Atak hakerski na firmę. Ziścił się największy koszmar zarządu

Atak hakerski na firmę. Ziścił się największy koszmar zarządu22.11.2017 09:24
Źródło zdjęć: © F-Secure

"Jeśli o problemach swojej firmy dowiadujesz się z internetu, to bardzo źle. Zwłaszcza jeśli problemy dotyczą wycieku kodu źródłowego jednego z flagowych programów, a ty jesteś odpowiedzialny za bezpieczeństwo IT".

"Sprzedają nam gówno i jeszcze chcą, żeby im za to dziękować" – oho, nie jest dobrze pomyślałem, czytając post na blogu hakerów z grupy "Anonymus" o firmie, w której pracuję.

"Kod źródłowy (zapis programu komputerowego w języku programowania) ich programów zabezpieczających to jakiś żart. Zobaczcie sami, wrzuciłem go >tutaj<" – o cholera, już wiedziałem, że przez najbliższy tydzień nie wyjdę z roboty.

Jeśli dowiadujesz się z sieci, że twoja firma ma problemy, to nie jest dobry znak. A jeśli pracujesz w firmie, która zajmuje się bezpieczeństwem w sieci, to może to być dla niej wyrok.

W poszukiwaniu kreta

Z firmowych serwerów ktoś wykradł kod źródłowy naszego sztandarowego programu (VPN), który sprzedajemy naszemu największemu klientowi niemieckiemu operatorowi komórkowemu. Nikt nie chciał okupu, jak to często bywa w takich przypadkach. Kod został upubliczniony i teraz każdy ma do niego wgląd. Mało tego, za kod wzięli się już różni spece i zaczęli go analizować.

- Rzeczywiście sprzedajemy ludziom gówno – pomyślałem. Kod był niskiej jakości, przestarzały i podatny na masę dobrze znanych ataków. Ale to nie był mój problem. Ja musiałem znaleźć "kreta" i zamknąć dziury, którymi przeniknął do firmy. W cyfrowym świecie nie jest to takie łatwe. Niektóre włamania pozostają nieodkryte przez lata. Zwłaszcza takie, o których dowiadujesz się z internetu, a nie od własnych adminów.

Można to porównać do sytuacji z włamaniem do domu. Jeśli wracasz z pracy, widzisz wyważone drzwi i sterczące ze ściany kable, to wiesz, że ktoś wszedł drzwiami i ukradł ci telewizor. Wystarczy, że zmienisz zamek i będziesz monitorował, czy ktoś nie sprzedaje twojego sprzętu w sieci. Ale jeśli wrócisz z pracy do zamkniętego domu, pójdziesz do kuchni, zrobisz sobie herbatę i siedząc przy kuchennym stole zobaczysz na tablecie, że ktoś sprzedaje w interecie twój telewizor, to masz większy problem.

Nie wiadomo, którędy złodziej wszedł (może dorobił sobie klucze do drzwi, może oknem, a może cały czas jest w domu), nie wiadomo co jeszcze ukradł oprócz telewizora i czy nie zamierza wrócić. W takiej mniej więcej sytuacji znajduje się zespół reagowania na incydenty. Wiemy, że mieliśmy włamanie i że ktoś ukradł nasz kod. Nie wiedzieliśmy, jak i którędy wszedł, gdzie się dostał, i czy jest jeszcze w naszym systemie.

Kim jest użytkownik Frank?

Trzeba od czegoś zacząć. Jakiś czas temu firma prowadziła program stażowy. W ich laboratorium doszło wtedy do włamania, można by pójść tym tropem. Zaczęliśmy przy tym grzebać, ale priorytety szybko się zmieniły. Przyszedł e-mail od chłopaków z działu IT. Znaleźli komputer, z którego prawdopodobnie doszło do ataku.

Podatny komputer: STACJAROBOCZA1.7 – do czego miał dostęp?
Użytkownik: Frank?

Skąd mam niby wiedzieć, kim jest Frank? Wysłaliśmy e-maila do HR-ów, żeby się nim zajęli, ale przy ich tempie pracy, wielkich efektów się nie spodziewamy. Wzięliśmy się za sprawdzanie komputera. Okazało się, że nie miał szerokich uprawnień, ale na wszelki wypadek odłączyliśmy go od sieci. W międzyczasie wysłaliśmy zlecenie do podwykonawcy żeby przysłał nam analizę logów firmowej sieci. Da nam to informację o tym, kto i kiedy miał dostęp do kodu źródłowego i czy nie został on zgrany na pendrive lub wysłany e-mailem. Oby się szybko się z tym uwinęli.

Zarząd przysłał nam zlecenie, aby ściągnąć wiadomość z blogu "Anonymus". Czy oni w ogóle wiedzą, o czym mówią? Po pierwsze nie jesteśmy rządową agencją i nie możemy tak sobie "ściągać". Po drugie wiadomość żyje już na Twitterze i portalach branżowych. Nic to nie da, a jeszcze smrodu narobi. Nawet nie bierzemy tego na poważnie.

Przyjechał prezes, będzie chciał wiedzieć, co się dzieje i w jak głębokim jesteśmy szambie. Idziemy. Jest i zarząd, i chłopaki z IT. Na pierwszy ogień idzie zarząd. Prezes pyta, co do tej pory zrobili.

- Poinformowaliśmy policję i wydaliśmy komunikat prasowy – mówi ktoś z zarządu. Ciekawe co powiedzieli prasie, jeśli nawet my nic nie wiemy.

