Jak doszło do najgorszych wycieków danych XXI wieku - lista fatalnych przypadków

Na myśl przychodzą tutaj dwa ogromne wycieki danych z Yahoo! Dane 500 milionów kont w 2014 i… aż miliard kont w 2013. Wyciek ten imponował wielkością, jednak wśród wykradzionych danych nie znajdowały się dane finansowe.

Zdarza się jednak, że dane, które zostają wykradzione, to dane klientów, do tego na przykład takie, które umożliwiają płacenie ich kartami kredytowymi. Dlatego gdy przechowujemy istotne dane klientów, powinny być one zabezpieczone na wszystkie dostępne technicznie sposoby.

Jak uczy nas historia, nawet największe banki, sieci sklepów i firmy usługowe potrafiły zaniedbać przechowanie danych klientów i płatników w odpowiedni sposób.

Rok 2014 przyniósł atak na jedną z największych sieci sklepowych w USA Home Depot. Atak przeprowadzono uzyskując dostęp do stanowiska kasowego w jednym ze sklepów. Wymagało ono co prawda nazwy użytkownika i hasła, ale działały domyślne hasło dostawcy sprzętu. Po uzyskaniu dostępu do stanowiska kasowego, wykorzystano lukę w systemie Windows, aby zwiększyć swoje uprawnienia do sieci korporacyjnej Home Depot. Następnie atakującym udało się zainstalować na widocznych w sieci 7500 terminalach kasowych (służących do samodzielnych zakupów) specjalne oprogramowanie. Program ten używał techniki odczytywania zwolnionej pamięci operacyjnej w celu poszukiwania danych kart kredytowych i e-maili. Uzyskano w ten sposób 53 miliony adresów e-mail oraz 56 milionów numerów kart kredytowych.

Dane kart kredytowych zostały sprzedane na czarnym rynku internetowym. E-maile zostały użyte w kampaniach phishingowych, czyli mających na celu nabieranie kolejnych osób.

Błąd: Terminale kasowe posiadały zainstalowany program antywirusowy (Symantec), jednak z wyłączoną ważną funkcją - ochrona przed zagrożeniami sieciowymi. Dodatkowo, dane o kartach nie były przechowywane w pamięci w formie zaszyfrowanej (podejście znane jako Point To Point Encryption). Same stanowiska kasowe działały zaś pod kontrolą starego systemu Windows XP Embedded, którego luki bezpieczeństwa były powszechnie znane.

Heartland Payment Systems to firma, która oferowała przetwarzanie płatności kartami kredytowymi. W 2008 roku firma dała sobie wykraść dane 134 milionów kart kredytowych. Jak do tego doszło? Banalnym sposobem, przed którym przestrzegano już prawie dziesięć lat wcześniej. Nazywa się on SQL Injection, a zabezpieczenie przed tego typu atakami w 2008 roku powinno być banalne. Niestety nie było.

Na czym polega SQL Injection? To prosty atak polegający na przekazaniu do systemu (zazwyczaj do serwera baz danych) takiego łańcucha znaków, aby część została zinterpretowana jako polecenie. Wykorzystuje się do tego specjalne znaki sterujące oznaczające np. koniec linii lub koniec parametru. Źle przygotowana aplikacja przekaże całość do silnika bazy danych, a polecenia zostaną zinterpretowane. Tej właśnie - dość prymitywnej jak na 2008 rok - metody użyli atakujący Heartland Payment. Nie uszło im to jednak na sucho. W 2010 roku sprawca ataku został skazany na 20 lat więzienia.

Błąd: podatność na banalny atak SQL injection.

W 2006 roku TJX - firma zajmująca się sprzedażą ubrań, do niej należą sklepy pod marką TK Maxx - zaliczyła równie wielką wpadkę. W ręce złodziei wpadły dane aż 94 milionów kart kredytowych. W jaki sposób dokonano ataku? W sklepach znajdowały się kioski informacyjne, w których można było złożyć swoje CV. Były one niezabezpieczone i… podłączone do sieci firmowej bez żadnej odpowiedniej separacji. Jest to podstawowy błąd konfiguracji sieci.

Błąd: brak separacji sieci wewnętrznej.

Bardzo znanym przypadkiem wycieku danych była kradzież informacji o kontach graczy z PlayStation Network. Ta wizerunkowa katastrofa firmy Sony spowodowała, że w niepowołanych rękach znalazły się dane 77 milionów użytkowników, z czego ponad 12 milionów posiadało wpisane dane karty kredytowej, a hasła wszystkich były… niezaszyfrowane i przechowywane otwartym tekstem.

Standardem od wielu lat jest takie projektowanie systemu informatycznego, aby prawdziwego hasła nigdy nie przetwarzać i nie przechowywać. Można to uzyskać na wiele sposobów: na przykład konstruując asymetryczną funkcję skrótu, i porównując wynik jej działania zamiast porównywania samego hasła. Funkcje asymetryczne mają tę zaletę, że mając postać zaszyfrowaną nie jesteśmy w stanie odtworzyć oryginału.

Błąd: Przechowywanie wrażliwych danych (numery kart kredytowych, hasła) w formie niezaszyfrowanej.

Wszystkie powyższe przypadki łączy jedna cecha: łupem włamywaczy stały się dane kart kredytowych. Dane wystarczające do dokonania zakupu to numer karty, data ważności, nazwisko na karcie oraz (nie zawsze) kod kontrolny CVV lub CV2 znajdujący się na jej odwrocie. Załóżmy, że staliśmy się właścicielami tysięcy lub milionów numerów kart. Jaki istnieje realny sposób na spieniężenie tych danych? Przecież tego typu akcje przeprowadza się prawie zawsze w celu zdobycia jakiegoś konkretnego zysku.

W tym miejscu warto przypomnieć sobie pojęcie Darknetu. Pojęcie to powstało jeszcze w latach 70. oznaczało początkowo sieci prywatne odizolowane od ARPANETu, który był praprzodkiem Internetu. Później używano tego pojęcia aby określić za jego pomocą ogół prywatnych podsieci, najczęściej peer-to-peer, powstałych po to aby wymieniać się plikami.

Dopiero w ostatnich kilku latach Darknetem zaczęto określać sieć korzystającą z tych samych protokołów co Internet, ale tak skonfigurowaną że dostępna jest jedynie przy pomocy odpowiedniego oprogramowania. Wokół Darknetu narosło wiele mitów - wiele z nich jest kompletnie nieprawdziwych, a często bywalcy Darknetu nabierają nowicjuszy żerując na ich oczekiwaniach.

Mimo to zdarza się, że w Darknecie odbywają się transakcje kradzionymi danymi - między innymi kart kredytowych. Pierwszym ogniwem transakcji są specjalizowani brokerzy. Brokerzy kupują kradzione dane o kartach hurtowo - nie mają możliwości sprawdzenia całości, zazwyczaj dokonują weryfikacji próbki. Przy tak dużych ilościach skradzionych danych informacje o pojedynczej karcie kosztują dosłownie centy.

Brokerzy odsprzedają te informacje w mniejszych paczkach do kolejnych cyberprzestępców zwanych carderami. Przykładowo dane skradzione z Home Depot zostały, według analizy przypadku dokonanej przez Bretta Hawkinsa z SANS Institute, sprzedane na carderskiej stronie znajdującej się w Darknecie o nazwie Rescator. Strony tego typu umożliwiają zawężenie wyszukiwania (np. dane kart wystawionych w konkretnym kraju, konkretnego typu, o zadanym okresie ważności etc) i zakupienie mniejszej paczki kart.

