W szeroko rozumianym bezpieczeństwie teleinformatycznym najsłabszym ogniwem jest człowiek. To człowiek zaprojektował i wykonał dziesiątki zabezpieczeń, które mają uchronić dane pracodawcy i jego klientów przed cyberprzestępcami, to człowiek również jest najbardziej podatnym na socjotechniczne zagrywki włamywaczy.
Image by Gerd Altmann from Pixabay
Kampania "Dream Job"
Dzięki raportowi opublikowanemu przez analityków z ClearSky na światło dzienne wyszła kampania socjotechniczna nazwana "Dream Job", czyli praca marzeń. Z dużym prawdopodobieństwem za tą trwającą od początku roku ofensywną kampanię odpowiada nadzorowana przez rząd północnokoreańska grupa hackerska Lazarus. Ich celem były przede wszystkim przedsiębiorstwa o strategicznym znaczeniu dla obronności, a dostęp do nich mieli uzyskać przez konkretnych pracowników tych firm. O skuteczności działania grupy Lazarus może świadczyć, że w ocenie analityków udało im się zainfekować systemy kilkudziesięciu firm i organizacji w Izraelu i na całym świecie.
W przypadku kampanii "Dream Job" atakujący bardzo dobrze przygotowali się do swojego zadania, najpierw założyli fikcyjne profile na Linkedin, najczęściej rekruterów albo specjalistów od HR w znanych firmach z branży obronnej np. Boeing czy McDonnell Douglas. Następnie budowali na Linkedin sieć kontaktów w tych firmach, żeby uwiarygodnić się w oczach potencjalnej ofiary. Kiedy było wszystko gotowe zarzucali sieć na konkretnych pracowników z interesującej ich firmy, wyglądało to mniej więcej w ten sposób:
Na LinkedIn bardzo częstą praktyką jest, że w poszukiwaniu potencjalnych kandydatów na pracowników dla swoich firm rekruterzy przesyłają prywatne wiadomości temu kandydatowi. Zdarzało się, że i ja otrzymywałem propozycje pracy, ale nie była to żadna "dream job" dlatego, zawsze grzecznie odmawiałem, nawet bez czytania "opisu stanowiska". W tym przypadku dokument z opisem stanowiska przesłany na pocztę elektroniczną ofiary był zainfekowany złośliwym oprogramowaniem, które umożliwiało hackerom dostęp do sieci wewnętrznej firmy i jej tajemnic.
Atakujący poświęcają wiele czasu i uwagi, żeby wybrać odpowiednią ofiarę, z reguły nie działają na oślep, tylko poprzedzają próbę kontaktu wnikliwym researcherem na temat ofiary i poszukiwaniu jej słabych punktów.
Instagram nie usuwał danych użytkowników ze swoich serwerów
Pewien domorosły analityk bezpieczeństwa z Nepalu - Saugat Pokharel postanowił zrobić kopię danych ze swojego profilu na Instagramie. Takie dane na Instagramie odnoszą się ogólnie do wszystkiego, poczynając od szczegółów dotyczących logowania, opublikowanych zdjęć, śledzących i śledzonych, like'ów, komentarzy, wiadomości na historii wyszukiwania kończąc.
Image by USA-Reiseblogger from Pixabay
Po około dwóch godzinach otrzymał informację, że kopia jego danych jest gotowa do pobrania, co też niezwłocznie uczynił. Następnie przystąpił do przeglądania zawartości wszystkich folderów i plików. Jakie było jego zdziwienie, gdy zobaczył jedno zdjęcie z 2013 roku, które co prawda opublikował na Instagramie, ale zrobił to przez pomyłkę i natychmiast usunął. Okazało się, że zostało usunięte wyłącznie z jego profilu widocznego dla użytkowników Instagrama, ale nie zniknęło z serwerów firmy i siedem lat później wciąż tam było. Podobnie było z konwersacją którą prowadził z kolegą ponad rok wcześniej, a później skasował, ją również mógł sobie przeczytać w otrzymanej kopii danych.
Zdenerwowany całą sytuacją postanowił działać, zgłosił swoje odkrycie jako naruszenie prywatności do Facebook'a (właściciela Instagrama). Po krótkiej wymianie e-maili sprawa została zamknięta przez FB bez żadnego wytłumaczenia. Odpuścił już tą sprawę, gdy ku jego zaskoczeniu ktoś inny odezwał się FB, że zgłoszenie zostanie ponownie rozpatrzone przez inżynierów z Instagrama. W tym przypadku wymiana e-maili była znacznie dłuższa, aż w pewnym momencie ustała, Saugat tygodniami słał prośby o informację co się dzieje w tej sprawie. Dopiero po czterech miesiącach od zgłoszenia tego problemu otrzymał informację, że inżynierowie wciąż pracują nad rozwiązaniem, a jemu z racji, że zgłosił ten problem przyznano nagrodę w wysokości 6000 USD z programu BUG BOUNTY. Dopiero pół roku później zauważył, że zgłoszony problem został rozwiązany.
Podobne problemy miał Twitter w zeszły roku, kiedy to użytkownicy mogli uzyskać dostęp do dawno temu usuniętych bezpośrednich wiadomości, tych wysyłanych i odebranych w tym do i z kont zawieszonych lub usuniętych.
Oczywiście te sprawy rodzą pytanie: czy podjęte przez inżynierów Instagrama czy Twittera działania rzeczywiście doprowadziły do usunięcia wykasowanych przez użytkowników danych ze swoich serwerów, czy tylko przypudrowano sprawę ograniczając dostęp do tych danych w przypadku wykonania kopi zapasowych przez użytkowników?
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.