Jak robić dobrą minę do złej gry

29 Czerwiec 2009

5 czerwca tego roku Bord Gáis Energy, firma zajmująca się wydobywaniem, transportem i dystrybucją gazu na terenie Irlandii, w skutek kradzieży straciła 4 laptopy. Komputery te zawierały dane 75.000 klientów Bord Gáis Energy, takie jak dane teleadresowe i numery rachunków bankowych.

3 spośród tych maszyn miały włączone szyfrowanie. Tylko jeden komputer był zabezpieczony nazwą użytkownika i hasłem.

Cytaty z Irish Times z dnia 18 czerwca, 2009:

Managing director of Bord Gáis Energy Dave Bunworth said this morning the stolen laptop containing the account details of 75,000 customers would be “very difficult to get into” despite it not being encrypted.

(dyrektor zarządzający [...] Dave Bunworth powiedział, że będzie „bardzo trudno dostać się” do danych 75,000 klientów mimo, że nie zostały zaszyfrowane)

I dalej:

“I don’t want to minimise the risk but this is not a normal laptop that you could break into that easily,” he told RTÉ radio.

(„Nie chcę minimalizować zagrożenia ale to nie jest zwykły laptop na który można się łatwo włamać”, powiedział radiu RTÉ)

Wtóruje mu Gary Davis:

“The risk may be low but there is a risk,” said deputy Data Protection commissioner Gary Davis.

(„Ryzyko może być małe, ale wciąż istnieje”, powiedział zastępca „komisarza do spraw ochrony danych” Gary Davis – odpowiednik polskiego GIODO)

Dalsze wyjaśnienia pana Dave Bunworth’a:

Mr Bunworth said that while the machine was not encrypted, the data saved on it could only be accessed using a username and password.

(Mr Bunworth powiedział, że mimo że komputer nie był zaszyfrowany dane są dostępne tylko przez podanie nazwy użytkownika i hasła)

Fakty:

• 3 spośród 4 skradzionych maszyn miały szyfrowanie włączone
• 1 komputer nie miał włączonego szyfrowania, a dostęp do danych odbywał się na podstawie nazwy użytkownika i hasła
• komputery zawierały dane 75,000 klientów: imię i nazwisko, adres, numer konta bankowego
• zarówno Bord Gáis Energy, jak i Data Protection Commisioner uważają, że ryzyko jest małe i trudno dostać się do danych

Niestety, to czego nie wiemy to sposób, w jaki dane były szyfrowane (tylko dane czy cały dysk i jaka była metoda bądź siła szyfrowania).

Najbardziej zatrważające jest jednak to, co zarówno Bord Gáis Energy jak i Data Protection Commisioner starają się nie powiedzieć publice. Nie potrzeba dyplomu magistra informatyki by wiedzieć, że aby dostać się do danych na niezaszyfrowanym dysku wystarczy śrubowkręt i kilkanaście minut, by podłączyć dysk do innego komputera. W zależności od systemu operacyjnego, a co za tym idzie systemy plików, uzyskanie dostępu do danych jest łatwe bądź bardzo łatwe.

Aby zrozumieć wagę problemu muszę wyjaśnić pewną specyfikę irlandzkiego (i brytyjskiego) systemu bankowego. W Irlandii (i w Wielkiej Brytanii) istnieje instytucja direct debit (w Polsce jest to chyba polecenie zapłaty). Problem polega jednak na tym, że aby zrealizować przelew w tym systemie banki irlandzkie i brytyjskie wymagają tylko 3 informacji: imienia i nazwiska dłużnika, numer jego konta bankowego (sort code i bank account number) oraz jego podpisu dostarczonych przez wierzyciela.

Jak niedoskonały jest to system przekonał się w zeszłym roku Jeremy Clarkson, prezenter Top Gear na BBC. Clarkson przekonany, że nikomu nie uda się wyciągnąć pieniędzy z jego konta, opublikował numer swojego rachunku w gazecie Sun. Nie musiał długo czekać, by czytelnicy udowodnili mu, że się mylił. Na jego koncie ktoś ustawił miesięczne polecenie zapłaty na £500 na rzecz fundacji Diabetes UK (szczegóły na BBC News i na stronie Gazety).

To tylko jeden z przykładów. Można mnożyć inne, socjotechniczne metody wykorzystywania znajomości podobnych danych.