Marcin Pery dla Cyberdefence24: Żadne dane naszych klientów nie ucierpiały w ataku hakerskim

Firma Gemius poinformowała swoich klientów miesiąc po samym ataku.

Zdecydowaliśmy się na poinformowanie klientów o ataku na nasze serwery firmowe prawie miesiąc po jego wykryciu. Był to pierwszy możliwy moment na przekazanie takich informacji, ponieważ dopiero wtedy byliśmy w 100 proc. pewni, że atak cybernetyczny ustąpił. Po wykryciu samego ataku odseparowaliśmy wszystkie serwery, które uległy incydentowi, po to aby ocenić, do jakich informacji dotarł sam haker. Przy obecnym stanie wiedzy nie możemy jednak stwierdzić, czy to był haker, grupa hakerów, czy może bot przeczesujący sieć w poszukiwaniu sieci podatnych na ataki.

Podobnie, jak w większości tego typu przypadków, nie jesteśmy w stanie stwierdzić jednoznacznie, kiedy atak się zaczął, wiemy jedynie, kiedy w naszych sieciach pojawiły się jego pierwsze ślady (w komunikacie firma Gemius przekazała, że atak został zidentyfikowany 9 sierpnia tego roku – przyp. red.) Wtedy też odłączyliśmy zaatakowane serwery od reszty infrastruktury i zaczęliśmy obserwację poczynań osoby, która się włamała. Podjęliśmy takie kroki, żeby sprawdzić, do jakich informacji uzyskała ona dostęp, ponieważ tego w momencie wykrycia ataku nie byliśmy pewni.

Sama infrastruktura firmy Gemius to kilkaset serwerów rozsianych po całej Europie. Po określeniu, gdzie nastąpiło włamanie, odseparowaliśmy te sieci od dostępu do reszty infrastruktury. Dzięki temu mogliśmy sprawdzić przy kolejnym logowaniu, do jakich systemów próbował się dostać włamywacz, jakie dane wykorzystuje do logowania do innych sieci oraz jakimi połączeniami próbuje się tam dostać. Wykorzystaliśmy do tego mechanizm honeypota, który zbierał informacje o jego działalności. Około 24 sierpnia atakujący zalogował się do naszej sieci po raz ostatni, nie mogliśmy oczywiście wiedzieć następnego dnia, że to koniec samego ataku, dlatego bacznie obserwowaliśmy, czy haker nie wraca. W czasie, w którym obserwowaliśmy, czy nic złego nie dzieje się w sieci, dokonywaliśmy niezbędnych czynności zabezpieczających samą infrastrukturę.

Polecenie o zmianie haseł wysłaliśmy do naszych klientów zaraz po odseparowaniu zaatakowanych serwerów od reszty sieci. Jednocześnie w ramach dobrych praktyk w firmie wszyscy pracownicy, którzy mieli dostęp do odpowiednich poziomów sieci, musieli zmienić hasła dostępu. Decyzję o nieinformowaniu klientów tego samego dnia, którego nastąpił atak, podjęliśmy w dobrej wierze oraz po sprawdzeniu, do czego haker uzyskał dostęp do tej pory. Dzięki odizolowaniu tych zaatakowanych sieci od reszty mogliśmy jednoznacznie stwierdzić, do jakich informacji hakerowi lub botowi udało się uzyskać dostęp. Ten okres kilku tygodni pozwolił nam na zebranie odpowiednich informacji o obszarze, jaki został zaatakowany, oraz o tym, w jaki sposób został zaatakowany. Wówczas mogliśmy złożyć wniosek do prokuratury ze wszystkimi niezbędnymi informacjami.

Problem w głównej mierze polegał na tym, że nie stało się nic interesującego z punktu widzenia opinii publicznej, nie doszło do wycieku danych, nie zostały także ujawnione żadne dane logowania. Cechą wszystkich ataków na sieci komputerowe jest to, że początkowo nie wiadomo, do jakich danych atakujący mógł uzyskać dostęp. Najczarniejszy rozważany przez nas scenariusz, jaki mógł się zdarzyć, to jego dostanie się do zaszyfrowanych haseł – haseł do logowania użytkowników firmy Gemius, którzy wykorzystują je przy dostępie do interfejsu WWW naszych produktów. Nie mamy 100 proc. pewności, że osoba, która się do nas włamała, uzyskała dostęp do tych zaszyfrowanych haseł.

Dzięki zmianie haseł u wszystkich użytkowników mogliśmy mieć pewność, że osoba, która uzyskała dostęp do haseł, nie zaloguje się do naszych systemów. Pojawia się tu jednak jeszcze jedna sprawa. Jak wiemy, użytkownicy lubią korzystać z tych samych haseł do różnych usług. Dlatego w komunikacie do klientów poprosiliśmy ich o to, żeby zgodnie z dobrymi praktykami zmienili hasła dostępowe w innych usługach, z których korzystają.

Zdecydowaliśmy się poinformować klientów o takim stanie rzeczy oraz poprosić ich o zmianę haseł, o ile korzystają z jednego hasła do wszystkiego, z powodu uświadomienia im zagrożenia, jakie może ich spotkać. Jednocześnie chcieliśmy uniknąć ewentualnej odpowiedzialności, niewynikającej z naszej winy, spowodowanej tym, że ktoś wykorzysta hasło do np. okradzenia konta bankowego jednego z naszych klientów.

Czy włamanie do Państwa sieci mogło być spowodowane zaniedbaniem pracowników firmy?

Według naszych przypuszczeń atak mógł nastąpić poprzez systemy, które nie były aktualizowane zgodnie z zachowaniem standardów. Brak aktualizacji oczywiście jest błędem osób odpowiedzialnych za utrzymanie bezpieczeństwa sieci, wynika on jednak z tego, że były to serwery o mniejszym znaczeniu dla działalności firmy. Informatycy mają pewnie priorytety przy aktualizacji systemów – najpierw są aktualizowane te najważniejsze, później dopiero te mniej znaczące. Niestety, zdarza się tak, że te najmniej ważne systemy są po prostu pomijane przy aktualizacjach. W naszej sieci pojawiły się urządzenia ze starymi wersjami systemów operacyjnych, a takie urządzenia są często skanowane przez boty sprawdzające je pod kątem obecności luk. Jest to oczywiście książkowy przykład pomyłki z naszej strony, spowodowanej przez odstawienie na boczny tor procesu aktualizacji niektórych elementów sieci.

Czy współpracują Państwo z polskim CERT-em? Jak wygląda u Państwa proces wdrażania normy ISO 27001?

Obecnie nie współpracujemy bezpośrednio z CERT-em. Nasi konsultanci zewnętrzni, którzy współpracują z różnymi firmami, wspomogli nas także w przypadku ostatniego włamania do naszej sieci. Jednak nie wykluczamy, że w przyszłości nawiążemy współpracę z CERT Polska. Wszystko zależy od rekomendacji naszych partnerów w tym zakresie.

Od około roku jesteśmy w trakcie certyfikacji i pełnego wdrażania normy ISO 27001 w naszej firmie. Ciekawie się złożyło, że właśnie podczas wprowadzania tej normy nastąpiło włamanie do naszych serwerów – można powiedzieć, że był to pierwszy test. Dzięki wprowadzeniu tej normy, która notabene powinna być w pełni zaimplementowana i certyfikowana już pod koniec tego roku, możemy zapewnić najwyższy poziom bezpieczeństwa dla naszych klientów.

Przy wdrażaniu odpowiednich strategii związanych z ISO 27001 musieliśmy mieć odpowiednie piony odpowiedzialne za rozwój informatyczny oraz zapewniające bezpieczeństwo danych elektronicznych. Sama norma wymaga od nas informowania o wszystkich incydentach w odpowiedni sposób wewnątrz oraz na zewnątrz firmy. Dzięki temu łatwiej będzie nam w przyszłości spełnić wymagania dyrektywy NIS. Osoby odpowiedzialne za wdrażanie samej normy dbały o to, aby firma w ramach tego incydentu wykonała wszystkie kroki odpowiednio – ma to bezpośredni związek z przeprowadzanymi audytami bezpieczeństwa w firmie.

Rozważają Państwo przyłączenie się do Narodowego Centrum Cyberbezpieczeństwa?

Do tej pory nie myśleliśmy o przyłączeniu się do tej inicjatywy. Nie notowaliśmy incydentów podobnych do tego sierpniowego włamania, więc nie rozważaliśmy brania udziału w takich inicjatywach. Obecnie liczymy na rekomendacje naszych zewnętrznych partnerów czy prokuratury, która prowadzi śledztwo, jeżeli chodzi o przyłączenie się lub nawiązanie współpracy z odpowiednimi instytucjami odpowiedzialnymi za bezpieczeństwo informatyczne.

Czy współpracują Państwo z innymi firmami w ramach wymiany dobrych praktyk i strategii?

Współpracujemy z wieloma firmami w Polsce, m.in. z bankami, które wymagają od nas najwyższego poziomu bezpieczeństwa skryptów. Wiąże się to z tym, że świadczymy nasze usługi w dwóch modelach, przekazując klientom nasze skrypty, które znajdują się na stronach np. instytucji publicznych, czasami nawet wewnątrz systemów transakcyjnych, oraz udostępniając naszym klientom serwer, na którym zlokalizowane są nasze usługi. W znaczącej większości jednak nasze usługi oraz skrypty są zlokalizowane po stronie klienta i nawet w momencie ataku na nasze serwery haker nie byłby w stanie zaszkodzić np. żadnemu z dużych portali informacyjnych. Po tym incydencie na jednym z portali pojawił się tytuł głoszący koniec polskiego internetu. Problem jednak polega na tym, że nawet ten serwis korzysta z naszych skryptów i mechanizmów wewnątrz własnych serwerów. I administratorzy sieci odpowiedzialni za obsługę serwerów tej firmy są odpowiedzialni za bezpieczeństwo tej infrastruktury. Wszystkie nasze rozwiązania początkowo są sprawdzane w naszej firmie, potem, kiedy trafią do klienta, muszą być przetestowane i sprawdzone przez tego klienta lub firmę zapewniającą usługi z zakresu bezpieczeństwa. Dopiero po sprawdzeniu tacy wymagający klienci pozwalają na obecność naszych skryptów w ich systemach.

Czy Państwa klienci mogą korzystać z autoryzacji i weryfikacji wielostopniowej?

Jest to informacja poufna, więc nie mogę powiedzieć, z jakich rozwiązań korzystamy. Jedyne, co mogę powiedzieć, to to, że ten incydent zmusił nas do tego, by zmienić niektóre procedury na lepsze i bezpieczniejsze. W firmie mamy politykę poziomów bezpieczeństwa, są użytkownicy systemu, którzy nie mają dostępu do ważnych części naszej infrastruktury i wtedy ich autoryzacja jest mniej rygorystyczna. Jednak mamy również takich użytkowników, którzy mają dostęp do ważnych elementów systemu – wtedy ich autoryzacja jest odpowiednia do zasobów, do jakich się logują.

Wszyscy pracownicy przechodzą odpowiednie szkolenia z bezpieczeństwa informacji?

Jest to m.in. związane z wymaganiami ISO 27001. Nie jest tak, że wszyscy pracownicy przechodzą odpowiednie szkolenia z zakresu bezpieczeństwa informacji. Osoby, które nie mają bezpośredniego dostępu do naszej kluczowej infrastruktury, np. pracownicy fizyczni, nie przechodzą takich szkoleń. Jednak osoby mające dostęp do naszych rozwiązań, jak administratorzy systemu, muszą przejść odpowiednie szkolenia. Każdy z pracowników przechodzi szkolenia z takiego zakresu, jakim się zajmuje na co dzień.

