„Święta, święta… radości tyle w nas!”. Ano sporo, ale na naszą radość i rozluźnienie tylko czekają cyber-przestępcy. Rokrocznie na całym świecie pewnie biliony dolarów trafiają na konta producentów bardzo różnych produktów, które trafiają pod nasze choinki. No bo kto z nas nie lubi dostawać prezentów, a takich niespodziewanych to już w ogóle? Kto nie chciałby zaoszczędzić paru złotych na wyjątkowych promocjach? No właśnie…

„Super okazja!”; „Wyprzedaż!”; „Tylko dla Ciebie!”; „Tylko dziś!!!”, „Jest do Ciebie przesyłka, kliknij tu, by zobaczyć list przewozowy”, itd., itp. Uważajcie na maile o takich krzykliwych i wymuszających wręcz na nas działanie tytułach. Cel tego wszystkiego jest oczywisty – zadziałać na nasze najniższe instynkty, skusić nas do tego, by kliknąć link, coś ściągnąć, czy wejść na stronę. Efekt? Od zakupów na nasz koszt, jeśli na witrynie „niby-sklepu” podamy dane naszej karty (tak, wciąż są ludzie, którzy to łykają, choć ciężko w to uwierzyć), do przejęcia kontroli nad naszym komputerem i zainstalowania w tle popularnego ostatnio ransomware, czy też przejęcie loginów i haseł do naszych kont bankowych, a wtedy może się już zrobić naprawdę gorąco.

Fajnie jest się wyluzować, ale o bezpieczeństwie nigdy nie warto zapominać. Klaun nie zawsze musi przynosić szczęście i radość – kto widział film „To”, wg. książki Stephena Kinga?

Fot. Wikipedia

Jak myślicie, w ilu próbach przed bruteforcerem poległoby Wasze hasło? Ja się nie liczę, ja mam zboczenie zawodowe, moje łamałoby się latami. Tym niemniej, według badań naukowców z Uniwersytetów w Pekinie i Fujian oraz z brytyjskiego Lancaster University, wystarczy, by atakujący znał niewielką ilość naszych tzw. PII (Personally Identifiable Informations, osobiste informacje identyfikujące), jak np. imię i datę urodzenia, by szansa na odgadnięcie klucza do naszego cyfrowego „ja” wyraźnie wzrosła. Jak wyraźnie? Przy 100 próbach prawdopodobieństo trafienia wyniosło 20%, zaś jeśli atakujący mógł podjąć milion prób, miał 50 procent szans, że któraś z nich zakończy się sukcesem!

Aż nie do wiary, że to jeszcze działa. O socjotechnice „na pendrive’a” mówi się już przynajmniej od pięciu lat (ale chyba dłużej), a ludzie wciąż się na to łapią. Kolejny dowód na to, że na idiotów zawsze można liczyć, przeprowadził Elie Bursztein, szef zespołu badawczego w Google odpowiedzialnego za zabezpieczenia przed cyber-atakami. Wnioski z badania zaprezentował na konferencji BlackHat USA 2016.

Zespół Burszteina „upuścił” 297 uprzednio odpowiednio przygotowanych pendrive’ów w starannie zaplanowanych lokalizacjach campusu Uniwerstytetu Illinois w Urbana-Champaign: na parkingu, terenach zielonych, salach wspólnych, salach wykładowych i w hallach. Jak myślicie, ile z nich wykonało potem „E.T. call home”?

45% (z czego ponad 9% zostało otwartych praktycznie natychmiast po ich „upuszczeniu”)

W sumie zawsze mogło być 90%, ale czy przez to specjaliści od bezpieczeństwa powinni czuć się lepiej? Myślę, że wątpię… Przy groszowych kosztach przenośnych pamięci wystarczy ukryć na nich jakiś sprytny malware, instalujący się po wpięciu do portu USB. Nie trzeba rozrzucać aż trzystu – 45 procent z 50 sztuk to wciąż 22 (i pół 🙂 ), nawet jeśli 2/3 wezmą ludzie nie pracujący w firmie-ofierze, wciąż zostanie 7 potencjalnych źródeł ataku, a tak naprawdę wystarczy jedno. A jeśli jeszcze na pendrivie dodamy jakiś nabazgrany markerem tekst, sugerujący, że są na nim mocno prywatne zdjęcia, albo dane poufne?

Zastanawiam się, jaki odsetek firm ma wdrożoną politykę bezpieczeństwa blokującą korzystanie z pendrive’ów? A weźmy pod uwagę, że zwykły „gwizdek” z malware’em to droga na skróty – Burstein i jego ekipa schowali w plastikowych obudowach całkiem wydajne małe komputerki, które niczego nie instalowały, ale nawiązywały połączenie z centrum kontroli botnetu przygotowanego przez badaczy i dopiero stamtąd mogły ściągnąć „malware”.

Mam wrażenie, że ludzkich słabości nie da się do końca pokonać i w przypadku ataku „na zgubiony pendrive” jego skuteczność jest warunkowana wyłącznie przez to, jak dużo przenośnych pamięci zostanie rozsypanych i jak bardzo przypadkowo będzie to wyglądać. Kolejny dowód na to, że im większa firma, tym bardziej powinna inwestować w bezpieczeństwo, by nawet jeśli nie da się wykryć momentu ataku, zorientować się, gdy w firmowej sieci zaczyna się dziać coś złego.

Prezentację Eliego Burszteina z konferencji BlackHat 2016 znajdziecie tutaj.

– w przypadku korzystania ze stron bankowych, czy dostawców wszelkich usług, wyrobić w sobie nawyk wielokrotnego sprawdzania adresu w pasku przeglądarki
– w niektórych przypadkach adresy zawierały nazwy banków, ale np. w domenie *.info.pl, czy *.top

– nie klikać w podejrzane linki

– analizować wszystko, co pokaże nam przeglądarka
– jedna ze stron pokazała mi np. błąd certyfikatu bezpieczeństwa, wręcz krzycząc: „Jestem jakaś lewa!”

– nie otwierać faktur „z ciekawości”, jeśli się ich nie spodziewaliśmy

– w przypadku wątpliwości – skontaktować się z domniemanym nadawcą

A my ze swej strony będziemy robić nieprzerwanie wszystko, co w naszej mocy, byście nie musieli stawać przed takimi problemami. Co nie zmienia faktu, że i tak warto wiedzieć, co z nimi zrobić.