Hacking lidí
Počítačoví zločinci kradou pomocí jednoduchých nástroju a zrádných psychologických triku digitální identity a získávají osobní údaje, které potom využívají k vlastnímu obohacení.
CLAUDIO MÜLLER, PETR KRATOCHVÍL
Mezery v softwaru lze „zazáplatovat“ pomocí aktualizací, čímž se podstatně sníží možnost průniku hackerů do počítače. Existuje ale ještě jedno „bezpečnostní riziko“, proti kterému aktualizace programů nepomohou – samotný uživatel. Novým trendem hackerů začíná být „sociální hacking“: místo pokusů o přímý přístup k datům prostřednictvím operačního systému nebo prohlížeče nyní hledají počítačoví zločinci nové způsoby, jak s uživateli manipulovat a získat potřebná data přímo od nich. Jejich kořistí jsou digitální identity, které mají na internetovém černém trhu velkou cenu.
Tato nová forma „sociálního inženýrství“ ohrožuje především uživatele Facebooku a dalších sociálních sítí. Bezpeční tak mohou být pouze ti, kteří psychologické triky chápou a dokážou takovéto riziko eliminovat.
Facebook: Přehrabování v digitálním odpadkovém koši
Sociální inženýrství: Umění klamu má tradici, která sahá daleko do historie (viz rámeček na další straně). Klam je profesionálními podvodníky využíván proti firmám již velmi dlouho. Zaměstnanci firem byli útočníky manipulováni tak, aby prozradili důvěrné informace. Tyto útoky byly vedeny zejména za účelem získání zdánlivě neškodných údajů, jako jsou např. organizační diagramy zobrazující hierarchii společnosti. Tato data byla získávána pomocí pozoruhodných metod, které lze přirovnat k hledání dokumentů v koši. Tato metoda se nazývala tzv. Dumpster Diving. Získání takových údajů velmi usnadnil příchod Googlu a především Facebooku. Nyní je lze snadno najít, a můžete přitom sedět v obývacím pokoji!
„Vztahy mezi cíli útoků a také jejich preference lze nyní snadno zjistit ze sociálních sítí, není nutné se kvůli tomu hrabat v jejich odpadkovém koši,“ říká Stefan Schumacher z Institutu pro výzkum bezpečnosti v Magdeburgu (MIS). V tzv. odpadkovém koši Facebooku dokážou útočníci najít údaje vztahující se k milionům uživatelů. Tyto údaje mohou představovat spoustu peněz: e-mailové adresy, telefonní čísla, politické názory, připojené webové účty, nápovědy pro hesla atd.
Bezpečnostní služba Secure.me, provedla zajímavou studii, která zjistila, že 71% uživatelů sdílí své soukromé (ale i jiné) informace související s bezpečností právě na Facebooku. Bezpečností otázky typu „Jaká je vaše oblíbená barva či filmová herečka“ tak už začínají ztrácet na významu…
Peněžní hodnota těchto dat se pohybuje od několika centů až po několik amerických dolarů, v závislosti na rozsahu datového záznamu a významnosti daného uživatele. Údaje uživatelů z bohatých západních zemí jsou považovány za hodnotnější než data uživatelů, kteří žijí v rozvojových zemích.
Obchodníci s těmito získanými daty je neprodávají po jednom, ale spíše v balíčcích o velikosti stovek, nebo dokonce tisíců záznamů, což pro ně už představuje velmi lukrativní byznys. Hlavními „prodejci“ jsou v tomto oboru hackeři a hackerské skupiny, kteří nabízejí své služby na příslušných fórech. Jejich počet je obrovský, což souvisí s neuvěřitelným množstvím metod získání digitálních identit.
Konečným cílem každého útoku ale obvykle je získat přímý přístup k účtu uživatele. To útočníkovi umožní nejen zcizení osobních údajů samotného uživatele, ale získání přístupu k dalším potenciálním cílům – jeho přátelům.
