Każde biuro jest inne, a zarazem wszystkie są w pewien sposób podobne. I niemal wszystkie ewoluują: rzadko można dziś spotkać biuro raz urządzone 10-20 lat temu i działające bez zmian. Omówmy pokrótce, jakie zmiany wpływające na możliwość i efektywność ataku zaszły na przestrzeni ostatnich 15 lat.
Wraz z początkiem 2022, ten artykuł został przeniesiony tutaj i zaktualizowany. Poniższy tekst jest wersją archiwalną.
Na charakter biura wpływa kilka czynników, z czego najważniejsze z punktu widzenia planowania ataku to:
- stopień odgórnego nacisku na dyscyplinę pracy - w dzisiejszych czasach, 3 lata od wejścia w życie RODO, w większości biur stosuje się szereg zabezpieczeń, zaczynając od zasad czystego biura i ekranu, poprzez szyfrowanie dysków twardych, aż po wyrafinowane zabezpieczenia sieci (o wszystkim tym przeczytasz niżej)
- specyfika branży i działu - np. w biurach IT dużo częściej niż w innych znajdziemy słuchawki, a w biurach, do których fizycznie zaprasza się klientów, często można znaleźć próbki produktów firmy
- stopień pracy zdalnej w tym konkretnym dziale (o tym również niżej)
- płeć pracowników (chodzi o "kobiecą rękę" i maskowanie różnych przedmiotów, np. kamer)
- instalacja elektryczna w budynku (wpływa na możliwość instalowania przedmiotów wymagających zasilania w różnych zakamarkach - rozwiniemy ten temat w jednym z kolejnych artykułów)
Lista ta oczywiście nie wyczerpuje tematu - natomiast wymienione wyżej czynniki są odpowiedzialne za poniższe komplikacje, których jeszcze kilka-kilkanaście lat temu nie trzeba było brać pod uwagę (jeśli już występowały, to zupełnie marginalnie), dzisiaj natomiast jest to konieczne.
Polityka czystego biurka i ekranu - cóż to takiego?
Polityka czystego biurka i ekranu potrafi w ekstremalnych sytuacjach rozrosnąć się do kilkunastu stron szczegółowych zasad, jak postępować z jakimi dokumentami. Generalnie jednak zasada czystego biurka sprowadza się do tego, iż na biurku nie powinny zalegać żadne niepotrzebne do bieżącej pracy dokumenty - bo te mogą zawierać wrażliwe dane, które przez przypadek mógłby dostrzec klient, sprzątaczka, czy inna osoba odwiedzająca biuro.
Szczegółowe wytyczne mogą być różne:
- wszystkie niepotrzebne rzeczy powinny być trzymane w podręcznej szufladzie (oraz chowane do niej na noc)
- ...w szufladzie lub szafce z zamkiem
- wszystkie niepotrzebne już dokumenty powinny być niezwłocznie niszczone w niszczarce do papieru
- poza dokumentami otrzymanymi na papierze od klienta i ew. bardzo specyficznymi wyjątkami, co do zasady nic nie drukujemy, tylko zawsze pracujemy na wersjach elektronicznych
Natomiast zasada czystego ekranu obejmuje najczęściej dwa istotne aspekty:
- na ekranie nie powinno być elementów niezwiązanych z pracą, np. portali społecznościowych (a już na pewno elementów rzucających się w oczy, np. stron porno lub innych określanych skrótem NSFW: "not safe for work") - innymi słowy po prostu pracownik na służbowym komputerze powinien zajmować się tylko pracą
- na komputerze powinien być aktywowany wygaszacz ekranu z włączonym wymogiem podawania hasła przy odblokowaniu
Oczywiście w praktyce z przestrzeganiem tych zasad bywa bardzo różnie. Specyfika pracy niektórych działów jest wręcz taka, iż ciężko się obyć bez kuwet będących kolejkami dokumentów - takie działy są jednak najczęściej lokowane z daleka od oczu klientów, a sam papierowy obieg dokumentów z roku na rok staje się coraz rzadszy.
Praca zdalna? A gdzie się podziały komputery?
Innym trendem, który raczkował już przed pandemią koronawirusa, a dzięki niej zaczął galopować, jest przechodzenie całych firm na pracę zdalną. W zasadzie już ponad rok temu (w stosunku do momentu napisania tych słów) polskie media obiegł temat masowej przesiadki firm na pracę zdalną, dzisiaj natomiast słyszy się o chęci powrotu przynajmniej niektórych pracowników do biur.
