17.02.2017 | 08:14

Adam Haertle

Polityka, komercja i niekompetencja, czyli echa ataku na polskie banki

Ujawniony przez nas prawie dwa tygodnie temu najpoważniejszy udokumentowany atak na polski sektor finansowy potwierdził, że sytuacje kryzysowe najlepiej pokazują prawdziwe oblicza ludzi oraz instytucji. Oblicza nie zawsze piękne i idealne.

Prawie dwa tygodnie temu poinformowaliśmy o tym, że kilka polskich banków padło ofiarami sprytnych włamywaczy. Ten pierwszy (wg naszej wiedzy) ujawniony przypadek tak poważnego ataku na polski sektor finansowy i to, co działo się od 25 stycznia, kiedy to pojawiły się pierwsze informacje o ataku, do dzisiaj, naszym zdaniem stanowi dobrą i warta opisania diagnozę całego środowiska. Część refleksji jest smutna, częśc pozytywna. Zapraszamy także do podzielenia się Waszymi przemyśleniami.

Przepływ informacji

Obieg informacji w tej sprawie to temat – rzeka – i bynajmniej nie dlatego, ze informacje jak rzeka płynęły – ich obieg bardziej przypominał pięciolatka biegającego z sikawką w śmigus dyngus i polewającego małymi strumieniami wody z góry upatrzone osoby. Początek był obiecujący. Pierwszy bank, który potwierdził infekcję, natychmiast postanowił podzielić się informacjami. Nie chciał robić tego pod własnym szyldem, więc użył pośredników. System zadziałał i informacja trafiła do wielu zainteresowanych. W ciągu kilkudziesięciu godzin (prawie) całe środowisko bankowe zaczęło szukać śladów infekcji i część je znalazła. Informacje o incydencie trafiły też do podmiotów świadczących komercyjne usługi bezpieczeństwa dla banków – lecz nie wszystkie wyraziły chęć zajęcia się problemem, dopóki nie potwierdzą, że dotyczy to ich klientów.

Powstała sytuacja, w której mniej więcej wiadomo już było, że jest źle. Wiadomo, że mamy pierwsze elementy informacji pozwalające na wykrycie infekcji, lecz brak głębszej wiedzy o tym, co jeszcze potrafi złośliwe oprogramowanie, jakie tworzy pliki, z jakimi rozmawia serwerami i gdzie go szukać na dyskach i w pamięci komputerów. Niestety polskie firmy i organizacje, które potrafią szybko i samodzielnie przeprowadzić szczegółową analizę złośliwego oprogramowania, można policzyć na palcach dwóch rąk i wszystkie z nich świadczą w mniejszym lub wiekszym zakresie komercyjne usługi bankom (lub są to komórki w samych bankach) – zatem ze sobą wprost konkurują. To spowodowało, że w sprawach analizy każdy skrobał swoją rzepkę i wyniki skrzętnie zamiatał do swojej szafeczki (ewentualnie dzielił się z klientem). Do tego wesołego korowodu dołączyły firmy spoza Polski, które każda w swoim labie dłubała w tym, co potrafiła znaleźć.

Na szczęście dla tych podmiotów, które nie posiadają własnych możliwości analizy (a jest to, co smutne, większość banków) jeden z banków szybko podzielił się cennymi uwagami, przyspieszając proces przeglądu sieci. Gdyby nie decyzja tego jednego podmiotu, sporo organizacji do tej pory błąkało by się w ciemnościach lub biegło do dostawców. Ten ruch uruchomił mały strumyk informacji – niektórzy dostawcy dołączyli, dołączyły też inne banki i na wewnątrzbankowej liście SWOZ (System Wymiany Ostrzeżeń o Zagrożeniach) pojawiło się kilka zestawów przydatnych informacji. Gdy już wydawało się, że dzięki temu incydentowi lista odżyje i będzie bardziej wartościowym źródłem informacji o faktycznych zagrożeniach, część informacji na niej opublikowanych tylko do użytku wewnętrznego trafiła do internetu, dzięki czemu autorzy wartościowych postów obiecali, że już nigdy tego błędu nie popełnią. Smutne.

Instytucje

Problem obiegu informacji o zagrożeniach nie jest nowy i ten incydent wcale nie musiał go uwypuklić (chociaż i tak to zrobił). Aby między innymi te zagadnienia rozwiązać powołano do życia co najmniej dwa organizmy: Bankowe Centrum Cyberbezpieczeństwa oraz Narodowe Centrum Cyberbezpieczeństwa. Oba mają za sobą kilka miesięcy funkcjonowania, lecz według naszej wiedzy w obsłudze tego incydentu nie odegrały żadnej roli (z wyłączeniem zespołu CERT Polska, który, choć formalnie wcielony do NC Cyber, działa dosyć niezależnie). Być może po prostu BCC i NC Cyber potrzebują ludzi i jeszcze więcej czasu by zacząć pełnić swoją rolę. Z drugiej strony, NC Cyber i Ministerstwo Cyfryzacji zajmowały się dosyć intensywnie stworzeniem strategii zapewniającej Polsce cyberbezpieczeństwo. Niestety strategia bardziej skupiała się na zagrożeniach płynących z zainfekowanych komputerów użytkowników w kierunku stron rządowych, kopiach bezpieczeństwa, enigmatycznych klastrach i na atakach typu DDoS, a nie na zagrożeniach którym poświęcony był ten artykuł. Wynika z tego zatem, że nie możemy obecnie liczyć na niczyją pomoc. Jaki zatem organ państwa ma działać w przypadku ataków na infrastrukturę krytyczną?

Niektórzy wskazują tutaj na ABW i zespół CERT.GOV.PL jako te, które powinny zająć się tak poważnym tematem. Według naszych informacji niestety tak nie będzie – ABW nie spieszy się do przejęcia śledztwa, a wręcz zabiega o to, by trafiło ono na dużo niższy szczebel. Dlaczego? Niektórzy wskazują na brak kompetencji technicznych połączony z brakiem woli politycznej – w tej sprawie ryzyko porażki (czyli umorzenia z powodu niewykrycia sprawców) jest zbyt wysokie, by ustawiła się kolejka chętnych po ordery. Wygląda zatem na to, że Polska nie ma dzisiaj instytucji mogącej przejąć pałeczkę dowodzenia w sprawach cyberataków, nawet o potencjalnie bardzo poważnych konsekwencjach.

Czy ktoś wiedział, nie powiedział

Spójrzmy na informacje wskazujące na to, że ataki można było odkryć w zasadzie zaraz po ich rozpoczęciu, czyli 4 miesiące wcześniej, niż faktycznie miało to miejsce:

  • 2016-10-07 – service PassiveTotal rejestruje informację o obecności wstrzykniętego obcego skryptu na stronie knf.gov.pl,
  • 2016-10-07 – plik cambio.xap, zawierający użyty w kampanii exploit na Silverlighta, ląduje w serwisie VirusTotal,
  • 2016-10-24 – plik służący do rozpoznania infekowanej stacji kojarzony z tą kampanią ląduje w serwisie VirusTotal,
  • 2016-10 ( nie znamy precyzyjnej daty) – KNF otrzymuje ostrzeżenie o złośliwym kodzie na stronie,
  • 2016-12-07 – plik cambio.swf, zawierający użyte w kampanii exploity na Flasha, ląduje w serwisie VirusTotal,
  • 2017-01-06 – próbka złośliwego oprogramowania kojarzona z tą kampanią trafia do serwisu Hybrid Analysis,
  • gdzieś między październikiem a styczniem system wykrywania zagrożeń w jednym z banków raportuje alert po wizycie na stronie KNF,
  • pod koniec stycznia niektóre adresy domenowe aktywne w ramach tej kampanii były już na listach blokowanych adresów u niektórych dostawców.

Ataki trwały od października 2016. Ostrzeżenia były, lecz zostały zignorowane lub nie były potraktowane wystarczająco powaznie. Przynajmniej kilka osób wiedziało o infekcji witryny www.knf.gov.pl w październiku 2016, lecz nie potrafiło infekcji usunąć ani ostrzec o niej banki. Na wizyty na witrynie KNF zareagowały systemy wczesnego ostrzegania o zagrożeniach, wysłały nawet alerty do zespołu SOC. Alerty, które zostały zignorowane, ponieważ systemy nie nadały im dużej wagi, a alertów są setki dziennie. Niektóre systemy blokowały próby infekcji – lecz znowu, nikt nie skojarzył, że ma do czynienia z zagrożeniem dla całego sektora i nie eskalował problemu. Co więcej, wyżej wymienione poszlaki wskazują, że ataki ktoś badał już w październiku. Jest całkiem prawdopodobne, że informacje o atakach były dostępne już wcześniej – lecz nikt z nich nie skorzystał, by wykryć napastników w swojej sieci. Dlaczego?

