Kdo ukradl mé já?
Mezery ve webových službách lákají podvodníky ke krádežím identity. Ti dokážou jak hacknout účty, tak i číst vaši poštu. Ukážeme vám, jak se chránit – tedy pokud je to možné…
DOMINIK HOFERER, PETR KRATOCHVÍL
V době redakční uzávěrky tohoto vydání Chipu teoreticky existovalo více než milion potenciálních zlodějů schopných krádeže identity. Nástroj umožňující snadnou krádež identity Firesheep byl často stahován právě v době, kdy se podvodníci bez problémů mohli přihlásit do systému na webu Amazonu, Facebooku nebo do poštovních účtů. Stačí pouze, aby oběť využila k přístupu na špatně zabezpečené webové stránky nezabezpečenou Wi-Fi síť – například v hotelu nebo kanceláři. Existuje zde několik slabých míst, která jsou natolik závažná, že napadeným lidem mohou způsobit obrovské škody: od nákladů spojených s krádeží identity až po placení zásilek, které si na váš účet zloději objednali v internetových obchodech…
Problémy, které nedbalé bezpečnostní mechanismy vnášejí do internetové komunikace, už mohou uživatele bohužel zasáhnout i v reálném světě. Ukážeme vám ty nejhorší slabiny spolu s metodami, jak se před těmito špinavými triky bránit.
Hacknutý účet (nejen) na Amazonu
Kavárny s bezplatnými (a nezabezpečenými) hotspoty jsou už několik měsíců rájem pro zloděje identity. Představte si následující situaci: V kavárně jste přihlášeni do Wi-Fi, kam má přístup mnoho dalších uživatelů. Vy si v jedné kartě prohlížeče kontrolujete e-maily, v jiné surfujete po svých oblíbených stránkách. A co v tuto chvíli dělá osoba sedící u vedlejšího stolu? Prohlíží si informace o vašem účtu na Amazonu a čte si vaše zprávy na Facebooku. Nejhorší je, že pro získání přístupu k cizímu účtu nemusí být uživatel žádný zkušený "hacker". Stačí si jen nainstalovat jednoduchý doplněk pro Firefox a mít trochu trpělivosti: nástroj se o vše postará a vy si jen zvolíte, ke které službě (viz rámeček dole) a pod jakým cizím jménem se ke službě přihlásíte. Princip je jednoduchý: I když se ke zvolené službě přihlašujete pomocí jména a hesla, další přenos probíhá nekódovaně – pro získání přístupu pod cizím jménem je jen nutné získat příslušnou cookie, která slouží jako "klíč". Zvědavý uživatel se tak může jen posadit v kavárně s Wi-Fi nezabezpečeným přenosem, spustit počítač a poté Firefox s příslušným doplňkem. Pak už jen stačí čekat, až se někdo přes Wi-Fi přihlásí k nezabezpečené službě a v postranní liště se vám objeví jeho profil. Pro plný přístup ke službě (se stejnými právy jako uživatel přihlášený pomocí jména a hesla) pak stačí jediné kliknutí…
Předchozí řádky nejsou bohužel žádným abstraktním strašením, ale reálnou hrozbou – nainstalovat doplněk do Firefoxu zvládne i malé dítě a množství nezabezpečených sítí je příliš velkým lákadlem pro zvídavé uživatele. Je nutné si uvědomit, že útočník (v závislosti na typu služby) může odesílat e-maily, tweetovat nebo posílat obrázky. Útočník však může používat identitu oběti tak dlouho, dokud je oběť přihlášena. Jedním z mála uklidňujících faktů může být to, že Firesheep nedokáže odhalit skutečné heslo. I zde ale přišli podvodníci na trik, kterým překonají i tuto překážku. Pokud se uživatel paralelně přihlásí k vybrané službě a ke svému e-mailu, podvodník využije chvilkové nepozornosti uživatele a požádá o resetování hesla (zaslání nového na svůj e-mail). "Hacker" okamžitě odstraní došlou zprávu, heslo změní a s ním i zmiňovanou e-mailovou adresu pro zaslání hesla v případě "resetu". Tak získá vybranou službu zcela pod svou kontrolu. Zde je nutné poznamenat, že některé služby mají pro změnu hesla další bezpečnostní mechanismy (například platební služba PayPal), jiné vám dovolí změnit heslo zcela bez problémů (Amazon, některé freemaily).
