Kwestia bezpieczeństwa danych firmowych — jak tego nie robić


Mocne (dobre) hasło – hasło dostępu do np. danych, które cechuje się zmniejszonym prawdopodobieństwem "złamania" lub odgadnięcia, poprzez m.in. zwiększenie liczby znaków potrzebnych do jego podania i ułożenia ich w kolejność, która uniemożliwi atak słownikowy.

~wikipedia

To w teorii mówi znana nam wszystkim wikipedia. A jak jest naprawdę ? 
Jak Wy zabezpieczacie swoje konta lub dane firmy ?

Ogółem mówiąc 

Każdy otarł się standardy tworzenia "bezpiecznych haseł". Począwszy od hasła do konta w systemie poprzez hasło do poczty e-mail, skończywszy na hasłach do sieci VPN. Każdy również boi się o swoje bezpieczeństwo i dane które lepiej aby nie wpadły w kogokolwiek ręce.

 ~Ale przecież jestem zwykłym małym człowiekiem lub informatykiem w malutkiej nic nie znaczącej dla hakerów firmie i niby z jakiego powodu chcieliby wykraść jakiekolwiek dane lub gdziekolwiek się dostać. Nic nie mogą mi zrobić, mam takie samo hasło do wszystkich kont i nikt nie spostrzeże się że jest ono proste :) w końcu najciemniej pod latarnią.

Lecz przychodzi taki moment, że dana latarnia gaśnie i robi się widno a wszystkie dane są na wyciągnięcie ręki, wystarczy troszeczkę pogłówkować i można atakować by mieć co tylko się zechce.

Ciekawość to pierwszy stopień do... włamania na moim przykładzie.

Rok temu rozwiązując umowę z byłym pracodawcą zaśmiałem się, że jak przyjdzie ktoś nowy to włam gotowy (mowa o szeroko pojętym informatyku) dziś mogę z dumą powiedzieć, że jestem wróżbitą.
Odchodząc ostatni raz zmieniłem wszystkie hasła pracowników, kont pocztowych i jakichkolwiek innych dostępów. To były ostatnie chwile bezpieczeństwa tej firmy. Producent posiada w tym samym budynku sklep firmowy gdzie często robię zakupy. Ale pomijając nieistotnie rzeczy. Sieć wi-fi była zabezpieczona a podłączyć się do niej, można było jedynie poprzez podanie nazwy ssid, prawidłowego 12 znakowego hasła oraz obowiązkowe było posiadanie ważnego wewnętrznego certyfikatu na urządzeniu łączącym się z tą siecią.

Pewnego razu czekając na otwarcie sklepu przed budynkiem z ciekawości wyszukałem sieci wi-fi, sieć była widoczna bez hasła i nie potrzebny był żaden certyfikat. Super mamy darmowy internet, ale chwileczkę co jeszcze w firmie się zmieniło ?
programem Look@Lan najzwyczajniej w świecie zmapowałem sobie sieć wewnętrzną.
Z tego co pamiętałem nie było tam serwera NAS, tylko każdy miał przydzielony zasób na serwerze w domenie, co szkodzi wejść na ten adres przez eksplorator systemowy tak więc 10.0.0.x/ i mamy wszystkie firmowe pliki. Nowy spec od IT stworzył nawet arkusz ze wszystkimi hasłami dostępowymi (jego poczta służbowa, panel acp sklepu internetowego acp dostawcy poczty i hostingu i wiele innych), więc wejście mamy wszędzie). Wchodząc na stronę konfiguracyjną drukarki i sprawdzając ostatnie "jobs'y" podejrzeć można wysłane do druku dokumenty, a w nich nowe dpstępy dla użytkowników którzy zapomnieli hasła do poczty.

Przykład pierwszy i ostatni:
login: Marta.Xyz@cośtam.pl
hasło: marta2018

Na szczęście były pracodawca okazał się być na tyle uprzejmy i odebrał telefon w którym sytuacja została opisana, następnego dnia sieci już nie było, informatyka też. 
Ciekawość to pierw..... v2

Szukając pracy otarłem się o firmę spedycyjną, miałem na myśli mikrofirmę gdzie potrzebowali spedytora. W Pierwszy dzień popularnie zwanego okresu testowego otrzymałem na kartce swój adres mailowy, dane do giełdy ładunków, login do bramki voip i hasło do komputera o dziwo wszędzie takie samo. Skoro moje są takie same to sprawdzę to z innymi adresami mailowymi i .....

~jestem wróżbitą lvl2

Skoro mamy tylko tyle i aż tyle i wiemy gdzie jest host (dzięki narzędziu whois )
to możemy zalogować się do acp hostingu mailowego i można robić co tylko zechcemy. Jeśli hasło działa z innymi to z adresem właściciela też musi no i faktycznie nie myliłem się.

Po pierwszym i ostatnim dniu "okresu testowego" żegnając się z właścicielem przekazałem mu informację, że kończy się mu przestrzeń przydzielona do skrzynek e-mail i musi sobie coś z tym zrobić.
Jego reakcja była bezcenna ;)

Raz Dwa Trzy następny będziesz TY.

Zabezpieczenie swoich danych, oraz danych firmowych nie jest ciężkie, faktycznie należy przestrzegać zasad tworzenia bezpiecznych haseł ale można zrobić to w taki sposób aby dla Ciebie hasło było łatwe zapamiętania a dla osób postronnych trudne do złamania lub odgadnięcia. Pomijając narzędzia zabezpieczające i najnowsze technologie, kwestia bezpieczeństwa danych nadal jest tematem newralgicznym.
Przedstawione powyżej dwa przykłady są firmami oddalonymi od siebie o niecałe 12km. 
Są to dwie firmy spośród tysiąca w okolicy, których bezpieczeństwo jest niewiadomą. Być może to Twoja firma lub Ty tam pracujesz ? Co jeśli pewnego dnia okaże się, że wszystkie dane zostały przejęte bądź też usunięte wraz z backupami lub pieniądze np. z panelu payu przelane na inne konto ?
Nigdy nie wiadomo kto i z jakimi intencjami krąży w okolicy, może będzie to osoba która tylko wytknie te błędy i nic z nimi nie zrobi a być może będzie to ktoś kto udostępni Twoje poufne dane innym.
Dla wszystkich mniejszych i większych firm nadchodzące RODO lub jak kto lubi GDPR powinno być wybawieniem, o ile ktoś kompetentnie podejdzie do tego przepisu.

PS.
Powyższy tekst niema w zamiarze nakłaniania do "sprawdzania zabezpieczeń firm" lecz został napisany po to aby wytknąć i przypomnieć niektórym "gagatkom", że bezpieczeństwo to priorytet i nie należy tego bagatelizować.

źródła:
Wikipedia
Giphy.com

  

Komentarze