Zablokowanie tysięcy ataków i wygenerowanie tysięcy alertów dziennie nie jest żadnym problemem – wystarczy kupić kilka odpowiednich pudełek. Sztuka polega na tym, by z tego morza incydentów móc wyłowić te, które są ważne. To wymaga głębokiego zrozumienia technik, taktyki i procedur atakujących oraz przeglądu wszystkich wcześniej obserwowanych ataków na dany sektor i jego okolice. Dopiero analiza tego, co się wydarzyło i tego, czy jest się na to dzisiaj przygotowanym, może pomóc w zaprojektowaniu odpowiednich mechanizmów obronnych i wykryciu nowych ataków. Tego nie zapewni żadne pudełko – niezbędny jest tu spory wysiłek ludzi, którzy analizę przeprowadzą i do realiów danej instytucji ją zmapują. Rzadko gdzie taki proces zachodzi – nawet jeśli spojrzymy na całkiem dojrzały jak na polskie warunki sektor bankowy.

Jak zatem niektóre banki uniknęły włamania? Rozmawialiśmy z kilkoma, które się obroniły i ślady ataków znalazły w logach. Co ciekawe, niektóre osoby odpowiedzialne w tych bankach za obronę nie potrafiły powiedzieć, dlaczego przestępcom nie udało się włamać. Czy były to magiczne pudełka na styku z internetem? Czy może dobrze zabezpieczone stacje robocze? A może po prostu okazali się celem twardszym od sąsiadów i atakujący nie tracił na nich czasu? Najczęściej w opowieściach przewijał się wątek ochrony punktu styku (i to najlepiej ochrony wielowarstwowej) oraz drakońskich ograniczeń na stacjach roboczych użytkowników. Był też przypadek banku, w którym stacje uzytkowników były tak dobrze chronione, ze atakujący dostali się dopiero na stację jednego z administratorów sieci, gdzie polityki były łagodniejsze. Wygląda zatem na to, że przed atakiem mozna się było obronić – lecz nie dzięki stosowi pudełek produkujących alerty, a raczej przemyślanej strategii obrony całej infrastruktury.

Dużo gorzej niestety wygląda odpowiedź na pytanie dlaczego ataku wcześniej nie wykryto. Dokładnie rzecz biorąc źle wygląda brak odpowiedzi. Na ten element analizy pewnie jeszcze przyjdzie czas. Już dzisiaj jednak widać, że w obszarze Threat Intelligence sporo jest w bankach do zrobienia.

Uwagi końcowe

Co zadziałało:

  • systemy ostrzegania,
  • nieformalne relacje między poszczególnymi firmami i instytucjami,
  • współpraca pracowników niższego szczebla.

Co nie zadziałało:

  • reagowanie na alerty z systemów ostrzegania,
  • instytucje państwowe,
  • ciała i relacje formalne.

Dodatkowo pod koniec stycznia, gdy sektor bankowy i dostawcy z niego żyjący zrozumieli, z jaką skalą ataku mają do czynienia, zaobserwowaliśmy ciekawe zjawisko. Nagle okazało się, że wszyscy nas kochają, a najbardziej kochają próbki złośliwego oprogramowania, którymi dysponowaliśmy. Kochali także wskaźniki infekcji, wyniki już przeprowadzonych analiz i wszelkie informacje pozwalające lepiej zrozumieć i opisać atak. Niektórym zaufanym podmiotom udzieliliśmy niektórych informacji a w zamian otrzymaliśmy obietnice, że podzielą się ze swojej strony wszystkim, co tylko na podstawie tych informacji wytworzą. Jak możecie pewnie bez trudu zgadnąć, spora część obietnic okazała się całkiem bez pokrycia. Na szczęście tego rodzaju błąd popełnia się z reguły raz w życiu i też się czegoś nauczyliśmy. Wiemy też o sprzedawcach, którzy krążą obecnie ze swoimi pudełkami po bankach i pokazują, jak dzisiaj cudownie łapią próbki z tej infekcji. Zapytajcie ich, które próbki złapali do 25 stycznia 2017.

Przy tej okazji dziękujemy tym, którzy obietnic dotrzymali – to w oparciu o takie relacje można zbudować sprawny system obiegu informacji. Dziękujemy też wszystkim, którzy po cichu dokładają swoje cegiełki do walki z zagrożeniem. Mamy nadzieję, że ten poważny incydent pozwolił Wam zweryfikować niektóre twierdzenia dostawców, przetestować zakurzone pudełka a także uzyskać błogosławieństwo na wprowadzenie koniecznych zmian i budżety na ich realizację.