JAK SE BRÁNIT: První a nejjednodušší obranou je nepoužívání služeb s nezabezpečeným přenosem. Problémem ale je, že celá řada služeb https přístup neumožňuje nebo jej implicitně nenabízí, a uživatelé by je přesto rádi využívali. První problém vyřešit nelze – jedinou rozumnou obranou tak je nepřihlašovat se k těmto službám z nezabezpečených sítí. Druhý problém pomůže vyřešit další doplněk pro Firefox – HTTPS Everywhere od autorů projektu TOR a Electronic Frontier Foundation (www.eff.org/https-everywhere). Tento doplněk si bezpečné připojení vždy vynutí. Za příjemný paradox lze označit přístup Seznamu, jehož freemail se na první pohled tváří jako nezabezpečená služba (v adresním řádku najdete jen http), od roku 2006 již standardně využívá SSL připojení. To ale uživatel, který se nepodívá na zdrojový kód stránky, určitě netuší.
Zloději firem
Krádež identity a případné zneužití vašeho účtu u internetové služby sice příliš příjemné není, finanční škody jsou však ve většině případů zanedbatelné. V poslední době se ale začíná objevovat mnohem závažnější a nebezpečnější forma "krádeže identity", která může vaše konto "vyčistit" mnohem více – krádeže internetových webů.
V současné době stále více uživatelů komunikuje s firmami elektronicky a údaje z internetu používá pro internetové bankovnictví a přesuny peněz. Představte si například, že máte zájem o drobnější stavební práce a na základě referencí si zvolíte konkrétní firmu. Po výměně několika e-mailů se dohodnete na zaplacení zálohy a vy na zadaný účet (který najdete také na internetu) odešlete požadovanou částku. V té chvíli ale netušíte, že stavební firma o vaší zakázce vůbec nic neví a vy své peníze už nikdy neuvidíte. Hackeři totiž stránky firmy upravili a dostali pod svou kontrolu. Z účtu "hackerů" jsou poté peníze převedeny pomocí anonymních internetových služeb do "méně vyvinutých" zemí a tam pomocí falešných dokladů vybrány v hotovosti (více informací o metodách finančních převodů internetových podvodníků najdete v Chipu 7/2010).
JAK SE BRÁNIT: Při komunikaci s vybranou firmou nikdy nepoužívejte pouze elektronické prostředky, ale minimálně jednou vyzkoušejte i telefonní číslo prověřené z dalších webových zdrojů (například z databáze firem). V případě jakýchkoliv pochybností zvolte osobní kontakt a před zasláním zálohy požadujte sepsání smlouvy.
Po uzávěrce
FACEBOOK BEZPEČNĚJI: Krátce po uzávěrce tohoto článku nabídl Facebook také zabezpečený přístup. Na možnost zapnout HTTPS vás ale služba neupozorní – musíte ji aktivovat sami. Příslušnou volbu najdete v nabídce " Účet Nastavení účtu | Zabezpečení účtu". Zde v sekci "Zabezpečení účtu" aktivujte "Zabezpečené procházení".
Tuto možnost doporučujeme využívat nejen na nezabezpečených Wi-Fi sítích. Prozatím se ani nepotvrdilo očekávané zpomalení – služba fungující přes https nabízí ve srovnání s nezabezpečenou variantou jen nepatrné zpoždění.
PETR.KRATOCHVIL@CHIP.CZ
FIRESHEEP
S celou řadou služeb (včetně populárního Facebooku) uživatelé komunikují přes protokol HTTP, který je z principu nezabezpečený. Při přihlašování ke službě sice jméno a heslo použijí, další komunikace (a přístup k soukromým datům) je už "prověřován" pouze na základě cookie, která se vytvoří po přihlášení. Stačí tedy získat příslušnou cookie, a cesta k cizí identitě je volná. Opravdu je to tak snadné?
Překvapivou odpověď na tuto otázku dal světu Eric Butler – ano, je to ještě snadnější. Tento programátor chtěl prý upozornit na tuto obrovskou bezpečnostní mezeru, a proto vytvořil jednoduchý doplněk do Firefoxu s názvem Firesheep (http://codebutler.github.com/firesheep/). Ten pak představil na podzim loňského roku spolu s Ianem Gallagherem v San Diegu na dvanáctém ročníku hackerského setkání ToorCon (http://sandiego.toorcon.org/).
Nyní tedy stačí mimo jiné spustit Firefox s nainstalovaným doplňkem Firesheep, připojit se k nezabezpečené Wi-Fi síti a čekat. Jakmile se někdo přes tuto nezabezpečenou síť připojí ke službě, kterou Firesheep zná, objeví se vám v okně prohlížeče jeho profil a vy se k němu můžete pouhým kliknutím přihlásit.
Zašifrované, nebo ne? Které webové služby nabízí skutečnou ochranu?
Následujíc tabulka vám prozradí, které služby odolají útoků hackera a které dokáže přelstít s jednoduchými nástroji i naprostý začátečník. Freemailové služby, internetové obchody nebo sociální sítě – to vše jsou místa, kam zadáváte své soukromé údaje a očekáváte že dostanou přiměřenou ochranu. Ukážeme vám, kteří poskytovatelé zabezpečí jen přihlášení a kteří věnují bezpečnosti svých uživatelů plnou pozornost.
