פרטיות באתרים חברתיים ומלחמה יום יומית באיתור פריצות וחסימתן

שלום לכולם, מסמך אשר פורסם על ידי משרד ההגנה האמריקאי לפני חצי שנה ומפרט את הדרך בה ניתן למקסם את חווית הפרטיות ברשתות החברתיות כולל אתרי שידוכים ומסרים מיידיים, הריני לפרסם את עיקריו.המסמך בשפה האנגלית ןמעיד הלכה למעשה על חוסר הפרטיות אשר מהווה מנת חלקנו במשך עשורים, במיוחד כשמדובר באתרים חברתיים אשר אינם עומדים וחושפים לעיני כל את פרטי הגולשים. אני עומד בפתחה של הגשת תביעת ענק נגד חברת פייסבוק אשר בין השאר, מפרה את הזכות לפרטיות באופ בלתי חוקי.

פייסבוק מחזיקה ברשותה את מאגר המידע הגדול והרחב ביותר בו נמצאים פרטים אישיים רבים של כל גולש באתר זה

תקנות הגנת הפרטיות (אבטחת מידע במאגרי מידע) דורש קיומה של תשתיית מתאימה עליה מצהירה כל חברה אירופאית ו/או אמריקאית או ישראלית. כל חברה חייבת להציג מסמך בו היא מתארת את הפעולות שבצעה לצורך אבטחת המידע, מיהו הגורם האחראי לאבטחת מידע בחברה ומהי הקונפיגורציה של אבטחת המידע ברשת.

זהו תחום משפטי טכנולוגי אשר מחייב שיתוף פעולה בין עורכי דין לאנשי IS אנשים המורשים כמוני לצורך בדיקה תקופתית של מאגר המידע ורמת האבטחה בו לרבות תיקון ליקויים במידת הצורך וכמובן הצגת הארכיטקטורה של הרשת ככל שמדובר באבטחת מידע.

המוסדות החוקיים במדינות ישראל אירופה וצפון אמריקה הגיעו להסכמה כי כל מאגר מידע מחייב ניהול תקין ושוטף של כל מאגרי המידע אשר לא קיבלו פטור ע"י הרגולטור. המסמך האמור הנו מסמך משפטי אשר פורסם בארה"ב בלבד וזכיתי לקבלו באמצעות הרשות למידע וטכנולוגיה. אתם זוכים לקבל מסמך שלא זכה לחשיפה בכל מקום בישראל. בתקווה שתקבלו מענה לשאלותיכם. זהו מסמך בשפה האנגלית, ואינו קשה במיוחד לדוברי אנגלית אך מכיל חומר רב בענייני החובה לפרטיות חומר אשר יפקח את עינכם, ולכן לא אפרסמו כאן.

מחקר נוסף שאפרצם בנוגע לבעינ בפרטיות ושמירה עליה הנו של חוקרים ישראליים שגילו פרצת אבטחה שמאפשרת לתוקפים להריץ קוד זדוני מרחוק על כל מכונה המריצה Windows או לאשר כניסה לשרתי Exchange או איי אפ די אס במיקרוסופט מיהרו לתקן את הפרצה

בשנה האחרונה התמקד צוות המחקר מיוחד-בפרוטוקול אנ.טי.אל.אמ. אחד מפרוטוקולי ההזדהות של Windows. למרות קיומו של פרוטוקול חדש (ומאובטח) יותר – NTLM, Kerberos עדיין זמין ברוב הארגונים המשתמשים ב-כך טוענים מטעם החברה ברוב הרשתות היום. ידענו טוענת החברה שכיוון שמדובר בפרוטוקול ישן יותר, כנראה שיש בו לא מעט בעיות שטרם התגלו פוטנציאל להשלכות חמורות.

אחת ההתקפות הידועות כנגד הפרוטוקול היא מתקפת NTLM Relay המאפשרת העברת הודעות הזדהות מלקוח שהתחבר לתוקף לכל שרת אחר ברשת ולהריץ קוד בעזרת ההרשאות של הלקוח המקורי. כיוון שמדובר בהתקפה שיכולות להיות לה השלכות חמורות, מיקרוסופט פיתחה במשך השנים מנגנוני הגנה שונים כדי למנוע מתוקפים להעביר הודעות הזדהות ב-NTLM לשרת אחר הכוללים: חתימת סשן, הודעת קוד אינטגרטי, אי.פי.איי.

