Minipříručka hackera
Bezpečnost je většinou jen iluze. Pomocí jednoduchých nástrojů mohou profesionálové mnoho systémů "kreknout". Ukážeme vám, jak byste se měli chránit, nebo alespoň jak pro ochranu udělat maximum.
Šifrované USB flash disky firem SanDisk, Kingston nebo Verbatim měly být zcela bezpečné – používají totiž 256bitové AES šifrování, které je považováno za prakticky neprolomitelné. Získaly také certifikát FIPS (Federal Information Processing Standard), což je bezpečnostní standard, který používají federální úřady USA. Navíc po deseti neúspěšných pokusech o zadání hesla se veškerý obsah USB flash disku vymaže.
Nicméně profesionální hackeři ze společnosti SySS přišli na dvě "mouchy". AES šifrovací algoritmus nebyl bezpečně implementován a kontrolu hesla měl na starosti program, který bylo snadné analyzovat. Pouhé dva dny tedy expertům stačily na vytvoření nástroje, který zadání hesla obešel. Prolomení "klíčenek" ohlásila i česká firma Datarecovery.
OCHRANA: Tři poskytovatelé zabezpečených flash disků mezitím odstranili "zadní vrátka", musíte si však nainstalovat update, který je dostupný na jejich stránkách.
Zmanipulovaný flash
On-line hry nebo jiné flashové aplikace odesílají data z počítačů uživatelů na server, kde jsou webové stránky – například kvůli záznamu dosaženého skóre ve hře "Moorhuhn". Zmanipulovat tato data snad ani nemůže být snadnější. Jediné, co k tomu potřebujete, je doplněk k Firefoxu nazvaný Tamper Data. Doplněk zadrží odesílaná data, umožňuje je pozměnit a po stisku tlačítka je odešle na server. Doplněk totiž zobrazuje všechny zasílané parametry, a to jak statické, tak dynamické. Není tedy problém změnit "High score", "body" a podobně, případně i URL adresy, které tyto informace posílají. Pokud tedy "hacker" pozmění hodnotu skóre, může se rázem vyšvihnout na čelo žebříčku nejlepších hráčů a server toto podvodné jednání nemůže odhalit. On-line hráči mají tyto jednoduché, ale účinné triky k dispozici už dlouho, a tím se také vysvětluje neuvěřitelně vysoké skóre některých hráčů.
Vyrabování účtu
On-line bankovnictví má být zabezpečeno pomocí tzv. transakčního jednorázového kódu TAN (něco jako PIN) a jeho generátoru. Zařízení, která rozdávají banky svým klientům, čtou blikající kód vygenerovaný bankou a zobrazený na webových stránkách. Pomocí kódu se můžete verifikovat pro přístup k bankovnímu kontu. V podstatě by měl být tento systém neprolomitelný. Odborníci na bezpečnost z RedTeam Pentesting však poukázali na to, že hackeři mohou přenos zmanipulovat pomocí trojského koně: změní binarní kód, který obdrží bankovní ústav. To ale funguje pouze v případě dávkového zpracování, protože se na TAN generátoru zobrazuje jen celková částka, a nikoli částky jednotlivých operací. Jednotlivé položky si totiž uživatel nemůže ověřit. Trojské koně mohou také manipulovat jednotlivé transakce s mezinárodním číslem bankovního účtu IBAN. Generátor TAN zobrazuje pro ověření pouze šest z 34 znaků. Ty jsou uvedeny na internetových stránkách banky. Trojan pak může změnit tuto informaci tak, že uživatel autorizuje nesprávný cílový učet.
OCHRANA: Vyhněte se dávkovému placení a plaťte jednotlivé položky zvlášť a zvlášť je kontrolujte. Mezinárodní platby pak raději provádějte přímo v bance.
