Znacie wzorzec hollywoodzkiego „hakiera”? Zazwyczaj to koleś (no chyba, że Lisbeth Salander) w brudnej powyciąganej bluzie, obłożony pudełkami z pizzą, włamujący się z szybkością zawodowej maszynistki i równie błyskawicznie „uciekający” wirtualną autostradą z danymi ofiary. Cóż – statystyki (np. Verizon Data Breach Investigation Report) wskazują, że jest, hmmm, „nieco” inaczej. O ile samo włamanie to najczęściej kwestia minut (choć zdarzają się też dni), to eksfiltracja danych potrafi trwać tygodniami, zaś wykrycie włamania to najczęście kwestia miesięcy, lub… lat!
Reklama nieco złośliwa
Przypomniałem sobie tematykę z leadu, gdy trafiłem na informację o włamaniu na stronę dla subskrybentów magazynu Forbes, gdzie przestępcy zainstalowali złośliwy kod, wykradający dane kart płatniczych. Wystarczyło – w sposób znany rzecz jasna wyłącznie przestępcom – wrzucić tam mały kawałek JavaScriptu, który dyskretnie przesyłał dane kart płatniczych do osób innych, niż planowali to ich właściciele. Niby nic takiego – dobra, specjalnie przesadzam, to dalekie od „nic takiego”, szczególnie dla subskrybentów Forbesa – ale nie to jest w całej historii najważniejsze.
Otóż badacz cyberbezpieczeństwa Troy Mursch wykrył infekcję malwarem Magecart na stronie gazety ok. 4 w nocy czasu uniwersalnego (UTC),
⚠️ WARNING ⚠️@Forbes Magazine subscription website (https://t.co/VqCahQHj9X) is infected with #magecart malware.
Exfil domain: fontsawesome[.]gq (??)@urlscanio results: https://t.co/Su3ziLZd3w
Deobfuscated code: https://t.co/jb0ULmq0Et pic.twitter.com/zlRGZ5k2hE— Bad Packets Report (@bad_packets) 15 maja 2019
zaś witryna służąca dokonywaniu płatności zniknęła z sieci… 10 godzin później. Co działo się przez ten czas? Cóż – Mursch pisał na każdy dostępny w sieci adres e-mail wydawcy, na security@forbes.com który okazał się nie istnieć, nawet pisał do właściciela domeny. Efekt? Następnego dnia wciąż czekał na jakąkolwiek odpowiedź, informacje, czy podziękowania. Badacze podejrzewają, że Forbes padł ofiarą włamania do jednej z sieci, serwujących reklamy na stronach, a w tej sytuacji liczba potencjalnych ofiar może być naprawdę duża (choć oczywiście oficjalnie nikt nie mówi o faktycznych wyciekach).
Wszystko musi współgrać
Wnioski? Dla nas jako dla zwykłych internautów w zasadzie tylko smutne. Wielkość i renoma firmy, której powierzamy nasze wrażliwe dane nie musi w żaden sposób korelować z ich bezpieczeństwem. Co więcej, nawet poszczególne elementy cyberbezpieczniackiej układanki działają najlepiej, gdy są ze sobą połączone (to trochę jak komputer, który trzeba włączyć do sieci 🙂 ). Na co wyszkoleni ludzie, gdy nie mają wsparcia w systemach bezpieczeństwa? Na co wypasione systemy, gdy ich monity są ignorowane (historia zna takie przypadki nie tylko w cyber…)? Na co ludzie i systemy, gdy po godzinach pracy nie ma kto odebrać zgłoszenia? Bezdyskusjnie, gdy to wszystko współgra, przestępcom jest znacznie trudniej, a klienci mogą czuć się przynajmniej nieco spokojniejsi.
