29.08.2013

Komu dane firmowe? Tanio sprzedam!

Czy w Twojej firmie/instytucji ostatnio pozbywano się starego sprzętu elektronicznego? A może oddawałeś sprzęt po leasingu? Jeśli tak, to być może twoje skrzętnie chronione dane właśnie są przeglądane przez nowych właścicieli. Z jednej strony wymogi prawne (i zdrowy rozsądek) nakazują ochronę danych, z drugiej strony jednak chęć minimalizacji kosztów prowadzi do ignorowania zasad bezpieczeństwa. W końcu - kto by tam szukał czegoś w starym sprzęcie? Otóż, niestety, całkiem sporo osób, które zdobytą wiedzę mogą wykorzystać w najróżniejszy sposób...

Ruter z danymi banku do kupienia za 50 zł

Przedwczoraj, w serwisie zaufanatrzeciastrona.pl opublikowano informację o ciekawym znalezisku osoby, która za bardzo niską cenę kupiła w serwisie aukcyjnym używany i uszkodzony ruter Cisco (w celu naprawienia, lub uzyskania części zamiennych do naprawy innych urządzeń). W tym przypadku uszkodzenie polegało na braku kości pamięci, po ich wstawieniu okazało się, że ruter należał kiedyś do banku PKO BP SA i żąda hasła dostępu. Uruchomienie rutera w trybie ROMmon umożliwiło jednak, bez konieczności podawania hasła, dostęp do pliku konfiguracyjnego urządzenia. Co było w środku?

"Nie zamierzamy publikować samego pliku, jednak możemy opisać jego zawartość. Ostatnia aktualizacja konfiguracji miała miejsce w październiku 2009, zatem dane zawarte w pliku są już zapewne w dużej mierze nieaktualne. Dotyczy to możliwych do łatwego odzyskania (Cisco Type 7) haseł dostępu do serwera TACACS+, kont dostępu do urządzenia, list kontroli dostępu czy też adresów IP różnych istotnych elementów sieciowych. W pliku można także zauważyć problemy takie jak brak uwierzytelnienia BGP oraz EIGRP, zbędne konta użytkowników, wykorzystanie cudzych publicznych adresów IP czy brak optymalizacji list kontroli dostępu i konfiguracji polityk BGP. Na końcu artykułu znajdziecie szczegóły analizy konfiguracji, przeprowadzonej przez zaprzyjaźnionego inżyniera sieciowego." Z uwagi na długość szczegółowej analizy, zainteresowanych odsyłamy do artykułu źródłowego. Nie ulega jednak wątpliwości, że poprzez fakt dostępności takiego sprzętu do kupienia bezpieczeństwo danych zostało narażone.

Co na to bank?

"Polityka bezpieczeństwa PKO Banku Polskiego nie przewiduje odsprzedaży urządzeń zawierających jakiekolwiek dane. Urządzenia, które posiadają pamięć mogą być oddane lub sprzedane dopiero po zakończonym procesie utylizacji danych. W wyniku procesu utylizacji, pamięć i nośniki informacji oraz przechowywane na nich dane zostają trwale zniszczone. Należy jednak podkreślić, że dane zawarte na wskazanych przez Pana urządzeniach były zdezaktualizowane już w chwili gdy urządzenia przekazano do zutylizowania. Dane nie mogłyby być więc wykorzystane na szkodę PKO Banku Polskiego i naszych klientów.

Przekazanie urządzeń poza Bank nastąpiło w wyniku złamania obowiązujących przepisów i zasad bezpieczeństwa. Po zakończeniu ustaleń PKO Bank Polski podejmie dalsze skuteczne działania w celu wyeliminowania możliwości zaistnienia podobnych przypadków w przyszłości."

Warto aby takim trwałym zniszczeniem danych zajmowali się specjaliści, tak, by stosowana metoda niszczenia gwarantowała niemożliwość odtworzenia danych - co jest zresztą wymagane przez polskie prawo.

Stary sprzęt na portalach aukcyjnych

Używane dyski twarde do kupienia na jednym z portali aukcyjnychPKO nie jest jedyną firmą, której stary sprzęt można było znaleźć na portalach aukcyjnych - w tym samym artykule źródłowym wskazano, że ten sam użytkownik już wcześniej odkrył wcześniejszych właścicieli zakupionego używanego sprzętu: "znalazł w jednym z przełączników plik konfiguracyjny wskazujący na pochodzenie urządzenia z firmy budującej platformy wiertnicze". Autorzy przypomnieli także przypadek oddania na złom japońskiego okrętu patrolowego z nietkniętym zapisem pokonywanych tras, co mogło być bardzo przydatne dla wszystkich zainteresowanych nielegalnym dostaniem się do Japonii.

Natomiast w komentarzach pod artykułem użytkownicy napisali:

UlrichVon: "Dwa miesiące temu kupiłem na Allegro Catalyst 3550-12T. Przyjechał z oryginalną konfiguracją firmy leasingowej z Brighton w UK. Hasła, adresacja prywatna, publiczna, hasła Cisco 7. W SNMP informacja o fizycznej lokalizacji (serwerowni?). Przed chwilą, zanim przeczytałem ten artykuł, postawiłem pod biurkiem drugi egzemplarz. Ciekawe co będzie tym razem…"

Lukas: "Taka sama akcje mialem wiele lat temu z jednym z urzedow pobierajacyh myto od wjazdu lub wyjazdu z kraju (CELowo nie pisze o jaki urzad chodzi). Dyski z danymi, routery i pare innych nosnikow znalazlo sie w sprzedazy po rzekomym „wipingu” a po glebszym szperaniu okazalo sie, ze wsyzstko gdzies tam nadal bylo."

W jaki sposób używane nośniki mogą znaleźć się na portalu aukcyjnym? Najprostszym powodem jest chęć odzyskania części wartości zużytego nośnika. Niektóre nieświadome osoby i firmy wierzą jednak, że polecenie "usuń" ("delete"), lub formatowanie zabezpieczy ich dane przed dostępem osób nieuprawnionych - przykładem pokazującym, że nie jest to prawdą, jest eksperyment Polskiej Akademii Nauk, w którym zebrano około 200 dysków twardych, z których właściciele usunęli swoje dane (z aukcji internetowych, sklepów z używanym sprzętem elektronicznym, od prywatnych darczyńców) i w ciągu 2 miesięcy przeprowadzono ich analizę przy użyciu ogólnodostępnego oprogramowania.

W trakcie analizy odzyskano szereg różnych informacji, w tym:

  • historię firm,
  • szczegółowe dane osobowe,
  • dokumenty tożsamości,
  • numery kont bankowych,
  • zestawienia transakcji,
  • zeznania podatkowe PIT,
  • kosztorysy inwestycji,
  • umowy z innymi firmami,
  • hasła do kont email,
  • dane teleadresowe,
  • listy płac,
  • bazy danych,
  • archiwa rozmów GG,
  • dowody niewierności małżeńskiej (korespondencja, zdjęcia, adresy, telefony)

Co można zrobić już z częścią danych odzyskanych z używanych nośników danych?

Wczorajszy artykuł na portalu wyborcza.pl wskazuje, że "wystarczy twoje nazwisko, numer dowodu osobistego i PESEL, by wrobić cię w kredyt. Gdy komornik zapuka do drzwi, jesteś bezradny." Czemu? "wrobienie nieznajomych w kredyt było tak proste, ponieważ dane wykorzystanych osób podane w formularzu były prawdziwe (nie licząc adresu). Bank - zgodnie ze standardową procedurą - sprawdził tylko to, czy dowód o podanym numerze nie figuruje w międzybankowej bazie dokumentów zastrzeżonych. Nie było go tam, bo dokument nie zginął.

Takie potwierdzenie wystarczyło, by wysłać kuriera z przesyłką i umową kredytową. Ten przed podpisaniem umowy powinien sprawdzić tożsamość klientów. Nie sprawdził. Wystarczył mu podpis na formularzu - nabazgrane nazwisko zamawiającego."

