יופי קולומבוס! גילית את אמריקה!

העיר קולומבוס שבמדינת אוהיו נקראת על שמו של כריסטופר קולומבוס, ש"גילה" את יבשת אמריקה. בפועל – קולומבוס לא באמת היה הראשון שגילה את אמריקה: הוא לא הגיע ממש ליבשת, אלא רק לאי היספניולה, וגם לו היה מגיע – הוויקינגים הקדימו אותו בכמה מאות שנים. בכל מקרה, הביטוי "גילית את אמריקה!" נקלט בתרבות הפופולרית.

לפני כמה שבועות נפגעה העיר שנקראת על שמו במתקפת כופרה, ובפרפראזה על סיפור קולומבוס וגילוי אמריקה, אפשר לומר שגם המתקפה הזו לא באמת מלמדת אותנו שום דבר חדש. אבל, כשבוחנים לעומק את סיפור המתקפה ואת הנזק שגרמה, אפשר בהחלט לקבל תובנות חדשות על מצבה העגום של אבטחת המידע ואולי ללמוד משהו לעתיד.

על אף שהכל היה ידוע ומוכר, העיר אספה מידע רב מדי זמן רב מדי, לא אבטחה אותו כראוי וכשאירעה תקרית – מיהרה להאשים את הגורם שניסה דווקא לסייע

השתלשלות האירועים של מתקפת הכופרה

ב-18 ביולי, העיר הותקפה במתקפת כופרה. אופן החדירה לא פורסם באופן רשמי (על אף שנאמר בהתחלה שעובד בעיריית קולומבוס הוריד למחשבו האישי קובץ ZIP שהכיל רושעה). מערכות ה-IT של העירייה נפגעו והושבתו, ואיתן אתר העירייה וגם המוקד העירוני ומוקד 911. על מנת להכיל את הפריצה, מחלקת ה-IT הורידה באופן יזום חלק מהשירותים, ולאחר כשבוע כשנראה היה שהאירוע הוכל – רוב השירותים חזרו לפעול כשגרה ולא נראה שמידע רב הוצפן או הושחת.

אלא שלאחר שבוע נוסף לקחה קבוצת הכופרה Rhysida אחריות על הפריצה, ופרסמה דרישת כופר של כ-30 ביטקוין (שווה ערך למיליון וחצי דולר בערך). אם הסכום לא יוּעבר, כך טענו ההאקרים, הם יעלו לאתר שלהם 6.5 טרהבייט של מידע רגיש שגנבו משרתי העירייה.

הייתה קורבן למתקפה כופרה והתכחשה לנזקים. העיר קולמבוס, אוהיו, ארה"ב. צילום: Shutterstock

בשלב זה ראש העיר טען שהם "מבלפים" ושמידע משמעותי לא נגנב. כשבוע לאחר מכן, אחרי שלא קיבלו את סכום הכופר המבוקש (יש לומר ביושר שעל אף שמדובר בסכום נמוך יחסית החוק בארצות הברית לא מתיר לרשויות לשלם כופר), התחילו חברי הקבוצה להעלות לאתר שלהם בדארקנט מידע שנגנב ולהציע אותו למכירה. גם בשלב זה התייחסה העיריה לעניין בביטול, וראש העיר אישר שמידע אכן נגנב, אך לדבריו הוא הושחת בתהליך ואינו מהווה איום לפרטיות התושבים אם יפורסם.

חוקר אבטחה בשם קונור גודוולף נכנס לאתר הקבוצה, בחן חלקים מהמידע והגיע למסקנה שונה. הוא ניסה ליצור קשר עם העירייה ולהעמיד אותה על טעותה, אולם לא נענה. הוא פנה לרשת טלוויזיה מקומית וסיפר שלא רק שנגנבו כמויות עצומות של מידע, אלא שהמידע שנגנב הוא רגיש בהחלט. בתגובה – העיר החליטה לתבוע את החוקר על כך שחשף את המידע הרגיש. במקביל – התאגדו שוטרים וכבאים (עובדי עירייה) והגישו תביעה ייצוגית כנגד העירייה, על כך שהתרשלה בשמירה על פרטיהם האישיים.

BREAKING: A whistleblower who was sued after revealing the danger of a ransomware attack on Columbus and subsequent data leak, has now reached a deal with the city. https://t.co/veqHPd4s2A pic.twitter.com/u2WKF1sY72

— NBC4 Columbus (@nbc4i) September 11, 2024

מה נגנב? מה הנזק הפוטנציאלי? ומה הכשלים שנחשפו בתקרית?

מסתמן שבמתקפה נגנב מידע רב שאוחסן על גבי שרתי SQL לא מוצפנים. בין בסיסי הנתונים שנגנבו – זה של התובע המקומי (מעל ל-200 אלף תיקים), מערכת כ"א של העירייה (עם נתונים על עובדי עירייה בהווה ובעבר ובני משפחותיהם, כולל שוטרים וכבאים), בסיס הנתונים של מכבי האש (כולל מידע על כבאים וגם על אלפי קורבנות שריפה), בסיס נתונים שכלל 5,700 מבקשי צווי הרחקה אזרחיים, וחמור מכל – בסיס מידע של חקירות ותביעות של פשעים כנגד קטינים. בסיס הנתונים הגדול ביותר כלל תיעוד של מבקרים בבנייני העירייה השונים – מדובר בצילומי רישיון של לפחות מאות אלפי אנשים שביקרו בבניינים השונים החל משנת 2006 ועד היום.

באופן כללי, המידע שנגנב מהווה אוצר בלום עבור האקרים ופושעים. עם מידע כגון שמות, כתובות, מספרי ביטוח לאומי ומספרי טלפון הם מסוגלים לבצע תרמיות שונות – החל מפישינג, פריצה לחשבונות בנק ועד להתחזות. מידע רגיש יותר, כגון זה שמצוי בתיקיה חקירה פליליים או אזרחים (כמו בקשה לצו הרחקה) יכול לשמש לסחיטה או איומים. עם צילומים עדכניים של רישיונות נהיגה ניתן לפתוח חשבון בנק, או להגיש בקשה לכרטיס אשראי בשם הקורבן, וניתן גם להתגבר על מנגנוני אימות מתוחכמים שדורשים סריקת תעודת זהות או רישיון נהיגה בפתיחת חשבון או הרשמה לאפליקציה.

מדובר במידע שעלול להשפיע על עשרות אלפי בני אדם מתוך אוכלוסיית העיר, שמונה קרוב ל-2 מיליון תושבים.

קודם כל הובהר שמערכות ה-IT של העיר אינן מאובטחות כראוי. אם אכן עובד הוריד קובץ ZIP (פעולה שלא אמורה להיות מאופשרת) ואותו קובץ גרם להתפרצות כופרה בכלל המחשבים, הרי שמערכות ההגנה כשלו לחלוטין (באופן מקרי – התקרית אירעה באותו שבוע של ההשבתה הגלובלית של חברת קראודסטרייק, אבל לא נראה שיש קשר בין המקרים).

מסתמן גם שלא הייתה סגמנטציה בין המחשבים השונים ברשתות העירייה, וכך התוקפים יכלו לנוע בקלות, לאתר את השרתים ולהוציא מהם מידע בלי הפרעה. וכאן אנו מגיעים לנקודת התורפה העיקרית – שרתי הנתונים של העיר, שלא היו מאובטחים כראוי, המידע שעליהם לא היה מוצפן וכנראה שכלל גם המון דאטה שנשמרה שלא לצורך (או אולי אפילו בניגוד לרגולציית אבטחה ופרטיות).

מסתמן שמערכת ה-IT של העיר חובבת של שרתי SQL לשמירת מידע. נראה גם, שלא חשבו שם שצריך להצפין את המידע על השרתים. אבל מה שחמור מכל הוא, שהמידע על גבי השרתים נשמר, לכאורה – לנצח. חלק מבסיסי הנתונים שמרו על מידע עוד משנת 2004. בעוד שלגבי חלק מהמידע קיימת הצדקה לשמור אותו לטווח ארוך (לדוגמה עובדי עירייה שהועסקו ברצף מעל 20 שנה, או כאלו שיצאו לגמלאות), הרי שלגבי חלק מהמידע שנאסף, לא הייתה שום סיבה לשמור אותו לנצח.

הדוגמה הטובה (והרעה) ביותר היא בסיס הנתונים של מערכת בקרת כניסה שהותקנה בבנייני העירייה. מדובר בקיוסק של חברת HID (בשם Easyportal), שבו המבקר סורק רישיון נהיגה ומונפק לו תג, אותו הוא סורק בכניסה וביציאה. מערכת זאת מאפשרת שליטה קלה במבקרים בבניין בזמן אמת, וניתן להיעזר בה גם בדיעבד (נניח אם נגנב פריט כלשהו ניתן לשחזר מי היה בבניין באותו זמן). אבל בכל מקרה, אין סיבה לשמור את המידע הזה לתקופה ארוכה מאוד – בוודאי שלא שנים. מיותר לציין שהמבקרים בבניין לא ידעו שהמערכת שומרת את הנתונים שלהם לעד. מכיוון שהמערכת הספציפית הזו מאוד יעילה בכיווץ המידע (רשומה רגילה "שוקלת" כ-10K, רשומה שכוללת צילום רישיון – 0K2), אפשר לשער שלולא הפריצה הזו המערכת הייתה ממשיכה לתעד מבקרים ולשמור את נתוניהם לעד.

