Hacknout mozek je snazší než hacknout počítač

redakce  |  Věda
ruka

Ani s nejmodernějším firewallem, antivirem a antispywarovým programem si vy nebo vaše firma nemůžete být před hackery jisti. Zapomněli jste totiž na onu nebezpečnou periferii mezi klávesnicí a židlí. Albert Einstein řekl: „Pouze dvě věci jsou nekonečné: vesmír a lidská hloupost. Ačkoli tím prvním si nejsem jist.“ V tomto citátu je ukryta podstata sociálního inženýrství. Hlavní smysl této metody je založen na lidské hlouposti a neznalosti základních počítačových technologií.

ruka

Třída zabezpečení je dnes na velmi vysoké úrovni. Programy zamezující stáhnutí viru, trojského koně nebo červa jsou k dostání zadarmo a nainstalovány téměř na všech počítačích připojených k síti nebo internetu. Největším problémem se v tomto případě jeví nikoli software, ale jeho uživatel. Sociální inženýrství je moderní metoda. I přes její velké nebezpečí se o ní prakticky nemluví. Neplatí na ni žádný program, a pokud nejste osoba znalá počítačových technologií, nemáte šanci se bránit. Vychází ze základů psychologie a dobrých znalostí počítačových systémů. Každý člověk je ve své podstatě jedinečný. Na každého z nás působí naše okolí různě. A to je základní princip sociálního inženýrství. Řada velkých korporací investovala nemalé peníze do zabezpečení svých dat, ale nezaobírala se zaměstnanci. Přitom jsou to právě oni, kdo má přístup k cenným údajům.

Najít přesné datum prvního výskytu nebo použití této metody je nad lidské síly, protože lež a lidská hloupost jsou staré jako lidstvo samo. Sociální inženýrství (dále jen SI) je založeno na ovlivňování a přesvědčování lidí s cílem oklamat je tak, aby uvěřili, že sociální inženýr, nebo přesněji řečeno sociotechnik, je člověk s identitou, kterou si vytvořil pro potřeby manipulace a ovlivňování lidí. Díky tomu může zneužít osoby, se kterými hovoří nebo telefonuje, aby získal hledané informace pro další útok. Sociální inženýrství by se dalo popsat řadou dalších definic, nicméně ze všech plyne, že pokud jde o bezpečnost počítačových systémů, pak nejsnáze napadnutelným prvkem je osoba za klávesnicí. Proč se obtěžovat s používáním softwaru na prolamování a získávání hesel? Jednodušší a někdy i mnohem snazší je si o tyto informace prostě jen říct. Přinutit někoho, kdo o heslech do systému ví, nemusí vždy vypadat až tak složitě. Pokud je útok úspěšný, nemusí oběť ani tušit, že vyzradila něco ze svých cenností.

hacker

1 Krok číslo jedna

Prvním a základním krokem útočníka je získávání důvěry oběti. Zkušený sociotechnik může o cenné údaje požádat okamžitě. Tento druh útoku se může zdát riskantní, ale i účinný třeba v recepcích velkých hotelů, kde většinou převládá chaos a v časové tísni není tolik prostoru pro bezpečnost. Oblíbenější je postupné získávání důvěry například pomocí chatu, e-mailu nebo ICQ. Útočník si postupem času u oběti vybuduje určité kybernetické přátelství, které může vyvrcholit třeba doporučením instalace drobné utility pro snadnější komunikaci. Dalším způsobem může být, že se sociotechnik představí po telefonu jako osoba z vedení společnosti, která vzbuzuje autoritu, a pokud je tato společnost početná, má velkou šanci, že uspěje. Oběti – zaměstnanci – se totiž naskytne otázka, zda vyhovět, nebo nevyhovět někomu z vedení.

Pro co byste se rozhodli vy?

A co třeba menší forma nátlaku, která se objevuje snad na všech pracovištích – ti nahoře už to měli mít na stole. Pod náporem jednají lidé vždy jako bez smyslů. Naivní odpovědi typu „tohle se mi nestane, já bych byl opatrnější“ slyšíme ze všech stran, ale proč je tedy tato metoda tak účinná? Samozřejmě vyhovíme, a to je základní krok k úspěchu sociotechnika, který po nás napoprvé nemusí požadovat hesla do systému ani další, na první pohled cenné údaje. Pouze si buduje důvěru, aby později zaútočil v plné síle a získal vše potřebné k následnému útoku, který může založit na vlastnostech člověka, jako jsou důvěřivost, vzájemnost a sympatie.

