ITanalyze

یک نماینده جمهوری‌خواه در کمیته امنیت داخلی مجلس نمایندگان آمریکا به دنبال پاسخی درباره هک هفته گذشته خطوط هوایی منطقه‌ای کامیوت ایر (CommuteAir) است که منجر به افشای نسخه‌ای از لیست پروازممنوع فدرال از سال 2019 شده است.
از زمانی که محقق پشت این هک، یک تبعه سوئیسی که با اسم مایا آرسون کرایمیو (maia arson crimew) کار می‌کند، پستی در وبلاگ خود منتشر کرده و توضیح داده است که این اطلاعات در یک سرور ناامن در کنار سایر داده‌های حساس از کامیوت ایر، یک شرکت هواپیمایی منطقه‌ای تحت نظر یونایتد ایرلاینز، افشا شده است، زنگ خطری نیز به صدا در آمده است.

روز شنبه، نماینده دن بیشاپ، خشم خود را از این وضعیت ابراز کرده است.

او می‌گوید: کل لیست پروازممنوع ایالات‌متحده - با بیش از 1.5 میلیون ورودی - توسط یک هکر سوئیسی در یک سرور ناامن پیدا شده است. علاوه بر این واقعیت که این فهرست یک کابوس آزادی مدنی است، چگونه این اطلاعات به‌راحتی قابل دسترس بوده است؟ ما برای یافتن پاسخ قدم در پیش خواهیم گذاشت.

به گفته کرایمیو، این لیست در سرور جنکینز در معرض دید قرار گرفته است؛ سروری که شرکت‌ها از آن برای ساخت و آزمایش نرم‌افزار استفاده می‌کنند. این سرور با استفاده از ابزار تحقیق شودن (Shodan) پیدا شده است.

کرایمیو در مصاحبه‌ای با خبرگزاری ریکورد در سیگنال می‌گوید:  با توجه به دسترسی به خدمات خطوط هوایی تولیدی و آنچه می‌توانم حدس بزنم با رابط‌های برنامه‌نویسی کاربردی (API ها) که اعتبارنامه آن‌ها را داشتم، امکان‌پذیر بود، تصور می‌کنم لغو یا به تأخیر انداختن پروازها یا حتی ویرایش اعضای خدمه امکان‌پذیر بوده و می‌شد که خدمه پرواز را تغییر داد. مفاهیم این‌چنینی احتمالاً نیازی به توضیح ندارد؛ اما من تقریباً به تمام زیرساخت‌های آن‌ها به‌نوعی دسترسی داشتم.

این یافته‌ها که برای اولین بار توسط دیلی دات (The Daily Dot) منتشر می‌شود، خشم عده‌ای را برانگیخت، هم از این ایده که نسخه‌ای از فهرست اکنون عمومی است و هم پیامدهای حقوق بشری آن تا مدت طولانی ادامه داشته باشد.

این فهرست که توسط کرایمیو در اختیار ریکورد قرار گرفته است، حاوی بیش از 1.5 میلیون نام و نام خانوادگی و همچنین تاریخ تولد است.

کرایمیو می‌گوید که آن‌ها فکر نمی‌کنند این فهرست باید عمومی شود، اما احساس می‌کنند که برای محققان مهم است که وسعت تأثیر آن را بررسی و ارزیابی کنند تا متوجه شوند که تا چه حد همه‌چیز کاملاً بی‌معنی است.

یونایتد ایرلاینز از اظهارنظر در مورد هک خودداری کرده و ریکورد را به صحبت با سخنگوی کامیوت ایر دعوت می‌کند که او نیز تأیید می‌کند که یک محقق به آن‌ها از پیکربندی اشتباه سرور توسعه اطلاع داده است.

این شرکت هواپیمایی می‌گوید که محقق می‌تواند به فایل‌هایی دسترسی پیدا کند که نسخه‌ای «منسوخ» از فهرست پروازممنوع فدرال را شامل می‌شود.

سخنگوی کامیوت ایر می‌گوید: علاوه بر این، از طریق اطلاعات یافت شده در سرور، محقق دسترسی به یک پایگاه داده حاوی اطلاعات قابل‌شناسایی شخصی کارکنان کامیوت ایر را کشف خواهد کرد. بر اساس تحقیقات اولیه ما، هیچ اطلاعات مشتری در معرض دید قرار نگرفته است.

کامیوت ایر بلافاصله سرور آسیب‌دیده را آفلاین کرده و تحقیقاتی را برای تعیین میزان دسترسی به داده‌ها آغاز کرده است. این شرکت می‌گوید که قرار گرفتن خود در معرض خطر را به آژانس امنیت سایبری و امنیت زیرساخت گزارش کرده است.

هنگامی‌که برای اظهارنظر با آژانس امنیت سایبری و امنیت زیرساخت (CISA) تماس گرفته شد، تمام پاسخ‌ها را به اداره امنیت حمل‌ونقل ارجاع داد.

سخنگوی این آژانس نیز به ریکورد می‌گوید: اداره امنیت حمل‌ونقل (TSA) از یک حادثه بالقوه امنیت سایبری آگاه است و ما در هماهنگی با شرکای فدرال خود در حال تحقیق هستیم.

