Menu

Funkcjonariusz: platforma open source do szybkiej eksfiltracji danych z komputerów, serwerów, telefonów, tabletów, aparatów cyfrowych i innych urządzeń USB.

kontakt@funkcjonariusz.com

Każde biuro jest inne, a zarazem wszystkie są w pewien sposób podobne. I niemal wszystkie ewoluują: rzadko można dziś spotkać biuro raz urządzone 10-20 lat temu i działające bez zmian. Omówmy pokrótce, jakie zmiany wpływające na możliwość i efektywność ataku zaszły na przestrzeni ostatnich 15 lat - a zwłaszcza ostatnich 2 lat, czyli od początku pandemii COVID-19.

Na charakter biura wpływa kilka czynników, z czego najważniejsze z punktu widzenia planowania ataku to:

  • stopień odgórnego nacisku na dyscyplinę pracy – w dzisiejszych czasach, prawie 4 lata od wejścia w życie RODO, w większości biur stosuje się szereg zabezpieczeń, zaczynając od zasad czystego biura i ekranu, poprzez szyfrowanie dysków twardych, aż po wyrafinowane zabezpieczenia sieci (o wszystkim tym przeczytasz niżej)
  • specyfika branży i działu – np. w biurach IT dużo częściej niż w innych znajdziemy słuchawki, a w biurach, do których fizycznie zaprasza się klientów, często można znaleźć próbki produktów firmy
  • stopień pracy zdalnej w tym konkretnym dziale (o tym również niżej)
  • płeć pracowników (chodzi o "kobiecą rękę" i maskowanie różnych przedmiotów, np. kamer)
  • instalacja elektryczna w budynku (wpływa na możliwość instalowania w różnych zakamarkach przedmiotów wymagających zasilania – rozwijamy ten temat w poradniku o kamerach)

Lista ta oczywiście nie wyczerpuje tematu – natomiast wymienione wyżej czynniki są odpowiedzialne za poniższe komplikacje, których jeszcze kilka-kilkanaście lat temu nie trzeba było brać pod uwagę (jeśli już występowały, to zupełnie marginalnie), dzisiaj natomiast jest to konieczne.

Kwestie prawne

Dla pewności: czy masz tytuł prawny do przeszukiwania czyjegoś lokalu? Zerknij na tą stronę, zanim przejdziesz dalej.

Polityka czystego biurka i ekranu – cóż to takiego?

Polityka czystego biurka i ekranu potrafi w ekstremalnych sytuacjach rozrosnąć się do kilkunastu stron szczegółowych zasad, jak postępować z jakimi dokumentami. Generalnie jednak zasada czystego biurka sprowadza się do tego, że na biurku nie powinny zalegać żadne niepotrzebne do bieżącej pracy dokumenty – bo te mogą zawierać wrażliwe dane, które przez przypadek mógłby dostrzec klient, sprzątaczka, czy inna osoba odwiedzająca biuro.

Szczegółowe wytyczne mogą być różne:

  • wszystkie niepotrzebne rzeczy powinny być trzymane w podręcznej szufladzie (oraz chowane do niej na noc)
  • ...w szufladzie lub szafce z zamkiem
  • wszystkie niepotrzebne już dokumenty powinny być niezwłocznie niszczone w niszczarce do papieru
  • poza dokumentami otrzymanymi na papierze od klienta i ew. bardzo specyficznymi wyjątkami, co do zasady nic nie drukujemy, tylko zawsze pracujemy na wersjach elektronicznych (w dobie COVID-19 i coraz popularniejszej pracy zdalnej, ten wariant staje się coraz bardziej dominujący)

Natomiast zasada czystego ekranu obejmuje najczęściej dwa istotne aspekty:

  • na ekranie nie powinno być elementów niezwiązanych z pracą, np. portali społecznościowych (a już na pewno elementów rzucających się w oczy, np. stron porno, obraźliwych lub innych określanych skrótem NSFW – innymi słowy po prostu pracownik na służbowym komputerze powinien zajmować się tylko pracą
  • na komputerze powinien być aktywowany wygaszacz ekranu z włączonym wymogiem podawania hasła przy odblokowaniu

Oczywiście w praktyce z przestrzeganiem tych zasad bywa bardzo różnie. Specyfika pracy niektórych działów jest wręcz taka, że ciężko się obyć bez kuwet będących kolejkami dokumentów – takie działy są jednak najczęściej lokowane z daleka od oczu klientów, a sam papierowy obieg dokumentów z roku na rok staje się coraz rzadszy.