- Powiadomiliście prasę i służby bez informowania mnie, rady nadzorczej i klienta? – pyta prezes. Nie chciałbym być teraz w skórze tego, który się odezwał. – Eeehe, no tak – facet zrobił się tak malutki, że prawnie zniknął za stołem.

- A to ciekawe... – prezes był spokojny, ale jego głos zabrzmiał złowrogo. – Dobra później się tym zajmę. IT, co wy macie?

- Zlokalizowaliśmy komputer, przez który doszło do włamania i zarządziliśmy dokładne sprawdzenie, jakie jeszcze działania były na nim prowadzone.
- A to nie nasze zadanie? – pomyślałem. Znowu wszyscy zaczynają sobie wchodzić w kompetencje.
- OK. Incydenty, co u was? – prezes skierował wzrok do nas.

- STACJAROBOCZA1.7 nie miała uprawnień administratora. Zamówiliśmy logi z całej sieci, żeby sprawdzić skąd został pobrany kod źródłowy – odpowiedziałem.

- Dobra. Spotykamy się o szesnastej – zarządził prezes. – A wy wszystko puszczajcie przeze mnie – powiedział do zarządu.

Robak w dokumencie

Godzinę później nadal nie mieliśmy logów, a zarząd cisnął nas o szczegóły. Przynajmniej przyszła historia operacji z komputera Franka, ta którą zamówiło IT.

- STACJAROBOCZA1.7 została zainfekowana przez złośliwy kod w makro w dokumencie Word – referuje nam analityk – potem przedostał się do serwera.

Cholera, trzeba go jak najszybciej odłączyć i odpalić back-up – pomyślałem.

- Dostał się też do kontrolera domeny – kontynuował analityk.

No to ładnie. Kontrolera domeny nie możemy tak po prostu odłączyć. Możemy go teraz co najwyżej monitorować.

Analityk poszedł. Mam nadzieję, że pracować nad logami. Wysłaliśmy wiadomość do IT, żeby odłączyli zarażony serwer i puścili zapasowy.

W gąszczu tweetów i niesprawdzonych doniesień prasowych pojawiła się w końcu i ta oficjalna. Ta, którą zarząd puścił bez konsultacji:

"Bezpieczeństwo naszych klientów jest dla nas priorytetem. Pracujemy nad rozwiązaniem problemy i będziemy was aktualizować na bieżąco."

Nic dziwnego, że nas nie pytali o szczegóły. Tak ogólną informację moglibyśmy wysyłać w odpowiedzi na pytanie o dowolny incydent.

Robota insidera

W internecie spece od bezpieczeństwa już zaczęli rozbierać nasz kod na części i go krytykować. Na dodatek Kevin Mitnick (chyba najsłynniejszy haker na świecie) wrzucił na tweeta, że wyciek kodu mógł być robotą insidera. – Ciekawe skąd ma takie informacje? Może go o to zapytam, mam go w znajomych - postanowiłem.

"O co chodzi z tym spamem i kiedy włączycie zapasowe serwery" – przyszedł e-mail od zarządu?
- Czy ktoś wie o jaki spam chodzi? – zapytałem

- Wygląda na to, że nasi pracownicy są zalewani gigantyczną ilością spamu i skarżą się na to w mediach społecznościowych. Nikt im nie mówił ,żeby brudów nie wyciągać na zewnątrz? – odpowiedział mi kumpel. – Oho i jeszcze narzekają, że serwery nie działają. Czy nie wysłaliśmy zlecenia do IT, żeby włączyli zapasowe?

- Właśnie nam napisali, żebyśmy my go włączyli, bo to nasz obowiązek – odpowiedział inny.

No to świetnie. Wiedzieliśmy, skąd przyszedł atak, ale nadal go nie ograniczyliśmy i część serwerów nie działa, praktycznie uniemożliwiając pracę. Od strony PR to jakiś koszmar, a logów jak nie było, tak nie ma. Podobno podwykonawca nie może się za nie zabrać, bo zarząd zamówił u nich analizę ryzyka! Mogli przyjść i zapytać, to byśmy im powiedzieli, że ryzyko jest takie, że im później dostaniemy dane o logowaniach, tym później system stanie na nogi.

I w tym momencie ziścił się największy koszmar zarządu. Pojawiła się informacja od naszego klienta:

"Nic nie wiedzieliśmy o problemach" – to zarząd jeszcze się z nimi nie skontaktował?! "Bezpieczeństwo naszych klientów jest dla nas najważniejsze, więc podjęliśmy decyzję o zerwaniu współpracy z firmą dostarczającą zabezpieczenia. Będziemy informować na bieżąco o kolejnych krokach".

Stażysta-terrorysta

W koncu dopadliśmy typa. Okazało się, że włamywaczem był jeden ze stażystów. Podczas krótkiego okresu w firmie zrobił rozpoznanie sieci, a gdy już przestał pracować, przystąpił do ataku. Wiedział, że gdy już przeniknie przez zabezpieczenia, to będzie miał duże pole do popisu. Większość firm zabezpiecza się na wypadek ataku z zewnątrz. Ale jeśli komuś uda się dostać do środka, to ma wszystko podane jak na tacy. Zabezpieczenia naszej firmy wyglądały tak samo, a my powinniśmy lepiej być przygotowani.

Powyższa historia to opis ćwiczenia przeprowadzanego przez F-Secure dla zarządów i działów zajmujących się bezpieczeństwem IT w firmach. Ćwiczenie odbyło się w siedzibie głównej firmy F-Secure w Helsinkach w dniu 20.11.2017. Scenariusz był inspirowany prawdziwymi wydarzeniami.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA