Zastanawialiście się kiedyś, z której strony może nadejść do Was cyberatak? Kto pomyślał: „Phishingowy mail!” – ręka w górę? Jak najbardziej macie rację, to zdecydowanie najpopularniejszy wektor dotarcia do potencjalnych ofiar. Taką ofiarą może być każdy z nas. Jednak im bardziej wartościowa ofiara, tym bardziej wyrafinowany wariant ataku. Mnie tu zawsze pasuje porównanie do złodzieja samochodów. Jeśli chce się po prostu przejechać, to weźmie ostatecznie to auto, które jest słabo zabezpieczone. Ale jeśli ma zlecenie na wyjątkowy samochód, to choćbyśmy cuda wyprawiali – i tak go ukradnie. „Plankton” – wybaczcie to określenie 🙂 – czyli większość z nas to są właśnie takie „samochody do krótkiej przejażdżki”. Wielu się na prosty atak nie złapie, ale ci, którzy dadzą się oszukać, wystarczą przestępcy.
Wystarczy jeden słaby punkt
Historia zna niemało przypadków, gdy punktem wejścia do firmowej sieci okazała się jedna osoba, która dostała pieczołowicie wyrzeźbionego właśnie pod swoim kątem maila. Źli ludzie bardzo dobrze się przygotują, co może im zająć nawet kilka miesięcy. Obserwacja pracowników firmy, OSINT (Open Source Intelligence, tzw. biały wywiad) – generalnie mnóstwo informacji o wytypowanej ofierze. Skład zespołu, w którym pracuje, wzajemne sympatie i antypatie, projekty, którymi się zajmuje, hobby… Dużo? Czasem trudno sobie wyobrazić, jak mnóstwo można znaleźć o nas w sieci! Polecam test – poszukajcie w internecie wiadomości o sobie, albo o bliskim znajomym. Zaręczam, że jeśli naprawdę się przyłożycie, będziecie w szoku.
Po co to wszystko? Bo grupa jest zawsze tak silna, jak jej najsłabsze ogniwo. Żeby wykraść strategiczne dane Orange Polska nie musielibyście się włamać na komputer prezesa i mojego kolegi z blogowej redakcji, Juliena Ducarroza. Włamanie do amerykańskiej sieci sklepów Target (swoją drogą niezła nazwa…), drugiej największej sieci detalicznej w USA, zaczęło się przełamania zabezpieczeń na komputerze pracownika podwykonawcy, serwisującego klimatyzacje w sklepach w jednym ze stanów. A skończyła – podstawieniem nieco zmienionej wersji oprogramowania na kasy sklepowe, zrzucającego obraz pamięci w momencie płatności kartą. Efekt – 40 mln „wyciekniętych” danych kart, 70 mln danych klientów i setki milionów dolarów wydanych, by doprowadzić to wszystko do porządku.
„Halo! To ja, papieros!”
A najbardziej spektakularne włamanie o jakim słyszałem? Choć może nie do końca włamanie, po prostu nieautoryzowany dostęp do sieci. Na początku disclaimer – historia nie dotyczy Orange Polska, ani żadnego z naszych biznesowych klientów. Wyobraźcie sobie sytuację, gdy urządzenia sieciowe zaczynają obserwować niestandardowy ruch z sieci firmowej, kierujący się do Chin. „Bezpieczniakom” ani trochę się to nie podoba, skupiają się na znalezieniu źródła i trafiają do komputera jednego z menedżerów wysokiego stopnia. Człowieka absolutnie świadomego zagrożeń, dbającego pieczołowicie, aż do przesady, o bezpieczeństwo swoich urządzeń, nie podpinającego do komputera nawet pendrive’ów! Specjaliści od forensicu przetrzepują komputer do ostatniego tranzystora 😉 – i nic! Pomogła dopiero rozmowa z właścicielem, który przyznał, że rzuca palenie, dostał ostatnio e-papierosa i czasami ładuje go przez komputerowe gniazdo USB…
Ktoś z Was ostatnio robił testy bezpieczeństwa e-papierosa? A może rozkręcał go i analizował aktywność każdego podzespołu? Nikt na takie pomysły przecież nie wpada, a tymczasem e-papieros to przecież urządzenie o możliwościach obliczeniowych przekraczających takiego Spectruma, Commodore’a, czy Atari (niesamowite swoją drogą). A w tej sytuacji, biorąc pod uwagę, że dzisiejsze kable USB poza prądem „do” urządzenia, mogą przenosić także dane do i z – mamy odpowiedź. Na szczęście w tamtym przypadku po prostu firma tą oryginalną metodą zbierała dane, dot. tego, dokąd docierają jej produkty. Ale równie dobrze – biorąc pod uwagę, iż w dzisiejszych czasach exploit może być groźną bronią, można sobie wyobrazić takiego e-papierosa w znacząco innej roli. Prawda?
Podpinasz? Szyfruj!
Ten e-papieros to nawet mnie zaskoczył, ale np. o złośliwych klawiaturach, czy myszach (we wtyczce USB można wbrew pozorom sporo zmieścić) słyszałem już wcześniej. Kiedyś, zanim spowszedniały (i staniały) nawet pojemne pendrive’y, świetnym pomysłem na socjotechniczny atak na firmę było rozrzucenie kilkunastu/dziesięciu „gwizdków” na parkingu, w łazience – generalnie w miejscach przebywania pracowników. Pewność, że przynajmniej jeden zostanie podłączony do komputera? 100 procent. Teraz zarówno edukacja jak i Hollywood nauczyły nas nieufania obcym pendrive’om. Warto jednak tę zasadę ograniczonego zaufania stosować do czegokolwiek, co podłączamy do naszego sprzętu. W Orange Polska np. od pewnego czasu wszystko, co wtykamy w USB musi mieć włączone szyfrowanie. Z jednej strony nie podoba mi się to, bo np. nie zgram książki na Kindle’a. Podobnie ze zdjęciami z telefonu.
No ale z drugiej strony, podrzucony pendrive, czy e-papieros, też nie zrobią mi krzywdy. Zewnętrznej klawiatury, czy myszy szyfrować się nie da, ale tu wystarczy podłączać sprzęt renomowanych firm, który sami rozpakujemy. Albo posłuchać, czy nie próbują rozmawiać z serwerami za granicą. Po prostu warto być świadomym, że nigdy nie wiadomo, gdzie może się czaić złośliwy kod. Nikt nie chce, by kiedyś to o nim mówiono: „słaby punkt”.
