22

Hasła na żółtych karteczkach to nie jedyny problem z ich bezpieczeństwem

Rozpoczynamy dziś cykl wpisów w ramach projektu edukacyjnego „CSI – Cyber Security Initiative”, taktującego o bezpieczeństwie w sieci. Publikacje w ramach tego cyklu mają na celu przygotowanie pracowników firm i instytucji publicznych na zagrożenia płynące z Internetu. Znajdziecie tu wpisy informujące o narzędziach i praktykach stosowanych przez cyberprzestępców, ale także wskazówki jak i jakich błędów […]

Rozpoczynamy dziś cykl wpisów w ramach projektu edukacyjnego „CSI – Cyber Security Initiative”, taktującego o bezpieczeństwie w sieci. Publikacje w ramach tego cyklu mają na celu przygotowanie pracowników firm i instytucji publicznych na zagrożenia płynące z Internetu. Znajdziecie tu wpisy informujące o narzędziach i praktykach stosowanych przez cyberprzestępców, ale także wskazówki jak i jakich błędów unikać korzystając z Internetu oraz porady i metody obrony przed internetowymi przestępcami. Cykl będzie składał się z kilku opowiadań obrazujących działania hakerów i ich konsekwencji dla użytkowników sieci. Każdy wpis będzie okraszony też komentarzem eksperta od spraw bezpieczeństwa. Projekt Cyber Security Initiative objęty jest honorowym patronatem Minister Spraw Wewnętrznych. Inicjatywę wspierają również: Fundacja im. Ronalda Reagana w Polsce, Antyweb, Niebezpiecznik oraz firmy F-Secure i Vision Group.

Lekko spóźniony wszedł do biurowca i zgrabnie odbił się kartą na bramce przed windą. Ręką, w której trzymał kubek kawy podpisany imieniem Janusz, pomachał radośnie znajomemu strażnikowi, odrywając go na chwilę od drobiazgowego przeszukiwania Pana Kanapki, jak co rano, próbującego dostać się na piętro z open spacem.

Dobrze, że nasze zabezpieczenia są szczelniejsze niż w większości polskich więzień” – pomyślał i po chwili uśmiechnął się pod nosem, bo porównanie korporacji, w której pracował do więzienia wydało mu się po trosze trafne.

Wjechał na ostatnie piętro i ruszył korytarzem do swojego gabinetu. Kiedy mijał dział IT, jego uszu dobiegły strzępy przekleństw. Przystanął na chwilę, ale po usłyszeniu – „WTF? Może zrobili to emacsem przez sendmail?” – doszedł do wniosku, że IT znów mówi jakimś szyfrem. Typowe.

***

W gabinecie odpalił komputer i dopijając resztki kawy, postanowił rozpocząć od sprawdzenia skrzynki pod kątem listów z portalu randkowego Ashley Madison.

Może dziś?” pomyślał…

Niestety, żadna wiadomość nie spłynęła z serwera. Już miał się po raz kolejny pogodzić z faktem, że i dziś wszystkie przedstawicielki ściśle zdefiniowanej przez niego grupy kobiet postanowiły milczeć, kiedy zauważył, że tym razem brak nowych e-maili spowodowany jest nie tyle oziębłością płci pięknej, co problemem z serwerem pocztowym.

Podniósł telefon i wybrał numer helpdesku. Rozmowę chciał zacząć od powtórzenia chłopakom zasłyszanej rano wiązanki przekleństw, ale zamiast głosu osoby, usłyszał pozbawiony ciepła, komputerowo generowany głos wypowiadający następujący komunikat bez jakiejkolwiek dykcji:

W wyniku dzisiejszego ataku na naszą firmę, skuteczne połączenie się z przedstawicielem helpdesku może być utrudnione. Jeśli dzwonisz w sprawie braku dostępu do poczty, informujemy, że jesteśmy świadomi problemów z połączeniem do serwera IMAP.

Ze względów bezpieczeństwa byliśmy zmuszeni zresetować Twoje hasło. Aby ograniczyć kolejki do stanowiska helpdesk, nowe hasła zostały wygenerowane wedle następującej formuły: twoje imię, pisane dużymi literami, pierwsza litera nazwiska pisana małą literą oraz liczba 2015, po której, dla większego bezpieczeństwa, następują trzy wykrzykniki.

Zapisał więc na żółtej kartce JANUSZn2015!!! i aby nie zapomnieć nowego hasła, przykleił karteczkę do monitora. Po chwili, przypominając sobie szkolenia z bezpieczeństwa informacji, oderwał karteczkę z monitora i przykleił ją pod klawiaturą. „Tu będzie bezpieczniej” – szepnął pod nosem.