Typickým zdrojem a nástrojem pro podobné útoky jsou malé prográmky, které na většině sociálních sítí plní „drobné úkoly“ (například nabízí kalendáře narozenin), nebo jde o hry. Většina z nich je charakteristická unikátní nabídkou, která jim zajišťuje u uživatelů téměř magickou přitažlivost – typickou ukázkou mohou být podvodné aplikace pro Facebook, které vám zjistí, kdo se dívá na vaši zeď, nebo nabídnou neexistující tlačítko „Unlike“ (nelíbí). Loňská zkušenost s vlnou těchto podvodných programů ukazuje, že běžný uživatel Facebooku na tyto aplikace klikne obvykle bez přemýšlení, zvláště pokud mu je doporučili „přátelé“. A ve finále jen málokdo dokáže zjistit, že jeho účet „ovládl“ někdo jiný.
Na straně druhé je však nutné podotknout, že i mimořádně opatrní uživatelé se mohou pomocí šikovných triků stát oběťmi sociálního hackingu. Nedávno se objevila podvodná aplikace, která se dožadovala přístupu k vašim údajům. Pokud jste jí v tom chtěli zabránit a automaticky klikli na symbol křížku pro „zrušení“ okna aplikace, pak jste byli místo návratu zpět do svého profilu přesměrováni na kopii hlavní stránky Facebooku. Tato podvodná stránka vás „požádala“ o znovupřihlášení ke svému profilu a poté, co jste zadali správné údaje, k tomuto přihlášení skutečně došlo – hackeři už znali vše potřebné a automaticky vás přihlásili k „pravému“ Facebooku. Naprostá většina uživatelů si ničeho nevšimla: podvodnou phishingovou stránku bylo možné rozeznat jen podle falešné URL adresy.
Smutné je, že tyto aplikace jsou na některých sociálních sítích stále k dispozici (mění se jen jejich jména). Například na Facebooku byly aplikace pod jménem Tinie k dispozici za pouhých 25 dolarů. Útočníci je pak stačí použít v desítkách případů, než se ocitnou na černé listině Facebooku…
Hack účtu: Vloupání předními dveřmi
Přímým, i když méně elegantním způsobem, jak proniknout do uživatelského účtu, je cracknutí hesla. Rychlé procesory a grafické čipy tyto útoky hrubou silou usnadňují. Práci hackerům navíc zlehčují uživatelé nastavením příliš jednoduchého hesla. To proto, že tato hesla mohou být snadno během krátké doby prolomena, obzvláště jsou-li vytvořena z běžných výrazů („heslo“, „kočka“), z typických kombinací čísel („123456“) nebo velmi krátkých řetězců znaků („QWERTY“). Integrované slovníky, které jako první prověřují tato jednoduchá hesla, lze snadno najít na fórech hackerů. Stejně tak mohou být genericky prověřeny i e-mailové adresy nebo přihlašovací jména uživatelů (pro případ, že si uživatel dá stejné heslo jako e-mailovou adresu či jméno).
Samozřejmě že kromě zmiňovaných specifických „facebookových útoků“ používají počítačoví zločinci také klasické metody. Velmi účinné zbraně představují např. keyloggery, které zaznamenávají stisknuté klávesy a odhalí vložení hesla, nebo trojské koně tajně sledující datový provoz.
Velké oblibě se těší také způsob útoku označovaný jako „Cookie-Klau“, který zpopularizoval Firesheep, známý plug-in pro Firefox. Při něm dokáže hacker zachytit nezakódovaný přenos „session-cookies“ s přihlašovacími údaji uživatele a převzít tak uživatelovu identitu.
V případě stolních počítačů už to ale možné není, protože Facebook mezitím zavedl proces šifrovaného přihlášení. Nejvíce riziková jsou mobilní zařízení, zejména ta s OS Android.
Dalším typem útoku je ten, u kterého mohou útočníci převzít kontrolu nad uživatelskými účty pomocí aplikací, jako jsou FaceNiff nebo DroidSheep – pokud mají kontrolu nad sítí, ke které se uživatel přihlašuje. V tomto případě jsou tedy hlavní hrozbou veřejně dostupné Wi-Fi.
Zajímavé je, že v hackerských kruzích je o služby tohoto typu takový zájem, že to vedlo k vytvoření paradoxní situace, kdy podvodník podvádí podvodníka! Například web wellmug. com tvrdí, že je schopen prolomit facebookový účet během několika sekund! Stačí jen poskytnout e-mailovou adresu oběti, a krátce nato dostáváte potvrzení, že je heslo prolomeno. Chcete-li heslo vidět, musíte převést prostřednictvím Western Union nebo Bitcoin poplatek pouhých 200 amerických dolarů, který samozřejmě zmizí do nenávratna a vy heslo nikdy neuvidíte…
Digitální zlato: Hesla a e-mailové adresy
Hackeři, kteří v honbě za uživatelskými účty narazili na „zlato“, drží ve svých rukách ten nejcennější digitální produkt: hesla. Tato hesla nejsou jen klíčem k neomezenému zdroji údajů z osobních účtů obětí. V mnoha případech dokážou také otevřít dveře k dalším uživatelských účtům: jde o Google, Amazon, PayPal, poštovní služby a jiné.
Různé průzkumy provedené v několika posledních letech ukazují, že více než polovina internetových uživatelů používá stejné heslo k několika (nebo dokonce ke všem) svým uživatelským účtům. Jedno jediné heslo tak může mít cenu až 200 amerických dolarů, na rozdíl od obyčejných (nezfalšovaných!) osobních uživatelských dat, jejichž hodnota se pohybuje v řádech pouhých centů.
Tyto informace paradoxně odhalil soudní proces, který byl vyvrcholením boje mezi dvěma kuvajtskými miliardáři, kdy si jeden z nich najal čínskou skupinu hackerů, zvanou „Invisible Hacking Group“, aby crackla heslo toho druhého.
Tento případ související s obchodem ukazuje, že sociální hacking ohrožuje nejen soukromé uživatele, ale také další oblasti. Tento závěr také učinila nedávno zveřejněná studie, kterou provedl poskytovatel bezpečnostních služeb firma Imperva. Tato studie vnímá firmy a státní organizace jako ty, kteří podobné útoky podceňují. Takové útoky se mohou stát dokonce i hrozbou pro lidské životy, pokud se například podrobnosti o plánovaných vojenských operacích otevřeně objeví na sociálních sítích. K podobné situaci došlo v březnu 2010 u izraelské armády. Její mise musela být odvolána poté, co voják vyzradil na Facebooku čas a místo mise. Zveřejnění této informace totiž vyvolalo u armádního velení obavy z možného protiútoku…
Podobně může pro firmy představovat problém, když zaměstnanec zveřejní její interní údaje na svém osobním profilu na sociální síti. Může se jednat o informace týkající se personální struktury, kdy je jeho oficiální pozice ve firmě zveřejněna na síti (nebo dokonce v kariérních sítích, jako Xing). Cílem se mohou stát i informace z uzavřené skupiny uživatelů na Facebooku, kterou firma využívá jako diskusní platformu. Takové údaje mají sice teoreticky na černém trhu jen malou reálnou hodnotu, ale mohou se stát základem pro další a větší „Social Engineering“ útoky, které už mohou mít mnohem vyšší potenciální účinek.
Když hacker získá kontrolu nad uživatelským profilem, může také tuto identitu použít k napadení více uživatelů – aniž by vůbec potřeboval „crackerský software“ na prolomení hesla! Skulina v zabezpečení, kterou hacker využívá, spoléhá na implicitní důvěru přátel uživatele a vyšší důvěřivosti ostatních uživatelů, ať už známých, či neznámých. Podle hackerů se právě zde projevuje největší síla Facebooku: ten, kdo vidí odkaz nebo video umístěné na Facebooku „u přátel“, zpravidla nepřemýšlí o tom, odkud to video skutečně pochází nebo kam odkaz směřuje.
Návnada: Klikněte na tlačítko „To se mi líbí“
Stefan Wesche, expert ze Symantec Security, tvrdí, že jedním z nejoblíbenějších triků hackerů pro nalákání obětí se v poslední době stává tlačítko „like“ (líbí se mi).
Hacker posílá jako návnady odkazy e-mailem, v chatu nebo přímo na sociální síti, podle identity a preferencí uživatele, jehož účet chce hacknout. Odkazy míří především na zábavní stránky, které například slibují uživatelům dárkový poukaz poté, co se stanete „fanouškem“ této stránky. Kupon lze obdržet kliknutím na tlačítko „like“. Podmínkou je ještě vyplnění ankety, jejímž prostřednictvím hacker získá další informace o uživateli. Tyto informace poté hackerovi umožní vydělat ještě více peněz: obvykle totiž hacker působí jako prostředník a v závislosti na množství informací a jejich rozsahu získává provizi v rozmezí mezi 20 centy a až 50 americkými dolary. Provizi platí poskytovatel průzkumu, který informace může využít k marketingovým účelům nebo také k dalším hackerským útokům.
