הנה העניין של פריצה לחברה של מיליארדי דולרים וגניבת פרטי כרטיסי אשראי של מיליוני לקוחות: זה פשוט לא כל כך קשה.
שמונה חודשים לאחר פרצת אבטחה הביאה בוז לטרגט והביאה לכךהתפטרות המנכ"ל שלה, הום דיפו הוא כעת קורבן למתקפה כמעט זהה.
"הם בעצם לא עשו שום דבר חכם", אמר אנדרו אונסיאן, סגן נשיא לשירותים מקצועיים בחברת אבטחהAvecto.
[seealso slug=https://veit.uno/tech/amandine/2013/12/19/target-hack-affected/]
Avanessian דיבר על פרצת האבטחה של Target, שפגעה במידע של מיליוני לקוחות לאחר שתוכנה זדונית הדביקה את מערכות נקודות המכירה המעבדות החלקות כרטיסי אשראי. כתב האבטחה בריאן קרבס דיווח על כךתוכנה זדונית דומההוא אשם במתקפת הום דיפו, מה שמצביע על כך שאפילו יכולה להיות אותה קבוצה שאחראית לפריצת המטרה.
ההאקרים נמצאים צעד אחד קדימה
העובדה ששתי הפרות מסיביות של דמיון כזה התרחשו בהפרש של חודשים בלבד מעידה על בעיה גדולה במערכת. הכניסה היא פשוטה. טעות אנוש, כמו נפילה למתקפת פישינג, יכולה לפתוח את הדלת. לאחר הכניסה, מערכות המספקות גישה בין חברות ומחלקות נותנות לתוכנות זדוניות מפת דרכים שיכולה להוביל למידע רגיש.
אבטחת החברה יכולה לזהות ולהרוס תוכנות זדוניות, בתנאי שהיא יודעת מה היא מחפשת, אבל האקרים לרוב נשארים צעד קדימה.
"זו עדות לעד כמה התקדמה הטכנולוגיה של הפושעים וכיצד, למרות שהתגלו זנים דומים, הם עדיין לא הצליחו לזהות את זה. זה עניין די גדול", אמר מומחה לגניבת זהותרוברט סיציליאנו.
לא רק שפושעי סייבר מעלים כל הזמן חלקים חדשים של תוכנות זדוניות, אלא שהם גם מתאימים קוד לניצול חברות מסוימות.
"זה אותו קוד בסיס שראינו ב-Target", אמר אלכס מוס, שותף מנהל בחברת אבטחת מידעפְּגִישָׁה.
הום דיפו, שסירבה להגיב לסיפור הזה, כבר אמרה שהיא מציעה שירותי הגנה על זהות וניטור אשראי לכל מי שנפגע מהפרה, אך החברה המליצה ללקוחות לפקוח עין מקרוב על החשבונות שלהם.
גם אתה קורבן
אבל אפילו עם עזרה, פרצות מידע הפכו כל כך נפוצות שכמעט אף אחד לא בטוח. בעיות אבטחה פשוט נפוצות מדי.
"הנתונים של כולם נפגעו לפחות שלוש או ארבע פעמים בשלב זה", אמר סיציליאנו.
לקוחות יכולים לבטל כרטיסים ולקבל כרטיסים חדשים, אבל סיציליאנו ממליצה לאנשים להגדיר התראות על עסקאות בחשבונות שלהם כדי לעקוב אחר הכספים שלהם.
לא חסרות דרישות אבטחה שחברות חייבות לעמוד בהן, אבל היא יכולה לעשות זאת רק טוב. החוליות החלשות במערכות האבטחה של Target - וכנראה הום דיפו - ממשיכות להיות ניתנות לניצול. במקרים אלו, מדובר במערכות נקודת מכירה שישזיכרון גישה אקראית שניתן "לגרד"עבור נתוני כרטיסי אשראי.
מערכות אלו נמצאות באלפי חנויות ברחבי הארץ והחלפתן תדרוש השקעה גדולה.
"להיות מציית לא אומר שאתה בטוח, ולהיות מאובטח לא אומר שאתה מתלונן", אמר מוס.
תיקון בעיות אלה יכול להיות פחות על התקנת אבטחה חדשה ויותר על חידוד מערכות קיימות, ציין Avanessian. זה רחוק מלהיות קל, מכיוון שהוא מחייב חברות לשנות הרשאות קיימות - איך מותר לתוכניות לקיים אינטראקציה עם המערכת של החברה.
במקרה של טארגט,קבלן חיצוניניתנה גישה למערכת של הקמעונאי כחלק מעשיית עסקים. לאחר שנכנסו תוכנות זדוניות דרך הקבלן, לפתע הייתה לה גישה לחלק גדול מ-Target באמצעות הרשאות קיימות.
Avanessian אמר שתוכניות יכולות להשתמש במגוון טריקים כדי לנצל את ההרשאות הללו, ולפעמים ממתינות חודשים כדי לעבוד דרך מערכת. אבל עם תוכנות זדוניות המשתנות כל כך מהר, הגבלת המסלולים של תוכנות זדוניות להגיע לנתונים רגישים היא הדרך היחידה למנוע הפרות עתידיות.
"לעולם לא תקדים את התוקפים כי הם תמיד משנים את מה שהם עושים", אמר.
