Najsłabszym ogniwem każdego systemu teleinformatycznego jest jego użytkownik. Dlatego atakujący najczęściej nie wybierają żmudnej drogi pokonywania zabezpieczeń. Skupiają się na ludziach. Przy wystarczająco dużej próbie zawsze znajdzie się ktoś, kto nie będzie przestrzegał procedur bezpieczeństwa i otworzy feralny załącznik.
W firmie dzwoni telefon. Odbiera go recepcjonistka, strażnik, czy inny pracownik, którego numer telefonu jest łatwo dostępny na stronie internetowej organizacji. Jeżeli atakujący ma szczęście, będzie to ktoś nowy, nie zorientowany jeszcze we wszystkich procedurach firmy, nieznający większości współpracowników. Dzwoniący przedstawia się jako pracownik tej samej firmy, podwykonawca, dostawca, partner, zastępca prezesa, administrator IT, czy pracownik helpdesku. Prosi o pewne informacje, albo o wykonanie jakiegoś działania. Jest całkowicie wiarygodny, używa określeń i zwrotów charakterystycznych w danej branży, operuje swobodnie nazwiskami, telefonami. I to właściwie wszystko, co jest niezbędne do wykonania skutecznego ataku socjotechnicznego.
Ludzki odruch, naturalna chęć pomocy może zdecydować. Pracownik otworzy przesłany przez atakującego załącznik poczty e-mail, lub wejdzie na wskazaną podczas rozmowy stronę internetową ze służbowego komputera. W rezultacie firmowy sprzęt zostaje zainfekowany złośliwym oprogramowaniem, które łączy się sesją zdalną z komputerem atakującego, siedzącego wygodnie w zupełnie innym miejscu. Zanim ktokolwiek zdąży zareagować, rozmowa telefoniczna dobiega końca, a pracownik z poczuciem dobrze spełnionego zadania pogrąża się w swojej codziennej rutynie.
Spis treści:
Praca u podstaw
Zabezpieczenia zabezpieczeniami, ale to świadomość pracowników oraz egzekwowanie wewnętrznych polityk bezpieczeństwa firmy mają kluczowe znaczenie. Według badań firmy Gemius, w czasie pracy w celach prywatnych korzysta z Internetu prawie 93 proc. pracowników umysłowych w Polsce. 43 proc. deklaruje korzystanie z prywatnej poczty oraz portali społecznościowych (na podstawie badań Cisco z 2015). Niby wszyscy wiedzą, na jakie ryzyko takie podejście wystawia dane firmowe oraz bezpieczeństwo struktury IT organizacji. Mimo to prywatne pamięci przenośnie, ładowanie prywatnego, być może zainfekowanego telefonu przez port USB firmowego komputera, czy inne nośniki danych użytkowane na firmowych stacjach roboczych to nadal codzienność.
Niezwykle rzadko przychodzi refleksja na temat potencjalnej szkodliwości tego typu zachowań. Wiele organizacji zmienia politykę bezpieczeństwa firmy, tak aby umożliwić korzystanie przez swoich pracowników z dobrodziejstwa portów USB, czy to do ładowania sprzętu, czy też wymiany danych pomiędzy komputerem a pamięcią przenośną.
Świadomość ogranicza ryzyko
60 procent internautów otrzymało w ciągu ostatniego roku wiadomość e-mail z próbą wyłudzenia danych – jednocześnie 15 procent ankietowanych nie wie, jak rozpoznać tego typu zagrożenie. Według badań firmy Intel, ponad 90 procent użytkowników komputerów PC typu desktop przyznało, że ich urządzenie było kiedykolwiek zainfekowane złośliwym oprogramowaniem – w przypadku użytkowników notebooków odsetek ten wynosi około 75 procent.
Czynnikiem, który bezwzględnie powinien znaleźć się w polityce bezpieczeństwa każdej firmy, jest zarządzanie hasłami. Jeżeli nie posiadamy systemu, który wymusza na użytkowniku zmianę hasła po upływie danego okresu czasu oraz nie forsuje jego odpowiedniej złożoności (wielkie oraz małe litery, znaki specjalne, cyfry i minimalna ilość znaków), to zalecane jest aby odpowiednie wytyczne znalazły odzwierciedlenie w polityce bezpieczeństwa. Metody profilowania haseł użytkowników, dostępne w sieci tak zwane wordlisty (listy najczęściej używanych haseł) oraz rosnąca moc obliczeniowa komputerów pozwalają na efektywne i relatywnie mało czasochłonne łamanie prostych metod uwierzytelniania. W połączeniu z metodami socjotechnicznymi, daje to atakującemu pełne spektrum możliwości włamania bez potrzeby przełamywania zabezpieczeń, czy szukania luk w oprogramowaniu.
