@morriat
Blog (2)
Komentarze (74)
Recenzje (0)

Kwestia bezpieczeństwa danych firmowych — jak tego nie robić

@morriatKwestia bezpieczeństwa danych firmowych — jak tego nie robić 20.03.2018 15:05

Mocne (dobre) hasło – hasło dostępu do np. danych, które cechuje się zmniejszonym prawdopodobieństwem "złamania" lub odgadnięcia, poprzez m.in. zwiększenie liczby znaków potrzebnych do jego podania i ułożenia ich w kolejność, która uniemożliwi atak słownikowy. ~wikipedia To w teorii mówi znana nam wszystkim wikipedia. A jak jest naprawdę ?  Jak Wy zabezpieczacie swoje konta lub dane firmy ?

Dawniej takie hasło miał sam premier więc musi być bezpieczne...
Dawniej takie hasło miał sam premier więc musi być bezpieczne...

Ogółem mówiąc

Każdy otarł się standardy tworzenia "bezpiecznych haseł". Począwszy od hasła do konta w systemie poprzez hasło do poczty e-mail, skończywszy na hasłach do sieci VPN. Każdy również boi się o swoje bezpieczeństwo i dane które lepiej aby nie wpadły w kogokolwiek ręce.

~Ale przecież jestem zwykłym małym człowiekiem lub informatykiem w malutkiej nic nie znaczącej dla hakerów firmie i niby z jakiego powodu chcieliby wykraść jakiekolwiek dane lub gdziekolwiek się dostać. Nic nie mogą mi zrobić, mam takie samo hasło do wszystkich kont i nikt nie spostrzeże się że jest ono proste :) w końcu najciemniej pod latarnią.

Lecz przychodzi taki moment, że dana latarnia gaśnie i robi się widno a wszystkie dane są na wyciągnięcie ręki, wystarczy troszeczkę pogłówkować i można atakować by mieć co tylko się zechce.

Ciekawość to pierwszy stopień do... włamania na moim przykładzie.

Rok temu rozwiązując umowę z byłym pracodawcą zaśmiałem się, że jak przyjdzie ktoś nowy to włam gotowy (mowa o szeroko pojętym informatyku) dziś mogę z dumą powiedzieć, że jestem wróżbitą. Odchodząc ostatni raz zmieniłem wszystkie hasła pracowników, kont pocztowych i jakichkolwiek innych dostępów. To były ostatnie chwile bezpieczeństwa tej firmy. Producent posiada w tym samym budynku sklep firmowy gdzie często robię zakupy. Ale pomijając nieistotnie rzeczy. Sieć wi-fi była zabezpieczona a podłączyć się do niej, można było jedynie poprzez podanie nazwy ssid, prawidłowego 12 znakowego hasła oraz obowiązkowe było posiadanie ważnego wewnętrznego certyfikatu na urządzeniu łączącym się z tą siecią.

Pewnego razu czekając na otwarcie sklepu przed budynkiem z ciekawości wyszukałem sieci wi-fi, sieć była widoczna bez hasła i nie potrzebny był żaden certyfikat. Super mamy darmowy internet, ale chwileczkę co jeszcze w firmie się zmieniło ? programem Look@Lan najzwyczajniej w świecie zmapowałem sobie sieć wewnętrzną. Z tego co pamiętałem nie było tam serwera NAS, tylko każdy miał przydzielony zasób na serwerze w domenie, co szkodzi wejść na ten adres przez eksplorator systemowy tak więc 10.0.0.x/ i mamy wszystkie firmowe pliki. Nowy spec od IT stworzył nawet arkusz ze wszystkimi hasłami dostępowymi (jego poczta służbowa, panel acp sklepu internetowego acp dostawcy poczty i hostingu i wiele innych), więc wejście mamy wszędzie). Wchodząc na stronę konfiguracyjną drukarki i sprawdzając ostatnie "jobs'y" podejrzeć można wysłane do druku dokumenty, a w nich nowe dpstępy dla użytkowników którzy zapomnieli hasła do poczty.

Przykład pierwszy i ostatni: login: Marta.Xyz@cośtam.pl hasło: marta2018

Na szczęście były pracodawca okazał się być na tyle uprzejmy i odebrał telefon w którym sytuacja została opisana, następnego dnia sieci już nie było, informatyka też.  Ciekawość to pierw..... v2 Szukając pracy otarłem się o firmę spedycyjną, miałem na myśli mikrofirmę gdzie potrzebowali spedytora. W Pierwszy dzień popularnie zwanego okresu testowego otrzymałem na kartce swój adres mailowy, dane do giełdy ładunków, login do bramki voip i hasło do komputera o dziwo wszędzie takie samo. Skoro moje są takie same to sprawdzę to z innymi adresami mailowymi i .....

~jestem wróżbitą lvl2

Skoro mamy tylko tyle i aż tyle i wiemy gdzie jest host (dzięki narzędziu whois ) to możemy zalogować się do acp hostingu mailowego i można robić co tylko zechcemy. Jeśli hasło działa z innymi to z adresem właściciela też musi no i faktycznie nie myliłem się.

Po pierwszym i ostatnim dniu "okresu testowego" żegnając się z właścicielem przekazałem mu informację, że kończy się mu przestrzeń przydzielona do skrzynek e-mail i musi sobie coś z tym zrobić. Jego reakcja była bezcenna ;)

odwzorowanie reakcji 1:1
odwzorowanie reakcji 1:1

Raz Dwa Trzy następny będziesz TY.

Zabezpieczenie swoich danych, oraz danych firmowych nie jest ciężkie, faktycznie należy przestrzegać zasad tworzenia bezpiecznych haseł ale można zrobić to w taki sposób aby dla Ciebie hasło było łatwe zapamiętania a dla osób postronnych trudne do złamania lub odgadnięcia. Pomijając narzędzia zabezpieczające i najnowsze technologie, kwestia bezpieczeństwa danych nadal jest tematem newralgicznym. Przedstawione powyżej dwa przykłady są firmami oddalonymi od siebie o niecałe 12km.  Są to dwie firmy spośród tysiąca w okolicy, których bezpieczeństwo jest niewiadomą. Być może to Twoja firma lub Ty tam pracujesz ? Co jeśli pewnego dnia okaże się, że wszystkie dane zostały przejęte bądź też usunięte wraz z backupami lub pieniądze np. z panelu payu przelane na inne konto ? Nigdy nie wiadomo kto i z jakimi intencjami krąży w okolicy, może będzie to osoba która tylko wytknie te błędy i nic z nimi nie zrobi a być może będzie to ktoś kto udostępni Twoje poufne dane innym. Dla wszystkich mniejszych i większych firm nadchodzące RODO lub jak kto lubi GDPR powinno być wybawieniem, o ile ktoś kompetentnie podejdzie do tego przepisu.

PS. Powyższy tekst niema w zamiarze nakłaniania do "sprawdzania zabezpieczeń firm" lecz został napisany po to aby wytknąć i przypomnieć niektórym "gagatkom", że bezpieczeństwo to priorytet i nie należy tego bagatelizować.

źródła: Wikipedia Giphy.com

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.