Panama Papers aneb ukrást 13 tun e-mailů nemusí být těžké

Panama Papers aneb ukrást 13 tun e-mailů nemusí být těžké
Autor: Pixabay/geralt|Popisek: Ilustrační foto
12 / 04 / 2016, 16:00

Kauza Panama Papers představuje největší informační únik v historii.

Již samotný objem zcizených dat, tedy 2,6 terabajtů, působí impozantně, ale opravdové rozměry pochopíme až tehdy, když elektronická data převedeme na listinnou podobu. I při velmi nadsazených odhadech jednoho megabajtu na každou tištěnou stránku ve formátu A4 totiž Panama Papers odpovídá 2 600 000 stranám.

Čeká svět politické a ekonomické zemětřesení? Stovky novinářů odhalily miliardové daňové úniky

Budeme-li uvažovat tisk na běžný kancelářský papír s gramáží 80 g/m2, tak celková hmotnost papírové verze představuje 13 tun. Je přitom velmi pravděpodobné, že v nedigitálním světě by si krádeže takového objemu někdo všiml. V případě kybernetickému zločinu je to ale jinak a vše může proběhnout nepozorovaně.

Jak se to stalo?

Důležité je pochopit, jak k této největší krádeži dat v historii ve skutečnosti došlo. Jenže to vlastně nikdo – až na zapojené hackery – přesně neví. Můžeme ale předpokládat, že vzhledem k rozsahu kauzy nešlo o triviální metody spojené s odhalením jednoho hesla nebo se selháním lidského faktoru zneužívajícím otevření nakažené e-mailové přílohy. S největší pravděpodobností museli počítačoví zločinci infiltrovat informační architekturu advokátní kanceláře Mossack Fonseca a odhalit způsob, jak se k důležitým serverům dostat a citlivá data získat.

Předpokladem úspěšného útoku tohoto typu jsou informace o tom, kde a jak jsou data uložena, jak jsou využívána a jak oddělit zrno od plev. Jinými slovy, nešlo o akci začátečníků ani o náhodný únik. Jenže v tom je ten příslovečný čert, mnohé organizace ne a ne pochopit, jak mají k ochraně svých dat přistupovat. Svědčí o tom i alibistické reakce kanceláře, která ve svých prohlášeních hovoří o neoprávněných útocích, o hloubkové kontrole i přijetí dostatečných opatření pro zabránění dalším únikům. Skoro to vypadá, jako kdyby reakce vycházela z článku s názvem What you sound like after a data breach. Jenže si asi nikdo v této kanceláři neuvědomil, že bezpečnostní portál Naked Security text o tvrzeních následujících bezpečnostní incidenty myslel ironicky.

Malé chyby vedou k velkým problémům

Aby ale nedošlo k omylu – i získání přístupových údajů k jedné jediné emailové schránce může být prvním krokem k úspěšnému útoku. Nesmíme zapomenout, že díky interní komunikaci mají útočníci mnohem větší možnosti, například mohou „legitimně“ požádat IT oddělení o nová hesla do dalších systémů.

Mít přístup k celému poštovnímu serveru, a tedy i k veškeré poště, je ovšem mnohem zajímavější – určitě se v některém e-mailu tajemství užitečná pro další útoky skrývat budou. Nicméně má-li organizace stanovená bezpečnostní pravidla i politiky a definovaný přístup k zajištění ochrany dat i systémů, je mnohem větší šance, že si těchto nezákonných aktivit někdo všimne a včas přijme potřebná opatření. Mělo by proto být samozřejmostí o bezpečnostních rizicích se svými partnery a zákazníky včas mluvit. Jak na to najdete například v tomto článku. 

Paul Ducklin, Senior Security Avisor ve společnosti SophosAutor: Paul Ducklin, Senior Security Avisor ve společnosti Sophos

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace