Publikacje

Drukarka – Twój prywatny koń trojański

ANALIZA: Drukarka – Twój prywatny koń trojański. O zagrożeniach w dobie Internetu Rzeczy

Informacja to obecnie najdroższy produkt na rynku towarów i usług. Jest ona nieodzownym elementem życia codziennego, a w dobie pokolenia always on zasadniczym komponentem wszystkich smart aplikacji, z których korzysta już cały świat. Warto jednak pamiętać o tym, że informacja poza dystrybucją cyfrową, nadal przelewana jest na papier i funkcjonuje w wersji analogowej. Równolegle z elektronicznym obiegiem informacji i dokumentów, ciągle korzysta się z klasycznych form ich dostarczania. Oczywiście  w XXI w. większość osób nie sporządza ręcznych notatek, tylko są one rozpowszechniane za pośrednictwem różnego rodzaju urządzeń drukujących i wielofunkcyjnych. W związku z tym coraz więcej producentów sprzętu poligraficznego zaczyna zwracać uwagę na potencjalne zagrożenia z tym związane oraz zwiększać świadomość swoich klientów na temat bezpieczeństwa drukowanych i archiwizowanych w formie cyfrowej dokumentów.


Jesteś tak bezpieczny jak Twój sprzęt – drukarka jako brama do naszych tajemnic

Bieżący rok pokazał wiele zagrożeń płynących z sieci Internet. Ransomware`y takie jak WannaCry czy Petya pokazały światu, że masowa infekcja komputerów jest możliwa. W trakcie trwania oraz już po zakończeniu ataków, wszelkie analizy zagrożeń wskazywały głównie na nieaktualne oprogramowanie Microsoftu. Kilka miesięcy po okazuje się, że do tak masowej infekcji komputerów mogły się również przyczynić m. in. drukarki i urządzenia wielofunkcyjne, które połączone są z grupami komputerów za pomocą sieci LAN i mogą być zarządzane z poziomu Internetu. Fakt ten dotyczy urządzeń, które nie zostały należycie zabezpieczone przez administratorów, tak aby osoby postronne nie miały dostępu do naszego urządzenia.

Obecnie dostępne urządzenia drukujące i wielofunkcyjne to pełnoprawne komputery. Im większe i wydajniejsze urządzenie, tym parametry komputera zarządzającego urządzeniem są mocniejsze. Jak każdy komputer, drukarka również potrzebuje systemu operacyjnego, za pomocą którego będą sterowane procesy drukowania, a w przypadku urządzeń wielofunkcyjnych, również kopiowania i skanowania. Jeżeli takie urządzenie jest wpięte do sieci LAN, a ta pozwala mu na łączenie się z Internetem, to w przypadku luk bezpieczeństwa urządzenie to może posłużyć jako brama pozwalająca na włamanie się do cyfrowych zasobów przedsiębiorstwa lub domu. Na pokładzie takiego urządzenia można zainstalować dodatkowe oprogramowanie umożliwiające swobodną inwigilację i zarządzanie infrastrukturą teleinformatyczną.

Problemu z penetracją lokalnej sieci nie będzie, jeżeli ta zostanie dobrze zabezpieczona przed intruzami. W przypadku gdy osoby postronne posiadają dostęp do takiego urządzenia, mogą wykorzystać go do przechwytywania dokumentów.  Przykładowo, kiedy przemysłowe urządzenie wielofunkcyjne  pozwalające na drukowanie, kopiowanie i skanowanie (które w takich urządzeniach zazwyczaj wysyłają skanowane dokumenty bezpośrednio na adres mailowy) nie będzie odpowiednio zabezpieczone, a kontrolę przejmie intruz, może okazać się, że wszystkie dokumenty, które będą drukowane lub powielane (skanowane, kopiowane), trafią również w niepowołane ręce. Teoretycznie pisemna korespondencja niejawna może trafić do osób postronnych już na etapie konwersji ze źródła cyfrowego na analogowe. Oznacza to, że w momencie wysłania do drukarki polecenia drukowania danego dokumentu, osoba postronna może przejąć z urządzenia drukowany dokument. Do podobnego zdarzenia może dojść również w odwrotnej sytuacji, kiedy to urządzenie ma przeprowadzić konwersję z wersji analogowej (papieru) do wersji cyfrowej. Urządzenie może być tak skonfigurowane aby wszystkie kopiowane i skanowane elementy były dodatkowo zapisywane we wskazanej przestrzeni dyskowej lub przesyłane na konkretny adres mailowy. To pokazuje również jak ważnym elementem infrastruktury jest system druku i powielania.

Internet rzeczy – pięta Achillesowa społeczeństwa informacyjnego

Oczywiście ten problem ma dużo szersze spektrum i dotyczy wszystkich urządzeń z grupy IoT. Urządzenia obecnie sygnowane mianem Internet of Things (IoT), czyli Internetu rzeczy to bardzo duża grupa urządzeń, pozwalająca komunikować i zarządzać nimi za pomocą Internetu. Najbardziej klasyczna elektronika z tej grupy to kamery IP, a wraz z nimi elektroniczne nianie, autonomiczne odkurzacze, a coraz częściej również pralki, lodówki i ekspresy do kawy. Do tej grupy obecnie dołączyły także systemy drzwi i bram. Zagrożenia z przejęcia kontroli nad kamerą są oczywiste, ale warto się przez chwilę zastanowić jaką informację zwrócą nam urządzenia AGD z zastosowaną technologią IoT.

Pierwszą podstawową informacją jest kiedy z nich korzystamy lub jak planujemy wykorzystanie takiego urządzenia. Najlepszym przykładem jest pozyskanie informacji z ekspresu do kawy czy piekarnika. Zestawiając informację o której godzinie w danym domu pije się kawę, a o której domownik zlecił piekarnikowi uruchomić się, można ustalić kiedy domownicy przebywają lub, co może okazać się bardziej istotne, nie przebywają w domu. W przypadku posiadania systemu inteligentnego domu, odpowiedzialnego za zabezpieczenie mienia, brak lub nieodpowiednio skonfigurowany system zarządzania nim może spowodować, że ktoś bez problemu dostanie się do takiego budynku. Przykładów jest bardzo wiele i w zasadzie każdy sprzęt komunikujący się z otwartą siecią jaką jest Internet, jest narażony na potencjalny atak.  Jednak czy to oznacza, że należy się bać korzystania z  takiego sprzętu?

Ochrona urządzeń IoT

Podstawową linią obrony każdego urządzenia jest oprogramowanie. To dzięki potencjalnym lukom zabezpieczeń osoby postronne mogą przejąć kontrolę nad sprzętem. Producenci sprzętu, szczególnie przemysłowego, starają się na bieżąco łatać dziury w oprogramowaniu. Wraz ze wzrostem zagrożeń i potwierdzonymi informacjami dotyczących masowej inwigilacji społeczeństwa przez NSA oraz służby Federacji Rosyjskiej i Korei Północnej, twórcy sprzętu starają się jak najlepiej zabezpieczyć swoje urządzenia przed wykorzystaniem ich przez osoby niepowołane lub przeciekiem informacji za ich pośrednictwem. Przykładowo, producenci sprzętu drukującego starają się wprowadzać mechanizmy obronne już na etapie uruchamiania urządzeń. Specjalny system kontrolny sprawdza poprawność i integralność oprogramowania urządzenia z listą kontrolną. W przypadku kiedy sumy kontrolne nie pokrywają się z listą, urządzenie instaluje na nowo oprogramowanie w celu odparcia potencjalnego zagrożenia. To samo dzieje się na etapie funkcjonowania urządzenia. Jeżeli któraś z funkcji nie wykonuje poleceń zgodnie z zapisanym schematem, urządzenie sprawdza co się stało i ponawia proces. Jeżeli proces nie zostanie przeprowadzony zgodnie z instrukcją, urządzenie zrestartuje się w celu przeprowadzenia inspekcji oprogramowania i sprzętu. Jeżeli na poziomie testu oprogramowania wyniki nie będą zgadzać się z listą kontrolną, urządzenie spróbuje zainstalować je na nowo z tzw. bezpiecznej kopi bezpieczeństwa, często nazywanej mianem złotej kopii. Jeżeli ten proces nie uda się, do urządzenia będzie musiał przyjechać technik, który zweryfikuje problem.

