Ile kosztuje incydent – analiza przypadków
— Adam Haertle —
Tak się składa, że nasi przełożeni pytają nas czasem dlaczego mamy zainwestować
w bezpieczeństwo i ile to będzie kosztować jak nie zainwestujemy. I faktycznie przez
wiele lat był problem z tą wyceną i były różne modele jak to przedstawiać. Było to
problematyczne bo brak było dowodów, wartości, liczb, na których można by było te
wyceny oprzeć. Na szczęście potem przyszli cyberprzestępcy i bardzo ładnie to
wycenili. Najładniej wycenia się zagrożenie ransomware, bo podaje od razu wartość
liczbową ile kosztuje bezpieczeństwo. Zdarza się natomiast czasem, że przychodzi
jakieś zagrożenie i ta wartość liczbowa przekracza dziesiątki, tysiące, a nawet setki
tysięcy dolarów i o tym dzisiaj chciałem Państwu opowiedzieć.
27 czerwca 2017 roku pojawiło się zagrożenie, które udawało ransomware, a tak
naprawdę nie było ransomwarem tylko narzędziem czyszczącym dyski, formatującym
komputery i szyfrującym dyski w sposób nieodwracalny na całym świecie. Jakie były
tego skutki? Skutki były całkiem nieprzyjemne dla wielu firm. Zacznijmy od firmy Merck,
jednego z największych koncernów farmaceutycznych świata i jednego z największych
producentów szczepionek. Co dzieje się w takiej firmie w momencie gdy uderza wirus,
który z uprawnieniami administratora domeny instaluje się na wszystkich stacjach
roboczych do jakich jest w stanie dotrzeć? Może się więc okazać, że 70 tysięcy stacji
i systemów zostaje zaszyfrowanych w ciągu kwadransa.
Czyli mamy firmę w której wszystko działa, a po kwadransie nie działa absolutnie nic i
to globalnie. Nie działają żadne systemy produkcyjne (jeżeli wszystko było na
Windowsie) ani biurowe. Pierwsze co mówimy pracownikom to wyłączcie wszystko i
poczekajmy na pierwszą diagnozę naszego zespołu bezpieczeństwa czy w ogóle
wolno włączyć jakiś komputer i podłączyć się do sieci firmowej. Więc na początek
wyłączamy wszystko i nie korzystamy z niczego. Po czterech dniach trzeba zacząć
jakoś to przywracać do działania, więc stawiamy nowy serwer pocztowy, bo jednak
poczta to krwiobieg organizacji, ale nie mamy historii tej korespondencji. Mamy tylko
nowe maile i mówimy pracownikom, którzy muszą oczywiście sprzedawać nasze
produkty, żeby dzwonili do klientów i kontaktowali się z nimi telefonicznie, a następnie
robili sobie notatki w zeszytach.
Pracownicy zbierają więc te zamówienia do zeszytów, z zeszytami idą do kierowników,
kierownicy przepisują te zamówienia do książek i idą do swoich dyrektorów, którzy
przepisują to do jeszcze większych książek, a dyrektorzy z tymi dużymi książkami
przychodzą do produkcji i mówią: „Tu jest zamówienie”, a produkcja odpowiada: „Co
mi tu z tą książką? Nic nie działa. Nie będziemy produkować”. Ale to dopiero czwarty
dzień incydentu i na szczęście jest to firma giełdowa, w związku z czym jest w stanie
śledzić w raportach finansowych jak to wygląda dalej. Na koniec lipca trzeba
opublikować jakiś raport i tutaj bardzo cenna wskazówka również dla działów PR, jak
mówić kiedy zdarzyła się katastrofa: „Prognoza przychodów mogła być wyższa” – to
taki bardzo ładny eufemizm kiedy nie chcecie powiedzieć, że będzie bardzo dużo
niższa. Możecie powiedzieć np. że dział pakowania został już przywrócony, na
marginesie że nie ma co pakować, ale dział pakowania już działa – pozytywny
komunikat. Dział PR wie, że musi być jakiś pozytywny komunikat. „Nie znamy pełnej
skali strat” – czyli już wiemy, że jest bardzo źle, ale nie chcemy jeszcze powiedzieć jak
bardzo bo jeszcze nie wiemy do końca jak bardzo, ale wiemy że już bardzo.
Mija kolejny kwartał i musimy znowu zaraportować na giełdę – takie zasady – ale teraz
już trzeba podać jakieś wartości liczbowe. Sprzedaż niższa o 240 milionów USD,
poniesione koszty 175 milionów USD, zyski ze sprzedaży jakieś 135 milionów USD.
To jest duża firma, więc oni sobie spokojnie z takimi kwotami poradzą. Ale potem
przychodzi raportowanie roczne i okazuje się, że na koniec lutego trzeba powiedzieć
ile tego było tak naprawdę. Minęło pół roku od incydentu, to już wypada powiedzieć
tak na koniec. I okazuje się, że jak podsumujecie te wszystkie wartości z różnych
pozycji (bo firma musiała pożyczyć szczepionki z rządowych zapasów, potem musiała
je oddać, więc to też generuje koszty), to wyjdzie tak 900 milionów dolarów. Kwadrans
incydentu, jeden złośliwy program, który uruchomił się z poziomu Active Directory i
zaszyfrował wszystkie stacje robocze i wszystkie serwery działające pod kontrolą
systemu Windows. Oni oczywiście spokojnie to przełkną, bo jest to naprawdę bardzo
duża firma, natomiast jest również zła informacja dla ich ubezpieczycieli, ponieważ byli
ubezpieczeni i firma która szacuje wypłaty ubezpieczeń z tytułu tego typu incydentów
mówi, że prawdopodobnie ubezpieczycieli będzie to kosztować niecałe 300 milionów
dolarów. To zła informacja dla ubezpieczycieli, ale dobra dla firmy bo jednak okazuje
się, że te cyberubezpieczenia działają. Nikt nie był pewien, a tu mamy incydent i
prawdopodobnie faktycznie część kosztów zostanie firmie zwrócona.
Jak to się objawia w życiu zwykłych ludzi? W październiku zeszłego roku poszedłem
zaszczepić swoją córkę. Wchodzimy do gabinetu pielęgniarki i patrzę, a na lodówce
wisi karteczka z informacją że brak niektórych szczepionek. Pytam pielęgniarkę czy ta
kartka zawsze ma tyle pozycji, a ona mówi, że nie, ale jakoś od czerwca ta liczba
rośnie. Więc okazuje się, że przychodzi wirus z Ukrainy, atakuje amerykańską firmę i
w polskiej przychodni na ścianie pojawia się rosnąca lista niedostępnych szczepionek.
Zdarza się? Zdarza się. Jeden wirus. A Amerykańskie Centrum Chorób Zakaźnych w
momencie kiedy już było wiadomo, że jest źle, ogłosiło: „Szczepionka firmy GSK na
żółtaczkę typu B będzie niedostępna i nie wiadomo kiedy wróci. Kupujcie produkty
konkurencji”. Sam Merck na swojej stronie gdzie oferuje produkty klientom
indywidualnym, wyświetlił tabelkę z kolumną „status” gdzie była informacja że
„chwilowo niedostępne”. Niedostępne, bo nie wiemy kiedy będzie dostępne. Tak to
wygląda w przypadku kiedy zdarzy się coś naprawdę złego.
Pozostając dalej w branży medycznej, mamy screen ze strony firmy Nuance
Communications. Nie jest ona specjalnie znana w Polsce, ale w Stanach jest bardzo
popularna wśród lekarzy. Jest to firma, która oferuje usługi transkrypcji wyników
badań, czyli lekarz robi badanie, np. zdjęcie rentgenowskie, USG i potem nie musi
pisać tego opisu badania bo jest lekarzem i tak naprawdę od pisania są ludzie, którzy
powinni pisać, a on powinien badać i interpretować te wyniki. Wyciąga więc smartfona,
włącza aplikację, mówi do tej aplikacji, a następnie odkłada telefon i po minucie ma
wynik badania w pełni opisany profesjonalnym językiem na ekranie swojego
komputera. Podobno oszczędza to jedną czwartą czasu pracy lekarza i wielu lekarzy
w Stanach z czegoś takiego korzysta. Problem polega tylko na tym, że ta firma również
miała placówkę na Ukrainie i została trafiona tym samym zagrożeniem. Jaki był efekt?
Tutaj znowu wskazówka dla działów PR – jeżeli jesteście firmą medyczną i wszystkie
dane waszych klientów zostały właśnie zaszyfrowane, to informujcie, że ich dane są
bezpieczne. Są bezpieczne jak nigdy. Nawet wy nie możecie ich odczytać. To była
kluczowa część tego komunikatu – nie doszło do ujawnienia danych, bo nie można ich
było ujawnić. Można je w zasadzie opublikować w Internecie, bo nikt i tak prócz
atakujących nie ma klucza, który by umożliwił ich odzyskanie. W każdym razie
następnego dnia mówimy już klientom „nie wiemy ile potrwa przerwa, uruchamiajcie
systemy awaryjne”. Nie pytamy naszych klientów czy mają rozwiązania backupowe,
po prostu ich informujemy „uruchamiajcie je”, a jak nie macie: „ojej, to wasz problem”.
