(Nie)bezpieczne hasła…

Wyświetlenia: 674 / 0 | Seria: Zwyczajne | Dodano przez:anon

Lekko spóźniony wszedł do biurowca i zgrabnie odbił się kartą na bramce przed windą. Ręką, w której trzymał kubek kawy podpisany imieniem Janusz, pomachał radośnie znajomemu strażnikowi, odrywając go na chwilę od drobiazgowego przeszukiwania Pana Kanapki, jak co rano, próbującego dostać się na piętro z open spacem.

“Dobrze, że nasze zabezpieczenia są szczelniejsze niż w większości polskich więzień” – pomyślał i po chwili uśmiechnął się pod nosem, bo porównanie korporacji, w której pracował do więzienia wydało mu się po trosze trafne.

Wjechał na ostatnie piętro i ruszył korytarzem do swojego gabinetu. Kiedy mijał dział IT, jego uszu dobiegły strzępy przekleństw. Przystanął na chwilę, ale po usłyszeniu – “WTF? Może zrobili to emacsem przez sendmail?” – doszedł do wniosku, że IT znów mówi jakimś szyfrem. Typowe.

***
W gabinecie odpalił komputer i dopijając resztki kawy, postanowił rozpocząć od sprawdzenia skrzynki pod kątem listów z portalu randkowego Ashley Madison.

“Może dziś?” pomyślał…

Niestety, żadna wiadomość nie spłynęła z serwera. Już miał się po raz kolejny pogodzić z faktem, że i dziś wszystkie przedstawicielki ściśle zdefiniowanej przez niego grupy kobiet postanowiły milczeć, kiedy zauważył, że tym razem brak nowych e-maili spowodowany jest nie tyle oziębłością płci pięknej, co problemem z serwerem pocztowym.

Podniósł telefon i wybrał numer helpdesku. Rozmowę chciał zacząć od powtórzenia chłopakom zasłyszanej rano wiązanki przekleństw, ale zamiast głosu osoby, usłyszał pozbawiony ciepła, komputerowo generowany głos wypowiadający następujący komunikat bez jakiejkolwiek dykcji:

"W wyniku dzisiejszego ataku na naszą firmę, skuteczne połączenie się z przedstawicielem helpdesku może być utrudnione. Jeśli dzwonisz w sprawie braku dostępu do poczty, informujemy, że jesteśmy świadomi problemów z połączeniem do serwera IMAP. Ze względów bezpieczeństwa byliśmy zmuszeni zresetować Twoje hasło. Aby ograniczyć kolejki do stanowiska helpdesk, nowe hasła zostały wygenerowane wedle następującej formuły: twoje imię, pisane dużymi literami, pierwsza litera nazwiska pisana małą literą oraz liczba 2015, po której, dla większego bezpieczeństwa, następują trzy wykrzykniki"

Zapisał więc na żółtej kartce JANUSZn2015!!! i aby nie zapomnieć nowego hasła, przykleił karteczkę do monitora. Po chwili, przypominając sobie szkolenia z bezpieczeństwa informacji, oderwał karteczkę z monitora i przykleił ją pod klawiaturą. “Tu będzie bezpieczniej” – szepnął pod nosem.

Kiedy wprowadził nowe hasło do Outlooka, jego oczom ukazała się lawina e-maili. Spodziewał się tego. Jako dyrektor HR-u, co poniedziałek odbierał wiele anonimowych „hejtmaili”. Większość z nich, jak sądził, była wynikiem weekendowych, pijackich wybryków kilku niezadowolonych pracowników. Zawsze jednak tłumaczył sobie, że na 2000 osób musi trafić się kilka czarnych owiec, więc nie ma się czym przejmować. Nie raz nawet zakładał się sam z sobą, przewidując że większość wiadomości znów będzie dotyczyć odgryzania się za kolejne „korpoograniczenia”. A to ktoś marudził, że nowa kawa smakuje jak lura, między wierszami obrażając jego matkę, a to komuś nie podobał się kategoryczny zakaz przychodzenia do pracy w krótkich spodenkach. “W innych firmach jest gorzej, likwidują casualowe piątki albo karty Benefii” – wybielał w oczach frustratów swoją korporację.

Tym razem jednak lektura e-maili go zaskoczyła. Prawie każda z wiadomości była donosem jednego pracownika na drugiego. Donosy były niepokojąco szczegółowe. Jedna z osób, przeforwardowała mu kilkadziesiąt pikantnych e-maili trójki firmowych kochanków wskazując na zakazany polityką firmy romans przełożonych z podwładnymi. Kolejny z donosicieli wykazywał, że jego kolega z biura obok od 3 miesięcy przesyła tajne korporacyjne raporty sprzedażowe handlowcowi z konkurencyjnej firmy. Najbardziej jednak zadziwiła go najświeższa z wiadomości. Był to donos na niego samego… Ktoś udokumentował, że z firmowego adresu e-mail Janusz zarejestrował się na portalu Ashley Madison i że zdradza swoją żonę, więc nie można mu także ufać w sprawach firmowych. Do wiadomości dołączone było jego zdjęcie, które jakiś czas temu wysłał jednej z użytkowniczek serwisu…

Krew zamarła mu w żyłach. “Jak to się stało? Skąd oni to wiedzą? Czy przesłali to mojej żonie? Co robić, jak żyć? – dom, praca, rodzina, całe moje życie…“. W złości rzucił klawiaturą o ścianę i doznał olśnienia — z klawiatury, oprócz klawiszy wyleciała też żółta kartka z hasłem. Hasłem przewidywalnym dla każdego, kto odsłuchał dzisiejszy komunikat helpdesku..

