W świetle ostatnich informacji polscy politycy stali się celem cyberprzestępców. Atak trwał ponad pół roku i ostatecznie nie wiadomo, kiedy dokładnie się zaczął. Osoby pełniące ważne funkcje w państwie, do przesyłania niektórych informacji wykorzystywały prywatną pocztę. Trudno powiedzieć, czy można tego było uniknąć. Z pewnością możliwe było utrudnienie przestępcom ich zamiarów.
Co wiemy?
Prawdopodobnie niepowołane osoby uzyskały dostęp do kont poczty email oraz innych usług, wykorzystując bazę danych tego typu. Przypominamy – najprostszym sposobem weryfikacji, czy nasz adres email, hasło czy też inne informacje wrażliwe znalazły się gdzieś w internecie jako dane dostępne darmowo lub odpłatnie jest skorzystanie ze stron typu https://haveibeenpwned.com/ Od jakiegoś czasu możemy oprócz adresu email sprawdzić także konto domenowe oraz numer telefonu. Polecamy korzystanie z tego mechanizmu.
Nawet najbardziej skomplikowane |
Oczywiście dane te mogą, ale nie muszą (a zdarza się i tak) być przetwarzane przez strony trzecie w formie zaszyfrowanej. Choć jak pokazał przykład morele.net – można też zaszyfrować informacje zbyt słabo i kwestią czasu pozostaje dotarcie do ich oryginalnej postaci.
Wracając do polityków – przestępcy zaczęli publikować treści ich maili. Domniemywać tylko możemy, jaka ich część jest prawdziwa, a jaka może stanowić manipulację dokonaną przez grupę cyberprzestępczą.
Jak do tego doszło?
Portal WP.pl poinformował, że nie stwierdził prób nieautoryzowanego logowania się w usłudze poczty. Najwyraźniej ktoś dysponował właściwym loginem i hasłem jednocześnie, co pozwoliło po prostu logować się na konto poczty elektronicznej. Po nitce do kłębka i ostatecznie ponad 4000 kont różnego rodzaju zostało, jak to się ładnie tłumaczy z angielskiego „skompromitowanych”.
Czy można było tego uniknąć?
Podjęte przez rząd działania pokazują, że przestępcy mieli dostęp do informacji przez długi czas i nawet po ujawnieniu ataku, dostęp ten udało im się jeszcze utrzymać.
Brak odpowiednich szkoleń i najwyraźniej – procedur |
Co zatem zrobić, aby utrudnić życie przestępcom?
Obecnie mamy już różne rozwiązania wspomagające proces zabezpieczania naszych danych uwierzytelniających. Najczęściej spotykamy tzw. menedżery/ portfele haseł. Możemy wybierać wśród rozwiązań płatnych i darmowych. Także dostawcy przeglądarek internetowych wbudowują podobne mechanizmy w swoje oprogramowanie. I warto z tego korzystać. Jeśli przeglądarka oferuje dodatkowe zabezpieczenie bazy haseł hasłem nadrzędnym (master), należy również z niego korzystać.
Ogólnym trendem jest przede wszystkim korzystanie z uwierzytelniania wieloskładnikowego, gdzie innym kanałem informacyjnym potwierdzamy logowanie lub dokonywanie ważnych zmian w danych uwierzytelniających. Całkiem możliwe, że wcześniej słyszałeś lub nawet korzystałeś z uwierzytelniania dwuskładnikowego. Ten sposób zabezpieczeń wymaga od każdego użytkownika podania hasła i dodatkowego elementu, który posiada, aby zweryfikować dane logowania – coś jak karta bankomatowa (czynnik posiadania) i PIN (czynnik wiedzy). Metody dwuskładnikowego uwierzytelniania – Second Factor Authentication (2FA) lub Multi Factor Authentication (MFA) – to znane od lat rozwiązania.
Bardzo dużo dzieje się ostatnio w dziedzinie adaptacji tych metod i ich rozwoju (np. Standaryzacja WebAuthn, która zmierza do wyeliminowania haseł i wykorzystania do uwierzytelniania czytników wbudowanych w urządzeniach mobilnych i komputerach. Przykład stanowi “Windows hello” na Windows 10 z wykorzystaniem wbudowanej kamery notebooka lub czytnika linii papilarnych – umożliwia zalogowanie się do komputera z systemem Windows oraz do dowolnej aplikacji webowej, o ile w organizacji zaimplementowane są odpowiednie narzędzia typu “User Access Security Broker”, umożliwiające transport tożsamości do innych aplikacji).
Istnieje wiele różnych kombinacji, które mogą być stosowane z dwuskładnikowym uwierzytelnianiem, przy czym najbezpieczniejszym z nich jest FIDO Universal 2nd Factor. To rozwiązanie, znane również jako U2F, wymaga od użytkowników fizycznego klucza oraz hasła, aby uzyskać dostęp do zasobów aplikacji webowej.
W cyberbezpieczeństwie zawsze występuje poszukiwanie kompromisu między rozwiązaniem bezpieczniejszym a wygodniejszym. Niestety we wspomnianym przypadku naszych urzędników – najwyraźniej ktoś przedłożył wygodę nad kwestie bezpieczeństwa.
Przypominamy, że na naszym blogu ukazały się podobny wpis:
 | https://premiumbank.zadbajobezpieczenstwo.pl/bezpieczny-dostep-uzytkownikow-do-aplikacji/ |
Zapraszamy Państwa do rozmów nt. bezpieczeństwa infrastruktury ICT. Zapraszamy również do lektury naszych wpisów na blogu firmowym:
https://premiumbank.zadbajobezpieczenstwo.pl/
a także zapraszamy do śledzenia na bieżąco tematów oraz terminów naszych szkoleń:
https://edu.servus-comp.pl/pl/858-szkolenia-on-line
Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.