Praca zdalna? A gdzie się podziały komputery?

Innym trendem, który raczkował już przed pandemią COVID-19, a dzięki niej zaczął galopować, jest przechodzenie całych firm na pracę zdalną. W zasadzie już prawie 2 lata temu polskie media obiegł temat masowej przesiadki firm na pracę zdalną, dzisiaj natomiast słyszy się o chęci powrotu przynajmniej niektórych pracowników do biur.

Niezależnie od tego, jak dalej będzie się rozwijać sytuacja z COVID-19, powinieneś w swoich planach uwzględnić fakt, że spora część komputerów służbowych będzie każdej nocy poza biurem.

A dlaczego ten komputer się nie włącza?

Równolegle do pracy zdalnej, wraz z rozwojem technologii rozwinął się także kolejny trend, do szyfrowania dysków twardych w komputerach. Na dzień dzisiejszy, w firmach dbających o bezpieczeństwo IT, jest to standardem co najmniej dla wszystkich laptopów i innych urządzeń, które choćby potencjalnie mogą opuszczać biuro – a coraz częściej szyfrowane są również urządzenia, które nigdy tego biura nie opuszczą.

Najczęściej stosuje się następujące standardy (i zarazem narzędzia) do szyfrowania dysków:

  • Windows – Microsoft Bitlocker (wbudowany w Windows w wersjach Professional i Enterprise, współpracuje z AD i umożliwia zdalne zarządzanie komputerami), VeraCrypt (dawniej TrueCrypt, stosowany raczej przez konkretne osoby na własną rękę)
  • LinuxLUKS (do szyfrowania dysków), eCryptfs (do szyfrowania katalogów domowych)
  • Mac OSApple FileVault

Z tego poradnika dowiesz się, jak sobie radzić z zaszyfrowanymi dyskami – bo jak najbardziej są do tego narzędzia. Niestety – narzędzia narzędziami, ale przede wszystkim potrzebne będą klucze szyfrujące, hasła i PIN-y.

DLP, EDR, SIEM – co to za dziwne skróty?

Na tzw. zdrowy rozum można by pomyśleć, że najprostsza i najlepsza metoda skopiowania plików z komputera na dysk zewnętrzny, to po prostu podłączenie tego dysku do włączonego komputera i uruchomienie kopiowania z poziomu Windows. I rzeczywiście, tak bywa najprościej (jeśli tylko nikt na tym komputerze nie zablokował dostępu do urządzeń USB).

Ale czy taka operacja będzie zawsze bezpieczna? Wejście do czyjegoś biura tą lub inną techniką i skopiowanie danych to jedno – ale wykonanie tego w taki sposób, aby nie uruchomić żadnego mechanizmu alarmowego, który przerwie nam pracę, to już zupełnie co innego. Tym bardziej, że na dzisiejszych komputerach takich mechanizmów alarmowych jest mnóstwo: od klasycznych programów antywirusowych, poprzez Data Leak Prevention (DLP), Endpoint Detection and Response (EDR), czy Security Information and Event Management (SIEM), aż po systemy kontroli czasu pracy, które w ramach "bonusa" dla nadgorliwych pracodawców mają też zaszyte rozmaite narzędzia inwigilacyjne.

W tym poradniku wyjaśniamy, czym dokładnie są wspomniane systemy i jak nie dać się im złapać.

Czy sieć biurowa działa? Co to jest 802.1X?

No dobra, więc idąc za naszą radą wyłączyłeś na atakowanym komputerze Windows, masz też przygotowane nośniki z odpowiednimi narzędziami, oraz skonfigurowanymi kluczami szyfrującymi, które wcześniej kupiłeś po znajomości od pracownika Service Desku. Wszystko super, tylko dlaczego te narzędzia po starcie nie dostają z DHCP adresu IP?

Otóż prawdopodobnie masz do czynienia z siecią zabezpieczoną w standardzie IEEE 802.1X. Nie wnikając w szczegóły techniczne, działa to w ten sposób, że komputer przed uzyskaniem adresu IP "przedstawia się" specjalnemu serwerowi unikalnym loginem i hasłem, albo częściej certyfikatem. Certyfikat taki jest najczęściej generowany imiennie i ręcznie wgrywany na poszczególne komputery w ramach ich przygotowywania dla nowych pracowników.

Jak prosto zweryfikować, czy masz do czynienia z taką właśnie siecią? Dobrym pomysłem jest użycie telefonu IP firmy Cisco – o ile oczywiście w atakowanym biurze takowy znajdziesz. Telefon taki można wpinać do kolejnych portów sieciowych, a następnie w ustawieniach sieci sprawdzać, czy dany port jest w ogóle podłączony i czy telefon dostał na nim adres.

Uśmiech! Jesteś w ukrytej kamerze!

Kamery do monitoringu wizyjnego to nic nowego – jednak w ostatnich 10 latach bardzo mocno rozwinął się segment kamer dla odbiorców prywatnych, do monitoringu domów, w przystępnych cenach. W momencie publikacji tego artykułu można kupić np. markową kamerę obrotową, która wykrywa ruch i zapisuje obraz w jakości HD na karcie MicroSD (a więc nie wymaga rejestratora), oraz współpracuje ze smartfonem, za ok. 150 zł.

Temat kamer i innych urządzeń tego typu rozwijamy w tym poradniku. To co powinieneś wiedzieć już dzisiaj i brać pod uwagę jako jedno z większych zagrożeń, to że w dzisiejszym biurze możesz natknąć się już nie tylko na centralny monitoring założony przez pracodawcę, ale w poszczególnych pokojach pracownicy mogą stosować taki sprzęt na własną rękę.

A co ze śladami biologicznymi i biometrycznymi?

Metody zbierania śladów na potrzeby analizy kryminalistycznej również ewoluują – może nie tak szybko, jak w ostatnich latach ewoluowały tanie kamery, z pewnością jednak metody zapobiegawcze stosowane 30 lat temu (czyli głównie rękawiczki) nie są już dzisiaj wystarczające, aby na 100% uniknąć pozostawienia śladu w jakimś przypadkowym miejscu.

Dlatego też:

  • w trakcie właściwego ataku staraj się w ogóle nie dotykać niczego bez konkretnej potrzeby, nie wchodzić do nieistotnych pomieszczeń itd. – m.in. właśnie ze względu na ryzyko mimowolnego pozostawienia różnych drobnych śladów biologicznych
  • mimo wszystko nie rezygnuj z rękawiczek (za to wybierz jak najcieńsze, nie krępujące ruchów palców), przemyśl też noszenie maseczki (w dzisiejszych czasach masz ku temu świetny, naturalny pretekst)
  • po wszystkim bądź gotowy na bycie przesłuchiwanym, w tym na wiele szczegółowych, a zarazem niewygodnych pytań, jak również na techniki podchwytliwe typu "na raka":
    • przemyśl w razie czego pełną linię obrony, na wypadek gdyby miało dojść do postawienia Ci zarzutów – załóż przy tym, że osoby przesłuchujące mogą dysponować dowodami w postaci Twoich śladów biologicznych, jak i nagrań z kamer – skup się więc na historii, którą możesz do tych śladów dopowiedzieć, a której nie da się obalić
    • miej przećwiczony całościowy scenariusz zdarzeń, jakie miały miejsce, z możliwie szczegółową chronologią – nie ma sensu niczego ukrywać (wręcz jest to najprostszy sposób "podłożenia się" przy przesłuchaniu przez fachowców), lepszym pomysłem jest znalezienie możliwie dobrych (i weryfikowalnych) uzasadnień
    • jeśli zdajesz sobie sprawę, że robiłeś podczas ataku coś, czego nie da się wytłumaczyć "profesjonalnym" uzasadnieniem, a jest to coś "drobnego", co można wytłumaczyć ludzkimi słabościami (np. zjadłeś czyjeś ciasto, które zastałeś w atakowanym biurze), rozważ użycie takich szczegółów jako przynęty odciągającej przesłuchujących od ważniejszych i "grubszych" spraw