Z racji liczby udzielanych mediom wypowiedzi, doszliśmy do wniosku, że ze względu na ich szczegółowość i edukacyjny charakter, będziemy je także udostępniali na łamach Niebezpiecznika. Nie chcemy aby zniknęły w otchłani czyjegoś serwera za kilka lat, albo żeby schowano je za paywallem danej gazety. Dodatkowym atutem będzie to, że prezentowana przez nas wypowiedź jest pełna (gazety ze względu na format artykułu i ograniczenia nałożone na liczbę znaków często zmuszone są skracać wypowiedzi lub w inny sposób je parafrazować/upraszczać. U nas zawsze oryginalny zapis :).

Poniższa wypowiedź została udzielona rzeszowskiej redakcji portalu Naszemiasto.pl, zaraz po prelekcji podczas spotkania Software Talks organizowanego przez PGS Software, gdzie Piotrek prowadził prelekcję o tytule “Jak kraść, sprzedawać i chronić swoje dane osobowe“.

Podczas SoftwareTalks w Rzeszowie fot. Dominik Matula

Podczas SoftwareTalks w Rzeszowie fot. Dominik Matula

1. Czy plaster na kamerze w laptopie to przejaw fobii czy zdrowego rozsądku?

Nie zaszkodzi, a może pomóc. Niektórym laptop lub komórka (bo kamerę
maja nie tylko laptopy) coraz większej liczbie osób towarzyszą przez
cały dzień, niektórym z nas także wtedy, kiedy nie chcielibyśmy być
oglądani przez innych. A takie podejrzenie kogoś przez kamerkę nie
jest wcale trudne i nie zawsze będziemy w stanie zdać sobie sprawę, że
jesteśmy podglądani. Dlatego chyba lepiej dmuchać na zimne i kamerkę
mieć zaklejoną. Chociaż patrząc statystycznie, jeśli włamywacz jest na
naszym urządzeniu, podglądanie ofiary przez kamerkę to jedna z
ostatnich rzeczy, na które ma ochotę. Zdecydowanie częściej dokona
kradzieży danych, podmieni numer rachunku w wykonywanym przelewie lub
po prostu zaszyfruje pliki na dysku i będzie domagać się okupu.

2. Jeśli to ma sens, to co zrobić zatem z mikrofonem w laptopie, a idąc dalej – lodówką, telewizorem, czy żarówkami które też coraz częściej są podpięte do sieci i mogą nas podglądać lub podsłuchiwać? Trudno się pilnować na każdym kroku, zwłaszcza we własnym domu. Czy jedynym wyjściem jest po prostu korzystanie z urządzeń “analogowych” czy pogodzenie się z tym, że ktoś może te nasze sprzęty zhakować?

To nowość dla ludzkości, być otoczonym (i to jeszcze na własne
życzenie!) przez urządzenia, które mają wbudowane mikrofony i kamerki,
które są na stałe podpięte do internetu. Musimy więc albo zaszyć się w
Bieszczadach z aluminiową czapeczką na głowę (bo “satelity mogą
podsłuchiwać myśli!”) albo zmienić sposób bycia i przyjąć do
wiadomości, że obecnie zawsze trzeba mieć świadomość, że jest się
obserwowanym (monitorowanym). Plusem tej niezręczności jest jedynie
to, że nie tylko my, a wszyscy mogą być obserwowani — atakujący mają
więc wiele ofiar i gniemy w tłumie, a problem sprowadza się do
odpowiedzi na pytanie, czy na horyzoncie innych internautów, to co
dzieje się akurat w naszym domu, dla kogoś będzie bardziej
interesujące od tego co dzieje się w pozostałych miejscach? Żaden
atakujący (jeszcze i na szczęście) nie dysponuje nieskończonym czasem.

3. Ostatnio ostrzegaliście przed tzw. “niewykrywalnym” phishingiem. Strona, która stanowiła przykład miała magiczną kłódeczkę, która przez wielu traktowana jest jako potwierdzenie bezpieczeństwa serwisu. Czy tak faktycznie jest? Czy istnieją oznaczenia, certyfikaty, domeny, protokoły, które dają gwarancję tego, że strona jest bezpieczna i możemy za jej pomocą spokojnie dokonać transakcji, zakupów itp.?

