חוקרים ישראליים: כלי בדיקת הוירוסים שאמור להגן עליכם יכול להפוך לסכנה של ממש

בלי שהם אפילו יודעים את זה, ארגונים חולקים בטעות את כל הסודות הכי כמוסים שלהם, ומשאירים פתח לתוקפים

תמונה: Pexels

חוקרי אבטחה כבר מזמן לא עובדים בהכרח כיחידים, וגם הם עברו לעולם השיתופי ומוצאים ביחד סכנות חדשות. אבל חברת סייבר ישראלית טוענת כי היא גילתה מידע רגיש במיוחד באחד הכלים הפופולארים ביותר בעולם הסייבר, ורוצה להזהיר את כולכם שיכול להיות שגם אתם מדליפים מידע מסוכן, בלי שאתם בכלל יודעים את זה.

במקום להתקין אנטי וירוס, שלחו את הקובץ לענן. רק תחשבו על מה זה אומר

בשנת 2004 השיקה חברת Hispasec Sistemas הספרדית שירות חדש בשם VirusTotal עם רעיון די גאוני. אם יש כל כך הרבה שירותי סריקת קבצים, למה לא לאגד את כולם תחת קורת גג אחת למעין פתרון חוכמת ההמונים? במקום שתצטרכו להשתמש בשירותי אנטי וירוס כבדים, שלעיתים מפספסים וירוסים שונים או נותנים לכם False-Positives, אתם יכולים פשוט להעלות קובץ או URL חשוד לשירות, ותוך שניות הוא מוצלב אל מול עשרות שירותי אנטי וירוס שונים ומסמן לכם האם הוא בטוח. ב-2012 השירות נרכש על ידי לא אחרת מאשר גוגל, שעדיין מפעלה אותו תחת חברת הבת שלה, Chronicle.

המסע של הקבצים שאתם מעלים ל-VirusTotal לא מסתיים רק בשלב האימות אל מול שירותי האבטחה האחרים. לאחר שאתם שולחים קובץ או URL לבדיקה באתר, אלו זמינים בצורה די חופשית לחברות אנטי וירוס, חברות אבטחה וחוקרי אבטחה למשך כ-12 חודשים. זאת מתוך רעיון שמאגר נתונים שכזה יכול לשמש לשיפור מערכות ההגנה של כל החברות, ובכך אמור להועיל לכולנו. ישנם שירותים מקוונים נוספים שמציעים את אותן הפונקציות, ואופן השמירה של הקבצים המועלים לשירות, כך שהבעיה לא מתחילה או נגמרת ב-VirusTotal.

קבצים שאמורים להיות בכספת, זמינים וחשופים

במסגרת כנס CS3 שהתקיים לאחרונה, חשפה חברת OTORIO הישראלית אשר מגינה על המגזר התעשייתי מפני מתקפות סייבר, כי מספר לא מבוטל של חברות תעשייתיות ענקיות עושות שימוש מסוכן בכלים כמו VirusTotal, בלי ידיעתן. בראיון עם גיקטיים מסביר יאיר עטר, סמנכ״ל טכנולוגיות ומייסד-שותף ב-OTORIO, כי החברה יצאה לבדוק האם היא תצליח למצוא גם “קבצי פרוייקטים” שדלפו. אלו הם הקבצים, שלדברי עטר מכילים את המידע הרגיש ביותר של הארגון. אלו הם קבצים שלרוב אמורים להיות מוצפנים בכספת דיגיטלית, אך בימינו, מועברים ללא הצפנה בין חברות לספקים.

“ברגע שאלו מגיעים לידיים הלא נכונות, הם יכולים לשמש כמפה להתקפה ממוקדת ועלולים ליצור נזק אדיר לייצור”, מסביר עטר. “על סמך המידע הזה עבריין הסייבר לדוגמא יכול לזהות וקטור התקפה לשרשרת אספקה ​​או נקודות כניסה חלופיות המשמשות לתחזוקה, פיקוח או פעולות מרחוק. המתקפות שיבצע יכולות להיות גלויות ופתאומיות או מתחת לרדאר”.

