×
QA trends 2019 PL miniatura

Pobierz nasz raport i bądź na bieżąco z najnowszymi trendami QA, Cyberbezpieczeństwa, IoT czy DevOps!

POBIERZ

3 przypadki wycieków danych, których można by w łatwy sposób uniknąć

Bezpieczeństwo

Temat szyfrowania danych jest wielokrotnie podejmowany na konferencjach dotyczących cyberbezpieczeństwa. Wciąż jednak zdarzają się spektakularne wypadki wycieków danych. Rośnie liczba naruszeń bezpieczeństwa, których można by w prosty sposób uniknąć. Jest to szczególnie ważne teraz, gdy do ataków dochodzi jeszcze częściej niż kiedyś. Dlatego dokonałem analizy poważnych wypadków naruszenia prywatności i wskażę błędy, które doprowadziły do tych incydentów. 

Zagrożone dane uczelni, brak szyfrowania backupów

W kwietniu 2019 roku na łamach Kongresu Bezpieczeństwa Sieci poprowadziłem prelekcję zatytułowaną „Bezpieczeństwo stron internetowych: case i wnioski”. Moja prezentacja była skupiona wokół bezpieczeństwa stron internetowych i roli zewnętrznych audytów konfiguracji serwerów. Dziś chciałbym wrócić do jednego z przypadków, które na niej przedstawiłem i przestrzec, że nie doszło by do wycieku danych, gdyby pliki kopii zapasowych były szyfrowane. Zacznijmy jednak od początku.

Któregoś razu trafiłem na stronę jednej z polskich uczelni. Początkowo witryna wyglądała normalnie – mogłem na niej przeczytać o dostępnych kierunkach, programie studiów i aktualnościach z życia akademickiego. Niestety, niebawem okazało się, że serwer, na którym była hostowana poprzednia domena jest wykorzystywany do przechowywania kopii zapasowych.

Zrzut ekranu slajdu z prezentacji. Kongres Bezpieczeństwa Sieci, Warszawa, 2019

Choć ewidentny jest błąd administratora (nigdy nie przechowujemy backupów na serwerze uzewnętrznionym!) można stwierdzić, że migracja uczelni na nową domenę raczej się powiodła. Strona działała perfekcyjnie, certyfikat SSL został wdrożony, domena przekierowywała na nową, odnośniki zostały zaktualizowane itd. 

Jednak wpadka, którą zaliczył administrator nie polegała tylko na przechowywaniu kopii zapasowych na dawnym serwerze. Być może ta sytuacja była podyktowana potrzebą oszczędności, pieniędzy lub czasu. Skoro serwer WWW jest już wykupiony, dlaczego go nie wykorzystać do innego celu? Z drugiej strony, jeżeli jakiś certyfikat (choćby ISO 27001) wymaga przechowywania kopii zapasowych w innym miejscu niż datacenter lub biuro, można pójść „na skróty” i wykorzystać uzewnętrzniony serwer jako most pomiędzy dwoma miejscami. Tę decyzję da się logicznie wytłumaczyć.

Administrator jednak popełnił drugi, karygodny błąd: nie szyfrował backupów. Z tego powodu każdy internauta, który znał adres IP serwera WWW owej uczelni mógł wejść i dostać dostęp do pełnego backupu. Jak się można domyślić, backup posiadał dane poufne, czyli dokumenty, hasła, egzaminy i wiele innych plików, do których osoby postronne nie powinny mieć dostępu.

Nie szyfrowanie plików jest dość kuriozalne, zważywszy na fakt, że większość profesjonalnych rozwiązań backupowych już posiada tę funkcjonalność. Nawet backupy tworzone metodą „na własną rękę” mogą być szyfrowane – wystarczy jedna linijka kodu w skrypcie bash. Być może właśnie na tym problem polega – świadomość o tym, że pliki i dyski twarde z łatwością się szyfruje jest albo dość niska, albo niewykorzystywana.

Heathrow i wyciek danych królowej

Kolejnym dobrym przykładem niezastosowania szyfrowania nośników danych i konsekwencji z tym związanych jest wyciek danych lotniska Heathrow, podczas którego wyciekły dane królowej Elżbiety.

Jak donosi BBC, pracownik lotniska skopiował dane na przenośny dysk twardy USB (potocznie zwanym „pendrivem”).  Na dysku znajdowały się dane dotyczące bezpieczeństwa i planów podróży królowej, dane poufne pięćdziesięciu pracowników bezpieczeństwa lotniska oraz imiona, nazwiska i numery paszportów kolejnych dziesięciu osób. Pendrive w sumie zawierał 76 folderów i ponad 1000 plików.

Choć pracownik ewidentnie posiadał odpowiednie uwierzytelnienie, aby posiadać dostęp do tych danych, brak używania szyfrowania dysku spowodował, że osoba, która przez przypadek znalazła zagubiony pendrive stała się posiadaczem danych, które stanowiły zagrożenie dla bezpieczeństwa narodowego. Pliki zawierały informacje, takie jak harmonogram patroli, które były wykorzystywane do ochrony terenu przed atakami terrorystycznymi, trasy i zabezpieczenia ministrów gabinetu, dokładną trasę, jaką pokonywała królowa podczas korzystania z lotniska oraz środki bezpieczeństwa zastosowane w celu jej ochrony.