Takie zabezpieczenia są obecnie stosowane głównie w sprzęcie klasy enterprise - urządzenia przeznaczone do użytku przemysłowego o wysokiej wydajności - ale ze względu na ciągle rosnące zagrożenia, wieloetapowe zabezpieczenie oprogramowania zaczyna być stosowane również w sprzętach domowego użytku. Oczywiście ze względu na poziom zaawansowania, cena również jest adekwatna do technologii. W tym miejscu należy się zastanowić nad tym, czy smart urządzenia są nam w ogóle potrzebne i jak bardzo cenimy sobie własne bezpieczeństwo.

Czynnik ludzki – główny problem zabezpieczeń

Najczęstszym problemem związanym z łatwym dostępem do urządzeń IoT jest brak konfiguracji panelu zarządzania urządzenia. W większości przypadków spowodowane jest to niewiedzą użytkowników, którzy kupują sprzęt w celach czysto eksploatacyjnych, a ich doświadczenie i wiedza na temat bezpieczeństwa cyfrowego zaczyna się w momencie kiedy użytkownik staje się ofiarą. Informacje zamieszczane w instrukcjach obsługi oraz na opakowaniach są w większości przypadków pomijane lub bagatelizowane. Czytanie instrukcji to skrajna konieczność, pojawiająca się zazwyczaj w przypadku bardzo dużego problemu z konfiguracją.
Poza zwykłymi użytkownikami nie można zapomnieć o administratorach urządzeń i sieci teleinformatycznych. Brak odpowiedniej konfiguracji urządzeń przez ich zarządców zazwyczaj wynika z rutyny lub braku odpowiednich kompetencji. Nieodpowiednie skonfigurowanie panelu zarządzania lub brak konfiguracji spowodowane przeświadczeniem typu „skoro nasza sieć jest tak dobrze zabezpieczona to nie trzeba ustawiać zabezpieczeń w tym urządzeniu”, często doprowadza do konsekwencji, które można było zaobserwować wraz z rozprzestrzenieniem się ransomware’ów WannaCry i Petya.

Bezpieczeństwo przedsiębiorstwa

W przypadku kiedy firma używa lub zamierza używać urządzeń IoT, należy się zastanowić nad tym jak zadbać o bezpieczeństwo całej infrastruktury. Odpowiednia komórka ds. IT/ICT i bezpieczeństwa powinna przeanalizować jak mocne są zabezpieczenia infrastruktury organizacji. W tym miejscu należy również określić sposób zarządzania urządzeniami IoT oraz rodzaj komunikacji (czy stosować połączenia szyfrowane czy nie). W  przypadku druku podążającego, czyli przesyłanego do drukarek systemu wydruku za pomocą sieci LAN, należy uzgodnić schemat dystrybucji i szyfrowania dokumentów. Opisany schemat jest drugim ważnym aspektem dotyczącym bezpieczeństwa informacji, równoważnym z posiadaniem aktualnej wersji oprogramowania.

