Le système informatique obsolète et sous-financé de Baltimore était mûr pour une attaque par ransomware – Bien choisir son serveur d impression

Ce n’était peut-être pas quelqu'un du gouvernement municipal qui cliquait sur quelque chose de «mauvais» dans son courriel.

Il ne s'agissait pas non plus d'une attaque «ciblée», car la plupart des ransomwares sont automatisés et recherchent simplement les vulnérabilités.

Mais une fois que les assaillants se sont joints au réseau de Baltimore, ils ont compris à quoi ils faisaient face: un système informatique municipal dangereusement mal préparé et mal entretenu.

«Pour remédier à cela, il faudra connaître l’ensemble des agences de la ville et compter 20 années de crudité dans le domaine des technologies de l’information», explique le journaliste et analyste technique Sean Gallagher.

Gallagher a parlé avec Le breuvage à propos de l’attaque Robbinhood, qui a eu lieu il y a deux semaines, a fermé le courrier électronique et de nombreuses autres fonctions du gouvernement – y compris les transactions immobilières dans toute la ville – et soulevé des questions sur la raison pour laquelle la ville était si vulnérable à l'attaque.

«Des problèmes qui n'ont pas été corrigés, des choses qui n'ont pas changé, des choses qui ont expiré il y a longtemps, des problèmes qui ont été corrigés au hasard», déclare Gallagher, rédacteur en chef en informatique et sécurité nationale de la revue de technologie en ligne. Ars Technica.

«Il y a des choses que j’ai examinées dans les systèmes de la ville et qui ressemblent à des projets estivaux de stagiaires», explique Gallagher, qui vit dans la ville.

La confusion chaotique des systèmes d’exploitation de Baltimore était pleine de possibilités pour les cybercriminels.

Gallagher a un point de vue sur la confusion entre les différentes technologies utilisées par la ville pour payer ses factures et obtenir des services à la fois en tant qu’expert en informatique et en tant que citoyen.

Essayer de réserver un pavillon à Druid Hill Park pour la fête de remise des diplômes de sa fille était un exercice frustrant comprenant des appels téléphoniques, deux systèmes informatiques montrant des informations contradictoires sur la disponibilité et, finalement, un trajet pour se rendre à un bureau de la ville de Canton.

"Je ne pense pas que la ville maîtrise parfaitement sa gestion des vulnérabilités et des correctifs, et se tient au courant de l'évolution de la situation", dit-il. "Je ne pense pas que la ville ait une connaissance complète des logiciels en cours d'exécution sur ses réseaux."

Pour les criminels d'Internet, ce paysage chaotique était plein d'opportunités.

"Il y a tellement de façons différentes que cela aurait pu arriver au gouvernement de la ville de Baltimore", explique Gallagher, qui discute de l'attaque – et de la vulnérabilité de la ville à cette attaque – dans les questions et réponses qui suivent.

Quelques points majeurs émergent de Brasser Conversation de l’éditeur Fern Shen avec Gallagher:

• L’informatique de la ville est un mélange de services fonctionnant sur d’anciens systèmes d’exploitation, utilisant des logiciels non pris en charge ou utilisant de nouveaux logiciels mal compris par les agences de la ville.

• La maintenance de tant de serveurs Internet rend Baltimore extrêmement vulnérable aux analyses de quiconque dans le monde, de quiconque disposant d'un ordinateur.

• Baltimore dépense moins de la moitié de ce que d’autres villes de taille similaire consacrent aux technologies de l’information et une très petite partie de son budget est contrôlée par des professionnels du BCIT (Baltimore City Information & Technology).

«Je ne blâme pas les gens du BCIT parce que je pense qu’ils sont surmenés et sous-payés. Et je pense que le bureau est considérablement sous-financé. "

Il désigne plutôt les niveaux supérieurs du gouvernement.

«Je pense que la direction de la ville n’a aucune idée de ce genre de choses. Je pense que le maire Young l'a démontré lors de ses deux conférences de presse », notant les commentaires que Young avait tenus à la suite de l'attaque sur la manière dont les travailleurs de la ville, lorsqu'ils sont inactifs, peuvent nettoyer les rues de la ville.

