Jak wygląda praca "cyberdetektywa" - opowiada nasz bojownik, który tym zarabia na życie

Nasza grupka IRT (Incident Response Team) składa się z kilkunastu konsultantów z przynajmniej 10-letnim doświadczeniem w IT. Jesteśmy jedną z 3 firm w kraju, które mają certyfikat narodowego urzędu bezpieczeństwa, co jest potwierdzeniem jakości obsługi incydentów (Incident Handling).


Co robimy? Chociaż nazwa mówi, że reagujemy, naszą pracę można podzielić na dwie części – reaktywna i proaktywna.

Reaktywna, czyli kiedy już się coś stało!

Kiedy ktoś został zhakowany, potrzebuje szybkiej reakcji, bo czas ma duże znaczenie – w takiej sytuacji może dzwonić na specjalny numer alarmowy i otrzymuje fachową pomoc najpierw zdalnie, jeżeli to możliwe, a później osobiście tam, gdzie to potrzebne, w siedzibie firmy, w centrum danych czy nawet w jakiejś placówce daleko za granicą. Po ustabilizowaniu sytuacji pomagamy również z dokumentacją i raportami, które należy dostarczyć do urzędu bezpieczeństwa czy ministerstwa cyfryzacji w razie wycieku informacji personalnych lub utajnionych. W przypadku problemu koszt takiej interwencji może być bardzo wysoki, dlatego firmy, które biorą cyberbezpieczeństwo na poważnie, wiedzą, że w każdej chwili mogą potrzebować pomocy i wykupują „karnet” godzin. Wtedy wychodzi to trochę taniej i dodatkowo otrzymują kilka proaktywnych usług w pakiecie, o czym opiszę w dalszej części.

Najwięcej zgłoszeń jest z powodu prób phishingu, albo ktoś otrzymał e-mail, którego nie jest pewien i prosi o sprawdzenie, czy link/załącznik są bezpieczne, albo ktoś już nadział się na haczyk i jego login i hasło zostało wykradzione – wtedy naszym zadaniem jest zatrzymać dalsze możliwości hakera. Najczęściej konto użytkownika musi najpierw zostać całkowicie zablokowanie we wszystkich powiązanych systemach, a później sprawdzamy wszystkie możliwe logi w celu ustalenia kiedy to się stało, kto może za tym stać, jakie informacje mogły być odczytane, skopiowane lub zmienione przez hakera oraz czy są podobne operacje na kontach innych użytkowników. Zależnie od tego, jak system jest skonfigurowany, czasami mamy bardzo dużo informacji i można z tego ułożyć tzw. dziennik zdarzeń z dokładnymi datami i informacjami kto, kiedy i co zrobił w którym systemie. Jeżeli system nie jest dobrze skonfigurowany, zdarza się, że nie ma prawie żadnych logów, wtedy taki raport jest niestety bardzo krótki. W takich sytuacjach zazwyczaj pomagamy ustawić systemy tak, żeby ten sam problem się nie powtórzył.

Czasami zdarzają się duże problemy, jak np. wszystkie komputery i serwery zostały zablokowane przez ransomware. Dla tych, co nie znają pojęcia ransomware, krótko mówiąc jest to szyfrowanie plików dla okupu. Haker włamuje się do systemu i uruchamia wirusa szyfrującego lub bardziej popularne rozwiązanie - wysyła go użytkownikowi, który nieświadomie uruchamia wirusa.

Jest wiele różnych wersji ransomware, zazwyczaj szyfrują one najpopularniejsze typy dokumentów, jak MS office, PDF, zdjęcia, archiwa zip itp. Po zaszyfrowaniu klient otrzymuje informację, że może odzyskać swoje pliki z powrotem po zapłaceniu jakiejś kwoty w bitcoinach. Są ludzie, którzy decydują się na zapłatę, ale nie powinno się tego robić z następujących powodów: nie ma gwarancji odzyskania plików, nie ma gwarancji, że po odzyskaniu plików po jakimś czasie znowu nie zostaną one zaszyfrowane, a płacąc sponsorujesz rozwój nielegalnych działalności.

Jak w takim razie zabezpieczyć się przed ransomware, poza oczywistymi punktami jak antywirus i nieotwieranie wszystkich możliwych linków i załączników? Dobre kopie zapasowe/kopie bezpieczeństwa, jestem bardziej przyzwyczajony do słowa backup (z góry przepraszam za używanie tego słowa). W erze wirtualizacji wszystkiego, przywrócenie całej infrastruktury z backupu można zrobić nawet w ciągu kilku godzin, jeżeli oczywiście backup działa, a to kolejny błąd bardzo wielu klientów. Prawie wszystkie firmy inwestują w oprogramowanie i nośniki danych dla backupu, ale bardzo niewielu ma rutynę sprawdzania, czy rzeczywiście da się odzyskać dane. Niektóre rozwiązania mają wbudowane sprawdzanie integralności backupu po jego zakończeniu, ale to nadal nie daje gwarancji odzyskania plików.

Druga sprawa - zasada 3-2-1: trzy kopie, dwa różne nośniki danych i jedna kopia w innej lokalizacji albo offline. W raporcie np. z ataku na Hydro można przeczytać, że hakerzy najpierw usunęli/uszkodzili backup, a potem zaszyfrowali pliki, dlatego nie wystarczy jedna kopia i na dodatek w tej samej sieci. Jeżeli zaszyfrowane zostały jakieś dane, których nie da się odzyskać z backupu czy nawet przez zapłatę, jest nadzieja, że klucze do odszyfrowania wyciekną za jakiś czas, więc można skopiować zaszyfrowane pliki na jakiś nośnik zewnętrzny, zainstalować system od nowa na czysto i sprawdzać co jakiś czas projekty typu No More Ransom lub Kaspersky Ransom decoders. Zdarza się, że po fali jakiegoś wirusa ransomware jego autorzy zostali nakryci, zhakowani przez innych lub po prostu zarobili dosyć i klucze do rozszyfrowania zostają gdzieś udostępnione – tym sposobem można nawet po kilku latach rozszyfrować swoje pliki.


Czasami zdarzają się bardziej skomplikowane problemy: klient został zhakowany, coś się działo w systemach i na komputerach – rozpoczynamy prawdziwe polowanie na informacje. W systemie operacyjnym można znaleźć bardzo dużo bardzo cennych informacji, jednak ważne jest, żeby podczas „śledztwa” nie zniszczyć dowodów. Dlatego robi się tzw. zrzut pamięci danego systemu/serwera oraz kopię dysków. Pamięć zawiera bardzo dużo informacji, co się działo w systemie od jego załączenia – jeżeli komputer zostanie wyłączony, pamięć jest opróżniona, więc odłączenie wszystkich kabli od komputera w przypadku podejrzenia, że zostało się zhakowanym, nie jest najbardziej korzystnym rozwiązaniem. W przypadku zaszyfrowania plików przez niektóre starsze wirusy ransomware można nawet odzyskać klucze do odszyfrowania, jeżeli komputer nie został uruchomiony ponownie od czasu zaszyfrowania. Dużo mógłbym pisać, jak przebiega analiza pamięci i dysków, ale wydaje mi się, że to byłoby trochę za bardzo techniczne. Jeżeli ktoś chce porozmawiać na bardzo zaawansowanym poziomie, to można mnie spotkać na Discord.

Bardzo spłycając temat analizy, na dysku są różnego rodzaju logi systemowe i logi z różnych programów, oprócz tego są ślady metadata – czyli kiedy jakiś plik był utworzony, kiedy zmieniony, przez jakiego użytkownika itp. Tego jest bardzo dużo przy standardowej konfiguracji systemu, a jeżeli dodatkowo ustawione są reguły specjalnego audytu bezpieczeństwa i logowanie operacji korzystając na przykład z Sysmon od Sysinternals, to można utworzyć dziennik zdarzeń z taką dokładnością, że większości normalnych użytkowników szczęka opada (porównanie bazuje na faktycznych reakcjach klientów). W pamięci można znaleźć takie informacje jak np. hasła, tymczasowy „cache” zdjęć, które się przeglądało, informacje o programach i co było w nich robione itp.

