W dobie cyfryzacji przestępstwa komputerowe stały się powszechnym problemem. Mogą one dotyczyć zarówno poszczególnych jednostek, jak i wielkich przedsiębiorstw. Kevin Mitnick – pierwszy na świecie hacker, skazany na karę bezwzględnego więzienia właśnie za włamania komputerowe – napisał książkę, której hasłem przewodnim jest: Łamałem ludzi, a nie hasła. Jak się bowiem okazuje, najsłabszym ogniwem każdego systemu informatycznego nie jest sam system czy oprogramowanie, tylko jego użytkownik.
Kiedyś hacker wcale nie miał łatwiej…
Jakie zatem błędy, pozwalające przedrzeć się hackerom przez nawet najbardziej skomplikowane systemy bezpieczeństwa, stosowane w firmach, popełniają użytkownicy?
Kevin Mitnick posługiwał się w głównej mierze metodami socjotechnicznymi. Wykonywał telefony do firm, podawał się za przełożonych, pracowników działu IT czy ochronę i podczas rozmowy prowadził ludzi w taki sposób, aby robili na swoich komputerach rzeczy niezbędne, by mógł uzyskać dostęp do określonych zasobów. Musimy jednak pamiętać, że Kevin Mitnick prowadził swoją działalność w pierwszej połowie lat 90-tych, kiedy większość komputerów nie miała stałego połączenia z Internetem. Musiał zatem nakłonić pracowników, aby odebrali na swoich komputerach połączenie inicjowane z jego modemu lub sami takie połączenie zainicjowali. Miał zdecydowanie trudniej.
W dzisiejszych czasach ciężko sobie wyobrazić komputer, który nie ma stałego podłączenia do sieci. I tutaj najważniejsze – do sieci w rozumieniu zarówno Internetu, jak i wewnętrznej sieci firmowej, zawierającej wszystkie kluczowe dla naszego przedsiębiorstwa informacje. Tym samym praca internetowych przestępców stała się zdecydowanie łatwiejsza – odpadł jeden z najtrudniejszych elementów całej układanki – połączenie, ono już jest. Chronione przez systemy firewall, IPS, NGF itp., ale jest. Te systemy są niezwykle skuteczne w zapewnianiu ochrony sieci przed zagrożeniami pochodzącymi spoza organizacji. Co jednak, gdy intruz znajdzie się w środku? Oczywiście możemy powiedzieć, że przecież mamy ochronę w budynkach, a nawet, gdy ktoś do tego budynku wejdzie, mamy procedury blokowania komputerów, ochronę systemem złożonych haseł, składających się z różnego rodzaju znaków. Tylko czy hasło „M@j2021” naprawdę jest tak trudne do odgadnięcia, pomimo, że spełnia wszystkie wymogi złożoności?
Czujność użytkownika vs przebiegłość hackerów
Często wymagania wprowadzane przez administratorów odnoszą dokładnie odwrotny skutek do oczekiwanego, gdyż każdy z nas posiada ograniczenia w zakresie tego, ile różnych haseł potrafi wymyślić i zapamiętać. Tym samym, paradoksalnie, wprowadzanie złożonych wymagań prowadzi do upraszczania, tak abyśmy potrafili przypomnieć sobie nasze hasło, patrząc w kalendarz lub na zdjęcie stojące w ramce na naszym biurku. To oczywiście tylko jedno z czyhających zagrożeń.
Kolejnym są linki w fałszywych wiadomościach e-mail, najczęściej związanych z monitorowaniem przesyłki, której się nie spodziewamy, lub sugerujące np. dokonanie dopłaty. Na ogół kliknięcie w tego typu link prowadzi do uruchomienia kodu, umożliwiającego hackerowi uzyskanie zdalnego dostępu do naszego komputera.
Są też metody zdecydowanie bardziej wyrafinowane. Większość systemów posiada funkcję automatycznego uruchomienia programu, określonego w specjalnie przygotowanym pliku po podłączeniu nośnika zewnętrznego. Dzięki temu, wydając maksymalnie kilkadziesiąt złotych, wystarczy zakupić kilka pendrive’ów, umieścić na nich złośliwy kod, a następnie rozrzucić je w przypadkowych miejscach na parkingu pracowniczym firmy, do której chcemy uzyskać dostęp. Mamy bardzo dużą szansę, że choć jeden z pracowników zainteresuje się, czy czasami jego kolega nie zgubił pendrive’a, zawierającego ważne informacje i podłączy go, aby to sprawdzić. Oczywiście ta metoda jest jednocześnie i prosta, i skuteczna.
Metoda na… pizzerię
Ciekawszym przypadkiem jest historia pewnej firmy z branży finansowej, która posiadając najlepsze zabezpieczenia technologiczne, jakie są dostępne na rynku, postanowiła sprawdzić ich skuteczność. W tym celu zamówiła usługę testów penetracyjnych, które miały potwierdzić, że zastosowane zabezpieczenia są nie do złamania, a zasoby pozostaną bezpieczne.
Firma, która przyjęła zlecenie podeszła do sprawy w sposób bardzo nieszablonowy. W pierwszej kolejności wydrukowali ulotki nowo otwartej pizzerii w okolicy, która oczywiście nie istniała. Ulotki zawierały informację, że w pierwszym tygodniu działalności, na każde zamówienie powyżej 50 zł, obowiązuje 50% rabat, a w gratisie dodana zostanie biurkowa lampa USB. Następnie wyposażyli się w kartoniki z logo nieistniejącej pizzerii, dostarczyli ulotki na recepcję firmy, którą mieli sprawdzić i cierpliwie czekali przy telefonie.
Jeszcze tego samego dnia, otrzymali zamówienie z kilku różnych działów. W związku z tym natychmiast zamówili w prawdziwej pizzerii pizze z zebranych zamówień, dorzucili do nich obiecane lampki USB, pakując we własne kartoniki i dostarczyli do odbiorcy. Po 15 minutach pierwszy pracownik podłączył swoją nową lampkę, uruchamiając tym samym na swoim komputerze złośliwy kod, zainstalowany na pendrive’ie połączonym z lampką… Pech chciał, że był to pracownik wysokiego szczebla, posiadający dostęp do większości newralgicznych dla firmy informacji, przekazując tym samym ten dostęp włamywaczom. To był tylko test.
Taka historia może wydarzyć się naprawdę w każdym przedsiębiorstwie.
Dlatego tak kluczowe jest uświadamianie pracownikom zagrożeń oraz metod ochrony przed nimi. Jeżeli nasza kadra będzie najsłabszym ogniwem, nawet najlepsze zabezpieczenia informatyczne nie uchronią nas przed utratą wrażliwych dla nas danych.