Zdumiewa również fakt, że pendrive nie został skradziony ani znaleziony na terenie lotniska. Dokumenty dotyczące bezpieczeństwa kraju znalazł przypadkowy człowiek, który korzystał z biblioteki miejskiej w zachodnim Londynie.

W związku z ich dużą pojemnością, nieszyfrowane mobilne nośniki danych mogą stanowić źródło poważnego wycieku.

Milion dolarów za skradzionego laptopa

27 Czerwca 2020 roku zakończył się proces sądowy organizacji Lifespan ACE, w którego wyniku uprawomocnił się wyrok wypłaty 1.040.000 dolarów na rzecz Departamentu Zdrowia i Usług Społecznych (HHS) w Stanach Zjednoczonych. Przedmiotem sprawy były dane, które wyciekły ze skradzionego laptopa należącego do Lifespan ACE.

Jak do tego doszło? Lifespan ACE to instytucja non-profit funkcjonująca w systemie opieki zdrowotnej USA. W związku z tym, że organizacja przetwarza dane dotyczące pacjentów i ich historii medycznej, musi sprostać wymaganiom HIPAA, czyli Health Insurance Portability and Accountability Act. HIPAA jest zbiorem wytycznych (podobnie jak RODO) dotyczących przechowywania, przetwarzania i przekazywania danych pomiędzy podmiotami. Natomiast w przeciwieństwie do europejskiego RODO, HIPAA została stworzona z myślą o służbie zdrowia, dlatego posiada konkretne wytyczne dotyczące archiwizowania i przetwarzania danych.

Pewnego dnia w 2017 r. organizacja padła ofiarą rabunku, podczas którego został skradziony jeden z laptopów należących do Lifespan ACE. Pracownicy natychmiast zgłosili sprawę na policję i jak się okazało, strata laptopa o wartości kilku tysięcy dolarów była ich najmniejszym problemem. Otóż skradziony laptop zawierał informacje dotyczące ponad 20 tysięcy pacjentów, w tym dane teleadresowe, wyniki badań, historii medycznej i… nie był w ogóle szyfrowany. W związku z tym faktem każda osoba, która mogłaby odgadnąć hasło, wyjąć dysk twardy lub uruchomić alternatywny system na urządzeniu (choćby Linux) stanęłaby się posiadaczem danych poufnych tysięcy pacjentów! 

Sam fakt, że laptop nie był szyfrowany uzasadnia nałożenie grzywny za naruszenie przepisów HIPAA. Można powiedzieć, że takim sposobem przeciętny laptop, wart kilka tysięcy dolarów, kosztował Lifespan ACE ponad 1 milion dolarów. Ponadto jeżeli się okaże, że osoby, których dane wyciekły zostały poszkodowane w jakikolwiek inny sposób związany z ich tożsamością (np. ktoś użył danych do udzielenia pożyczki), to  ponad 20 tysięcy osób może się zwrócić do Lifespan ACE po odszkodowanie. Potencjalnie koszty braku zabezpieczeń mogą być więc znacznie większe. Sprawa ta pokazuje, jak ważne jest wdrożenie choćby podstawowych zabezpieczeń, takich jak szyfrowanie danych.

Szyfrowanie plików jest proste i darmowe

Choć istnieje świadomość o szyfrowaniu dysków i danych, z różnych powodów firmy i organizacje rezygnują z korzyści płynących z wdrożenia tej technologii w życie. Jak pokazują powyższe przykłady, brak wiedzy lub niechęć zdarza się nawet w sytuacjach, kiedy wymaga to prawo. 

Szyfrowanie danych, backupów, nośników mobilnych i dysków twardych jest zupełnie darmowe i w zasięgu kompetencji każdego administratora. Warto się zabezpieczyć i nie narażać na wycieki spowodowane zwykłym czynnikiem ludzkim, takim jak zgubienie pendrive’a, błędna konfiguracja serwera lub kradzież urządzenia. W kolejnych artykułach przybliżę możliwości bezpiecznego szyfrowania plików i dysków twardych, dzięki czemu osoby zainteresowane ochroną swoich plików będą mogły samodzielnie zadbać o ich bezpieczeństwo.

Oceń artykuł:

Paweł Wałuszko

Paweł Wałuszko 09.07.2021

Doświadczony administrator sieci i propagator rozwiązań IT ze środowiska Doliny Krzemowej. Absolwent Uniwersytetu Kalifornijskiego w Berkeley, Uniwersytetu Stanforda i RANEPA; współorganizował projekty transferu wiedzy takie jakie jak „Poland-Silicon Valley Entrepreneurship Exchange” oraz projekt „Recreating Silicon Valley” na Uniwersytecie Stanforda. Odpowiedzialny za rozwój produktów i ochronę danych, projektował i wdrażał rozwiązania informatyczne dla środowiska akademickiego i biznesu w Europie i USA. Obecnie zajmuje się biznesowymi powiązaniami Doliny Krzemowej z krajami Europy Środkowo-Wschodniej: wymianą wiedzy, rozwojem produktów i edukacją w zakresie bezpieczeństwa w cyberprzestrzeni. W Polsce i poza granicami kraju znany z licznych wykładów poświęconych przeciwdziałaniu atakom socjotechnicznym, kultywowaniu kultury bezpiecznej pracy z danymi poufnymi oraz wczesnego wykrywania anomalii. Pasjonat technologii open-source, współpracuje ze startupami w zakresie tworzenia i zabezpieczania rozwiązań geolokalizacyjnych.

Comments are closed.
Wyszukaj
Kategorie