Jeżeli ktoś myśli, że usunięcie historii w przeglądarce lub tryb incognito nie zostawia śladu, to trochę się myli. Tak samo usuwanie plików z kosza to w rzeczywistości zamiatanie ich pod dywan ;)

Zaawansowana analiza jest robiona na kopiach, nie na „żywym” systemie. Każda informacja, która ma jakieś znaczenie, musi być udokumentowana. Do każdego pliku, w którym znaleziono informację, generuje się tzw. hasz – unikalny ciąg znaków zależny od zawartości pliku – jakakolwiek zmiana w pliku zmienia hasz całkowicie. Jeżeli dwa pliki mają taki sam ciąg znaków jako hasz, znaczy, że są identyczne (są oczywiście wyjątki, ale nie będę robił zamieszania). W sytuacji kiedy jest jakaś wątpliwość, czy plik został w jakiś sposób zmieniony, porównuje się hasz z raportu z tym na „żywym” systemie lub na kopii, na której się nie pracowało. Takie dowody mogą być również uznane w rozprawach sądowych.

Po zakończeniu dochodzenia i dostarczeniu raportu klienci potrzebują pomocy w naprawieniu swoich systemów i powrocie do normalnego stanu. IRT planuje i proponuje rozwiązanie, a oddział IT klienta lub inni konsultanci zajmują się już implementacją.

Proaktywnie, czyli zanim się coś stanie

Klienci, którzy biorą cyberbezpieczeństwo na poważnie, wiedzą, że to tylko kwestia czasu, kiedy ich firma może być zaatakowana, dlatego próbują się przygotować. Czasami zamawiają testy penetracyjne, które próbowałem opisać w poprzednim artykule, ale nie jest to jeszcze popularna usługa wśród małych i średnich firm. W pakiecie proaktywnym można otrzymać kilka usług:

SOC (Security Operations Center) – firma ma centralne biuro SOC, gdzie siedzi kilka doświadczonych informatyków 24/7/365 i patrzą na ekrany, na których są różne informacje i alarmy od wielu różnych klientów. Jeżeli pojawia się coś podejrzanego, od razu informują IRT i klienta. Wiele firm ma swoje systemy SIEM – Security Information and Event Management, gdzie zbierają logi z różnych systemów i są one grupowane, filtrowane i analizowane przez algorytmu lub „sztuczną inteligencję”.

Problem jest taki, że w większości firm nie mają wystarczająco pracowników z wymaganymi kompetencjami, żeby ktoś cały czas sprawdzał logi czy alarmy. Na dodatek często trzeba dopasowywać filtrowanie, żeby uniknąć niepotrzebnych alarmów i to też wymaga trochę doświadczenia. Dlatego część klientów wysyła swoje logi do SOC-u. Firmy używają różnych produktów, ale najbardziej popularne są QRadar, Splunk i ELK Stack – logi po odpowiednim przefiltrowaniu trafiają do centralnego serwera, gdzie za pomocą m.in. IBM Watsona i innych skomplikowanych algorytmów są tworzone trendy zachowań. Bardzo upraszczając, system uczy się przez jakiś czas, co jest normalnym ruchem w sieci i co jest normalnym zachowaniem w systemach poszczególnych klientów. Jeżeli coś odstaje od normy, algorytmy biorą to pod lupę. Jednoznaczne zagrożenia generują alarmy automatycznie, a w przypadkach, gdzie algorytm nie jest pewny zagrożenia, technicy muszą to sprawdzić dokładniej. Jedną z dodatkowych zalet SOC jest możliwość porównania trendów u różnych klientów. Jeżeli np. u jednego klienta pojawił się jakiś wirus, który zaczyna infekować serwery, przy pojawieniu się podobnych objawów u innego klienta można zareagować dużo szybciej.


Vulnerability Scanning – skanowanie podatności – raz na kwartał skanowane są publiczne adresy IP klienta i testowane, czy nie ma jakich znanych podatności w systemach. Wielu klientów myśli, że jeżeli kupią najdroższą zaporę ogniową next-gen, która jest na pierwszych miejscach we wszystkich rankingach, to są bezpieczni, przynajmniej przez kilka lat. Niestety cyberbezpieczeństwo rozwija się tak szybko, że nawet najlepszy produkt z miesiąca na miesiąc może przestać być taki dobry. Weźmy na przykład Cisco ASA z FirePOWER, produkt z wyższej półki, w ciągu ostatnich 6 miesięcy znaleziono kilka bardzo poważnych podatności, Cisco bardzo szybko wprowadziło aktualizacje, ale klienci nie zwykli aktualizować za często, dlatego taki skan podatności powinien być robiony przynajmniej 2 razy w roku. Bardzo często też po takim skanie okazuje się, że na raporcie są jakieś urządzenia czy serwery, o których klient sam nie słyszał – możliwe, że jakiś stary nieudokumentowany system albo coś, co było tymczasowym rozwiązaniem i tak zostało. Jeden z klientów miał stary router podłączony do jednej z wewnętrznych sieci i przydzielony do niego jeden z publicznych adresów IP. Przed skanem nie miał pojęcia, że coś takiego istnieje. Okazało się, że było to tymczasowe rozwiązanie dla jednej z firm, która dostarczała jakiś system dobre kilka miesięcy wcześniej.

Prezentacje i szkolenia – na życzenie klienta przeprowadzamy techniczne prezentacje i szkolenia dla lokalnych działów IT w firmach. Co roku bierzemy też udział w tzw. tygodniach bezpieczeństwa, gdzie różne firmy z całej Norwegii dzielą się doświadczeniami i prezentują rozwiązania, oprogramowanie i usługi.

Jak to mówią, „mądry Polak po szkodzie” – w sumie to każdy trochę mądrzeje po szkodzie, a szczególnie ci, którzy myśleli, że byli już najmądrzejsi przed szkodą. Bardzo dużo firm zaczyna myśleć o bezpieczeństwie, kiedy stanie się coś złego, wtedy nagle okazuje się, że jednak są fundusze na zakup jakiegoś sprzętu czy oprogramowania, na które jakoś nie było wcześniej. Szkoda tylko, że trzeba było wyrzucić masę kasy na naprawę szkód po szkodzie.
Nie mogę opisywać akcji, w których brałem udział, ale mogę opisać kilka przykładów z oficjalnych i upublicznionych raportów.

Mała firma zajmująca się usługami miała pierwszą linię helpdesku w jednym z krajów wschodnich. Została zaatakowana przez wirus ransomware i część systemów została zaszyfrowana. Między innymi serwery z bazami danych, od których zależała cała firma. Kiedy to się stało, zagraniczni technicy nie byli w stanie tego naprawić i próbowali przez kilka dni, robiąc jeszcze większe zamieszanie. Okazało się, że firma miała backup, ale nie działał, nie dało się odzyskać ani jednej bazy danych. Firma zdecydowała się rozpocząć od nowa, tzn. obok pozostałości starego systemu, gdzie kilka serwerów jeszcze działało, zainstalowano nowe serwery i nową domenę w „chmurze”. Sama instalacja zajęła kilka tygodni, ale odbudowanie utraconych danych trwało dużo dłużej. Łącznie od ataku do powrotu do normalnego działania potrzebne były prawie 3 miesiące. Firma prawie zbankrutowała.

Duży koncern produkujący części samochodowe, z biurami i fabrykami na kilku kontynentach, miał dosyć niemiłą sytuację. Firma miała powodzenie, dużo ważnych zleceń i dobrą renomę. Kilka lat temu zaczęła przegrywać przetargi. Na początku wyglądało to normalnie, raz na wozie, raz pod wozem, ale fala niepowodzeń szczególnie przy dużych kontraktach zaczęła budzić niepokój. Wcześniej nie mieli problemów z wygraniem podobnych przetargów. Przez dłuższy czas firma musiała się utrzymać z mniejszych kontraktów. Po ponad pół roku przy analizie systemów okazało się, że firma od dawna była inwigilowana przez hakera, który wykradał poufne informacje m.in. na temat produktów, planów, przetargów i dostawców. Firma nie miała wystarczających dowodów, gdzie te informacje zostały sprzedane i który z konkurentów miał do nich wgląd, jedyne, co mogli zrobić, to załatać swoje systemy i próbować odbudować renomę.

Dla ciekawych tego typu historii polecam poszukać opisu ataku na firmę transportową Maersk lub firmę Hydro, albo przypadek firmy oprogramowania M.E.Doc.

* * * * *

To tyle tym razem. Można zadawać pytania w komentarzach, postaram się odpowiedzieć, jeżeli umiem. Dla tych, co chcieliby się ze mną skontaktować i porozmawiać bardziej konkretnie i technicznie, czasami bywam dostępny na Discord: TrondWeil #9478