Włamanie do banku –
bezpieczeństwo danych w 5 krokach

wersja Youtube

wersja Spotify

Wersja Anchor.fm

wersja HTML

Najcenniejsze zasoby banku to wcale nie sztabki złota, a dane klientów

To był kolejny gorący dzień. Bolek jechał razem z oddziałem
specjalnym w pełnym rynsztunku. W samochodzie pancernym było nieznośnie gorąco, ale on tego nie czuł. Koncentrował się na swoim dzisiejszym zadaniu, którym było dotarcie do banku i pozyskanie kluczowych informacji o jego klientach.
Bolek był zdenerwowany bardziej niż zazwyczaj pomimo tego, iż miał już wieloletnie doświadczenie z zakresu bezpieczeństwa danych (oraz łamania zabezpieczeń). Znajdował się bowiem w Afganistanie – na terenie objętym wojną i wiedział, że z tej wyprawy można nie wrócić.

Oddział specjalny

Po zatrzymaniu się przed siedzibą oddziału banku, towarzyszący mu żołnierze oddziału specjalnego szybko opanowali cały budynek. Pracowników banku zebrali w jednym pomieszczeniu i dlatego Bolek miał wolną drogę do wykonania swojej części zadania. Teraz zależało mu jedynie na jak najszybszym podłączeniu się do sieci wewnętrznej banku. Wiedział, że do tego celu może wybrać dowolne pomieszczenie.
Ze wszystkich dostępnych pokojów wybrał ten należący do kierownika. Wybór był taki ze względu na to, iż było to było jedyne pomieszczenie z klimatyzacją.

Bolek podpiął swój komputer do gniazdka sieciowego. Miał już gotowy zestaw narzędzi, więc przystąpił do działania. Uruchomił narzędzia skanowania i przeprowadził testy podatności.
Już po chwili Bolek z ulgą potwierdził, że w rezultacie uzyskał dostęp do centralnych systemów bankowych. Zgodnie z wcześniejszymi informacjami wywiadu, bank nie miał zaawansowanych mechanizmów obrony.

Zależało mu szczególnie na centralnej bazie danych, z której miał ściągnąć potrzebne informacje. Użył kodu wykonawczego pozwalającego otrzymać pełne uprawnienia do bazy danych. Pozostało już jedynie zrobić jej kopię i w ten sposób zdobyć wszystkie kluczowe informacje o klientach, ich transakcjach, stanach kont, pełnej informacji o klientach.
Bolek wykonał zadanie. Teraz wystarczyło już tylko zabrać swój komputer ze wszelkimi pozyskanymi danymi i jak najszybciej oddalić się od placówki.

Jest to prawdziwa historia człowieka, z którym miałem okazję osobiście rozmawiać, zmieniłem jedynie imię bohatera.

A Ty czego możesz się nauczyć o tej historii?

Reasumując, należy przestrzegać kilku podstawowych zasad a sprawią one, że dane przetwarzane w Twoim przedsiębiorstwie będą bezpieczniejsze niż w banku (przynajmniej afgańskim).

Podstawowe 5 kroków do zabezpieczenia danych w każdej firmie:

  1. Posiadaj centralną bazę informacji o użytkownikach
    Zazwyczaj stosowane jest Active Directory firmy Microsoft i systemy Radius zsynchronizowane z AD. Są też inne: baza gości, baza urządzeń prywatnych i inne.
    Dzięki temu będziesz mógł użyć tej bazy do dalszych kroków zabezpieczania danych.

  2. Stosuj identyfikację i rozliczalność w dostępie do sieci komputerowej i systemów
    Typowym mechanizmem jest zastosowanie uwierzytelniania do sieci wg standardu 802.1x, oraz do systemów. Najbezpieczniej jest stosować, uwierzytelnianie w oparciu o certyfikaty przechowywane w specjalnym module sprzętowym.  Dlatego stosując takie mechanizmy wiesz jaki użytkownik, o której godzinie i w jakim miejscu się podłączył. Jeżeli nie jesteś gotowy na wdrożenie 802.1x, są alternatywne metody, opiszę je szczegółowo w dalszych artykułach.
    Nawet przekupiony przez Bolka pracownik nie zrobi nic… przynajmniej nie bez Twojej wiedzy.

  3. Ogranicz dostęp użytkowników jedynie do wymaganych zasobów Wymaganie zapewniane jest najczęściej poprzez implementację polityk bezpieczeństwa na przełącznikach dostępowych, oraz firewall’u centralnym.
    Bolek miałby trudne zadanie, gdyby ta zasada była stosowana w banku przedstawionym w historii. Bezsprzecznie komputer z placówki banku nie powinien mieć dostępu bezpośrednio do bazy danych.

  4. Zacznij od stosowania urządzeń zabezpieczających, jak NGFW (next generation firewall)
    Narzędzia tego typu pomagają w implementacji polityk ograniczania ruchu zgodnie z wprowadzanymi zasadami, w tym również na poziomie aplikacyjnym. Możemy określić którzy użytkownicy oraz jakie aplikacje mają dostęp do poszczególnych systemów.
    Dzięki takim ograniczeniom, podanie się przez Bolka za któregokolwiek z pracowników nie dałoby mu dostępu do wszystkich danych i systemów.

  5. Posiadaj spisane zasady bezpieczeństwa dostępu do zasobów i akceptację osób decyzyjnych w firmie
    Gdy będziesz podwyższał poziom bezpieczeństwa danych, szybko się okaże, że jest to również utrudnienie dla użytkowników. Jeżeli nie będziesz miał na tym etapie formalnie spisanych zasad i akceptacji kluczowych osób zarządzających firmą, spotkasz się z presją tworzenia wyjątków.
    Taki scenariusz widziałem wielokrotnie, gdzie słuszna idea podwyższania bezpieczeństwa, nie została w praktyce prawidłowo zaimplementowana.

Warto zauważyć, że dzisiaj większość zagrożeń ma pochodzenie wewnętrzne, czyli są to ataki wykonywane z wewnętrznej sieci firmy. Możliwość dostania się do danych  z zewnątrz Internetu jest w większości przedsiębiorstw dobrze zabezpieczona i szanse na ten sposób kradzieży danych są niewielkie.

Podsumowanie

Wiele firm, z którymi mam okazję się spotykać, bardzo interesuje się narzędziami ograniczającymi dostęp do systemów, tym samym podwyższającymi bezpieczeństwo danych.
Nie ma wątpliwości że jest to słuszna droga, pytanie brzmi jakimi narzędziami można takie zadanie wykonać najłatwiej. To temat na osobny artykuł, planuję rozwinąć każdy z 5 opisanych punktów, zachęcam do czytania.

Wyciągnij wnioski z doświadczeń innych i uniknij błędów u siebie. Do następnego artykułu, Darek Koralewski.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.