Pracę w polskich firmach, od mikrofirm zatrudniających jedną osobę, aż po polskie oddziały wielkich korporacji, w większości cechuje nieufność przełożonych wobec podwładnych i brak wzajemnego zaufania. Prowadzi to do wdrażania coraz bardziej paranoicznych zabezpieczeń, próbujących chronić wszystko, co ma jakąkolwiek wartość, przy okazji zaś coraz bardziej zmniejszających realną produktywność.
Brak wzajemnego zaufania jest ścieżką do nikąd, co pokazuje ujawniony wczoraj wyciek danych z centrum operacyjnego Citi. Kolejne warstwy zabezpieczeń tylko coraz bardziej utrudniają pracę, powodując przy okazji frustrację: „skoro i tak mi nie ufają i traktują jak zasób/złodzieja/pieczarkę, nie chcę i nie będę się z nimi identyfikować”.
Sytuację utrudnia podejście pracowników działów IT, które sprowadza się do podejścia CYA (cover your ass) zamiast chęci wsłuchania się w czyjeś problemy i realnej pomocy (kosztem własnego czasu i wysiłku). Podejście, które bierze się z patrzenia na własną rolę w organizacji jak na formę władzy, zamiast jak na służbę wobec innych pracowników.
W opinii autora jest to w dużej części efekt promowania w XXIw. postaw społecznych stawiających na egoizm, nadmierną asertywność i zabezpieczanie w pierwszej kolejności siebie oraz najbliższej rodziny, zamiast współpracy i dbania o dobro wspólne. Podejście takie, nie dość, że niewłaściwe, jest w dodatku bezsensowne w kontekście ochrony firmowych aktywów, ponieważ odpowiednio zmotywowany (lub sfrustrowany) pracownik i tak jest w stanie ominąć niemalże wszystkie zabezpieczenia (jest to kwestia wyłącznie motywacji i czasu).
Niniejszy artykuł ma za zadanie skłonić osoby decyzyjne w różnych firmach do myślenia: czy rzeczywiście iluzja bezpieczeństwa IT powinna zastępować wzajemne zaufanie?
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.
Pamiętaj o umowach, jakie podpisałeś ze swoim pracodawcą – ewentualny wyciek danych może mieć dla Ciebie bardzo poważne konsekwencje prawne i finansowe. Dlatego jeśli już omijasz zabezpieczenia, aby np. móc w zaciszu domowym opracować jakiś dokument, pamiętaj, że przejmujesz w ten sposób odpowiedzialność za zabezpieczenie wyniesionych danych.
Przejdźmy więc do konkretów.
Firmowy komputer i system operacyjny
Najskuteczniejszą warstwą zabezpieczeń, jakie może wdrożyć Twój pracodawca, są zabezpieczenia bezpośrednio na poziomie Twojego komputera. Mogą to być np.:
- okresowe zrzuty ekranów, lub wręcz obserwacja ekranu przez cały czas
- logowanie klawiatury
- monitoring tworzonych i otwieranych plików na podobnej zasadzie, jak robi to program antywirusowy, ale w poszukiwaniu określonych typów danych, np. numerów kart kredytowych, lub wzorców specyficznych dla danych przetwarzanych przez firmę
Teoretycznie od czasów systemu Windows 2000 wszystkie uruchomione w systemie procesy są jawne i nie ma możliwości ich ukrycia, więc jeśli wiesz, czego i jakimi narzędziami szukać, powinieneś łatwo je odnaleźć. Istnieją jednak programy działające w formie tzw. root-kitów, infekując jądro systemu Windows, a więc korzystając z tych samych mechanizmów, co złośliwe oprogramowanie. Twój pracodawca nie kupi wprawdzie takich programów oficjalnie w żadnym sklepie, może natomiast poprosić programistę o przygotowanie rozwiązania dedykowanego dla swojej firmy.
Dlatego właśnie powinieneś z góry założyć, że system preinstalowany przez dział IT Twojej firmy, czy nawet instalowany samodzielnie z płyty dostarczonej przez dział IT (a innej, niż oryginalna), może zawierać niespodzianki, których nie będziesz w stanie wykryć, a które mają na celu śledzenie Twoich działań.
Co powinieneś zrobić?
Odbierając komputer zapytaj, jaki system jest na nim zainstalowany. Przygotuj się na różne wersje systemu Windows, oraz na kilka najpopularniejszych dystrybucji systemu Linux: Ubuntu, Fedora itp. Niezależnie od tego, jaka odpowiedź padnie, zapytaj, czy dział IT (nie Ty!) może Ci wgrać inny system (tu wymień konkretny), bo do niego jesteś przyzwyczajony. W odpowiedzi najczęściej dostaniesz płytę z wersją instalacyjną takiego systemu (Windows), lub sugestię, abyś sobie sam ściągnął i zainstalował (Linuxa, BSD itp.).
Staraj się zadawać pytania w taki sposób, który nie wyda się podejrzany. Twoim głównym motywem do zmiany systemu powinny być lenistwo i przyzwyczajenie. Motywy zbieżne z celami firmy (np. mówienie o zwiększeniu Twojej produktywności) mogą się wydać podejrzane.
Czasem spotkasz się z odmową instalacji innego systemu. Co wtedy? Po pierwsze, popracuj na nim przynajmniej kilka-kilkanaście dni, aby się zapoznać z jego specyfiką i spróbuj pogrzebać w różnych elementach konfiguracji. Sprawdź też w karcie Właściwości dysku C:, w zakładce Sprzęt, jakiego rozmiaru dysku twardego używa komputer (jeśli to laptop, jest to z reguły SATA 2.5 cala, albo mSATA/m.2 1.8 cala).
Po drugie, kup sobie dysk twardy tej samej wielkości (w przypadku dysków twardych 2.5 cala zwróć też uwagę na grubość: do laptopa pasują tylko dyski grubości 9.5 mm), oraz system Windows w tej samej wersji co firmowy (np. Windows 7 Professional PL), koniecznie pudełkowy (BOX, nie OEM). Następnie wymontuj z komputera oryginalny dysk, podmieniając go na swój, zainstaluj na nim od zera własny Windows i ucharakteryzuj tak, aby przypominał firmowy (np. tapeta firmowa itp.). Instrukcje wymiany dysku znajdziesz w serwisie Youtube.com.
Pamiętaj, aby w razie zakończenia współpracy z pracodawcą oddać mu komputer już z oryginalnym dyskiem. Miej też śrubokręt i oryginalny dysk pod ręką na wypadek różnych operacji wykonywalnych manualnie przez pracowników Twojego działu IT, np. podłączanie po kolei wszystkich komputerów do domeny AD.
Pamiętaj także, że pomieszczenie, w którym pracujesz, może być obserwowane przez kamery (również ukryte), które mogą zarejestrować Twoje majstrowanie przy komputerze. Dlatego też, jeśli masz laptopa i możesz go oficjalnie wynosić, podmieniaj dysk w domu.
Przeglądanie stron www
Kontrola stron www otwieranych przez pracownika to jedna z najprostszych i najbardziej popularnych technik monitoringu wśród polskich pracodawców. Strony są kontrolowane głównie na okoliczność:
- kontroli ilości czasu spędzanego na aktywnościach niezwiązanych z pracą
- zapobieganiu takim aktywnościom (np. blokada Facebooka)
- zapobieganiu wyciekom danych (głównie przypadkowym)
- zapobieganiu wizytom na stronach z nielegalnymi treściami, np. pirackie oprogramowanie, pornografia itp.
Aby uwolnić się od tej kontroli, przede wszystkim przygotuj sobie serwer SSH poza firmą (np. na łączu domowym) i na nietypowym porcie. Ważne, abyś mógł zalogować się na niego z zewnątrz (musisz w tym celu zrobić przekierowanie portu na routerze domowym, port zewnętrzny z zakresu 20000-60000, port docelowy 22) i abyś znał jego adres IP lub nazwę hosta (jeśli masz łącze z dynamicznym IP, możesz użyć usług typu noip.com). Sam serwer możesz postawić na jakimś tanim, miniaturowym komputerze (poszukaj „thin client futro” i „raspberry pi” na Allegro) – ważne tylko, aby działał na nim Linux (w dowolnej wersji) i serwer SSH.
Na komputerze firmowym potrzebujesz natomiast darmowego programu PuTTY. Poniższy przykład będzie się opierał o PuTTY i przeglądarkę Firefox, ale możesz używać również dowolnej innej.
Najpierw utwórz profil połączenia PuTTY ze swoim serwerem SSH. Poza standardowymi ustawieniami skonfiguruj też tzw. dynamic port forwarding (obrazek po lewej). Natomiast w przeglądarce włącz przepuszczanie połączeń przez Socks proxy na porcie, który ustawiłeś w PuTTY (obrazek po prawej, na przykładzie port 8080).
Pamiętaj, aby ustawić w przeglądarce wyjątki, dla których ruch nie będzie puszczany przez proxy:
- do domen firmowych – zarówno w intranecie, jak i do stron publicznych firmy i jej klientów, dostawców itp.
- jeśli w Twojej firmie standardem jest np. korzystanie w pracy z Facebooka lub innych stron do celów prywatnych, Ty równiez korzystaj z nich otwarcie, aby Twoje zachowanie nie odstawało od przyjętych norm (bycie „świętym” rodzi podejrzenia, że ktoś puszcza ruch przez proxy, a Ty przecież tego nie robisz, prawda?)
Czyść historię przeglądanych stron w przeglądarce – prewencyjnie co jakiś czas, oraz zawsze bezpośrednio po zrobieniu czegoś, co powinno pozostać niejawne.
Na koniec pamiętaj, aby po zalogowaniu się przez SSH uruchomić na konsoli polecenie „top”, które będzie zapobiegać rozłączeniu sesji przy braku aktywności przez określony czas.
Pracodawca blokuje połączenia wychodzące?
Niektórzy pracodawcy blokują połączenia wychodzące wierząc, podniesie to poziom bezpieczeństwa sieci firmowej. Nic bardziej mylnego. W takim przypadku masz kilka opcji:
- Sprawdź, czy blokowane są naprawdę wszystkie połączenia, na wszystkie możliwe adresy i porty. Często okazuje się, że niektóre porty (np. 80, 443, 993 itp.) nie są blokowane. Wówczas wystarczy, że ustawisz na routerze domowym przekierowanie portu, którego Twój pracodawca akurat nie zablokował, na Twój serwer SSH i połączysz się z PuTTY właśnie przez ten port.
- Czy masz dostęp do serwerów firmowych? Jeśli tak, sprawdź, czy z nich również blokowane są połączenia wychodzące. Jeśli nie, skonfiguruj sobie tunel za pośrednictwem takiego serwera (lub wielu).
- W ostateczności możesz sobie podłączyć do komputera osobny modem GSM (wówczas jednak płacisz za wykorzystany transfer danych).
Na serwerach często jest skonfigurowany audyt historii poleceń. Dlatego zamiast programów nc/ssh/ping itp. lepiej użyj Midnight Commandera i w nim wyklikaj np. próbę połączenia ssh.
Dostęp do danych
Zanim przejdziesz do wynoszenia jakichkolwiek danych, najpierw musisz mieć do nich dostęp.
Sporo korporacyjnych systemów bezpieczeństwa IT bazuje na wykrywaniu i/lub ewidencjonowaniu dostępu do danych: kto, kiedy, skąd, do czego i w jakim celu uzyskiwał dostęp. Często wykrywanie nieautoryzowanego dostępu polega głównie na monitoringu sieci i wykrywaniu po prostu transferu dużej ilości danych. Dlatego właśnie:
- staraj się zawsze mieć podkładkę dla wykonywanych czynności (ticket, mail ze zleceniem itp. zależnie od tego, czego się używa w Twojej firmie do zarządzania pracą)
- jeśli nawet masz fizyczny dostęp do dużej ilości danych na serwerze firmowym i chcesz je skopiować, przed wykonaniem tego zaaranżuj sytuację, która to uzasadni, np. zgłoszenie od klienta (niech je napisze inna osoba, aby miało inną stylistykę), w ramach obsługi którego będzie konieczne wykonanie jakiejś analizy
- staraj się nie przejawiać zachowań odstających od normy w Twojej firmie i zespole: jeśli np. korzystanie z serwera plików po godz. 16:30 jest nietypowe, to tego nie rób
Wynoszenie danych poza firmę
Pamiętaj, że cokolwiek wynosisz poza firmową infrastrukturę IT wbrew polityce firmy, bierzesz pełną odpowiedzialność za zabezpieczenie tego przed wyciekiem. Również w wypadku, gdy np. ktoś się włamie do Twojego komputera. Pamiętaj o możliwych konsekwencjach.
Istnieją generalnie dwa sposoby na wyniesienie danych poza firmową infrastrukturę IT:
- online – czyli przesłanie przez Internet, np. na domowy serwer
- offline – czyli wyniesienie na nośniku (pen drive, dysk zewnętrzny, karta pamięci itp.)
Najlepszym sposobem online jest przesyłanie plików przez SCP, a więc na bazie połączenia SSH. Aby to zrealizować, potrzebujesz darmowego programu PSCP, który ściągniesz z tej samej strony, na której znalazłeś programu PuTTY. PSCP jest programem konsolowym, a więc po uruchomieniu nie wyświetli żadnego okienka. Zamiast tego umieść ten program najlepiej w głównym katalogu dysku C:, abyś mógł go łatwo wywoływać z poziomu konsoli „cmd”, np.:
c:\pscp -P 54321 c:\dokumenty\*.doc login@domena.pl:/home/login/dokumentyfirmowe
Jeśli decydujesz się na metodę offline, pamiętaj, że podłączanie do firmowego komputera dodatkowych urządzeń budzi podejrzenia, tym bardziej, że pracownicy w korporacjach są szkoleni, aby zwracać na takie rzeczy uwagę.
Dlatego właśnie, jeśli już podłączasz do swojego komputera jakiś pen drive, wybierz model miniaturowy, przypominający dongla do bezprzewodowej myszy (szukaj np. Emtec S200 albo Cruzer Fit). Po pierwsze, ze względu na bardzo niewielki rozmiar i czarny kolor większość osób po prostu go nie zauważy, po drugie, wiele osób skojarzy go właśnie z bezprzewodową myszką lub czymś podobnym. Wadą takich pen drive’ów jest transfer danych wielokrotnie wolniejszy od pełnowymiarowych urządzeń, pamiętaj jednak, że bezpieczeństwo jest ważniejsze od szybkości.
Pamiętaj o szyfrowaniu – szyfruj albo nośnik, którego używasz do przenoszenia danych, albo bezpośrednio archiwum z danymi.
Uważaj na zatrute dane
Wiele firm, w szczególności większych, decyduje się na celowe „zatruwanie” lub „brudzenie” posiadanych zbiorów danych, np. poprzez:
- wprowadzenie do zbioru klientów nieistniejących osób (lub danych innego typu) – jeśli takie osoby pojawią się np. gdzieś w Internecie, będzie to automatycznie świadczyło o wycieku
- dodanie na stronach intranetowych dodatkowych, niewidocznych linków, na które wejście będzie świadczyło o tym, że ktoś z pracowników uruchomił robota skanującego i kopiującego treści
- osadzanie w generowanych dokumentach metadanych, np. imienia i nazwiska pracownika, który generuje dokument, adresu IP jego komputera, daty i czasu itp.
- inne techniki tego typu, stosowane również per dział, zespół, lub wręcz pracownik
Dzięki tego typu technikom namierzenie sprawcy wycieku danych często jest stosunkowo proste i szybkie, nawet jeśli do tych samych danych miało dostęp wiele osób. Pamiętaj o tym zanim zrobisz cokolwiek, czego mógłbyś później żałować.
Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.
Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.