«Une telle attitude contredit le fait que les citoyens comptent sur des services essentiels – services générateurs de revenus, services essentiels tels que transactions immobilières, services tels que la réparation d'infractions en matière de logement, la réparation d'égouts, la rupture de conduites d'aqueduc, des feux de circulation éteints – qui ont été totalement ou partiellement paresseux. "

Sean Gallagher, journaliste technique.

Sean Gallagher, journaliste technique basé à Baltimore.

BREW: Donc tout a commencé sur le site de DPW?

GALLAGHER: Probablement. Ce malware, Robbinhood, nécessite que quelque chose d'autre soit déjà présent sur le réseau. Ce n’est pas comme si quelqu'un avait cliqué sur quelque chose de mauvais dans son courrier électronique ou ouvert un document Word, qui s'est répandu sur tout le réseau.

Il s’agit d’un ransomware conçu pour être diffusé par une personne disposant d’un accès administratif au réseau. Cela signifie donc que quelqu'un devait entrer probablement dans l'un des serveurs de la ville de Baltimore.

«Il s’agit d’un logiciel ransomware conçu pour être diffusé par une personne disposant d’un accès administratif au réseau.»

Étant donné que Travaux publics a été le premier à remarquer quelque chose, c'était probablement DPW. Et à partir de là, ils ont pu utiliser le niveau d'accès obtenu, quelle que soit la vulnérabilité trouvée.

Est-ce que cela signifie que quelqu'un a piraté DPW?

C'était probablement automatisé. Mais, oui, quelqu'un a profité de quelque chose dans la configuration du serveur de Travaux publics ou d'un autre serveur principal en ville. Il est également possible que des noms d'utilisateur et des mots de passe aient été volés par une «attaque de phishing». Je ne connais pas beaucoup l’architecture de la ville en ce qui concerne la configuration de ses batteries de serveurs, mais j’ai l’impression qu’ils sont tous à peu près sur le même réseau et qu’une fois que vous êtes arrivé, vous y êtes.

Sur la base de ce que les chercheurs avec lesquels je me suis entretenu me disent, je pense que quelqu'un aurait dû entrer dans le réseau avec un autre type de mauvais logiciel introduit dans le réseau par le biais du phishing ou, plus vraisemblablement, avoir trouvé une vulnérabilité dans le système. serveur ou un autre serveur connecté à Internet. Baltimore a beaucoup de choses qui sont directement sur Internet.

Vers quoi?

Versus étant caché derrière un pare-feu. En raison de la structure du réseau de la ville – la ville de Baltimore est propriétaire de cet ensemble géant d’adresses de protocole Internet – c’est ce qu’elles appellent une adresse de classe C. Ce sont plusieurs centaines de milliers d’adresses Internet fournies par l’ICANN. [Internet Corporation for Assigned Names and Numbers]et on ne sait pas combien de ces adresses sont utilisées pour se connecter directement à Internet.

Mais le problème, c’est que la plupart des courriels, des services Web et des courriels de la ville sont hébergés sur des ordinateurs du réseau de la ville, ce qui leur permet de se connecter directement à Internet. Et cela signifie qu'ils sont susceptibles d'être analysés par quiconque dans le monde, qui possède un ordinateur, à la recherche de problèmes.

Était-ce une faille dans la mise en place?

C'est difficile à dire. Une des choses faciles à dire, c’est que malgré [OIT Director] Frank Johnson a déclaré que la ville avait «eu des audits et qu’elle avait passé avec brio», je ne pense pas que la ville maîtrise parfaitement sa gestion des vulnérabilités et des correctifs, et qu’elle se tient au courant de tout.

Je ne pense pas que la ville ait une connaissance complète des logiciels en cours d’exécution sur ses réseaux. Et, juste à cause de l’expérience personnelle de traiter avec les services de la ville, c’est un amas de technologies différentes qu’ils utilisent pour gérer des tâches telles que le paiement en ligne de vos factures et l’accès au service, etc.

Beaucoup de ces services, je ne peux pas dire à quel point ils sont bien pris en charge, car il semble que certains d’entre eux sont vraiment datés.

Nous savons que le service de police de la ville, qui vient de terminer son audit mandaté par le décret d'autorisation, s'est heurté à de nombreux problèmes quant à la mise à jour et au bon fonctionnement de ses systèmes informatiques. Et c'est l'un des départements les mieux financés de la ville.