Dane mogą trafić na portale aukcyjne bez wiedzy i woli właścicieli

Urządzenia oraz nośniki z ważnymi danymi trafiają do sprzedaży nie zawsze tylko dlatego, że właściciele postanowili zastąpić je nowymi, czasem jest to niezależne od ich woli. Przykładowo: gdy skończy się okres leasingu firma ma możliwość odkupić używany sprzęt za jakąś kwotę, lub oddać go firmie od której wzięła go w leasing. Jeżeli wraz ze sprzętem odda się dyski twarde, to traci się kontrolę nad tym, co dzieje się z danymi zawartymi na nich. Firma, która przyjęła używany sprzęt zwykle nie zamierza go sama używać, prawie na pewno też nie opłaci niszczenia tego sprzętu, tylko odsprzedaje go dalej - i nagle może się okazać, że mimo świetnego systemu zabezpieczeń przed hakerami, złodziejami i niezadowolonymi pracownikami wynoszącymi firmowy sprzęt, dane firmy zostają ujawnione.

Podobny problem jest przy oddawaniu popsutych dysków do naprawy - gwarancyjnej lub nie. Zdarza się na przykład, że w ramach gwarancji nie otrzymuje się z powrotem naprawionego nośnika, tylko inny, podobny. Co dzieje się z uszkodzonym nośnikiem? Istnieje prawdopodobieństwo, że gdy dotrze do serwisanta, to okaże się, że uszkodzenie było niewielkie i dysk nadal nadaje się do użytku. Może więc trafić do kolejnej osoby oddającej dysk na gwarancji, lub... na portal aukcyjny do sekcji używanego sprzętu.

Analogiczne niebezpieczeństwo dotyczy naprawy nośników w różnych serwisach naprawczych - istnieje możliwość, że wycena kosztu naprawy przewyższy wartość dysku w oczach właściciela, który wobec tego zostawi go w serwisie jako elektrośmieć (pamiętajmy, że prawo zakazuje wyrzucania elektroodpadów do zwykłych koszy, trzeba je oddać do wyspecjalizowanych punktów). Taki zakład może jednak nie zawsze mieć pełne obłożenie pracą i może stwierdzić, że w czasie gdy nie ma zleceń, warto jest zająć się naprawą tych pozostawionych dysków i - sprzedażą ich na portalu aukcyjnym (albo, co gorsza - oprócz naprawy jakiś nieuczciwy serwisant może odzyskać dane z takiego dysku).

Jeszcze inne niebezpieczeństwo czycha na tych, którzy w przetargach lub zapytaniach podkreślają, że jedynym kryterium oceny oferty jest najniższa cena. Dlaczego? Bo najniższa cena zwykle oznacza też najniższe bezpieczeństwo - jeżeli oferowana cena zniszczenia jest niższa niż koszt utylizacji, to bardzo możliwe, że "niszczenie" dysków ograniczyło się do sprzedania ich na złom (i ewentualnego wystawienia certyfikatu "potwierdzającego" zniszczenie). Jakie to ma znaczenie dla bezpieczeństwa?

Drodzy czytelnicy, w trakcie niszczenia dysków twardych za pomocą technologii LiquiDATA, całkowitemu i nieodwracalnemu zniszczeniu ulega sam nośnik danych, czyli znajdujące się w dyskach talerze - obudowa pozostaje nienaruszona i nadaje się do recyklingu. Analizując różne możliwości takiego recyklingu pytaliśmy między innymi także na skupach złomu ile zapłacą za tonę takich obudów. Otóż okazuje się, że jeżeli talerze dysków (ważące ok. 30 gramów  i wcale nie zawierające najcenniejszych dla recyklingu składników, podczas gdy cały dysk waży ok. 600 gramów) są wymontowane z obudowy, to kwota jaką skupy są chętne zapłacić za takie obudowy, jest wielokrotnie mniejsza, niż gdyby dyski były nienaruszone. Co jest tam tyle warte, żeby dawać tak różne kwoty w obu przypadkach? Wnioski wyciągnijcie sami...

Certyfikowany Instytut Niszczenia Danych Sp. z o.o.
ul. Stanów Zjednoczonych 4, 54-403 Wrocław
Al. 1 Maja 87, 90-755 Łódź

bok@niszczenie.pl
+48 717 237 000