Jak włamywano się na Zachód

Firma F-Secure ujawniła szczegóły techniczne ataku, w którym wykradziono "klucze do Internetu" - informacje potrzebne do złamania używanych przez banki i firmy zabezpieczeń RSA SecurID. Opisany tam sposób dotarcia do danych pokazuje, że firma produkująca zabezpieczenia najwyższej klasy, z jakichś powodów, prawdopodobnie dla wygody i oszczędności w skandaliczny sposób zaniedbała zabezpieczenia tych danych.

Opisany szczegółowo przez F-Secure i RSA(odnośniki do stron w języku angielskim)atak miał kilka faz: w pierwszej, nieostrożny pracownik zaraził swój komputer koniem trojańskim poprzez otwarcie wiadomości zawierającej złośliwy arkusz kalkulacyjny. W ten sposób włamywacze zdobyli w firmie przyczółek. Stamtąd, wykorzystując hasła zarażonego użytkownika i luki w zabezpieczeniach serwerów, włamywacze dotarli do serwerów na których znajdowały się dane tokenów. Jakie - do dzisiaj dokładnie nie wiadomo, wiadomo, że dzięki nim można było "otworzyć? zabezpieczenia wykorzystujące tokeny SecurID. Zostało to później wykorzystane przy włamaniach do firm współpracujących z amerykańskim rządem i wojskiem, realizowanych przez nie wskazywane przez komentatorów "państwo narodowe". Jak odbyło się pierwsze zarażenie, możemy zobaczyć na filmie poniżej:

 

Gdzie jest zaniedbanie? Te dane są tak ważne, że nie powinne być distępne na komputerach osiągalnych z Internetu. Wykorzystywane przez dziesiątki tysięcy firm tokeny SecurID to niewielkie breloczki generujące zmieniające się co kilka minut hasła jednorazowe na podstawie zaszytego w nich przez producenta tajnego klucza. Ten sam klucz wprowadza się do oprogramowania autoryzującego dostęp, jeśli hasło jest poprawne, w założeniu oznacza to, że użytkownik ma właściwy token. Lista kluczy przypisanych konkretnym tokenom to hasło do Sezamu - największa tajemnica firmy, na zachowaniu tej tajemnicy opiera się bezpieczeństwo wszystkich usług zabezpieczonych za pomocą tokenów SecurID. Takie dane powinny być strzeżone jak kody zabezpieczające broń jądrową. Dla porównania, dużo mniej istotnym informacjom wojsko przydziela stopeń tajności, wymagający przesyłania ich przez osobną sieć komputerową, odciętą od Internety i przeznaczoną dla informacji tajnych. Tymczasem klucze do SecurID, zamiast w wydzielonej sieci,  leżały na serwerach, do których można było połączyć się z biurowego komputera, na którym pracownicy firmy czytali pocztę.

Co gorsza, branżowe plotki mówią, że wykradziona została nie lista kluczy tokenów, ale metoda na określenie klucza danego tokenu na podstawie jego numeru seryjnego, widocznego na naklejce z tyłu urządzenia. To tak jakby najdroższe, najbezpieczniejsze na rynku sejfy dawało się rozpruć otwieraczem do puszek - jeśli się wie gdzie go wbić.

Jeśli brak odpowiednich zabezpieczeń wykorzystują włamywacze w młodej firmie, zajmującej się czymś zupełnie innym, można położyć to na karb szybkiego rozwoju, skupiania się na podstawowej działalności - biznesowych chorobach wieku dziecięcego. Jeśli zaś okazuje się, że tajemnice firmowe były źle zabezpieczone w firmie która jest praktycznie matką branży internetowego bezpieczeństwa - nie ma na to wystarczająco negatywnego, cenzuralnego, określenia.

 

Janusz Urbanowicz jest członkiem zespołu Technologii, oraz niezależnym konsultantem w dziedzinie technologii internetowych i bezpieczeństwa. Prowadzi bloga pod adresem Fnord.pl.

Finansowe i organizacyjne koszty zabezpieczeń są na tyle wysokie, że część zarządów firm, mniej czy bardziej świadomie decyduje się na ryzykowanie danymi swoich klientów

Zobacz więcej na temat:

Skomentuj:

Musisz się zalogować, by dodać komentarz. Jeśli nie posiadasz konta zarejestruj się.

Więcej o:
Komentarze (16)
Jak włamywano się na Zachód
Zaloguj się
  • woyg

    Oceniono 1 raz 1

    wogole jak w firmie zajmujacej sie bezpieczenstwem mozna korzystac z WINDOWSA?

  • ffamousffatman

    0

    Fazą wstępną było złamanie najpopularniej... najsłabszego ogniwa. Nie przeprowadzono ataku - zgodnie z filozofią systemów Win, odrobina socjotechniki i atak przeprowadził się sam.

    @kretynofil:
    Czy to nie ty pytałeś się jak to to jest z tą autoeskalacją uprawnień malware pod Win?
    Pracownik nie był idiotą, idiota otwiera pocztę jak leci, idiota nie szuka wśród spamu poczty, jak mu się wydaje, błędnie odrzuconej przez filtry
    @mille666: Korporacją na średnim i niższym szczeblu nie może rządzić wyobraźnia tylko pocedury.
    @jozwa17: Zdziwilibyś sie się, ile różnych systemów zabezpieczeń nie działa platformie Microsoftu.

  • ffamousffatman

    0

    Fazą wstępną było złamanie najpopularniej... najsłabszego ogniwa. Nie przeprowadzono ataku - zgodnie z filozofią systemów Win, odrobina socjotechniki i atak przeprowadził się sam.

    @kretynofil:
    Czy to nie ty pytałeś się jak to to jest z tą autoeskalacją uprawnień malware pod Win?
    Pracownik nie był idiotą, idiota otwiera pocztę jak leci, idiota nie szuka wśród spamu poczty, jak mu się wydaje, błędnie odrzuconej przez filtry
    @mille666: Korporacją na średnim i niższym szczeblu nie może rządzić wyobraźnia tylko pocedury.
    @jozwa17: Zdziwilibyś sie się, ile różnych systemów zabezpieczeń nie działa platformie Microsoftu.

  • jozwa17

    0

    Ech... odgrzewane kotlety i trochę fantazjowania.
    Po pierwsze, przebieg ataku został opublikowany przez samo RSA już w kwietniu (co można zobaczyć klikając na link podany na początku artykułu), jedyna "nowość" to to, że F-secure znalazło kod użyty do zarażenia komputera owego pracownika, więc ktoś niezależnie potwierdził to, co ogłosiło RSA.
    Po drugie, jeżeli się już autor decyduje powołać na plotki, to warto najpierw sprawdzić ich wiarygodność. Autor pisze "Zostało to później wykorzystane przy włamaniach do firm współpracujących z amerykańskim rządem i wojskiem", tyle że wspomniana na stronie F-Secure próba ataku na Lockheed-Martina się nie powiodła - ale "włamanie" brzmi lepiej niż "nieudana próba włamania", prawda? Poza tym, nie ma czegoś takiego jak magiczna "metoda na określenie klucza danego tokenu na podstawie jego numeru seryjnego".
    Po trzecie wreszcie, łatwo powiedzieć "brak odpowiednich zabezpieczeń" - ale proponuję przeczytać wspomniany artykuł na stronie F-secure do końca. Autor artykułu sam przyznaje, że choć poszczególne elementy ataku nie były zbyt skomplikowane, to raz, że sam exploit był typu zero-day, więc nie bardzo można go było wykryć standardowymi zabezpieczeniami, jak również mieć odpowiednio zapatchowane systemy, a dwa - to nie była zabawa polegająca na zarażeniu przypadkowej osoby i uzyskania tą metodą bram do raju, tylko bardzo precyzyjny atak na osobę, która miała odpowiednie uprawnienia. Tak naprawdę nie wiemy nawet, jak dalece skomplikowane było i ilu kolejnych kroków wymagało dotarcie do tych danych, więc proponuję odrobinę wstrzemięźliwości w szafowaniu słowami typu "skandaliczny" - chyba, że gazeta.pl inspiruje do stania się kolejnym tabloidem?
    Co do proponowanego galwanicznego odseparowania systemów zawierające takie super ważne informacje - życze autorowi powodzenia w zaprojektowaniu i wdrożeniu procesów produkcyjnych umożliwiających sensowne i ekonomicznie uzasadnione korzystanie z takiej bazy w dużej komercyjnej organizacji.

    Autorze, więcej spokoju i rzetelności, mniej gonienia za sensacją...

    PS. "Zadziwiające" jest, że nawet w "plotkach branżowych" nie słychać, żeby użytkownicy tego systemu masowo rezygnowali z jego używania

    PPS. Koledzy "antywindowsowcy" - zdziwilibyście się wiedząc ile różnych systemów zabezpieczeń działa z powodzeniem na platformie Microsoftu.

  • kblaszke

    0

    Co się dziwić?!?! Jak można mówić o bezpieczeństwie i jednocześnie używać niebezpiecznego softu (czytaj Microsofta)? Od tego trzeba zacząć.

  • grzes111

    0

    Zabezpieczenia, których siłą jest niejawność algorytmu zawsze prędzej czy później zostaną złamane.

  • mille666

    0

    na nic technologie, gdy wyobraźnia w d.... nie tylko na tym obszarze

  • kretynofil

    0

    @tandrasz2:

    Taaa, a ja znam kilku niepijących Polaków - proponuję zakazać we Francji (pod groźbą wypowiedzenia jej wojny) używania znanego powiedzenia o pijakach.

    To że Ty (i ja, na marginesie) znamy parę wyjątków nie zmienia faktu że na 100 Hindusów w IT może 1-2 reprezentuje jakikolwiek poziom. I jakbyś nie chciał, i jakbyś tego nie obracał, takich proporcji nie znajdziesz w jakimkolwiek innym kraju. Nie bez znaczenia jest też to że poziom życia u nich gwałtownie rośnie i pracownicy których dostarczają firmy outsourcingowe to najgorszy, najtańszy sort - bo tylko na to pozwalają podpisane często kilka lat temu (w innej rzeczywistości ekonomicznej) kontrakty.

    A co do managerów - to przy pełnym (a nie częściowym) outsourcingu również managerowie są "stamtąd" i też są zatrudniani ci najtańsi.

    Nie wiem ile masz doświadczenia z pracy z Hindusami - ja mam za dużo, pracowałem z kilkoma setkami z kilku największych firm (Tata, Infosys, Accenture, ...) i sorry, ale nikt mnie nie przekona że można politpoprawnością zamaskować głupotę, ignorancję, bezczelność i, co najgorsze, bezmyślność pracowników z tamtego regionu... To w swojej masie banda pewnych siebie chamowatych durni tak samo jak Polacy w swojej masie to nieokrzesani pijacy - i (nieliczne!) wyjątki tego nie zmienią...

  • kretynofil

    0

    @tandrasz2:

    Taaa, a ja znam kilku niepijących Polaków - proponuję zakazać we Francji (pod groźbą wypowiedzenia jej wojny) używania znanego powiedzenia o pijakach.

    To że Ty (i ja, na marginesie) znamy parę wyjątków nie zmienia faktu że na 100 Hindusów w IT może 1-2 reprezentuje jakikolwiek poziom. I jakbyś nie chciał, i jakbyś tego nie obracał, takich proporcji nie znajdziesz w jakimkolwiek innym kraju. Nie bez znaczenia jest też to że poziom życia u nich gwałtownie rośnie i pracownicy których dostarczają firmy outsourcingowe to najgorszy, najtańszy sort - bo tylko na to pozwalają podpisane często kilka lat temu (w innej rzeczywistości ekonomicznej) kontrakty.

    A co do managerów - to przy pełnym (a nie częściowym) outsourcingu również managerowie są "stamtąd" i też są zatrudniani ci najtańsi.

    Nie wiem ile masz doświadczenia z pracy z Hindusami - ja mam za dużo, pracowałem z kilkoma setkami z kilku największych firm (Tata, Infosys, Accenture, ...) i sorry, ale nikt mnie nie przekona że można politpoprawnością zamaskować głupotę, ignorancję, bezczelność i, co najgorsze, bezmyślność pracowników z tamtego regionu... To w swojej masie banda pewnych siebie chamowatych durni tak samo jak Polacy w swojej masie to nieokrzesani pijacy - i (nieliczne!) wyjątki tego nie zmienią...

Aby ocenić zaloguj się lub zarejestrujX