***
Kiedy dobiegł do działu IT, przerażenie rysujące się na twarzach informatyków zdradzało, że już wiedzą, jaki błąd popełnili… W momencie, w którym zaczęli wspólnie zastanawiać się jak opanować chaos, do helpdesku wpadł korporacyjny prawnik.

„Pozywają nas. Dane klientów. Kwoty z kontraktów. Wszystko na przestępczym forum Torepublic…” – wysyczał.

O ile wpadka działu IT z hasłami tłumaczyła grzebanie pracowników w skrzynkach kolegów, lawinę donosów tym wywołaną i kilka bójek w podziemnym garażu, to wciąż nie wiedzieli, w jaki sposób ktoś dostał się do ich wewnętrznego CRM-a i wykradł z niego dane klientów. Dostęp do tego systemu posiadali bowiem nieliczni, a każde z haseł było unikatowe (niestosowane nigdzie indziej), czyli bezpieczne. Tę zagadkę wyjaśnił dopiero przeprowadzony przez zewnętrzną firmę audyt bezpieczeństwa.

Jak się okazało, źródłem problemów był nie kto inny, a sam Janusz. Tuż po wycieku danych z Ashley Madison, ktoś pobrał opublikowaną przez włamywaczy bazę danych użytkowników i złamał kilka haseł, w tym hasło Janusza, który w serwisie do „skoków w bok” zarejestrował się na firmowego e-maila. Janusz co prawda zdawał sobie sprawę z wrażliwości danych przechowywanych w serwisie randkowym i chciał je odpowiednio zabezpieczyć. Postanowił więc nadać do konta najsilniejsze hasło jakie znał — wykorzystał hasło do firmowego CRM-a, silne bo losowo nadawane przez wewnętrzny dział IT…

Atakujący, który złamał hasło Janusza, po adresie e-mail domyślił się, w jakiej firmie pracuje. Szybka enumeracja katalogów narzędziem DirBuster pozwoliła mu na ustalenie ścieżki w głębokim ukryciu o nazwie “/crm“. Nazwa mówiła sama za siebie. Podanie e-maila Janusza i jego złamanego hasła dało włamywaczowi dostęp do korporacyjnych sekretów, które po dwóch dniach od pobrania wylądowały na Torepublic.

Żeby tego było mało, audyt wykrył także nieautoryzowany dostęp do skrzynek pocztowych kilku innych pracowników z oddziału firmy w Sosnowcu. Ci co prawda nie popełnili tego błędu co Janusz i nie używali firmowych haseł w prywatnych serwisach internetowych, ale wszyscy z nich układali hasła w sposób dość przewidywalny… Powodem było to, że w sosnowieckim oddziale, ze względów bezpieczeństwa, co miesiąc wymuszano na pracownikach zmianę haseł i nie pozwalano im ustawiać haseł, których używali w przeszłości. Dlatego niektórzy z pracowników, mając problemy z wymyślaniem i zapamiętywaniem co raz to nowych haseł wpadli na genialny w swojej prostocie pomysł. Pierwszego każdego miesiąca ustawiali hasło składające się z nazwy nowo rozpoczętego miesiąca i bieżącego roku, np. Wrzesień2015.

Po publikacji na Torepublik wykradzionych z centrali firmy danych klientów, czytelnicy forum, którym nie można odmówić umiejętności, postanowili bliżej przyjrzeć się firmie-ofierze. Tak namierzyli webmaila (Outlook Web Access), którego wykorzystywano w Sosnowcu. Zebrali więc nazwiska pracowników z serwisów LinkedIn i GoldenLine i stworzyli na ich podstawie adresy e-mail. Następnie spróbowali zalogować się do webmaila jako hasła ustawiając “Wrzesień2015” — po włamaniu do Kancelarii Premiera wiedzieli bowiem, że tam gdzie co miesiąc wymusza się zmianę haseł, bardzo często pracownicy układają hasła tego typu. W kilku przypadkach udało się uzyskać dostęp do pracowniczych skrzynek. Szczęście w nieszczęściu, nie zawierały one żadnych poufnych danych — pracownicy z Sosnowca w przeszłości zaliczyli tyle wpadek, że i tak nikt w firmie nie dopuszczał ich do ważnych projektów…

https://niebezpiecznik.pl/post/niebezpieczne-hasla/



Top tygodnia
Wysyłanie...