Kaip Jūsų super saugi sistema gali būti nulaužta?

Sveiki, šiek tiek ne apie programavimą. O daugiau apie saugumą!

Neseniai pasirodė informacija, kad iš Registrų centro buvo nutekinti jautrūs gyventojų duomenys: galimai adresai, el. pašto adresai ar kita informacija, kuria gali pasinaudoti sukčiai (daugiau apie tai galite pasiskaityti LRT straipsnyje). Tai puiki proga dar kartą paaiškinti gyventojams, kaip dažniausiai yra įsilaužiama į sistemas ir nutekinami duomenys.

Praeityje jau turėjome panašių duomenų vagysčių. Jas puikiai iliustravo Skirmanto Malinausko tyrimas, kuriame buvo pasakojama, kaip sukčiai tiesiog išviliojo administratoriaus slaptažodį (daugiau apie tai: LRT straipsnyje). Būtent čia ir slepiasi apie 95 % visų sėkmingų įsilaužimų priežasčių. Dažniausiai tai nėra pačių sistemų saugumo spragos, o tiesiog manipuliacija įmonės viduje esančiais žmonėmis ir jų apgaudinėjimas vidury baltos dienos.

Žinoma, pasitaiko ir techninių klaidų (pavyzdžiui, „CityBee“ atveju po duomenų migracijos viešame interneto kataloge buvo palikta atsarginė kopija, kurią kažkas tiesiog surado ir pasisavino). Tačiau populiariausias sukčių kelias - prieiga per pačius darbuotojus.

Neretai darbuotojai naudoja darbinius el. paštus asmeniniams poreikiams (pavyzdžiui, neseniai skaitėme, kaip Seimo narių darbiniai el. paštai buvo nutekinti iš „filmai.in“ svetainės). Taip sukčiai sužino darbuotojo el. pašto adresą ir pradeda siųsti apgaulingus (angl. phishing) laiškus:

• Laiške prašoma patvirtinti savo duomenis arba gąsdinama, kad pašto dėžutė pilna ir netrukus bus ištrinta, todėl reikia paspausti nuorodą ir patvirtinti, jog ja naudojatės.
• Prie laiško prisegama tariama sąskaita su vykdomuoju .exe failo plėtiniu. Jį paspaudus, kompiuteryje įdiegiama klavišų paspaudimus fiksuojanti programa (angl. keylogger), kuri įrašinėja viską, ką rašote, ir perduoda duomenis sukčiams.

Tokiu būdu sukčiai gauna administravimo aplinkos nuorodas bei prisijungimo vardus ir slaptažodžius. Tuomet pačios sistemos laužti nebereikia - jie tiesiog prisijungia kaip administratoriai.

Svarbiausios saugumo taisyklės:

• Atskirkite darbą nuo asmeninio gyvenimo: Nenaudokite darbinio el. pašto niekur kitur, tik darbo poreikiams.
• Būkite budrūs dėl įtartinų laiškų: Jei gavote el. laišką, kuris atrodo įtartinas, skambinkite savo IT skyriui arba laišką ištrinkite. Atminkite, kad dėl pašto dėžučių talpos paslaugų teikėjai laiškų su prašymais suvesti duomenis dažniausiai nesiunčia. Be to, tokie laiškai dažnai būna parašyti su lietuvių kalbos klaidomis.
• Nenusileiskite spaudimui telefonu: Jei sulaukėte skambučio su raginimu atlikti veiksmus čia ir dabar (jungtis, tvirtinti duomenis ir pan.) - padėkite ragelį ir užblokuokite skambintoją.
• Nežinomi skambučiai iš užsienio: Jei nesitikite skambučio iš užsienio, o jums skambina iš Latvijos, Estijos ar kitų kaimyninių šalių - nekelkite ragelio ir užblokuokite numerį.
• Tikrinkite nuorodas: Tikrinkite informaciją oficialiose svetainėse, o ne spauskite nuorodas, esančias gautuose laiškuose ar SMS žinutėse.
• Tikrinkite siuntėjo adresą: Nespauskite nuorodų ar prisegtų failų iš neaiškių siuntėjų. Visada pažiūrėkite į tikrąjį el. pašto adresą. Pavyzdžiui, jei matomas siuntėjo pavadinimas yra „MB Menoti“, o tikrasis el. paštas yra asdkfhsakfa@yahoo.com - tai reiškia, kad siuntėjas nėra ta įmonė.
• Dabartinė rizika (Registrų centro kontekstas): Šiuo momentu, kai įvyko Registrų centro duomenų nutekėjimas, tikėtinas scenarijus, kad sukčiai bandys apsimesti šios įstaigos darbuotojais ir prašys patvirtinti paskyras ar kitus duomenis. Taip pat galite sulaukti skambučių, sugeneruotų dirbtinio intelekto (DI) pagalba. Kol kas lietuviškai kalbantis DI girdisi labai aiškiai - jis švepluoja ir kalba nenatūraliai, todėl šią apgaulę tikrai galima identifikuoti.
• Dviejų veiksnių autentifikavimas (2FA) – stipriausia apsauga: Visose paskyrose (tiek asmeninėse, tiek darbinėse), kur tik įmanoma, įsijunkite dviejų veiksnių autentifikavimą (kodas į programėlę arba SMS žinute). Net jei sukčiai sužinos jūsų slaptažodį, jie negalės prisijungti prie paskyros be jūsų telefone esančio patvirtinimo kodo.
• Skirtingi slaptažodžiai skirtingoms sistemoms: Niekada nenaudokite to paties slaptažodžio keliose vietose. Jei nutekės vienos svetainės duomenys, sukčiai iškart bandys tą patį slaptažodį pritaikyti jūsų el. paštui, soc. tinklams ir darbinėms sistemoms. Rekomenduojama naudoti slaptažodžių tvarkykles (angl. Password Managers).
• Oficialių programėlių ir sistemų atnaujinimai: Reguliariai atnaujinkite savo kompiuterio bei telefono operacines sistemas ir naudojamas programas. Gamintojai atnaujinimais ištaiso būtent tas saugumo spragas, kuriomis bando pasinaudoti programišiai.

Nuotrauka asociatyvi, sugeneruota dirbtinio intelekto.