Powrót

Komentarze

  • 2017.02.17 09:14 Szymon

    Ciekawy artykuł, szczególnie w kontekście opinii niektórych osób – jakie to IT w instytucjach finansowych jest dojrzałe i profesjonalne.

    Odpowiedz
    • 2017.02.17 09:44 Tengrom

      Tak jak jest napisane w artykule , zalezy w jakim banku.

      Odpowiedz
    • 2017.02.19 15:08 Xn

      Zapłać im więcej, by nie musieli myśleć skąd wziąć pieniądze a zaczęli myśleć o „szeroko rozumianym interesie [zwisie] pracodawcy”. Wtedy dopiero narzekaj, że odstawiają manianę.

      Zapłacisz odpowiednio to i sami będą podnosić swoje kwalifikacje. Takie stawki jakie widuję to nie pozwalają nawet myśleć o szkoleniu, za to mocno przyciskają do myślenia o równoległych zleceniach, gdzie też można tylko odwalić popelinę, byle od pierwszego do pierwszego starczyło i jakoś z rodziną wyżyć.

      Odpowiedz
  • 2017.02.17 09:26 Tengrom

    Czesto wdrazanie bezpieczenstwa w firmie kojarzy mi sie z tym filmem
    https://www.youtube.com/watch?v=wd9NQxIeAAc

    Odpowiedz
    • 2017.02.19 15:12 Xn

      Pamiętaj, że dokumenty prawników (w tym te elektroniczne) są zabezpieczone przez tajemnicę adwokacką. (-; Na poważnie, to tekst jednego z prawników.

      Odpowiedz
  • 2017.02.17 09:28 Zed

    Albo mam depresje albo ten artykuł ma smutny wydzwięk…

    Odpowiedz
  • 2017.02.17 09:47 Sauron

    zaiste wszystkiemu winne jest państwo.

    Odpowiedz
  • 2017.02.17 10:08 ktos

    Kto był informowany w KNF? Dlaczego tego nie eskalował? Dlaczego nie zaprzestali zarażania banków przez prawie 4 miesiące?

    „…autorzy wartościowych postów obiecali, że już nigdy tego błędu nie popełnią.” – Moim zdaniem należałoby ujawnić dane osobowe tych autorów i ich bank (niech opinia publiczna się dowie że wiedzieli ale nie dzielili się wiedzą o zagrożeniu) i zmienić prawo tak by banki były zmuszane do publikowania w krótkich terminach takich informacji a nie tylko informowania się nawzajem na zamkniętych listach.

    Szkoda że nie podałeś listy tych, którzy obiecywali i na tym poprzestało. Dobrze by było wiedzieć klientom, które banki grają tak nie fair. Banki to instytucje zaufania publicznego i ich wizerunek powinien na tym cierpieć że oszukują redaktorów (czyli klientów też).

    Odpowiedz
    • 2017.02.17 12:53 245sdfhj324

      „…autorzy wartościowych postów obiecali, że już nigdy tego błędu nie popełnią.” – Moim zdaniem należałoby ujawnić dane osobowe tych autorów i ich bank (niech opinia publiczna się dowie że wiedzieli ale nie dzielili się wiedzą o zagrożeniu)
      No przecież się podzielili…
      W ten sposób ukarzesz tych, którzy wykazali minimum dobrej woli, a nie tych którzy w ogóle jej nie wykazali.

      Odpowiedz
    • 2017.02.17 13:23 chesteroni

      To środowisko i tak jest bardzo hermetyczne i wymaganie, żeby każdy bank publicznie (w znaczeniu „w otwartym internecie”) pisał „hej, taki a taki malware nas trafił, włamano się do nas, a trafiło nas to …” to gruba przesada. Forum wymiany informacji musi być poufne z natury bo inaczej by narażało banki na szkody wizerunkowe. Ktoś tego nie zrozumiał i pobiegł do nieodpowiedzialnych mediów.

      Odpowiedz
      • 2017.02.17 19:26 rozdziabionaskruki...

        szkody wizerunkowe? kurwa. tu nas ktos rucha z zewnatrz ewidentnie a ktos mialby sie czyms takim przejmowac? szkoda palcuf na odpis ale chuj – raz na kilka lat mozna

        Odpowiedz
    • 2017.02.17 18:57 Darek

      Umiesz czytać? A ze zrozumieniem? Właśnie podzielili się wiedzą, w hermetycznym forum i te informacje wpłynęły na forum publiczne. I mają pełne prawo do takiej reakcji. Po pierwsze wiedza kosztuje, a po drugie te informacje (upublicznione) mogły spowodować duże zamieszanie i wymierne straty.