Do dobrych praktyk biznesowych należy również personalizacja kont pracowników (każdy użytkownik systemu posiada własny login oraz hasło, którym nie wolno dzielić się z innymi użytkownikami). Pozwala to nie tylko na łatwą identyfikację odpowiedzialności osoby wykonującej operacje w systemie, ale także znacząco zmniejsza ryzyko wystąpienia incydentu bezpieczeństwa spowodowanego wyciekiem lub złamaniem hasła.
Efektywnym sposobem na zarządzanie kontami jest także tak zwane rozdzielenie obowiązków zalecane między innymi przez ISC2 (wystawcę certyfikatu CISSP – przyp. autor). Technika ta polega na rozbiciu zakresu uprawnień oraz wykonywanych czynności na dwóch lub więcej pracowników, tak aby każda decyzja lub akcja (wykonanie przelewu, lub nadanie uprawnień) musiała być zatwierdzona przez inną osobę.
Regularne testy potrzebne
Na rynku polskim działa obecnie wiele firm zajmujących się testami penetracyjnymi oraz socjotechnicznymi. W bardzo dużym uproszczeniu – taka usługa polega na kontrolowanej próbie włamania do danej firmy lub organizacji celem sprawdzenia jakości i skuteczności zastosowanych zabezpieczeń oraz polityk bezpieczeństwa. Klient po przeprowadzonym teście otrzymuje raport, którego elementem są rekomendacje zmian mające na celu niedopuszczenie do powstania realnego incydentu bezpieczeństwa. Wiele standardów i organizacji zaleca takie okresowe testy (w Polsce między innymi KNF w rekomendacji D – przyp. autor). Praktyka taka niesie za sobą szereg korzyści i pozwala sprawdzić realne bezpieczeństwo naszych systemów IT oraz zweryfikować stopień przestrzegania procedur przez pracowników.
Szyfrowanie danych oraz bezpieczne kanały komunikacji stanowią podstawę bezpiecznego przepływu informacji. Jako standard firmowy powinniśmy przyjąć ograniczenie nieszyfrowanej korespondencji mailowej zawierającej dane wrażliwe do absolutnego minimum. Techniki polegające na bardzo często używanym hasłowaniu przesyłanego pliku załącznika niestety nie spełniają praktycznie żadnej normy ochrony, którą moglibyśmy uznać za zadowalającą.
Dział bezpieczeństwa IT powinien dążyć do eliminacji jak największej ilości czynników błędu ludzkiego, starając się jednocześnie zapewnić jak najszerszy i najefektywniejszy dostęp do zasobów IT firmy dla pracowników. W wielu instytucjach znalezienie takiego „złotego środka” pomiędzy tym co jest niezbędne do prawidłowego działania organizacji, a tym czego kategorycznie zabrania procedura bezpieczeństwa, nie jest łatwe. Należy jednak pamiętać, że bezpieczeństwo to nie jednorazowe działanie, lub usługa, którą można kupić, jest to proces ciągłego samodoskonalenia organizacji poprzez osiąganie coraz lepszych wyników w świadomości pracowników i bezpieczeństwie samych systemów informatycznych.
O autorze
Dominik Lewandowski – specjalista w dziedzinie bezpieczeństwa i testów penetracyjnych, z wieloletnim doświadczeniem w sektorze instytucji finansowych. Członek ISACA Polska, IC2 i OWASP Poland. Praktyk bezpieczeństwa ofensywnego, administrator bezpieczeństwa informacji, Od sześciu lat związany z polskim i europejskim sektorem bankowym. Obecnie koordynator testów penetracyjnych w firmie Soflab Technology. Posiada certyfikaty bezpieczeństwa ofensywnego: OSCP (Offensive Security Certified Professional) oraz CEH (Certified Ethical Hacker).
