השימוש של NSA בפגמי תוכנה כדי לפרוץ מטרות זרות היווה סיכונים לאבטחת הסייבר

בלוגים

כדי לחדור למחשבים של מטרות זרות, הסוכנות לביטחון לאומי מסתמכת על פגמי תוכנה שלא התגלו בצינורות האינטרנט. במשך שנים, מומחי אבטחה לחצו על הסוכנות לחשוף את הבאגים הללו כדי שניתן יהיה לתקן אותם, אך לעתים קרובות ההאקרים של הסוכנות נרתעו.

כעת עם השחרור המסתורי של מטמון של כלי פריצה של NSA בסוף השבוע, הסוכנות איבדה יתרון התקפי, אומרים מומחים, ועלולה לסכן את האבטחה של אינספור חברות גדולות וסוכנויות ממשלתיות ברחבי העולם.

כמה מהכלים ניצלו פגמים בחומות אש מסחריות שנותרו ללא תיקון, והן נמצאות באינטרנט לעיני כל. לכל אחד מהאקר במרתף ועד לסוכנות ריגול זרה מתוחכמת יש גישה אליהם כעת, ועד שהפגמים יתוקנו, מערכות מחשב רבות עלולות להיות בסכנה.

חשיפת המטמון של ה-NSA, שמתוארך לשנת 2013 ולא אושר על ידי הסוכנות, מדגישה גם את התהליך הלא ידוע של הממשל לבירור אילו שגיאות תוכנה לחשוף ואילו לשמור בסוד.

השחרור של כלי ההאקרים ממחיש את הסיכון העיקרי של ממשלת ארה'ב אוגרת פגיעויות מחשב לשימוש עצמי: מישהו אחר עלול להשיג אותם ולהשתמש בהם נגדנו, אמר קווין בנקסטון, מנהל המכון הפתוח לטכנולוגיה של ניו אמריקה.

ממה עשויים צ'יפס

זו בדיוק הסיבה שמדיניות ממשלת ארה'ב צריכה להיות לחשוף לספקי תוכנה את נקודות התורפה שהיא קונה או מגלה בהקדם האפשרי, כדי שכולנו נוכל להגן טוב יותר על אבטחת הסייבר שלנו.

פרסום סוף השבוע עורר ספקולציות מיידיות לגבי מי שעשוי לעמוד מאחוריו. קבוצה הקוראת לעצמה Shadow Brokers לקחה אחריות. כמה מומחים ועובדים לשעבר חושדים, אם כי ללא ראיות מוצקות, שרוסיה מעורבת. עובדים לשעבר אחרים אומרים שסביר יותר שמקורב ממורמר המבקש להרוויח.

מי שזה לא יהיה, זה מאוד מדאיג שמישהו פוטנציאלי שעובד עבור ממשלה אחרת מחזיק בעצם בחברות בני ערובה שיושבות מאחורי [חומת האש], מה שהופך אותן לפגיעות מאוד, אמר אורן פלקוביץ, מנכ'ל אזור 1 Security ואנליסט לשעבר של NSA.

חומות האש הנמכרות על ידי Cisco, Juniper ו-Fortinet הן פופולריות מאוד ועובדות על מערכות ארגוניות בקנה מידה גדול. אלו מוצרים מאוד מאוד חזקים ומוצלחים, אמר פלקוביץ. הם לא מכשירים שנרכשו על ידי שני אנשים.

האם אנשים יכולים לחלות בקוביד פעמיים

כבר עכשיו, החברות דוהרות להנדס לאחור את הקוד, לזהות פגמים כלשהם ולהמציא תיקונים. סיסקו אישרה ביום רביעי שאחד הפגמים היה יום אפס - שלא היה ידוע קודם לכן לציבור - וכי היא עובדת על תיקון. הפגם היה בכלי או בנצל בשם הקוד Extrabacon.

דוברת ג'וניפר, לסלי מור, אמרה שהחברה בוחנת את הקובץ שפורסם. אם תזוהה פגיעות במוצר, אנחנו נטפל בעניין ונתקשר ללקוחות שלנו, אמרה.

דוברת Fortinet, Sandra Wheatley Smerdon, אמרה כי החברה פועלת באופן פעיל עם לקוחות המריצים את חומת האש FortiGate גרסה 4.X וכי היא ממליצה בחום לעדכן את המערכות שלהם בעדיפות הגבוהה ביותר.

לממשלה יש תהליך לקביעה מתי לשתף פגמי תוכנה. סוכנויות כמו ה-NSA וה-FBI אמורות להגיש כל ליקוי שיגלו לקבוצת מומחים רב-סוכנויות, ששוקלת אם היתרון בשמירה על נקודות התורפה בסוד גובר על אבטחת הסייבר של הציבור.

מתאם אבטחת הסייבר של הבית הלבן, מייקל דניאל, אמר שברוב המקרים, חשיפת הבאג היא האינטרס הלאומי. התהליך הרב-סוכני לא התחיל באמת עד אביב 2014. ל-NSA היה תהליך פנימי משלו במשך שנים לפני כן.

כך או כך, במקרה הזה, החשיפה מעולם לא התרחשה.

זה מה שקורה כשסוכנויות אבטחה אוגרות מעללים בצורה לא מאובטחת - אבטחה גרועה יותר לכולם, אמר קווין ביומונט, חוקר אבטחת סייבר שאימת שחלק מהכלים שהודלפו מסתמכים על נקודות תורפה שעדיין לא טופלו.

אנשי NSA לשעבר שעבדו עם מטמון הכלים ששוחרר אומרים שכאשר עבדו בסוכנות, הייתה סלידה מחשיפה.

בזמן שהייתי שם, אני לא יכול לחשוב על דוגמה אחת לפגם של יום אפס שבו השתמשנו בסוכנות, שבו אמרנו לאחר מכן, 'אוקיי, סיימנו עם זה ובואו נעביר את זה לצד ההגנתי אז הם יכולים לתקן את זה', אמר העובד לשעבר, שעבד בארגון הגישה המותאמת של הסוכנות במשך שנים. במהלך הזמן הזה, אמר, הוא ראה מאות פגמים כאלה.

הוא הוסיף: אם זה משהו בשימוש פעיל, הניסיון שלי היה שהם נלחמים כמו כל יציאה כדי למנוע את חשיפתו.

אמר עובד שני לשעבר, שגם דיבר בעילום שם כדי לתאר פעולות ממשלתיות רגישות: קשה לחיות בעולם שבו יש לך יכולות ואתה חושף את היכולות שלך לצוות ההגנה שלך.

רשימת חברות המחרימות את גאורגיה

המפעיל לשעבר הזה אמר שלפעמים פגיעות מתוקנת, אבל שאם מנשקים אותה בצורה אחרת בטכניקה מיוחדת, אולי זו אחת הדרכים להאריך את אורך החיים של הכלי.

בדרך זו, פגם עדיין יכול להיות טוב לכמה שנים.

שנתיים או שלוש זה לא ממש זמן לבאג לא להתגלות, אמר ג'וזף לורנצו הול, הטכנולוג הראשי במרכז לדמוקרטיה וטכנולוגיה.

לדוגמה, פגיעות גדולה בשם Heartbleed עשתה את דרכה לקוד של תוכנות הצפנה בשימוש נרחב בשנת 2011, אך לא התגלתה עד 2014, הוא ציין. בשנה שעברה, מיקרוסופט תיקנה באג קריטי ביום אפס שהיה אורב ב-Windows במשך עשור לפחות.

יש כל כך הרבה פגיעויות בתוכנה שאנחנו לא יכולים למצוא את כולן, אמר הול. זה באמת די מפחיד, במיוחד כשאתה מדבר על טכנולוגיה כמו חומות אש, שאמורות לעזור לשמור על בטיחות המערכות.

מומחים החוקרים את השחרור אומרים שהחומר כנראה נגנב באוקטובר 2013, תאריך יצירת הקובץ האחרון. אם זה נכון, אז למישהו או סוכנות ריגול אחרת היה זמן לפרוץ לחברות באמצעות חומות האש הפגיעות או לצפות בריגול הסייבר של NSA עצמה.

עובדי NSA בעבר, כולל הקבלן לשעבר אדוארד סנודן, אומרים שלא סביר שהחומר נפרץ משרתי הסוכנות. סביר יותר, יש אומרים, שהכלים הועלו והותירו בשוגג על ידי האקר TAO בשרת המשמש לביצוע פריצות למטרות. שרתים אלה נקראים לפעמים מפנים או שרתי שלב, והם מסווים את מיקומו האמיתי של ההאקר.

מה המשמעות של צדי צ'יק

ל-NSA תמיד היו בקרות ביקורת על המערכות שלה. אבל במיוחד בעקבות הדלפות של חומר מסווג של סנודן שהחלו להופיע בתקשורת ביוני 2013, הסוכנות חיזקה את מנגנוני הבקרה שלה.

קרא עוד:

כלים רבי עוצמה של NSA נחשפו ברשת

קומי מגן על רכישת כלי הפריצה לאייפון על ידי ה-FBI

כלי פריצה של NSA הודלפו לרשת. הנה מה שאתה צריך לדעת.