Te zielone kłódki to pomoce. Nie można w nich upatrywać
zero-jedynkowej odpowiedzi na pytanie: bezpieczne czy nie?
Bezpieczeństwo to trochę taka gra w kotka i myszkę. Pojawia się nowe
zabezpieczenie, po chwili jest łamane, po chwili znowu jest ulepszane.
Jeśli ktoś nie śledzi na bieżąco tego co się dzieje (i to na mocno
technicznym poziomie) to jest dla atakujących łatwiejszym celem. A do
takiej grup należy zaliczyć większość internautów — bo kto miałby
czas na (nie mówiąc o ochocie) na wyłapywanie każdej nowej publikacji
na temat kolejnego typu ataku. Nawet ludzie z naszej branży nie są z
tym na bieżąco. Zresztą, nawet ekspertów od bezpieczeństwa da się
“zhackować”. Bo prawda jest taka, że na każdego znajdzie się sposób,
trzeba tylko trafić na odpowiednią chwilę. Do takiego, być może
zaskakującego dla wielu wniosku doszliśmy analizując wyniki
realizowanych przez nas w ostatnich latach testów penetracyjnych. W
tych zleceniach, w których klient zezwolił na atakowanie swoich
pracowników (a nie tylko samych firmowych serwerów czy webaplikacji)
mieliśmy bowiem 100% skuteczność. I nawet nie musieliśmy korzystać ze
złośliwego oprogramowania; a więc żadnego nakłaniania pracowników do
otwierania załączników czy też infekowania ich urządzeń.

Być może to zaskakujące dla osób, ale pracownicy sami dawali nam to,
czego chcieliśmy — konkretne dokumenty lub dane dostępowe do
firmowych systemów. W każdym z ataków wystarczyło wysłanie zaledwie
kilku e-maili o odpowiednio dopasowanej treści, do umiejętnie
wybranych pracowników-ofiar. Tu warto jednak nadmienić, że konstruując
fałszywe e-maile i wybierając ofiary braliśmy pod uwagę wyniki
tygodniowego rekonesansu, czyli czasu, w którym nasi analitycy
zbierali dosłownie wszystko, czego można było się dowiedzieć na temat
firmy-ofiary z publicznych źródeł (struktura działów, dane
pracowników, siatka kontrahentów). Dopiero na podstawie tych
informacji ustalaliśmy pod kogo się podszyjemy (kolegę, przełożonego,
czy klienta ofiary?). Ta żmudna i kosztowna praca zawsze się opłacała,
przynosząc liczone w dziesiątkach tysięcy procentów “zwroty na
inwestycji”. Mówiąc wprost, po takim ataku pozyskiwaliśmy nierzadko
kilkaset tysięcy złotych, a całkowita liczba wysłanych przez nas
wiadomości nie przekraczała 5. W takich sytuacjach żartujemy, że
wysyłając jednego e-maila można zarobić kilkadziesiąt tysięcy złotych.

Ku naszemu zdumieniu, na fałszywe e-maile nabierali się także
techniczni pracownicy, a często kluczem do sukcesu była odpowiednia
pora, w jakiej rozsyłaliśmy fałszywe e-maile. To mit, że ofiarami są
wyłącznie tzw. “Panie Halinki”. Poza zaskakująco dużym odsetkiem
ofiar (średnio ok. 40% pracowników firmy), dość smutną obserwacją było
także to, że działy IT wszystkich firm, którym udało się wykryć nasze
ataki, nie były w stanie poprawnie obsłużyć incydentu tego typu. Albo
nie do końca usunęli nas z firmowych systemów albo nie potrafili
wiarygodnie i efektywnie poinformować personelu o ataku w taki sposób,
by kolejne osoby się na niego nie nabierały.

Nasze obserwacje zdają się także potwierdzać niedawne wydarzenia w
Polsce. Mniej jest już kampanii e-mailowych ze złośliwym
oprogramowaniem wysyłanych do wszystkich “jak leci”. Przestępcy
segregują swoje ofiary i wysyłają wiadomości o konkretnej treści do
konkretnych grup docelowych, np. pełnomocnictwa do kancelarii
prawnych, projekty udające pliki AutoCAD do architektów
fałszywe listy zapisów na zajęcia do studentów, czy
podrobione komunikaty z serwisu aukcyjnego do faktycznych osób
sprzedających na tym serwisie.

Taka segmentacja ofiar to przykład właśnie minimalnego rekonesansu i
niewielki wysiłek, ale bazując na naszych własnych doświadczeniach,
jesteśmy pewni, że tego typu działania przynoszą większe zyski. Nie
mówiąc już o tym, że wąskie grupy docelowe ograniczają badaczom
bezpieczeństwa wykrywanie i ujawnianie tego typu incydentów.

Przeczytaj także: