Blog (2)
Komentarze (74)
Recenzje (0)
@morriatKwestia bezpieczeństwa danych firmowych — jak tego nie robić

Kwestia bezpieczeństwa danych firmowych — jak tego nie robić

20.03.2018 15:05

Mocne (dobre) hasło – hasło dostępu do np. danych, które cechuje się zmniejszonym prawdopodobieństwem "złamania" lub odgadnięcia, poprzez m.in. zwiększenie liczby znaków potrzebnych do jego podania i ułożenia ich w kolejność, która uniemożliwi atak słownikowy. ~wikipedia To w teorii mówi znana nam wszystkim wikipedia. A jak jest naprawdę ?  Jak Wy zabezpieczacie swoje konta lub dane firmy ?

Dawniej takie hasło miał sam premier więc musi być bezpieczne...
Dawniej takie hasło miał sam premier więc musi być bezpieczne...

Ogółem mówiąc

Każdy otarł się standardy tworzenia "bezpiecznych haseł". Począwszy od hasła do konta w systemie poprzez hasło do poczty e‑mail, skończywszy na hasłach do sieci VPN. Każdy również boi się o swoje bezpieczeństwo i dane które lepiej aby nie wpadły w kogokolwiek ręce.

~Ale przecież jestem zwykłym małym człowiekiem lub informatykiem w malutkiej nic nie znaczącej dla hakerów firmie i niby z jakiego powodu chcieliby wykraść jakiekolwiek dane lub gdziekolwiek się dostać. Nic nie mogą mi zrobić, mam takie samo hasło do wszystkich kont i nikt nie spostrzeże się że jest ono proste :) w końcu najciemniej pod latarnią.

Lecz przychodzi taki moment, że dana latarnia gaśnie i robi się widno a wszystkie dane są na wyciągnięcie ręki, wystarczy troszeczkę pogłówkować i można atakować by mieć co tylko się zechce.

Ciekawość to pierwszy stopień do... włamania na moim przykładzie.

Rok temu rozwiązując umowę z byłym pracodawcą zaśmiałem się, że jak przyjdzie ktoś nowy to włam gotowy (mowa o szeroko pojętym informatyku) dziś mogę z dumą powiedzieć, że jestem wróżbitą. Odchodząc ostatni raz zmieniłem wszystkie hasła pracowników, kont pocztowych i jakichkolwiek innych dostępów. To były ostatnie chwile bezpieczeństwa tej firmy. Producent posiada w tym samym budynku sklep firmowy gdzie często robię zakupy. Ale pomijając nieistotnie rzeczy. Sieć wi‑fi była zabezpieczona a podłączyć się do niej, można było jedynie poprzez podanie nazwy ssid, prawidłowego 12 znakowego hasła oraz obowiązkowe było posiadanie ważnego wewnętrznego certyfikatu na urządzeniu łączącym się z tą siecią.

Pewnego razu czekając na otwarcie sklepu przed budynkiem z ciekawości wyszukałem sieci wi‑fi, sieć była widoczna bez hasła i nie potrzebny był żaden certyfikat. Super mamy darmowy internet, ale chwileczkę co jeszcze w firmie się zmieniło ? programem Look@Lan najzwyczajniej w świecie zmapowałem sobie sieć wewnętrzną. Z tego co pamiętałem nie było tam serwera NAS, tylko każdy miał przydzielony zasób na serwerze w domenie, co szkodzi wejść na ten adres przez eksplorator systemowy tak więc 10.0.0.x/ i mamy wszystkie firmowe pliki. Nowy spec od IT stworzył nawet arkusz ze wszystkimi hasłami dostępowymi (jego poczta służbowa, panel acp sklepu internetowego acp dostawcy poczty i hostingu i wiele innych), więc wejście mamy wszędzie). Wchodząc na stronę konfiguracyjną drukarki i sprawdzając ostatnie "jobs'y" podejrzeć można wysłane do druku dokumenty, a w nich nowe dpstępy dla użytkowników którzy zapomnieli hasła do poczty.

Przykład pierwszy i ostatni: login: Marta.Xyz@cośtam.pl hasło: marta2018

Na szczęście były pracodawca okazał się być na tyle uprzejmy i odebrał telefon w którym sytuacja została opisana, następnego dnia sieci już nie było, informatyka też.  Ciekawość to pierw..... v2 Szukając pracy otarłem się o firmę spedycyjną, miałem na myśli mikrofirmę gdzie potrzebowali spedytora. W Pierwszy dzień popularnie zwanego okresu testowego otrzymałem na kartce swój adres mailowy, dane do giełdy ładunków, login do bramki voip i hasło do komputera o dziwo wszędzie takie samo. Skoro moje są takie same to sprawdzę to z innymi adresami mailowymi i .....

~jestem wróżbitą lvl2

Skoro mamy tylko tyle i aż tyle i wiemy gdzie jest host (dzięki narzędziu whois ) to możemy zalogować się do acp hostingu mailowego i można robić co tylko zechcemy. Jeśli hasło działa z innymi to z adresem właściciela też musi no i faktycznie nie myliłem się.

Po pierwszym i ostatnim dniu "okresu testowego" żegnając się z właścicielem przekazałem mu informację, że kończy się mu przestrzeń przydzielona do skrzynek e‑mail i musi sobie coś z tym zrobić. Jego reakcja była bezcenna ;)

odwzorowanie reakcji 1:1
odwzorowanie reakcji 1:1

Raz Dwa Trzy następny będziesz TY.

Zabezpieczenie swoich danych, oraz danych firmowych nie jest ciężkie, faktycznie należy przestrzegać zasad tworzenia bezpiecznych haseł ale można zrobić to w taki sposób aby dla Ciebie hasło było łatwe zapamiętania a dla osób postronnych trudne do złamania lub odgadnięcia. Pomijając narzędzia zabezpieczające i najnowsze technologie, kwestia bezpieczeństwa danych nadal jest tematem newralgicznym. Przedstawione powyżej dwa przykłady są firmami oddalonymi od siebie o niecałe 12km.  Są to dwie firmy spośród tysiąca w okolicy, których bezpieczeństwo jest niewiadomą. Być może to Twoja firma lub Ty tam pracujesz ? Co jeśli pewnego dnia okaże się, że wszystkie dane zostały przejęte bądź też usunięte wraz z backupami lub pieniądze np. z panelu payu przelane na inne konto ? Nigdy nie wiadomo kto i z jakimi intencjami krąży w okolicy, może będzie to osoba która tylko wytknie te błędy i nic z nimi nie zrobi a być może będzie to ktoś kto udostępni Twoje poufne dane innym. Dla wszystkich mniejszych i większych firm nadchodzące RODO lub jak kto lubi GDPR powinno być wybawieniem, o ile ktoś kompetentnie podejdzie do tego przepisu.

PS. Powyższy tekst niema w zamiarze nakłaniania do "sprawdzania zabezpieczeń firm" lecz został napisany po to aby wytknąć i przypomnieć niektórym "gagatkom", że bezpieczeństwo to priorytet i nie należy tego bagatelizować.

źródła: Wikipedia Giphy.com

Wybrane dla Ciebie
Komentarze (31)