Niezależnie od tego, jak dalej będzie się rozwijać sytuacja z koronawirusem, powinieneś w swoich planach uwzględnić fakt, iż spora część komputerów służbowych będzie każdej nocy poza biurem.
A dlaczego ten komputer się nie włącza?
Równolegle do pracy zdalnej, wraz z rozwojem technologii rozwinął się także kolejny trend, do szyfrowania dysków twardych w komputerach. Na dzień dzisiejszy, w firmach dbających o bezpieczeństwo IT, jest to standardem co najmniej dla wszystkich laptopów i innych urządzeń, które choćby potencjalnie mogą opuszczać biuro - a coraz częściej szyfrowane są również urządzenia, które nigdy tego biura nie opuszczą.
Najczęściej stosuje się następujące standardy (i zarazem narzędzia) do szyfrowania dysków:
- Windows - Microsoft Bitlocker (wbudowany w Windows w wersjach Professional i Enterprise, współpracuje z AD i umożliwia zdalne zarządzanie komputerami), VeraCrypt (dawniej TrueCrypt, stosowany raczej przez konkretne osoby na własną rękę)
- Linux - LUKS (do szyfrowania dysków), eCryptfs (do szyfrowania katalogów domowych)
- Mac OS - Apple FileVault
W jednym z kolejnych artykułów pokażemy Ci, jak sobie radzić z zaszyfrowanymi dyskami - bo jak najbardziej są do tego narzędzia. Niestety - narzędzia narzędziami, ale przede wszystkim potrzebne będą klucze szyfrujące, hasła i PIN-y. W innym artykule podpowiemy Ci, jak można próbować takie klucze pozyskać, a potem jak je skonfigurować, aby mogły być użyte podczas ataku.
DLP, EDR, SIEM - co to za dziwne skróty?
Na tzw. zdrowy rozum można by pomyśleć, iż najprostsza i najlepsza metoda skopiowania plików z komputera na dysk zewnętrzny, to po prostu podłączenie tego dysku do włączonego komputera i uruchomienie kopiowania z poziomu Windows. I rzeczywiście, tak bywa najprościej (jeśli tylko nikt na tym komputerze nie zablokował dostępu do urządzeń USB).
Ale czy taka operacja będzie zawsze bezpieczna? Wejście do czyjegoś biura tą lub inną techniką i skopiowanie danych to jedno - ale wykonanie tego w taki sposób, aby nie uruchomić żadnego mechanizmu alarmowego, który przerwie nam pracę, to już zupełnie co innego. Tym bardziej, iż na dzisiejszych komputerach takich mechanizmów alarmowych jest mnóstwo: od klasycznych programów antywirusowych, poprzez Data Leak Prevention (DLP), Endpoint Detection and Response (EDR), czy Security Information and Event Management (SIEM), aż po systemy kontroli czasu pracy, które w ramach "bonusa" dla nadgorliwych pracodawców mają też zaszyte rozmaite narzędzia inwigilacyjne.
W jednym z nadchodzących artykułów wyjaśnimy, czym dokładnie są wspomniane systemy i jak nie dać się im złapać.
Czy sieć biurowa działa? Co to jest 802.1X?
No dobra, więc idąc za naszą radą wyłączyłeś na atakowanym komputerze Windows, masz też przygotowane nośniki z odpowiednimi narzędziami, oraz skonfigurowanymi kluczami szyfrującymi, które wcześniej kupiłeś po znajomości od pracownika Service Desku. Wszystko super, tylko dlaczego te narzędzia po starcie nie dostają z DHCP adresu IP?
Otóż prawdopodobnie masz do czynienia z siecią zabezpieczoną w standardzie IEEE 802.1X. Nie wnikając w szczegóły techniczne, działa to w ten sposób, iż komputer przed uzyskaniem adresu IP "przedstawia się" specjalnemu serwerowi unikalnym loginem i hasłem, albo częściej certyfikatem. Certyfikat taki jest najczęściej generowany imiennie i manualnie wgrywany na poszczególne komputery w ramach ich przygotowywania dla nowych pracowników.
Jak prosto zweryfikować, czy masz do czynienia z taką właśnie siecią? Dobrym pomysłem jest użycie telefonu IP firmy Cisco - o ile oczywiście w atakowanym biurze takowy znajdziesz. Telefon taki można wpinać do kolejnych portów sieciowych, a następnie w ustawieniach sieci sprawdzać, czy dany port jest w ogóle podłączony i czy telefon dostał na nim adres.