Firma, która oszczędzała jedną czwartą czasu pracy lekarzy, mówi teraz lekarzom
„uruchomcie sobie rozwiązania backupowe”, czyli wróćcie do ręcznego opisywania
wyników badań i traćcie jedną czwartą dnia na coś, co wcześniej dostawaliście od nas
jako usługę. Na szczęście tam udało się to dosyć szybko wszystko przywrócić. Szybko,
czyli miesiąc lekarze sami musieli opisywać te wyniki. Firma ogłosiła w sumie około
100 milionów dolarów strat. To mniejsza firma, więc pewnie zabolało ich trochę
bardziej.
Czy takie rzeczy dzieją się też w Polsce? Firma InterCars, będąca hurtownią części
samochodowych, przez pierwszych kilka dni nie była nawet w stanie powiedzieć kto
zamówił, co zamówił, gdzie jest zamówienie, a po czterech dniach całkowitej
niedostępności systemów ogłosiła, że wszystko jest już w porządku. Absolutnie w
porządku, nic się stało, wszystko przywróciliśmy. Do tej pory w biurach leżą ulotki o
treści „Dziękujemy, że z nami zostaliście w tych trudnych chwilach”, ale wszystko było
w porządku.
Inną ofiarą tego ataku była firma Maersk. Piękny przykład: 45 tysięcy komputerów, 4
tysiące serwerów, 2500 aplikacji przywrócone w 10 dni. Wyobraźcie sobie jakie oni
musieli mieć plany awaryjne i kontrakty z dostawcami, że byli w stanie w ciągu 10 dni
przywrócić w pełni operacyjne działanie firmy. Jeżeli ktoś na przełomie czerwca i lipca
zeszłego roku korzystał z usług firmy kurierskiej TNT, to pewnie do tej pory nie
zobaczył swojej paczki, ponieważ firma powiedziała: „Nie wiemy gdzie są wasze
paczki, nie będziemy wiedzieli gdzie są wasze paczki. Zgubiliśmy je razem z
backupami”. Na szczęście firma ta była przejmowana akurat przez FedExa, w związku
z czym projekt przejęcia z 12 miesięcy musiał zostać skrócony do miesiąca. Da się?
Da się. Zostali przejęci, systemy zostały przeniesione. Straty koło 300 milionów
dolarów.
Kolejny przykład, firma produkcyjna Mondelez – koło 150 milionów dolarów strat,
kwartalna sprzedaż niższa o 5%, bo przyszedł wirus z Ukrainy. Firma Reckitt
Benckiser: 15 tysięcy laptopów, 2 tysiące serwerów, szacowane straty to 130 milionów
dolarów. Są to poważne kwoty, mimo iż wydawałoby się że to tylko jeden wirus. Tu
ciekawy przypadek, ponieważ firma Beiersdorf, producent Nivea, również została
ofiarą tego ataku, natomiast twierdziła, że przychody zostaną przesunięte, czyli jeżeli
macie produkt, który klient i tak kupi, to nie musicie się tak bardzo martwić, po prostu
możecie kupić go w przyszłym kwartale. Okej, będzie was to trochę kosztować, ale
jednak mniej niż w przypadku kiedy konkurencja wykorzysta nieobecność waszych
produktów na rynku. Saint-Gobain, wielki producent szkła przemysłowego, 330
milionów euro szacowany wpływ w roku 2017. Czasem te tragedie są mniejsze, ale w
zasadzie równie poważne, ponieważ okazało się, że Royal Canin, producent karmy
dla kotów, również był ofiarą tego ataku i był moment kiedy niestety niektóre towary
były po prostu niedostępne. Podobno koty jak nie mają jedzenia, to są w stanie zjeść
swoich właścicieli, więc jakieś ryzyko tam było. Czasami te tragedie są naprawdę
wielkie. W Stanach jakaś restauracja poinformowała, że nie ma chrupkiego kurczaka
z powodu ataku wirusa w Europie. Tak więc Amerykanie ucierpieli w sumie w tym
ataku najbardziej.
Straty które pokazałem, to ponad 2 miliardy dolarów, natomiast w jakimś anonimowym
na razie wywiadzie, jakiś przedstawiciel amerykańskich służb poinformował, że
szacowane skutki tego trwającego kwadrans ataku jednego wirusa, to 10 miliardów
dolarów. Można? Można. Dowcip polega na tym, że skutki które pokazałem, nie
dotyczyły ofiar, które były w zamyśle atakujących, bo w zamyśle atakujących były firmy
ukraińskie. To pierwszy przegląd ofiar. Mniej więcej tydzień po incydencie
poinformowano, że około 300 firm na Ukrainie zostało zaatakowanych, a zostały
zaatakowane przez aktualizację oprogramowania, którego odpowiednikiem byłoby
skrzyżowanie jakiegoś płatnika teletransmisji z innym programem finansowym, takie
prywatne oprogramowanie do komunikowania się z systemami rządowymi z którego
korzystało według różnych szacunków 70-80% ukraińskich firm. I okazuje się, że te
oprogramowanie było zainfekowane koniem trojańskim przez 75 dni zanim doszło do
ataku.
Czyli ktoś przez 75 dni mógł kontrolować 80% ukraińskich firm? Te oprogramowanie
ładnie raportowało po odpowiedniku naszego numeru NIP do centrali i centrala
odpowiadała co ma robić dalej. Więc ktoś miał kontrolę nad komputerami w 80% firm
na Ukrainie, a następnie postanowił je wszystkie zaszyfrować. Dlaczego? Pytanie
pozostaje bez odpowiedzi. Kto? Tutaj służby zachodnie nie pozostawiają wątpliwości
i uważają że był to wywiad wojskowy Rosji, natomiast po paru miesiącach udało się
dopełnić tę listę ofiar i ona jest naprawdę przerażająca, bo to co widzicie to jest lista
firm i organizacji, które zostały potwierdzone jako zaatakowane, a na pewno nie jest
to lista kompletna i według różnych szacunków, mówi się że 10% wszystkich
komputerów używanych w organizacjach i firmach na Ukrainie zostało tego dnia
zaszyfrowanych. 10% wszystkich komputerów więc jest to naprawdę katastrofa dla
kraju, prawdopodobnie z wpływem na produkt krajowy brutto, bo to nie może pozostać
bez efektu. Tak więc te pozornie proste ataki (jedna rodzina złośliwego
oprogramowania uruchomiona tak naprawdę z jednego serwera poprzez
wykorzystanie mechanizmu aktualizacji na kilkuset tysiącach komputerów), są w
stanie dokonać naprawdę ogromnych strat na całym świecie.
Teraz trochę o tym, że niekoniecznie trzeba inwestować w bezpieczeństwo bo czasem
jest tak, że mimo iż jest ogromny incydent, to strat nie ma. Tych slajdów nie pokazujcie
swoim przełożonym. Firma Target to taka bardzo duża sieć sklepów w Stanach (wiele
tysięcy sklepów w całej Ameryce), która 17 października 2013 roku została zhakowana
tak, że przez dwa miesiące nie zorientowała się, że ktoś ukradł dane 40 milionów kart
kredytowych. Kto? Rosyjscy hakerzy. Jak dostali się do firmy? Dostali się przez konto
dostawcy lodówek, bo okazuje się że dostawca lodówek był pierwszą ofiarą ataku i z
jego uprawnieniami przestępcy dostali się do sieci firmy i nie zostali wykryci, mimo iż
były alerty bardzo zaawansowanych platform wykrywających włamania. Te platformy
alterowały, a gdzieś w Bangalore ktoś oglądał te alerty i je po prostu zignorował. Tak
więc systemy zadziałały prawidłowo. Następnie przestępcy zainstalowali złośliwe
oprogramowanie na terminalach płatniczych. W Stanach działa to trochę inaczej niż u
nas – u nas terminal jest takim bardziej samodzielnym urządzeniem i trudno tam coś
dodać. W Stanach jest to najczęściej architektura PC więc łatwo tam po prostu dograć
złośliwe oprogramowanie, które sprawdza w pamięci wzór numeru karty kredytowej, a
następnie zgrywa go na serwer przestępców. I tak przez dwa miesiące nikt się nie
zorientował. Duża sieć sklepów więc dane 40 milionów kart kredytowych trafiły w ręce
Rosjan. Co się potem dzieje z takimi danymi kart kredytowych?
Analizowałem kiedyś jeden z takich sklepów z kartami, ponieważ to są normalne
sklepy. Wchodzi się do sklepu, można się normalnie zarejestrować jako użytkownik i
następnie ma się takie menu wyboru. Zrobiłem statystyki jak polskie banki akurat w
jednym ze sklepów w pewnym momencie wyglądały i jest normalnie strona gdzie się
dodaje te karty do koszyka. 35 dolarów za kartę i jest dopłata jeżeli chce się mieć
gwarancję, że będzie ona działała. Jeżeli nie działa to sklep automatycznie dosyła
kolejną i można ją jeszcze przetestować jak ona działa (za to też jest drobna opłata).
Jest to normalny biznes, który się całkiem nieźle kręci. I teraz taka firma traci dane 40
milionów kart kredytowych i co się dzieje z jej kursem akcji? (Bo kurs akcji jest jakimś
punktem odniesienia do tego jak świat reaguje na tego typu incydenty.) Więc w tym
miejscu jest strata (wykres), w tym miejscu jest incydent, a co dalej dzieje się z kursem
akcji? Zachowuje się zupełnie normalnie, żyje swoim życiem i niczym się nie
przejmuje. Jeżeli spojrzymy na to w dłuższym horyzoncie czasu, tam gdzie przecinają
się te linie, jest moment incydentu, a na samym końcu mamy dzień dzisiejszy. Kurs
akcji po takim incydencie spada na kilka dni, a następnie wraca i żyje dalej swoim
życiem. Nie zawsze jednak tak jest. Są przypadki kiedy kurs akcji może spaść na
trwałe.
Mamy znamienny przykład firmy Equifax, która jest takim amerykańskim
odpowiednikiem naszego BIK-u. Jest to firma która z jednej strony zbiera informacje o
stanie finansów obywateli, a z drugiej strony specjalizuje się w usługach reagowania
na incydenty wycieków danych osobowych. Firma ta z racji swojej działalności ma
profile prawie wszystkich Amerykanów i okazuje się, że ktoś przychodzi i te wszystkie
profile kradnie. Kradnie dane 143 milionów Amerykanów i kradnie absolutnie wszystko,
całą ich historię finansową, wszystkie dane osobowe i dane umożliwiające podszycie
się pod te osoby w Internecie.
Firma oficjalnie powiedziała, że wyciekły dane Social Security Number dla 143
milionów obywateli, a to jest numer unikatowy, którego Amerykanie mają nie ujawniać,
dlatego mówi się że większość straty już Amerykanie ponieść w tym incydencie nie
mogli. Co więcej, okazało się, że w momencie kiedy ujawniono tę kradzież, jeden z
pracowników został zidentyfikowany jako handlujący na giełdzie akcjami swojej firmy
zanim incydent został ujawniony. Był to jeden z bardzo ważnych pracowników tej firmy
więc nie wyglądało to dobrze. Potem okazało się, że firma została zhakowana dużo
wcześniej niż się do tego przyznawała. Dwóch dyrektorów odpowiedzialnych za
bezpieczeństwo zostało poproszonych o rezygnację, jeden z nich jest cały czas
obiektem śledztwa jeśli chodzi o handel akcjami, natomiast reakcja firmy która zajmuje
się profesjonalnym doradzaniem innym podmiotom w zakresie reagowania na
incydenty była naprawdę spektakularna, ponieważ firma w związku z tym, że musiała
poinformować ponad 100 milionów osób o tym, że doszło do incydentu, otworzyła
stronę, która nie była podstroną swojej własnej domeny, zaufanej dla klientów, tylko
założyła domenę equifaxsecurity2017.com (która w ogóle nie wygląda jakby była
stroną phishingową). Co zrobili badacze bezpieczeństwa jak zobaczyli taką reakcję na
incydent? Założyli domenę securityequifax2017.com i opublikowali na niej informację,
że może nie jest dobrym pomysłem informowanie klientów na osobnej domenie o tym,
że stało się coś złego i można zrobić to bardziej bezpiecznie.
Co w związku z tym zrobiła obsługa klienta Equifaxu? Zaczęła się mylić i w
odpowiedziach klientom zaczęła podawać adresy tej fałszywej domeny i odsyłała ich
na fałszywą stronę w momencie kiedy pytali gdzie mogą dowiedzieć się więcej na
temat swojego incydentu. Tak więc reagowanie na incydent jest trudne. Na dokładkę
kiedy firma zaczęła faktycznie reagować na incydent i wyjaśniać co się stało, okazało
się że podatność, która została wykorzystana przez przestępców, była znana od
marca. Do włamania doszło w maju, przestępcy wycofali się z sieci w lipcu, a firma
ujawniła to we wrześniu. I to nie była podatność znana tylko w kręgach przestępczych,
ale publicznie znana podatność w module Apache Struts. Jest to dosyć trudna
podatność bo ten moduł często jest wkompilowany do aplikacji i jego aktualizacja
oznacza rekompilację całej aplikacji. Jest to natomiast moduł w którym często są
podatności.
