Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zostaw swoje hasła na ladzie recepcyjnej

Dmitrij Bestużew
Kaspersky Lab Expert
Dodany 4 listopada 2014, 08:58 CET

Hotele, restauracje i lotniska oferowały kiedyś klientom darmowe tablety podczas ich pobytu w takich obiektach. Niedawno, zatrzymując się w jednym z tego rodzaju hoteli, mogłem skorzystać z bezpłatnego iPada znajdującego się na wyposażeniu pokoju.   

iDisturbed_1_auto.jpg 

Ku memu zdziwieniu, urządzenie to nie tylko zawierało harmonogram konferencji i zapewniało bezpłatne połączenie WiFi, ale również kryło mnóstwo prywatnych informacji należących do poprzednich gości, którzy nocowali w tym samym pokoju.  

Mówiąc o prywatnych informacjach osobistych, mam na myśli konta z zapisanymi wcześniej hasłami, autoryzowane sesje na portalach społecznościowych, wyniki wyszukiwania z przeglądarki (w większości treści pornograficzne), pełne dane kontaktowe automatycznie zapisane w książce adresowej, iMessages, a nawet kalkulator ciążowy z rzeczywistymi danymi. Nie trudno było ustalić tożsamość osoby, która go wykorzystywała, ponieważ zostawiła na urządzeniu swoje informacje kontaktowe: 

iDisturbed_2_auto.jpg iDisturbed_3.jpg
iDisturbed_4.jpg iDisturbed_5.jpg
iDisturbed_6.jpg iDisturbed_7.jpg
iDisturbed_8.jpg iDisturbed_9.jpg

Mając imiona i nazwiska oraz adresy e-mail zapisane na urządzeniu, wystarczyło trochę “pogooglać”, aby dowiedzieć się, że niektórzy z użytkowników byli osobami publicznymi pracującymi dla rządu państwa, w którym przebywałem.

Większość sesji nadal była otwarta, co pozwalało na umieszczanie/wysyłanie wiadomości w imieniu użytkownika: 

iDisturbed_10_auto.jpg

Z punktu widzenia bezpieczeństwa, takie działania są nie do przyjęcia. Potencjalny atakujący mógł nie tylko przeczytać wysyłane i otrzymywane wiadomości, ale również podszyć się pod ofiarę, wysyłając wiadomości w jej imieniu.   

To również doskonała okazja dla osoby zbierającej dane osobiste w celu wykorzystania ich do przeprowadzenia kampanii typu spear phishing na cele stanowiące znane osoby. Z drugiej strony, gdyby potencjalny atakujący wywodził się z klasycznych kręgów cyberprzestępczych, mógłby szantażować swoje ofiary. Co więcej, mógłby zrobić to z łatwością, ponieważ posiadałby wszelkiego rodzaju dane dotyczące ofiar, w tym tytuły filmów pornograficznych oglądanych w określonym dniu i o określonej godzinie. Ponieważ niektóre z potencjalnych ofiar to osoby publiczne pracujące dla rządu, taki szantaż miałby spore szanse na powodzenie.    

A zatem, co zrobiono nie tak? Powiedziałbym, że wszystko. Po pierwsze, nie jest rozsądne korzystać z darmowego urządzenia publicznego do celów związanych z prywatną komunikacją. Nigdy nie wiadomo, czy na urządzeniu znajduje się backdoor ani kto stoi za taką gościnnością. Po drugie, jeśli obiekt publiczny chce oferować swoim gościom darmowe urządzenia przenośne na czas ich pobytu, istotne jest, aby przede wszystkim takie urządzenia były poprawnie skonfigurowane, aby stosowane były rozsądne polityki bezpieczeństwa, takie jak nieprzechowywanie informacji osobistych, niezapisywanie haseł itd.  

Może jestem zbyt podejrzliwy, ale mając nieznane i niezabezpieczone urządzenie, takie jak tablet, w swoim pokoju, które jest wyposażone we wbudowaną kamerę i mikrofon, wolałem je wyłączyć i schować do szuflady. Musiałem to robić każdego popołudnia, ponieważ sprzątaczka kładła go z powrotem na biurku każdego dnia mojego pobytu w tym hotelu.  

Trzeba pamiętać, że nawet jeśli takie darmowe urządzenie jest właściwie skonfigurowane i nie są przechowywane na nim w sposób jawny żadne prywatne informacje, nie możemy mieć pewności, czy następny gość nie okaże się ekspertem w dziedzinie analizy kryminalistycznej. W takim przypadku mógłby po prostu wykonać zdjęcie całego urządzenia, a następnie krok po kroku wydobyć z niego wszystkie informacje osobiste.