Co tam Panie w sieci? #9

in Polish HIVE4 years ago

W szeroko rozumianym bezpieczeństwie teleinformatycznym najsłabszym ogniwem jest człowiek. To człowiek zaprojektował i wykonał dziesiątki zabezpieczeń, które mają uchronić dane pracodawcy i jego klientów przed cyberprzestępcami, to człowiek również jest najbardziej podatnym na socjotechniczne zagrywki włamywaczy.

dreamjob2904780_1920.jpg
Image by Gerd Altmann from Pixabay

Kampania "Dream Job"

Dzięki raportowi opublikowanemu przez analityków z ClearSky na światło dzienne wyszła kampania socjotechniczna nazwana "Dream Job", czyli praca marzeń. Z dużym prawdopodobieństwem za tą trwającą od początku roku ofensywną kampanię odpowiada nadzorowana przez rząd północnokoreańska grupa hackerska Lazarus. Ich celem były przede wszystkim przedsiębiorstwa o strategicznym znaczeniu dla obronności, a dostęp do nich mieli uzyskać przez konkretnych pracowników tych firm. O skuteczności działania grupy Lazarus może świadczyć, że w ocenie analityków udało im się zainfekować systemy kilkudziesięciu firm i organizacji w Izraelu i na całym świecie.

W przypadku kampanii "Dream Job" atakujący bardzo dobrze przygotowali się do swojego zadania, najpierw założyli fikcyjne profile na Linkedin, najczęściej rekruterów albo specjalistów od HR w znanych firmach z branży obronnej np. Boeing czy McDonnell Douglas. Następnie budowali na Linkedin sieć kontaktów w tych firmach, żeby uwiarygodnić się w oczach potencjalnej ofiary. Kiedy było wszystko gotowe zarzucali sieć na konkretnych pracowników z interesującej ich firmy, wyglądało to mniej więcej w ten sposób:

cl.png

Na LinkedIn bardzo częstą praktyką jest, że w poszukiwaniu potencjalnych kandydatów na pracowników dla swoich firm rekruterzy przesyłają prywatne wiadomości temu kandydatowi. Zdarzało się, że i ja otrzymywałem propozycje pracy, ale nie była to żadna "dream job" dlatego, zawsze grzecznie odmawiałem, nawet bez czytania "opisu stanowiska". W tym przypadku dokument z opisem stanowiska przesłany na pocztę elektroniczną ofiary był zainfekowany złośliwym oprogramowaniem, które umożliwiało hackerom dostęp do sieci wewnętrznej firmy i jej tajemnic.

Atakujący poświęcają wiele czasu i uwagi, żeby wybrać odpowiednią ofiarę, z reguły nie działają na oślep, tylko poprzedzają próbę kontaktu wnikliwym researcherem na temat ofiary i poszukiwaniu jej słabych punktów.


Instagram nie usuwał danych użytkowników ze swoich serwerów

Pewien domorosły analityk bezpieczeństwa z Nepalu - Saugat Pokharel postanowił zrobić kopię danych ze swojego profilu na Instagramie. Takie dane na Instagramie odnoszą się ogólnie do wszystkiego, poczynając od szczegółów dotyczących logowania, opublikowanych zdjęć, śledzących i śledzonych, like'ów, komentarzy, wiadomości na historii wyszukiwania kończąc.

smartphone1701096_1920.jpg
Image by USA-Reiseblogger from Pixabay

Po około dwóch godzinach otrzymał informację, że kopia jego danych jest gotowa do pobrania, co też niezwłocznie uczynił. Następnie przystąpił do przeglądania zawartości wszystkich folderów i plików. Jakie było jego zdziwienie, gdy zobaczył jedno zdjęcie z 2013 roku, które co prawda opublikował na Instagramie, ale zrobił to przez pomyłkę i natychmiast usunął. Okazało się, że zostało usunięte wyłącznie z jego profilu widocznego dla użytkowników Instagrama, ale nie zniknęło z serwerów firmy i siedem lat później wciąż tam było. Podobnie było z konwersacją którą prowadził z kolegą ponad rok wcześniej, a później skasował, ją również mógł sobie przeczytać w otrzymanej kopii danych.