VE VÍRU PARAGRAFŮ
Až donedávna u nás teoreticky ke "krádežím identity" téměř nedocházelo. Uživatelé, vědomi si chybějících paragrafů a především "IT zkušených" policistů, raději tento problém řešili sami a na policii se obraceli až v krajních případech. Od ledna letošního roku se ale situace částečně změnila – policistů schopných rozeznat Word od Excelu sice nepřibylo, v zákoně se ale objevilo několik možností postihu hackerů. Pokud tedy věříte ve spravedlnost a budete mít štěstí na policistu, potěší vás několik nově definovaných trestných činů.
§ 230 Neoprávněný přístup k počítačovému systému a nosiči informací
1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.
Jde o nový trestný čin, který spočívá v neoprávněném získání přístupu k cizímu počítači – za předpokladu, že překoná bezpečnostní opatření. Může jít o libovolné bezpečnostní opatření, tzn. postačí i prolomení jednoduchého hesla. Novinkou tedy je, že nemusí dojít k vlastní krádeži dat, ale stačí pouhé zajištění si přístupu k cizímu počítači.
§ 182 Porušení tajemství dopravovaných zpráv
1) Kdo úmyslně poruší tajemství
b) datové, textové, hlasové, zvukové či obrazové zprávy posílané prostřednictvím sítě elektronických komunikací a přiřaditelné k identifikovanému účastníku nebo uživateli, který zprávu přijímá, nebo
c) neveřejného přenosu počítačových dat do počítačového systému, z něj nebo v jeho rámci, včetně elektromagnetického vyzařování z počítačového systému, přenášejícího taková počítačová data, bude potrestán odnětím svobody až na dvě léta nebo zákazem činnosti.
2) Stejně bude potrestán, kdo v úmyslu způsobit jinému škodu nebo opatřit sobě nebo jinému neoprávněný prospěch
a) prozradí tajemství, o němž se dozvěděl z písemnosti, telegramu, telefonního hovoru nebo přenosu prostřednictvím sítě elektronických komunikací, který nebyl určen jemu, nebo
b) takového tajemství využije.
Listovní tajemství zajišťuje každému již Listina základních práv a svobod. Trestní zákoník tento rozsah konkretizuje a zakazuje komukoli porušit tajemství zpráv určených konkrétní osobě, které jsou posílány prostřednictvím sítě elektronických komunikací. Nikdo rovněž nesmí porušit tajemství neveřejného přenosu počítačových dat po počítačovém systému.
§ 231 Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat
1) Kdo v úmyslu spáchat trestný čin porušení tajemství dopravovaných zpráv podle § 182 odst. 1 písm. b), c) nebo trestný čin neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 odst. 1, 2 vyrobí, uvede do oběhu, doveze, vyveze, proveze, nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává
a) zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k neoprávněnému přístupu do sítě elektronických komunikací, k počítačovému systému nebo k jeho části, nebo
b) počítačové heslo, přístupový kód, data, postup nebo jakýkoli jiný podobný prostředek, pomocí něhož lze získat přístup k počítačovému systému nebo jeho části, bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo jiné majetkové hodnoty nebo zákazem činnosti.
Zde se jedná o jakékoli nakládání se zařízením, softwarem, databází hesel apod., které umožňují spáchat jeden z výše uvedených trestných činů, nebo o jejich výrobu. Je ovšem třeba prokázat úmysl pachatele. Smyslem je zamezit jakékoli podpoře této trestné činnosti a rozšířit okruh odpovědných osob – trestný čin zahrnuje i pouhé přechovávání či zprostředkování takovýchto zařízení.
§ 232 Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti
1) Kdo z hrubé nedbalosti porušením povinnosti vyplývající ze zaměstnání, povolání, postavení nebo funkce nebo uložené podle zákona nebo smluvně převzaté
a) data uložená v počítačovém systému nebo na nosiči informací zničí, poškodí, pozmění nebo učiní neupotřebitelnými, nebo
b) učiní zásah do technického nebo programového vybavení počítače nebo jiného technického zařízení pro zpracování dat, a tím způsobí na cizím majetku značnou škodu, bude potrestán odnětím svobody až na šest měsíců, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.
Tento trestný čin volá po odpovědnosti konkrétních osob, které nakládají s důležitými údaji a způsobí ztrátu nebo změnu počítačových dat. Ke spáchání tohoto trestného činu postačí hrubá nedbalost vyplývající ze zaměstnání či funkce. Je však nutné, aby vznikla minimálně značná škoda, tj.škoda v minimální výši 500 tisíc Kč. Na pachateli můžete žádat náhradu způsobené škody, tu však musíte prokázat. Můžete se domáhat i přiměřeného zadostiučinění z titulu ochrany osobnosti.
Zdroj: www.bezpecnyinternet.cz,
Trestní zákoník