Kluczyki samochodowe

Przegląd samochodu i niezamówione testy bezpieczeństwa

Niezamówione testy bezpieczeństwa

„Niezamówione testy bezpieczeństwa” – tym mianem żartobliwie określa się włamania do infrastruktury IT i incydenty związane z bezpieczeństwem, w których intruzi dokonują penetracji naszej sieci i systemów. Pojęcie to jest często wykorzystywane jako przestroga przed tym, co się może zdarzyć gdy zbagatelizujemy dobre praktyki nakazujące aby regularnie wykonywać testy bezpieczeństwa własnej infrastruktury.

Czasami jednak zdarza się, że niezamówione testy bezpieczeństwa wykonuje ktoś niekoniecznie kierujący się złymi intencjami. Badacze bezpieczeństwa i osoby zawodowo zajmujące się audytowaniem i testami penetracyjnymi często zwracają uwagę na zabezpieczenia cudzych systemów nie po to aby je wykorzystać, ale by ostrzec ich właścicieli przed zagrożeniami. Działania takie stoją nawet w zgodzie z prawem. Znowelizowany w marcu 2017 Kodeks Karny wprowadził artykuł 269c o następującej treści:

Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.

Zmiana ta bardzo mnie ucieszyła, gdyż jako osoba działająca w branży związanej z bezpieczeństwem teleinformatycznym często znajdowałem się w sytuacji, gdy zauważywszy niepokojące zaniedbania bałem się je zgłosić właścicielowi systemów by nie zostać posądzonym o działanie niezgodne z prawem. Od wspomnianej nowelizacji Kodeksu Karnego robię to zdecydowanie częściej i chętniej. Poniżej opiszę jeden z takich przypadków.

Sieć WIFI dla gości

Od tego elementu infrastruktury zaczyna się wiele problemów i incydentów związanych z bezpieczeństwem. Tak było i tym razem. Jako klient jednego z autoryzowanych salonów samochodowych popularnej w Polsce marki postanowiłem poczekać na miejscu na zakończenie przeglądu mojego auta. By nie tracić czasu wyjąłem laptopa chcąc popracować z wykorzystaniem udostępnionej klientom salonu sieci bezprzewodowej. Po wpisaniu hasła z umieszczonej na ścianie karteczki nie udało mi się jednak zestawić połączenia VPN. Zacząłem weryfikację konfiguracji sieci na moim laptopie. Adres IP… jest – 192.168.0.19. Domyślna brama… jest – 192.168.0.1. Serwer DNS… jest – 192.168.0.1. Ping na domyślna bramę… nie działa. To może przeglądarka na http://192.168.0.1? Jest, zgłasza się strona logowania routera wifi marki TP Link. I w tym momencie prawie odruchowo i bez dłuższego zastanowienia wpisałem admin, admin jako login i hasło. Moim oczom ukazał się interfejs administracyjny routera:

interfejs tplink

Domyślne hasło do routera nie najlepiej świadczy o administratorze. W takim wypadku intruzi mają możliwość ustawienia na urządzeniu przekierowania na własny serwer DNS i za jego pomocą kierowania użytkowników sieci na własne strony phishingowe lub podsłuchiwania ich ruchu techniką „man in the middle” kierując cały ruch do własnego serwera proxy. Już w tym momencie wiedziałem, że fakt ten powinienem zgłosić właścicielowi sieci. Jednak na tym nie koniec.

Firmowa sieć LAN

Po przejrzeniu kolejnych zakładek konfiguracyjnych okazało się, że interfejs zewnętrzny routera posiada adresację w sieci 10.0.0.0/24. Brama domyślna w tej sieci nie odpowiadała. To może ping na jakieś sąsiednie adresy? 10.0.0.2, 10.0.0.3… odpowiadają. Nie mogąc już walczyć z własną ciekawością uruchomiłem przeglądarkę i wpisałem powyższe dwa adresy. Moim oczom ukazała się strona systemu Windows Server 2012 R2 oraz interfejs dysku sieciowego QNAP, z którego nazwy można było wywnioskować, że służy on jako miejsce przechowywania backupów:

strona logowania qnap

Wyglądało więc na to, że ogólnodostępna sieć wifi dla gości poprzez router z domyślnym hasłem administracyjnym prowadzi do lokalnej sieci firmowej. Żeby się upewnić spróbowałem przeglądarką wejść na jeszcze kilka adresów IP. Wśród nich znalazłem m.in. kolejny router (Asus), access point (TP Link) i switch (Cisco).