      Odpowiedz
      • 2017.02.17 21:27 Damian

        Właśnie brak tych informacji sprawił, że sprawa nabrała takiego rozpędu. Gdyby banki musiały takie informacje ujawnić, pewnie już wcześniej ktoś podniósłby larum. A tak cicho-sza wszystko ładnie się zamiata pod dywan. Do czasu …

        Odpowiedz
  • 2017.02.17 10:23 Staszek

    Czy informacja o zainfekowaniu strony KNF pochodziła od Google i pojawiła się w Search Console? Ostatnio Google jest aktywny na tym polu i niektóre organizacje dzięki temu wykrywają infekcje ich stron.

    Pozdrawiam

    Odpowiedz
  • 2017.02.17 10:42 atakietam

    literówka = zaonserwowaliśmy
    a nie powinno byc zaobserwowaliśmy ciekawe zjawisko.

    jestescie kozakami jakich malo :)
    wszyscy Was kochali ale jak przyslowie mowi prawdziwych przyjaciół poznaje sie w bieddzie wiec okazliscie sie byc przyjaciolmi szkoda ze niektorzy to wykorzystali ale dobrze ze lekcje z tego wyciagnelisci dla siebie i dla innych

    Odpowiedz
  • 2017.02.17 12:29 boritz

    Bardzo dobry artykuł.

    Odpowiedz
  • 2017.02.17 14:49 Artur

    Po pierwsze: gratulacje podsumowania – zgrabnie napisane.
    Po drugie: kto na 100% powie, że po sprawie?
    Nikogo nie zastanawia, że złośnik w cambio.swf jest wykrywany przez korporacyjnego AV od 2009 roku? I używany był na banki, które jako korporacje posiadają takie rozwiązania?
    Po co pisać własny malware, używając fragmentów kodu Lazarusów wydawać kasę itp a na pierwszym etapie używać rozwiązania „spalonego” przez AV?
    Nie raportuje się strat finansowych w wyniku działania tego malware, w żadnym z przypadków – w niektórych wyciek informacji… ale jakich?
    Czy w tej sytuacji, klienci banków na opublikowanej liście powinni domagać się „oświadczeń” ze strony tych instytucji? A może, tak zgodnie z dobrymi praktykami bezpieczeństwa informacji powinni np. sprawdzić swoje wyciągi, zmienić hasła itp. A kto im „z branży” takie praktyki zaleca? Wszyscy się boją paniki klientów?
    Co realnie banki posiadają w „upieczeniu od cyberataków” i jakie straty pokrywa BFG?
    To raczej praktyka, aby w tym przypadku kwestie związane z „przejrzystością” relacji klient-bank traktować jak „wymysły”.
    Kto zna oświadczenie dowolnego Banku, skierowanego do klientów w związku z publicznie ujawnioną informacją? Ktoś widział choćby w serwisie komunikacji wewnątrz bankowości elektronicznej słowo na ten temat?
    Tak z ciekawości, czy Banki przeprowadziły szczegółową weryfikację kodu aplikacji bankowości mobilnych pod kątem zmian w okresie od października 2016 do teraz? Może warto, jeśli ktoś kojarzy co zrobiły dwa bajty w systemie SWIFT?
    I tutaj dochodzimy do sedna problemu – Rekomendacji D – sektor bankowy tworzy własne regulacje – wzorowane na standardach międzynarodowych ale wybiórczo.
    Dlaczego od instytucji zaufania publicznego, tj. banków, administracji rządowej, samorządowej i podobnych, wobec których każdy z obywateli (jak i firmy) muszą implicite zakładać „dobrą wolę i zachowanie staranności” nie można wymagać zgodności (na poziomie certyfikacji niezależnej organizacji) z normami międzynarodowymi? Takie na przykład ISO 27001/2? Niektóre banki mogą się pochwalić takim wysiłkiem…
    Ale nie o papier chodzi, tylko o to co za nim stoi – czyli zrobienie wszystkiego co należy wg powszechnej wiedzy aby ochronić dane – na poziomie zarządzania organizacją, operacji i zasobów.
    Czy to wystarczy aby powstrzymać przestępców? Nie w dzisiejszych czasach – ale może im utrudnić znacznie popełnienie przestępstwa i co najważniejsze – wykazuje klientom zaangażowanie w ochronę ich interesów.
    Jeśli proponujecie zmianę wynikającą z bieżącej sytuacji – to proponuję postawienie wymogu każdej organizacji świadczącej usługi publiczne certyfikacji w zakresie normy międzynarodowej związanej z bezpieczeństwem informacji.
    Cena? Jest taka relacja: popyt i podaż. A kluczowe sektory świadczące usługi dla ludzi raczej nie mają problemów ze środkami np. na reklamy swoich usług…

    Odpowiedz
    • 2017.02.18 13:13 Wizun

      Potrafisz znaleźć dystans do sprawy i zadawać ciekawe pytania. Szacun!