עד כאן רשימת הכשלים שאפשרו את הפריצה, אך ההתנהלות לאחריה – חמורה לא פחות.

pic.twitter.com/cz2PluOk7D

— Mayor Andrew Ginther (@MayorGinther) August 16, 2024

הכחשה, בריחה מאחריות, שקרים והאשמת חוקרי אבטחה

זמן קצר לאחר היוודע דבר המתקפה התייצב ראש העיר, אנדרו גינטר, והודיע בציוץ ב-X שהעירייה מודעת ומטפלת בנושא. בסך הכל תגובה מהירה ועניינית (חוץ מהאשמת עובד זוטר שפתח קובץ ZIP – שמרגישה כמו מציאת שעיר לעזאזל).

אבל ההתנהלות מול התקשורת מאותה נקודת זמן הייתה רצופה בחוסר שקיפות. העירייה התכחשה לכך שנגנב מידע, לאחר מכן נטען שהמידע שנגנב אינו משמעותי, ולבסוף, ההחלטה לתבוע את החוקר שהתריע על היקף הפריצה וחומרתה. סעיף אחרון זה מרגיז במיוחד. לטענת העירייה, החוקר נעזר בכישורים מיוחדים כדי להגיע למידע שנגנב, ולכן הוא בעצם אשם בחדירה לפרטיות של הקורבנות.

בפועל, החוקר ביצע פעולה די סטנדרטית של גישה לאתר בדארקנט והוריד חלק מהמידע שהוצג שם. הוא נהג באחריות כשפנה קודם כל לעירייה ורק אחר כך לתקשורת. הוא לא חשף מידע רגיש בעצמו, אלא רק דיווח בפירוט על סוג המידע שנגנב והסביר את המשמעויות לגבי הקורבנות. התביעה הזו נראית כמו סוג של הטלת אשמה בניסיון להתחמק מאחריות ניהולית ברורה של הנהלת העיר, וכנראה של אשמה ישירה של אנשי ה-IT ואבטחת המידע, שהתרשלו בתפקידם.

תקרית הכופרה של העיר קולומבוס לא לימדה אותנו שום דבר חדש. כבר כמה שנים ידוע שערים חשופות במיוחד למתקפות סייבר, ושפושעי סייבר מנצלים את העובדה הזו וגורמים לשיבושים ונזקים קשים. אבל, המתקפה הזו חשפה שורה של כשלים בתשתיות ה-IT של העיר, בשמירה על פרטיות האזרחים וגם באופן ההתמודדות עם תקריות סייבר שאינו תואם את התקופה הנוכחית. על אף שהכל היה ידוע ומוכר, העיר אספה מידע רב מדי זמן רב מדי, לא אבטחה אותו כראוי וכשאירעה תקרית – מיהרה להאשים את הגורם שניסה דווקא לסייע.

יש להניח שככל שיחלוף זמן ויתבררו ממדי התקרית וההשלכות על התושבים, הרגולטורים השונים יידרשו לפעולה כלפי אלו שלכאורה לא מילאו את תפקידם כראוי.

חשוב להבין שמערכת בקרת כניסה כגון זו שנעשה בה שימוש בקולומבוס, נמצאת בשימוש נרחב גם פה אצלנו בארץ. אני מקווה מאוד שמנהלי האבטחה (וכאן מדובר גם במנהלי אבטחה פיזית שאחראים על המערכת הזו וגם במנהלי אבטחת מידע) ילמדו את הלקח מתקרית קולומבוס, ויוודאו שהשרתים ששומרים את המידע אכן מאובטחים, וכדאי גם שהמידע שעליהם ימחק מפעם לפעם, כדי להקטין את פוטנציאל הנזק במקרה של דליפה.

ככלל, חומרת האיומים הקונקרטיים כלפי בסיסי נתונים שנמצאים פיזית בארגונים (אותם חדרי שרתים עצומים שרואים בסרטים) מחייבת ארגונים לבחון העברה של (לפחות חלק) מהמידע לענן. בענן קל יותר לפקח על המידע, ואם אין בו צורך – למחוק אותו באופן תקופתי (לדוגמה על ידי הפעלת מדיניות מחיקת מידע אוטומטית של S3 – פיצ'ר שקיים ברבות ממערכות האבטחה לענן).

כותב המאמר הוא מנכ"ל סקייהוק סקיוריטי