Tym artykułem rozpoczynamy nowy cykl, w którym objaśnimy krok po kroku, w jaki sposób zabrać się za zaatakowanie i wyprowadzenie danych z większej firmy - ale zanim przejdziemy do konkretów, musimy sobie wyjaśnić kilka podstawowych spraw.
Zacząć musimy od tego, iż wiedza przedstawiona w tym cyklu artykułów nie jest przeznaczona dla przestępców. Jak wielokrotnie podkreślaliśmy w naszych poprzednich artykułach, nie popieramy i nie namawiamy nikogo do łamania prawa.
Ilekroć więc w kolejnych tekstach będziemy wspominali o czynach, które popełnione przez osobę nieuprawnioną mogły by wypełniać znamiona przestępstwa, zawsze będziemy mieli na myśli kontekst, jakim jest realizacja działań przez osobę uprawnioną, najczęściej przez funkcjonariusza jednej z wymienionych niżej służb. Stąd, co jeszcze raz chcemy podkreślić, nie należy próbować rozpatrywać porad zawartych w tych tekstach pod kątem art. 255 ust. 3 Kodeksu Karnego (ani podobnych).
Dla kogo?
Cały ten cykl w swojej polskiej wersji jest przeznaczony dla tzw. podmiotów uprawnionych:
- funkcjonariuszy policji i innych służb mundurowych, którym Ustawa przyznaje odpowiednie uprawnienia, np. Centralne Biuro Antykorupcyjne
- funkcjonariuszy służb specjalnych, np. Służba Wywiadu Wojskowego, Służba Kontrwywiadu Wojskowego, Agencja Bezpieczeństwa Wewnętrznego
- żołnierzy Wojska Polskiego, np. Żandarmerii Wojskowej
- prywatnych detektywów - w zakresie czynności wstępnych takich jak planowanie, liczenie niezbędnych zasobów, ćwiczenie działań na własnej infrastrukturze, rekrutacja osób, o których mowa w kolejnych tekstach, czy innych przygotowywań przy założeniu, iż adekwatne usługi będą świadczone poza terenem Polski, na terenie państw, których prawo pozwala na takie działania
- dyplomatów i innych osób, których faktyczną działalnością jest, lub ma być, działalność szpiegowska na rzecz państwa polskiego (nie przeciwko niemu!)
- osób posługujących się immunitetem osobistym - np. Posłów lub Senatorów angażujących się w różne akcje społeczne
- osób posiadających tytuł prawny do podejmowanych przez siebie działań, nadany w innym kraju, a respektowany przez polskie prawo
- w ramach swojej firmy i ew. jej partnerów na mocy zawartych wcześniej umów - członków firmowych zespołów bezpieczeństwa (tzw. Red Teamów), umocowanych do takich działań przez Zarząd lub Inspektora Ochrony Danych
- w celach naukowych i badawczych - przez osoby zajmujące się takimi badaniami, jak i publicystyką dziennikarską w tematach pokrewnych do przedstawionych w poszczególnych częściach cyklu
Dlaczego?
Dostrzegam w Polsce dysproporcję pomiędzy uprawnieniami służbowymi konkretnych osób (lub stanowisk, szczebli zawodowych, czy wręcz po prostu adekwatności miejscowych) pracujących lub służących w podmiotach uprawnionych, a faktycznymi działaniami, do realizacji których kierowane są konkretne osoby.
Mówiąc prościej, "byle pies" z przysłowiowego Pcimia Dolnego ma te same uprawnienia służbowe (wynikające z Ustawy o policji) odnośnie np. siłowego wejścia na obiekt, kontroli zawartości komputera, czy użycia broni służbowej, co członek spec-grupy z KGP, pracującej nad konkretną sprawą dużej wagi. Jednocześnie najciekawsze realizacje dostają "ci lepsi" (tj. arbitralnie ocenieni tak przez kogoś), gdy "ci z prowincji" są z góry skazywani na zajmowanie się drobnostkami przez całą swoją karierę zawodową.
To powszechne zjawisko. W niemalże identycznej formie występuje również w firmach cywilnych. Nie tylko zresztą w Polsce: bardzo podobnej zależności doświadczyłem osobiście, pracując dla pewnej znanej firmy z USA. Zawsze są:
- "ci lepsi" (najczęściej po prostu pracujący lub służący w "centrali", których lepiej znamy, nawiązaliśmy choćby minimalne relacje koleżeńskie itp.)
- "ci gorsi" (którzy najczęściej nic nie zawinili, ot po prostu mieli pecha mieszkać i pracować "gdzieś tam daleko")
Celem PAYLOAD, jak i moją misją jako redaktora naczelnego, jest łamanie schematów i pomaganie "tym gorszym", wykluczonym z jakiegokolwiek powodu, w jakiejkolwiek płaszczyźnie lub relacji społecznej, w wyrównywaniu szans z "tymi lepszymi".
Dlatego właśnie niniejszy cykl ma dać "tym gorszym" funkcjonariuszom różnych służb, służącym na prowincji czy w innych miejscach uznawanych za gorsze, praktyczną wiedzę pozwalającą - w połączeniu z posiadanymi uprawnieniami służbowymi - realizować równie interesujące akcje, co "ci lepsi".
I jeszcze jedno
Szczegółowe uprawnienia funkcjonariuszy różnych służb różnią się między sobą - np. uprawnienia i przewinienia dyscyplinarne policjantów wynikają z art. odpowiednio 14-22 i 132-144 Ustawy o policji, a w przypadku innych służb, z innych aktów prawnych, z przepisów różniących się nie tylko na poziomie szczegółów, ale często wręcz na poziomie całej filozofii konstrukcji danej Ustawy.
Dlatego też, dla uproszczenia, nie będziemy w kolejnych tekstach odnosić się szczegółowo do przepisów obowiązujących tą lub inną służbę i próbować badać, co byłoby "jeszcze dopuszczalne" np. w przypadku żołnierza, a jednocześnie "już niedopuszczalne" w przypadku policjanta.
Chcemy postawić raczej na prostotę i praktyczność, licząc na to, iż każdy funkcjonariusz, bądź inna osoba umocowana prawnie, dopasuje nasze porady do własnej szczegółowej sytuacji. Stąd właśnie niniejsze wyjaśnienie, aby uniknąć niezręczności, gdyby ktoś próbował omyłkowo interpretować kolejne teksty w kategoriach art. 255.3 Kodeksu Karnego, bądź innych przepisów w podobnym duchu.
O czym napiszemy, a o czym nie?
Wróćmy na chwilę do naszego podsumowania z konferencji Cyberpandemia z października 2020 - w trakcie wykładu dr Jana Kostrzewy, Dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Sprawiedliwości, padł bowiem cytat, który doskonale uzasadnia dzisiejsze podejście firm do problemu bezpieczeństwa IT:
(...) za zwykłe włamanie do piwnicy grozi do 10 lat, a za cyberprzestępstwa, których skala i efekty są dużo większe, tylko do 2 lat.
I rzeczywiście ma to swoje odbicie w praktykach stosowanych przez firmy różnej wielkości, nie tylko w Polsce:
- wszelkie obszary i aspekty bezpieczeństwa IT na styku z Internetem traktowane są priorytetowo, jakby Internet był "dzikim zachodem", w którym prawo z grubsza nie obowiązuje - a co najmniej nie w przypadku błahych działań typu skanowanie systemów pod kątem możliwych podatności
- pozostałe obszary (np. bezpieczeństwo fizyczne) traktowane są mniej lub bardziej po macoszemu, na zasadzie spełnienia niezbędnych wymagań narzucanych przez różne przepisy prawa lub cywilnych norm w minimalnym stopniu, aby móc to udokumentować - jednocześnie odpuszczając sobie adresowanie ryzyk, co do których można powiedzieć, iż "wymagają dokonania poważnego przestępstwa" przez napastnika (np. wymagają dokonania kradzieży z włamaniem)
Co jednak jeśli sformułowanie "wymagają dokonania poważnego przestępstwa" zamienimy na "wymagają użycia uprawnień służbowych"? Otóż to, jeżeli spojrzymy na bezpieczeństwo IT z tej perspektywy, odsłania nam się wielka i niemal dziewicza nisza, którą mamy nadzieję zagospodarować w kolejnych tekstach:
- zaobserwowane przez nas systemowe słabości w fizycznym bezpieczeństwie IT firm
- sposoby wykorzystania tych słabości
- podpowiedzi, czego adekwatnie możemy szukać i jak to wykorzystać
- ryzyka
- rekomendowane narzędzia
- podejście do planowania ataków na takie firmy
- sposoby doboru wspólników
- sposoby upłynniania korzyści
- różne aspekty kryminalistyki, które wcale nie muszą być oczywiste dla przeciętnego funkcjonariusza pracującego na prowincji, a które mogą mieć znaczenie
- inne powiązane tematy (ich lista i kolejność nie są jeszcze zamknięte w momencie publikacji niniejszego artykułu)
Jednocześnie nie zamierzamy się skupiać na obszarze cyberbezpieczeństwa - z pewnością obszar ten wystąpi jako uzupełnienie (np. na etapie prowadzenia przygotowań do ataku), natomiast raczej będziemy się starali odnosić do istniejących już w Internecie treści (również u naszej bezpośredniej konkurencji), niż je powielać.
Zaraz, ale adekwatnie po co te wszystkie przygotowania, skoro mam blachę i mogę wejść do dowolnej firmy?
W dużym skrócie, problem polega na tym, iż możesz to zrobić z zaskoczenia tylko raz, w jedno fizyczne miejsce - np. do jednego budynku, na jedno piętro itd. Więc jeżeli myślisz o mikrofirmie, w której spodziewasz się znaleźć 2-3 komputery, to masz całkowitą rację: możesz to wszystko zrobić bez większych przygotowań.
Co jednak, jeżeli chcesz zaatakować np. jedną z popularnych platform aukcyjnych? Podkreślmy: nie firmę, która sprzedaje towary na tej platformie, choćby hurtowo, ale całą platformę aukcyjną? Czyli firmę zatrudniającą kilka tysięcy pracowników, w tym kilkuset odpowiedzialnych za czuwanie nad różnymi aspektami bezpieczeństwa, pracujących w różnych budynkach, lub choćby miastach? Uważasz, iż jesteś w stanie coś zdziałać w pojedynkę i bez dokładnego planu? No właśnie.
Ale jeżeli będzie potrzeba wejścia do firmy tej wielkości, to mamy już w naszej formacji kompetentnych ludzi z doświadczeniem!
Tak, rzeczywiście można w ten sposób postawić sprawę: "ja jako prosty funkcjonariusz z Pcimia Dolnego będę się zajmował prostymi rzeczami, np. tym iż ktoś komuś ukradł rower, albo wysłał cegłę zamiast telefonu, a poważne sprawy zostawię poważnym ludziom".
Problem w tym, iż przy takim postawieniu sprawy, Twoja kariera nie ma szans się rozwijać, bo na co dzień nie masz żadnych wyzwań, przy których mógłbyś się popisać w spektakularny, a jednocześnie kontrolowany wyłącznie przez siebie sposób. Zadaj więc sobie jedno bardzo ważne pytanie (na które nie musisz nikomu innemu odpowiadać):
- "jestem tu gdzie jestem, bo chcę służyć: społeczeństwu, jakiemuś wyższemu celowi itp."
- "jestem tu gdzie jestem, bo chcę zrobić karierę w wybranej przez siebie formacji, a rozwiązywanie spraw jest dla mnie tylko środkiem do celu"
Jeśli utożsamiasz się z pierwszą odpowiedzią, to masz rację: w każdej formacji znajdą się ludzie, którzy już teraz mają odpowiednie doświadczenie i którym spokojnie możesz takie akcje zostawić. Poradzą sobie. jeżeli jednak utożsamiasz się z drugą opcją, to ten cykl artykułów będzie właśnie dla Ciebie.