Zawód: Haker. Na zlecenie włamują się do największych instytucji finansowych i korporacji. Mogą praktycznie wszystko
- Gdy w systemie zabezpieczeń jednej z największych instytucji finansowych w kraju znaleźliśmy masę błędów, to jej szef skomentował to jednym zdaniem: Cieszę się, że znaleźliście to przed Rosjanami - tak mówi Leszek Tasiemski, lider jednostki Rapid Detection Center z F-Secure. Jest on szefem zespołu pentesterów, którzy zawodowo zajmują się włamywaniem do systemów komputerowych. Ich praca często ociera się nielegalne czy bezprawne działania z wyłamywaniem drzwi czy włamywaniem się do budynków włącznie. Eksperci z F-secure, u których testy bezpieczeństwa zamawiają największe finansowe korporacje zdradzili nam jak wygląda ich praca.
- Atak na firmę zaczyna się od przeprowadzenia rozpoznania. Na samym początku nie trzeba nawet sięgać do nielegalnych czy nieetycznych praktyk, wiele informacji o swoich ludziach udostępniają same firmy. Resztą pochwalą się pracownicy w mediach społecznościowych – mówi Leszek Tasiemski, lider jednostki Rapid Detection Center z F-Secure.
Tutaj nieoceniony jest Facebook i LinkedIN. Ludzie beztrosko dzielą się na nich informacjami, które nie zawsze powinny być widoczne dla każdego. Dzięki temu można bardzo łatwo odwzorować hierarchię w firmie i wybrać „ofiarę”. Jedną z najpopularniejszych metod ataku jest tzw. phishing, czyli wyłudzenie wrażliwych danych (loginu i hasła) poprzez podszycie się pod oficjalną stronę czy to portalu społecznościowego lub jeszcze lepiej wewnętrznego systemu samej firmy. Poprawnie przeprowadzona akcja phishingowa daje zastraszająco dobre rezultaty.
Eksperyment przeprowadzony przez F-Secure pokazał, że w link zawarty w sfałszowanej wiadomości kliknęło aż 52 proc. pracowników. Mało tego, na podstawionej stronie, wyglądającej jak panel logowania do LinkedIN, 13 proc. osób podało swój login i hasło. A biorąc pod uwagę, że ludzie często używają tych samych danych do różnych serwisów to jest duża szansa, że uda się za jednym razem uzyskać dostęp np. do służbowej skrzynki pocztowej pracownika.
Jeśli hakerowi uda się w taki sposób dostać do wewnętrznego systemu firmy to ma on ogromne możliwości wyrządzenia szkód. Dzięki programowi o nazwie Radar pentester może momentalnie przeskanować system w poszukiwaniu dziur i słabych punktów. Samo zainfekowanie systemu jest kwestią kilku minut. Podczas prezentacji w poznańskim centrum F-Secure, jeden z jej pracowników "na żywo" wykonał taki atak. zajęło to mniej niż 3 minuty. Jednak przestępcy i pentesterzy nie poprzestają na działaniu zdalnym. Coraz częściej „brudzą sobie ręce” na miejscu, w siedzibie firmy. Daje to zdecydowanie większe możliwości.
Pierwszym krokiem jest fizyczne wejście do budynku. Metod jest wiele i cały czas przedsiębiorczy hakerzy wymyślają nowe. Popularnymi sposobami na dostanie się do środka są np.: dziennikarz przychodzący na konferencję prasową lub wywiad, robotnik z drabiną czy osoba szukająca pracy na rozmowę kwalifikacyjną. W środku można rozejrzeć się, sprawdzić jak wyglądają systemy bezpieczeństwa i przygotować kolejne kroki. W przypadku sposobu „na rozmowę o pracę” *można poprosić sekretarkę o hasło do Wi-Fi lub o wydrukowanie CV z pendrive’a, który będzie zainfekowany złośliwym oprogramowaniem. *
Jednak taki sposób to tylko pierwszy krok do skutecznego działania hakerzy muszą zapewnić sobie stały i najlepiej nieograniczony dostęp do budynku. Tutaj w ruch idą skanery kart wejściowych. Takie urządzenie potrafi skopiować słabo zabezpieczoną kartę już w ciągu 3 sekund. Później można ją skopiować, albo grzebiąc w jej kodzie źródłowym, spróbować zwiększyć uprawnienia np. o dostęp do serwerowni.
- Jednym z realnych przykładów idealnego uzyskania dostępu było podszycie się pod serwis IT – opowiada Leszek Tasiemski. Wyglądało to następująco. Zadzwoniliśmy do biura, podaliśmy się za pracownika i powiedzieliśmy, że mamy problem z komputerem i potrzebujemy numeru do firmowego działu IT. Gdy już go mieliśmy to sami podszyliśmy się pod ten dział, zadzwoniliśmy do filii firmy w innym mieście i powiedzieliśmy, że dostajemy dziwne alerty bezpieczeństwa od drukarki w biurze. Powiedzieliśmy też, że trzeba ją zrestartować i zainstalować nowe oprogramowanie. Oczywiście nikt z biura nie miał czasu ani ochoty się tym zajmować , więc zaproponowaliśmy, że ktoś od nas przyjedzie i się tym zajmie, tylko potrzebny jest mu dostęp. W ten sposób załatwiliśmy sobie nie tylko wejście do budynku ale też akces do sprzętów komputerowych, które mogliśmy bez problemu infekować, podłączać swoje sniffery, które monitorują ruch w firmowej sieci, a jako „zaufani specjaliścu IT” mogliśmy nawet zdalnie prosić pracowników o ściąganie podanych przez nas programów i wykonywanie poleceń.
Podczas pracy pentesterzy muszą trzymać się kilku zasad: nie mogą czytać prywatnej korespondencji pracowników i włamywać się na ich prywatne konta. W stosunku do pracowników mogą stosować tylko socjotechnikę, jednak poza tym dozwolone jest wszystko włącznie z rozbijaniem zamków czy wyciąganiu serwerów przez okno jeśli tylko jest taka potrzeba.
- Jako pentesterzy często dostajemy tzw. kartę „wyjdź za darmo z więzienia” – tłumaczy Jarosław Kamiński, lider zespołu zajmującego się pentestami. - Jeśli zostaniemy przyłapani przez pracowników lub ochronę, to żeby nie wzywać policji pokazujemy takie upoważnienie, które wydaje np. zarząd firmy. Jednak zdarzało się, że przyłapani na gorącym uczynku po prostu mówiliśmy, że sprawdzamy szczelność systemu i zostaliśmy puszczani wolno bez pokazywania jakichkolwiek dokumentów. *Jeden z ochroniarzy nawet zapytał czy nie potrzebujemy jakiejś pomocy. *
- Niestety ludzie nie reagują czasem nawet na ewidentne przypadki włamań. Kiedyś jednemu z naszych zespołów udało się dostać do serwerowni i zainstalować swoje urządzenie. Gdy miesiąc później pentester chciał je usunąć, to okazało się, że podczas prac w pomieszczeniu urządzenie zostało odnalezione, ale nikt z nim nic nie zrobił. Mało tego, urządzenie było w tym czasie chwilowo odłączone, a później ktoś z pracowników podłączył je na nowo! – opowiada Jarosław Kamiński.
Tak naprawdę każdą sieć czy urządzenie podłączone do internetu da się zhackować, czasem to po prostu kwestia czasu. Ale co z systemami, które do sieci podłączone nie są? Albo fizyczne dostanie się do budynku jest niezwykle trudne? Także na to są sposoby. Jednym z nich jest np. porzucenie pendrive’a w miejscu gdzie pojawiają się pracownicy firmy (np. przed wejściem czy na parkingu), istnieje duża możliwość, że ciekawski pracownik podłączy pendrive’a z nagranym wcześniej wirusem do służbowego komputera. Wśród speców od bezpieczeństwa krąży historia o rosyjskim wywiadzie, który w podobny sposób zhackował jednostkę NATO w jednym z afrykańskich państw. Wiedzieli, że dostanie się do niej będzie niemożliwe, więc do jedynego sklepu z elektroniką w okolicy podrzucili swoje zainfekowane pendrive’y.
Każdy taki test kończy się szczegółowym raportem, dzięki któremu firma może podnieść swoje bezpieczeństwo. Nawet przy odkryciu dużych luk zlecający są często wdzięczni za ich odnalezienie. – Pamiętam gdy powiedziałem szefowi jednej z największych instytucji finansowych, że udało nam się włamać do ich systemu. Co wtedy odpowiedział? „Dobrze, że znaleźliście to przed Rosjanami” – mówi Leszek Tasiemski. – Wiele firm nie spodziewa się tego, że uzyskamy dostęp fizycznie, wkradając się do budynku. Na dodatek często jest to zaskakująco proste zadanie. Wystarczy pracownicza odblaskowa kamizelka bezpieczeństwa, która działa lepiej niż peleryna niewidka rodem z Harry’ego Pottera – podsumowuje Tasiemski.