2020. december 14-én a folyószámlánkat vezető bank biztonsági rendszere jelezte az ügyvezetőnknek, hogy feltehetően ukrán IP-címről kíséreltek meg hozzáférni a számláinkhoz. Fűszerezi a történteket, hogy minderre éjfél után két órával került sor. Megnyugtatásunkra közölték, hogy a hozzáférést a számlákhoz - ideiglenesen - felfüggesztették, egyben kérték, hogy vizsgáljuk át a rendszereinket és a szokásosnál is jobban figyeljünk a biztonságra. Jelszóváltoztatást, sőt egyenesen a korábban hitelesítésre megadott telefonszám cseréjét is javasolták.
Nyilván önök is kerülhetnek hasonló helyzetbe. Vegyük sorra a mi példánkon keresztül, milyen eszközökkel érdemes felkészülni egy ilyen esetre?
Jó, hogy találtunk egy nagyon "buta" telefont a szekrényben - ennek semmiféle egyéb funkciója nem volt - még a bluetooth kapcsolatot is letiltottuk róla. SIM kártya is akadt, bár a pandémiás korlátozások miatt csak reggel tudtunk egy közeli benzinkúton feltöltős kártyához jutni. (Azóta már megérkeztek a kifejezetten e célból beszerzett készülékek és azóta életben tartunk egy SIM kártyát is, amelyet NEM használunk egyéb célra.)
Azt a laptopot, amelyet a banki utalásokra használjuk, nem kapcsoltuk be azóta, illetve mégis, de akkor sem engedtük, hogy a rá telepített operációs rendszer elinduljon. Készítenünk kellett egy teljes lemezmásolatot, olyat, amelyik azokat a szektorokat is tartalmazza, amelyek nincsenek használatban. Megfelelő eszközt és formátumot kellett keresnünk erre a célra, olyat, amely bizonyítékként is felhasználható lesz egy esetleges büntetőeljárás során.
Kapóra jött, hogy frissen szereztünk be egy laptopot, amelyre korábban "szűz" operációs rendszer került: a munka így - a jelszóváltoztatások miatt ugyan kisebb zökkenőkkel - folytatódhatott. (Jelenleg ilyen célra még nem szereztünk be vészhelyzeti hordozható eszközt, de egy asztali pc-t már felszabadítottunk egyéb feladatai alól, amit szintén csak frissen tartunk - egyéb célra nem használunk!)
A lemezképek mentésére többféle megoldást kínálnak a gyártók - azok, amelyeket a futó operációs rendszer elindítása után kell telepítenünk természetesen szóba sem jöhettek... Olyanokat kerestünk, amelyek pendrive-ra írhatóak és bootolni képesek, szigorúan meghagyva nekik, hogy a másolandó lemezeket csak olvasható státuszban kezeljék. Ezek bekerültek a kiválasztási folyamat második körébe.
Több kísérlet után először a Hiren's BootCD PE elnevezésűt tudtuk olyan állapotba hozni, amely segítségével elindítható volt a gép és az egyik segédprogramja - Macrium - futtatásával tudtunk teljes lemezmásolatot (klónt) készíteni az SSD-ről és a merevlemezről. (Az SSD 256 G - a HDD 512 G - ezek mentése nem csupán pár perc: hosszú órákig tart a másolás. Mindig csodáltam a filmeken azokat a felvételeket, amelyeken ez a művelet néhány perc alatt lezajlik...) Ugye nem kell mondanom, hogy nem ez a formátum volt a nyerő: fehérkalapos barátaink inkább egy másikat kértek. Az USA Delaware államának Wyoming városban székelő SUMURI vállalat PALADIN Edge szoftverével sikerült végül a szükséges képeket elkészíteni. (Ez úton is köszönet érte, itt találhatjuk meg az eszközt: https://sumuri.com/product/paladin-edge-64-bit/ )
Ugye minden vállalkozásnál fellelhető ilyen esetekre egy kellően nagyméretű hordozható merevlemez, amelyekre a mentés elkészülhet? Véletlenül sem fordulhat elő, hogy működő eszközt kell "kiszabadítanunk" a normál üzletmenetből, amelyet majd az első adandó alkalommal szükséges pótolni, mert a helyére betolt berendezések csak ideiglenesen alkalmasak a helyettesítésükre?
Az elkészült képek célba juttatása sem magától értetődő: mi olyan tárhelyre töltöttük fel, amelyet a további vizsgálattal megbízott szakértők biztosítottak részünkre, de ahogy a merevlemezek klónozása sem néhány perc alatt zajlott le, úgy a fájlok fel- és letöltése sem volt gyors folyamat. Ezekben a napokban nem a türelem volt a fő erényünk, miközben folyamatosan azon gondolkodtunk: hogyan előzhettük volna meg ezt a tortúrát? (Aki erre a kérdésre megnyugtató választ tud adni, ne habozzon: ragadjon tollat és ossza meg - akár e hasábokon -, biztosan állíthatom, nem csak tőlünk várhat biztatást és köszönetet.)
A vizsgálatot azóta a mobil eszközökre is kiterjesztettük, a nyomozati szakasz ezen fázisában már gyanítjuk, hogy ezeknek az eszközöknek is volt szerepük a csalási kísérletben.
Az incidenst még nem zártuk le, de azt biztosan állíthatjuk, hogy a hagyományos IT biztonsági intézkedések mellett továbbiakat is alkalmazni fogunk. (A bankkártyák nem lesznek közvetlenül a főszámlához kötve és csak akkor kerül rá a szükséges összeg, ha vásárolni indulunk - egyébként közel nullát mutat majd az egyenlege. A banki tranzakciókat eddig is különös figyelemmel kezeltük, de mostantól hajlandóak vagyunk lemondani egyes kényelmi szolgáltatásokról a biztonság érdekében.)
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