      Odpowiedz
    • 2017.02.19 09:38 li-on

      „Takie na przykład ISO 27001/2”
      Niestety w większości przypadków ISO nie gwarantuje jakości. Sporo jednostek audytujących wymaga żeby były spisane procedury a nie wymaga, żeby były one stosowane. Już nie mówiąc o tym, że za audyt płaci audytowany i jak nie dostanie certyfikatu to pójdzie do innej firmy.

      Odpowiedz
      • 2017.02.19 15:20 Xn

        Dokładnie tak jest. Podobnie z certyfikatami solidna firma, diament forbes itp. Tylko, że tutaj część tych firm certyfikujących nie ukrywa tego, że certyfikaty te można kupić.

        To wszystko to reklama, a jak każda reklama – ta kłamie.

        Proponuję też spojrzeć na sprawę lekarstw – ile tu się zdarza popeliny? Gdyby procedury były wypełniane od A do Z to nie byłoby takich wpadek jak były. Jakie długotrwałe badania przeprowadzono nad szczepionką na HPV? Jakie są skutki jej OBOWIĄZKOWEGO podawania od 2017 roku? Wszystko zrobione dla pieniędzy. Życie ludzkie i bezpieczeństwo jest nic warte – ważne są pieniądze, bo jak się ich nie ma to się umiera z głodu.

        Odpowiedz
  • 2017.02.17 16:06 Paweł

    Bardzo ciekawe wnioski. Jak się wydaje to państwowe banki – PKO BP i Pekao SA (ten w przyszłości) zaczną przejmować zadania administracji publicznej w zakresie bezpieczeństwa publicznego. (O ile ABW nie ma już tam swoich wtyczek). Wyobraźmy sobie sytuacje, że PKO BP nie wysłał monitu o zagrożeniu… Klops po całości, Tu PKO BP zadział jako przedłużenie państwa. Czyli wychodzi typowa polska prowizorka – ale to społeczeństwo nie dorosło do urzędnika zarabiającego ileś tam tysięcy złotych. Autor bloga powinien więc przyjąć do wiadomości, że te zadania będą realizowane przez semikomercyjne banki.

    Pozdrawiam Paweł

    Odpowiedz
  • 2017.02.17 18:20 mj12

    „Polityka, komercja i niekompetencja”

    Dzień jak co dzień w IT Security.

    Odpowiedz
  • 2017.02.17 19:22 kulfon

    Po krotce, co by nie ugrzazc w natloku informaji. Zajebista robota panowie (poziom jak w pitbull). Oby tylko nikt wam nie zaczal po pietach deptac. Im glosniej, tym leiej na tym etapie. Dalej. Widac wspolnymi silami mozna wiecej (i.e. https://zaufanatrzeciastrona.pl/post/polityka-komercja-i-niekompetencja-czyli-echa-ataku-na-polskie-banki/ , https://www.linkedin.com/pulse/several-polish-banks-hit-watering-hole-attack-lessons-dworakowski?trk=hp-feed-article-title-publish, http://badcyber.com/several-polish-banks-hacked-information-stolen-by-unknown-attackers/ , http://pastebin.com/8TSyqxbW , http://blog.whitecatsec.com/2017/02/knf-studium-przypadku-pytania.html). Da sie w artykule wyczuc synergie wysilkow. Na pohybel dziadom ktore dalej holduja zasadzie kazdy sobie i nie mowmy nikomu tak lepiej. wielu patrzy, wszyscy analizuja. oby madrzy i madrzejsi zostali rowniez dopuszczeni do glosu. byc moze nastepnym razem uda sie lepiej. eof

    Odpowiedz
  • 2017.02.17 20:30 sluchawki_z_herbata

    Rozumiem, że zalecane jest zmienienie hasła do swoich kont bankowych?

    Odpowiedz
  • 2017.02.17 22:30 nonqu

    Flash, Silverlight? Po co to na stacjach roboczych w bankach? Po co to nawet adminowi?

