Vyzbrojeni klávesnicí, nebezpeční pro společnost?

1. 2. 2005 07:00    Rubrika: Ostatní    Autor: Václav Návrat

... aneb co vše můžeme očekávat, když hacker zasedne ke svému počítači.

Vyzbrojeni klávesnicí, nebezpeční pro společnost?

Upřímně - můžeme očekávat i neočekávané. Se stále se rozšiřujícími možnostmi využití PC v různých odvětvích se ruku v ruce zvyšuje i zájem hackerů získat citlivá a užitečná data. Celou komunitu "nabourávačů" můžeme rozdělit do tří samostatných skupin:

  • začátečníci - jedná se většinou ještě o studenty vysokých škol, u kterých se projevuje snaha dostat se někam, kam by za normálních okolností neměli vůbec přístup, chuť něco si dokázat a pokořit tak správce napadeného serveru. Vyznačují se skromným vybavením a malými znalostmi.
  • pokročilí - zpravidla čerství absolventi VŠ. Mají už jisté nabyté zkušenosti, narozdíl od začátečníků už jim jde o něco serióznějšího, než například o získání volného přístupu na placené stránky.
  • profesionální hackeři - jde o lidi, pro které už hackeřina není jen koníčkem na dlouhé zimní večery, ale plnohodnotným dobře placeným zaměstnáním na hraně zákona. Mají jak nejlepší vybavení, tak i dostatek času pro své útoky.

Když se začne mluvit o hackerovi, každý si představí nenápadného človíčka sedícího celý den před monitorem, snažícího se za každou cenu získat citlivá data nejlépe celého světa a vnést naprostý chaos do fungování počítačů. Zdaleka to však není pravda. Dávno jsou pryč doby, kdy se nabourávaly systémy hrubou silou, tedy náhodným generováním hesel a podobnými věcmi. Netrvalo totiž dlouho, než se přišlo na to, že nejslabším článkem každého bezpečnostního systému jsou jeho samotní uživatelé. Dá se tedy říct, že systém je bezpečný do té míry, jak důsledně uživatelé dodržují bezpečnostní pravidla. A to už byl jen krůček ke vzniku sociálního hackingu. O co se jedná? Velmi zjednodušeně řečeno, uživatel v podstatě sám dobrovolně dá hackerovi přesně to, co potřebuje. Říkáte si, že je to nesmysl? Jeden z takových postupů je krásně popsán v knize od Kevina Mitnicka - Umění klamu, která byla u nás vydána před rokem a půl.

Pokud chcete zdarma nakupovat v internetovém obchodu, není to žádný problém. Protože každý zákazník obchodu má při přihlášení nastaven svůj účet, ze kterého se má platit nakoupené zboží, stačí "jen" najít nějakého konkrétního uživatele a získat jeho heslo. Pro normálního uživatele nepředstavitelné, pro hackera hračka. Najdeme tedy nejdříve nějakého konkrétního uživatele. V systému internetového obchodu bývají často jako součást diskusní fóra, kde si uživatele vyměňují své názory apod. Zde se objevuje jak přihlašovací nick (uživatelské jméno) zákazníka, tak i jeho e-mailová adresa. Uděláme si tedy malou soukromou databázi několika zákazníků obchodu a rozešleme falešný e-mail ve stylu, že při jejich poslední objednávce se naskytla chyba a pokud nemají zájem o zlatý náhrdelník za 1500\$, který si objednali, ať se přihlásí na uvedené adrese a objednávku zruší. V tu chvíli je uživatel zmaten, měl by zaplatit za náhrdelník, který si nikdy neobjednal, a bezmyšlenkovitě jde na uvedenou stránku, přihlásí se údaji, které používá do e-shopu, a objednávku zruší. Vůbec mu přitom nevadí, že adresa e-shopu je nějaká jiná, než na kterou běžně chodí a stránky vypadají taky trošičku odlišně. Hlavně, že nebude muset platit nic navíc. V tu chvíli jsou spokojeni jak zákazník, tak i hacker, který tím získal kompletní přístup cizího uživatele do internetového obchodu. A nákupy zdarma mohou začít...jak snadné.

Ale hackeři nejsou vždy jen ti špatní. Už jsem se zmínil, že se jedná o zaměstnání na pomyslné hranici zákona, která ale nemusí být nikdy překročena. Najímají si je firmy, když chtějí otestovat bezpečnost svého systému nebo vyzkoušet bezpečnostní uvědomění svých zaměstnanců. To je pro velké firmy velice důležité a je nutné přiznat, že u většiny se vždy najde větší či menší bezpečnostní díra, kterou by obratně dokázal využít šikovný útočník. Příkladem může být čerstvý případ americké části T-Mobilu, kde se jeden hacker dostal do jejich databáze, díky které následně četl e-maily a prohlížel soubory Americké tajné služby (U.S. Secret Service).

Útoky na systémy se dějí nejvíce právě u telekomunikačních společností, které v podstatě ovládají komunikaci dalších lidí, a tak při úspěšném útoku dostane hacker silný nástroj, který může využít k dalším akcím. Jak již bylo zmíněno, problém je také na straně uživatelů. Komunikace pomocí běžných e-mailů je velice jednoduše odchytitelná, a proto se snad na každém bezpečnostním školení zdůrazňují, že citlivé informace jako přihlašovací heslo by se nikdy neměli v e-mailu objevit. A pokud už není jiná možnost, tak aspoň bez přihlašovacího jména.

Vsadil jsem se kolegou, že se přihlásím pod jeho ICQ, které jsem do té doby ani neznal. Jeho výzvu jsem přijal. Začal jsem odchycením jeho pošty. Poté podle e-mailové adresy jsem si našel jeho ICQ číslo. Zkusil jsem se jednou přihlásit pod heslem, které jsem si tipnul. To bylo sice neúspěšné, ale ICQ nabídlo poslat heslo mailem. To byl můj moment vítězství. Pochopitelně jsem klikl na Odeslat. V několika sekundách jsem díky odchycení e-mailu měl jeho heslo a následné přihlášení proběhlo úspěšně. To byl další příklad, jak snadné je napadnout služby, které využívají statisíce lidí po celém světě.

Bezpečnostní experti z Intrusic Inc. si dali tu práci a snažili se 24 hodin monitorovat datové přenosy jednoho internetového poskytovatele. Za tu dobu identifikovali neuvěřitelných 4 466 hesel a 103 administrátorských hesel. Toto obrovské číslo svědčí o jediném - totiž že uživatelé počítačům nadevše věří a stále si neuvědomují skutečná rizika při přenosu citlivých informací.

Možná ještě horší situace je v oblasti rychle se rozrůstajících wi-fi sítí. Například v Brně, kde je poslední dobou ráj malých bezdrátových sítí, bylo zjištěno, že celých 30% není zabezpečeno ani prostým WEP či WPA šifrováním, které standardně nabízí téměř každý přístupový bod. Komunikace vzduchem tak probíhá zcela nešifrovaně a riziko odposlechnutí je velice vysoké.

Jak je vidět, bezpečnostní pravidla práce s počítačem lidé stále neberou moc vážně, a tak se nemůžeme divit, že hackerství je velice oblíná praxe. Pokud by na toto přišli jednou skuteční teroristé s potřebou udělat ve světě chaos a místo provádění neplánovaných demolic výškových budov pomocí několika letadel by se začli zaměřovat na hackování, můžeme se rozhodně těšit na pořádný zmatek, který se bude týkat nás všech.

Ostatní

Diskuse