این شکست تنها چند هفته پس‌ازآن رخ می‌دهد که هزاران پرواز به دلیل یک مشکل فنی در سیستم اطلاعیه سازمان هوانوردی فدرال (NOTAM) به تعویق افتاد یا لغو شد.

این وضعیت کنگره را بر آن داشت تا خواستار بررسی آسیب‌پذیری‌های بالقوه امنیت سایبری پیش روی سیستم‌های هوانوردی ایالات‌متحده شود؛ صنعتی که کاخ سفید به دنبال آن است تا ضمن انجام اقدامات لازم، برای محافظت بهتر از آن در برابر حملات سایبری تلاش کند.

چندین کارشناس امنیت سایبری می‌گویند که آنچه کرایمیو کشف کرده است متأسفانه در بین سازمان‌ها از مراقبت‌های بهداشتی گرفته تا شرکت‌ها و حتی مشاغل آموزش مجریان عروسی رایج است. کسب‌وکارها معمولاً این نوع اطلاعات را در سرورهای ناامن می‌گذارند؛ سرورهایی که به هرکسی اجازه می‌دهد در صورت یافتن اطلاعات، به آن‌ها دسترسی پیدا کند.

سامی میگس، دانشمند اصلی در گروه یکپارچگی نرم‌افزار سینوپسیس، می‌گوید که سرورهای عمومی ناامن، نان مهاجمان و کابوس یک سازمان هستند.

میگس در ادامه می‌افزاید: این به‌ویژه زمانی صادق خواهد بود که سرور به‌اندازه کافی ناامن باشد تا در موتورهای جستجوی دستگاه متصل مانند شودان و زوم آی (ZoomEye) ظاهر شود.

بسیاری از سازمان‌ها از فضای ذخیره‌سازی ابری استفاده می‌کنند بدون اینکه واقعاً بدانند قفل‌کردن درب ورودی و ایمن نگه‌داشتن داده‌هایمان به چه معناست. اگر فضای ذخیره‌سازی ابری به‌قدری اشتباه پیکربندی‌شده باشد که معادل باز گذاشتن درب ورودی قلمداد شود، برای دریافت داده‌ها نیاز به مهارت هکری بسیار ناچیزی نیاز خواهد بود یا اصلاً بدون هک، دسترسی به داده‌ها فراهم خواهد شد.

اندرو هی، مدیر ارشد اجرایی در شرکت مشاوره لارس (LARES)، توضیح می‌دهد که سازمان‌ها باید به‌طور صریح دسترسی به این نوع باکت ها را به دلیل اطلاعات حساسی که اغلب در داخل آن‌ها نگهداری می‌شوند، پیکربندی کنند. منظور از باکت، واحدی از داده است که می‌تواند از ذخیره‌سازی ثانویه در یک عملیات واحد منتقل شود.

او خاطرنشان می‌کند که ارائه‌دهندگان فضای ابری اکنون کار بهتری برای محافظت از باکت های ذخیره‌سازی تازه ایجادشده و محدود کردن دسترسی عمومی انجام می‌دهند، به‌طوری‌که مدیران اکنون مجبورند برای اجازه دسترسی از مسیر خود خارج شوند.

اما او در ادامه می‌افزود که کامیوت ایر نباید از داده‌های واقعی در یک سیستم توسعه استفاده می‌کرده است.

هی می‌گوید: بااین‌حال، گاهی اوقات، سازمان‌ها امنیت را فدای مصلحت و آزمایش با داده‌های مستقیم مشتری می‌کنند. ایجاد مجموعه داده‌های ناشناس زمان می‌برد و استدلال رایج این است که داده‌های واقعی را به‌دقت منعکس نمی‌کند.

جان بامبنک از نتنریچ (Netenrich) می‌گوید که آزمایش سیستم‌ها با داده‌های واقعی، امری معمول است زیرا ایجاد داده‌های آزمایشی معتبر و در مقیاس مشابه، اغلب موضوعی پیچیده است. شما می‌خواهید آزمایش‌هایتان تا حد امکان دنیای واقعی را نشان دهد، بنابراین این موضوع یک وسوسه بسیار طبیعی است.

اریک کرون از نو بی فور (KnowBe4) نیز می‌گوید که این موضوع بسیار فراتر از صنعت هوانوردی است.

او در تجربه خود شاهد بوده است که این اتفاق نه‌تنها در مورد سازمان‌های اولیه بلکه در مورد پیمانکاران و شرکا نیز رخ خواهد داد.

ابزارهایی مانند شودان نیز اسکن دائمی اینترنت را برای سرورهای در معرض خطر بسیار آسان‌تر کرده است. کرون در ادامه می‌افزاید که پایگاه‌های داده‌ای وجود دارند که توسط سازمان‌هایی که آن‌ها را ایجاد کرده‌اند یا از آن‌ها استفاده می‌کنند فراموش شده‌اند. البته این بدان معنا نیست که در نمونه‌های مقدماتی می‌توانند امنیت را ساده‌تر نگاه کنند، فقط به یک فایروال با پیکربندی نادرست نیاز است تا ترافیک وارد شود، اما هنگام ذخیره داده‌ها در فضای ابری، سازمان‌ها باید بسیار کوشا باشند.

منبع:  سایبربان