    Odpowiedz
    • 2017.02.17 22:48 Adam

      Podobno jeszcze jakiś czas temu obowiązkowy dla banków portal raportowy KNF działał tylko z IE8, więc tam pewnie leży odpowiedź.

      Odpowiedz
      • 2017.02.18 07:41 Przemek

        To prawda, przez długi czas główny kanał komunikacji między KNF a bankami (stworzony przez KNF) działał max na IE8, choć np. Windows XP dawno już nie miał wsparcia a inne przeglądarki nie były obsługiwane. Na pytanie jak radzić sobie z problemem na Win7 – polecali zrobić downgrade IE do obsługiwanej wersji choć sami są autorem rekomendacji D gdzie jest mowa o używaniu aktualnego oprogramowania. Taki mały paradoks.

        Odpowiedz
        • 2017.02.19 15:04 Xn

          Dziwi Cię? Dla mnie to nie paradoks. Za psie pieniądze to można tylko utrzymywać i zaradzać na widoczne problemy i myśli się tylko o tym aby jak najszybciej poszło, zostawić to potem w PiS*u a potem wziąć kolejne zlecenie, aby wyjść na swoje. Żeby żyć w tym kraju trzeba jak najszybciej brać kasę. W ten sposób nie uwzględnia się szczególnych przypadków (tzw. wyjątków), zostawia mnóstwo dziur, nie obsługuje innych przeglądarek niż „jedyna słuszna” dla autora oprogramowania. Gdyby płacili tak aby się utrzymać, by starczyło na jedzenie, mieszkanie i wszystko co ważne dla człowieka – ten mógłby przyjrzeć się dogłębnie problemowi i go rozwiązać prawidłowo, a nie odstawić popelinę, bo nie musiałby myśleć o tym skąd wziąć kolejne pieniądze.

          Podpowiem tylko, że hakerzy zazwyczaj też nie hakują tylko z pasji – to że żądają okupów oznacza wprost – że jeżeli nie zapłaci firma programiście, to prędzej czy później i tak zapłaci trzeciej stronie lub upadnie choćby z braku zaufania.

          Dlaczego te problemy nie są zgłaszane klientom – a no właśnie – chodzi o ZAUFANIE – straciliby je natychmiast. Choć jak to wyjdzie na zewnątrz – wcześniej czy później i tak stracą.

          Odpowiedz
          • 2017.02.22 09:03 wredny

            Piszesz za psie pieniądze. NIE MA PRZYMUSU PRACY za psie pieniądze! NIE dziw się, że taką kasę płacą bo to koło zamknięte. Jaka praca taka płaca i taka płaca jaka praca! Ponad 90% tych informatyków wykształconych w Polsce, to spece od gier komputerowych albo photoshopa lub power point’a! Nawet wie wiedzą o istnieniu impress’a czy gimp’a albo blenedr’a. Bo i po co mają wiedzieć! Firma kupi licencję i już! A jak sofcik zacznie się zawieszać, to zakupi się szybszy komputer z więcej RAM’u. Tak to się kręci! Rozwiązanie? NIE MA! Bo każdy nieuk matematyczny pcha się na informatykę!

  • 2017.02.19 03:18 s1m0n

    W Australii ostatnio klepnęli ustawę o obowiązku informowania o do incydentu. Szczegóły można znaleźć pod http://parlinfo.aph.gov.au/parlInfo/download/legislation/bills/r5747_aspassed/toc_pdf/16158b01.pdf;fileType=application%2Fpdf (zwłaszcza sekcje 26WK i 26WL). U nas też by się przydało.

    Odpowiedz
  • 2017.02.19 12:57 Xn

    A dlaczego nikt się tym nie interesował? By się ktoś chciał czymś zainteresować musi w pracy dostawać odpowiednie wynagrodzenie przystające do warunków europejskich. Bez tego to i mi będzie wisieć bezpieczeństwo tych systemów, a w szczególności analizy ton logów z nich.

    Po co coś robić, skoro instytucja nie docenia? A dodatkowo za próby pentestów teraz grożą jeszcze wyższe kary niż kiedyś?

    Odpowiedz
    • 2017.02.19 14:38 sec

      Może weź się za robotę, to i wynagrodzenie wzrośnie?
      No offence – naoglądałem się już takich 'szpeców’, co nic nie zrobią bo tylko dwie czy trzy średnie krajowe dostają. Może to działa w obie strony?

