Cazul StarNet: Explicația de la A la Z despre scurgerea de date și ce putem face în continuare

alexrailean
Foto: Alex Railean PC: Tabăra de Informatică pentru copii

Alex Railean este profesor la Universitatea Tehnică din Moldova și a intrat în topul celor mai inovativi lectori de la UTM. De asemenea, este implicat activ în proiectul lansat de Privesc.eu – cursuri universitare online.

Alex a scris pe blogul său despre ceea ce s-a întâmplat cu scurgerea de date de la StarNet și la ce ne putem aștepta în continuare, în termeni foarte simpli: Despre StarNet și datele personale, în termeni simpli.

„Ce este un «atac cibernetic»”?

Cineva a accesat resursele interne ale companiei și a copiat unele date găsite acolo. Aceste copii au fost publicate pe Internet, iar astăzi oricine poate face rost de ele.

Atacul putea fi unul sofisticat, necesitând un grad sporit de competență. De asemenea, putea fi și unul trivial, succesul căruia se bazează nu atât pe măiestria vânătorului, cât pe slăbiciunea victimei.

Nu există date tehnice exacte despre ce s-a întâmplat, de aceea nu trebuie să ne grăbim să afirmăm „wow, ce hackeri 1337!” sau „meeeh, ce provider n00b!”. În slangul tehnic englez, 1337 e o formă a lui „leet”, adică „elite”, adică ceva sau cineva sofisticat, de elită; n00b este o formă a lui „newb”, adică „newbie”, adică cineva care mai are multe de învățat, necopt.

În acest moment, nu știm decât ceea ce ne spune StarNet:

 

… au copiat datele de pe un Server de Development, printr-o altă stație virusată care avea deschis un Backdoor.

 

Informația este prea vagă pentru a estima complexitatea atacului.

 

StarNet PC: Facebook/ StarNet
StarNet PC: Facebook/StarNet

La ce să mă aștept?
# SPAM, adică mesaje nesolicitate. Acum adresa ta de e-mail o cunoaște toată lumea. De asemenea, vei primi și spam prin SMS, deoarece numărul de telefon tot e inclus în acele date.
Majoritatea oamenilor ignoră spamul pentru că s-au învățat să separe „pleava de nu pleavă”. Însă în urma acestei scurgeri de date, spamul poate deveni mai sofisticat, fiindcă un mesaj poate începe cu o adresare, de parcă ar veni de la cineva care te cunoaște personal.

# Phishing – tentative de a te manipula cu scopul obținerii accesului la resurse. Mesaje de acest gen încearcă să te convingă să faci ceva, spre exemplu să schimbi parola contului tău la serviciul Banca de Economii sau să participi la tombola Zolușca (oferta e limitată și expiră în 5 ore).

# Spear-phishing, o formă agresivă de phishing, care te caută anume pe tine. În loc de un e-mail de genul „Stimate client, vă rugăm să schimbați parola de la Unibank”, primești unui de genul „Dragă Railean Alexandru, în urma actualizărilor de infrastructură am oferit noi facilități pentru toți locatarii sectorului Buiucani; primii vor beneficia locuitorii din str. Zorzonița. Vă rugăm să apăsați pe acest buton pentru a activa noul serviciu”.

În primul caz, reacția mea e „hah, eu nu am cont la Unibank” și șterg mesajul. În cazul al doilea, mesajul conține foarte multe detalii corecte despre mine – numele și prenumele, referință la locul de trai. Un astfel de mesaj este mult mai credibil decât primul. Dacă oamenii cât de cât familiari cu faptul că Internetul e un ocean plin de rechini flămânzi vor ignora primul mesaj, cel din urmă le va atrage atenția. Un mic procent din ei chiar vor face click și poate că vor nimeri în capcană.

# Alte conturi sparte – dacă numele meu de utilizator la StarNet e „shurique” și parola e „zubatka45” – acum despre aceasta știe toată lumea. Cineva ar putea presupune că eu am aceeași parolă în alte locuri, de exemplu [email protected] sau contul cu același nume pe torrentsmd.eu și așa mai departe.

Tu folosești aceeași parolă în mai multe servicii, nu-i așa? Dacă e cazul, trebuie să le schimbi imediat.

# Încălcări efectuate din numele tău – printre datele accesibile publicului sunt și parole de acces la rețele Wi-Fi. Dacă eu sunt un răufăcător care vrea să spargă o bancă, în loc s-o fac din rețeaua universității mele sau de acasă, mai bine o fac prin Wi-Fi-ul tău. Astfel, când autoritățile se vor apuca de treabă, săgețile vor arăta spre tine.

# Social engineering de tot soiul – tentative de a te manipula pe tine sau pe apropiații tăi, menționând careva detalii personale. Spre exemplu, cineva sună la telefon și zice „Buna ziua, sunteți Railean Alexandru? (Da, zic eu) Domiciliat str. Zărnenii vechi, 45? IDNP 1945-5432-1234? (Da, zic eu) Eu sunt Zorzonela Agafieva de la Union Fenosa, trebuie urgent să achitați taxa de reindexare a contoarelor coaxiale, din scara dvs. au plătit deja toți. (…) Da, da, urgent, invoice-ul expiră mâine. (Apelul se face seara când nu mai lucrează băncile, eu îi zic despre asta) Înțeleg, nu e problemă, noi am deschis special pentru dumneavoastră posibilitatea de a achita prin Paypal, Orange, MoneyGram etc., sau îmi puteți dicta numărul cardului bancar ca să plătesc eu pentru dvs. Din cei 153 mii de oameni din baza de date, dacă măcar un procent se lasă dus de nas, atacatorul poate face rost de 1530 de numere de carduri bancare. Așadar, trebuie să fii foarte vigilent dacă te sună Zorzonela Agafieva!

# Fraude prin intermediul site-urilor plasate pe serverele StarNet. Imaginează-ți că noi reprezentăm compania „Nodoscop SRL” și că site-ul nostru e găzduit de StarNet. În urma spargerii, parola care permite modificarea conținutului site-ului este cunoscută tuturor. Cineva ar putea face modificări mici pe site – să schimbe numărul contului bancar pe care clienții ne transmit banii sau să instaleze acolo un mecanism ce permite controlul la distanță a conținutului paginii web. Da, eventual noi vom schimba parola și vom primi iluzia securității, dar problema e că site-ul a fost deja compromis; unica metodă de a depista aceasta este să examinăm fiecare fișier și să vedem dacă în el s-au produs schimbări.

Cine a fost arestat?

PC: Timpul.md
PC: Timpul.md

În știri se discută despre două persoane reținute. Cine sunt ei? Nu știm, precum nu știm nici cum i-au găsit.

Pe de o parte, zicem că forțele de ordine lucrează foarte bine, dacă au reușit să-i depisteze atât de repede.

Pe de altă parte, tratez cu o doză de scepticism aceste afirmații, din motivul că este ușor să organizezi un atac în așa fel, încât să fie capul altcuiva la bătaie. Un exemplu l-am oferit mai sus, când am zis despre posibilitatea efectuării unui atac dintr-o rețea Wi-Fi asociată cu o altă persoană.

Un alt exemplu: imaginează-ți că ești un om rău care vrea să pună pe jăratic Banca Națională, pentru tot binele pe care ni l-a făcut în ultima vreme. Ai scos din buzunarul cuiva telefonul mobil, ai efectuat un apel în care zici cu o voce modificată: „În clădirea băncii este o bombă!”, apoi strecori telefonul mobil înapoi în buzunarul persoanei de la care l-ai „împrumutat” și dispari. Evident, poliția va veni la persoana de la care ai luat telefonul, nu la tine.

Deseori, oamenii care comit „crime cibernetice” sunt prinși nu pentru că au lăsat careva urme (în analogia noastră – pe telefonul „împrumutat” ai lăsat amprente sau te-a văzut cineva cum l-ai pus înapoi în buzunarul victimei), ci pentru că s-au fudulit. Se va întâmpla așa și la noi?

Când spun despre „urme”, mă refer la detalii tehnice care sunt cunoscute oamenilor familiarizați cu protocoalele de comunicații. Un exemplu tipic este istorioara despre cum l-am găsit pe studentul care mi-a trimis un e-mail anonim – nu a fost niciun fel de magie, e doar analiza indiciilor disponibile.