Sociální sítě jako lukrativní oblast pro vyděrače
Výstřední chování některých zdejších uživatelů je totiž pro vyděrače přímou pozvánkou do ráje! V únoru byl například jeden americký student vydírán domnělým facebookovým přítelem z Anglie. Ten mu vyhrožoval, že zveřejní soukromé video oběti, pokud nezaplatí 500 amerických dolarů. V jiném případě muž z Kalifornie získal e-mailová hesla stovky žen. Pomohla mu funkce umožňující znovu získat heslo poštovních služeb, ve které stačí odpovědět na bezpečnostní otázky.
Vyděrač získal odpovědi pomocí informací z facebookových profilů obětí (jako jsou oblíbené barvy nebo druhé jméno otce). Některé ženy vydíral fotografiemi, které našel v jejich e-mailových účtech (jednalo se o částečně nahé fotky), nebo tyto fotografie přímo rozesílal e-mailovým kontaktům obětí. Tento hacker také používal některé mailové adresy k resetování hesla na Facebooku a těchto účtů se zmocňoval.
Hackeři, kteří jsou na Facebooku aktivní pod identitou oběti, mají v sociálním inženýrství velkou výhodu a mohou provádět akce, které by před příchodem Facebooku nebyly možné. Dříve se například podobné útoky odehrávaly pomocí telefonních hovorů za použití falešných jmen. Hacker musel reagovat v reálném čase, disponovat přesvědčivou legendou a tu musel sdělovat bez sebemenšího náznaku zaváhání. Nyní Facebook nabízí hackerovi mnohem více času na reakci na otázky. A tento čas může hacker využít k hlubšímu zkoumání osobních údajů oběti a tak vymyslet dobrou a spolehlivou odpověď. Stefan Schumacher říká: „Tento asynchronismus a časová prodleva v komunikaci je jednou z největších výhod, kterou mají hackeři na Facebooku k dispozici.“
Díky tomu lze očekávat, že Facebook zůstane i nadále oblíbeným terčem hackerů – i s novějšími útočnými strategiemi. Schumacher říká, že dalším krokem se může stát „Spear-phishing“. Jedná se o cílené phishingové útoky připravené na základě psychologických profilů, které budou automaticky vytvářeny na základě informací z Facebooku. O vážnosti této hrozby svědčí i fakt, že Facebook sestavil tým asi 300 bezpečnostních inženýrů a připravuje analytický systém, který má síť hlídat právě před těmito útoky. Facebook také z důvodu účinného filtrování nebezpečných odkazů spolupracuje s bezpečnostními firmami McAfee, Sophos, Symantec a Trend Micro.
Ať už ale Facebook či jiné sociální sítě nasadí sebelepší ochranu, to nejdůležitější vždy zůstane na bedrech uživatele. Základním kamenem ochrany je vybudovat si zdravou nedůvěru k internetovému obsahu a lidem na sociálních sítích.
autor@chip.cz
Jak se můžete sami ochránit
› Neakceptujte žádosti o přátelství na sociálních sítích od lidí, které neznáte.
› V případě pochybností si ověřte neznámého člověka jiným způsobem.
› Buďte ostražití v případě aplikací Facebooku, které požadují, abyste se přihlásili na jiné stránky.
› Pravidelně třiďte staré aplikace (na »Nastavení účtu - Aplikace«).
› Použijte silné heslo (nejméně o deseti znacích s kombinací číslic a symbolů) a měňte jej v pravidelných intervalech.
› Váš software by měl být aktualizovaný, a to zejména prohlížeč s doplňky a antivirový program.
› Před přihlášením na Facebook či na další webové služby si zkontrolujte URL.
Vývoj sociálního inženýrství
Jednoduše řečeno, sociální inženýrství je umění svádění; umění, které se těší dlouhé tradici.