Uśmiech! Jesteś w ukrytej kamerze!
Kamery do monitoringu wizyjnego to nic nowego - jednak w ostatnich 10 latach bardzo mocno rozwinął się segment kamer dla odbiorców prywatnych, do monitoringu domów, w przystępnych cenach. W momencie publikacji tego artykułu można kupić np. markową kamerę obrotową, która wykrywa ruch i zapisuje obraz w jakości HD na karcie MicroSD (a więc nie wymaga rejestratora), oraz współpracuje ze telefonem, za ok. 150 zł.
Temat kamer i innych urządzeń tego typu rozwiniemy w jednym z kolejnych artykułów. To co powinieneś wiedzieć już dzisiaj i brać pod uwagę jako jedno z większych zagrożeń, to iż w dzisiejszym biurze możesz natknąć się już nie tylko na centralny monitoring założony przez pracodawcę, ale w poszczególnych pokojach pracownicy mogą stosować taki sprzęt na własną rękę.
No właśnie, dlaczego nie mogę wejść do tego pokoju?
Kamery to nie wszystko. Również mechanizmy kontroli dostępu do pomieszczeń bardzo staniały przez ostatnie 10-15 lat. W efekcie coraz częściej są stosowane w miejscach, w których kiedyś byłby zwykły zamek, albo po prostu dostęp dla wszystkich.
W jednym z kolejnych odcinków pochylimy się nad urządzeniami Proxmark, pozwalającymi klonować pracownicze karty dostępowe w standardzie RFID, będące podstawą większości takich systemów.
A co ze śladami biologicznymi i biometrycznymi?
Metody zbierania śladów na potrzeby analizy kryminalistycznej również ewoluują - może nie tak szybko, jak w ostatnich latach ewoluowały tanie kamery, z pewnością jednak metody zapobiegawcze stosowane 30 lat temu (czyli głównie rękawiczki) nie są już dzisiaj wystarczające, aby na 100% uniknąć pozostawienia śladu w jakimś przypadkowym miejscu.
Dlatego też:
- w trakcie adekwatnego ataku staraj się w ogóle nie dotykać niczego bez konkretnej potrzeby, nie wchodzić do nieistotnych pomieszczeń itd. - m.in. właśnie ze względu na ryzyko mimowolnego pozostawienia różnych drobnych śladów biologicznych
- mimo wszystko nie rezygnuj z rękawiczek (za to wybierz jak najcieńsze, nie krępujące ruchów palcami), przemyśl też noszenie maseczki (w dzisiejszych czasach masz ku temu świetny, naturalny pretekst)
- po wszystkim bądź gotowy na bycie przesłuchiwanym, w tym na wiele szczegółowych, a zarazem niewygodnych pytań, jak również na techniki podchwytliwe typu "na raka":
- przemyśl w razie czego pełną linię obrony, na wypadek gdyby miało dojść do postawienia Ci zarzutów - załóż przy tym, iż osoby przesłuchujące mogą dysponować dowodami w postaci Twoich śladów biologicznych, jak i nagrań z kamer - skup się więc na historii, którą możesz do tych śladów dopowiedzieć, a której nie da się obalić
- miej przećwiczony całościowy scenariusz zdarzeń, jakie miały miejsce, z możliwie szczegółową chronologią - nie ma sensu niczego ukrywać (wręcz jest to najprostszy sposób "podłożenia się" przy przesłuchaniu przez fachowców), lepszym pomysłem jest znalezienie możliwie dobrych (i weryfikowalnych) uzasadnień
- jeśli zdajesz sobie sprawę, iż robiłeś podczas ataku coś, czego nie da się wytłumaczyć "profesjonalnym" uzasadnieniem, a jest to coś "drobnego", co można wytłumaczyć ludzkimi słabościami (np. zjadłeś czyjeś ciasto, które zastałeś w atakowanym biurze), rozważ użycie takich szczegółów jako przynęty odciągającej przesłuchujących od ważniejszych i "grubszych" spraw
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. jeżeli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeżeli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.
Niniejszy artykuł jest częścią cyklu artykułów specjalistycznych, przeznaczonych dla tzw. podmiotów uprawnionych. Tutaj znajdziesz pełne wyjaśnienie.
Wraz z początkiem 2022, ten artykuł został przeniesiony tutaj i zaktualizowany. Powyższy tekst jest wersją archiwalną.