כך למשל, עטר מתאר כיצד תוקף יכול פשוט גרום לנזק אמיתי בחברת כימיקלים, או לפגוע באיכות מוצרים בחברת מזון על ידי העלאת הטמפרטורה של חדרי האיחסון. מתקפות מתוחכמות יותר יכולות לפעול בצורה לא עקבית, ולהקשות בכך על גילוי מקור הבעיה והפירצה.  בין נזק פיזי מסוכן, לגניבת מידע רגיש ועד לנזק עסקי ארוך טווח. הפוטנציאל למתקפות הללו הוא לא קטן. רק שבמקרה של שירותים כמו VirusTotal, עטר מזהיר כי חברות רבות פשוט לא יודעת שהמידע הרגיש ביותר שלהן חשוף ללא מעט עיניים.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

איך יכול להיות שזה קורה מתחת לאף של הארגונים מהגדולים בעולם?

“הופתענו לגלות קבצי פרויקטים לגיטימיים, והרבה מהם. מצאנו קבצים שהועלו על ידי חברות וספקים משלל מדינות ברחבי העולם וביניהם כמה מהחברות הגדולות והמובילות בתחומן”, מתאר עטר. בין החברות נמצאות יצרניות הרכב מהגדולות בעולם, יצרניות מוצרי צריכה, מזון ומשקאות, מוצרי אלקטרוניקה ועוד. לטענת OTORIO, מה שהוביל לאותה דליפת מידע היא החיבור המואץ של מכונות ומחשבים תעשיתיים לרשת האינטרנט, או כמו שאנחנו מכירים את זה, IoT. המכונות שחוברו לרשת פולטות מידע רב, ולעיתים רבות המידע הזה עובר כשאר תעבורת הרשת. הגורמים האחראיים בארגון על אבטחת הרשת עושים פעמים רבות שימוש בפלטפורמות סינון תעבורה, כאשר חלקן, לעיתים רבות בלי ידיעתם, שולחות את המידע לפלטפורמות שיתופיות כמו VirusTotal באמצעות APIs שונים.

“חשוב לציין כי קבצי הפרוייקט לא הועלו במכוון על ידי החברות התעשייתיות, הספקים או ספקי שירותי האבטחה שלהם – אלא הם הועלו שלא במכוון, ובאופן אוטומטי על ידי קביעת תצורה שגויה של יישומי האבטחה המסתמכים על מנועי סריקה מקוונים כדי לבדוק קבצים זדוניים.” טוען עטר.”חלק מהמידע הועלה באמצעות אמצעי צד שלישי, אולם ככל הנראה אחרים שיתפו קבצים באופן ישיר אפילו מבלי לדעת זאת, מבלי שהעריכו בצורה נכונה את התהליכים המחוברים לשירותים המקוונים”.

לדברי עטר, על אף שרק חברות וחוקרי אבטחה יכולים לקבל גישה לאותם קבצים המאוחסנים בשירותים הללו, רבים יכולים להסתנן בלי יותר מדי בעיה, וזאת לאור תהליכי סינון לא מעמיקים מספיקים. אמנם עד כה לא נודע על חברות שהותקפו על ידי שימוש במידע שדלף, אך ב-OTORIO מדגישים כי קשה יהיה לדעת האם מתקפה מסוימת נבעה כתוצאה מדליפת הקבצים. בינתיים, בחברה פנו לגוגל ושיתפו אותם בממצאים המדאיגים. מאוטוריו נמסר כי ב-VirusTotal הביעו דאגה מהם, אך לא נראה כי יש פתרון באופק. בינתיים, כך לטענתם, החברה מעודדת את אוטוריו להעלות את המודעות לבעיה כדי שארגונים נוספים יבדקו את הגדרות מערכות האבטחה שלהם.

מאחר שב-VirusTotal ודומיהם לא מדובר בבאג, אלא בפיצ’ר, יש כמה צעדים שעטר ממליץ לנקוט בהם כדי לצמצם את הסיכונים המדוברים: “על אחראי האבטחה בארגון לוודא שכלי סריקה אוטומטיים, כדוגמת DLP, EDR וסריקות מייל יוגדרו בצורה שלא תאפשר העלאת קבצים רגישים לרשת, הן בארגון עצמו והן בקרב הספקים של הארגון”.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: