Atakującemu mogą przydać się nawet z pozoru błahe dane

Jak dbać o bezpieczeństwo systemów IT?

Aby przeprowadzić skuteczny atak na strukturę informatyczną, atakujący starają się pozyskać jak najwięcej danych o systemie i jego zabezpieczeniach. W tym celu uciekają się niekiedy do wyrafinowanych tricków. By możliwie kompleksowo chronić się przed wyciekiem wrażliwych informacji, warto poznać sposoby, w jakie atakujący mogą próbować takie dane pozyskać, zarówno przez internet, jak i poza nim.

Kevin Mitnick, prawdopodobnie najbardziej rozpoznawalny włamywacz komputerowy, twierdził, że łamał ludzi, nie hasła. W tym celu wykorzystywał inżynierię społeczną, zwaną zastępczo socjotechniką, jedną z najbardziej efektywnych technik pozyskiwania danych pomocnych w skutecznym przeprowadzeniu ataku. Istotnie, wg badań Ernst & Young, 77% zagrożeń dla infrastruktury IT pochodzi z wewnątrz firmy, w dużej mierze z powodu nieświadomych działań pracowników. W wypadku socjotechniki atakujący w celu pozyskania danych odwołują się do prostych mechanizmów determinujących ludzkie zachowania, takich jak ciekawość, chęć niesienia pomocy czy współczucie. Dlatego im większa świadomość potencjalnej ofiary, tym większe prawdopodobieństwo skutecznego ograniczenia działań włamywacza.

Mnożyć można przypadki z historii ataków na systemy IT, które odwołują się do ludzkiej ciekawości - np. podrzucenie w siedzibie firmy zawierającego złośliwe oprogramowanie pendrive'a lub CD-ROM-u z opisem lista płac. Wykonanie telefonu do administratora sieci z prośbą o uprawnienia dostępu do systemu IT - wyjaśniając, że szef czeka na ważny raport, a jego nieterminowe złożenie spowoduje nałożenie kary na pracownika - może skutecznie wzbudzić empatię i obniżyć czujność osoby znajdującej się po drugiej stronie słuchawki.

Przebranie się za pracownika firmy sprzątającej i przeszukiwanie biura czy biurowych śmieci; wyprawa na piwo z niezadowolonym pracownikiem, to bardziej wyrafinowane, a zarazem spektakularne techniki pozyskiwania wrażliwych danych. Chociaż, pracując w biurze, z pewnością większość z nas pamięta o odpowiednim niszczeniu dokumentów zawierających dane osobowe lub inne poufne informacje, takie jak umowy, oferty produktowe etc., do listy danych, które nie powinny wychodzić poza ściany siedziby firmy, warto dodać wydruki ze stron intranetowych czy notatki, gdzie nieopatrznie mogliśmy zapisać loginy, hasła dostępu, adresy wykorzystywanych przez nas wewnętrznych usług oraz inne dane.

Popularną techniką wykradania danych jest podszycie się pod zaufane źródło (osobę lub instytucję) - za pomocą phishingu (przy użyciu komputera) lub vishingu (przy użyciu telefonu). W ostatnim czasie udowodnił to Shane MacDougall, zwycięzca konkursu na DefCon 2013. MacDougall pozyskał jedynie przy użyciu telefonu wcześniej wyznaczone, wrażliwe informacje dotyczące jednej z sieci supermarketów. Aby uzyskać dane, MacDougall połączył się z menadżerem jednego z oddziałów sklepu, wcielając się w świeżo zatrudnionego menadżera od spraw logistyki rządowej. Pozyskać udało się informacje o kontrahentach sklepu, cyklu wypłaty wynagrodzeń, grafiku pracy, a nawet o tym, gdzie menadżerowie jadają lunch.

W czasach narastającej liczby ataków typu vishing, aby móc uchronić się przed telefonicznymi oszustami, Fujitsu opracowało nowoczesną technologię ostrzegającą przed próbą manipulacji. System analizuje m.in. intonację głosu oraz rozpoznaje typowe dla oszustów słowa. Po serii testów firma ogłasza ponad 90-procentową skuteczność w działaniu systemu.

Poza świadomością technik opartych o inżynierię społeczną, aby maksymalizować bezpieczeństwo struktury informatycznej, warto zastanowić nad wartością informacji udostępnianych w Internecie. Dla potencjalnego włamywacza z pozoru najbardziej nieistotne oraz niemające związku z systemem zabezpieczeń informacje mogą posłużyć jako klucz do zburzenia umocnień systemu. Cenne dane mogą znajdować się zarówno w naszej ofercie produktowej, jak i w niepozornym ogłoszeniu o pracę - na przykład nasza firma może poszukiwać administratorów wykorzystywanych przez nas systemów, co nie musi, ale może sugerować, jakie zabezpieczenia stosujemy. Należy także pamiętać, że wrażliwe dane, które nieopatrznie znalazły się w Internecie, ale zostały stamtąd usunięte, nadal mogą widnieć w zbiorach archiwalnych, takich jak Internet Archive – są to systemy zawierające kopie serwisów sprzed 10 i więcej lat. Jeśli mamy potrzebę ostatecznego usunięcia takich danych, w Internecie można znaleźć poradniki i rozwiązania dla podobnych serwisów oraz wytyczne, jak zabezpieczyć się przed tworzeniem takich kopii w przyszłości.

Jak można się chronić?

Pomimo dynamicznego rozwoju zarówno polityki bezpieczeństwa, jak i technik łamania umocnień i pozyskiwania danych o systemach IT kilka zasad ochrony pozostaje niezmiennie aktualnych. Niezbędnym elementem zabezpieczenia są testy penetracyjne umocnień systemowych. Takie działania warto rozważyć i, jeśli analiza na to wskazuje, przeprowadzać przy okazji każdej zmiany w konfiguracji sytemu. Istnieją gotowe, automatyczne aplikacje sprawdzające podatność systemów na włamania, jednak należy pamiętać, że ograniczają się one do testów znanych podatności – łamania zabezpieczeń. Za sukcesem testu stoi jego kompleksowość, a tej nie zapewni żadne automatyczne rozwiązanie, lecz wykwalifikowani specjaliści badający system na wielu poziomach.
Warto także pamiętać, że pojedyncze informacje, przechwycone przez potencjalnego włamywacza, nie muszą być rzeczywiście użyteczne. Dopiero po połączeniu zebranych informacji w przemyślaną sekwencję udostępnione szczegóły mogą zyskać na znaczeniu. Dlatego warto zadbać o najwyższy wymiar bezpieczeństwa na każdym poziomie umocnień sytemu - od programów zabezpieczających przez szkolenia personelu, audyty i testy bezpieczeństwa po zabezpieczenia o charakterze czysto fizycznym.

Paweł Żal, lider zespołu Testów Unizeto Technologies - doświadczony tester bezpieczeństwa i uczestnik projektów związanych z systemami rozproszonymi oraz systemami wykorzystującymi infrastrukturę klucza publicznego. Inżynier Oracle, audytor systemów zarządzania jakością, systemów bezpieczeństwa informacji, posiadacz certyfikatu Certified Ethical Hacker.

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"