Zabezpečovací kamery
Bezpečnostní kamery sledují nemovitosti, muzea, obchody nebo sklady. Většina těchto kamer posílá obraz do bezpečnostního řídicího centra v nezašifrované podobě. S vhodným přijímačem, kterým může být klidně i dětská "chůvička" s displejem, je možné tato data zachytit. Hackeři tedy využívají toho, že kamery posílají data pouze v několika málo volných frekvenčních pásmech.
Za využití jiných frekvencí musí výrobci platit, a kamery jsou z toho důvodu mnohem dražší. Proto riziko, že se kdokoli zvědavý a vybavený dětskou chůvičkou podívá do přísně střežených objektů, je poměrně velké, a to i z delší vzdálenosti. Některé modely jsou totiž schopné přijímat signál i na vzdálenost více než pěti kilometrů.
OCHRANA: Používejte kamerky, které nabízí i šifrování – například bezdrátové kamerky s podporou WEP2.
Odemykaní Wi-Fi jako služba
Americká společnost WPA Hacker nabízí profesionální hackerské služby. Umožňuje svým zákazníkům přistupovat do zabezpečených WLAN sítí, pokud použijí speciální nástroje jako aircrack-ng (http://www.aircrack-ng.org), které dokáží bezdrátovou síť odposlouchávat. Za asi 40 USD pak tato firma pomocí cloudu s asi 800 počítači rozlomí heslo WLAN sítě, zabezpečené pouze pomocí WPA. Zkouší přitom cca 284 milionů možných hesel v angličtině a němčině. Trvá to jen asi 55 minut. Na jednom počítači by prolomení WPA trvalo přibližně dva týdny.
OCHRANA: Při nastavení Wi-Fi routeru zvolte vyšší úroveň zabezpečení WPA2 a také nastavte bezpečné heslo – dostatečně dlouhé a skládající se i z čísel a speciálních znaků.
Jak přelstít webový obchod
Neschopní programátoři jsou nejlepšími kamarády hackerů. I když jsou populární triky hackerů už dlouho známé, stále se najde dost webových obchodů, na kterých mohou celkem snadno manipulovat s cenami nabízených výrobků. Některé obchody uvádějí kupní cenu v URL, pokud se výrobek vloží do košíku. Hackerovi pak stačí změnit cenu v URL, a po vložení do košíku si klidně může koupit nový kufřík místo za 125 třeba jen za 5 eur.
U dalších obchodů potřebují hackeři přece jen lepší výbavu – legální a freewarové doplňky pro internetové prohlížeče (Web Developer pro Firefox nebo HtmlBar pro IE), které zobrazují skrytá pole formuláře na webové stránce. Tato pole mohou obsahovat nejrůznější informace, jako je název výrobku, počet, objem a podobně, a někdy dokonce i cenu. Pak už hackerovi stačí zadat jiné množství, a hned je v košíku mnohem nižší cena než původně. Proces objednávky v podstatě akceptuje i záporné ceny, čímž si hackeři mohou připisovat kredit. V případě automatické fakturace tak může majitel obchodu na podvod přijít až po několika týdnech.
Zneužití Googlu
Hackeři jistě souhlasí s mottem Googlu "Don't be evil" a tento známý vyhledávač určitě často a úspěšně používají. Mohou si díky němu najít řadu důvěrných informací. Pokud tedy například zadají do vyhledávače "file-type: xls username password", naleznou XLS tabulky, ve kterých jsou uložena hesla uživatelů webových stránek. Pomocí podobného příkazu mohou najít i e-mailové adresy, mezery v databázi nebo servery, na kterých je použita verze softwaru s nějakou dírou. Google Hacking Database (GHDB), kterou najdete na webových stránkách, obsahuje přes 1 200 parametrů dotazů. Uživatel proti tomu nemůže dělat téměř nic, kromě toho, že na internet o sobě umístí co nejméně informací.
Falešná identita
Další generace osobních dokladů už bude kromě obvyklých údajů obsahovat i otisky dvou prstů (tzv. biometrické pasy zahrnují tyto údaje už nyní). To by mělo zajistit snadnější zjištění totožnosti držitele průkazu a také lepší ochranu před zneužitím. Příslušné úřady se tedy budou muset vybavit speciálními skenery otisků prstů (pasové úřady už je mají). Jak ale zjistil bezpečnostní expert Gunnar Porada, tato zařízení nejsou před hackery úplně bezpečná. Problém je v tom, že software skeneru posílá otisky prstů v nezašifrované podobě. Je tedy možné pomocí trojského koně zasílaná data odchytit, upravit a poslat je dál tak, aby to vypadalo, že je poslal přímo skener. Pokud není skenovací nástroj spuštěn, zůstává v klidu i trojský kůň a zůstane tak skryt před bezpečnostními balíky. Je-li pak skenovací software spuštěn, malware identifikuje jeho DLL soubory a probudí se k životu. Aby se hacker v zařízení dobře vyznal, stačí mu, když si ho včetně programů pořídí a analyzuje jeho činnost. Pro téměř každý model skeneru otisků prstů už najdete na čínských webových stránkách návod na vytvoření trojského koně. Zločinci pak mají šanci "vykreslit" sebe jako majitele průkazu a mohou se tak dostat i k zajištěným bankovním účtům. Stejně tak mají alespoň teoretickou možnost podstrčit svoje otisky někomu jinému, což by mohlo maskovat jejich trestnou činnost. Nevinného člověka by pak policie mohla identifikovat na základě otisků prstů jako zločince. Důležitá je i kvalita skenu. Na naléhání některých státních institucí už výrobci skenerů pracují na odstranění v současné době známých nedostatků.
XSS útok
Cross-Site Scripting (XSS) je jednou z nejoblíbenějších metod hackerů pro narušení WWW stránek využitím bezpečnostních chyb ve skriptech. Pokud hackeři najdou vhodné mezery, mohou do stránek podstrčit svůj vlastní javascriptový kód. Toho mohou využít k poškození stránky, k jejímu odstavení, nebo dokonce k získání údajů návštěvníků stránek – mohou krást jejich cookies a mohou za ně například provádět platby nebo zobrazovat a měnit jejich nastavení.
Hacker musí samozřejmě dobře znát HTML kód a javascript, případně musí alespoň vědět, kde na internetu najde požadované části kódu, které mu v jeho úsilí pomohou. Hacker vloží svůj kód do oblasti webové stránky, jako je například formulář nebo textové pole. Webové stránky, které nejsou dobře zabezpečené, nezjistí, že nejde o běžný text, a skript se tak může spustit. Kód je pak trvale přítomen na upravené stránce, případně se spustí na dynamicky generované stránce, jako je například výsledek hledání. Pokud nějaký uživatel vyvolá takto upravené WWW stránky, skript si přečte informace z cookies a pošle je hackerovi.
Pomocí těchto metod mohou hackeři ovlivňovat i obsah napadených stránek. To také vysvětluje, proč se na domovské stránce Apple iTunes objevovalo tolik reklamy na operační systém MS Windows 7.
OCHRANA: Například Firefox nabízí jednoduchou ochranu před XXS pomocí doplňku nazvaného NoScript (http://noscript.net). Dokonce i XSS filtr pro MS Internet Explorer 8 je ale na XSS útoky náchylný. Raději ho tedy vypněte.
Krádež dat
Kolem každé velké webové stránky se uloží nespočet různých dat – uživatelská jména, adresy, čísla účtů a další. Ukládají se do databáze a z této databáze jsou pak informace získávány nebo měněny pomocí SQL příkazů. Hackeři využívají tyto SQL příkazy zadané přes URL k získání zajímavých informací, tedy informací z vyplněných polí, aby se jim podařilo proniknout bez znalosti hesla. Útok na internetové stránky je tedy prováděn přes neošetřený formulář, manipulací s URL nebo třeba i podstrčením upravené cookie.
Hackeři využívají toho, že ověření provedené webovou stránkou pro URL nebo formuláře je velmi často nekvalitní a nedostatečné a umožňuje i neautorizované databázové požadavky. Tyto "SQL injekce" jsou přitom bezpečnostní mezery, které se na webových stránkách vyskytují velmi často, a to i na webových stránkách státních institucí. Jednoduchá obrana spočívá v kontrole a úpravě vstupních dat – skriptovací program s podporou databáze nabízí funkce pro převedení potenciálně nebezpečných znaků. Na straně databáze pak lze útoku zabránit nastavením uživatelských práv.
Cracking hesel
Grafické karty dokážou nejen bravurně vykreslit na obrazovce realistický obraz, ale pomáhají hackerům i s prolamováním hesel. To funguje velmi dobře s hash šiframi, které se používají pro heslo na mnoha webových stránkách. Na základě hash hodnoty je hi-endová grafická karta s více než 480 výpočetními jednotkami schopna prolomit heslo přibližně 200krát rychleji než desktopový procesor. Dokonce i heslo, které obsahuje čísla a speciální znaky, může být touto brutální výpočetní silou prolomeno za pár hodin.
Špionáž v mobilních telefonech
Mobilní telefony, jako například iPhone 3G, chrání osobní data pomocí uživatelského kódu. To pomáhá chránit citlivé údaje, jako například e-maily a kontakty, v případě, kdy je mobilní telefon odcizen. Pokud nepovolaná osoba třikrát po sobě zadá nesprávný bezpečnostní kód, mobilní telefon vymaže všechna data. Analytici z firmy SySS však předvedli, jak snadno mohou hackeři zadávání tohoto bezpečnostního kódu obejít. Volně šiřitelný jailbreak nástroj nazvaný redsn0w obejde vstupní PIN telefonu iPhone a připojí se pomocí USB do jeho souborové struktury. K souborům má pak hacker plný přístup, databázový soubor keychains-2.db2 si zkopíruje do osobního počítače pomocí správce souborů iPhoneBrowser a smaže v něm uložené přístupové kódy. Takto upravenou databázi nakopíruje zpět do iPhonu. Po restartu mobilního telefonu už není uživatel vyzván k zadání bezpečnostního kódu a hacker se tak snadno dostane ke všem údajům, jako jsou e-maily, kontakty a podobně.
Takovýto útok na obsah fungoval do firmwaru verze 3.1.2. Od verze 3.1.3 už naštěstí Apple tuto díru v systému "zalátal". Podle Sebastiana Schreibera z SySS je však v podstatě jakékoli zařízení nějakým způsobem prolomitelné. Například pomocí speciální svorky, která se přiloží k žilám na základní desce telefonu Nokia, se odblokuje jeho bezpečnostní mechanismus.
OCHRANA: Nikdy nenechávejte zapnutý mobilní telefon bez dozoru a neukládejte si do něj citlivé informace. Používejte nové verze firmwaru.
Nástroje hackera
BACKTRACK 4
Linuxová distribuce, která obsahuje řadu nástrojů na testování bezpečnosti sítě, serverů a aplikací. K dispozici je i česká verze.
CAIN & ABEL
Program pro zjišťování hesel. Má i zabudovaný sniffer pro odposlouchávání většiny síťových protokolů a program podporuje i šifrované protokoly. Zjišťuje i hesla skrytá za hvězdičkami nebo různé hash kódy.
OLLYDBG
Nízkoúrovňový debugger pro Windows. Pomáhá s hledáním chyb a zadních dvířek.
TAMPER DATA
Doplněk pro Firefox, který dokáže zobrazovat a měnit údaje, jež se odesílají na webové stránky.
WEB DEVELOPER
Doplněk pro Firefox pro webdesignéry a vývojáře webů, který zobrazuje skryté prvky webové stránky. Umožňuje i náhled v požadovaném rozlišení, vypnutí grafiky na stránce, kontrolu validity CSS a HTML, test rychlosti načítání stránky apod.