Blog

Rola uświadamiania kadry w walce z zagrożeniami w Internecie

2021-05-13

Większość osób związanych z informatyką, i nie tylko, choć raz w życiu słyszała o Kevinie Mitnicku. To pierwszy na świecie hacker, który został skazany na karę bezwzględnego więzienia za przestępstwa komputerowe. Gdy je opuścił, napisał inspirującą książkę o swojej działalność pt. „Sztuka podstępu”. Jej hasłem przewodnim jest zdanie Łamałem ludzi, a nie hasła. Myślę, że to stwierdzenie najlepiej pokazuje, że najsłabszym ogniwem każdego systemu informatycznego jest nie system, a jego użytkownik.

Kiedyś hacker wcale nie miał łatwiej…

Jakie zatem błędy, pozwalające przedrzeć się hackerom przez nawet najbardziej skomplikowane systemy bezpieczeństwa, stosowane w firmach, popełniają użytkownicy? Kevin Mitnick posługiwał się w głównej mierze metodami socjotechnicznymi. Wykonywał telefony do firm, podawał się za przełożonych, pracowników działu IT, czy też ochronę i podczas rozmowy prowadził ludzi w taki sposób, aby robili na swoich komputerach rzeczy niezbędne, by mógł uzyskać dostęp do określonych zasobów. Musimy jednak pamiętać, że Kevin Mitnick prowadził swoją działalność w pierwszej połowie lat 90-tych, kiedy większość komputerów nie miała stałego połączenia z Internetem. Musiał zatem nakłonić pracowników, aby odebrali na swoich komputerach połączenie inicjowane z jego modemu lub sami takie połączenie zainicjowali. Miał zdecydowanie trudniej.

W dzisiejszych czasach ciężko sobie wyobrazić komputer, który nie ma stałego podłączenia do sieci. I tutaj najważniejsze – do sieci w rozumieniu zarówno Internetu, jak i wewnętrznej sieci firmowej, zawierającej wszystkie kluczowe dla naszego przedsiębiorstwa informacje. Tym samym praca internetowych przestępców stała się zdecydowanie łatwiejsza – odpadł jeden z najtrudniejszych elementów całej układanki – połączenie, ono już jest. Chronione przez systemy firewall, IPS, NGF itp., ale jest. Te systemy są niezwykle skuteczne w zapewnianiu ochrony sieci przed zagrożeniami pochodzącymi spoza organizacji.

Co jednak, gdy intruz znajdzie się w środku? Oczywiście możemy powiedzieć, że przecież mamy ochronę w budynkach, a nawet, gdy ktoś do tego budynku wejdzie, mamy procedury blokowania komputerów, ochronę systemem złożonych haseł, składających się z różnego rodzaju znaków. Tylko czy hasło „M@j2021” naprawdę jest tak trudne do odgadnięcia, pomimo, że spełnia wszystkie wymogi złożoności?

Czujność użytkownika vs przebiegłość hackerów

Często wymagania wprowadzane przez administratorów odnoszą dokładnie odwrotny skutek do oczekiwanego, gdyż każdy z nas posiada ograniczenia w zakresie tego, ile różnych haseł potrafi wymyślić i zapamiętać. Tym samym, paradoksalnie, wprowadzanie złożonych wymagań prowadzi do upraszczania tak, abyśmy potrafili przypomnieć sobie nasze hasło, patrząc w kalendarz lub na zdjęcie stojące w ramce na naszym biurku. To oczywiście tylko jedno z czyhających zagrożeń.

Kolejnym są linki w fałszywych wiadomościach e-mail, najczęściej związanych z monitorowaniem przesyłki, której się nie spodziewamy, lub sugerujące np. dokonanie dopłaty. Na ogół kliknięcie w tego typu link prowadzi do uruchomienia kodu, umożliwiającego hackerowi uzyskanie zdalnego dostępu do naszego komputera.

Są też metody zdecydowanie bardziej wyrafinowane. Większość systemów posiada funkcję automatycznego uruchomienia programu, określonego w specjalnie przygotowanym pliku po podłączeniu nośnika zewnętrznego. Dzięki temu, wydając maksymalnie kilkadziesiąt złotych, wystarczy zakupić kilka pendrive’ów, umieścić na nich złośliwy kod, a następnie rozrzucić je w przypadkowych miejscach na parkingu pracowniczym firmy, do której chcemy uzyskać dostęp. Mamy bardzo dużą szansę, że choć jeden z pracowników zainteresuje się, czy czasami jego kolega nie zgubił pendrive’a, zawierającego ważne informacje i podłączy go, aby to sprawdzić. Oczywiście ta metoda jest jednocześnie i prosta, i skuteczna.

Ciekawszym przypadkiem jest historia pewnej firmy z branży finansowej, która posiadając najlepsze zabezpieczenia technologiczne, jakie są dostępne na rynku, postanowiła sprawdzić ich skuteczność. W tym celu zamówiła usługę testów penetracyjnych, które miały potwierdzić, że zastosowane zabezpieczenia są nie do złamania, a zasoby pozostaną bezpieczne.

Firma, która przyjęła zlecenie podeszła do sprawy w sposób bardzo nieszablonowy. W pierwszej kolejności wydrukowali ulotki nowo otwartej pizzerii w okolicy, która oczywiście nie istniała. Ulotki zawierały informację, że w pierwszym tygodniu działalności, na każde zamówienie powyżej 50 zł, obowiązuje 50% rabat, a w gratisie dodana zostanie biurkowa lampa USB. Następnie wyposażyli się w kartoniki z logo nieistniejącej pizzerii, dostarczyli ulotki na recepcję firmy, którą mieli sprawdzić i cierpliwie czekali przy telefonie.

Jeszcze tego samego dnia, otrzymali zamówienie z kilku różnych działów. W związku z tym natychmiast zamówili w prawdziwej pizzerii pizzę z zebranych zamówień, dorzucili do nich obiecane lampki USB, pakując we własne kartoniki i dostarczyli do odbiorcy. Po 15 minutach pierwszy pracownik podłączył swoją nową lampkę, uruchamiając tym samym na swoim komputerze złośliwy kod, zainstalowany na pendrive’ie połączonym z lampką… Pech chciał, że był to pracownik wysokiego szczebla, posiadający dostęp do większości newralgicznych dla firmy informacji, przekazując tym samym ten dostęp włamywaczom. To był tylko test.

Taka historia może wydarzyć się naprawdę w każdym przedsiębiorstwie

Dlatego tak kluczowe jest uświadamianie pracownikom zagrożeń oraz metod ochrony przed nimi. Jeżeli nasza kadra będzie najsłabszym ogniwem, nawet najlepsze zabezpieczenia informatyczne nie uchronią nas przed utratą wrażliwych dla nas danych.

Aby dowiedzieć się więcej, jak chronić firmowe dane, zapraszam do zapoznania się z naszą ofertą szkoleniową. O aspektach bezpieczeństwa będą Wam opowiadać najlepsi specjaliści w branży, zajmujący się ochroną danych na co dzień. Więcej informacji na stronie: https://datacenterppnt.pl/pl/szkolenia 

 

Tomasz Łukaszewicz

Związany z branżą IT od zawsze. Pasjonat rozwiązań Cloud, specjalista w dziedzinie outsourcingu IT, bezpieczeństwa danych, sieci teleinformatycznych. Kierownik DataCenter Poznańskiego Parku Naukowo-Technologicznego. Absolwent Politechniki Poznańskiej, Uniwersytetu Ekonomicznego w Poznaniu oraz Wyższej Szkoły Bankowej. Dyplomowany z zakresu zastosowań informatyki w biznesie i administracji oraz zarządzania projektami IT wg metodologii PMI i metodyk zwinnych.

Współtwórca Zintegrowanego Systemu Zarządzania Usługami IT oraz Bezpieczeństwa Informacji w DataCenter PPNT, certyfikowanego przez TUV Nord. Dzięki jego zaangażowaniu i pracy, Datacenter PPNT, jako jedna z czterech serwerowni w Polsce, uzyskała certyfikat ISO 20000.  Pomyślnie przeprowadził także firmę przez audyt ISO 27001.

Na blogu chce się dzielić swoimi doświadczeniami z zakresu outsourcingu IT.

www.datacenterppnt.pl