23:16
31/5/2021

Dwa tygodnie temu na jednym z polskojęzycznych forów dla cyberprzestępców pojawiło się ciekawe ogłoszenie o tytule “Egzamin Adwokacki 2021 – dostępy do skrzynek rad adwokackich”. Oto jego pełna treść:

Naczelna Rada Adwokacka nazywa ten incydent “rzekomym wyciekiem danych“, a jak wynika z naszych informacji, o sprawie dowiedziała się w weekend od Barta Stawszewskiego, który powiadomił także służby, a dziś zdecydował się również na nagłośnienie tematu na Twitterze. Warto jednak podkreślić, że samo ogłoszenie opublikowane zostało już dwa tygodnie temu, 16 maja.

Serwis paneladwokata.pl czasowo wyłączono, a Naczelna Rada Adwokacka w wydanym przez siebie oświadczeniu rekomenduje adwokatom:

(prewencyjną) zmianę hasła do używanych skrzynek pocztowych niezależnie od tego, czy są one dostarczane przez providerów współpracujących z NRA.

To niestety nie jest kompletna rada [UPDATE: w kolejnym oświadczeniu, które cytujemy w aktualizacji poniżej, NRA rozszerza rekomendacje, brawo!]. W przypadku podejrzenia przejęcia skrzynki, do zrobienia jest zdecydowanie więcej rzeczy! Co konkretnie powinni zrobić adwokaci, którzy podejrzewają, że ktoś się włamał na ich konto? O tym przeczytacie poniżej, ale najpierw odpowiedzmy na dwa kluczowe pytania.

1. Czy wyciek faktycznie miał miejsce?

Tego nie wiemy, ale jest to prawdopodobne, z dwóch powodów.

  • Użytkownik Roooj, który oferuje na sprzedaż dostępy do skrzynek adwokatów ma bogatą “historię” i już handlował danymi w przeszłości. Wiemy też, że ktoś od pewnego czasu atakował prawników i próbował przejmować ich konta. Nie wiemy, czy za tymi atakami stał ten sprzedawca.
     

    Jesteś prawnikiem i otrzymałeś ostatnio podejrzanego e-maila? Daj nam znać — po prostu przeforwarduj e-maila na nasz adres prawnicy@niebezpiecznik.pl. Spróbujemy ustalić, czy ataki, których byłeś potencjalną ofiarą, były połączone z innymi. Dzięki!
  • Adwokaci (w większości) mają fatalne zabezpieczenia swoich skrzynek i nieadekwatną do rangi piastowanych funkcji wiedzę dotyczącą cyberbezpieczeństwa. Wielu z nich zawodowo korzysta ze skrzynek na np. WP czy Onecie. Niestety, łatwo też nabrać ich na proste ataki phishingowe…

 

To jest oczywiście nasza opinia, bazująca wyłącznie na naszych własnych doświadczeniach (od lat pomagamy w zabezpieczaniu niektórych polskich kancelarii). Odnotujmy też, że — jak zawsze — są wyjątki. Część kancelarii ma naprawdę porządnie ogarnięte IT, ale nie jest to niestety regułą, choć naszym zdaniem w tym zawodzie bezpieczeństwo powinno być obowiązkiem. Wbrew przekonaniu niektórych prawników, niestety,

hakerzy nie uszanują tajemnicy adwokackiej

Podsumowując, adwokaci to łatwe ofiary, a co gorsza, na ich skrzynkach znajdują się bardzo cenne dane. Dane, na które w naszej ocenie mogą pojawić się chętni. Mówimy tu nie tylko o skanach dokumentów lub pism — czy jak w tym przypadku np. ewentualnych pytań na egzaminy — ale również o istotniejszych z naszego punktu widzenia strategiach procesowych (wraz z materiałem dowodowym). Tymi informacjami może być bardzo zainteresowana druga strona sporu, którą potencjalny włamywacz bardzo łatwo ustali.

2. Czy trzeba będzie powtórzyć egzamin?

Zwróćmy uwagę, że sprzedający nie wymienia wprost listy pytań jako czegoś, co faktycznie znajduje się na skrzynkach, do których dostępy sprzedaje. Egzamin adwokacki jest przez niego wykorzystywany raczej jako “lewar” ogłoszenia.

