#hardtalk: tak najskuteczniej kradnie się dane

Autor: Piotr Konieczny, Niebezpiecznik.pl

W mojej opinii, to nie cyberbroni, czy zaawansowanych ataków APT powinny w pierwszej kolejności obawiać się polskie firmy. Do takiego, być może zaskakującego dla wielu wniosku doszedłem analizując wyniki realizowanych przez nasz zespół bezpieczeństwa testów penetracyjnych i działań typu red teaming. W tych zleceniach, w których klient zezwolił na użycie socjotechniki i atakowanie swoich pracowników (a nie tylko samych firmowych serwerów i webaplikacji) mieliśmy bowiem 100% skuteczność. I nawet nie musieliśmy korzystać ze złośliwego oprogramowania. A więc żadnego nakłaniania pracowników do otwierania załączników czy też infekowania ich urządzeń.

Być może to zaskakujące dla osób, które nigdy nie tworzyły kampanii phishingowych, ale pracownicy sami dawali nam to, czego chcieliśmy -- konkretne dokumenty lub dane dostępowe do firmowych systemów. W każdym z ataków wystarczyło wysłanie zaledwie kilku e-maili o odpowiednio dopasowanej treści, do umiejętnie wybranych pracowników-ofiar.

Tu warto jednak nadmienić, że konstruując fałszywe e-maile i wybierając ofiary braliśmy pod uwagę wyniki tygodniowego rekonesansu, czyli czasu, w którym nasi analitycy zbierali dosłownie wszystko, czego można było się dowiedzieć na temat firmy-ofiary z publicznych źródeł (struktura działów, dane pracowników, siatka kontrahentów). Dopiero na podstawie tych informacji ustalaliśmy pod kogo się podszyjemy (kolegę, przełożonego, czy klienta ofiary?). Ta żmudna i kosztowna praca zawsze się opłacała, przynosząc liczone w dziesiątkach tysięcy procentów "zwroty na inwestycji".

Ku naszemu zdumieniu, na fałszywe e-maile nabierali się także techniczni pracownicy, a często kluczem do sukcesu była odpowiednia pora, w jakiej rozsyłaliśmy fałszywe e-maile. To mit, że ofiarami są wyłącznie tzw. "Panie Halinki". Nierzadko "hackowaliśmy" mocno technicznych kierowników specjalistycznych komórek IT, niestety także tych związanych z bezpieczeństwem...

Poza zaskakująco dużym odsetkiem ofiar (średnio ok. 40% pracowników firmy), dość smutną obserwacją było także to, że działy IT wszystkich firm, którym udało się wykryć nasze ataki, nie były w stanie poprawnie obsłużyć incydentu tego typu. Albo nie do końca usunęli nas z firmowych systemów albo nie potrafili wiarygodnie i efektywnie poinformować personelu o ataku w taki sposób, by kolejne osoby się na niego nie nabierały

Nasze obserwacje zdają się także potwierdzać niedawne wydarzenia w Polsce. Mniej jest już kampanii e-mailowych ze złośliwym oprogramowaniem wysyłanych do wszystkich "jak leci". Przestępcy segregują swoje ofiary i wysyłają wiadomości o konkretnej treści do konkretnych grup docelowych, np. pełnomocnictwa do kancelarii prawnych, projekty udające pliki AutoCAD do architektów, fałszywe listy zapisów na zajęcia do studentów czy podrobione komunikaty z serwisu aukcyjnego do faktycznych osób sprzedających na tym serwisie.

Taka segmentacja ofiar to przykład właśnie minimalnego rekonesansu i niewielki wysiłek, ale bazując na naszych własnych doświadczeniach, jesteśmy pewni, że tego typu działania przynoszą cyberprzestępcom większe zyski. Nie mówiąc już o tym, że wąskie grupy docelowe ograniczają badaczom bezpieczeństwa wykrywanie i ujawnianie tego typu incydentów.

Czy można sobie poradzić z takimi spersonalizowanymi atakami?

Tak, zwiększając świadomość potencjalnych ofiar. To opinia wszystkich specjalistów ds. bezpieczeństwa. Problem jednak polega na tym, że jeśli o bezpieczeństwie IT chcemy coś powiedzieć przeciętnemu Kowalskiemu, to nie powinno się tego bezpieczeństwa rozpatrywać i przedstawiać jako osobnego tematu. Bezpieczeństwo to jest coś, co jest nierozerwalnie związane z daną technologią czy procesem. Aspekty bezpieczeństwa, a także wpływu na prywatność, powinny być więc poruszane podczas szkoleń z kontaktów z klientem, kursów z firmowego oprogramowania, czy nawet w trakcie instruktażu obsługi firmowej drukarki. Ta wiedza jest niezbędna każdemu kto korzysta w pracy z komputera i Internetu, a to dziś oznacza praktycznie wszystkich. Ważne jest, żeby o bezpieczeństwie mówić w sposób przystępny i umieć pewne skomplikowanie techniczne aspekty przełożyć na język recepcjonisty w hotelu, kadrowej w korporacji, czy członka zarządu średniej wielkości spółki. Każda z tych grup docelowych potrzebuje bezpieczeństwa, ale na innym poziomie. Poufność prowadzenia negocjacji i aspekty prawne gwarantujące bezpieczeństwo powierzanych w ramach kontraktu danych to coś co będzie szalenie interesowało członka zarządu, ale niekoniecznie kadrową. Kadrowej za to przyda się wiedza o usuwaniu metadanych, aby kolejna zatrudniana przez nią osoba nie dowiedziała się jakie warunki finansowe firma zaoferowała innemu kandydatowi na to samo stanowisko.

Ponieważ jednak nawet najlepiej wyszkolony pracownik może doznać tymczasowego "zaćmienia umysłowego", edukację warto uzupełnić technicznymi zabezpieczeniami. Przed phishingiem najlepiej chroni dwuskładnikowe uwierzytelnienie, realizowane w oparciu o sprzętowe klucze U2F. Taki klucz, np. marki Yubico, można kupić za 18 dolarów i skojarzyć go z kontem Google, Facebookiem, GitHubem, Dropboksem i innymi popularnymi usługami, w tym firmowym CRM-em czy programem finansowo księgowym, bo spółka udostępnia darmowe SDK, dla programisty jest to więc kilka godzin integracji, a dla firmy olbrzymi wzrost ochrony. Dzięki zastosowaniu U2F, nawet jeśli ktoś zmanipuluje nas tak, że przechwyci nasze hasło, to i tak nie uda mu się zalogować do naszego konta. Chyba, że fizycznie damy mu nasz klucz. John Podesta, szef kampanii prezydenckiej Hillary Clinton korzystał z GMaila, ale nie z takiego klucza. Efekt? Rosjanie wykradli jego e-maile.

Odkąd wdrożyliśmy tego typu rozwiązania bazujące na dopasowanych do profilu pracownika szkoleniach, regularnych testach socjotechnicznych wzmagających czujność i sprzętowych kluczach U2F zarówno u nas jak i wśród naszych klientów phishing przestał być zauważalnym problemem.