כחלק מהמחקר, עקפה החברה את כל מנגנוני ההגנה הללו ולתקוף כל שרת ברשת באמצעות מתקפת NTLM Relay.  

החולשה המשמעותית ביותר שמצאה החברה מאפשרת לעקוף את מנגנון החתימה, שנועד למנוע מתוקפים לפתוח ערוץ תקשורת מול שרתים רגישים בגלל חוסר יכולתם להשיג את מפתח החתימה הנדרש. הוצג כיצד תוקפים יכולים להשיג את מפתח החתימה עבור כל הזדהות NTLM ברשת ולתקוף כל שרת ברשת שאוכף חתימה – כולל Domain Controllers הנחשבים לשרתים הרגישים ביותר בארגון.

פרט לחולשה זו, בשנה האחרונה נשלחה למיקרוסופט רשימת חולשות שונות שנמצאו בפרוטוקול, חלקן תוקנו וחלקן דרשו תיקונים בהיקף רחב יותר ויתוקנו בחודשים הקרובים.

בעקבות חשיבות הממצאים, הוחלט לשלוח את תוצאות המחקר לשניים מכנסי האבטחה הגדולים ביותר בשנה המתקיימים בווגאס: BlackHat USA, DEFCON. חברי ה-Review Board הסכימו לגבי משמעות התוצאות והחברה נתבקשה להרצות בשני הכנסים, שכל אחד בעל אופי שונה לגמרי. ב-BlackHat נתקלו המרצים בלא מעט בכירים מחברות גדולות, לעומת זאת את DefCon פוקדים לא מעט האקרים נלהבים עצמאיים.

הדרך שהובילה לגילויי החולשות למעשה התחילה בפיתוח מנגנון זיהוי למתקפות NTLM Relay שפיתחה החברה עבור המוצר. מדובר במנגנון זיהוי דטרמיניסטי ראשון מסוגו עבור מתקפות אלו שאר המוצרים המנסים לזהות התקפה מסוג זה מסתמכים על אמצעים יוריסטיים המחפשים אנומליות בגישות באמצעות NTLM – דבר המספק פתרון חלקי בלבד לבעיה הוצג ב-BlackHat. כחלק מפיתוח מנגנון ההגנה נדרש היה להכנסלקרביים של הפרוטוקול, דבר שאפשר להבין אותו (ולנצל את החולשות שבו) הרבה יותר טוב.

המסקנה העיקרית מהמחקר היא כמה שהפרוטוקול הזה הוא לא מאובטח. למרות התיקונים לחולשות הספציפיות שדווחו ישנה תחושה שמדובר בפלסטרים בלבד ושהפצע הזה ימשיך לדמם ממקומות שונים עוד הרבה זמן (ייתכן שייפתר. הדרך הכי טובה לפתור את הבעיה היא להמנע משימוש ב-NTLM, אך לדאבוני פתרון זה לא ישים ברוב הארגונים בגלל מוצרים ישנים שיפסיקו לעבוד ללא תמיכה בפרוטוקול זה. במקרה כזה הדברים שניתן לעשות כוללים: שימוש בגרסה החדשה של הפרוטוקול – NTLMv2 הנחשבת בטוחה יותר, הפעלת מנגנוני הגנה על כמה שיותר שרתים ברשת הכוללים אכיפת חתימת Session ו-EPA וכמובן עדכוני אבטחה לכלל השרתים בארגון. 

ממיקרוסופט נמסר כי החברה פרסמה ביוני עדכוני סקיוריטי, וזאת על מנת להגן על ארגונים מ-CVE 2019-1040 ו-CVE 2019-1019, והיא ממליצה ללקוחות לאפשר עדכונים אוטומטיים על מנת להבטיח שהמערכות שלהם מוגנות.