Hakowanie nawet bez prądu. Kto kradnie nasze dane i jak się przed tym bronić?

Hakowanie nawet bez prądu. Kto kradnie nasze dane i jak się przed tym bronić?

Hakowanie nawet bez prądu. Kto kradnie nasze dane i jak się przed tym bronić?
Blomedia poleca
23.10.2013 12:00, aktualizacja: 13.01.2022 10:24

Najlepszy sposób na firewalle? Spryt połączony z bezczelnością. Każde zabezpieczenie można złamać, uderzając w jego najsłabsze ogniwo: człowieka.

Najlepszy sposób na firewalle? Spryt połączony z bezczelnością. Każde zabezpieczenie można złamać, uderzając w jego najsłabsze ogniwo: człowieka.

To, że nie padłeś ofiarą hakerów, nie znaczy, że twoje dane są bezpieczne. Nie gwarantują tego nawet najdroższe zabezpieczenia. Sama królowa Anglii nie może być pewna, że nikt nie włamie się na jej prywatne konta internetowe lub telefoniczne – zwłaszcza po skandalu sprzed ośmiu lat.

Wieści ze świata

Zamach terrorystyczny w Londynie, który miał miejsce w roku 2005, stał się pożywką dla brytyjskich mediów – zwłaszcza dla tabloidów, takich jak News of the World. Głodna sensacji redakcja periodyku zleciła prywatnemu detektywowi włamanie do poczty głosowej ofiar zamachu. Nie był to ani pierwszy, ani ostatni włam dziennikarzy: w roku 2002 zhakowali oni telefon zamordowanej 13-latki Millie Downer, a pod koniec 2005 r. - telefony członków samej rodziny królewskiej! Zadanie okazało się łatwiejsze, niż mogłoby się wydawać.

Obraz

Detektyw Glenn Mulcaire – który od tamtego czasu zdążył się pożegnać z zawodem, podobnie jak News of the World pożegnały się z reputacją i kioskowymi półkami - wykradł prywatne dane księcia Williama sposobem znanym jako spoofing Caller ID. Celem spoofingu jest sprawienie, że u odbiorcy połączenia wyświetli się inny numer telefoniczny niż ten, z którego naprawdę dzwonimy. Czy korzystanie z tej metody to wyzwanie tylko dla najlepszych hakerów? Nic podobnego.

  • Istnieje całe mnóstwo darmowych aplikacji pozwalających spoofować Caller ID - mówi w wywiadzie dla portalu PC Mag Kevin Mahaffey, jeden z założycieli firmy Lookout, zajmującej się bezpieczeństwem urządzeń mobilnych. - To bardzo proste. Nawet dziecko może to zrobić.

Nie tylko dziecko – ze spoofowaniem poradzi sobie także imprezujący celebryta. W roku 2006 Paris Hilton została oskarżona włamanie się za pomocą tej metody do systemu wiadomości głosowych. To jednak stosunkowo nieszkodliwe przewinienie, bowiem spoofing uskuteczniają również oszuści działający na aukcjach internetowych... i niewybredni dowcipnisie. W roku 2007 aresztowano mężczyznę, który tym sposobem nasłał na niewinnego człowieka cały oddział SWAT.

Gdzie jest niegdysiejszy Snowden?

Kiedy zakładano podsłuch rodzinom ofiar londyńskiego zamachu, samo potwierdzenie Caller ID wystarczało, aby uzyskać dostęp do prywatnych wiadomości – zwykle nie były one chronione nawet numerem PIN. Można więc uznać, że w dużej mierze zawiniła niedoskonała technologia. Mówimy jednak o roku 2005, czyli o technologicznym średniowieczu. Dziś zabezpieczenia są lepsze, więc nie ma się czym martwić, prawda?

Mamy złą wiadomość: zmieniła się technologia, ale nie zmienił się sam człowiek.

Obraz

Aby wykraść tajne dane amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA), Edward Snowden nie musiał włamywać się na strzeżone serwery czy obchodzić skomplikowanych firewalli. Wystarczyło, że wykorzystał swoje uprawnienia administratora do skopiowania wybranych plików na napęd USB. Choć NSA zachowuje środki ostrożności, nie łącząc bezpośrednio swoich serwerów z Internetem, agencja nie zadbała o bezpieczeństwo poza cyberprzestrzenią, popełniając wobec swojego pracownika grzech zaufania. Nie ona jedna.

Wykorzystujących ludzkie błędy Snowdenów było, jest i będzie znacznie więcej. Jednym z nich okazał się Bradley Manning, analityk CIA, który w lutym 2010 roku został oskarżony o przekazywanie tajnych informacji portalowi Wikileaks, a w sierpniu 2013 skazany na 35 lat więzienia.

Kolejnym Snowdenem jest dziennikarka Anat Kamm, która w 2008 r. przekazała mediom tajne pliki, dowodzące, że rząd Izraela zlecił bezprawne zamordowanie liderów ugrupowania islamistycznego. Kamm trudno nazwać hakerką; kobieta po prostu skopiowała dokumenty, do których miała dostęp jako asystenta pełniąca obowiązkową służbę w sztabie Centralnego Dowództwa.

Wbrew pozorom, podobne afery mają miejsce nie tylko za oceanem. Choć w Polsce jeszcze nie doszło do równie wielkiego skandalu, to jeśli pojawi się ktoś chętny do jego wywołania, będzie miał duże pole do popisu – bo niedbałość to także cecha Polaków.

W roku 2011 Serhii Yevdokimov wykradł i sprzedał bazę danych klientów Netii, zdobytą dzięki luce w firmowych zabezpieczeniach... o której, jak twierdzi, natychmiast poinformował firmę. Ta jednak nie wykazała zainteresowania.

Haker o pseudonimie Alladyn2 i w tym, i w ubiegłym roku włamał się na serwery Kancelarii Premiera. Twierdzi on, że użytkownicy urzędowych komputerów trzymają niezaszyfrowane hasła w plikach zapisanych na pulpicie – najwyraźniej wierząc, że „wśród swoich” są bezpieczne. Podobna niedbałość na razie nie doprowadziła do sytuacji kryzysowej, ale w każdej chwili może spowodować poważne problemy. Nawet bez udziału osób trzecich.

Haker opcjonalny

Tezę, że to człowiek jest najsłabszym ogniwem wszelkich zabezpieczeń potwierdza zaskakujący fakt: w aferach związanych z utratą danych często brakuje czarnych charakterów. Czy „kradzież” jest możliwa bez „złodzieja”? Jak najbardziej. Specjalista ds. bezpieczeństwa informacyjnego Stuart King stwierdził kiedyś, że właśnie w taki sposób - przypadkowo i w wyniku ludzkiego błędu czy zaniedbania - najczęściej dochodzi do wycieków.

Obraz

W roku 2011 amerykański bank Citi niechcący upublicznił dane 150 tys. klientów, którzy ogłosili bankructwo – w tym numery ich ubezpieczeń społecznych. Winą obarczono „ograniczenia technologii” odpowiedzialnej za automatyczną redakcję danych trafiających do systemu informacji publicznej. W rzeczywistości nikt nie sprawdził danych przed publikacją.

W 2008 współpracujący z brytyjską służbą zdrowia trust City and Hackney Teaching Primary Care Trust stracił dane 160 tys. dzieci, ponieważ firma kurierska zgubiła dysk wysłany do jednego ze szpitali. Dopiero po tym incydencie szefowie CHTPCT nakazali szyfrowanie informacji na należących do organizacji komputerach.

Również w 2008 zaginął laptop brytyjskiego Ministerstwa Obrony Narodowej, zawierający dane 1,7 mln żołnierzy. Ministerstwo nie było pewne, w jaki sposób doszło do zguby, ani czy dane znajdujące się w komputerze zostały zaszyfrowane. Według portalu BBC brytyjski MON w latach 2004-2008 stracił aż 658 laptopów. Późniejszy minister obrony Liam Fox określił pasmo zaginięć rządowych urządzeń mianem „seryjnej niekompetencji”.

Monopolu na niekompetencję nie ma jednak żaden rząd - nawet najbardziej niezdarny. Laptopy, dyski czy pojedyncze pliki z wrażliwymi danymi tracili praktycznie wszyscy: od Gwardii Narodowej Stanów Zjednoczonych, przez prywatne firmy Hewlett-Packard i AT&T, po Gap, a nawet Starbucks. Wycieki – lub zaniedbania, które mogą do nich doprowadzić – są na porządku dziennym na całym świecie. Jak można im zapobiec? Czy to w ogóle możliwe?

Sprzątaczka wejdzie wszędzie

Czy istnieje coś takiego, jak "idealne zabezpieczenie", którego żaden haker po prostu nie złamie?

  • Na to pytanie należy odpowiedzieć pytaniem: zabezpieczenie przed czym? - mówi Aleksander Urbański, konsultant ds. bezpieczeństwa sieci. - Nie istnieje coś takiego, jak abstrakcyjne „bezpieczeństwo”. Zawsze musimy myśleć o konkretnych zagrożeniach. Przykładowo: skarbiec w banku zabezpieczy pieniądze przed kasiarzem typu Kwinty, ale nie pomoże na to, że Kramer, dyrektor banku, każe przynieść sobie całą gotówkę i pryśnie z nią do Zurychu.
Obraz

Zdaniem Urbańskiego można stworzyć idealne zabezpieczenia, lecz „bezpieczeństwo” nie jest elementem, który zbawi system. Ekspert zauważa, że możemy mieć pancerne drzwi z najlepszym zamkiem świata, ale to nam nie pomoże, jeśli da się je wyrwać z framugi, wejść przez okno, albo po prostu zadzwonić z dostawą pizzy.

  • Sprzątaczka wejdzie wszędzie – twierdzi Urbański. - Dlatego jeśli nie da się złamać zabezpieczenia technicznego, sprawdza się słabości ludzi. Przestępcy sprawdzają, co firmy udostępniają w sieci, i zbierają informację o infrastrukturze, oprogramowaniu, a także o ludziach. Interesującą zagrywką jest wysłanie wybranym pracownikom konia trojańskiego, czyli dokumentu z ukrytym złośliwym programem. Wiadomość można skonstruować tak, żeby wyglądała jak przesłany z kadr arkusz z podwyżkami na przyszły rok. Kto tego nie kliknie?

W przypadku ataków na indywidualnych użytkowników hakerzy stosują inne metody. Urbański twierdzi, że przeciętni użytkownicy zazwyczaj padają ofiarą oszustw polegających na podszyciu się przestępcy pod legalną usługę, np. bank internetowy. Tworzą oni fałszywy serwis, do którego użytkownik loguje się z użyciem prawdziwego hasła, zdradzając je złodziejowi.

Obraz
  • Przestępcy żerują na niedostosowaniu usług internetowych do konstrukcji psychicznej człowieka – wyjaśnia Urbański. - Nie jesteśmy ewolucyjnie zaprogramowani do podejrzliwości i sprawdzania wszystkiego po trzy razy, a dobrą fałszywkę trudno odróżnić od oryginału.

Strach się bać?

Po lekturze powyższej liczby zaniedbań można by dojść do wniosku, że winnymi utraty danych są... sami obrabowani z nich użytkownicy. Choć rzeczywiście w wielu przypadkach wina leży po ich stronie, to poza ewidentnymi zaniedbaniami, takimi jak zgubienie laptopa, sprawcami wycieków są hakerzy: przestępcy wykorzystujący błędy nie tylko ludzi, ale przede wszystkim oprogramowania.

  • Nie znając kontekstu zdarzenia, nie da się określić jego prawdopodobnej przyczyny, ale wina za włamanie bardzo rzadko leży po stronie użytkownika końcowego – mówi Urbański. - Chyba że ustawił hasło 'admin1', jak kiedyś nasza Kancelaria Premiera.
Obraz

Czy powinniśmy zatem obawiać się internetowej napaści? Niekoniecznie – pod warunkiem, że zachowamy ostrożność.

Utrata danych wynika albo ze słabych zabezpieczeń, albo wręcz z braku świadomości, że możemy być zaatakowani. Przeciętnemu Kowalskiemu powinny wystarczyć przystępne środki zapobiegawcze – począwszy od bezpłatnego, skutecznego antywirusa, a skończywszy na folii prywatyzującej 3M, przydatnej i w biurze, i podczas używania laptopa w kawiarni. Jak to działa? Otóż folia 3M sprawia, że osoby patrzące na monitor z boku nie widzą wyświetlanego na nim obrazu.

Obraz

Składa się ona z niewidocznych dla głównego użytkownika mikrożaluzji, uniemożliwiających patrzenie na ekran z innego kąta. Materiał jest elastyczny, a zarazem wytrzymały, dzięki czemu filtr można dopasować do każdego monitora, laptopa, a nawet tabletu.

Z badań wynika, że aż 87% stacji roboczych w firmach nie ma zainstalowanych najnowszych aktualizacji - są to więc otwarte drzwi dla złośliwego oprogramowania, chętnie wykorzystywane przez cyberprzestępców.

Na pierwszym miejscu w kwestii bezpieczeństwa stoi więc czynniki ludzki. Wniosek? Człowiek może być zarówno najsłabszym jak i najmocniejszym ogniwem całego systemu zabezpieczeń.

Michał Puczyński

Obraz

Materiał powstał we współpracy z firmą 3M.

Źródło artykułu:WP Gadżetomania
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (4)