עוד יום, עוד פירצה פשוטה מאוד לגילוי, זיהוי ומניעה והפעם באתר אינטרנט שמכיל מידע רפואי יקר, אישי שניתן להשתמש בו למטרות נלוזות.
חברת פנוחכם היא חברה הנותנת שירותי צילום והדמיה רפואית לקופות החולים ויש לה סניפים בעיקר באיזור הצפון. מה הבעיה? שכל הצילומים של מאות הלקוחות שלה מכל הסניפים הרבים שלה מועלים לשרת לא מוגן שלכל אחד בעולם יש גישה אליו.
הסבר על "הפירצה" בשפת בני אדם
פרוטוקול FTP הוא פרוטוקול ותיק מאוד המשמש להעברת קבצים. אין בונה אתרים שלא מכיר אותו. באמצעות הפרוטוקול אנחנו יכולים להעלות קבצים ולטפל בהם. אפשר לעשות את זה עם תוכנה יעודית או אפילו עם הדפדפן.
שימו לב לתחילית שבאה לפני הכתובת. בדיוק כפי שיש לנו את HTTP או את HTTPS, יש לנו כאן תחילית קצת פחות מוכרת בשם FTP שהיא ראשי תבות של File Transfer Protocol. לא מדובר כאן במשהו לא מוכר או אקזוטי אלא בדרך עבודה עם שרתים שמיליוני אנשים בעולם מייצרים.
כאשר יש לי גישה ל-FTP – יש לי גישה בלתי מוגבלת לקבצי השרת. אני יכול לקרוא את הקבצים, להכניס קבצים חדשים או למחוק ישנים. זו הסיבה שבדרך כלל גישת FTP מוגבלת בסיסמה ובשם משתמש. חלק גדול מהחברות מגבילות את החיבור ולא מאפשרות למי שהוא לא מהרשת הארגונית להתחבר. ישנן הרבה הגנות על FTP שמקובלות כבר עשרות (עשרות!) שנים בתחום. אף אחד לא משאיר שרתי FTP פרוצים בטח ובטח אם יש עליהם מידע רגיש או מידע שאם הוא יימחק ייגרם נזק.
אה, רגע, אמרתי אף אחד? התכוונתי לאף אחד חוץ ממכון רפואי שיש לו מידע רפואי רגיש על אזרחים. מכון פנוחכם חשב שזה רעיון טוב להחזיק את כל הצילומים והמידע של הלקוחות על FTP פתוח לרווחה. איזה מידע? צילומי שיניים, מספרי תעודת זהות, תאריך לידה ונתונים נוספים (כמו תמונת פנים מלאה בחלק מהמקרים).
הנזק הפוטנציאלי
מה אפשר לעשות עם הנתונים האלו? הו הו הו.
וזו רק דוגמה אחת. בדיוק כמו הפרצה שהתגלתה במשרד הפנים במערכת הזימון של המאגר הביומטרי – ברגע שיש לנו פרטים משמעותיים כמו מספר תעודת זהות, שם מלא, תאריך ביקור במקום מסוים ופרטים נוספים – אני יכול לבצע התקפה על המשתמש כיוון שחומות ההגנה שלו יורדות. גם מומחה אבטחת מידע יתן פרטים נוספים אם מהצד השני יש מישהו שמתקשר אליו מהמרפאה עם מידע מדויק עליו. קל להאמין שזה באמת מהמרפאה.
הגילוי
פרצת האבטחה הזו היא לא כתוצאה מעבודת האקינג מאומצת, תחכום יוצא דופן או עבודה מול מחשב באפלולית הלילה. כל מה שעשיתי זה לחפש באמצעות מנוע החיפוש shodan. זה הכל.
מנוע החיפוש הזה לא יושב ברשת האפלה. כל אחד יכול להשתמש בו בקלות. בדרך כלל רוב האנשים מחפשים בו מצלמות אבטחה ומקווים לתפוס איזו מצלמת אבטחה סינית חביבה שמשקיפה על חדר שינה של זוג שהיה טיפש מספיק כדי להציב אותה שם. אבל אפשר להשתמש בה למצוא דברים אחרים, כמו FTP פתוחים. מהרגע שמצאתי, להכנס ל-FTP זה קל. כמה קל? גם ילד בכיתה ב' יכול להבין.
למה אני עושה את זה
מה שמרגיז בפרצה הזו ובפרצות אחרות שהן לא פשוטות – הן מגוחכות לגילוי. מה שאני עושה כאן זה לא האקינג. זו ברמת הבדיחה. אבל הבדיחה הזו יכולה להזיק לאנשים ולאפשר לעבריינים לתקוף אזרחים תמימים או אפילו עסקים תמימים שכל חטאם היה בכך שהם סמכו על בונה אתרים/מתכנת/איש סיסאדמין שהוא לא מקצועי מספיק. וכן, להשאיר שרת FTP פתוח זו לא 'רשלנות'. זו רשלנות פושעת. עד מתי זה יימשך? זה ייפסק ברגע שרשות כלשהי תתחיל להגיש כתבי אישום נגד מתכנתים רשלנים. במקומות אחרים בעולם יש לדברים האלו משמעות פלילית ונזיקית. בישראל? לא ממש. עד שזה ישתנה, אני אצעק.
היי רן, האייפי מופיע בתמונה של shodan
אני כזה גאון… 🙁
טוב, למרבה המזל הם כבר סגרו את ה-FTP הזה. אבל ליתר בטחון טשטשתי את הפרטים. תודה רבה על שכתבת לי!
בוידאו זה לא מטושטש
מסכים גם בוידאו זה לא מטושטש.. זה כמו שננסה לפרוץ לאתר שלו ואז להגיד אותו דבר
גישה לftp לא מבטיחה שליטה מלאה. בהגדרות שרת הftp אפשר להגביל משתמשים לקריאה בלבד או כל מיני הרשאות אחרות בסגנון
נכון, זה כמובן קל להגדרה ואפשר באמת לעשות מה שרוצים. במקרה הזה הכל היה פתוח לחלוטין 🙁
סיפרתי לך על הפעם ההיא שמצאתי את הפרטים האישיים שלי בקובץ csv על שרת http פתוח לעולם יחד עם ססמאות כל שאר הסטודנטים והמרצים, לרבות הססמאות של כולם? כך כסטודנט גרמתי לגוף המחשוב להחליף ססמאות לכולם, ולמרצים הוותיקים להתעצבן במיוחד כי החליפו את הססמאות הפשוטות שלהם בנות 4 הספרות בססמאות ארוכות ואקראיות שקצת קשה יותר לזכור.
איך אתה יודע מה לחפש בshodan?
חיפשתי את המחרוזת שמציגה FTP פתוח…
הנה פה מדריך
https://raidforums.com/Thread-How-to-find-vulnerable-ftp-servers
כל הכבוד. עכשיו מדריך לפרוץ לכספ
מתחזה מגעיל תתבייש לך עוכר ישראל
רק למען הדיוק פנוחכם הם רשת מכוני הדמיה (צילומי רנטגן)-לא חושב שהם גם מרפאות שיניים.