Czy pytania na egzamin były na skrzynkach w finalnej postaci? To zapewne ustali prokuratura, a na bazie jej ustaleń Naczelna Rada Adwokacka podejmie decyzję co do ważności egzaminu. Spodziewamy się jednak, że w dobie pandemii opracowywanie egzaminu odbywało się elektronicznie, a to oznacza, że treści pytań lub loginy i hasła do systemu, w którym pytania zbierano faktycznie mogły znaleźć się na skrzynkach osób, których skrzynki udało się przejąć Rooojowi. Z kronikarskiego obowiązku odnotujmy jednak istotny fakt: nie każdy adwokat ma konto w serwisie paneladwokata.pl.

Jestem adwokatem — jak zabezpieczyć moją skrzynkę e-mail?

Adwokat, naszym zdaniem, nie tylko powinien, ale MUSI chronić dostęp do swojej skrzynki pocztowej. To jego najważniejszy internetowy zasób i klucz, którym — po przejęciu skrzynki — włamywacz może “otworzyć” wszystkie konta założone na adres e-mail adwokata (wykorzystując procedurę resetu haseł na różnych portalach).

Są lepsze i gorsze skrzynki e-mail. Jeśli jako adwokat masz dostęp do skrzynki założonej przez kancelarię, korzystaj z niej i pamiętaj, by oddzielać sprawy firmowe od prywatnych, bo inaczej włamanie na jedną skrzynkę skompromituje Cię równocześnie zarówno na warstwie zawodowej jak i prywatnej.

Jeśli Twoja kancelaria nie zapewnia Ci skrzynki, to poczta od Google będzie najbezpieczniejszym wyborem. To najlepsza opcja dla większości osób. Dlaczego? Powodów jest wiele i opisaliśmy w obszernym artykule, którego lekturę polecamy nie tylko adwokatom, ale każdemu, kto korzysta z e-maila.

Ze względów prawnych, adwokaci nie powinni skrzynki na GMailu wykorzystywać do działalności zawodowej. No ale tego chyba prawnikom tłumaczyć nie musimy, prawda? Zamiast GMaila do spraw zawodowych należy wybrać Google Workspace (dawniej Suits), czyli “praktycznie to samo, ale dla firm i płatne”.

Prawniku, obowiązkowo ustaw na mailu 2FA, ale tylko jako U2F

Niezależnie od tego, którego dostawcę poczty wybierzesz, obowiązkowo poprawnie ustaw dwuetapowe uwierzytelnienie do skrzynki. Poprawnie, to m.in. znaczy tak, aby oprzeć je o klucze U2F, a nie o kody generowane przez aplikację lub wysyłane SMS-ami, bo takie dwuskładnikowe uwierzytelnieni da się dość łatwo ominąć!

Serio, kup sobie 2 takie klucze U2F i podepnij pod GMaila (tego prywatnego i firmowego, włączając tzw. “Advanced Protection”) a także pod inne serwisy. To wydatek ~300 PLN, ale wierz nam, że włamanie na Twoją skrzynkę wygeneruje Ci zdecydowanie wyższe koszty

A kosztów tych możesz uniknąć, bo podpięcie kluczy U2F sprawi, że nie będzie się dało przejąć Twojego e-maila najczęstszym i najpopularniejszym atakiem, czyli phishingiem. Nie dadzą rady, ani cyberprzestępcy, ani Rosjanie, ani my, podczas kontrolowanego ataku na Waszą kancelarię, jeśli sobie kiedyś u nas taki atak zamówicie tak, jak już to zrobiła spora część Waszych kolegów.

Na czym to polega?
Najpierw Was zhackujemy i przejmiemy Wasze konta, a potem Was przeszkolimy, aby inni nie byli w stanie Was w przyszłości podejść :) Taka symulacja ataku może Was uratować przed poważnymi kłopotami, więc jeśli chcecie, abyśmy spuścili Wam cyberłomot, dajcie znać tutaj :-)


Aktualizacja 2.06.2021, 10:58
Naczelna Rada Adwokacka wystosowała nowe, dość ciekawe oświadczenie w sprawie tego incydentu:

Zwracamy jednak uwagę na to, że oświadczenie mówi o bezpieczeństwie skrzynek w domenie “adwokatura.pl” i samego serwisu adwokatura.pl, podczas gdy ogłoszenie sprzedaży danych dotyczy innego serwisu — paneladwokata.pl oraz prywatnych skrzynek adwokatów. Ten serwis został wczoraj wyłączony i wciąż wyłączony pozostaje…

To dobrze, że niektóre z systemów adwokatów nie noszą śladów włamania. Ale czy to oświadczenie przeczy nieautoryzowanemu dostępowi do serwisu paneladwoaka.pl i pozyskaniu danych z prywatnych skrzynek adwokatów. Na to pytanie odpowiedzcie sobie sami.


Aktualizacja 2.06.2021, 17:49
Po publikacji niniejszego artykułu odezwał się do nas Roooj. Wiadomość od niego pochodziła z jego adresu e-mail i była podpisana poprawnym kluczem GPG. Roooj poinformował nas, że:

nie dokonał, nie uczestniczył, ani nie pomagał w:
– zadnych tego typu atakach na serwery/skrzynki e-mail adwokatury;
– zlamaniu jakichkolwiek zabezpieczen teleinformatycznych;
– naruszeniu tajemnicy panstwowej;
– nie sprzedał, ani nie opublikował zadnych danych dostepowych do w.w. serwerow;

Dopytaliśmy go więc, jak to możliwe, skoro na sprzedaż oferował “dostępy do kont w serwisie protaladwokata.pl” oraz “loginy i hasła do prywatnych skrzynek adwokatów“. Jego odpowiedź? Roooj stwierdził, że “dane adwokatów pochodziły z ogólnie dostępnych combo list z całego internetu” a on nie sprawdzał, czy działają… Dodał, że “nie stosował phishingu, sqlinjection, malware ani innych technik ataków“. Wedle jego relacji, chętnych do zakupu nie było, a gdyby tacy się pojawili to… “odmówiłby transakcji“.

Roooj podkreślił, że “to co zrobił jest kierowane pasją a nie chęcią zarobku“. Zapytaliśmy więc, jakie ma rady dla adwokatów lub czy jest świadomy jakichś dziur w systemach, które adwokatów obsługują (nasze pytania oznaczone są pomarańczową kropką — poniżej dokładne odpowiedzi Roooja, które pozostawimy bez komentarza).

Cóż, patrząc na oświadczenie Roooja, ciężko będzie ustalić, czy jego ogłoszenie sprzedaży było prawdziwe, a obecna komunikacja jest elementem kampanii dezinformacyjnej lub próbą załagodzenia afery, która się rozpętała i śledztwa które ruszyło, czy może faktycznie — jak twierdzi ten użytkownik forum dla cyberprzestępców, który przecież wcześniej z powodzeniem sprzedawał kradzione dane — była to jedynie …”prowokacja“…

Prawniku, wykonaj tych 7 kroków

Na koniec, niezależnie od tego czy ktoś w wyciek wierzy, czy nie — polecamy każdemu prawnikowi, nie tylko adwokatom, nasz całkowicie darmowy webinar, który mówi o tym jak zabezpieczyć konta przed włamaniami. Pokazujemy tam krok po kroku na czym polegają ataki na Twoje konta w różnych serwisach i co zrobić, aby je uniemożliwić oraz jak poprawnie podejść do tematu haseł.

Każdy z tych ataków pokazujemy na naszym darmowym webinarze, wraz z radami, jak się przed nimi ustrzec.

Ten webinar powinien zobaczyć absolutnie każdy prawnik i natychmiast po zobaczeniu wdrożyć wszystkie rekomendacje, których tam udzielamy. Bez wyjątku. Rekomendacji nie jest wiele, a webinar jest prowadzony przystępnym dla każdego, nietechnicznym językiem. Dasz radę. Zrób to, zanim będzie za późno. A potem poprawnie zabezpiecz swojego smartfona.

A tym z Was, których już ktoś zhackował, polecamy drugi z naszych webinarów — zhackowali mnie, co teraz?!. Ten już jest płatny, a dostęp do niego kosztuje tyle co 2 klucze U2F… bo, jak już mówiliśmy, sprzątanie po ataku zawsze będzie Cię kosztowało więcej 😈

PS. I pamiętaj, aby przesłać nam na prawnicy@niebezpiecznik.pl podejrzane wiadomości, jakie ostatnio dostałeś. Sprawdzimy czy to element tej samej kampanii.

Przeczytaj także:

35 komentarzy

Dodaj komentarz
  1. Dlaczego rekomendujecie założenie konta na gmail a nie na protonmail?

    • Prawnikom nie rekomendują Gmaila a Google Workspace. To taki GMail dla firm. Nad zwykłym GMailem ma taką przewagę, że nie impactuje prywatności (za cenę abonamentu). Nad Protonem ma taką przewagę, że wspiera tokeny U2F, co czyni go niepodatnym na ataki phishingowe. Co z tego, że “proton szyfruje pocztę” jak po wyłudzeniu hasła atakujący po prostu zaloguje się na niego jako właściciel i sobie wszystko przeczyta?

      A tak z innej beczki, proton ostatnio publicznie ujawnił metadane korespondencji dla jednego konta nawet bez prośby ze strony służb. Słabo to o nich świadczy.

    • Przecież Protonmail też wspiera U2F. Zaś Google przekazuje służbom dużo więcej informacji niż Protonmail, i to dużo znaczy gigantycznie więcej.

    • Stop, przepraszam, chodziło mi o 2FA, a nie U2F oczywiście.

    • Proton wspiera 2fa nie u2f. To ogromna różnica na niekorzyść Protona.

    • @Kenjiro „Protonmail też wspiera U2F”

      Nie, nie wspiera. Odpowiadając na pytanie „Tony”, zadane 25 października 2019 o 17:51, czy wersja 4.0 będzie wspierać u2f, Ben Wolford stwierdził:
      „U2F support is planned but we don’t have a release date yet as it requires us to make some changes to the domains that we use. Thank you for your patience!”

      Od tego czasu minęło półtora roku… Bądź cierpliwy!

    • Edit: https://protonmail.com/blog/v4-beta-announcement

  2. Czy prawnicy nie powinni korzystać z rozwiązań takich jak Tutanota lub Protonmail (ich wadą jest brak U2F)?

    • Nie “czy” a “czyli” :] Muszą mieć tak jak nbzp pisze u2f bo bez tego są podatni na phishing, który w ich przypadku jest najwiekszym ryzykiem do wyeliminowania. Proton bez u2f tu nie pomoże.

    • @visitor: Tutanota i Protonmail mają możliwość uruchomienia uwierzytelniania dwuskładnikowego (two-factor authentication – 2FA). Byle laik sobie z tym poradzi, ale dobrze, żeby pamiętał o zapisaniu kodu do awaryjnego odzyskiwania dostępu, bo jak stracimy urządzenie do uwierzytelniania (klucz USB, telefon komórkowy, itp.), to będzie po ptakach. Jeżeli prawnik miałby dokumenty i ważną korespondencję wyłącznie w skrzynce mailowej, którą sobie zatrzasnął z kluczami w środku, to może to dodatkowo być naruszenie ochrony danych osobowych w zakresie dostępności danych.

      @Krystian: U2F, czyli “universal 2nd factor”, jest tylko jednym ze standardów stosowanych w ramach 2FA. Nie wiem dlaczego klucz U2F miałby lepiej chronić przed phishingiem niż kod z tokena w postaci telefonu. Zresztą Protonmail nie obsługuje bezpośrednio kluczy U2F. Trzeba podpiąć klucz do aplikacji generującej kody jednorazowe (Yubico ma swoją). W efekcie zakup klucza U2F do samego Protonmaila wydaje się trochę na wyrost, Google Authenticator będzie wygodniejszy i bardziej uniwersalny. Chyba, że ktoś jest paranoikiem i preferuje uwierzytelnianie “trójskładnikowe” – hasło+aplikacja+klucz :-P

    • @Marko nie masz racji, niestety. Tak jak stoi w artykule — dwuskładnikowe uwierzytelnienie (2FA) realizowane przy użyciu kodów z aplikacji lub SMS da się obejść. Atakujący po prostu o nie poprosi w trakcie phishingu. Ofiara je wpisze, tak jak wpisała hasło. I atakujący jest na koncie ofiary. W przypadku kluczy U2F taki scenariusz nie jest możliwy, bo klucz w ramach zwracanej odpowiedzi zawiera URL serwisu (który na podrobionej stronie jest inny niż powinien być). To w uproszczeniu — w szczegółach ten atak jest pokazany w przywoływanym w artykule webinarze, a jeśli wolisz czytać, to opisaliśmy to w artykule m.in. o ataku na szefa kampanii prezydenckiej Obamy.

      Właśnie z tego powodu klucz U2F jest lepszy niż aplikacja generująca kody (Google Authenticator i inne) lub kody otrzymywane SMS-em. Jeśli coś musisz przepisać, to jest to do włudzenia. W przypadku phishingu i klucza U2F — klucz U2F trzeba fizycznie pozyskać.

    • @ Piotr
      W gmailu z U2F i włączonym Google Advanced Protection martwi mnie to, że istnieje procedura odzyskiwania hasła, która jest uzależniona od decyzji człowieka. Jest to furtka do przejęcia kontroli nad kontem. Nie wiem jak to działa w praktyce?

      Tutanota stosuje U2F w bezpieczniejszy sposób niż gmail. Za każdym razem podczas logowania trzeba je potwierdzić dotykając klucz bezpieczeństwa (nie można dodać urządzenia do zaufanych aby tego uniknąć jak to jest w gmailu). Tutanota ma również bezpieczniejszą procedurę odzyskiwania hasła – trzeba podać specjalny kod (64 znaki).
      Tutanota jest prostą pocztą – nie ma wielu funkcjonalności, które ma gmail.

    • @germ – Tak, to prawda. Uczestnicy naszych wykładów “jak nie dać się zhackować?” zapewne pamiętają, że Tutanota jest na pierwszym lub drugim miejscu jako rekomendowana przeze skrzynka (w zależności od przyjętego modelu ryzyka). Mam z nią tylko jeden problem (przynajmniej ostatnio). Nie jest zbyt stabilna… Niestety, moim zdaniem (jak na razie) nie ma idealnej skrzynki e-mail, nawet wśród płatnych usług. Trzeba wybrać, co jest dla kogoś ważniejsze. “Zero” knowledge (Tutanota) czy stabilność usługi i najlepsze z dostępnych na rynku mechanizmy wykrywania i ostrzegania o złośliwych mailach (GMail). Dla jednych lepsze będzie jedno, dla innych drugie. Dlatego tak ważne jest (z)robienie sobie modelu zagrożeń.

    • Tutanota obsługuje U2F od 2017 dla Chrome i 2019 dla Firefox.
      Źródło: https://tutanota.com/blog/posts/u2f-support-firefox

      BTW: Korzystam z tej usługi od roku i nie miałem żadnych problemów ze stabilnością.

    • brak U2F kończy temat.

    • @Kancermeister
      Przecież sami przepraszali (co najmniej 2 razy) za odcięcia spowodowane DDOSami…

    • @xyz
      15 sierpnia ub.r. nie pracowałem w internecie. Jak zresztą każdego 15 sierpnia.

  3. Egzamin adwokacki jest obecnie tak prosty, że kupowanie pytań byłoby wyrzucaniem pieniędzy w błoto.

    • Kiedyś to były egzaminy, teraz to nie ma egzaminów.

    • Raczej chodzi o egzamin z zabezpieczenia konta przed włamaniem.

  4. Do redakcji: Wasz formularz kontaktowy nie działa. “Failed to send your message. Please try later or contact the administrator by another method.”
    Citibank wprowadza nową metodę autoryzacji transakcji w internecie. To proszenie się o kłopoty. Osoby korzystające ze telefonu bez dostępu do intenetu będa przepisywać linki do przeglądarki.
    Autoryzacja Internetowa
    to sposób potwierdzania Twoich transakcji kartą w Internecie, przy użyciu danych logowania do serwisu bankowości elektronicznej Citibank® Online.

