידועות בטופולוגיית הרשת ולמפות אותן לצרכיו של הגורם שמנסה לתקוף את הרשת.
מידע מפורט על ניתובי הליבה: החל מניתובי ליבה (Core routes) של הרשת וכלה בצימודי BGP, OSPF, RIP ואחרים, ESET חשפה תבניות שלמות של דרכי העבודה הפנימיות של ארגונים שונים, שיספקו מידע מקיף על הרשת ועלולים לשמש לאחר מכן לתקיפה – אם המכשירים האלה יגיעו לידיו של גורם זדוני. ההגדרות ששוחזרו כללו גם מידע על מיקומים רבים של משרדים ומרכזי פעילות במדינה ומחוץ לה, שכלל גם את הקשר ביניהם לבין המשרד הראשי – מידע נוסף שיהיה בעל ערך רב לתוקף פוטנציאלי. IPsec tunneling יכול לשמש כדי לחבר בין נתבים ולהיות חלק מצימוד בין נתבים וכו׳.
מפעילים אמינים: במכשירים נמצאו שמות משתמש וסיסמאות של החברה, שניתן היה לפרוץ או להשתמש בהם כמו שהם – בהם סיסמאות למשתמשי מנהל מערכת, פרטי גישה ל-VPN ומפתחות הצפנה – שיאפשרו לגורמים זדוניים להפוך לגורם אמין לכאורה ללא בעיה וכך לקבל גישה לרשת כולה.
״ההשפעה הפוטנציאלית של הממצאים שלנו מדאיגה במיוחד וצריכה לשמש כקריאת השכמה״, מסביר קמרון קמפ, חוקר האבטחה של ESET שהוביל את הפרויקט. ״היינו מצפים שחברות בינוניות, חברות גדולות וארגונים יפעלו לפי סט מוגדר של נוהלי אבטחה לפני שנפטרים מהתקנים כאלה, אך גילינו את ההפך הגמור. ארגונים צריכים להיזהר הרבה יותר בנוגע למה שנשאר על המכשירים שיוצאים משימוש, שכן מרבית המכשירים שרכשנו בשוק המשומשים כללו טביעת רגל דיגיטלית של החברה שהחזיקה בהם, שכוללת (אך אינה מוגבלת ל-) מידע בסיסי על הרשת, נתונים על אפליקציות, שמות משתמש וסיסמאות, ומידע אודות שותפים, ספקים ולקוחות״.
״ישנם תהליכים מוגדרים היטב לסיום עבודה תקין עם חומרה, והמחקר הזה מראה שחברות רבות לא עוקבות אחריהם בקפדנות במהלך הכנת המכשירים למכירה בשוק היד-שנייה״, אמר טוני אנסקומבי, מומחה בכיר לחדשנות בעולם אבטחת הסייבר מטעם ESET. ״ניצול של פרצה או פישינג מכוון (Spearfishing) של שמות משתמש וסיסמאות עשויים להיות עבודה קשה מאוד. אך המחקר שלנו מראה שהרבה יותר פשוט לשים את ידיך על הנתונים הנדרשים למתקפה כזאת, ויותר מכך. אנו דוחקים בארגונים העוסקים בהיפטרות ממכשירים, בהשמדת נתונים ובמכירה מחדש של מכשירים לבחון לעומק את התהליכים שלהם ולוודא שהם עומדים בדרישות ותקנים עדכניים להשמדת נתונים״.
ב-ESET מבקשים להזכיר לארגונים לוודא שהם משתמשים בגורם חיצוני אמין ומהימן כדי להיפטר ממכשירים דיגיטליים, או שהם נוקטים בכל אמצעי הזהירות הנדרשים אם הם נפטרים מהמכשירים בעצמם.
התזכורת אינה נוגעת רק לנתבים ולהתקני אחסון, אלא לכל אחד ואחד מהמכשירים שנמצא ברשת. סביר להניח שרבים מהארגונים שנחשפו במחקר הזה האמינו שהם מתקשרים עם ספקים אמינים, אך למרות זאת המידע שלהם דלף. לכן, אנו ממליצים לארגונים לעקוב אחר ההוראות של יצרני רכיבי החומרה להשמדת מידע שעל מכשירים לפני שהם יוצאים מהמשרד או המפעל – צעד פשוט שצוות ה-IT יוכל להתמודד איתו ללא בעיה.
תגובות
(0)