Kiedy wprowadził nowe hasło do Outlooka, jego oczom ukazała się lawina e-maili. Spodziewał się tego. Jako dyrektor HR-u, co poniedziałek odbierał wiele anonimowych „hejtmaili”. Większość z nich, jak sądził, była wynikiem weekendowych, pijackich wybryków kilku niezadowolonych pracowników. Zawsze jednak tłumaczył sobie, że na 2000 osób musi trafić się kilka czarnych owiec, więc nie ma się czym przejmować. Nie raz nawet zakładał się sam z sobą, przewidując że większość wiadomości znów będzie dotyczyć odgryzania się za kolejne „korpoograniczenia”. A to ktoś marudził, że nowa kawa smakuje jak lura, między wierszami obrażając jego matkę, a to komuś nie podobał się kategoryczny zakaz przychodzenia do pracy w krótkich spodenkach. „W innych firmach jest gorzej, likwidują casualowe piątki albo karty Benefii” – wybielał w oczach frustratów swoją korporację.

Tym razem jednak lektura e-maili go zaskoczyła. Prawie każda z wiadomości była donosem jednego pracownika na drugiego. Donosy były niepokojąco szczegółowe. Jedna z osób, przeforwardowała mu kilkadziesiąt pikantnych e-maili trójki firmowych kochanków wskazując na zakazany polityką firmy romans przełożonych z podwładnymi. Kolejny z donosicieli wykazywał, że jego kolega z biura obok od 3 miesięcy przesyła tajne korporacyjne raporty sprzedażowe handlowcowi z konkurencyjnej firmy. Najbardziej jednak zadziwiła go najświeższa z wiadomości. Był to donos na jego samego. Ktoś udokumentował, że z firmowego adresu e-mail Janusz zarejestrował się na portalu Ashley Madison i że zdradza swoją żonę, więc nie można mu także ufać w sprawach firmowych. Do wiadomości dołączone było jego zdjęcie, które jakiś czas temu wysłał jednej z użytkowniczek serwisu…

Krew zamarła mu w żyłach. „Jak to się stało? Skąd oni to wiedzą? Czy przesłali to mojej żonie? Co teraz będzie? – dom, praca, rodzina, całe moje życie…„. W złości rzucił klawiaturą o ścianę i doznał olśnienia – z klawiatury, oprócz klawiszy wyleciała też żółta kartka z hasłem. Hasłem przewidywalnym dla każdego, kto odsłuchał dzisiejszy komunikat helpdesku..

***

Kiedy dobiegł do działu IT, przerażenie rysujące się na twarzach informatyków zdradzało, że już wiedzą, jaki błąd popełnili… W momencie, w którym zaczęli wspólnie zastanawiać się jak opanować chaos, do helpdesku wpadł korporacyjny prawnik. – „Pozywają nas. Dane klientów. Kwoty z kontraktów. Wszystko na przestępczym forum Torepublic…” – wysyczał.

O ile wpadka działu IT z hasłami tłumaczyła grzebanie pracowników w skrzynkach kolegów, lawinę donosów tym wywołaną i kilka bójek w podziemnym garażu, to wciąż nie wiedzieli, w jaki sposób ktoś dostał się do ich wewnętrznego CRM-a i wykradł z niego dane klientów. Dostęp do tego systemu posiadali bowiem nieliczni, a każde z haseł było unikatowe (niestosowane nigdzie indziej), czyli bezpieczne. Tę zagadkę wyjaśnił dopiero przeprowadzony przez zewnętrzną firmę audyt bezpieczeństwa.

Jak się okazało, źródłem problemów był nie kto inny, a sam Janusz. Tuż po wycieku danych z Ashley Madison (por. https://niebezpiecznik.pl/post/37-milionow-milosnikow-skokow-w-bok-moze-dzis-spac-na-kanapie/), ktoś pobrał opublikowaną przez włamywaczy bazę danych użytkowników i złamał kilka haseł, w tym hasło Janusza, który w serwisie do „skoków w bok” zarejestrował się na firmowego e-maila. Janusz co prawda zdawał sobie sprawę z wrażliwości danych przechowywanych w serwisie randkowym i chciał je odpowiednio zabezpieczyć. Postanowił więc nadać do konta najsilniejsze hasło jakie znał – wykorzystał hasło do firmowego CRM-a…

Atakujący, który złamał hasło Janusza, po adresie e-mail domyślił się, w jakiej firmie pracuje. Szybka enumeracja katalogów narzędziem DirBuster pozwoliła mu na ustalenie ścieżki w głębokim ukryciu o nazwie „/crm”. Nazwa mówiła sama za siebie. Podanie e-maila Janusza i jego złamanego hasła dało włamywaczowi dostęp do korporacyjnych sekretów, które po dwóch dniach od pobrania wylądowały na Torepublic.