I znowu admin, admin

Na kilku urządzeniach producentów, których domyślne hasła pamiętałem bez szukania w sieci dokonałem prób zalogowania się. Udało się m.in. na switchu Cisco:

switch cisco

Ponadto w sieci dostępnych była cała masa drukarek m.in. HP, Konica, Brother do których dostęp był możliwy bez logowania się. Wiąże się to z kolejnym zagrożeniem w postaci przejęcia poufnych danych wysyłanych do wydruku.

Zagrożenia wynikające z powyższych niedopatrzeń można by długo wyliczać. Osobiście, jako klient serwisu poczułem się bardzo niekomfortowo zdając sobie sprawę, że do sieci, w której przetwarzane są moje dane osobowe, finansowe, ubezpieczeniowe w każdej chwili może uzyskać dostęp jakiś złodziej. Należy pamiętać, że przez sieci w autoryzowanych salonach samochodowych przesyłane mogą być m.in. kody do kluczyków umożliwiające kodowanie i wydawanie duplikatów. Mając taki kod a do tego nasze dane adresowe złodziej może praktycznie bez żadnych przeszkód odjechać naszym samochodem…

Podsumowanie

Jak widać mimo wielu głośnych incydentów i publikacji na ich temat administratorzy sieci wciąż w sposób bardzo lekceważący podchodzą do kwestii bezpieczeństwa. Wciąż brak jest też menedżerów odpowiedzialnych za kadry IT, którzy decydują się na sprawdzenie ich kompetencji poprzez testy bezpieczeństwa. Podsumowując więc, warto o tym pomyśleć zanim niezamówione testy bezpieczeństwa zrobi nam ktoś, kto zamiast ostrzec właściciela systemów postanowi wykorzystać znalezione zagrożenia do własnych celów.

***

Jeżeli zainteresował Cię ten wpis, to być może zechcesz zapoznać się również z poniższymi dwoma scenariuszami testów bezpieczeństwa, w których stwierdzono poważne uchybienia:

Testy bezpieczeństwa systemów SCADA

Wyciek danych – jak tego nie robić – studium „przypadku”

 

2 komentarze

  1. Artykul 269c KK wbrew pozorom jest bardzo szkodliwy dla branży cybersec. On pozwala – dosłownie – na bezkarne próby ataków, które jeśli są nieskuteczne, to nie rodzą konsekwencji prawnych. Czyli można sobie próbować atakować infrastrukturę np. banku i nie poniesie się z tego tytułu żadnych konsekwencji. To wylanie dziecka z kąpielą.

    1. Dziękuję za komentarz. Oczywiście jest to druga strona medalu i przyznaję, że ten zapis mógł być sformułowany lepiej. Natomiast z punktu widzenia osoby z t.zw. branży lepsze jest moim zdaniem to, niż fakt, że dotychczas znane były przypadki straszenia sądem osób, które zgłaszały istniejące błędy. I to błędy, których znalezienie nie wymagało nawet przeprowadzania testów. Czasami wystarczy skorzystać z jakiejś usługi jako klient by zauważyć poważne nieprawidłowości.
      Mój punkt widzenia jest taki, że przestępcy zapisami prawa i tak się nie przejmują. Jeżeli ktoś działa w złych intencjach lub dla własnego interesu to będzie to robił niezależnie od wszystkiego. Natomiast specjaliści od bezpieczeństwa mogą teraz spać trochę spokojniej. Jeżeli ktoś nie ma złych intencji a szuka błędów „dla sportu” to wybierze systemy firm, które oferują programy „bug bounty” polegające na wypłacaniu nagród za znalezione i zgłoszone błędy. Nikt działający z rozwagą nie będzie ryzykował uczenia się na systemach bankowych bo jest w tym przepisie jednak pewien zapis ostrzegawczy „działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody”. Oczywiście to tylko moja opinia.
      Pozdrawiam 🙂

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.