Počátky
Mýtus o trojském koni je historickým ekvivalentem současných běžných útoků. Trojané ho mylně považovali za dárek, přivezli ho dovnitř města a v noci byli pobiti řeckými vojáky, kteří se ukrývali uvnitř dřevěného koně.
První hvězda
Nejznámějším sociálním hackerem v osmdesátých letech byl Kevin Mitnick. Sociální inženýrství využil proti firmám, aby se mohl dostat k jejich interním údajům. Jeho oběti: Motorola, Nokia, Sun, Fujitsu, Siemens – a dokonce i Pentagon!
Klasická metoda
Pre-texting je důkladně předpřipravená sepsaná „legenda“, která může být použita k tomu, abyste dokázali někoho přelstít. Mistrem v pre-textingu byl také Kevin Mitnick. Při tomto útoku se hacker pomocí informací, které má k dispozici, může například vydávat za zaměstnance orgánu veřejné správy. Pak dokáže z nic netušících zaměstnanců získat interní informace.
Zloději peněz
Phishing je nejrozšířenější formou sociálního inženýrství v posledních letech. Uživatel je nalákán na zdánlivě pravé, ale ve skutečnosti podvodné stránky, je vyzván, aby zadal své heslo nebo PIN. Na tento trik v minulosti naletělo mnoho bankovních klientů a přišlo o všechny své úspory...
Hardwarová návnada
Moderní variací trojského koně je infikovaný nosič dat (obvykle USB flash disk), který útočník úmyslně „ztratí“. Každý, kdo je zvědavý na obsah nalezeného disku, kontaminuje síť své firmy už jen tím, že disk připojí ke svému počítači. Sofistikovanější variantou tohoto útoku je použití například MP3 přehrávače, který se také aktivuje po připojení k počítači.
Masový útok
S více než 900 miliony uživatelů na jediné platformě se Facebook stal eldorádem pro sociální hackery. Uživatelé si na něm obvykle vzájemně bez výhrad důvěřují, což nahrává hackerům.
Hacknuté implantáty
Nejprve firmy, pak digitální identity – a dalším krokem pro útoky hackerů se stává lidské tělo. V této chvíli jsou útoky simulovány a zkoumají se obranné mechanismy.
Útok na tělo
Bezdrátová připojení jsou důležitá pro implantáty k jejich testování a aktualizaci a také pro dohled nad zdravotním stavem pacienta. Vzhledem k již omezené životnosti baterie také není povoleno složité šifrování pacientových údajů. Obě tyto informace naznačují, že s bezpečností takovýchto implantátů to v budoucnu nebude jednoduché. To potvrdil i výzkumný pracovník firmy McAfee, který dokázal zmanipuloval inzulinovou pumpu tak, že vydala celý svůj obsah najednou, což by mohlo být pro pacienta fatální. Profesor Kevin Fu z University of Massachusetts zase zmanipuloval implantovaný defibrilátor. Toto zařízení mohlo být normálně aktivováno pouze srdeční arytmií, a posléze by mělo pomoci normalizovat srdeční tep.
Ochrana před biohackery
Výzkumníci na slavném MIT mají v současné době plné ruce práce s rozvojem řešení, které by mohlo pomoci při ochraně před takovými útoky. Pacient musí neustále nosit malou rušičku signálů (tzv. jammer či „štít“), která by měla pomáhat při blokaci nepřátelských signálů. Úkolem tohoto zařízení je udržovat vlastní rádiový signál bez rušení a zároveň blokovat nežádoucí signál. Abychom toho dosáhli, jammer musí být v perfektní součinnosti s implantátem, aby byl schopen identifikovat signál implantátu a odfiltrovat jej. Štít dokáže přerušit každý signál, který se liší od signálu implantátu, a to s odchylkou chybovosti více než 50 procent.
Foto popis| Sociální hacking je tak populární, že ho zneužívají i autoři podvodných služeb...
Foto popis| Pomocí nástrojů na hacking hesel se útočníci mohou nabourat do špatně zabezpečených účtů
Foto popis| Výzkumníci z MIT vyvíjejí Jammer, který by měl dokázat blokovat hackerské útoky na lékařské implantáty.
Foto popis| Hackeři mohou například deaktivovat kardiostimulátor