The Panama Papers leak

Mohlo by jít o další z úniků dat, na které jsme si už téměř zvykli. Existuje však několik NEJ momentů, kvůli kterým stojí za to se na tuto událost podívat blíže.

Zveřejněno dne: 19. 04. 2016

aricoma avatar
Především se jedná o dosud největší zveřejněný únik dat z hlediska rozsahu a hrubého objemu dat, který byl zveřejněn v rámci známých úniků dat, a o jeho dopadu v budoucnu jistě ještě uslyšíme.

Základní fakta
  • 2,6 TB dat
  • 11,5 milionu dokumentů
  • Odhadem 13 t papíru, pokud by se všechna data vytiskla.
  • záznamy týkající se více než 214 000 společností
  • Roční analýza dat stále probíhá
  • na analýze dat se aktivně podílelo více než 300 lidí
  • údaje z let 1977 až 2016
  • dokumenty týkající se mimo jiné více než 140 politiků a významných osobností z celého světa, včetně světových lídrů (již bývalý premiér Islandu, premiér Pákistánu, prezident Ukrajiny a Ázerbájdžánu)

Obětí byla panamská právní firma Mossack Fonseca, která má pobočky po celém světě. Mossack Fonseca je jednou z předních firem specializujících se na zřizování offshoreových bankovních účtů pro bohaté a mocné. Uniklé dokumenty odhalují podrobnosti o tajných fiktivních společnostech v daňových rájích a o lidech, kteří tyto společnosti využívají. Na poskytování těchto služeb by nebylo nic nezákonného, protože mnoho bankovních subjektů tyto legální cesty využívá i pro účely obchodování a daňové optimalizace, ale Mossack Fonseca zjevně kryla nezákonné příjmy řady vysoce postavených a vlivných lidí. Byli mezi nimi politici, mafiáni, prezidenti, diktátoři, ale také sportovci světové úrovně, kteří se však nemuseli vždy objevit přímo na některém ze seznamů. Jejich přímá identita byla v mnoha případech skryta za rodinnými příslušníky, přáteli a sympatizanty.

Odhalení sítě finančních machinací

Za zveřejněním uniklých údajů stojí investigativní novináři z deníku Süddeutsche Zeitung (SZ) společně s Mezinárodním konsorciem investigativních novinářů (ICIJ). První kontakt s novináři navázal útočník již na konci roku 2014. První data jim zaslal na začátku roku 2015. Jednalo se o e-maily, bankovní transakce, kopie pasů, databázové soubory, obrázky atd. Vzhledem k tomu, že tak velké množství dat by bylo i v této podobě (včetně skenů dokumentů) velmi obtížné zpracovat ručně, rozhodla se skupina novinářů ze všech dokumentů extrahovat data a vytvořit databázové struktury, aby bylo možné data vyhledávat podobně jako v Googlu. Použili k tomu specializovaný software s názvem Nuix. Téměř po celý zbytek roku 2015 pracovala skupina více než 300 novinářů na rozkrytí sítě společností, jednotlivců a bankovních transakcí, jejichž úkolem bylo v mnoha případech zastřít tok obrovského množství peněz, které jsou obecně považovány za jeden z nástrojů praní výnosů z trestné činnosti. V některých případech byly odhaleny podezřelé transakce, které byly spojeny s velkými loupežemi (Brink's-Mat), úplatkářskými skandály (FIFA, Watergate) a praním špinavých peněz obecně.

Tým investigativních novinářů se zaměřil také na širší okruh lidí kolem těchto "zájmových osob". Nejprve na rodinné příslušníky, poté na přátele, známé a sympatizanty, a narazil například na vazby na ruského prezidenta Vladimira Putina s transakcemi v hodnotě až 2 miliard dolarů.
Dušan Červenka
Security Technologies and Risk & Compliance Director

Bezpečnostní chyby = data jako na talíři

Ačkoli zatím není zcela jasné, které bezpečnostní chyby byly při útoku zneužity, je jasné, že útočníci měli na výběr ze zranitelností, které přímo využívaly známé díry v systémech společnosti Mossack Fonseca. Ty mohly a měly být již dávno opraveny. Pravděpodobně se tedy nejednalo o žádnou zranitelnost nultého dne, protože ta v tomto případě nebyla skutečně nutná.

Jako hlavní podezřelí přicházejí v úvahu systémy CMS WordPress a Drupal s více než 25 neopravenými zranitelnostmi, mimo jiné včetně zranitelností SQL injection a DROWN attack. Na těchto systémech CMS byly postaveny klientské portály, jejichž prostřednictvím klienti společnosti Mossack Fonseca přistupovali ke svým citlivým údajům.

Svou roli v tomto úniku mohl sehrát server Exchange 2010 s webovým přístupem OWA s verzí naposledy aktualizovanou v roce 2009. To jistě přilákalo potenciální útočníky.

WordPress také obsahoval zranitelnost v zásuvném modulu Revolution Slider. Servery, které byly pravděpodobně cílem útoku, používaly starší protokol SSL 2.0. Ve společnosti Mossack Fonseca se protokol TLS vůbec nepoužíval. Společnost Mossack Fonseca si také příliš nelámala hlavu se šifrováním e-mailů a data jednoduše nešifrovala.

Včasná aplikace záplat je jedním z nejúčinnějších a relativně levných opatření pro zabezpečení informačních systémů, které snižuje plochu pro útoky. Přesto je stále zřejmé, že ani společnosti, které mají co skrývat, se těmito základními otázkami příliš nezabývají. Statistiky uvádějí, že až 80 % informačních systémů přístupných z internetu obsahuje alespoň jednu zranitelnost. Z pohledu potenciálního útočníka je to stůl plný dobrot v globálním měřítku a takto zveřejněné útoky jsou jen třešničkou na dortu.

Motivovaný jednotlivec nebo skupina?

Krádež dat společnosti Mossack Fonseca se snaží analyzovat řada bezpečnostních expertů a někteří se přiklánějí k názoru, že by mohlo jít i o interního útočníka z řad zaměstnanců nebo dodavatelů, jako tomu bylo v případě NSA a Edwarda Snowdena. Jednalo se však o poměrně velké množství dat a je pravděpodobné, že k tak velkému množství "chráněných" dat mělo přístup jen velmi málo interních lidí. Odhalení pachatele by proto netrvalo příliš dlouho. Přesto se o něm zatím neví.

V případě externího útočníka zůstává otázkou vektor útoku. Zda se externí útočník dostal k údajům dírou v některém z informačních systémů, nebo zda získal přístup k některým přihlašovacím údajům prostřednictvím sociálního inženýrství či jinou z mnoha možných cest, zůstává prozatím nevyřešeno.

Není také známo, zda se jednalo o jednotlivce nebo skupinu. K útoku se nepřihlásila žádná hackerská skupina, takže je docela dobře možné, že jde o dílo jednotlivce.

Zajímavé také je, že útočníkovi pravděpodobně nejde o peníze, protože podle listu SZ neočekával za poskytnutí informací finanční kompenzaci. Motivací útočníka je podle tvrzení SZ odhalit pozadí finančních machinací politických špiček.

Informace v centru pozornosti

Pokud mají společnosti co skrývat (a společnosti poskytující právní služby na jakékoli úrovni rozhodně mají co skrývat), musí být velmi opatrné při ochraně svých údajů i údajů svých klientů. Na začátku každého bezpečnostního opatření je třeba zodpovědět základní otázky:

  1. Jaké údaje vlastníme, zpracováváme nebo jinak disponujeme?
  2. Jaké potenciální škody by nám mohly vzniknout, kdyby se tyto údaje dostaly na veřejnost?
  3. Koho by naše údaje mohly zajímat a proč; komu by pomohly?
  4. Kde tyto údaje uchováváme?
  5. Kdo má k těmto údajům přístup?
I když si společnost dokáže odpovědět na tyto základní otázky, nemůže zůstat chladná, a pokud to s bezpečností informací myslí vážně, zváží zavedení alespoň základních bezpečnostních opatření.

Často se však naši konzultanti setkávají s tím, že již u první otázky narážejí firmy na problém klasifikace informací, což je vlastně jakási inventura v oblasti podnikových informací, a bez tohoto kroku je velmi obtížné zavést jakákoli další bezpečnostní opatření na ochranu informací tak, aby bylo možné k jejich ochraně přistupovat systematicky. Poradenství od společnosti, která se dlouhodobě zaměřuje na poskytování poradenských služeb v oblasti informační bezpečnosti, může pomoci popasovat se i s těmito problémy.

 

Ochrana údajů i pro společnosti poskytující právní služby

Společnosti poskytující právní služby se mohou spoléhat na svůj vliv a znalost práva, že snad v potenciálních útočnících vzbudí respekt a strach, že po nich půjdou důrazněji, ale jak se ukázalo v tomto případě, dostatečně motivovaného útočníka je velmi obtížné odradit. Zvláště pokud již samotný kyberprostor poskytuje dostatečnou anonymitu a ochranu.

Dobré zákony jsou sice dobrým právním základem pro ochranu firem a jednotlivců, ale samotné citlivé údaje mohou chránit jen minimálně. Proto je při jejich ochraně mnohem efektivnější zaměřit se na nastavení procesů informační bezpečnosti a spolu s využitím technických prostředků a poradenských služeb udržovat dveře do svého IT království pro nepovolané osoby zavřené.

Jedním z takových technických řešení, které může výrazně eliminovat neoprávněný přístup k firemním dokumentům a informacím v nich uloženým, je řešení izraelské společnosti CyberArk. Její produkt Sensitive Information Management (SIM) se snaží zajistit bezprecedentní ochranu dokumentů v rámci celého podniku, ale neváže se pouze na perimetr společnosti, ve které je nasazen, ale poskytuje možnost spolupráce s externími partnery a klienty prostřednictvím portálu pro bezpečnou výměnu dat. Srdcem řešení je patentovaný digitální trezor vyhovující standardu FIPS 140-2 s integrovaným modulem HSM a použitím šifrovacích algoritmů AES256 a RSA2048. Odpadá tak starost o správu šifrovacích klíčů jako u jiných řešení. Digitální trezor tyto úkoly zvládá sám.

Jednoduše řečeno, jedná se o souborový server s pokročilými bezpečnostními funkcemi, které chrání dokumenty. Neomezuje se však pouze na ochranu uložených dokumentů (data v klidu), ale prosazuje také ochranu dokumentů během přepravy (data v pohybu). Přenášené dokumenty tak mohou být automaticky převedeny do formátu PDF, opatřeny vodoznakem, zabezpečeny proti kopírování, tisku, úpravám nebo uložení na disk. Další zajímavou funkcí je dobře zvládnuté rozdělení rolí, kdy například správce IT může provádět všechny úkoly spojené se správou trezoru, ale nemá přístup k žádnému dokumentu, pokud mu takový přístup výslovně neudělí vlastník dokumentu. Rovněž každý uživatel má přístup pouze k vybraným dokumentům, se kterými může nakládat v rámci nastavených oprávnění. Tím je zajištěno, že interní nebo externí útočník neodcizí důvěrná data společnosti, jako v případě Panamských dokumentů.

Bezpečnost jako proces

Osobně jsem zastáncem budování systematického zabezpečení, kdy se bezpečnost IT řeší postupně od malého k velkému, nezaměřuje se pouze na záplatování děr (zjištění auditu), ale postupnými a trvalými kroky posouvá zabezpečení firmy k vyšší úrovni vyspělosti.

K tomu je třeba, aby společnosti měly zavedenou strategii rozvoje bezpečnostní infrastruktury a procesů, a to třeba na několik let dopředu. S budováním strategie zabezpečení IT mohou pomoci i zkušené specializované firmy, jejichž hlavním posláním je právě pomoc zákazníkům při budování bezpečnostní infrastruktury IT. Ta zajistí, že rozvoj bezpečnosti bude nedílnou součástí rozvoje celé společnosti.
Sdílejte

NEVÁHEJTE, KONTAKTUJTE NÁS.

Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?

Odesláním formuláře prohlašuji, že jsem se seznámil s informacemi o zpracování osobních údajů v ARICOMA.

BUĎTE U TOHO

Přihlaste se k odběru našich newsletterů, ať vám nic podstatného neuteče.

Vložením e-mailu souhlasíte s podmínkami ochrany osobních údajů.