Praktyka bezpieczeństwa IT — śmiech na sali, która płonie

Jakiś czas temu, w ramach poczynań zawodowych zostało przydzielone mi zadanie przeprowadzenia audytu bezpieczeństwa IT. Klient to średniej wielkości firma zajmująca się pisaniem software i sterowników do określonych urządzeń. O audycie wiedzieliśmy tylko my i jedne z prezesów omawianej firmy.

W tym momencie mógłbym zacząć rozpisywać się jak określiliśmy strategię audytu i skąd poniższe działania, napiszę tylko tyle – to czym dysponowaliśmy na początku to : adres email prezesa , adres strony www i wiedza że firma posiada rozbudowany dział IT. Oczywiście została podpisana umowa zezwalająca nam na podjęcie kroków penetrujących organizację.

Dzień 1 - Więcej danych

Analiza strony WWW pozwoliła nam ustalić schemat adresów email np. imię.nazwisko@domena.pl

Analiza portfolio klientów i partnerów pozwoliła nam ustalić partnera wspomagającego audytowaną firmę w zakresie tworzenia stron WWW, jak również hostów odpowiedzialnych za utrzymanie kilku kluczowych portali klientów.

Analiza Facebooka i Goldenline pozwoliła nam namierzyć administratorów IT pracujących obecnie dla naszego „Celu”

Kilka telefonów do firmy i próśb o połączenie z konkretnymi działami pozwoliło nam ustalić dwa imiona i nazwiska Pań zatrudnionych w księgowości i Panią szefową marketingu. Odpowiedź email na nasze zapytanie ofertowe pozwoliła nam na ustalenia że klient posiada serwer poczty MS Exchange wewnątrz swojej organizacji i jest to łącze firmy X , odwiedziny firmy https://mail.domena.pl/owa pozwoliło nam na ustalenie że firma korzysta z serwera poczty Exchange 2010 i  jakąś wersję serwera OpenVPN

Dzień 2 - przygotowanie „placu zabaw”

Wykupiliśmy dwie domeny , pierwszą łudząco podobną do nazwy domeny audytowanej firmy , drugą łudzącą podobną do stron „ZUS” . np. oryginalna domena klienta www.mojedomena.pl , nasza www.mojadonema.pl .

Nasza „fakeowa” domena posłużyła nam do stworzenia konta które wykorzystaliśmy do kontaktu z firmą tworzącą strony WWW dla „Celu” i na prośbę „Naszego działu marketingu” firma ta na serwerze klienta umieściła stronę z „opisem produktu” i skryptem php pozwalającym umieścić nam własne pliki i zrobić zrzut configów :‑) Na tak spreparowanej podstronie umieściliśmy mechanizm pozwalającą „zweryfikować” siłę używanego hasła.

Formularz pozwalał na sprawdzenie „siły hasła do komputera”, VPN i siłę hasła ERP( jeszcze wtedy nie wiedzieliśmy jakiego systemu nasz Cel  używa).

Posiadając dane jednej z Pań księgowych, przesłaliśmy na jej adres email (z naszej wersji portalu ZUS) informację że ze względu na zmiany w programie Płatnik jeden z naszych pracowników w dniu jutrzejszym chciałby wspomóc Panią w aktualizacji . Odpowiedź przyszła w ciągu 1 godziny – Zapraszam serdecznie !

Dzień 3 – Pan od Płatnika

Mój kolega udał się na miejsce do Klienta i w szampańskiej atmosferze „chichocząc” z Paniami z działu księgowości zgrał sobie bazę płatnika, książkę adresową Outlook , wypił herbatę , dostał ciastko, ustalił login konta administratora domenowego, używany system ERP , hasło SA do serwera SQL, a także wszystkie hasła zapisane w przeglądarce firefox, IP po którym śmiga ruch internetowy użytkowników i….klucze VPN spoczywające sobie spokojnie w jednym z podkatalogów zasobu sieciowego IT. Wrócił z takim uśmiechem jakby oglądał mecz Lewandowski vs przedszkolaki.

Dzień 4 – Armagedon

Jako iż posiadaliśmy już książkę adresową organizacji, z „naszego” konta administratora z oryginalną super stopką rozesłaliśmy informację o audycie i konieczności weryfikacji haseł wraz z linkiem do wcześniej utworzonego formularza. W początkowej fazie email wyszedł tylko do 10 kont email.

Hasła pozyskane w pierwszej fazie wykorzystaliśmy do zalogowania się na konta poprzez OWA i przesłanie alarmowej wiadomości do faktycznych administratorów że „wirus szyfruje mi komputer!!!” – tak wiem, to nie było ładne zagranie i po czymś takim będąc adminem można dostać zawał serca ( sam osobiście dostaję go niemal codziennie rano gdy odbieram telefon że „nie widzę mojego pulpitu” ) ale musieliśmy czymś przykryć kolejne działania.

W kolejnej fazie email wyszedł do pozostałych 180 kont – w ciągu pierwszych 30 minut mieliśmy 120, haseł –Active Directory i ERP, 20 VPN ( dział handlowy???). Była też osoba która wytknęła nam słabe zabezpieczenia bo formularz nie posiadał haszowania gwizdkami w czasie wpisywania hasła – mój błąd, oczywiście przeprosiłem i od razu poprawiłem formularz – wreszcie hasło mogło być bezpiecznie zweryfikowane :‑) Za pomocą dwóch z kont VPN i AD uzyskaliśmy dostęp do zasobów – celem potwierdzenia skopiowaliśmy kilka zbiorów danych .

W tym czasie mój kolega podając się za Administratora IT zadzwonił do  usługodawcy łącza Internetowego i wybłagał Panią z infolinii że „jest w samochodzie i że firma jest pod ostrzałem hackerskim i prosi o zatrzymanie ruchu na puli adresów IP…. Pani co prawda nie mogła tego zrobić lecz zrestartowała terminal co skutkowało chwilową utratą Internetu w firmie i spotęgowało efekt „O K…A!””

Dzień 5 – podsumowanie

Mamy konta wraz z hasłami, dostęp do poczty użytkowników, VPN do sieci, dostęp do panelu administracyjnego dla 3 serwisów WWW, bazę płatnika, hasła do różnych portali wykorzystywanych w księgowości, wybrane dane między innymi finansowe…Dla działu IT, to był ciężki dzień….

Refleksja

Schemat który opisałem wyżej wykorzystywaliśmy przy okazji różnych audytów w różnych konfiguracjach, raz z lepszym raz z gorszym skutkiem, podstawowym czynnikiem niezmiennym niezależnym od wielkości organizacji jest człowiek. Ja wiem że administratorzy się starali, później już w wewnętrznych konsultacjach widziałem że mieli nienaganną politykę backupu , że zasady GPO , że firewall , że uprawnienia itp. Itd. Znam to dobrze od kuchni , wiem że się starają , ja się staram…. Ale pracujemy między ludźmi i bez świadomości i poczucia odpowiedzialności „Pani sekretarki” pieniądze wydane na UTM za 50 tyś zł nic nie dadzą.

Zauważam że u większości osób cały czas pokutuje przeświadczenie że „to nie jest naprawdę” że to co na ekranie to niby ważne ale nie tak na 100% że wszystko się da naprawić, "przepisać", "zrestartować" .

Kiedyś w jednym z moich skeczów standupowych mówiłem taki monolog że nigdy nie słyszałem od użytkownika słów „nie umiem” lub „zj…em” zawsze jest to „coś mi się tutaj zrobiło”. Gdy zapominamy wyłączyć gaz z piecyka lub mamy stłuczkę nie tłumaczymy się „coś mi się tutaj zrobiło” . Poniekąd jest to wina producentów oprogramowania którzy poprzez coraz to, jak to nazywają „małpo odporne” interfejsy tworzą środowisko które nie wymaga od operatora żadnej wiedzy o działaniu narzędziu które wykorzystują  Kliknij->Dalej->Dalej->Akceptuj->Dalej.

Podczas jakiegoś szkolenie z bezpieczeństwa IT które prowadziłem po omówieniu załączników w poczcie pewna osoba biorąca udział w szkoleniu zupełnie nieskrępowanie powiedziała

Nie mam pomysłu jak powinna być odpowiedź wielkich tego świata na nowe zagrożenia ale może w ogólnym rozrachunku wszystko jest tak jak ma być, bo gdyby tak zamknąć możliwość obrotu bitcointami dziś dla ransomware nie było by rynku…

Tęsknię za czasami „Dosa dla opornych”