Problem bezpieczeństwa danych powinien być znany każdemu przedsiębiorcy. Niestety w małych i średnich firmach jest on spychany na drugi plan. Ważniejszy jest zarobek. Najczęstszymi argumentami przytaczanymi podczas rozmowy o bezpieczeństwie są:
- „Przecież do tej pory nic się nie stało”
- „U mnie na stacji nie ma ważnych informacji.
Już sam fakt że firma się rozwija zwiększa ryzyko ataku ponieważ staje się coraz atrakcyjniejszym celem. Najczęściej problem bezpieczeństwa wraca gdy jest już zbyt późno na reakcję. Dla tego w tym artykule postaram się przedstawić parę możliwych zagrożeń oraz przykładowy schemat ataku na środowisko informatyczne firmy.
Skutki ataku
Najczęstszymcelem ataków są dane firmowe (hasła, umowy, informacje poufne oklientach itp.). Mogą one posłużyć do wyłudzania pieniędzy zaich utajnienie, zostać sprzedane konkurencji lub wykorzystane w innysposób. Nie zawsze jednak muszą one zostać wykradzione. Przestępcycoraz częściej po prostu infekują komputery złośliwymoprogramowaniem, które szyfruje dysk. Użytkownik takiego komputeratraci dostęp do swoich danych. Drugim etapem jest wysłanie żądaniaokupu za odblokowanie zainfekowanej stacji. Oczywiście mimozapewnień nigdy nie mamy pewności czy odzyskamy utracone zasoby(Rysunek 1).
Motywy przestępców mogą być różne. Każdy atak jednak jest ogromnym zagrożeniem.
Co to są dane poufne
Zanim przejdziemy dalej należy odpowiedzieć na podstawowe pytanie. Co to są dane poufne? Najczęściej wskazywane będą tutaj różnego rodzaju dokumenty, faktury, umowy zawierające pełne dane klienta. Zgodnie z przepisami jednak są to wszystkie dane mogące jednoznacznie wskazywać na konkretną osobę. Np. kolor włosów nie jest informacją poufną. Jeśli jednak zdanie będzie brzmiało „osoba nosząca czarny sweter uczestnicząca w szkoleniu 22 listopada 2018r” to może zawierać komplet informacji pozwalający na zidentyfikowanie konkretnej osoby. W tym kontekście są to informacje poufne i należy o nie odpowiednio zadbać. Z tego powodu możemy przyjąć że wszystkie dane firmowe wymagają ochrony.
Przykładowe zagrożenia
Temat zagrożeń dla danych jest tak szeroki, że należało by mu poświecić osobny artykuł. Dla tego wymienię tylko kilka z nich:
- Włączone, ale nie używane gniazdka sieciowe
- Źle zabezpieczona sieć
- Nie zaszyfrowane dyski komputerów
- Brak ochrony antywirusowej
- Brak okresowej zmiany haseł
- Nieograniczony dostęp do Internetu
- Praca z uprawnieniami administratora
- Brak kontroli nad serwerami
- Ludzkie błędy
Itp.
Schemat ataku
Testy penetracyjne polegają na szukaniu słabych punktów badanego środowiska. Dalsza część artykułu opisuje jeden z wyników takiego testu. Ze względów bezpieczeństwa pule adresowe zmieniono oraz nie podano szczegółowych metod ataku oraz firmy, której dotyczy.
Testy rozpoczęto od badania portów wypuszczonych do sieci Internet. Następnie sprawdzono jakie są możliwości wpięcia nieautoryzowanego urządzenia do sieci firmowej. Bardzo niepokojące wyniki dało skanowanie sieci gościnnej, która miała być całkowicie odizolowania.
Pierwszym etapem była analiza dostępnych adresów IP (sieć 50.40.20.0/24). Na tym etapie wyniki nie sugerowały problemów. Ale czy rzeczywiście jest ona niezależna od reszty? Aby to sprawdzić trzeba było rozszerzyć zakres poszukiwań. Jednak zwiększenie puli adresów do 50.40.0.0-50.40.255.255 sprawiło że czas potrzebny na wykonanie skanowania znacząco wzrósł. Zwiększyło to prawdopodobieństwo wykrycia ataku. Aby uniknąć generowania nadmiernego ruchu w sieci wykonano kolejny test mający na celu wykrycie nieużywanych komputerów. Zgodnie z oczekiwaniami zarówno pracownicy jak i goście łączyli się do niej. Z takiej ilości komputerów, smartfonów i innego sprzętu nie trudno było wyszukać ok 15 bezczynnych stacji. Ich karty sieciowe zostały wykorzystane do ukrycia ataku i rozłożenia ruchu. Drugi skan był również bardziej dokładny i oparty o skanowanie protokołu SMB. Dzięki niemu uzyskano następujące informacje:
- Nazwa urządzenia
- Domena w jakiej pracuje
- Jaki system jest zainstalowany
- Zalogowanych użytkownikach
Po zakończeniu skanowania trwającego 90min. okazało się że wśród znalezionych komputerów jest taki, pracujący na oprogramowaniu Windows Serwer 2012. Dodatkowo jego adres to 50.40.100.102. Oznacza to że została znaleziona kolejna sieć 50.40.100.0/24. Po szczegółowym skanowaniu opisanej stacji okazało się że ma ona drugą kartę sieciową pracującą na adresie 71.21.10.102. Ta informacja była bardzo pomocna ponieważ skanowanie całego zakresu adresów 0.0.0.0-255.255.255.255 trwało by zbyt długo, nawet w przypadku wykorzystania „martwych” kart sieciowych. Kolejne skanowanie zakresu adresów 71.21.10.0/24 wykryło większość serwerów w firmie a ich analiza kolejne podsieci. Dysponując takimi danymi przeanalizowanie całej sieci firmowej i wyszukanie gorzej zabezpieczonych stacji było kwestią czasu.
Wszystkietesty zostały wykonane przy użyciu ogólno dostępnych narzędzi zawartych w systemie KaliLinux (rysunek 2).
Podsumowanie
Opisany atak ma na celu uświadomienie jak ważna jest odpowiednia dbałość o bezpieczeństwo danych w firmie. Każdy system posiada luki powstałe podczas jego konfiguracji czy użytkowania. Jednak wykonywanie okresowych testów penetracyjnych i odpowiednie reagowanie na występujące problemy pozwala na zminimalizowanie ryzyka poważnego ataku a w konsekwencji wycieku danych.