Zdenerwowany całą sytuacją postanowił działać, zgłosił swoje odkrycie jako naruszenie prywatności do Facebook'a (właściciela Instagrama). Po krótkiej wymianie e-maili sprawa została zamknięta przez FB bez żadnego wytłumaczenia. Odpuścił już tą sprawę, gdy ku jego zaskoczeniu ktoś inny odezwał się FB, że zgłoszenie zostanie ponownie rozpatrzone przez inżynierów z Instagrama. W tym przypadku wymiana e-maili była znacznie dłuższa, aż w pewnym momencie ustała, Saugat tygodniami słał prośby o informację co się dzieje w tej sprawie. Dopiero po czterech miesiącach od zgłoszenia tego problemu otrzymał informację, że inżynierowie wciąż pracują nad rozwiązaniem, a jemu z racji, że zgłosił ten problem przyznano nagrodę w wysokości 6000 USD z programu BUG BOUNTY. Dopiero pół roku później zauważył, że zgłoszony problem został rozwiązany.

1 W7isayZkPG0AsrItwMJTdQ.jpeg

Podobne problemy miał Twitter w zeszły roku, kiedy to użytkownicy mogli uzyskać dostęp do dawno temu usuniętych bezpośrednich wiadomości, tych wysyłanych i odebranych w tym do i z kont zawieszonych lub usuniętych.

Oczywiście te sprawy rodzą pytanie: czy podjęte przez inżynierów Instagrama czy Twittera działania rzeczywiście doprowadziły do usunięcia wykasowanych przez użytkowników danych ze swoich serwerów, czy tylko przypudrowano sprawę ograniczając dostęp do tych danych w przypadku wykonania kopi zapasowych przez użytkowników?


Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa.

Sort:  

o cholera mogłem zgarnąć te 6tys$ bo zapis treści które nie powinny się znajdować na FB zauważyłem od razu po uruchomieniu funkcji ściągania kopii danych. aczkolwiek ja sobie cenię prywatność i dużo tego nie było

U niego też dużo nie było, ale jak przejrzałem jego profil na Medium, to zdarza mu się kilka razy w roku znaleźć takie niewielkie łuki i zgarniać kasę 🙃

eh no człowiek był nie świadomy że coś można z tym zarobić . mnie tylko ch... strzelić ze złości jak zobaczyłem usunięte treści czy strzępki rozmów głosowych podsłuchane u innych użytkowników ale z moim udziałem. i wrzucone do mojej bazy danych. zwłaszcza to ostatnie mnie wk... po całości.

Świetny wpis :) W sprawie kasowania danych przez Facebooka, to zastanawiam się jak się to ma do jakichś wymagań prawnych dotyczących przechowywania danych użytkowników. Prowadząc firmę u nas trzeba trzymać papiery na wszystko przez 5 lat, ciekawe ile takich regulacji dotyczy np. rozmów użytkowników.

Dzięki.

W sprawie kasowania danych przez Facebooka, to zastanawiam się jak się to ma do jakichś wymagań prawnych...

W wymianie mailowej, którą tan gościu zamieścił w swoim poście, FB deklaruje, że według jakichś przepisów ma 90 dni na usunięcie tych danych ze swoich serwerów. Stąd na początku była przepychanka miedzy nimi, ale kiedy udowodnił, że chodzi mu o zdjęcie z przed kilku lat to dopiero zajęli się sprawą.

W ostatnich dniach trafiłem na tę historię na kilku portalach branżowych, na jednym tytuł nawet sugerował, że Instagram mógł naruszyć przepisy europejskiego GDPR, ale w treści są wyłącznie ogólne informacje i bardziej dotyczą wykradzenia danych użytkownika, niż ich bezprawnego przechowywania bez wiedzy i zgody użytkownika.

a nie obawiasz się że na podstawie tych przepisów ktoś złośliwy wrzuci zdjęcie na Hive a potem będzie bruździł że chce trwale usunąć z serwerów? okaże się że blockchein nie spełnia standardów :)

Różnica jest dość znacząca - w przypadku blockchainu Hive nie ma jednego podmiotu, który jest jego właścicielem i nim zarządza. Nie ma kogo pozwać ;) Można się oczywiście procesować z konkretnym frontendem, co już się zdarzało (dość częste są np. zgłoszenia dotyczące praw autorskich) i wtedy zazwyczaj taki podmiot faktycznie blokuje dostęp do danych treści. Dość często zdarzało się, ze jakieś skopiowane artykuły nie były dostępne na steemit.com, ale już na busy.org tak, bo nie były nigdy usunięte z blockchainu, tylko zablokowane przez frontend.

aha już rozumiem :)

Zawsze takie ryzyko jest :) o znacznie mniejsze pierdoły ludzie się procesują.

Ale z drugiej strony, na lewo i prawo jest powtarzane, że wszystko co jest opublikowane na blockchain zostaje na blockchain i ciężko byłoby komuś kto by chciał bruździć udowodnić, że o tym nie wiedział.