Ținând cont de faptul că datele publicate erau destul de variate, una din aceste afirmații poate fi adevărată:

#1. Atacatorul a petrecut destul de mult timp (mai multe zile) în rețeaua StarNet pentru a vedea care sunt datele disponibile, deoarece atunci când ești grăbit apuci doar câteva chestii care stăteau la suprafață. Însă setul conține codul unor aplicații web, fișiere textuale cu parole, configurații de echipament, copii ale bazelor de date de billing – e puțin probabil că toate acestea erau concentrate pe un singur calculator.

#2. Atacatorul a avut puțin timp la dispoziție, dar a avut un mare noroc când a dat de un calculator pe care totul era pregătit, arhivat frumușel într-un fișier gata de a fi copiat.

#3. Atacatorul a avut puțin timp la dispoziție, dar a beneficiat de unele cunoștințe despre organizarea internă a StarNet (sau a lucrat acolo, sau a obținut informații relevante de la un angajat, etc.).

#4. Niciuna din variantele de mai sus. Atacatorul, de fapt, este o atacatoare, o super-eroină-hacker-competentă care a făcut totul repede, în pofida complexității sarcinii.

Cu excepția cazurilor care implică mult noroc, efectuarea unui astfel de atac nu este o activitate trivială; oricine care este suficient de competent pentru a-l efectua e conștient de urmele pe care le lasă. Un astfel de om ar avea grijă să șteargă acele urme sau și mai bine – să-l expună pe altcineva. Autoritățile vor fi foarte fericite să spună presei că au prins pe cineva.

Acel altcineva poate fi oricine – unul care avea parola de la Wi-Fi setată la „12345”, unul care a instalat „Windows XP ZverCD” de pe Torrentsmd pentru iconițe mai frumoase (neștiind că în acel Windows sunt preinstalate aplicații care ar putea oferi controlul calculatorului la distanță) sau cineva care a primit în dar (sau a găsit în drum) un flash disk și a pornit o aplicație de pe el etc.

Alte posibilități: să faci aceasta într-un parc public cu Internet gratuit de la StarNet; să utilizezi o cartelă Internet 3G pe care o poți cumpăra din orice ghișeu „Moldpresa” (împreună cu un pachet de țigări, bere și alte chestii tipic asociate cu presa).

Ideea generală este că există multe metode de a ascunde identitatea adevărată pe Internet, ele pot fi combinate între ele. Ar fi straniu dacă persoana sau persoanele din spatele atacului nu știu despre măcar unul din aceste mecanisme, în același timp, cunoscând o serie de tehnici de atac pe care le-au aplicat în această aventură.

 

Fișier din baza de date furată
Fișier din baza de date furată

Cât de calificată este reacția StarNet?
E dificil să fii în locul StarNet-ului în această perioadă – ei trebuie să fie precauți când spun ceva, pentru că societatea îi urmărește cu atenție. Din ceea ce s-a spus până acum, impresia mea este că unele afirmații puteau fi gândite mai bine.

Iată un fragment de știre de pe Agora:

tot ce-a trebuit (parole, accese etc.) este criptat MD5 și alți algoritmi

Sună foarte serios, dar nu și pentru acei care știu că MD5 este un algoritm de hashing, nu unul de criptare.

În al doilea rând, chiar dacă s-a avut în vedere „hashing”, utilizarea acestui algoritm este descurajată deja de câțiva ani și se recomandă aplicarea alternativelor, precum SHA2.

În al treilea rând, dacă examinăm informația disponibilă, vedem că parolele totuși nu erau păstrate în MD5, ci în formă textuală simplă.

Ca să înțelegi care e faza cu MD5, ofer explicații. Acest algoritm modifică orice text într-o secvență unică, de lungime fixă, transformarea este unidirecțională – adică un text poate fi hash-uit, dar din hash nu poți obține textul inițial. O altă proprietate – dacă modifici măcar o literă în textul original, hash-ul acestuia este cu totul diferit:

'privet' -> '54b3f4bd6d43cc7216b7ff064af97926'
'privat' -> '90ceee8a9b1b67d4e50699a0f1d2939e'
'aa'     -> '4124bc0a9335c27f086f24ba207a4912'
'un mesaj mai lung' -> 'c50c767b759ed319d4dde3dfa6386bf0'

Algoritmul lucrează în așa fel, încât oricine poate oricând să transforme „privet” în „54b3f4bd6d43cc7216b7ff064af97926”; dar din „54b3f4bd6d43cc7216b7ff064af97926” este practic imposibil să ajungi înapoi la „privet”.

În baza lor de date, parola se păstrează în forma „privet” – astfel, cineva o poate încerca pe alte site-uri; însă dacă acolo ar fi fost păstrat „54b3f4bd6d43cc7216b7ff064af97926” – conturile mele de pe alte site-uri nu ar fi fost în pericol, datorită faptului că hash-ul nu e reversibil.

Explicația de mai sus este una simplificată, dacă te interesează detalii specifice despre hashing, privește această lecție, unde ofer multe exemple practice (în engleză).

Concluzia este că deocamdată informațiile oferite de StarNet nu corespund realității, iar dacă scoatem din sertar nodoscopul, cred că vom putea găsi alte noduri în papură. Calea asta însă nu o consider productivă, așa că merg mai departe. Sper că în publicațiile ulterioare vom avea parte de informații mai zmeurii.

 

Fișier din baza de date StarNet
Fișier din baza de date StarNet

Ce trebuie să întreprind în aceste circumstanțe?

#1. Dacă folosești parola de la StarNet în altă parte, trebuie s-o modifici.

#2. În general, trebuie să ai o parolă unică pentru fiecare serviciu electronic.

#3. Folosește un instrument precum Keepass pentru a stoca parolele. El merge pe Windows, OS X, Linux, Android, iOS… chiar și pisica vecinei mele folosește Keepass. Datorită acestui instrument, îmi pot permite să am parole unice din cel puțin 20 de simboluri aleatorii, chiar și pe un site pe care intru foarte rar.

#4. În loc de cuvânt, utilizează o frază, adică password vs passphrase. Acestea le memorizezi mai ușor, iar pentru inamic ele reprezintă o provocare mai serioasă, grație lungimii. Exemplu: „gr3uDe$tyu7” vs „Frunza verde de mohor!” sau „Pune la îndoială tot ce zice presa”.

#5. Nu utiliza numele copiilor, data nașterii sau un careva toponim în calitate de parolă. Astfel de parole sunt găsite destul de ușor de către un program automatizat, e ceva simplu de implementat – o fac studenții la lucrări de laborator.

#6. Dacă ai Wi-Fi de la StarNet cu parola standard, schimb-o pe alta.

#7. Nu instala Windows piratat pentru că poți fi sigur că el conține aplicații malițioase. Încearcă să instalezi Ubuntu sau roagă un prieten să te ajute.

#8. Fii vigilent și nu deveni victima șarlatanilor care aplică tehnici de social engineering (precum a încercat s-o facă Zorzonela Agafieva, presupusa angajată Union Fenosa).

#9. Dacă ai cutie poștală pe Gmail, poți adăuga orice sufix cu semnul plus, ca să diversifici adresele. Spre exemplu, dacă adresa mea e [email protected], eu mă înregistrez la StarNet cu adresa [email protected]. Mesajele trimise aici vor ajunge la mine fără probleme, iar dacă într-o zi, StarNet va oferi accidental toată lista adreselor clienților unor spammeri, eu voi putea bloca automat toate mesajele venite pe [email protected], în timp ce acelea venite pe [email protected] le voi primi ca întotdeauna.

#10. Dacă serviciile online pe care le folosești oferă posibilitatea de autentificare prin mai mulți factori (nu doar parolă), activează această opțiune. Dacă o faci pentru a intra în contul tău, va fi necesară nu doar parola, ci și un cod pe care îl vei primi prin SMS, printr-un apel telefonic sau prin e-mail (printre altele).

Încheiere:

  • În locul StarNet putea fi oricare altă companie din Moldova. Sper că lecția au învățat-o toți și că providerului meu nu i se va mai întâmpla asta în viitor.
  • La UTM există cursuri de securitate informațională. Am auzit că sunt destul de interesante și că oricine poate veni la ore sau le poate viziona gratuit online. În semestrul trecut, a fost chiar și o discuție despre păstrarea parolelor în bazele de date.
  • Acest articol e publicat printr-o rețea Wi-Fi găsită pe la vecini, parola am găsit-o… știi tu unde…
Share: Share on Facebook Share on Twitter Share on Telgram
Comentarii
  • Știri pentru tine
  • Lifestyle din stânga nistrului

  • Portalul CIVIC.MD: Activitati ONG, anunturi, granturi, job-uri, voluntariat, evenimente