Koszty wiary na słowo
Data: 21 marca 2014 | Autor: Mikołaj Rutkowski | Brak komentarzy »
W ostatnich dniach kanadyjskie media ujawniły interesujący przypadek kompromitacji zabezpieczeń serwera internetowego, na którym pracowała kanadyjska platforma obrotu bitcoinami Canadian Bitcoins. Formalnie wypadałoby powiedzieć, iż przestępca uzyskał dostęp do serwera za pomocą narzędzi socjotechnicznych zastosowanych wobec pracownika wsparcia technicznego firmy hostingowej Granite Networks. Niestety zapis rozmowy nie jest dostępny, więc nie jest jasne, jakich sztuczek użył oszustw, ale z pewnością miał niezwykły dar przekonywania…
Ale po kolei. Opiszmy najpierw, co – zgodnie z wypowiedzią prezesa Canadian Bitcoins – musi zrobić pracownik tej firmy, aby zarządzać serwerem. Opcje są dwie. Po pierwsze – dostęp zdalny, możliwy wyłącznie z jednego adresu IP, z którego korzystają pracownicy biura głównego platformy, połączony oczywiście z dodatkowym uwierzytelnieniem użytkownika (nie ujawniono, na czym bazujący i ilu składnikowy). Drugą opcją jest osobista wizyta w firmie Granite Networks i praca na terminalu lokalnym. Jest ona jednak nieco bardziej kłopotliwa… Co najmniej 2 godziny przed fizycznym pojawieniem się na miejscu należy powiadomić o tym ochronę. Następnie, po przybyciu, należy użyć karty dostępowej aby wejść do budynku, zarejestrować się na ochronie, przejść przez skaner siatkówki, pokonać jeszcze dwie pary drzwi z kontrolą dostępu, a wreszcie podać kod numeryczny, aby dostać się do tej części serwerowni, w której stoją maszyny użytkowane przez Canadian Bitcoins.
Wydawać by się mogło, że jest to bariera nie do przebycia i potencjalnie najlepszym sposobem jej pokonania byłoby włamanie się najpierw do sieci biurowej Canadian Bitcoins, a potem – za jej pośrednictwem – do serwera. Jednak dotąd nieznany bohater tej historii wybrał „trochę” prostsze wyjście. Jakie? Użył czata z pracownikiem pomocy technicznej Granite Networks, na którym przedstawił się jako prezes Canadian Bitcoins, James Grant. Myli się jednak ten, kto uważa, że podczas czatu zweryfikowano tożsamość rzekomego prezesa. Zgodnie z zapisem przebiegu rozmowy, do którego dotarła kanadyjska gazeta „Ottawa Citizen”, nic takiego nie miało miejsca. A czasu było aż nadto – cała rozmowa trwała ponad dwie godziny.
Zgodnie z oficjalnie podaną wersją zdarzeń, nieznany dotąd użytkownik czata wsparcia technicznego oświadczył, że wystąpił problem ze zdalnym logowaniem się na serwery Canadian Bitcoins, przez co konieczny jest restart serwera w trybie awaryjnym, pozwalającym na obejście większości zabezpieczeń. Ponieważ jednak konieczne było bezpośrednie połączenie z serwerem, pracownik wsparcia dał się przekonać, aby… wejść do boksu z serwerami Canadian Bitcoins, podłączyć do nich swój laptop i korzystając ze swoich uprawnień zezwolić na zdalny dostęp osoby siedzącej po drugiej stronie okienka czata!
W tym kontekście jak ponury żart brzmi oficjalne oświadczenie firmy Granite Networks, w którym czytamy: „Rogers Data Centres [właściciel Granite Networks] posiada najwyższej klasy systemy bezpieczeństwa w kanadyjskim przemyśle przetwarzania danych. Jego procedury bezpieczeństwa zostały przetestowane i zatwierdzone zgodnie z najlepszymi praktykami. Dokonaliśmy analizy naszych procesów bezpieczeństwa i zachęcamy naszych klientów, aby wykorzystywali wszystkie dostępne mechanizmy bezpieczeństwa”.
Straty Canadian Bitcoins były relatywnie niewielkie (niemal 150 bitcoinów, wartych obecnie ok. 100 tysięcy dolarów), ale wyłącznie dzięki temu, że tylko taka suma trzymana była akurat w podręcznym „portfelu transakcyjnym”. Szef giełdy stwierdził, że ze względów bezpieczeństwa portfel transakcyjny online nie zawiera zbyt dużych kwot bitcoinów. W razie gdyby któryś z użytkowników chciał dokonać wymiany większej kwoty, portfel dostępny online był zasilany z innych portfeli firmy utrzymywanych już offline.
Pomijając już oczywisty błąd pracownika wsparcia, który praktycznie na słowo uwierzył nieznanej osobie, z którą komunikował się wyłącznie za pomocą czatu internetowego, dalsza procedura jego postępowania przyprawia o poważny ból głowy. Stare powiedzenie, że to człowiek jest najsłabszym ogniwem łańcucha zabezpieczeń, sprawdziło się tutaj w całej rozciągłości. Warto o tym pamiętać, zarówno projektując własne systemy bezpieczeństwa, jak i szkoląc pracowników.
Skomentuj wpis
Musisz być zalogowany/a, żeby zamieszczać komentarze.