Bezpieczeństwo użytkowników prywatnych

Niemniej jednak to grupa użytkowników niekomercyjnych jest największym odbiorcą urządzeń elektronicznych. Świadomość o zagrożeniach wynikająca z użytkowania urządzeń IoT jest bardzo mała, a to doprowadza do wycieku masy prywatnych informacji. Wspomniany wcześniej problem związany z nieczytaniem instrukcji to tylko jedna z przyczyn braku zabezpieczeń. Największym problemem jest brak odpowiedniej informacji i edukacji o zagrożeniach wynikających z użytkowania urządzeń IoT. Producenci sprzętu ze względu na swoje plany sprzedażowe oraz podejście marketingowe nie chcą informować swoich użytkowników oraz potencjalnych klientów o skutkach nieprawidłowego użytkowania w warstwie reklamowej. Punkty oraz sieci sprzedaży, choć oferują równego rodzaju pakiety rozruchowe sprzętu, w większości przypadków pomijają element informacyjno-edukacyjny, tak aby nie odstraszyć klientów lub robią to celowo dla utrzymania takiej osoby jako klienta serwisowego.
W przypadku sprzedaży oprogramowania antywirusowego bardzo często zdarza się sytuacja, w której klienci nie są informowani o różnicach wynikających z ceny za dany pakiet zabezpieczeń. Często sprzedawcy idą na rękę klientowi i sprzedają tańszy, jednoelementowy program antywirusowy, nieposiadający odpowiednich komponentów kontrolujących ruch sieciowy i podatność nieznanych programów. Równie często w ramach oszczędności użytkownicy korzystają z darmowych rozwiązań zabezpieczających, które nie są przeznaczone dla użytkowników, którzy nie mają podstawowej wiedzy na temat bezpieczeństwa.

Problem zaczyna się w szkole

Największym problemem ze świadomością zagrożeń wynikających z użytkowania urządzeń elektronicznych i poruszania się po sieci Internet jest brak odpowiedniej edukacji. Użytkownicy 25+ tak naprawdę dorastali z dynamicznie zmieniającym się rynkiem IT, a wraz z nim znaczeniem internetu i informacji. Obecne programy edukacyjne o bezpieczeństwie informacji, omawiane na lekcjach informatyki lub technologii informacyjnych często są nieaktualne. Problem ten jest rzadko poruszany na godzinach wychowawczych czy innych zajęciach, obecnie powiązanych z przeszukiwaniem zasobów sieci. Proces uświadamiania młodych ludzi o zagrożeniach płynących z niewłaściwego korzystania z urządzeń i oprogramowania jest często niewłaściwy lub bardzo ogólnikowy. Przez dynamiczny rozwój informatyki i teleinformatyki, często sami  nauczyciele  mają problem z korzystaniem z nowinek technologicznych, a co za tym idzie braku wiedzy na temat tego, czym może skończyć się nieodpowiednie użytkowanie lub brak odpowiedniej konfiguracji urządzeń lub oprogramowania.

Podobny problem braku edukacji dotyczy także pracowników wielu firm. W wielu organizacjach kadra pracująca na urządzeniach elektronicznych zaczyna się od wieku 19-22 lata. Osoby w tym przedziale wiekowym nie posiadają świadomości i wiedzy na temat tego jak może wyglądać zainfekowana korespondencja lub co może spowodować wyciek informacji ze struktur organizacji. Tymczasem starsi pracownicy- 35+ -  w wielu przypadkach zostali rzuceni na tzw. „głęboką wodę”. Otrzymali wyposażone stanowisko pracy i dalej „radź sobie sam, a jeśli czegoś nie wiesz zajrzyj do procedur i instrukcji”. Tu po raz kolejny pojawia się problem czytania instrukcji oraz procedur, które często nie są napisane w przyjazny dla pracownika sposób. To powoduje porzucenie ustalonych zasad i wykorzystania jednej z dwóch metod działania. Pierwsza z nich, to metoda prób i błędów, która działa na zasadzie metody zero-jedynkowej, zadziała albo nie. Druga, to metoda działania intuicyjnego, która mówi, że „jak się uda to się uda, a jak nie to pójdę do kolegi i on mi pokaże jak to zrobić”. Brak precyzji oraz brak utrzymania ściśle określonych procesów może doprowadzić do zagrożenia bezpieczeństwa danej jednostki organizacyjnej. Dlatego bardzo ważne są okresowe, obowiązkowe szkolenia dla wszystkich pracowników wykonujących czynności z zakresu przetwarzania informacji.

Podsumowanie

Opisane przypadki i zagadnienia, podstawą zachowania wysokiego poziomu bezpieczeństwa w przedsiębiorstwie lub w domu jest elementarna wiedza, która będzie przejawiała się w odpowiedniej konfiguracji sprzętu, oprogramowania lub architekturze systemu teleinformatycznego. Minimalizacja problemu związanego z wykorzystaniem urządzeń IoT przez osoby postronne jest obecnie jednym z najważniejszych aspektów codziennego życia w społeczeństwie informacyjnym. Brak odpowiednich zabezpieczeń oraz  wiedzy, może w szczególności doprowadzić do eskalacji dezinformacji, która może być dystrybuowana przez zaufane kanały komunikacyjne.

Maciej Ostasz

ANALIZA: Blokada Yandexu i Grupy Mail.Ru na Ukrainie a wojna informacyjna

Najpopularniejszym portalem społecznościowym Ukrainy był do tej pory VKontaktena drugim miejscu znajdował się Facebook lub w zależności od rankingu – współdzielił swoją pozycję na podium wraz z portalem Odnoklassniki. Objęcie rosyjskich podmiotów sankcjami sektorowymi nie było motywowane presją społeczną. Choć aspekt polityczny jest istotny, to głównie chodziło o aspekt gospodarczy i bezpieczeństwa, a decyzja miała uderzyć finansowo w państwo-agresora oraz uniemożliwić zarabianie jego firmom na rynku ukraińskim. Istnieje jednak szereg poważnych zagrożeń dla państwa ukraińskiego, które wynikają z tej decyzji. 

ANALIZA: Rosyjska kampania informacyjna z polską ustawą dekomunizacyjną w tle

Czerwcowa nowelizacja tzw. ustawy dekomunizacyjnej przyjęta przez Sejm RP dała początek nowej rosyjskiej kampanii informacyjnej przeciwko Polsce, której celem jest wpłynięcie na decyzję polskich władz w sprawie usunięcia symboli komunistycznych w kraju. Rosja wykorzystując szereg zabiegów manipulacyjnych, propagandowych i dezinformacyjnych, za pośrednictwem swojego MSZ, MON oraz mediów i sieci społecznościowych, manipuluje rosyjską oraz międzynarodową opinią publiczną. Stara się w ten sposób narzucić własną interpretację faktów historycznych, a przy okazji buduje negatywny wizerunek Polski w środowisku międzynarodowym.

ANALIZA: Wanna Cry Ransomware jako potencjalne narzędzie propagandy i dezinformacji

W drugi weekend maja br. byliśmy świadkami największego w historii cyfrowego świata globalnego ataku hakerskiego wymierzonego bezpośrednio w serwery i urządzenia końcowe. Ilość zainfekowanych maszyn oraz straty jakie wygenerował przestój związany z cyberatakiem liczony jest w setkach tysięcy dolarów.

Atak był wymierzony głównie w sektor przemysłowy i instytucje publiczne, ale jak wynika z licznych informacji pojawiających się od tego czasu, w jego wyniku ucierpiało również wiele osób prywatnych. Oczywistym jest, że można było go uniknąć lub co najmniej zminimalizować skalę ataku. Nie miałby on bowiem tak dużego zasięgu, gdyby wszystkie komputery i serwery na świecie miały zainstalowane systemy z aktualnym wsparciem i poprawkami bezpieczeństwa oraz były odpowiednio zabezpieczone. Kolejnymi ważnymi aspektami ataku jest to, kto za niego odpowiada oraz na ile uda się zmodyfikować narzędzia wykradzione z NSA, a także jak bardzo może to wpłynąć na zarządzanie informacją w przestrzeni publicznej.