30/5/2022
Taktyka publikowania w internecie korespondencji pozyskanej ze zhackowanych skrzynek e-mail polityków chyba się Rosjanom sprawdza. W zeszłym tygodniu uruchomili serwis o nazwie “Very English Coop d’Etat“, który ujawnia wiadomości wykradzione brytyjskim VIP-om, w tym byłemu szefowi MI6, Richardowi Dearlove’owi.
Przypomnijmy, że wcześniej z Rosjanami powiązano serwis DCLeaks (publikujący w 2016 roku e-maile wykradzione demokratom podczas kampanii prezydenckiej w USA), a rok temu firma Mandiant z Białorusinami i po części Rosjanami powiązała serwis Poufna Rozmowa, który jest punktem centralnym tzw. Afery Dworczyka i publikuje wiadomości ze skrzynek polskich polityków.
Very English Coop d’Etat
Stronę “Very English Coop d’Etat” jako pierwszi ujawnili dziennikarze agencji Reuters, a powiązanie jej z Rosjanami z grupy ColdRiver potwierdził zespół cyberbezpieczeństwa Google oraz były numer jeden brytyjskich służb wywiadowczych.
Publikowane treści pochodzą od zwolenników Brexitu i wedle analityków, ich ujawnienie ma na celu — co za niespodzianka! — poróżnienie i spolaryzowanie brytyjskiego społeczeństwa. Twórcy serwisu niezbyt ukrywają swoją pogardę dla premiera Wielkiej Brytanii. URL domeny zawiera w adresie frazę “sneaky strawhead“, co jest aluzją do fryzury Johnsona.
Skrzynka na protonie nie pomogła
Zostawmy politykę i popatrzmy na technikę. Jedna z ofiar, Dearlove, przyznał, że
“jest świadomy operacji Rosjan przeciwko jego skrzynce na Protonmailu”.
Jak widać, poczta na Protonie, uwielbiana przez ceniących prywatność, a także nazywana “najbezpieczniejszą”, nie ochroniła swojej “w pełni zaszyfrowanej” zawartości przed Rosjanami. Nie jest to dziwne, bo wciąż nie wspiera ona kluczy U2F jako drugiego składnika. A tylko taki drugi składnik jest w stanie skutecznie zabezpieczyć ofiary przed atakami phishingowymi.
Z kronikarskiego obowiązku odnotujmy, że na razie brak potwierdzenia, iż wektorem ataku był tylko phishing. Ale w publikacji Google znaleźć można informacje, że grupa stojąca za tymi atakami posługiwała się właśnie phishingiem, korzystając m.in. z poniższych domen, często z linkami do nich zaszytymi w dokumentach PDF aby ominąć filtry. Sprawdźcie sobie, czy Wam ich ktoś nie podsyłał.
cache-dns[.]com
docs-shared[.]com
documents-forwarding[.]com
documents-preview[.]com
protection-link[.]online
webresources[.]live
Ech, ci politycy…
Nie dziwi nas, że nasi rodzimi politycy nie wyciągnęli wniosków z ataków na amerykańskich demokratów w 2016 roku. Ale że nie zrobili tego Brytyjczycy?! Nie wiemy, co prawda, czy Brytyjczycy mieli szansę wyciągnąć wnioski także z ataków na polskich polityków (bo jeszcze nie wiadomo, czy Brytyjczyków zhackowano przed czy po Polakach). Ale już teraz można stwierdzić, że ta grupa społeczna, niezależnie od kraju, ma spore problemy w zabezpieczaniu swojej komunikacji elektronicznej.
Czy w najbliższych tygodniach czeka nas ciekawy seans? Czy na stronie pojawią się nowe e-maile? I czy w UK będzie powtórka z zachowań i argumentów, jakie przez ostatni rok słyszeliśmy od polskich polityków, których e-maile ujawniono w ramach afery Dworczyka?
Jak zareagują brytyjskie media i opinia publiczna, po inwazji na Ukrainę trochę bardziej przeszkolone w wykrywaniu dezinformacji? Czy brytyjskiemu rządowi uda się zdjąć serwis i czy w ogóle będzie próbował? A może zechce naciągnąć rzeczywistość i jak polski rząd, postawi finalnie na nieskuteczną cenzurę na warstwie DNS?
Czas pokaże.
Co robić, jak żyć?
Najlepiej nie mieć do czynienia z politykami, sporo osób z ich kręgów jest ostatni hackowanych. Ale jeśli już ma się to nieszczęście, to najlepiej włączyć sobie na GMailu tryb Advanced Protection. I pamiętać o nie używaniu tego samego hasła do kilku kont oraz ustawieniu U2F gdzie się da jako drugi składnik (Facebook, Twitter, etc.).
A jak się ma Protona? To trzeba poszukać lepiej chroniącej przed phishingiem skrzynki, dopóki tam w Protonie się nie opamiętają i nie wdrożą obsługi U2F. Już nawet WP po akcji z Dworczykiem, zaimplementowało obsługę kluczy…
PS. Wiemy, że dla ceniących sobie prywatność użytkowników Protona, GMail, świetny pod kątem bezpieczeństwa i ochrony użytkowników przed atakami, nie jest alternatywą ;) Dlatego polecić można np. Tutanotę. Ma szyfrowanie jak Proton i wspiera klucze U2F.
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Ignoranci i niedowiarki najzwyczajniej nie przytarli jeszcze jajami o glebę, dopiero coś robią, gdy traci się kasa i/,lub jest afera, ale to jest klasyczne podejscie i niewiele sie zmieni.
A czy w przypadku Tutanoty wystarczającym zabezpieczeniem przed phishingiem nie będzie korzystanie z poczty wyłącznie w aplikacji desktopowej lub tej na telefon (innymi słowy, nielogowanie się do poczty z poziomu przeglądarki)? Wtedy chyba U2F nie jest konieczne? Czy przeoczyłam jakąś możliwość ataku?
@Ania
Powiedzmy że kilka zakresów
@stukot: Można prosić o cokolwiek więcej w tym temacie?
@Ania
Chodzi o to, że nakłonienie użytkownika do zalogowania się przez podstawioną stronę internetową nie jest jedyną możliwością pozyskania jego danych logowania, czyli wyphishowania ich.
Przykładowo:
– fałszywa aplikacja (na telefon lub desktop) wiarygodnie udająca prawdziwą
– wyświetlenie pop-upa zasłaniającego ekran (nakładki) przez pozornie niewinną, nie mającą związku z atakowanym serwisem (lub zainstalowaną w tle w wyniku ataku) aplikację – dla użytkownika wyglądać to ma jakby korzystał z oryginalnej aplikacji
– atak na miejsce zapamiętywania haseł w systemie
– przejęcie urządzenia (fizyczne lub zdalne) i odczytanie haseł (metoda zależna od systemu)
– zaobserwowanie (np optycznie lub przez keylogger) danych logowania
– brut force, atak słownikowy, ewentualnie połączony z socjotechnicznym pozyskaniem części danych (np spear phishingiem)
– itd
A jak składnikiem jest klucz, to trzeba użyć klucza. Nie da się go wyphishować. Można natomiast ukraść, co otwiera nową płaszczyznę ataku. Ale jeśli potrzebujemy do logowania trójki: login+hasło+klucz, napastnik musiałby naraz wyphishować hasło i ukraść klucz. To znów zmniejsza prawdopodobieństwo skutecznego ataku.
To jest wyścig. Na każdą metodę zabezpieczenia szukane są metody ataku, a na każdą metodę ataku szukane zabezpieczenia. Dlatego nigdy nie da się powiedzieć, że coś jest wystarczające. Wszystko zależy od szczegółow, okoliczności, tego jak cennym celem jest się dla napastnika, itd.
Może mi ktoś wytłumaczyć o co chodzi z tym protonem, bo ktoś się bezpośrednio włamał na konto i stamtąd sobie wziął maile czy raczej był to atak na Protona i stamtąd zostały wykradzione dane które miał być zaszyfrowane?
Ten wpis w moich oczach szkaluje trochę Protona, a jeśli są tutaj wątpliwości co do bezpieczeństwa to z chęcią posłucham dlaczego.
W artykule jest jasno wytłumaczone o co chodzi. To czy Proton szyfruje i jak nie ma znaczenia. Bo ofiary złapały się na phishing.
Myślisz pewnie, że dostawca poczty nie jest istotny i u każdego da się złapać na phishing. Że jeśli włamywacz wyłudzi login i hasło to wszedzie się zaloguje. Ale właśnie gdyby Proton tak jak GMail, WP a od niedawna chyba nawet Onet, obsługiwał klucze U2F, to włamywacz nie byłby w stanie wyłudzić drugiego składnika logowania. Ale wyłudził. No chyba że ofiary w ogóle nie korzystały z żadnego formy MFA. Wtedy będzie jeszcze gorzej niż przedstawia to niebezpiecznik.
tldr: Proton szkaluje się sam brakiem wsparcia dla u2f/fido2 w 2022 roku. Też nie rozumiem dlaczego tak się opierają przed wdrożeniem tokenów U2F. Zapowiadali już dwa lata temu i nic w tym kierunku nie zrobili. Skandal. Ale może ten incydent ich zmobilizuje, bo jak widać, wcale nie mają mądrzejszych użytkowników niż inni dostawcy :-)
@Patryk
Tam zaraz szkalowanie. Taki drobny przytyk tylko.
@PowiedzmyZeKasia
Bardzo dobrze wytłumaczone!
Dodam tylko, że phishing poprzez podstawioną stronę nie jest jedyną możliwością pozyskania pary login+hasło. Najpopularniejszą, ale nie jedyną.
@PowiedzmyZeKasia
Zeby podwojna autoryzacja miala sens to powinna byc dostepna tylko w formie opcji (nawet default) raczej niz obowiazkowa, a w takiej sytuacji znajac zycie nic by sie nie zmienilo.
Z bardzo prostego powodu: jesli podstawowa forma autoryzacji jest bezpieczna (a to da sie zrobic w racjonalnym zakresie) to dodatkowe zabezpieczenia stanowia tylko potencjalna powierzchnie ataku (najczesciej w formie “ulatwien” w stylu odzyskiwanie zapomnianych kont przy pomocy drugiego skladnika, gdzie jednym z ogniw bezpieczenstwa moze byc przypadkowy koles bez zadnej wiedzy technicznej, pracujacy za minimalna krajowa w salonie producenta). Nie mowiac o tym ze podwojna autoryzacje jak najbardziej da sie obejsc, chociazby posrednik udajacy atakowana usluge wyciagajacy token od uzytkownika i podajacy go dalej.
TL;DR:
Zeby podwojna autoryzacja nie prowadzila do obnizenia bezpieczenstwa nie powinna byc obowiazkowa a w takiej sytuacji pierwszymi ludzmi ktorzy ja wylacza sa ci ktorzy akurat najbardziej jej potrzebuja. Nie da sie na sile ochronic kogokolwiek przed jego wlasna glupota…
Tutanota pozwala na dostęp z poziomu adminów, wg ich strony „No one has access to our servers except our permanent administrators”, zatem nie do końca jest to zamiennik dla protonmail.
Protonmail wg ich strony używa „Proton uses zero-access encryption”, czyli chyba admini nie maja jak odszyfrować.
Naucz się czytać ze zrozumieniem. Dostęp do serwera nie oznacza czytania zaszyfrowanych postów. Dostępne są jedynie numery IP, co po pierwsze i tak można namierzyć, choćby przez dostawcę sieci, a po drugie, jak się uprzesz, to używając VPN lub TOR jesteś w stanie swój IP schować.
bardzo miło ze strony rosjan, że hakują naszych politykow. mogliby to robić częściej.
oczywiście ze Gmail nie jest alternatywą dla niczego, bo wiadomości stamtąd są w czasie rzeczywistym czytane przez amerykański wywiad, to o jakiej prywatnosci czy bezpieczenstwie mowa?
zresztą skąd wiadomo, że to wina protonmaila? moze ktos im te tteksty zwyczajnie wysłał.
Wybaczcie za czepialstwo, z kronikarskiego obowiązku również piszę :) “pierwsi” a nie “pierwszi”.
Fajnie że zachęcacie do U2F, ale dlaczego to takie drogie? Przecież za te 200+ zł, można dostać dobrego pendrive 256GB, najróżniejsze urządzenia czy adaptery na USB, nie wiem co jeszcze, drukarkę nawet dostaniemy za 200zł. Ta cena to jakiś skandal za takie “gówienko”, chodzi o jakieś patenty czy co? Takie coś powinno kosztowac jedno zero mniej.
Należy także pamiętać że trzeba kupić 2 klucze. Zakup 1 klucza to proszenie się o kłopoty.
Fakt cena jest trochę kosmiczna…
Jest chyba open source alternatywa ale niedostępna w Polsce. Ale cena chyba i tak niewiele niższa.
Jakim prawem polski nierząd wbrew art. 54 Konstytucji cenzuruje Internet? Prokurator powinien się tym rządem zająć!
Bardzo wysoko cenię Wasze (Niebezpiecznika) analizy i newsy ale jako użytkownik nie mogę się zgodzić z jedną z tez powyżej że w Protonie nie ma autentykacji dwuetapowej z użyciem U2F. Wg mnie jest i to dzięki Waszej inspiracji w takim tandemie mam skonfigurowaną pocztę (mocne hasło + kod z authenticatora wymagającego karty Ubikey). Podwójna autentykacja dostępna jest jako opcja konfiguracji kont (poczty, kalendarza, vpn-a i protonowej chmury. -Drive’a)
Uprzejmie proszę o korektę jeśli coś mi umknęło.
Drugi krok uwierzytelnienia oparty o U2F w Protonie (jeszcze? wciąż?) nie występuje. To co opisałeś, to wykorzystanie zwykłej (i phishowalnej!) formy 2FA.
Jak Niebezpiecznik napisał, kod z jakiejkolwiek apki (authenticator) nie jest U2F, bo ten kod też można od ciebie wyłudzić na podstawionej stronie i użyć w ciągu 30 sekund na stronie Protonmaila. Ten kod w żadnym wypadku nie chroni przed phishingiem.
Jeśli masz zawirusowany komputer to operator wirusa może prawie wszystko.
Szkoda, że jest tak mało artykułów dotyczących zabezpieczenia komputera.
“Specjaliści” radzą aktualizujcie przeglądarki i systemy. Zamiast poradzić, który dodatkowy program dobrze zabezpieczy.
Zabezpieczenie komputera to żaden problem, pod warunkiem że przestrzegasz pewnych zasad: szyfrowanie całego dysku, hasło na BIOS, osobne konto administratora (a najlepiej uniksowy system operacyjny) i codziennie sporządzane kopie przyrostowe najważniejszych danych, przetrzymywane w lokacjach niezależnych i opartych na różnych systemach magazynowania.