Na Kapitanie Hacku często piszemy o błędach w oprogramowaniach, lukach w systemach czy technicznych możliwościach obchodzenia zabezpieczeń. W dzisiejszym artykule – trochę na luzie – zastanowimy się nad tym, co często pomijamy na naszych „łamach”, czyli nad czynnikiem ludzkim. To właśnie problemy z „interfejsem białkowym” stworzyły koncepcje takie jak Zero Trust czy zarządzanie kontami uprzywilejowanymi.
Inspirację dla przejrzenia „osieroconych uprawnień” stanowi historia 53-letniego mężczyzny z Tracy w Kalifornii. Został on w tym miesiącu oskarżony o włamanie do systemów stacji uzdatniania wody, gdzie miał usunąć krytyczne oprogramowanie.
Podejrzany to Rambler Gallo. Ma być on winny „przesłania programu, informacji, kodu i polecenia w celu spowodowania uszkodzenia chronionego komputera”. Tak naprawdę jest to przypadek nieautoryzowanego dostępu, a nie faktycznego włamania.
Gallo pracował dla firmy, której kalifornijskie Discovery Bay zleciło obsługę stacji uzdatniania wody. Stacja obsługuje 15 000 mieszkańców. Rambler Gallo piastował swoje stanowisko od 2016 roku do końca 2020 roku i w tym czasie miał zainstalować oprogramowanie, które umożliwiało mu dostęp do systemów placówki z komputera osobistego.
Po rezygnacji w styczniu 2021 za pomocą zdalnego dostępu wszedł do systemów wodociągu i „przekazał polecenie odinstalowania oprogramowania, które było głównym hubem sieci komputerowej zakładu i chroniło cały system uzdatniania wody, w tym ciśnienie wody, filtracji i poziom komponentów chemicznych”. Informacje o tym zdarzeniu pojawiły się w komunikacie prasowym władz Północnego Dystryktu Kalifornii.
Gallo grozi do 10 lat więzienia i 250 000 dolarów grzywny.
Abstrahując od poczynań byłych pracowników, warto zauważyć, że obiekty wodne stają się częstym celem ataków. Jeden z najbardziej znanych incydentów dotyczy elektrowni wodnej w Oldsmar na Florydzie. Chociaż początkowo sądzono, iż hakerzy próbowali zatruć wodę, ostatnie doniesienia mówią, że incydent nie obejmował żadnego włamania i mógł być w rzeczywistości wynikiem błędu ludzkiego.
Kolejnym przypadkiem nierzetelnego zatrudnionego jest Nickolas Sharp. Ten były pracownik bezpieczeństwa w Ubiquiti udawał hakera i próbował wyłudzić od firmy prawie 2 miliony dolarów. Został właśnie skazany na sześć lat więzienia.
Oprócz kary więzienia Sharp będzie podlegał nadzorowi przez trzy lata po odbyciu wyroku, a do tego zapłaci ponad 1,5 miliona dolarów odszkodowania.
Sharp był zatrudniony przez amerykańskiego producenta urządzeń komunikacyjnych i IoT w okresie od sierpnia 2018 do kwietnia 2021. Według władz w grudniu 2020 r. nadużył dostępu do systemów Ubiquiti, aby pobrać gigabajty poufnych informacji. W następnym miesiącu, gdy część zespołu miała zareagować na incydent, mężczyzna wysłał do firmy żądanie okupu, twierdząc, że jest hakerem, który włamał się do jej systemów.
Poinstruował Ubiquiti, by zapłaciło 50 bitcoinów (wówczas wartych około 1,9 miliona dolarów), żeby zapobiec wyciekowi danych. Firma odmówiła zapłaty, a Sharp upublicznił część skradzionych plików.
W międzyczasie FBI wyśledziło jego działania i wydało nakaz przeszukania rezydencji podejrzanego w Portland w stanie Oregon. W trakcie przeszukania, w wyniku którego skonfiskowano kilka urządzeń, mężczyzna okłamał agentów.
Kilka dni później Sharp, podając się za demaskatora pracującego dla Ubiquiti, skontaktował się z dziennikarzem śledczym Brianem Krebsem i przekazał fałszywe informacje, twierdząc, że haker uzyskał dostęp administratora root do kont AWS Ubiquiti. Doprowadziło to do opublikowania kilku artykułów prasowych, w wyniku których akcje Ubiquiti spadły o około 20%, co oznacza straty w wysokości ponad 4 miliardów dolarów.
Zarzuty wobec Sharpa zostały ogłoszone pod koniec 2021 roku, a on przyznał się do winy w lutym 2023 roku.
Warto zauważyć, że Ubiquity nie jest tak naprawdę wymienione w akcie oskarżenia ani komunikatach prasowych opublikowanych przez DoJ (Departament Sprawiedliwości) w całej tej sprawie. Wiadomości na ten temat pojawiały się jednak w publikacjach na portalach branżowych, np. SecurityWeek.
„Nickolasowi Sharpowi płacono blisko ćwierć miliona dolarów rocznie, aby zapewniał swojemu pracodawcy bezpieczeństwo” – podaje Damian Williams, prokurator w południowym dystrykcie Nowego Jorku. „Nadużył tego zaufania, kradnąc ogromne ilości poufnych danych, próbując wplątać niewinnych pracowników w swój atak, wyłudzając okup od swojego pracodawcy, utrudniając egzekwowanie prawa i rozpowszechniając fałszywe wiadomości, które zaszkodziły firmie i wszystkim, którzy w nią zainwestowali. Sharpowi grożą teraz poważne kary za swoje bezduszne zbrodnie”.
Mimo że dosyć ekstremalne, obie te historie dobrze obrazują, skąd następuje atak. Zabezpieczamy „brzegówkę”, myślimy o bezpieczeństwie przez pryzmat „antywira” lub firewalla, gdy tym czasem wektor ataku biegnie od wewnątrz organizacji. Podobno bokserzy zawsze powtarzają, że najgroźniejsze są te ciosy, których nie widać.