@szymon.nowak
Blog (5)
Komentarze (513)
Recenzje (0)

Praktyka bezpieczeństwa IT — śmiech na sali, która płonie

@szymon.nowakPraktyka bezpieczeństwa IT — śmiech na sali, która płonie29.06.2017 02:57

Jakiś czas temu, w ramach poczynań zawodowych zostało przydzielone mi zadanie przeprowadzenia audytu bezpieczeństwa IT. Klient to średniej wielkości firma zajmująca się pisaniem software i sterowników do określonych urządzeń. O audycie wiedzieliśmy tylko my i jedne z prezesów omawianej firmy.

W tym momencie mógłbym zacząć rozpisywać się jak określiliśmy strategię audytu i skąd poniższe działania, napiszę tylko tyle – to czym dysponowaliśmy na początku to : adres email prezesa , adres strony www i wiedza że firma posiada rozbudowany dział IT. Oczywiście została podpisana umowa zezwalająca nam na podjęcie kroków penetrujących organizację.

Dzień 1 - Więcej danych

Analiza strony WWW pozwoliła nam ustalić schemat adresów email np. imię.nazwisko@domena.pl

Analiza portfolio klientów i partnerów pozwoliła nam ustalić partnera wspomagającego audytowaną firmę w zakresie tworzenia stron WWW, jak również hostów odpowiedzialnych za utrzymanie kilku kluczowych portali klientów.

Analiza Facebooka i Goldenline pozwoliła nam namierzyć administratorów IT pracujących obecnie dla naszego „Celu”

Kilka telefonów do firmy i próśb o połączenie z konkretnymi działami pozwoliło nam ustalić dwa imiona i nazwiska Pań zatrudnionych w księgowości i Panią szefową marketingu. Odpowiedź email na nasze zapytanie ofertowe pozwoliła nam na ustalenia że klient posiada serwer poczty MS Exchange wewnątrz swojej organizacji i jest to łącze firmy X , odwiedziny firmy https://mail.domena.pl/owa pozwoliło nam na ustalenie że firma korzysta z serwera poczty Exchange 2010 i jakąś wersję serwera OpenVPN

Dzień 2 - przygotowanie „placu zabaw”

Wykupiliśmy dwie domeny , pierwszą łudząco podobną do nazwy domeny audytowanej firmy , drugą łudzącą podobną do stron „ZUS” . np. oryginalna domena klienta www.mojedomena.pl , nasza www.mojadonema.pl .

Nasza „fakeowa” domena posłużyła nam do stworzenia konta które wykorzystaliśmy do kontaktu z firmą tworzącą strony WWW dla „Celu” i na prośbę „Naszego działu marketingu” firma ta na serwerze klienta umieściła stronę z „opisem produktu” i skryptem php pozwalającym umieścić nam własne pliki i zrobić zrzut configów :-) Na tak spreparowanej podstronie umieściliśmy mechanizm pozwalającą „zweryfikować” siłę używanego hasła.

Formularz pozwalał na sprawdzenie „siły hasła do komputera”, VPN i siłę hasła ERP( jeszcze wtedy nie wiedzieliśmy jakiego systemu nasz Cel używa).

Posiadając dane jednej z Pań księgowych, przesłaliśmy na jej adres email (z naszej wersji portalu ZUS) informację że ze względu na zmiany w programie Płatnik jeden z naszych pracowników w dniu jutrzejszym chciałby wspomóc Panią w aktualizacji . Odpowiedź przyszła w ciągu 1 godziny – Zapraszam serdecznie !

Dzień 3 – Pan od Płatnika

Mój kolega udał się na miejsce do Klienta i w szampańskiej atmosferze „chichocząc” z Paniami z działu księgowości zgrał sobie bazę płatnika, książkę adresową Outlook , wypił herbatę , dostał ciastko, ustalił login konta administratora domenowego, używany system ERP , hasło SA do serwera SQL, a także wszystkie hasła zapisane w przeglądarce firefox, IP po którym śmiga ruch internetowy użytkowników i….klucze VPN spoczywające sobie spokojnie w jednym z podkatalogów zasobu sieciowego IT. Wrócił z takim uśmiechem jakby oglądał mecz Lewandowski vs przedszkolaki.

Dzień 4 – Armagedon

Jako iż posiadaliśmy już książkę adresową organizacji, z „naszego” konta administratora z oryginalną super stopką rozesłaliśmy informację o audycie i konieczności weryfikacji haseł wraz z linkiem do wcześniej utworzonego formularza. W początkowej fazie email wyszedł tylko do 10 kont email.

Hasła pozyskane w pierwszej fazie wykorzystaliśmy do zalogowania się na konta poprzez OWA i przesłanie alarmowej wiadomości do faktycznych administratorów że „wirus szyfruje mi komputer!!!” – tak wiem, to nie było ładne zagranie i po czymś takim będąc adminem można dostać zawał serca ( sam osobiście dostaję go niemal codziennie rano gdy odbieram telefon że „nie widzę mojego pulpitu” ) ale musieliśmy czymś przykryć kolejne działania.

W kolejnej fazie email wyszedł do pozostałych 180 kont – w ciągu pierwszych 30 minut mieliśmy 120, haseł –Active Directory i ERP, 20 VPN ( dział handlowy???). Była też osoba która wytknęła nam słabe zabezpieczenia bo formularz nie posiadał haszowania gwizdkami w czasie wpisywania hasła – mój błąd, oczywiście przeprosiłem i od razu poprawiłem formularz – wreszcie hasło mogło być bezpiecznie zweryfikowane :-) Za pomocą dwóch z kont VPN i AD uzyskaliśmy dostęp do zasobów – celem potwierdzenia skopiowaliśmy kilka zbiorów danych .

W tym czasie mój kolega podając się za Administratora IT zadzwonił do usługodawcy łącza Internetowego i wybłagał Panią z infolinii że „jest w samochodzie i że firma jest pod ostrzałem hackerskim i prosi o zatrzymanie ruchu na puli adresów IP…. Pani co prawda nie mogła tego zrobić lecz zrestartowała terminal co skutkowało chwilową utratą Internetu w firmie i spotęgowało efekt „O K…A!””

Dzień 5 – podsumowanie

Mamy konta wraz z hasłami, dostęp do poczty użytkowników, VPN do sieci, dostęp do panelu administracyjnego dla 3 serwisów WWW, bazę płatnika, hasła do różnych portali wykorzystywanych w księgowości, wybrane dane między innymi finansowe…Dla działu IT, to był ciężki dzień….

Refleksja

Schemat który opisałem wyżej wykorzystywaliśmy przy okazji różnych audytów w różnych konfiguracjach, raz z lepszym raz z gorszym skutkiem, podstawowym czynnikiem niezmiennym niezależnym od wielkości organizacji jest człowiek. Ja wiem że administratorzy się starali, później już w wewnętrznych konsultacjach widziałem że mieli nienaganną politykę backupu , że zasady GPO , że firewall , że uprawnienia itp. Itd. Znam to dobrze od kuchni , wiem że się starają , ja się staram…. Ale pracujemy między ludźmi i bez świadomości i poczucia odpowiedzialności „Pani sekretarki” pieniądze wydane na UTM za 50 tyś zł nic nie dadzą.

Zauważam że u większości osób cały czas pokutuje przeświadczenie że „to nie jest naprawdę” że to co na ekranie to niby ważne ale nie tak na 100% że wszystko się da naprawić, "przepisać", "zrestartować" .

Kiedyś w jednym z moich skeczów standupowych mówiłem taki monolog że nigdy nie słyszałem od użytkownika słów „nie umiem” lub „zj…em” zawsze jest to „coś mi się tutaj zrobiło”. Gdy zapominamy wyłączyć gaz z piecyka lub mamy stłuczkę nie tłumaczymy się „coś mi się tutaj zrobiło” . Poniekąd jest to wina producentów oprogramowania którzy poprzez coraz to, jak to nazywają „małpo odporne” interfejsy tworzą środowisko które nie wymaga od operatora żadnej wiedzy o działaniu narzędziu które wykorzystują Kliknij->Dalej->Dalej->Akceptuj->Dalej.

Podczas jakiegoś szkolenie z bezpieczeństwa IT które prowadziłem po omówieniu załączników w poczcie pewna osoba biorąca udział w szkoleniu zupełnie nieskrępowanie powiedziała

A ja właśnie uruchomiłam taki załącznik i coś mi się tu kręci…

Nie mam pomysłu jak powinna być odpowiedź wielkich tego świata na nowe zagrożenia ale może w ogólnym rozrachunku wszystko jest tak jak ma być, bo gdyby tak zamknąć możliwość obrotu bitcointami dziś dla ransomware nie było by rynku…

Tęsknię za czasami „Dosa dla opornych”

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.