Kupujący liczy się z tym że duża część kart nie zadziała przy próbie zakupu za ich pomocą. Carder wciąż ma dane karty, musi je teraz zamienić w pieniądze. Najczęściej robi to kupując za jej pomocą kupony prezentowe w sklepach typu Amazon czy Walmart. Carderzy najczęściej nie podejmują próby sprzedania kuponów - zbyt łatwo byłoby trafić wtedy na dane kradzionej karty. Zazwyczaj kupowane są jakieś fizyczne przedmioty, następnie odsprzedawane na Ebay lub na stronach z ogłoszeniami.
Aby dodatkowo utrudnić dotarcie do źródła kradzieży, towary przesyłane są do specjalnych „słupów” zwanych re-shipperami, którzy odbierają towar (w miarę możliwości anonimowo, na przykład za pomocą skrytki pocztowej), a następnie przesyłają do osoby która go zakupiła np. na aukcji internetowej. Taka złożoność całego procesu praktycznie gwarantuje, że dotarcie od jego końca do sprzedającego dane karty jest niemożliwe.

Każdy z wyżej wymienionych przypadków stanowi dla tworzącego infrastrukturę IT w firmie przewodnik, jakich błędów nie należy popełniać. Aktualizacja danych, separacja sieci wewnętrznej, szyfrowanie całego przebiegu informacji, nie przechowywanie danych w otwartym tekście, czy wreszcie zabezpieczenie się przed SQL injection - są to podstawy, bez których nasza sieć nie będzie bezpieczna.

Sieć informatyczna przedsiębiorstwa składa się nie tylko z komputerów - to również wszystkie urządzenia, które kontaktują się z resztą sieci. Coraz powszechniejsza koncepcja Internet of Things spowodowała, że musimy brać pod uwagę również inteligentne kamery, czytniki i drukarki. Według raportu Insecurity of Network-Connected Printers opracowanego przez Ponemon Institute 6 na 10 firm nie zabezpiecza w żaden sposób przed atakiem swoich drukarek.

Tworząc własne, przystosowane do naszych potrzeb rozwiązania możemy posiłkować się produktami firm, które wspierają ochronę bezpieczeństwa. Dobrym przykładem jest tu seria drukarek od HP, która sprawiła że zabezpieczenie firmowych drukarek wcale nie musi być trudne.

Drukarki HP zapewniające zgodność ze standardem HP Print Security wyróżniają się następującymi cechami ułatwiającymi zapewnienie bezpieczeństwa w sieci:

Drukarki HP zapewniają szyfrowanie dokumentu w momencie jego przesyłania oraz w pamięci drukarki. Co jednak z dokumentami już wydrukowanymi? Czy jesteśmy w stanie je chronić?
Czy zdarzyło się wam wpuścić kogoś do biura, i dać mu szansę na rozejrzenie się po nim, i zerknięcie do pozostawionych w drukarce dokumentów? Takich sytuacji nie można uniknąć - do firmy przychodzą kontrahenci, dostawcy i kurierzy. Jak zapewnić sobie poufność firmowych wydruków?

Nieautoryzowany dostęp do poufnego dokumentu (np. zawierającego dane o płatności) może nastąpić gdy jest on już wydrukowany. Wystarczy, aby atakujący mający złe zamiary podszedł do drukarki przed nami i szybko wykonał zdjęcie strony telefonem. Bezpieczne drukarki HP zapobiegają również i tej sytuacji dzięki funkcji pull printing. Dokument czeka na wydrukowanie do momentu gdy podejdzie do drukarki jego właściciel i zautoryzuje się odpowiednio. Jest to rozwiązanie pozwalające zapobiec większości takich przypadków.

Nigdy nie wiadomo, kiedy i skąd nadejdzie kolejny atak mający na celu uzyskanie dostępu do naszych danych, dlatego warto być przygotowanym i wyjść z niego obronną ręką. Domyślne ustawienia, lub ignorowanie aktualizacji i informacji o błędach w oprogramowaniu może nas drogo kosztować. W ciągu ostatnich 6 lat częstość tego typu ataków wzrosła ponad dwukrotnie, a przeciętny koszt odtworzenia danych i pokrycia szkód w przypadku wycieku danych dużej organizacji wynosił aż 7 milionów dolarów.

Więcej szczegółów na ten temat znajduje się na stronie HP poświęconej rozwiązaniom zapewniającym bezpieczeństwo.