Warto jednak pamiętać, że wynajmując powierzchnię biurową, obdarzamy pewnym zaufaniem firmę, która nam ten budynek udostępnia. Od recepcji zależy, czy ktoś dostanie się do samych powierzchni biurowych, tam też są procedury, które powinny być przestrzegane. Musimy jako firma zaufać temu, że np. firma sprzątająca jest odpowiednio certyfikowana.

Tak samo sprawa wygląda przy korzystaniu z kluczy USB. Jest to zdecydowanie uciążliwe, ponieważ nie można podejść do stanowiska komputerowego i przegrać plików, które chcemy np. zabrać ze sobą do domu. Jednak są to procedury, których wymaga od nas norma ISO 27001.

Czy dostęp do systemu jest możliwy na urządzeniach prywatnych użytkowników?

Jesteśmy zobligowani przez normy ISO 27001 do stosowania odpowiednich norm i zachowań przy korzystaniu z dostępu do naszego systemu.

Czy podejrzewają Państwo, kto chciał się włamać do Państwa systemów?

Mamy pewne informacje, znamy przybliżoną lokalizację bazującą na adresie IP, jednak nie musi ona być prawdziwa i zgodna z miejscem, z którego został dokonany atak. Na obecnym etapie śledztwa nie wykluczamy, że haker mógł zastosować najprostszy mechanizm, czyli przekierowanie całego ruchu poprzez serwer proxy.

Powód ataku?

Absolutnie nie znamy powodu ataku. Jest to o tyle trudne do wyjaśnienia, że tak naprawdę atak nie objął najważniejszych części samego systemu. Jedna z hipotez zakłada, że któryś z botów przeczesujących sieć internetową trafił akurat na naszą sieć. Według moich informacji obecnie za ataki odpowiadają w podobnym stopniu roboty i ludzie. Liczba robotów jednak rośnie w ostatnim czasie lawinowo, stąd nasze przypuszczenia, że staliśmy się celem ataku robota, który mógł badać zabezpieczenia przed samym atakiem, wykonanym przez hakera. Jednak równie dobrze mógł to być człowiek, który korzystając z bota, sprawdzał dostęp do naszej sieci. Problem polega na tym, że schematy działania botów oraz ludzi są bardzo do siebie zbliżone.

Do czego uzyskał dostęp haker bądź bot?

Naszym zdaniem najwartościowsze dane, do jakich mógł uzyskać dostęp atakujący, to zaszyfrowane hasła do interfejsu WWW naszych produktów. Chodziło o dostępy naszych klientów oraz dostępy firm do naszego interfejsu. Oprócz haseł atakujący nie mógł uzyskać dostępu do innych danych, naszych skryptów. Żadne dane ani skrypty nie uległy zmianom, sprawdziliśmy to bardzo dokładnie i naszym zdaniem nic nie zostało podmienione w sieci.

Z dużym prawdopodobieństwem stwierdziliśmy, że nie zostały skopiowane żadne dane, może poza ewentualnym skopiowaniem haseł. Wynika to z tego, że w żadnym momencie, kiedy obserwowaliśmy atak, ten osobnik nie miał dostępu do innych danych naszych użytkowników oraz klientów.

Jedyne, co znajdowało się na zaatakowanych maszynach, to były loginy i hasła do interfejsu WWW. Nie wykluczamy, że ktoś mógł próbować, jeżeli posiadł te zaszyfrowane hasła, zalogować się do naszego systemu. Według naszych obserwacji nikt nie logował się po 24 sierpnia za pomocą tych danych, w dodatku po zmianie wszystkich haseł nie ma możliwości zalogowania się za pomocą starych danych.

Czytaj też: Atak hakerski na Gemiusa