Wyznania administratora czyli bezpieczeństwo kancelarii prawnych od środka

dodał 11 września 2015 o 15:44 w kategorii Info  z tagami:
Wyznania administratora czyli bezpieczeństwo kancelarii prawnych od środka

Na fali ostatnich informacji o skutecznych atakach na polskie kancelarie prawnicze dostajemy sporo komentarzy i opowieści o tym, jak wygląda poziom zabezpieczeń w niektórych firmach. Oto opowieść administratora w jednej z kancelarii.

Ostatnio modne się stały ataki gangu z malucha. Kiedyś baliśmy się czarnej wołgi, dzisiaj poczciwy maluszek stał się postrachem szeroko rozumianych „administratorów”.

Współpracuję na stałe z jedną z większych warszawskich kancelarii, z wiadomych powodów nie podam jednak nazwy. Miałem do czynienia przez kilka dobrych lat pracy z wieloma prawnikami i pomagałem niejednej kancelarii. Moje doświadczenie nauczyło mnie, że niedawny wyciek nie jest niczym spektakularnym. To co dla nas, osób zaznajomionych z bezpieczeństwem lub posiadających chociaż podstawową wiedzę, jest oczywiste, dla prawnika już nie jest. Są to ludzie żyjący i pracujący w zupełnie innej rzeczywistości. Ich czas jest dla nich najważniejszy i optymalizacja tego czasu to podstawa działań „pana Informatyka”.

Kancelaria jest zabezpieczona na najwyższym poziomie i zainwestowaliśmy w to prawie pół miliona złotych. Bez wchodzenia w szczegóły atak z zewnątrz jest praktycznie niemożliwy, a na pewno bardzo trudny. Nie bez powodu napisałem z zewnątrz, bo tak naprawdę nawet osoba bez wiedzy informatycznej jest w stanie wykraść wszystkie dane.

Systemy w założeniu umożliwiają pracę bez zapisywania danych na komputerze, prawnik ma dostęp do danych jedynie ze swojego komputera, jedynie na LANie kancelarii (lub po połączeniu VPNem zdalnie) i nie może pobrać żadnych danych na swój dysk. To jednak teoria, bo:

  • hasła BIOSu są ustawione na „12345678”
  • Windows i oprogramowanie podobnie
  • LAN? nowe zbajerowany komputery nie mają wejścia, więc i tak WiFi zostaje
  • VPN? opcja zapamiętaj hasło zaznaczona ;)
  • „a to że na dysk pobiorę, to musi być, bo czasami jest mi łatwiej, ale potem zawsze usuwam”
  • itd, itd…

Pojawia się wpis na Waszej stronie o wycieku. Artykuł szybko obiega pracowników, szef zarządza zebranie kryzysowe, wszystkie oczy na… mnie: „To co Pan może poprawić?”

Zaczynam gadkę, od sprawdzania adresów email, czy są poprawne, potem o ograniczonym zaufaniu i raportowaniu podejrzanych maili, o nieotwieraniu podejrzanych załączników, o wzmocnieniu haseł, o ostrożności na innych sieciach WiFi itd.

Skutek?

  • „ja dostaje tyle maili dziennie, że nie mam czasu sprawdzić wszystkich nadawców” – tyle czyli koło 20-30 :| Ja mam tyle ticketów w dwie godziny od nich, a na większość odpowiedzią jest słynne przywitanie z IT Crowd
  • „nie mam czasu wszystkich maili przesyłać”
  • „ale jak to? a jak to będzie nowy klient?” – to będzie nowy artykuł na z3s ;)
  • „ale ja mam wszędzie jedno hasło, żeby zapamiętać!” – a ja używam jednej, tej samej prezerwatywy od roku…
  • „ale jak ja mam pracować? za każdym razem ten VPN? ale on się rozłącza czasami!”

Wnioski? Panie Informatyku, pytaliśmy, co Pan może poprawić, a nie co my mamy robić, bo my i tak czasu nie mamy! W takich momentach, to już chyba tylko odłączyć internet mogę ;)

Jak więc włamać się do Kancelarii?

  1. Wziąć studenta, który jako praktykant w tydzień/miesiąc wyciągnie na pendrivie wszystkie dane. Praktykant w kancy jeśli zarabia (a to rzadkie!), to i tak zarabia śrubki, coś w okolicach 400-800 zł za etat, więc każdy pieniądz się przyda. Powiecie, ale jak to USB jest niezablokowane? Było, ale tutaj kolejna cecha prawnika, „można ten mały wyłom zostawić, bo ja czasami potrzebuje pendrive’a”.
  2. Podrzucić zainfekowanego pendrive’a, a najlepiej to rozdać za darmoszkę na konferencji prawników (zobaczycie jak się rzucą!). potem już z górki.
  3. MitM… nawet nie wiecie ile naprawdę poufnych danych jest przesyłanych na sieciach wystawianych jako DMZ dla klientów, lub na prywatne skrzynki ;) polecam kiedyś stanąć pod wieżowcem na mordorze i nasłuchiwać <3
  4. Albo lepiej, pójść jako klient na spotkanie, poprosić o hasło do WiFi, a tam każdy komputer udostępnia pełen dysk! Mecenas zarzekał się przed spotkaniem, że dbają o bezpieczeństwo do „tego stopnia”, że wszystkie pliki trzymają na swoich dyskach, żeby się im nikt nie włamał na serwer. AUTENTYK! A z kompem podróżują pociągami, taksówkami, komunikacją zbiorową. No i oczywiście fejsbuczek też wleci, a i czasami roksą i pokrewnymi nie pogardzi Pan Mecenas!
  5. Wziąć pozostawiony bez opieki komputer (standard!), wpisać „12345678” ;)

To tylko te mniej finezyjne, które jest w stanie przeprowadzić licealista. Na bardziej wyrafinowane bym się nie silił, bo to zwyczajna strata czasu! ;) Gratuluję ekipie z fiata polotu i finezji! Jestem to w stanie docenić i oddać szacunek. Uważam jednak, że dało się to zrobić dużo szybciej, łatwiej i taniej, bo ofiara jest bardzo dobrze wybrana! No ale wtedy nie byłoby fejmu i całej narracji, dzięki którym w tych atakach jest coś tak romantycznego i fascynującego, coś co zmienia kradzież w dzieło sztuki.

Chciałbym na koniec, aby ten tekst obiegł środowisko prawnicze, chciałbym żeby w końcu zrozumieli oni, że najsłabszym ogniwem wszystkich systemów jest prawie zawsze człowiek. Nikt za nich nie zadba o ich bezpieczeństwo, nikt nie zagwarantuje systemu, który będzie za nich myślał, a niestety wszelkie próby, jakiegokolwiek zwiększenia bezpieczeństwa (np. blokada USB), kończy się sprzeciwem, bo „ja nie mogę tak pracować”. Jesteście świetnymi specjalistami w swojej dziedzinie i ufam Wam w tym co robicie. Proszę Was jednak zaufajcie czasem również i mnie, bo to nie na Was spadnie odpowiedzialność za kolejny wyciek!

Poplątania kabli!
Admin ;)

PS. A hitem jednej z konferencji był mecenas, który stwierdził, że on nie jest podatny na żadne ataki, bo ma Macbooka. Przychodzi czas jego prelekcji, oczywiście z delikatnym opóźnieniem, bo przelotki do rzutnika szukał, odpala się rzutnik, a na Macu Paralles z windą i folderki z nazwami klientów i ich dokumentami na pulpicie! GRATS!

PS2. Zakazane słowo to „chmura”. „W chmurze żadnych danych trzymać nie będę, bo tam nagie fotki kradną i nie wiem kto moje dane ogląda”, ale już przez iClouda to z przyjemnością sobie połączę prywatny telefon ze służbowym komputerem.