Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI - Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem. Wcześniejsze wpisy z tego cyklu znajdziecie pod tym linkiem - CSI.

Dziękuję! – powiedział Janusz i schował kupione kilka dni temu w internecie „kolekcjonerskie prawo jazdy”, które wyrobił sobie na fałszywe nazwisko. Złożył ostatni podpis na umowie najmu samochodu i ucieszony z tego, że pracownik wypożyczalni samochodów nie rozpoznał fałszywki, pierwszy raz w życiu zaznaczył pole opisane jako „zgadzam się na otrzymywanie materiałów reklamowych i przetwarzanie moich danych w celach marketingowych”. „Jak szaleć, to szaleć!” – pomyślał – „Zresztą, co mi tam, przecież dane i tak są fałszywe”.

Wsiadł do lśniącego czystością vana i spokojnie wytoczył się z parkingu wypożyczalni…

* * *
[2 miesiące wcześniej]

Przeskoczył klombik i wszedł do hotelu Forum przez taras. W korytarzu po prawej stronie dalej ciągnęła się olbrzymia kolejka do rejestracji na jedną z większych w Polsce konferencji dla specjalistów ds. bezpieczeństwa, Firefence. Janusz nie był jednak zainteresowany ani prelekcjami, ani stołami z apetycznym cateringiem. Poszedł wprost do tej część hollu, w której swoje stoisko miał jeden z banków.

„Uff, jeszcze go nie ma” – odetchnął z ulgą, widząc, że banner z logotypem banku otaczają jedynie hostessy. Henryk, dyrektor zespołu bezpieczeństwa banku, wciąż był nieobecny.

Wziął więc do ręki leżący w strefie relaksu pistolet na rzutki, których kilkanaście sztuk organizatorzy pozostawili do użytku uczestników konferencji. Zazwyczaj już po kilku godzinach od startu imprezy, pistolety stają się obiektem pożądania, a teren hotelu polem bitwy.

Hostessy właśnie otwierały pudełko z firmowymi krówkami. Janusz postanowił skorzystać z zamieszania. Oddał, niby przypadkiem, kilka strzałów w ścianę za stoiskiem i zgodnie z przewidywaniem, nawet nie zostało to odnotowane przez kłócące się o kolor cukierków hostessy. Miał jednak dobrą wymówkę, gdyby któraś z nich zapytała, czemu kręci się za ich plecami – szuka swoich rzutek do pistoletu.

Kiedy znalazł się za stoiskiem, z kieszeni wyciągnął minikamerkę ukrytą w atrapie czujnika ruchu i jedną ręką przykleił go do ściany tuż nad bannerem banku.

„Dobrze, że producenci czujek nie są zbyt oryginalni i każda wygląda niemalże tak samo” – pomyślał Janusz, będąc pewien, że ta przyczepiona przez niego nie wzbudzi żadnego zainteresowania wśród uczestników. Była tak samo niepasująca do wystroju, jak dziesiątki innych czujek w obiekcie…

Wyszedł zza baneru i rozsiadł się na wygodnych pufach. Po kilku minutach przy stoisku pojawił się Henryk. Janusz pierwszy raz zobaczył go w garniturze, ale nie pod krawatem. „A więc umie się chłop dopasować do konwencji…” pomyślał z szacunkiem, wiedząc ile wysiłku musiało Henryka kosztować niezawiązanie dziś rano krawatu.

Henryk tymczasem wyjął z torby swojego laptopa i ustawił na firmowym podeście, będącym częścią zabudowy bankowego stoiska. Dokładnie na to liczył Janusz.

„Na tak szacownym stanowisku nie ma dni wolnych, korpopocztę sprawdzać trzeba zawsze”, pomyślał i sięgnął po smartphona. Zestawił sieć ad-hoc z fałszywą czujką i otworzył aplikację dającą podgląd z kamery, szepcząc w duchu „Zaloguj się, zaloguj się, zaloguj się”.

Nie docenił jednak przeciwnika. Kiedy na macbooku Henryka pojawił się ekran FileVaulta proszący o hasło do dysku, ten najpierw rozejrzał się po okolicy, a potem, jakby zdając sobie sprawę z wrogiego środowiska, nachylił się nad klawiaturę przysłaniając jej widok z perspektywy kamerki Janusza. Wpisanego hasła nie udało się nagrać…

* *

Na zegarze wybiła godzina 16:00. Końcowi dobiegały ostatnie tego dnia prelekcje. Zaczął się martwić, bo kamerka ani razu nie nagrała ruchów palców Henryka na klawiaturze. Chociaż dyrektor miał w swoim systemie aktywne paranoiczne ustawienie, które wylogowywało go po minucie bezczynności i na jego ekranie co chwilę pojawiał się ekran wygaszacza ekranu kiedy na dłuższą chwilę wdał się w rozmowę z kimś odwiedzającym stoisko, to niestety – za każdym razem kiedy wpisywał hasło, pozostawał czujny. Maksymalnie zasłaniał klawiaturę i wielokrotnie korzystał z klawisza backspace, aby nie tylko nikt nie zauważył jakie ma hasło, ale aby nawet cieżko było policzyć ile ma ono faktycznie znaków…

Janusz, już po lunchu, wiedząc że przechwycenia hasła tą metodą raczej się nie uda, próbował zaatakować macbooka Henryka innymi technikami. Dyrektor miał jednak wyłączony interfejs Wi-Fi i nie korzystał z konferencyjnej sieci, którą Janusz kontrolował już po 30 minutach od startu pierwszej prelekcji.

„Chyba będę musiał mu zwinąć tego macbooka, kurza twarz!” — zaklął Janusz, zdając sobie sprawę, że nie jest to dobre wyjście. Kradzież sprzętu szybko zostanie zgłoszona centrali i wszystkie dostępy odwołane.

W oddali usłyszał oklaski z sal wykładowych – oznakę tego, że na dziś koniec hackowania. Henryk chyba także je usłyszał, ponieważ zamknął klapę swojego laptopa i jednym ruchem schował go do torby.

Jednym. Ruchem. Janusza olśniło. Popatrzył na zegarek i błyskawicznie zamówił taksówkę. „Może jeszcze zdążę do sklepu ze sprzętem komputerowym”.

* *

Kolejny dzień konferencji jak zwykle rozpoczął się z lekkim opóźnieniem. Afterparty po Firefence zawsze należały do kategorii „pamiętasz tylko początek”. Stoisko z napojami jak co roku było najbardziej obleganym miejscem w hotelu. Henryka nadal jednak się nie zjawił…

„Niemożliwe, że zapił” – pomyślał Janusz, sadowiąc się na pufach przed stoiskiem banku z otwartym laptopem – „Mam nadzieję, że spóźnienie to wynik tylko i wyłącznie tego, że prasuje koszulę”. Uśmiech samorozśmieszenia Janusza szybko znikł z twarzy, kiedy za stoiskiem pojawił się Henryk.

„Trzeba się skupić” – powtarzał w myślach Janusz, wiedząc, że numer, który chce zrobić musi się udać za pierwszy razem. W przeciwnym przypadku, bardzo źle się to dla niego skończy.

Wczorajsze obserwacje stoiska pokrywały się z dzisiejszymi. Kiedy do Henryka podchodził któryś z uczestników konferencji, ten odrywał się od komputera blokując ekran i odwracał się w stronę stolika z gadżetami. Tam wybierał jeden z nich, ale zanim wręczał go rozmówcy, ucinał sobie z nim pogawędkę, wypytując o to, gdzie rozmówca pracuje i czy nie chciałby zmienić pracodawcy. Misją Henryka była rekrutacja.

Kiedy kolejna osoba rozpoczęła rozmowę z Henrykiem i ten na moment stracił z oczu swojego Macbooka, Janusz błyskawicznie wkroczył do akcji. Wstał i jednym ruchem ściągnął laptopa Henryka z blatu, a na jego miejscu postawił identycznego Macbooka, którego od rana trzymał na kolanach z włączonym identycznym wygaszaczem ekranu.

Z nagrań kamerki łatwo było wywnioskować, że Henryk ma ustawiony jeden ze standardowych wygaszaczy ekranu systemu Mac OS X – Flurry. Janusz wczoraj kupił taki sam model Macbooka i szybko przerobił wygaszacz ekranu tak, aby logował wpisywane znaki.

Teraz pozostawało czekać, aż Henryk wpisze hasło… Chwila oczekiwania nie trwała zbyt wiele. Po pierwszym zdaniu Henryka zachwalającym bank, jego rozmówca z rozbrajającą szczerością wyznał, że przyszedł tylko po gadżety i nie zamierza zmieniać pracy. Henryk zachował jednak zimną krew, życzył uczestnikowi konferencji miłego dnia i odwrócił się do swojego komputera.

Podobnie jak zawsze przed wpisaniem hasła, nachylił się maksymalnie nad klawiaturą zasłaniając ją przed osobami postronnymi. Po chwili stukania w klawisze nacisnął RETURN. Zmodyfikowany przez Janusza wygaszacz ekranu, zawsze zwracał komunikat o błędnym haśle. Ale to nie wzbudziło podejrzeń u Henryka, ponieważ z racji stopnia skomplikowania jego hasła oraz metody jego wpisywania z celowym użyciem backspace’a, wielokrotnie zdarzało się, że wpisywał je błędnie. Tym razem jednak nie dokończył drugiego podejścia do wpisania hasła, ponieważ stolik z gadżetami złożył się i podłogę w okolicy 3 metrów pokryły krówki, latarki z logotypem banku i szwajcarskie scyzoryki. Janusz „przypadkiem” zawadził o jedną z nóg stolika…

Henryk odruchowo rzucił się do pomocy i zbierania firmowych gadżetów. W Z tego zamieszania skorzystał Janusz. Ponownie wykonał operację podmiany komputera, po raz kolejny ciesząc się w duchu, że Macbooki Air nie mają możliwości wpięcia Kensington Locka. Henryk na firmowym podeście znów miał swój prawdziwy laptop. Do którego zresztą chwilę później podszedł i bez problemu się zalogował. Pierwszą rzeczą jaką zrobił było wysłanie e-maila do dyrektora marketingu:

„Staszku, musicie nam załatwić bardziej stabilne stoliki konferencyjne. Właśnie mieliśmy tu małą katastrofę. Nadaj proszę sprawie odpowiedni priorytet. Wystaw już teraz zlecenie w SAP-ie, abyśmy przeszli ścieżkę akceptacji przed przyszłoroczną edycją konferencji”

* *

[Kryjówka Janusza]

Kiedy Janusz odczytał z logów wygaszacza ekranu hasło Henryka, aż podskoczył z radości. Henryk chyba niezbyt uważnie słuchał bankowych szkoleń z bezpieczeństwa, ponieważ jego hasłem był następujący ciąg znaków:

MojeTajne&DlugieHasloD0Macbooka!

Janusz szybko zapisał prawdopodobne hasła Henryka do bankowej poczty, ale kilkunastominutowa próba zalogowania się do jego skrzynki nie udała się. „Bank jednak wie co robi”.

Zrezygnowany, doszedł do wniosku, że skoro nie udało się z firmowymi zasobami, to może chociaż na prywatnych kontach Henryka pójdzie lepiej. I tu, szczęście do Janusza się uśmiechnęło. Tym „formatem” hasła udało mu się dostać do Dropboksa Henryka, gdzie pośród zdjęć zauważył plik „firmowe.zip”.

Nie pierwszy to raz, kiedy ktoś firmowe dane przesyła sobie na prywatne konto”– pomyślał Janusz, rozpakowując archiwum.

Wśród bankowych dokumentów nie było niczego ciekawego, ale jeden z plików wzbudził zainteresowanie Janusza. Dokument pt. „Analiza bezpieczeństwa transportu gotówki z sortowni do oddziałów” był raportem, który zespół Henryka sporządził po audycie w sortowni gotówki. Z jego lektury Janusz dowiedział się, że ujawnione niedociągnięcia, zarówno proceduralne jak i techniczne postanowiono naprawić jak najniższym kosztem, ponieważ managerom podczas analizy ryzyka wyszło, że mało kto wie w ogóle czym jest sortownia i gdzie się znajduje. Przede wszystkim jednak – jak głosiły wnioski końcowe raportu – aby z sortowni wykraść gotówkę, trzeba to zrobić fizycznie, więc bezpieczeństwa IT nie jest priorytetem w tym fragmencie infrastruktury banku.

Załącznikiem do raportu była lista firm, które mają obecnie zgodę na wejście na teren sortowni. Jedna z nich szczególnie rzuciła się Januszowi w oczy: Kanapex…

Ze strony Kanapeksu wyczytał, że firma świadczy usługi cateringowe i wciąż poszukuje kierowców. Postanowił więc odpowiedzieć na ogłoszenie. Rozmowy rekrutacyjne nie były trudne i sprowadzały się jedynie do potwierdzenia, że ma się prawo jazdy. Problemem okazało się jednak to, że początkowo Janusza przydzielono do innej części miasta niż ta, w której znajduje się sortownia. Ale odrobina socjotechniki sprawiła, że już po tygodniu pracy zaczął obsługiwać sortownię. Jedyne co musiał zrobić, to nakłamać, że jego dziecko chodzi do przedszkola w okolicy i byłby niezmiernie wdzięczny, gdyby szef przypisał go do tego rejonu, bo to ułatwi mu transport pociechy do szkoły. Ludzie zazwyczaj mają miękkie serca, jeśli chodzi o dzieci…

* *

[Sortownia Banku]

Janusz przybił piątkę z ochroniarzem, poprawił czapkę i sztuczne wąsy i wszedł do jedynego pokoju z komputerami w sortowni.

– „Pani Grażynko, dziś jabłuszka polecam. Nowość w ofercie. Na cerę dobrze robi. O takie piękne są, już Pani pokazu… cholera!”

Jabłko niby przypadkiem wypadło z ręki Janusza i potoczyło się dokładnie pod biurko bankowej specjalistki ds. rozliczeń.

– „Najmocniej Panią przepraszam, zaraz je złapię” – krzyknął Janusz, rzucają się pod biurko i przy okazji odłączając kabel zasilający komputer Grażyny od UPS-a.

-„Cholera! Coś chyba zahaczyłem, już podłączam z powrotem” – do uszu Grażyny dobiegł głos Janusza, który wygramolił się spod biurka, dumnie trzymając jabłko w ręku.

– „Panie Andrzejku, nie trzeba było, ja bym sobie sama…” – wydukała Grażyna, która nawet nie zauważyła, że jej komputer się zrestartował – tak była pochłonięta grą w Pokemon Go.

Janusz, znany w Kanapeksie jako Andrzej, wymienił z Grażyną jeszcze kilka uprzejmości i wyszedł z sortowni. Nienawidził tej pracy, ale wiedział, że musi popracować w Kanapeksie jeszcze przez kilka dni. Podpięty przed chwilą do kabla klawiatury sprzętowy keylogger musi zostać zdjęty przed prawdziwym atakiem…

* *

[tydzień później]

– „Mamy nazwiska ochroniarzy szefie” – szepnął młody, odczytujący logi z keyloggera, którego dopiero co Janusz ściągnął z kabla od klawiatury Grażyny – aby go odzyskać, tym razem pod biurko wrzucił brzoskwinie. I podobnie jak poprzednio, odłączył zasilanie, żeby na pulpicie Grażyny nie wyskoczył podejrzany dymek z komunikatem o chwilowym odłączeniu klawiatury.

– „Drukuj identyfikatory” – nakazał Janusz – „Wygląd masz w załączniku do raportu, który zwinąłem z Dropboksa Henryka. Jak tylko skończysz, idź obkleić vana, zaparkowałem w kurniku”.

W tym samym raporcie, poza listą firm i wzorami identyfikatorów znajdowała się też informacja, że ze względu na udany w 2010 roku atak na Centrum Obsługi Gotówkowej we Wrocławiu, w wyniku którego złodzieje pobrali 5 milionów, kasjerki nie mogą już wydawać gotówki bazując tylko i wyłącznie na tym, że pod sortownię podjeżdża odpowiednio oznakowany samochód, a do okienka podchodzi odpowiednio ubrany ochroniarz. Teraz kasjerki każdego dnia otrzymywały imienną listę ochroniarzy i musiały sprawdzać, czy ten który zjawia się po gotówkę jest dziś na liście. Aby jednak zoptymalizować ten proces, listy ochroniarzy Grażyna przygotowywała raz na tydzień i w każdy piątek roznosiła do stanowisk kasjerek. Dziś był wtorek. Janusz miał 3 nazwiska ochroniarzy i 3 dni na dokończenie ataku.

*** [ŚRODA, dzień ataku]

Do skoku przygotowywali się do kilku tygodni. Wiedzieli jaką trasą zazwyczaj ochroniarze odpowiedzialni za transport gotówki dojeżdżają do sortowni. Znali też markę samochodu jakim poruszała się firma ochroniarska i mieli czas, by zawczasu przestudiować wszystkie prace naukowe dotyczące ataków na ten rodzaj CAN-u…

Ustawili się 10 kilometrów przed zjazdem z autostrady do sortowni, na stacji benzynowej. Kiedy minął ich samochód ochroniarzy, ruszyli za nim. Na miejsce ataku wybrali autostradę, ponieważ w trakcie ataku musieli znajdować się w zasięgu 10 metrów od samochodu ochroniarzy przez co najmniej 25 sekund. Tyle czasu zabierał spoofing komunikatów czujek ciśnienia w oponach.

– „Udało się!” – krzyknął młody, a samochód ochroniarzy zaczął zwalniać. Na ich desce rozdzielczej wyświetlił się komunikat brak ciśnienia w oponach, a samochód przeszedł w tzw. tryb awaryjny. W tej marce, objawiało się to tym, że komputer pokładowy nakładał ograniczenie prędkości na max. 15 km/h, a żeby dodatkowo zniechęcić kierowcę od jazdy „na flaku”, opuszczał wszystkie szyby i ruszał wycieraczkami do momentu zatrzymania pojazdu na najbliższej zatoczce.

Janusz z młodym przystanęli za nimi. Janusz wyszedł, przeciągnął się i udał że smarka nos i ruszył w kierunku kosza na śmieci, aby wyrzucić chusteczkę. Poza nią, do kosza wrzucił też coś jeszcze.

Spokojnym krokiem wrócił do furgonetki, spojrzał na młodego i spokojnie powiedział:

– „Jammer zainstalowany, pomocy nie wezwą z komórki. Będą musieli przespacerować się do pomarańczowego po pasie awaryjnym. Zanim ich ściągną z autostrady, mamy trochę czasu. Jedź.”

Po kilku minutach zjechali z autostrady i z drogi krajowej odbili w leśną dróżkę. Tam odkleili z boku swojego vana czarne prostokąty, którymi wcześniej przysłonili idealnie odwzorowane logotypy firmy ochroniarskiej. Błyskawicznie przebrali się w stroje ochroniarzy. W klapę wpięli identyfikatory z nazwiskami, które pozyskali z keyloggera od Grażyny i ruszyli do sortowni.

Choć Januszowi serce waliło jak dzwon, bo młodego na akcję w „realu” wziął po raz pierwszy, to wszystko poszło zgodnie z planem. Kasjerka sprawdziła nazwiska z identyfikatorów z listą, a następnie wydała worki z pieniędzmi. Janusz z młodym zapakowali je do furgonetki i spokojnie wyjechali z terenu sortowni. W bagażniku mieli, zgodnie z protokołem, ponad 9 milionów złotych. O trzy więcej niż ci, którzy obrobili sortownię we Wrocławiu 6 lat temu…

Komentarz ekspercki

Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.

Użytkownicy komputerów często żyją w przeświadczeniu, że są dobrze chronieni przez cyberzagrożeniami. Wiedzą, że renomowane programy antywirusowe zapewniają bardzo wysoki poziom bezpieczeństwa. I właśnie w tej świadomości paradoksalnie może tkwić problem, ponieważ wyposażeni w nowoczesne rozwiązania, zaczynają popełniać podstawowe błędy, szczególnie w kontekście ochrony wrażliwych danych.

Jednym z najczęściej popełnianych błędów jest używanie tego samego hasła do logowania się na różnych urządzeniach oraz do różnych usług. Użytkownicy często zapominają, że szczególnie podczas korzystania z komputera w miejscach publicznych, istnieje duże ryzyko, że ktoś niepowołany może podejrzeć wprowadzany ciąg znaków. Jedna chwila nieuwagi wystarczy, aby narazić siebie oraz firmę na poważne konsekwencje. Jest to tym bardziej istotne, że część użytkowników wykorzystuje do pracy prywatne urządzenia, łamiąc w ten sposób kolejne podstawowe zasady bezpieczeństwa online…

Jeśli obawiamy się, że nie zapamiętamy wszystkich ważnych dla nas haseł, pamiętajmy że zawsze możemy skorzystać z gotowych rozwiązań. Jednym z jest menedżer haseł, czyli specjalna aplikacja, która przy zachowaniu pełnego bezpieczeństwa gromadzi w swych zasobach wszystkie najpotrzebniejsze kody dostępu.

Pamiętajmy jednak, aby używać zarówno zaawansowanych rozwiązań, jak i rozwagi. Tylko wówczas system bezpieczeństwa będzie kompletny.