      Odpowiedz
      • 2017.02.19 16:22 Xn

        Póki co szukam lepiej płacącej firmy by nie musieć odwalać popeliny. Niestety przy pensji w obecnej i wypłacie „zadaniowej” pozostaje mi tylko działać tak dalej. Tak więc sec, sam się weź do roboty. Znajdę dobrze płacącą – będę więcej czasu poświęcać na projekty – oczywiści o ile nie będzie zbytniego nacisku czasowego, bo to też źle działa na jakość. Niestety dziś w trójcy „dobrze, tanio i szybko” można mieć albo dobrze, albo tanio albo szybko. nie „i” tylko „albo”. Niestety wszędzie jest nacisk na „tanio i szybko” więc dobrze nie będzie.

        Odpowiedz
  • 2017.02.19 13:05 Xn

    Należy pamiętać o ważnej rzeczy – posiadamy na świecie tylko 2 typy ludzi:

    a) pasjonatów, którzy przeprowadzą „nielegalne” pentesty i przeważnie zgłoszą błędy – tych się zniechęca wysokimi karami zapisanymi w Kodeksie Karnym i straszy jeszcze zaostrzeniem,

    b) tych co chcą zarobić – wynik pracy programisty i testera będzie proporcjonalny do tego ile mogą przeznaczyć na swoje utrzymanie i utrzymanie rodziny. Niestety firmy i państwo nie obchodzi, że ktoś umrze z głodu lub musi żebrać, że nie ma na jedzenie, odzież, leki inne potrzebne rzeczy. Skoro firmie i państwu nie zależy, to dlaczego ma mi zależeć? Bank i tak bierze odpowiedzialność za pieniądze klientów, więc te są raczej bezpieczne. A jak się ktoś boi o dane osobowe przechowywane w banku – proste – nie korzysta z ich usług.

    Odpowiedz
  • 2017.02.20 00:15 John Sharkrat

    IQ Polski, to obecnie 98 pkt. Niestety przybywa polityków i urzędników. Swoją drogą to zabawne, kiedy ludzie piszą o mistycznym superinteligentnym tworze zwanym państwem, które potrafi rozwiać wszelkie problemy. Zabawne też jest ich zdziwienie, kiedy państwo nie zadziałało.

    Odpowiedz
  • 2017.02.20 12:18 Krzysztofa J.

    Każdy może poznać wykaz\rejestr\listę firm świadczących usługi dla Twojego banku…, ale „tylko” tych mających dostęp do tajemnicy bankowej (http://bs.net.pl/upload/File/pdf/tajemnica_bankowa.pdf)

    Art. 111b

    1. Bank obowiązany jest ogłaszać w sposób ogólnie dostępny informacje o przedsiębiorcach lub przedsiębiorcach zagranicznych, o których mowa w art. 6a ust. 1 i 7, o ile przy wykonywaniu na rzecz jednostki organizacyjnej banku albo innego przedsiębiorcy lub przedsiębiorcy zagranicznego czynności, o których mowa w tych przepisach, uzyskują dostęp do informacji chronionych tajemnicą bankową.

    2. Informacje, o których mowa w ust. 1, bank obowiązany jest również udostępnić nieodpłatnie, na żądanie zainteresowanej osoby, w miejscu wykonywania czynności, o którym mowa w art. 111 ust. 1.

    Przykłady:

    http://www.aliorbank.pl/resources/res/repozytorium_dokumentow/alior_bank_outsourserzy.pdf

    http://static3.bzwbk.pl/asset/r/e/j/rejestr_przedsiebiorcow_art_111b_pb_26688.pdf?_ga=1.140156915.1913497485.1483340075

    https://www.mbank.pl/pobierz/mbankrejestumow.xls

    http://raiffeisenpolbank.com/documents/30393755/38914335/RBPL+-+Informacja+o+przedsiębiorcach+i+przedsiębiorcach+zagranicznych+%28art.+111b+PB%29.pdf

    http://www.citibank.pl/poland/homepage/polish/files2/rejestr_przeds.xls

    https://www.bgzbnpparibas.pl/repozytorium/lista-podmiotow-wspolpracujacych-z-bankiem

    Odpowiedz
  • 2017.02.21 11:30 gosc

    Najsmutniejsze jest to, ze KNF kolejny raz pokazal ciala. Pierwszy raz skompromitowal sie olaniem sprawy Amber Gold. A teraz kolejny raz pokazal niekompetencje i skostniale i zbyt wolne procedury.

    Odpowiedz

Zostaw odpowiedź do atakietam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Polityka, komercja i niekompetencja, czyli echa ataku na polskie banki

Komentarze