    Podczas wykonywania transakcji kartą w Internecie:

    otrzymujesz SMS z linkiem do strony uwierzytelniającej – klikasz w ten link, aby kontynuować (linku można użyć tylko raz),
    wprowadzasz dane logowania do Citibank Online,
    na stronie pojawi się pole do wpisania jednorazowego kodu, który otrzymasz w kolejnej wiadomości SMS. Wpisujesz ostatnie 6 cyfr z kodu otrzymanego w SMS w dedykowanym polu i klikasz „Autoryzuj”,
    następnie wracasz na stronę sklepu i klikasz „Zakończ transakcję”.

  5. Głupie pytanie, ale zawsze mnie to interesowało.
    Głównym problemem 2FA i podobnych jest zgubienie/zginięcie/zniszczenie urządzenia.

    Co można zrobić jak ktoś mi zarąbie klucz U2F albo stanie się z nim coś złego podczas podróży? Są jakieś sensowne metody backupu?

    Bo udowadnianie googlowi i innym usługom że ja to ja odpada, połowa z nich olewa sprawę przez pierwszy miesiąc.

    • W przypadku podpięcia 1 klucza większość serwisów generuje kilkunastoznakowy ciąg, który powinieneś przechowywać w bezpiecznym miejscu. Przy awarii lub zgubieniu klucza podajesz ten ciąg, aby klucz “odpiąć” od konta i móc się zalogować. Lepszym rozwiązanie jest jednak zakup 2 kluczy (albo nawet większej liczby — w zależności od stopnia paranoi ;) i podpięcie ich wszystkich do tego samego konta. Z pierwszego korzystasz na co dzień, a pozostałe trzymasz w bezpiecznym miejscu (na wypadek, gdyby pierwszy uległ awarii).

  6. Dzięki Piotrek, jednak co konkret to konkret, rozwiałeś wątpliwości!

  7. Jak adwokaci mają w nieszyfrowanych mailach poufne dokumenty naruszające ochronę danych osobowych i tajemnicę adwokacką, to powinni dostać maksymalne grzywny przewidywane przez RODO i utracić uprawnienia do wykonywania zawodu!

    • w jakim świecie ty żyjesz? u nas większość adwokatów nie ma pojęcia o technologii

  8. Przecież ten roooj to zupełny lamer komputerowy, pewnie policjant.

  9. “czy tymi za atakami” to jakieś tłumaczenie maszynowe? Czy też niechcący podczas pisania kliknięto myszką?

  10. NRA już stwierdziła, w drugim komunikacie, że nie było niepowołanego dostępu do systemu.

  11. […] Cały artykuł na portalu niebezpiecznik.pl znajdziesz tutaj. […]

  12. Roooj sprzedaje STOP zainteresowanych wyciekiem STOP zapraszam

  13. Wspomniany w artykule klucz U2F to całkiem niezły sposób zabezpieczenia i dość wygodny w użytkowaniu.

  14. To że całą korespondencje email trzymamy na zaszyfrowanym dysku twardym (ja tak mam) nie oznacza wcale że na pewno nie ma jej na serwerach. Taka sytuacja. Gmail, serwer pop3 z którego zwykle ściągalem emaile przestał działać więc zmieniłem na inny. Jakież było moje zdziwienie kiedy zaczeły pobierać się emaile ściągnięte już dużo wcześniej (miały być kasowane zaraz po odebraniu)

  15. […] (jak każdemu, np. adwokatom) nikt nie może zabronić posiadania skrzynki na WP/ Z różnych względów nawet lepiej na WP niż […]

  16. Do wiadomości trzeba dodać że dany użytkownik zawsze “wszystko” miał a potem nagle nic :) Nigdy nie potrafił wywiązać się z najmniejszej umowy między “współpracownikami” kwestia czasu. Ciekawe co tam u księgowego roooja :)

Odpowiadasz na komentarz BAM

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: