09.01.2014

Co ciekawego można znaleźć na czyimś dysku twardym?

Amerykański dziennikarz, Adam Penenberg, przeprowadził niedawno bardzo interesujący eksperyment - wynajął hakerów, żeby sprawdzić jakie informacje na temat jego osoby uda im się pozyskać (i jakie szkody przy okazji poczynić), a następnie opisał zarówno przebieg prób hakerów, jak i to, do czego udało się im dotrzeć. Warto przy tym zwrócić uwagę, że właściwie wszystkie ważne zdobyte informacje hakerzy zdobyli dopiero po uzyskaniu dostępu do jego domowego dysku twardego. Oznacza to tym większą konieczność zapewnienia ochrony dyskom twardym - jeżeli pozyskają oni dostęp do zawartych na nich danych, to może się okazać, że jakiekolwiek sumy wydane na zabezpieczenie przed ich włamaniem się do firmowej, czy domowej sieci, zostały wydane na próżno. Sam dziennikarz podkreśla bowiem: "Wystarczy tylko posiadać wystarczającą cierpliwość i know-how żeby przebić się przez czyjąś prywatność - i, jeśli tak się wybierze, żeby uczynić zniszczenie w jego finansach i zniszczyć mu reputację".

Adam Penenberg kilkanaście lat wcześniej przeprowadził już podobny eksperyment - wynajął prywatnego detektywa, żeby sprawdzić, co jest w stanie znaleźć na jego temat dla potencjalnego klienta, mając do dyspozycji tylko jego imię, nazwisko i miejsce pracy. Wynikami było: adres, numer ubezpieczenia społecznego (amerykański PESEL), panieńskie nazwisko matki, pensję, listę połączeń międzymiastowych, wysokość czynszu i rachunków za media, listę rachunków bankowych oraz spis posiadanych akcji - a to wszystko w ciągu zaledwie tygodnia. Dziennikarz postanowił więc powtórzyć ów eksperyment przy dzisiejszym stanie techniki i zatrudnił profesjonalną firmę przeprowadzającą testy penetracyjne w roli hakerów mających za zadanie dowiedzieć się na jego temat jak najwięcej, i to przy ścisłym warunku nie łamania prawa (w stosunku do kogokolwiek poza nim samym i jego żoną) oraz nie angażowania w to dzieci dziennikarza (oczywiście w standardowej sytuacji hakerzy nie będą tak uprzejmi). Cała historia opisana jest na portalu pando.com (z perspektywy dziennikarza), na portalu blog.spiderlabs.com (z perspektywy hakerów), a jej polskie streszczenie dostępne jest na portalu niebezpiecznik.pl, do których to miejsc odsyłamy zainteresowanych (wszystkie użyte tu zdjęcia pochodzą z któregoś z tych źródeł), natomiast w niniejszym artykule zajmiemy się szczegółowo tylko kwestią dostępu do dysku twardego.

Jak zdobyć dane ofiary?

Swoje działania hakerzy ze SpiderLabs rozpoczęli od zebrania możliwie dużej ilości informacji o ofierze, w tym między innymi adresu jego domu oraz biura, tego, że jest miłośnikiem produktów Apple, oraz, że jego żona prowadzi studio gimnastyki pilates. Na tej podstawie przygotowali wstępny plan, obejmujący dziewięć kierunków i metod ataku:

  1. Planowane kierunki działań hakerówFizyczne włamanie do domu dziennikarza i instalacja złośliwego oprogramowania na jego komputerze
  2. Identyfikacja domowej sieci WiFi i atak na WPS
  3. DoS na jego ruter bezprzewodowy i podstawienie innego z tym samym SSID, by przejąć ruch sieciowy
  4. Wysłanie złośliwego oprogramowania emailem dziennikarzowi i jego żonie
  5. Atak na sieć firmy żony dziennikarza
  6. Atak na sieć w biurze dziennikarza (i ewentualnie zdobycie dostępu do jego laptopa, jeśli nadarzyłaby się okazja)
  7. Podrzucenie zainfekowanych napędów USB w okolicy domu dziennikarza i w firmie jego żony
  8. Skuszenie dziennikarza do odwiedzenia spreparowanego bloga, przez co mogliby zainfekować jego komputer
  9. Nawiązanie współpracy z projektantem bloga dziennikarza, żeby wykonał podobny blog dla hakerów, przez co mogliby wykraść jego dane identyfikacyjne w celu zdobycia kontroli nad blogiem Adama

Zauważalny jest brak prób pozyskania samego dysku twardego, ale wiele z tych kierunków koncentrowało się na zdobyciu dostępu do niego - wynikało to zapewne z tego, że hakerzy mieli zdobyć te informacje możliwie niezauważalnie, ale gdyby dziennikarz (lub jego żona), akurat pozbywaliby się dysku twardego, to najprawdopodobniej nie zostałoby przez nich pominięte. 

Porażki i zwycięstwo

Jedno z urządzeń wykorzystanych przez hakerówNiektóre ataki okazały się niemożliwe, lub nieudane - włamanie do jego domu lub biura wymagałoby przejścia przez teren innych osób (czyli złamałoby przepisy w stosunku do kogoś innego niż dziennikarz), identyfikacja domowej sieci w gąszczu około 1200 okolicznych sieci okazała się zbyt trudna, nikt też nie zainteresował się podrzuconym pendrive w firmie jego żony. Czujni sąsiedzi częściowo przepłoszyli też obserwujących jego mieszkanie hakerów - byli oni zmuszeni badać ich domowe zwyczaje z nieco dalszej odległości - z wynajętego samochodu, przez lornetkę z pobliskiego parku i przez okno z budynku naprzeciw pracy jego żony. Jeden z ataków nie udał się w wyniku lenistwa dziennikarza - w jednym ze swoich artykułów napisał, że ma zbyt wiele książek w piwnicy i zaprasza każdego, kto ma na to ochotę, Inne z używanych przez hakerów urządzeńżeby zabrał część książek i zawiózł do dowolnie wybranej przez siebie biblioteki lub fundacji - hakerzy natychmiast wykorzystali tą okazję i przez podstawioną osobę chcieli dostać się do środka domu, ale ostatecznie dziennikarz odwołał zaproszenie, tłumacząc się, że musi najpierw skatalogować swoje książki. Kolejny atak okazał się nieudany ze względu na zbyt stare oprogramowanie komputera w pracy żony dziennikarza, na którym podstawiona osoba poprosiła o możliwość wydrukowania "CV" potrzebnego do rozmowy o pracę mającej się odbyć zaraz po zajęciach pilates - oprogramowanie było tak dawno nieaktualizowane, że projektant złośliwego oprogramowania nie wziął pod uwagę, że jeszcze ktokolwiek mógłby go używać, co - paradoksalnie - tym razem uchroniło właściciela od ataku.

Hakerzy czający się w jednym z wynajętych samochodówInny atak nie powiódł się w wyniku ostrożności Adama - otrzymał on od "przyszłego studenta dziennikarstwa" pytanie o pewne kwestie dotyczące uczelni, na której on uczył, oraz załącznik z portfolio w formacje .jar - był to nieznany dziennikarzowi typ pliku, więc go nie otworzył. Na marginesie można dodać, że jest to bardzo rozsądna postawa: jeżeli nie zna się typu przesyłanego nam pliku, a tym bardziej, jeżeli otrzymuje się go od nieznajomej osoby, nigdy nie należy go otwierać. 

Jeden z maili użytych do atakuJego żona niestety nie była tak uważna i otworzyła plik .jar od potencjalnej kandydatki na pracownicę (hakerzy użyli danych i historii prawdziwej osoby, pod którą się podszyli i która nic nie wiedziała na ten temat - wzięli informacje z jej strony internetowej, użyli tylko własnego adresu e-mail), szczęście jednak jej sprzyjało, ponieważ w złośliwym oprogramowaniu ukrytym w wideo z portfolio tej kandydatki był błąd (autor nie przewidział, że powinno się ono ponownie uruchomić po powrocie komputera ze stanu uśpienia - program świetnie działał przy restartach, ale nie poradził sobie z trywialnym zamknięciem ekranu komputera). Hakerzy jednak szybko naprawili tą pomyłkę tłumacząc, że "wideo nie zadziałało, ponieważ to był pierwszy raz, kiedy przesyła portfolio do odtworzenia na Macu, ale już przesyła wersję, która powinna się otworzyć" - i, rzeczywiście się otworzyła - dając hakerom pełny dostęp do jej komputera kiedykolwiek był podłączony do Internetu. W tym momencie poprzednie porażki przestały mieć znaczenie - znaleźli swoje Eldorado. Atakujący ma bowiem ten luksus, że może atakować z wielu kierunków, a wystarczy, żeby powiódł się tylko jeden z jego ataków - ofiara musi obronić się przed każdym.

Co hakerzy znaleźli na dysku twardym?

Okazało się, że w komputerze żony dziennikarza znajdowało się wszystko, czego potrzebowali hakerzy:

  • zeznania podatkowe, zawierające wszystkie ważne dane osobowe i finansowe całej rodziny.
  • kopie kart kredytowych
  • wyciągów bankowych
  • zaszyfrowane hasła przechowywane w systemie (nie mogli ich odczytać nie znając głównego hasła, ale stworzyli prostą aplikację proszącą użytkownika o ponowne podanie głównego hasła – i wkrótce szyfrowanie przestało być problemem)
  • dane domowej sieci WiFi (razem z hasłem - teraz już mogli się do niej podłączyć)
  • login oraz hasło do głównego rachunku bankowego rodziny dziennikarza w ich banku (oraz ciasteczka pozwalające ominąć dwuskładnikowe uwierzytelnienie wymagane banku przy logowaniu z nieznanego wcześniej komputera lub sieci)

To już samo w sobie było dużo i pozwoliłoby zruinować finansowo jego rodzinę, gdyby hakerzy tak wybrali, ale nie były to wszystkie znaleziska - otóż w komputerze jego żony, na dysku znajdowały się stare pliki dziennikarza. Kilka lat wcześniej przekazał jej swój stary laptop nie zadając sobie trudu, żeby usunąć z niego wcześniej dane. Po kilku miesiącach ten stary laptop się zapalił - stopiła się klawiatura oraz płyta główna, dysk przetrwał jednak pożar. Obsługa sklepu, do którego zaniósł resztki laptopa, przeniosła ten stary dysk do nowego laptopa - i zaczął on działać. Następnie ten sam stary dysk był przenoszony jeszcze do dwóch lub trzech coraz to nowszych komputerów i przez wszystkie te lata stare pliki dziennikarza były przenoszone razem z dyskiem, zupełnie bez jego świadomej wiedzy na ten temat.

Czy po tak wielu latach na dysku mogło pozostać coś wartościowego?

Hakerzy przeszukujący otoczenie domu - grafika autorstwa Adama PenenbergaJeden z zachowanych plików zawierał hasła do różnych internetowych kont dziennikarza, w tym do sklepu Amazon. Można by powiedzieć: I co z tego? Ale właśnie tu leżał klucz sukcesu ekipy hakerów. Ów dziennikarz, podobnie jak wielu ludzi, opracował sobie własny system tworzenia haseł - oczywisty dla niego, ale trudny do odgadnięcia dla innych. Gdy jednak hakerzy mogli porównać tych ileś starych haseł, to w dość krótkim czasie rozpracowali metodę dziennikarza - przez co zdobyli dostęp do wszystkich jego kont, gdziekolwiek je zakładał.

Rezultaty braku zniszczenia danych ze starego dysku twardego

Hakerzy włamujący się do komputera - grafika autorstwa Adama PenenbergaDzięki zapomnianym danym znalezionym na nieużywanym przez wiele lat przez tego dziennikarza dysku twardym, hakerzy przejęli jego konto Twittera, Facebooka, zamówili przez Amazon 100 plastikowych pająków z dostawą do jego domu, włamali się na jego konto w chmurze iCloud i wysłali stamtąd do niego e-maila z informacją: "Byliśmy tutaj". Będąc w tej chmurze aktywowali aplikację "znajdź mój iPhone", która dzięki Apple działa również w stosunku do laptopów - efektem jej działania było przełączenie laptopa i telefonu dziennikarza w tryb "ukradziony": laptop się zablokował, zresetował i wyświetlił pole do wpisania specjalnego hasła właściciela do odblokowania, telefon się zablokował i zaczął szaleńczo piszczeć i wibrować.

Gdyby hakerzy mieli złe zamiary, to mogliby bez wątpienia zrobić o wiele więcej, jak chociażby: zruinować go finansowo, zniszczyć jego reputację, podszyć się pod niego i przez jakiś czas w jego imieniu popełniać przestępstwa... 

Potrzeba skutecznego niszczenia danych

Można więc zauważyć jak wielkie niebezpieczeństwo związane jest z brakiem skutecznego usuwania danych. Gdyby bowiem te stare dane zostały bezpowrotnie zniszczone, ostateczne rezultaty działania hakerów byłyby znacząco mniejsze - albo przynajmniej wymagałyby zaangażowania o wiele większych środków finansowych z ich strony. Współczesny stan techniki oraz przykłady odzyskania utraconych danych pokazują, że o prawdziwie skuteczne usunięcie danych z dysku twardego jest naprawdę trudno - większość metod tylko utrudnia, lub zwiększa koszty ich odzyskiwania. Aktualnie jedynymi metodami niszczenia danych, które nie pozostawiają nawet materiału do analizy przez specjalistów są metody chemiczne, jak technologia LiquiDATA, rozpuszczająca dyski w ciecz, oraz metody termiczne, zmieniające je w pył.

Dziennikarz, podsumowując tą historię, powiedział, że chociaż zmienił hasła i loginy, to przestał się łudzić, że jest bezpieczny przed wścibskimi oczami - jeśli komuś naprawdę zależy, to mając odpowiednie umiejętności, środki i determinację, jest w stanie dotrzeć do prywatnych danych każdego (dodajmy: kto ich wcześniej skutecznie nie zniszczył) i zakończył swój artykuł słowami: "A jeśli ja nie jestem bezpieczny, to czy ty jesteś?"

Certyfikowany Instytut Niszczenia Danych Sp. z o.o.
ul. Stanów Zjednoczonych 4, 54-403 Wrocław
Al. 1 Maja 87, 90-755 Łódź

bok@niszczenie.pl
+48 717 237 000