Comment le ransomware est-il entré?
Le logiciel contre ransomware peut pénétrer dans le réseau de la ville de plusieurs manières. Deux sont les plus probables: soit l'attaquant a trouvé un bogue logiciel sur un serveur de ville dans le cadre d'une analyse en masse et l'a utilisé pour prendre pied sur le serveur. Ou bien les informations de connexion d’un employé de la ville ont été volées lors d’une attaque de phishing et ces informations d’accès ont été utilisées par l’attaquant pour se connecter au réseau. Une fois l'attaquant installé, il aurait pu utiliser les logiciels existants sur le réseau pour propager le ransomware.

En raison de la manière dont le logiciel ransomware a été écrit, il a dû être installé séparément sur chaque ordinateur attaqué. Lorsque le programme malveillant Robbinhood arrive sur un ordinateur, la première chose à vérifier est de savoir s’il existe une clé de cryptage sur cet ordinateur.

"Une fois que l'attaquant était entré, ils auraient pu utiliser les logiciels existants sur le réseau pour propager le logiciel ransomware."

Cela devait être mis là par autre chose. Ensuite, lorsqu'il voit la clé de cryptage, il s'exécute en essayant de désactiver tout logiciel antivirus et tout autre logiciel de sécurité permettant de détecter ce qu'il fait, et en déconnectant l'ordinateur du reste du réseau avant qu'il ne crypte tous les fichiers. sur l'ordinateur.

Et puis, une fois que cela est fait, il commence à chiffrer les fichiers. Ainsi, chaque ordinateur n'aurait pas pu sortir et chiffrer des fichiers sur d'autres ordinateurs. Le logiciel malveillant devait se propager à chaque ordinateur.

D'après les informations dont je dispose jusqu'à présent, il semble que les serveurs aient été ciblés en premier. Les communications ont été touchées, ainsi que les services de paiement numériques et les bases de données. Tout leur email est tombé.

Donc, cela a immédiatement touché le cœur du réseau. (Et parce que la ville utilise tout Windows, cela a laissé le système téléphonique, la messagerie électronique et toutes ces applications utilisées par la ville pour la facturation électronique, etc.).

Je ne sais pas dans quelle mesure cela s’est répandu car peu de détails ont été partagés. Il y a eu très peu de transparence dans ce qui se passe.

Toute autre explication potentielle de la façon dont cela s'est passé?

Une autre possibilité est une chose appelée protocole de bureau à distance [RDP] qui vous permet de vous connecter à une session Windows à distance.

L'idée est que je peux obtenir un accès à distance à une session Windows complète via ce logiciel via Internet, ce qui me permet d'être sur le réseau de cet ordinateur.

Si je devais deviner, je dirais que l’un des moyens les plus probables d’atteindre le réseau de Baltimore est qu’il y avait un serveur RDP ou quelque chose du genre utilisé pour la maintenance à distance et qu’un pare-feu était ouvert, permettant à quelqu'un de se connecter. à cela.

Quelqu'un l'a trouvée et a utilisé des informations d'identification simples, puis a pu remonter à partir de là et obtenir un accès pour distribuer le logiciel malveillant.

Qu'est-ce qui aurait pu repousser l'attaque ou même l'en empêcher?

Deux choses. Premièrement, ils auraient dû comprendre quelles étaient leurs vulnérabilités. Et deuxièmement, corrigez leur logiciel pour éviter que cela ne se produise.

D'après ce que j'ai vu avec les précédentes attaques de ransomware, ce n'est pas quelque chose que quelqu'un a développé "un jour zéro" à faire. En d’autres termes, ce n’est pas quelque chose où ils ont dit: «Oh, j’ai ce nouveau bidouillage que je vais utiliser pour la première fois dans la ville de Baltimore». Surtout parce qu’ils ne demandent que 70 000 dollars américains. récupérez les clés.

Ce n'était pas une attaque ciblée. Ce n'est pas quelque chose qui visait la ville de Baltimore, car quelqu'un a décidé de s'en prendre à Baltimore City.

Les transactions immobilières à Baltimore ont été paralysées par l’attaque par ransomware. Les responsables de la ville ont mis au point des solutions de rechange.

Les transactions immobilières à Baltimore ont été paralysées par l’attaque par ransomware. Les responsables de la ville ont mis au point des solutions de rechange.

Les assaillants ont donc lancé un large filet et nous nous sommes révélés vulnérables?

Oui. C’est ce qui s’est passé avec Greenville, NC, qui a été victime du même malware il ya quelques semaines. Et il y avait Atlanta il y a un an. Le système BART de San Francisco l’était arrivé il ya un an et demi.

Le système 911 de Baltimore a été touché l’année dernière parce qu’un pare-feu avait été désactivé pendant quelques heures lors de la maintenance. Quelqu'un a analysé les vulnérabilités, les a trouvées et les a frappées. Ce n’était même pas comme si ils avaient une vulnérabilité de longue date. Ils ont simplement désactivé le pare-feu pendant quatre heures et ont été victimes de ransomware.

Cela fait partie du problème avec les ransomwares. Si votre équipe de sécurité n’est pas particulièrement vigilante et qu’elle ne cherche pas les vulnérabilités de votre système et ne les corrige pas de manière agressive, vous risquez d’être touché.

Les arnaqueurs recherchent des vulnérabilités dans différents types de serveurs – il existe des vulnérabilités bien connues – et une fois qu’ils les ont trouvées, ils leur laissent tomber ce malware. Et cela continuera à poser problème à de nombreuses petites et moyennes villes du pays – et des grandes villes.

L’attaque de l’année dernière contre le 911 de Baltimore devrait-elle être un réveil?

Vous auriez pensé, oui. Le problème est que faire ce qui est nécessaire pour protéger la ville des ransomwares demande beaucoup de travail et coûte cher.

Et la ville possède de nombreux anciens systèmes qu’elle ne cesse de maintenir et de faire fonctionner et qui pourraient même ne plus être supportés par les développeurs de logiciels qui les ont fabriqués.

De nombreux logiciels personnalisés ont été mis en place pour exécuter différentes applications logicielles à travers la ville. Il y a des choses que j'ai regardées dans la ville qui ressemblent à des projets d'été de stagiaires.

J’ai examiné leur infrastructure pour voir s’il y avait quelque chose qui indique ce qui a causé cela. Il y a tellement de façons différentes que cela aurait pu arriver au gouvernement de la ville de Baltimore, il est fou.

Le BCIT a publié un plan stratégique l'année dernière. Parmi les 36 éléments clés du plan, tous sont

Le BCIT a publié un plan stratégique l'année dernière. Sur ses 36 éléments, tous sont décrits comme étant en cours, à venir ou en cours. (BCIT)

Qu'a-t-on appris d'autres attaques par ransomware?

Regardez celui qui a frappé Medstar, la chaîne d'hôpitaux qui inclut Union Memorial à Charles Village.

Cela s'explique par le fait que les patients utilisaient un logiciel pour accéder à la facturation et que les enregistrements étaient exécutés à l'aide d'une version antérieure d'un serveur Java réputé vulnérable. C'était quelque chose qui était intégré au logiciel qu'ils avaient. Ce n'était peut-être pas sur leur liste.

Ils n'étaient probablement pas conscients qu'ils étaient vulnérables. C’était un produit tiers qui utilisait un produit open source avec lequel Medstar n’interagissait pas directement.

C’est une des raisons pour lesquelles l’une des choses qui se passe dans le domaine de la sécurité informatique est la demande faite aux entreprises de faire de gros systèmes pour obtenir ce qui revient à une liste d’ingrédients, un connaissement des logiciels inclus dans leurs solutions peut suivre ces choses.

Je ne sais pas si Baltimore City a vraiment fait quelque chose pour inventorier ce qui se trouve sur ses serveurs.

Les systèmes d’exploitation obsolètes de la ville sont-ils une grosse partie du problème?

Sûr. Regardez le département de police de Baltimore. Ils utilisent Lotus Notes, qu'IBM a cessé de prendre en charge il y a presque dix ans.

Je ne sais pas quelle version de Windows est utilisée dans toute la ville. Je suppose qu’ils sont à la hauteur de Windows 7. C’est la base pour le gouvernement à ce stade. Toute version antérieure à Windows 7 ou Windows Server 2012 n'est plus prise en charge.

Baltimore n’a-t-il pas tenté d’adopter la technologie «Smart City»?

Oui, ils ont parlé de cela, en mettant de plus en plus de capteurs sur le réseau pour suivre le trafic et ainsi de suite. Mais tous ces éléments sont également des points d'entrée potentiels pour une attaque, car ils ont des systèmes d'exploitation qui peuvent ou non être mis à jour.

En d'autres termes, il y a beaucoup, beaucoup de portes pour entrer dans le réseau de la ville.

Y avait-il un moyen de détecter cette attaque plus tôt?

La question à poser à la ville est la suivante: «Qu'avez-vous audité lorsque vous dites que vous avez obtenu ces correctifs de sécurité qui ont passé haut la main – qu'est-ce qui a été audité? Qu'avez-vous mis en place pour réagir à cela? ”

S'ils avaient un centre d'opérations de sécurité où ils ont vu, tout à coup, ces ordinateurs essayant de fermer un certain nombre de services, cela aurait dû être un drapeau rouge. Ils auraient eu des messages d'erreur.

S'ils avaient un centre d'opérations de sécurité où ils ont vu, tout à coup, ces ordinateurs essayant de fermer un certain nombre de services, cela aurait dû être un drapeau rouge.

Si quelqu'un surveillait les journaux et savait que ces systèmes critiques connectés à Internet essayaient soudainement de se fermer – un antivirus essayant de fermer des partages de fichiers – cela aurait dû être une alerte pour agir.

Avez-vous essayé de discuter de ces problèmes avec la ville?

J'ai déjà essayé de parler à la ville de ses systèmes. J’ai beaucoup d’air mort parce qu’il n’ya vraiment aucun dirigeant à qui parler. Honnêtement, je n’ai pas une grande confiance dans la gestion des systèmes informatiques de la ville par expérience personnelle.

Voici une anecdote: Ma fille est diplômée du lycée. Je voulais réserver un pavillon à Druid Hill Park pour une fête. Alors je vais en ligne pour voir comment s'y prendre. Le site Web est un méli-mélo de choses et m'a donné de la disponibilité pour des choses comme les parcelles de jardins urbains, mais il ne me laisserait pas la possibilité de demander un pavillon.

Je l'ai finalement trouvé. La recherche sur le site était cassée. J'ai donc utilisé Google pour savoir comment obtenir une réservation pour un pavillon. Il m'a dirigé vers une adresse e-mail. J'ai reçu une réponse par courrier électronique disant: «Nous ne vérifions pas les courriers électroniques» et j'ai donné une adresse physique à partir, qui s'est avérée être une adresse dont ils avaient quitté l'adresse il y a deux ans.

Je les ai appelés pour leur demander s’il y avait un pavillon ouvert le 1er juin. Je vais maintenant me rendre à Canton et en demander un, s’il y en a un, car c’est là que se trouve leur bureau.

Alors elle a regardé son système et a dit: «oui, il en reste encore.» Alors je suis allée en voiture et j'ai parlé à une autre femme qui m'a dit, regardant un système différent, «Oh, non, il y a une course de 10 milles dans le parc ce jour-là. »Il était donc fermé.

En résumé, quel est le plus gros problème de l’informatique de Baltimore?

L’architecture des systèmes n’a pas fait l’objet de beaucoup de réflexion. Je ne blâme pas les informaticiens, car je pense qu’ils sont surmenés et sous-payés. Et je pense qu’ils sont considérablement sous-financés.

Mais je pense que la direction de la ville n’a aucune idée de ce genre de choses. Je pense que le maire Young l'a démontré lors de ses deux conférences de presse. Il a fait des commentaires tels que, si les employés sont inactifs, je leur demanderai peut-être de nettoyer les rues de la ville.

Cela dément le fait que les citoyens comptent sur des services essentiels – services générateurs de revenus, services essentiels tels que transactions immobilières, services tels que la réparation d'infractions en matière de logement, la réparation d'égouts, la rupture de conduites d'aqueduc, des feux de circulation éteints – qui ont été partiellement complètement paresseux par cela.

Il semble que la direction de la ville n’ait pas encore compris ce fait fondamental.

PARTIE 2: Que faudra-t-il pour transformer le système informatique anémique de Baltimore?

Le système informatique obsolète et sous-financé de Baltimore était mûr pour une attaque par ransomware – Bien choisir son serveur d impression
4.9 (98%) 32 votes