Zawód: Haker. Na zlecenie włamują się do największych instytucji finansowych i korporacji. Mogą praktycznie wszystko

Zawód: Haker. Na zlecenie włamują się do największych instytucji finansowych i korporacji. Mogą praktycznie wszystko24.03.2017 15:33
Źródło zdjęć: © F-Secure

- Gdy w systemie zabezpieczeń jednej z największych instytucji finansowych w kraju znaleźliśmy masę błędów, to jej szef skomentował to jednym zdaniem: Cieszę się, że znaleźliście to przed Rosjanami - tak mówi Leszek Tasiemski, lider jednostki Rapid Detection Center z F-Secure. Jest on szefem zespołu pentesterów, którzy zawodowo zajmują się włamywaniem do systemów komputerowych. Ich praca często ociera się nielegalne czy bezprawne działania z wyłamywaniem drzwi czy włamywaniem się do budynków włącznie. Eksperci z F-secure, u których testy bezpieczeństwa zamawiają największe finansowe korporacje zdradzili nam jak wygląda ich praca.

- Atak na firmę zaczyna się od przeprowadzenia rozpoznania. Na samym początku nie trzeba nawet sięgać do nielegalnych czy nieetycznych praktyk, wiele informacji o swoich ludziach udostępniają same firmy. Resztą pochwalą się pracownicy w mediach społecznościowych – mówi Leszek Tasiemski, lider jednostki Rapid Detection Center z F-Secure.

Tutaj nieoceniony jest Facebook i LinkedIN. Ludzie beztrosko dzielą się na nich informacjami, które nie zawsze powinny być widoczne dla każdego. Dzięki temu można bardzo łatwo odwzorować hierarchię w firmie i wybrać „ofiarę”. Jedną z najpopularniejszych metod ataku jest tzw. phishing, czyli wyłudzenie wrażliwych danych (loginu i hasła) poprzez podszycie się pod oficjalną stronę czy to portalu społecznościowego lub jeszcze lepiej wewnętrznego systemu samej firmy. Poprawnie przeprowadzona akcja phishingowa daje zastraszająco dobre rezultaty.

Źródło zdjęć: © F-Secure
Źródło zdjęć: © F-Secure

Eksperyment przeprowadzony przez F-Secure pokazał, że w link zawarty w sfałszowanej wiadomości kliknęło aż 52 proc. pracowników. Mało tego, na podstawionej stronie, wyglądającej jak panel logowania do LinkedIN, 13 proc. osób podało swój login i hasło. A biorąc pod uwagę, że ludzie często używają tych samych danych do różnych serwisów to jest duża szansa, że uda się za jednym razem uzyskać dostęp np. do służbowej skrzynki pocztowej pracownika.

Jeśli hakerowi uda się w taki sposób dostać do wewnętrznego systemu firmy to ma on ogromne możliwości wyrządzenia szkód. Dzięki programowi o nazwie Radar pentester może momentalnie przeskanować system w poszukiwaniu dziur i słabych punktów. Samo zainfekowanie systemu jest kwestią kilku minut. Podczas prezentacji w poznańskim centrum F-Secure, jeden z jej pracowników "na żywo" wykonał taki atak. zajęło to mniej niż 3 minuty. Jednak przestępcy i pentesterzy nie poprzestają na działaniu zdalnym. Coraz częściej „brudzą sobie ręce” na miejscu, w siedzibie firmy. Daje to zdecydowanie większe możliwości.

Pierwszym krokiem jest fizyczne wejście do budynku. Metod jest wiele i cały czas przedsiębiorczy hakerzy wymyślają nowe. Popularnymi sposobami na dostanie się do środka są np.: dziennikarz przychodzący na konferencję prasową lub wywiad, robotnik z drabiną czy osoba szukająca pracy na rozmowę kwalifikacyjną. W środku można rozejrzeć się, sprawdzić jak wyglądają systemy bezpieczeństwa i przygotować kolejne kroki. W przypadku sposobu „na rozmowę o pracę” *można poprosić sekretarkę o hasło do Wi-Fi lub o wydrukowanie CV z pendrive’a, który będzie zainfekowany złośliwym oprogramowaniem. *

Źródło zdjęć: © F-Secure
Źródło zdjęć: © F-Secure

Jednak taki sposób to tylko pierwszy krok do skutecznego działania hakerzy muszą zapewnić sobie stały i najlepiej nieograniczony dostęp do budynku. Tutaj w ruch idą skanery kart wejściowych. Takie urządzenie potrafi skopiować słabo zabezpieczoną kartę już w ciągu 3 sekund. Później można ją skopiować, albo grzebiąc w jej kodzie źródłowym, spróbować zwiększyć uprawnienia np. o dostęp do serwerowni.

Źródło zdjęć: © F-Secure
Źródło zdjęć: © F-Secure

- Jednym z realnych przykładów idealnego uzyskania dostępu było podszycie się pod serwis IT – opowiada Leszek Tasiemski. Wyglądało to następująco. Zadzwoniliśmy do biura, podaliśmy się za pracownika i powiedzieliśmy, że mamy problem z komputerem i potrzebujemy numeru do firmowego działu IT. Gdy już go mieliśmy to sami podszyliśmy się pod ten dział, zadzwoniliśmy do filii firmy w innym mieście i powiedzieliśmy, że dostajemy dziwne alerty bezpieczeństwa od drukarki w biurze. Powiedzieliśmy też, że trzeba ją zrestartować i zainstalować nowe oprogramowanie. Oczywiście nikt z biura nie miał czasu ani ochoty się tym zajmować , więc zaproponowaliśmy, że ktoś od nas przyjedzie i się tym zajmie, tylko potrzebny jest mu dostęp. W ten sposób załatwiliśmy sobie nie tylko wejście do budynku ale też akces do sprzętów komputerowych, które mogliśmy bez problemu infekować, podłączać swoje sniffery, które monitorują ruch w firmowej sieci, a jako „zaufani specjaliścu IT” mogliśmy nawet zdalnie prosić pracowników o ściąganie podanych przez nas programów i wykonywanie poleceń.

Źródło zdjęć: © F-Secure
Źródło zdjęć: © F-Secure

Podczas pracy pentesterzy muszą trzymać się kilku zasad: nie mogą czytać prywatnej korespondencji pracowników i włamywać się na ich prywatne konta. W stosunku do pracowników mogą stosować tylko socjotechnikę, jednak poza tym dozwolone jest wszystko włącznie z rozbijaniem zamków czy wyciąganiu serwerów przez okno jeśli tylko jest taka potrzeba.

- Jako pentesterzy często dostajemy tzw. kartę „wyjdź za darmo z więzienia” – tłumaczy Jarosław Kamiński, lider zespołu zajmującego się pentestami. - Jeśli zostaniemy przyłapani przez pracowników lub ochronę, to żeby nie wzywać policji pokazujemy takie upoważnienie, które wydaje np. zarząd firmy. Jednak zdarzało się, że przyłapani na gorącym uczynku po prostu mówiliśmy, że sprawdzamy szczelność systemu i zostaliśmy puszczani wolno bez pokazywania jakichkolwiek dokumentów. *Jeden z ochroniarzy nawet zapytał czy nie potrzebujemy jakiejś pomocy. *

- Niestety ludzie nie reagują czasem nawet na ewidentne przypadki włamań. Kiedyś jednemu z naszych zespołów udało się dostać do serwerowni i zainstalować swoje urządzenie. Gdy miesiąc później pentester chciał je usunąć, to okazało się, że podczas prac w pomieszczeniu urządzenie zostało odnalezione, ale nikt z nim nic nie zrobił. Mało tego, urządzenie było w tym czasie chwilowo odłączone, a później ktoś z pracowników podłączył je na nowo! – opowiada Jarosław Kamiński.

Źródło zdjęć: © F-Secure
Źródło zdjęć: © F-Secure

Tak naprawdę każdą sieć czy urządzenie podłączone do internetu da się zhackować, czasem to po prostu kwestia czasu. Ale co z systemami, które do sieci podłączone nie są? Albo fizyczne dostanie się do budynku jest niezwykle trudne? Także na to są sposoby. Jednym z nich jest np. porzucenie pendrive’a w miejscu gdzie pojawiają się pracownicy firmy (np. przed wejściem czy na parkingu), istnieje duża możliwość, że ciekawski pracownik podłączy pendrive’a z nagranym wcześniej wirusem do służbowego komputera. Wśród speców od bezpieczeństwa krąży historia o rosyjskim wywiadzie, który w podobny sposób zhackował jednostkę NATO w jednym z afrykańskich państw. Wiedzieli, że dostanie się do niej będzie niemożliwe, więc do jedynego sklepu z elektroniką w okolicy podrzucili swoje zainfekowane pendrive’y.

Każdy taki test kończy się szczegółowym raportem, dzięki któremu firma może podnieść swoje bezpieczeństwo. Nawet przy odkryciu dużych luk zlecający są często wdzięczni za ich odnalezienie. – Pamiętam gdy powiedziałem szefowi jednej z największych instytucji finansowych, że udało nam się włamać do ich systemu. Co wtedy odpowiedział? „Dobrze, że znaleźliście to przed Rosjanami” – mówi Leszek Tasiemski. – Wiele firm nie spodziewa się tego, że uzyskamy dostęp fizycznie, wkradając się do budynku. Na dodatek często jest to zaskakująco proste zadanie. Wystarczy pracownicza odblaskowa kamizelka bezpieczeństwa, która działa lepiej niż peleryna niewidka rodem z Harry’ego Pottera – podsumowuje Tasiemski.

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA