24.10.2014 | 11:09

Adam Haertle

GPW walczyła z włamywaczami od co najmniej 10 dni

Z wiarygodnego źródła otrzymaliśmy informację, że pracownicy GPW wiedzieli o włamaniu do swojej sieci od co najmniej 10 dni. Co prawda podjęli próby usunięcia włamywaczy z systemów, ale początkowo były to próby nieudane.

Opisane przez nas wczoraj włamanie do GPW i powiązany z nim wyciek danych prawdopodobnie zaczęły się wiele dni temu. Wczoraj zostały o nim poinformowane media, co najwyraźniej skłoniło firmę do bardziej zdecydowanego działania.

Problemy od wielu dni

Wiarygodne źródło poinformowało nas, że pierwsze symptomy nieautoryzowanej aktywności w sieci GPW zostały odkryte co najmniej 10 dni temu. Pierwszy na niepokojące zachowanie jednego z serwerów zwrócił uwagę zespół odpowiedzialny za administrację maszyną. Przy pomocy zespołu odpowiedzialnego za funkcjonowanie sieci udało się potwierdzić, że serwer generuje nieautoryzowany ruch i przeprowadza skany sieci wewnętrznych.

Szybko zostały podjęte działania naprawcze, polegające co najmniej na przeinstalowaniu serwera oraz zmianie powiązanych z nim haseł. Niestety okazało się, że to nie wystarczyło, a włamywacze nadal posiadają dostęp do sieci wewnętrznej przedsiębiorstwa.

Wszystko wskazuje na to, że pierwszym przyczółkiem włamywaczy mógł być jeden z dwóch serwisów: gpwtrader.pl lub utp.gpw.pl. W serwisie prawdopodobnie odkryto błąd typu SQLi, za pomocą którego uzyskano dostęp do systemu. W kolejnych krokach włamywacze zdążyli przeskanować większość dostępnych zakresów adresacji wewnętrznej w poszukiwaniu innych podatności i prawdopodobnie zdobyli uprawnienia roota na co najmniej jednej maszynie (wskazuje na to obecność danych z pliku /etc/shadow).

Radykalne działania

Wczoraj około południa do mediów trafiła informacja, wysłana prawdopodobnie przez włamywaczy, z linkiem do serwisu Pastebin, w którym umieszczono wykradzione z GPW materiały. Krótko potem większość serwerów WWW spółki została wyłączona. Główny serwer wrócił po kilku godzinach, jednak spora część stron nie działa do tej pory. Posiadane przez nas informacje wskazują, że włamywacze najprawdopodobniej uzyskali dostęp co najmniej do następujących serwisów:

www.gpwcatalyst.pl
www.newconnect.pl
gpwtrader.pl
utp.gpw.pl

GPW rozesłała także komunikaty, częściowo potwierdzające zakres włamania.

Giełda Papierów Wartościowych informuje, że z przyczyn od niej niezależnych mogło dojść po pozyskania przez podmioty nieuprawnione archiwalnych danych używanych do logowania do Szkolnej Internetowej Gry Giełdowej i symulatora giełdowego GPW Trader.

Jednocześnie informujemy, że zaistniała sytuacja pozostaje bez wpływu na prawidłowe funkcjonowanie i bezpieczeństwo systemu transakcyjnego Giełdy.

Szanowni Państwo,

Uprzejmie informujemy, że z przyczyn niezależnych od Giełdy Papierów Wartościowych w Warszawie S.A. mogło dojść po pozyskania przez podmioty nieuprawnione Państwa archiwalnych danych używanych w związku z udziałem w projekcie wdrożenia systemu UTP.

Bardzo przepraszamy za zaistniałą sytuację i jeśli używali Państwo tych samych haseł w innych serwisach internetowych rekomendujemy ich zmianę.

Giełda Papierów Wartościowych SA

Słabe hasła

Niestety dane, udostępnione przez włamywaczy, wskazują na trwałą bolączkę większości firm na całym świecie, czyli beznadziejnie słabe hasła użytkowników oraz administratorów. O ile tych pierwszych można jeszcze przeboleć, to ci drudzy powinni zmienić swoje nawyki – i to szybko. Nie wiemy, z jakiego systemu pochodzą te dane, ale ich format wskazuje na zrzut z kontrolera domeny.

Hasła administratorów

Hasła administratorów

Dobra wiadomość?

Wszystko wskazuje na to, że choć zakres włamania był większy, niż wskazują na to oficjalne komunikaty GPW, to wszystkie zaatakowane serwery znajdowały się w tej samej podsieci, odseparowanej od pozostałych systemów giełdy. Nie natrafiliśmy do tej pory na informacje wskazujące, by włamywacze dotarli do głównych systemów transakcyjnych. To chyba jedyna dobra wiadomość w tej sprawie.

Powrót

Komentarze

  • 2014.10.24 11:22 Nocarz

    Tutaj tabelka z ilością wystąpień danego hasła w pliku z wycieku :)
    http://pastebin.com/8BcLEuBq

    Odpowiedz
    • 2014.10.24 11:42 r

      Jakbyś mógł to wrzuć jeszcze na pastebin linka do .doca a w nim html z linkiem do pdfa z listingiem html.

      Odpowiedz
      • 2014.10.24 12:22 Oiii

        A czemu nie w xml w htmlu i potem w PDF i formacie eBook
        Nie zapominajcie o xml

        Odpowiedz
        • 2014.10.24 12:35 Nocarz

          Oj, czepiacie się, dałem w HTML o wygodniej czytać z tabelki ;)

          Odpowiedz
          • 2014.10.24 19:08 aaa

            jsfiddle do wrzutek HTML/JS/CSS

    • 2014.10.27 14:27 Czarna

      To nie wszystko – mojego hasła nie masz a też wyciekło.

      Odpowiedz
  • 2014.10.24 11:38 kosmosik

    Tzn. włamali się na frontendowe WWW i przeskanowali sieć wewnętrzną… to w GPW nie mają DMZ?

    Odpowiedz
    • 2014.10.24 23:12 Mat2

      Ten serwer mógł potrzebować do czegoś danych z sieci wewnętrznej.

      Odpowiedz
  • 2014.10.24 12:20 Oiii

    czy myślicie, ze gpw używa jakiegoś szyfrowania?
    GPG truecrypta itd? Czy w tych danych sa sygnatury

    Odpowiedz
  • 2014.10.24 13:01 fff

    To nie sa admini z takimi haslami…

    Odpowiedz
  • 2014.10.24 13:37 Duży Pies

    Skoro sami nie dawali rady, mogli zgłosić incydent do CERT, link tu: http://www.cert.gov.pl/cer/zglaszanie-incydentu/16,Zglaszanie-incydentu.html albo link tu: https://www.cert.pl/formularz/formularz.php?lang=pl
    .

    Kłania się oczywisty brak systemów IDS/IPS.
    .
    Mogli skorzystać z darmowego systemu ARAKIS stworzonego przez CERT i ABW: http://www.cert.gov.pl/cer/system-arakis-gov/310,System-ARAKIS-GOV.html

    .
    Porażająca indolencja…
    Jak można być tak niefrasobliwym?

    Odpowiedz
    • 2014.10.24 14:48 JackN

      Nie wiesz, że admin jest mądry po szkodzie? :)

      Odpowiedz
    • 2014.10.24 15:08 Kuba

      Prawdziwy z ciebie ekspert

      Odpowiedz
      • 2014.10.24 16:34 LordBlick

        Hmm… Czasem lepiej udać się do masażystki, niż dać się sprowokować…

        Odpowiedz
        • 2014.10.24 21:39 kocham was

          i za to wielbie wasz serwis nie usuwacie niewygodnych komentarzy jak to robi skurwialy pajonk
          dziekuje – mozna usunac wulgaryzmy

          Odpowiedz
          • 2014.10.25 21:34 Duży Pies

            Czyżby? Moje Adam usuwa, więc cenzura jest. Szkoda że nie usuwa agresywnych wpisów pod moim adresem ;)

          • 2014.10.25 22:36 Adam

            W historii tego serwisu usunąłem 5 komentarzy, z czego 4 Twoje. Były wulgarne i nie dotyczyły tematu artykułu.

          • 2014.10.26 21:06 Duży Pies

            Szkoda że oprócz 4 moich nieprzypadkowo wulgarnych komentarzy, nie usuwasz oczywistych komentarzy-złośliwości pod moim adresem. Jak zauważyłeś Adamie, byłem tylko wtedy wulgarny, gdy jakiś gnój-forumowicz mnie zaatakował. Masz takie trochę „podwójne” standardy. Ale to Twój portal Adamie, więc możesz robić co chcesz.

          • 2014.10.30 14:56 LordBlick

            Z tym odpieraniem ataków to jest jeden problem, mianowicie tylko słabo przemyślana riposta najeżona jest wulgaryzmami, pomijając nawet kwestię, czy warto aby pies szczekał na pchły…

  • 2014.10.24 21:21 _Zdzich

    Duży Pies
    „nie obrażam przy tym” …

    Odpowiedz
    • 2014.10.25 11:17 Elektroniczny

      Faktycznie, prawdziwy z ciebie ekspert :-)

      Odpowiedz
  • 2014.11.24 00:44 ada

    wiadomo może czy gpwtrader wróci do normalnego funkcjonowania?

    Odpowiedz

Zostaw odpowiedź do JackN

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

GPW walczyła z włamywaczami od co najmniej 10 dni

Komentarze