Pewien polski bank do którego kiedyś włamali się przestępcy, przez dwa miesiące nie
miał kontroli nad serwerem WWW, dokładnie przez podatność w tym module, tylko
poprzednią. Także jest to faktycznie często wykorzystywane przez przestępców. Firma
oczywiście twierdziła, że bardzo się starała wykryć te podatności, nawet skanowała
swoją sieć pod jej kątem, ale skoro nie zaktualizowała tej biblioteki to pytanie czy
zaktualizowała skaner do skanowania podatności skoro nie znalazł tej podatności
mimo iż skanował. Jak zachował się kurs akcji w tej sytuacji? Mamy firmę, która
powinna specjalizować się w ochronie danych klientów i reagowaniu na incydenty, a
nie potrafiła tych danych ochronić ani nie potrafiła prawidłowo zarządzić tym
incydentem. Więc tak wyglądał kurs akcji w momencie kiedy do tego incydentu doszło.
Tak naprawdę ten jeden incydent skasował trzy lata wzrostów i jedną trzecią wartości
firmy. Można by powiedzieć „zdarza się” i pewnie się odbiło, także dzisiaj przed
prezentacją zrobiłem kolejny zrzut ekranu kursu tej firmy i okazuje się, że rzeczywiście
się trochę odbiło, tak trochę, ale jednak ciągle kilkanaście miliardów dolarów zostało
skasowane.
Więc są firmy w których incydent nie powoduje wielkich skutków, ale jeżeli ten incydent
faktycznie zagraża kluczowej działalności firmy, to te skutki mogą się pojawić i mogą
być długotrwałe. Tutaj kilka wykresów firm, które faktycznie miały incydenty w historii i
te incydenty nie wywarły większego wpływu na ich kurs akcji. Jak zobaczycie włamania
do Heartland Payment Systems czy TJX, widać że ten kurs akcji w zasadzie od
momentu włamania tylko rósł więc może się okazać, że włamanie tak naprawdę było
katalizatorem wzrostu wartości firmy. Nie sugerowałbym tego swoim przełożonym.
Inny przykład bardzo ciekawego skutku, który można powiedzieć był trochę
nieprzewidywany – firma Yahoo! Pewnie każdy kiedyś miał skrzynkę pocztową w
Yahoo! i zaraz powiem dlaczego tak sądzę. Yahoo! w pewnym momencie, a konkretnie
we wrześniu 2016 roku, ogłosiło że straciło dane pół miliarda kont. Był to poważny
wyciek i wtedy mówiło się, że pół miliarda to chyba największy wyciek w historii. Na
dodatek firma straciła te dane dwa lata wcześniej, a zorientowało się dlatego, że
przyszedł klient, który chciał Yahoo! kupić i weszły ekipy, które miały sprawdzić czy
wszystko jest w porządku. Gdy ekipy zaczęły kopać, to zaczęły otwierać kolejne szafy,
a z szaf zaczęły wypadać kolejne trupy. Pierwszym trupem było 500 milionów kont.
Dwa miesiące później firma ogłosiła, że w sumie to straciła miliard i to jeszcze rok
wcześniej, bo w 2013. To już nie wygląda dobrze, jeżeli nie byli w stanie zidentyfikować
takiego wycieku. Siedem miesięcy później firma ogłosiła, że w zasadzie to były 3
miliardy i trzeba przyznać, że w tym momencie na rynku największym zaskoczeniem
było to, że Yahoo! miało 3 miliardy kont, bo to że wyciekły to w tej sytuacji już trudno
mówić że była to niespodzianka. I co się działo z kursem akcji? Kurs akcji w momencie
tych ogłoszeń faktycznie spadał, były to całkiem solidne spadki i kurs przez dłuższy
czas się nie podnosił. Potem, jak popatrzymy w dłuższym horyzoncie czasu, wzrósł z
powrotem, natomiast kurs akcji nie jest zawsze wyznacznikiem wartości transakcji w
momencie sprzedaży firmy, ponieważ firma która kupowała Yahoo! poinformowała że
w związku z tym że otwierają kolejne szafy i wypadają z nich kolejne trupy o których
nie wiedzieli w momencie składania oferty, to chcieliby miliard rabatu od bodajże
pięciu. Ostatecznie stanęło bodajże na czterystu kilkudziesięciu milionach dolarów,
więc to jest efekt incydentów, które nie zostały właściwie wykryte i obsłużone. Co
ciekawe incydenty w Yahoo! tak naprawdę były sprawką m.in. tego pana, który lubił po
prostu ładne samochody.
To Karim Baratov, skazany dosłownie trzy dni temu na pięć lat więzienia. Baratov
wspólnie z jeszcze jednym kolegą, dostał się do serwerów Yahoo! gdzieś w okolicy
2012 roku i dostał się tak głęboko, że był w stanie robić na tych serwerach wszystko.
Zarabiał na tym dużo pieniędzy, a jak wspominałem bardzo lubił ładne samochody i
lubił mieć ich dużo. Yahoo! próbowało kiedyś konkurować z Google i miało swoją
wyszukiwarkę. Baratov dostał się do serwerów firmy tak głęboko, że przez kilka
miesięcy, Yahoo! w momencie gdy wpisywaliśmy w polu wyszukiwania „Viagra”, to
pierwszym wynikiem Yahoo! był podłożony wynik Baratova, który przekierowywał
użytkowników do apteki z której przestępca czerpał zyski jeżeli tam ktoś zrobił zakupy.
Miał więc taką kontrolę nad siecią Yahoo!, że był w stanie wstrzykiwać własne wyniki
do jednego z najpopularniejszych wyszukiwań w wyszukiwarce. Oprócz tego np. od
czasu do czasu jak mu brakowało pieniędzy, puszczał skrypt który przeszukiwał
skrzynki wszystkich 3 miliardów klientów i wyciągał z nich np. jakieś karty rabatowe,
dane kart kredytowych i po prostu je sprzedawał i nikt nie zorientował się przez kilka
lat. W jego własnych kraju też mu nikt specjalnie nie przeszkadzał bo niektóre z tych
wyszukiwań, które razem z kolegą uruchamiali dotyczyły np. danych oponentów
politycznych, czyli ewidentnie ktoś pomagał mu w wybieraniu właściwych zapytań,
które powinien zadać bazie Yahoo! Czasem szukał np. danych szefów firm
zajmujących się kryptowalutami. Ewidentnie miał różne wektory monetyzacji tego typu
dostępu.
Miałem kolegę, który pracował w firmie, która robiła analizę bezpieczeństwa w Yahoo!
i powiedział on że jak zaczęli tam grzebać, to znaleźli osiem różnych grup, które tam
siedziały. To jest duża firma, ma dużą infrastrukturę, więc da się faktycznie coś takiego
znaleźć. A to zdjęcie drugiego bohatera, który akurat nie został zatrzymany. Jeżeli ktoś
go kiedyś zobaczy na ulicy, to można zadzwonić do FBI – podobno jest wysoka
nagroda. Także cyberprzestępcy czasami chodzą sobie swobodnie i nic złego im się
nie dzieje jeżeli nie wyjeżdżają z jednego kraju do innego.
Jakie jeszcze mogą być straty? Czasem straty faktycznie trudno jest udokumentować
i mogą być one niemożliwe do identyfikacji. Możemy tylko żyć ze świadomością że
stało się coś bardzo złego. I taki właśnie był przykład incydentu związanego z
CCleanerem. Kojarzycie pewnie takie oprogramowanie, pewnie ktoś w waszych
organizacjach miał lub ma je zainstalowane dalej na swoim komputerze. Jest to
program do czyszczenia niepotrzebnych rzeczy z dysku i on w odróżnieniu od innych
programów do czyszczenia niepotrzebnych rzeczy z dysku, po restarcie komputera,
komputer nadal działa więc jest całkiem przyzwoitym programem i faktycznie jest w
stanie sporo tych danych odzyskać. Okazuje się czasem, że kilka gigabajtów można
odzyskać tylko po tym, że się go uruchomiło i pozwoliło mu zrobić to co ma do
zrobienia.
Natomiast z racji tego, że był on zainstalowany na setkach milionów komputerów na
całym świecie, jacyś przestępcy stwierdzili że jest to świetny cel do znalezienia się
również na tych setkach milionów komputerów. Postanowili więc przejąć kontrolę nad
infrastrukturą firmy, która go produkowała i na dodatek zrobili to w tak niefortunnym
momencie, że akurat miesiąc później firma została kupiona przez Avasta, który kupił
ją od razu z infekcją, w ogóle o tym nie wiedząc. Dowiedział się dopiero miesiąc
później. Ci przestępcy prosili wszystkie komputery, żeby zgłaszały się do centrali i
informowały w jakiej są domenie, w jakich uprawnieniach pracuje użytkownik, jaki mają
adres IP i by czekały na dalsze polecenia. Tak wysoką kontrolę mieli przestępcy nad
siecią ofiary, że dystrybucja tego złośliwego kodu była podpisana certyfikatami
firmowymi – mieli pełną kontrolę nad całym procesem budowania aplikacji.
Ta tylna furtka była tak sprytnie skonstruowana i tak sprytnie się komunikowała, że
przez miesiąc nikt nie zorientował się że coś takiego się dzieje, mimo iż działo się to
absolutnie w każdej sieci korporacyjnej świata. Program ten miał kilkaset milionów
instalacji więc można powiedzieć, że wszystkie platformy do analizy anomalii, analizy
ruchu, wykrywania zagrożeń, identyfikacji incydentów, nie zidentyfikowały tego
incydentu, bo gdyby zidentyfikowały, nie trwałby on miesiąc. Faktycznie ktoś go po
miesiącu zidentyfikował go pewnie przez przypadek. Natomiast co było celem
przestępców? Kiedy badacze dostali się na serwery z którymi te złośliwe
oprogramowanie się łączyło, znaleźli tam listę celów. Potem, po paru tygodniach,
dostali się do innej części tej infrastruktury i uzyskali listę domen, do których
przestępcy próbowali się dostać i tu mamy takie jednostki jak np. Gmail, Cisco,
Linksys, HTC, D-Link, czyli widać ewidentnie zainteresowanie profilem
technologicznym, natomiast to były firmy do których ci przestępcy mieli dostęp, ale z
niego nie skorzystali, czyli ewidentnie starali się działać po cichu i wiedzieli że jeżeli
dostaną się na stację w Google to jest spore ryzyko że Google dysponujący
odpowiednimi zasobami ludzi i technologii, jest w stanie ich wykryć. Więc mimo iż ten
dostęp mieli, to z niego nie skorzystali.
Ale były też na tej liście firmy do których się dostali i z którego dostępu skorzystali.
Mamy tu np. operatorów telekomunikacyjnych z Azji, Samsunga, Fujitsu, Sony, czy no.
firmę Gauselmann, w której zainfekowana została jedna stacja, która produkuje
automaty do gier. Ktoś z jakiegoś powodu chciał dostać się do sieci firmy produkującej
automaty do gier, taki zbieg okoliczności. Mamy też Intela, VMware, natomiast
najciekawsze jest to, że mamy tutaj takie domeny Samsunga jak samsung.sk i
samsung.sepm. Czy wiecie Państwo co to jest samsung.sepm? Samsung Electronic
Poland Manufacturing, znane kiedyś jako Amica Wronki. Ktoś więc dostał się do sieci
Amiki Wronki i nie wiadomo co tam robił. Nikt nie wie. Był i poszedł. I teraz pytanie:
jakie straty poniesie filia Samsunga, która produkuje najnowocześniejsze lodówki i
pralki w Europie? Czy ktoś zabrał ze sobą plany produkcyjne? Czy ktoś zabrał ze sobą
inne dane? Czy ktoś zabrał ze sobą plany inwestycyjne? A może zabrał ze sobą
schematy urządzeń? Może właśnie w jakimś innym, bardzo dużym kraju, o dużym
rynku wewnętrznym, powstają supernowoczesne lodówki i pralki i nikt nie
zainwestował więcej niż 100 dolarów w ich przygotowanie. Także czasem te straty są
nieznane, bo nie wiadomo co ten przestępca robił wewnątrz sieci, co ukradł, a nawet
jak ukradł i jakie tego będą skutki, a skutki mogą być takie że ta firma będzie kiedyś
miała faktycznie poważne problemy ze zbytem.
Była kiedyś firma telekomunikacyjna w Kanadzie w której Chińczycy siedzieli przez 9
lat. Siedzieli przez 9 lat i kopiowali wszystkie ich urządzenia i nikt się nie zorientował.
Tej firmy nie ma już na rynku. Z jakiegoś powodu musiała zbankrutować. Także
czasem te skutki jesteśmy w stanie zmierzyć, czasem nie, natomiast dobrze żebyśmy
przynajmniej wiedzieli że coś się stało, bo wtedy to nam daje jakąś szansę. Użyjcie
tych argumentów w walce o budżet na rok 2019