Żeby tego było mało, audyt wykrył także nieautoryzowany dostęp do skrzynek pocztowych kilku innych pracowników z oddziału firmy w Sosnowcu. Ci co prawda nie popełnili tego błędu co Janusz i nie używali firmowych haseł w prywatnych serwisach internetowych, ale wszyscy z nich układali hasła w sposób dość przewidywalny… W sosnowieckim oddziale, ze względów bezpieczeństwa, co miesiąc wymuszano na pracownikach zmianę haseł i nie pozwalano im ustawiać haseł, których używali w przeszłości. Niektórzy z pracowników, mając problemy z wymyślaniem i zapamiętywaniem co raz to nowych haseł wpadli na genialny w swojej prostocie pomysł. Pierwszego każdego miesiąca ustawiali hasło składające się z nazwy nowo rozpoczętego miesiąca i bieżącego roku, np. Wrzesień2015.

Po publikacji na Torepublik wykradzionych z centrali firmy danych klientów, czytelnicy forum, którym nie można odmówić umiejętności, postanowili bliżej przyjrzeć się firmie-ofierze. Tak namierzyli webmaila (Outlook Web Access), którego wykorzystywano w Sosnowcu. Zebrali więc nazwiska pracowników z LinkedIn i GoldenLine i stworzyli na ich podstawie adresy e-mail. Następnie spróbowali zalogować się do webmaila jako hasła ustawiając „Wrzesień2015” – po włamaniu do Kancelarii Premiera (por. http://niebezpiecznik.pl/post/wlamanie-do-sieci-kancelarii-premiera-atakujacy-mial-uzyskac-dostep-do-poczty-pracownikow-kprm/) wiedzieli bowiem, że tam gdzie co miesiąc wymusza się zmianę haseł, bardzo często pracownicy układają hasła tego typu. W kilku przypadkach udało się uzyskać dostęp do pracowniczych skrzynek. Szczęście w nieszczęściu, nie zawierały one żadnych poufnych danych – pracownicy z Sosnowca w przeszłości zaliczyli tyle wpadek, że i tak nikt w firmie nie dopuszczał ich do ważnych projektów.

(Nie)bezpieczne hasła – komentarz ekspercki

Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.

Ochrona haseł dostępu to jedna z podstawowych zasad bezpieczeństwa IT. Proste, często się powtarzające lub niezmieniane przez dłuższy czas dane dostępowe stwarzają duże zagrożenie, ułatwiając hakerom skuteczny atak.

Odpowiedzialność w takiej sytuacji spada w pierwszej kolejności na użytkownika, który nie zadał sobie trudu, aby zmienić bądź wzmocnić hasło. Nierzadko winni są również pracownicy działu IT, którzy nie zadbali o wprowadzenie odpowiednich procedur i zabezpieczeń systemowych np. wymuszających na pracownikach okresową zmianę danych logowania. Warto również pamiętać, aby hasło było zarówno silne (tworzone przy pomocy znaków specjalnych), jak i unikalne, to znaczy wykorzystywane tylko na jednym portalu. Powtarzalne hasła są niczym jeden klucz do wszystkich drzwi w domu, w biurze czy do samochodu.

Nie ulegajmy złudzeniom – każdy może stać się celem cyberataku – od przejęcie skrzynki pocztowej, poprzez włamanie na konto bankowe, po hakowanie systemów informatycznych firm czy instytucji publicznych. W każdym z przypadków konsekwencje mogą być poważne i dotyczyć zarówno danych osobowych, finansów czy wizerunku i zaufania użytkowników. Jest to szczególnie istotne, gdy zarządzamy majątkiem lub danymi osób trzecich.

Powinniśmy więc regularnie wzmacniać swoją ochronę przed potencjalnym atakiem, zarówno dbając o procedury, jak i rozwiązania systemowe. Na rynku dostępne jest m.in. dedykowane oprogramowanie umożliwiające generowanie silnych, unikalnych, a zatem trudnych do złamania haseł. Warto również zwrócić uwagę na aplikacje monitorujące sieć i powiadamiające administratora i użytkowników o każdej próbie nieautoryzowanego dostępu czy logowaniu z nieznanych dotychczas urządzeń.