Lotem błyskawicy obiegła Polskę informacja o włamaniach do Kancelarii Prezydenta, Kancelarii Premiera, Ministerstwa Obrony Narodowej czy Ministerstwa Spraw Zagranicznych. Człowiek, który to zrobił, nie korzystał z bardzo skomplikowanych narzędzi, wykorzystał jedynie niedopatrzenia i niedostatki, jakich pełno w firmach, nie tylko w Polsce.
Admini, zróbcie rachunek sumienia:

  • Kto trzyma hasła na pulpicie w pliku tekstowym?
  • Kto nie wyłączył przechowywania LM i nie zablokował lokalnego administratora na stacjach roboczych?
  • U kogo administrator domeny jest administratorem stacji roboczej? Kto nie przeznaczył do tego celu osobnych kont helpdeskowych?
  • Kto nie włączył blokowania konta po kilku nieudanych logowaniach?
  • Kto pracuje codziennie cały czas na uprawnieniach administratora domeny?
  • Kto nie ustawił ograniczeń na wykonywanie skryptów PowerShell?
  • Kto nie ograniczył logowania kont usługowych oraz tych o wysokich przywilejach?
  • Kto nie wprowadził separacji podsieci stacji roboczych od serwerów za pomocą dobrze ustawionego firewalla?
  • Kto nadal nie posiada oprogramowanie HIPS na wszystkich serwerach Windows?
  • Kto nie poblokował praw wykonania niepodpisanych binarek i nie monitoruje %TEMP% (Windows), a partycje /tmp i /home nadal nie są montowane z opcją nosuid, noexec, nodev (Linux)?
  • Kto nie kontroluje logowań użytkowników o wysokich uprawnieniach do narzędzi webowych (OWA, Sharepoint)?
  • Kto nadal nie może lub nie chce wdrożyć dwuskładnikowego uwierzytelnienia np. za pomocą kart chipowych lub tokenów?
  • Kto nie pilnuje logowania do usług takich jak FTP?
  • Kto nie monitoruje nieudanych logowań per organizacja?

A właśnie powyższe podatności systemu IT jako całości zostały wykorzystane do ataku. Jestem przekonany, że w większości polskich firm, w tym także tych analitycznych, wręcz ociekających wiedzą, podobny test penetracyjny zakończyłby się porównywalnym sukcesem.
Jak zachęcić kogoś do otwarcia załącznika? Przejąć konto jednego z pracowników, poszukać w „wysłanych” odpowiedniej wiadomości, przekazać dalej podmieniwszy załącznik. Dodać przy tym komentarz. Nie zdarzyło się jeszcze, by ktoś miał wątpliwości, bo przecież z tą osobą wymieniał maile „jeszcze wczoraj”, wiadomość jest w tej samej sprawie i tak dalej. Socjotechnika jest jedynie pomocą, zresztą ona prawie zawsze działa. To tylko kwestia „odrobienia lekcji” przez włamywacza. Luka w Excelu, Javie, Flashu czy Readerze jest tylko jednym z narzędzi, czasami niezwykle skutecznych.