13

Nasi sprawdzili co można zrobić za pomocą kiosku multimedialnego IKEA – dostali się do sieci korporacyjnej firmy

Kilka dni temu dostałem od Krzysztofa Warechowicza z SecurITy Partners ciekawy mail z informacją o tym jak niefrasobliwie IKEA podeszła do kiosków multimedialnych jakie są dostępne w ich sklepach. Okazało się , że po 20 minutach zabawy Krzysztof razem z kolegą przeglądali zasoby sieci komputerowej IKEA. Okazało się bowiem, że taki kiosk był do niej […]

Kilka dni temu dostałem od Krzysztofa Warechowicza z SecurITy Partners ciekawy mail z informacją o tym jak niefrasobliwie IKEA podeszła do kiosków multimedialnych jakie są dostępne w ich sklepach. Okazało się , że po 20 minutach zabawy Krzysztof razem z kolegą przeglądali zasoby sieci komputerowej IKEA. Okazało się bowiem, że taki kiosk był do niej podłączony a posługując się drobną sztuczką można było wywołać ekran terminala i trochę poklikać. Poprosiłem Krzysztofa aby opisał całą historię (oczywiście panowie po odkryciu tego faktu poinformowali IT IKEA – teraz jest już wszystko zabezpieczone)i dzisiaj dostałem tekst, który publikuję poniżej:

Nazywam się Krzysztof Warechowicz, pracuję w firmie SecurITy Partners zajmującej się na co dzień bezpieczeństwem informacyjnym i modelowaniem procesów biznesowych w sferze IT.

Wraz ze wspólnikiem jechaliśmy w tym roku na wdrożenie do Kielc, a przejeżdżając przez Kraków postanowiliśmy zatrzymać się w Ikei po prosty stolik na którym tymczasowo nasz klient miał postawić drukarkę.

Ponieważ przyjechaliśmy ok. 20 minut przed otwarciem sklepu musieliśmy poczekać przed wejściem, dla zabicia czasu postanowiliśmy skorzystać z kiosku multimedialnego Ikea po to żeby lepiej zlokalizować interesujący nas produkt. Standardowy kiosk Ikei dla klientów posiada ekran oraz wbudowaną klawiaturę. Na monitorze domyślnie wyświetlona jest strona firmowa ikea.pl na której możemy przeglądnąć asortyment sklepu. Wszelkie operacje otwierania innych zakładek na takim kiosku czy przełączenie między okienkami nie wchodzi w grę. Zasada jest prosta, użytkownik czy potencjalny klient ma mieć możliwość tylko i wyłącznie przeglądania strony ikea.pl i nic więcej.

Z racji wykonywanej profesji postanowiliśmy sprawdzić jak jest naprawdę wygląda bezpieczeństwo IT mede by Ikea i przy wykorzystaniu najprostszych technik, bez użycia żadnych zewnętrznych urządzeń, kluczy usb itp. spróbowaliśmy przedostać poza wyświetlaną na ekranie przeglądarkę internetową. W pierwszej kolejności udało się oszukać system i dostać się do wiersza poleceń. Z konsoli odpaliliśmy okienka ( kiosk multimedialny pracował po kontrolą Win XP Prof. ) no i reszta poszła z górki. Z wiersza poleceń byliśmy w stanie sprawdzić konfigurację karty sieciowej wraz z adresacją ( zdjęcie w załączniku), sprawdzić na jakich portach nasłuchuje komputer, nazwę hosta i kilka innych potencjalnie istotnych.

Następnie sprawdziliśmy tzw. „windows share” i tu pierwsze zaskoczenie ponieważ kiosk Ikea w nie był w wystarczający sposób odseparowany od sieci korporacyjnej. Po szybkim przeskanowaniu zasobów uzyskaliśmy dostęp do sieci korporacyjnej ikea. Na zdjęciu widać zrzuty ekranu z nazwami komputerów, folderów i dokumentów. Pomijając ujawnienie danych firmowych uzyskaliśmy także dostęp do danych osobowych pracowników.

Kilka dokumentów, bo było ich tam całe mnóstwo, opisywały m. in. szkolenia, były tam też jakaś wewnętrzna korespondencja. Po nazwie komputerów można się zorientować kto z imienia i nazwiska pracuje w Ikea.

Mieliśmy także dostęp do panelu sterowania czyli otwierało się kolejne pole do uzyskania ciekawych informacji o konfiguracji komputera. Z istotnych informacji jakie jeszcze można było wyczytać to dane dotyczące struktury domenowej.

Faktem jest, ze pracowaliśmy na koncie użytkownika a nie administratora. Faktem jest jednakże, iż w czasie 15 minut zebraliśmy bardzo ciekawe informacje, które mogłyby posłużyć np. do ataku socjotechnicznego lub prowadzenia dalszych poszukiwań słabych punktów w sieci. Nie wiadomo również co znajdowało się w dziesiątkach dokumentów i katalogów do których uzyskaliśmy dostęp. To wszystko dostaliśmy podane jak na tacy w 15 minut niepokojeni przez nikogo, chociaż obsługa sklepu i ochrona przewijała się wzdłuż korytarza przy którym staliśmy. Sądzę, że gdyby nasza intencją było dokładne przejrzenie zasobów sieci teleinformatycznej a nie zakup stolika dzisiaj wiedzielibyśmy nieco więcej o wewnętrznych procesach w korporacji Ikea.

Chciałbym jednak bardzo podkreślić, że to co robiliśmy nie miało w żadnym wypadku charakteru destrukcyjnego. Nie naruszyliśmy żadnych danych i nie skopiowaliśmy żadnej informacji. Ponieważ zajmujemy się bezpieczeństwem IT i naszym celem jest poprawa bezpieczeństwa w sferze informatyki postanowiliśmy przekazać nasze obserwacje do centralnego działu IT w Szwecji wraz z dokumentacją fotograficzną. Dopiero po otrzymaniu informacji od Ikea o naprawieniu błędów w konfiguracji systemu informujemy od tym Pana – być może za pośrednictwem Pańskiej strony będzie można wpłynąć na postrzeganie problemu bezpieczeństwa IT przez managerów w rodzimych firmach.

Z problemem który tutaj opisaliśmy spotykamy się na co dzień w naszej pracy. Z jednej strony nakłady na dział IT zwiększane są z roku na rok, z drugiej strony właściciele firm czy zarządy spółek powierzają bezpieczeństwo teleinformatyczne pracownikom działów IT, którzy najczęściej oprócz zarządzania systemami IT mają na głowie tzw. helpdesk, zarządzanie stroną internetową, pozycjonowanie, serwisowanie komputerów itp. W myśl zasady, że polski informatyk zna się na wszystkim. W takich sytuacjach nie trudno o błąd, który może skutkować poważnymi stratami finansowymi, albo problemami z prawem jeśli do sieci wyciekną np. dane osobowe klientów. Tymczasem włodarze przedsiębiorstwa żyją najczęściej w błogim przekonaniu, że dziesiątki tysięcy wydane na sprzęt zapewniają odporność na wszelkie ataki. Gdyby tak było Ikea na pewno nie musiałaby łatać dziur w swoim systemie teleinformatycznym po naszej interwencji.

To już nie te czasy kiedy sukcesem było przejęcie kontroli nad pojedynczym komputerem i sprawienie, że nie dało się usunąć tapety na pulpicie. Bardzo wiele złego można uczynić znając wiele cząstkowych, wydawałoby się nie istotnych informacji o sieci komputerowej i systemie teleinformatycznym, wewnętrznych procesach biznesowych, znając imiona i nazwiska pracowników, wiedząc w jakich działach pracują. Czasami wiedza i bystre oko zewnętrznego specjalisty mogą uratować mnóstwo czasu, nerwów i pieniędzy, a także posadę na kierowniczym stanowisku ;)