Skoro nawet Symantec…

… twórca rodziny popularnych programów antywirusowych Norton, przyznaje, że jego komputery zostały zaatakowane, już nikt nie może czuć się bezpieczny. Tak przynajmniej twierdzi gizmodo.com.

To doniesienie to echa sprawy z 2006 roku, kiedy doszło do włamania. Na samym początku przyjęto założenie, że został wykradziony kod źródłowy oprogramowania dla biznesu. Dziś jednak wychodzi na to, że możliwe iż wcale nie skradziono nic.

Przejmij kontrolę nad przedsiębiorstwem

Programowalne Kontrolery Logiczne (ang. PLC) to oprogramowanie używane do kontroli wyspecjalizowanych funkcji w infrastrukturze – elektrowniach, fabrykach chemikaliów, gazociągach, a także liniach produkcyjnych pojazdów i przy przetwarzaniu produktów spożywczych.

Co może się stać, jeżeli ktoś przejmie nad nimi kontrolę? Przykład pojawił się w 2010 roku, kiedy robak Stuxnet zaatakował Irańskie laboratoria przetwarzające materiały radioaktywne. Wtedy programiści Siemensa pozostawili dla siebie furtkę w kodzie, która została wykorzystana do uśpienia czujności specjalistów od bezpieczeństwa podczas sabotażu.

W ostatni czwartek grupa badaczy poświęciła swój czas na zbadanie podatności na zagrożenia aplikacji PLC wiodących producentów: General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics and Schweitzer Engineering Laboratories.

 

W ramach projektu został użyty Rapid7 do wypuszczenia modułów wykorzystujących luki Metasploit. Jest to aplikacja używana do testowania sieci pod kątem luk bezpieczeństwa. Także przez hackerów.

Dale Peterson, prezentując wyniki badania, zaznaczył, że pojawiły się różne luki we wszystkich systemach (więcej tutaj: http://www.wired.com/threatlevel/2012/01/scada-exploits/) i liczy na to, że to będzie ostateczne ostrzeżenie dla producentów i administratorów tego oprogramowania.

Zaktualizowałeś swoje komputery?

To teraz jeszcze sprawdź, czy są włączone wszystkie opcje zabezpieczeń. Jakiś czas temu, dość dużo można było usłyszeć o włamaniu do sieci RSA i kradzieży danych na temat funkcjonowania systemu autoryzacyjnego SecureID.

O tym właśnie pisze networld.pl powołując się na Rodrigo Branco, ekspert ds. bezpieczeństwa z Qualys, która przeanalizowała atak na firmę. Jednym z jego wniosków było:

Myślę, że włamywacze w ciemno założyli, że w systemie informatycznym RSA wciąż muszą pracować jakieś komputery z Windows XP. Zresztą, takie informacje nietrudno zdobyć – choćby poprzez analizę danych z przeglądarek

Właśnie komputery z Windows XP SP3 były celem ataku hackerów – autorzy artykułu podkreślają, że żadna z zaatakowanych maszyn nie miała włączonego systemu Data Execution Prevention. Do tego skorzystano z niezałatanego błędu w Adobe Flash Player, ale z włączonym systemem DEP byłoby to po prostu nie możliwe.

Ten system jest dostępny w Windows od wersji XP SP2, ale jako nieaktywna opcja, co za tym idzie głównym błędem było to, że nie został włączony. Co za tym idzie, nawet w firmach zajmujących się bezpieczeństwem IT możliwe są wpadki w tym zakresie.

Dla administratorów sieci jest bardzo ważne, szczególnie po kątem wykorzystywanego oprogramowania do zdalnej instalacji – niektóre programy pozwalają na włączenie takich opcji. Szczególnie, że czasem może to uratować firmę przed blamażem.

Nowy krypteks

W jednym z poprzednich wpisów opisałem steampunkowy krypteksopendrive. Nie macie pojęcia jak bardzo mnie to rozbawiło, kiedy zobaczyłem ten artykuł na gizmodo.pl. Tutaj pamięć zabezpieczona jest 5 pierścieniami, które odpowiednio ustawione dają dostęp do niej. Do tego 256 bitowy klucz AES i mało kto podoła tym zabezpieczeniom. Praktycznie ciężko będzie wykraść tak przenoszone dane, bez względu na to, czy to są prywatne zdjęcia, czy firmowe dokumenty.

Cały projekt pozostaje w sferze pomysłu, a twórce zbierają środki za pośrednictwem kickstarter.com.

Ciekawe czy łatwo się integruje z oprogramowaniem do kontroli urządzeń – np. Endpoint Protector. Bo zawsze, nawet na tak bezpieczną pamięć, trafić nieodpowiednie pliki.

Co możesz zabrać ze sobą wychodząc z pracy…

Wiecie, że 88% administratorów, jeżeli jutro miałoby dostać wypowiedzenie pracy, dziś zabrałoby do domu tajne, firmowe dane. Tak podaje to badanie. Co w tym złego? Fakt, że jeden niezadowolony pracownik, z odpowiednimi uprawnieniami może przyczynić się do nieprzewidzianych konsekwencji dla swojego pracodawcy.

Wyborcza opisuje przypadek, gdzie dane osobowe 9 milionów mieszkańców Izreala krążyły w Internecie. Jak się tam znalazły? Wycenione na kilkaset tysięcy szekli informacje przechodziły z rąk do rąk, a wszystko zaczęło się w 2006 roku, od byłego pracownika ds. socjalnych, który bo zwolnieniu wyniósł wspomniane dane.

Takich przypadków jest więcej – np. ataki na PlayStation Network, o których słyszeliśmy wiosną zdarzyły się po zwolnieniu 200 pracowników działu online.

Trudno jest wykryć spraców takich działań – dlatego na razie żaden ze zwolnionych pracowników PSN nie ma postawionych zarzutów, ale z drugiej strony, administrator nie tylko ryzykuje utratą obecnej pracy, ale także brakiem zaufania ze strony przyszłych pracodawców, jak i odpowiedzialnością cywilną z  art. 100 § 2 pkt 4 kodeksu pracy i art. 11 ustawy o zwalczaniu nieuczciwej konkurencji.

Oczywiście, lepiej jest zapobiegać niż leczyć, więc ograniczanie możliwości przenoszenia wrażliwych plików, ochrona nawet przed zgubieniem przenośnej pamięci może zminimalizować straty związane z takimi incydentami. A odpowiednia polityka kadrowa mogłaby sprawić, że do takich sytuacji nie dojdzie – przede wszystkim poprzez ograniczanie dostępnu do pewnych części firmy nawet administratorom ds. zabezpieczeń sieciowych.

Tym razem to już przesada

Mały wirus zainfekował pewne specjalistyczne urządzenia. Po prostu, jest keyloggerem, który zbiera informacje o tym, jak się poruszają. Codziennie słyszymy sporo takich historii, niestety, tym razem to nie jest odkurzacz Rumba albo smartfon, tylko drony Predator i Reaper, należące do Armii Amerykańskiej.

wired.com podaje, że problem wykryto jakieś 2 tygodnie temu w Creech Air Force Base w Nevadzie, skąd kontrolowane są te latające maszyny. Jedna z najważniejszych broni, jaką dysponują Stany Zjednoczone, nadal jest używana regularnie, mimo, że próby usunięcia wirusa kilka razy kończyły się porażką. tvn24.pl wręcz zaznacza, że:

Ponoć nie wiadomo nawet, czy wirus został wprowadzony celowo, czy powstał przez przypadek.

gizmodo.com podaje, że mógł się tam znaleźć dzięki przenośnym dyskom, które są używane do wprowadzania map i plików video. Nie jest to pierwszy przypadek – wcześniej np. odkryto, że przekaz z Reaper-ów nie jest szyfrowany i może być przechwycony dzięki programowi za niecąłe 30 dolarów.

Póki co, z racji, że żaden z pulpitów do kontroli nie jest podpięty do ogólnodostępnej sieci, żadne informacje nie wydostały się z bazy w Nevadzie. Baza ta obsługuje misje o różnym stopniu tajności, te, które mają na celu rekonesans, jak i te, które mają likwidować konkretne cele.

Tu pojawia się znowu ta kwestia, że technologie wojskowe są tak bezpieczne, jak sprzęt używany do ich kontroli. Na niebezpiecznik.pl, pod postem o tym problemie pojawiła się cała dyskusja, jaki system operacyjny może obsługiwać drony. Jedno jest pewne – dodatkowa ochrona – np. kontrola przenośnych urządzeń, blokada usb dla nieautoryzowanych pamięci przenośnych, mogła zapobiec temu wypadkowi.

 

A Ty zniszczyłeś swoje dane?

Z przeprowadzonej przez nas ankiety wynika, że jedynie połowa instytucji publicznych korzysta z usług bezpiecznego niszczenia danych z nośników elektronicznych takich jak dyski twarde, dyskietki czy płyty CD/DVD.

Podaje dr Paweł Markowski, prezes BOSSG Data Security. Omawiane badanie mówi też o tym, że bardzo często, kiedy instytucja nie wie, co ma zrobić z takimi nośnikami – po prostu je przechowuje. Dlatego na dzień dzisiejszy rynek utylizacji danych stoi przed wieloma wyzwaniami, związanymi nie tylko z samą jakością usług, ale także z ich dotarciem do klienta.

Standardowy urząd miasta przechowuje dokumenty takie jak:

a. Oświadczenia o stanie majątkowym osób zobowiązanych do ich składania.

b. Wykaz przedpoborowychc. Rejestr przedpoborowychd. Wykaz poborowych

e. Plan urządzeń lasów niepaństwowych

f. Akta Stanu Cywilnego (Urząd Stanu Cywilnego w Budzyniu)

g. Ewidencja Ludności Gminy Budzyń i dowody osobiste

h. Ewidencja osób, którym udzielono zezwolenia na wycinkę drzew

i. Ewidencja wniosków i wydanych zezwoleń na utrzymywanie psa rasy uznanej za agresywną

j. Ewidencja osób, którym wydano zawiadomienia o nadaniu numeru porządkowego nieruchomości

k. Ewidencja osób, którym wydano decyzje o warunkach zabudowy,zagospodarowania terenu

l. Ewidencja osób, którym wydano decyzję o podziale nieruchomościm. Ewidencja gruntów i budynków

n. Ewidencja podatników i dłużników

o. Rejestr umów najmu lokali

p. Rejestr umów dzierżawy

q. Rejestr użytkowników wieczystych

r. Rejestr skarg i wniosków

s. Dziennik korespondencji

t. Akcyza

u. Kadry

v. Płace

Niektóre z nich będą przechowywane w formie papierowej, ale większość zostanie zarchiwizowana na odpowiednich nośnikach np. płytach DVD, część z nich będzie przenoszona między działami na pendrive’ach, każdy z tych dokumentów choć raz zagościł na dysku twardym komputera. Także możemy śmiało założyć, że takie dokumenty będą zawierały szczegółowe dane wszystkich mieszkańców miasta.

I teraz uruchamia się wyobraźnia – co jeżeli źle przechowywane, nieodpowiednio zutylizowane nośniki dostaną się w niepowołane ręce? Przede wszystkim, kto za to poniesie odpowiedzialność? Tak drodzy urzędnicy – wy. Także następnym razem, zapisując pliki na płycie CD, pomyśl, co się może z nią potem stać.

Twój prywatny dorkbot

Każdy z nas używa w pracy przenośnych pamięci. Ostatnio po moim biurze „krążył” pendrive ze zdjęciami z imprezy po szkoleniu. Było ich dość sporo, akurat na serwerze jest mało miejsca, więc kolega udostępnił swój 16 GB flash disc.

I tego dnia natknąłem się na wpis na iso27000.pl.

Dużym zagrożeniem jest robak internetowy Dorkbot, który rozprzestrzenia się poprzez przenośne nośniki danych, takie jak pendrive’y, modyfikując na nich pliki automatycznego startu. W ten sposób każde podłączenie nośnika do komputera powoduje uruchomienie Dorkbot’a i przeniesienie go na nową maszynę.

Trochę to przypomina historię (nie) sławnego cornfickera. Jak zaznacza microsoft, robak tworzy tylne drzwi w systemie, pozwala na zdalną kontrolę komputera, instalacje nowych programów. Zagrożenie teoretycznie nie grozi wielkimi konsekwencjami. Ale jak dalej zostanie wykorzystana furtka, to inna historia.

Szczególnie jak przeniesiemy to na grunt firmy – tu przetwarzane dane są warte więcej niż na moim domowym MacBooku. A tak łatwo temu zapobiec- rozwiązanie z zakresu kontroli usb, ewentualnie blokada usb, elektroniczny obieg dokumentów i nagle okazuje się, że można uniknąć części malware.

Bezpieczeństwo IT najwyższych sfer

Wątpię, żeby ktokolwiek przeoczył historię posłanki PiS, Beaty Kempy. No dobrze, dla tych, którym się to udało: wyborcza.pl pisze trochę więcej. Jeden e-mail, przesłany do PAP, wywołał burzę oskarżeń, spekulacji. Potem okazało się, że ktoś skorzystał z prostej strony internetowej, która umożliwia „podszywanie się” pod dany adres. Jak pisze Janusz A. Urbanowicz, w swoim cyklu dla gazeta.pl - Niebezpiecznik:

Ale tak naprawdę problem lezy gdzie indziej. Taką wiadomość może wysłać każdy, więc redaktor dyżurny w PAP nie powinien publikować jej bez niezależnej weryfikacji.

To skłania do myślenia, w jakim stopniu nasz wizerunek w internecie jest bezpieczne. Z jednej strony, za włamanie na pocztę elektroniczną grozi odpowiedzialność karna, z drugiej – nic nie stoi na przeszkodzie, żeby ktoś zarejestrował domenę z naszym imieniem i nazwiskiem i wykorzystywał ją do swoich celów – np. jaroslawkaczynski.pl kieruje nas do sklepu z częściami samochodowymi. gazeta.pl pisze dziś o firmach, które rejestrują domeny nazwa.xxx, ze strachu, że ktoś może wykorzystac ich markę w ten sposób, do promocji pornografii.

Także to pokazuje, że bezpieczeństwo IT, to nie tylko kwestia danych, ale także wizerunku. Jak stwierdził jeden z moich klientów „takie rozwiązanie chroni firmę przed blamażem, w przypadku wycieku tyc hdanych”

 

Reakcja to podstawa

Zwracamy się do Państwa z informacją o możliwości dojścia do nieautoryzowanego dostępu do niektórych informacji z Państwa konta klienckiego, w tym Państwa imion (nazwisk), adresu e-mail, adresów wysyłki, daty urodzin, numeru telefonu oraz chronionego hasła.
Dostęp nie obejmował informacji dotyczących płatności, w tym dotyczących Państwa kart kredytowych.
Chociaż przechowujemy nasze hasła w zabezpieczonej postaci, z daleko posuniętej ostrożności, zalecamy, aby dokonali Państwo zmiany hasła na stronie BuyVIP, a także na wszystkich innych stronach, na których używają Państwo tego samego lub podobnego hasła. Ponadto, proszę pamiętać, że BuyVIP nigdy nie prosi o podanie żadnych osobistych danych lub danych związanych z państwa kontem za pośrednictwem poczty elektronicznej. Proszę zachować szczególną ostrożność, jeżeli otrzymają Państwo jakąkolwiek wiadomość e-mail zawierającą prośbę o podanie jakichkolwiek informacji osobistych oraz w wypadku otrzymania wiadomości, która skieruje Państwa na stronę internetową, na której zostaną Państwo poproszeni o podanie takich informacji.
Przepraszamy za zainstniałe trudności. Jeżeli mają Państwo obecnie złożone zamówienie, zapewniamy, że nasz zespół zajmuje się nim i zostanie ono dostarczone zgodnie z ustaleniami.
Zespół Obsługi Klienta BuyVIP

Taką wiadomość otrzymali niedawno klienci Buy VIP, internetowego outletu. Informacja o tym pojawiła się w poniedziałek rano w gazeta.pl. Z racji, że serwis należy do Grupy Allegro, firma zastrzegła, że wyciek danych nie ma nic wspólnego z czwartkową awarią.

Tak jak wyklarowała Joanna Wagner, rzecznik Grupy Allegro dla niebezpiecznik.pl:

Do włamania na serwery Buyvip rzeczywiście doszło, ale ofiarą padły hiszpańskie serwery — co w istocie dla polskich użytkowników buyvip nie robi żadnej różnicy, bo na zaatakowanych serwerach znajdowały się ich dane. (…) E-maila o naruszeniu bezpieczeństwa wysłała centrala z Hiszpanii — dostali go wszyscy użytkownicy BuyVIP, nie tylko Polacy.

Teraz czekamy na informacje, jakie były przyczyny tego wycieku, znając już jego rozmiar.