2 Nováček

Nový zaměstnanec se pro sociotechnika stává nejsnazší kořistí. Neznalost bezpečnostních pravidel a žargonu firmy včetně jejího vedení často vede k tomu, že se tyto osoby stávají obětí. A je jen otázka času, kdy vlk zaútočí v přestrojení za administrátora sítě. Koho první týden v práci napadne, že ho přišel někdo okrádat si zapíše kontakt na „útočníka“ s tím, že se v případě výpadku nebo poruchy počítače ihned ozve. Sociotechnik se následně musí pokusit vyvolat nějaký problém, aby došlo k telefonátu s obětí, která bez dlouhého váhání prozradí veškerá přístupová práva do sítě společnosti.

4 V sobotu u rybníka

Phishing (někdy převáděno do češtiny jako rybaření) je ve svém principu velmi jednoduchá podvodná technika využívaná hojně na internetu v podobě rozesílání falešných e-mailových zpráv. Jejím úkolem je získat od oběti citlivé údaje v podobě hesel či PIN ke kreditním kartám. Metoda je založena na falešných informacích v e-mailových zprávách, které vypadají jako zpráva od banky nebo jiné finanční instituce. Většinou v textu vyzývá adresáta k zadání cenných údajů nebo odkazuje na stránku, která ve skutečnosti vede někam jinam, než se tváří. Zde se musí uživatel přihlásit a sdělit tak pachateli své údaje.

V dřívější době, kdy byl phishing problémem spíše v zahraničí, se v odkazech snažili útočníci zachovat alespoň část adresy skutečného webu. Aktuální phishingové zprávy tyto náležitosti neřeší, uživatelé totiž netuší, jak má internetový odkaz vypadat. Obrana proti tomuto útoku je založena na podobném principu jako obrana proti sociálnímu inženýrství, ovšem ne vždy to tak vypadá. Tytam jsou doby, kdy byl phishingový e-mail odhalitelný pouhým pohledem. Nesprávnou diakritiku a špatná loga odkazujících společností nahradily propracované e-maily. Lidé se tedy musejí řídit především zdravým rozumem.

Nepřecházet na odkazy uveřejněné v e-mailech je základním pravidlem. Rovněž je třeba si uvědomit, že po vás banka nebude požadovat přihlašování k účtům pomocí e-mailu, kde vás o to osobně požádá. Nikdy nezveřejňujte svá hesla ani jiné cenné informace. Metod, jak vás o ně někdo může připravit, je nespočet a konec bývá obvykle drastický. Prázdné účty nejenom v bance, ale i v počítačích mluví za vše. A nakonec vás v této situaci nepodrží ani vaše banka. Většina bank v takovém případě využije chytré klauzule, která jasně říká, že transakce provedené s použitím PIN nepodléhají ochraně proti zneužití karty.

5 Stiskněte 1

Další, v pořadí již třetí velmi moderní metoda sociotechniky je vishing. Těží z důvěry v telefonní služby, ale s příchodem VoIP (telefonní služby v podobě volání na internetu zadarmo, které nabízí například Skype) již nemusí být na konci „drátu“ pevná linka, ale třeba počítač.

A počítač je proti běžné telefonní přípojce možno zneužít mnohem snadněji, nemluvě o možnostech, které nám nabízí.K tomu, aby hacker uživatele informoval o „problémech s účtem“, používá e-mailové zprávy nebo telefonní vzkazy. Příjemci jsou požádáni, aby problém vyřešili zavoláním na bezplatné telefonní číslo.Po zavolání oběť uslyší zprávu, která je k nerozeznání od zprávy pravého automatického telefonního systému. Pro srovnání si můžeme uvést například vaši komunikaci s mobilním operátorem, kde se pomocí klávesnice a čísel pohybujeme v menu telefonního nastavení. Jenže vishing tento způsob komunikace využije k tomu, aby od vás získal vaše PIN a hesla. Podle odborníků je tento styl útoku velmi nebezpečný a obrana je značně obtížná.

Lidé telefonům věří mnohem víc než internetu. Pocit toho, že s někým opravdu mluvíme, v nás vzbuzuje určitou důvěru.Útočníci tuto metodu navíc zdokonalili natolik, že je prakticky nemožné rozeznat telefonát s falešným operátorem od pravého. Použili například při zahlcení telefonní sítě a nedostatku operátorů v prodlevách stejné písničky a melodie jako finanční instituce. Obrana tak opět závisí na uživateli. Jedinou možností je u této metody snad jen ověření totožnosti nebo kontrola poslední finanční transakce – pokud nebudou odpovědi správné, zavěste.

6 Perspektivní metoda

Hlavním úspěchem sociotechnika je především jeho metoda, jak přesvědčit člověka, že je opravdu tím, za koho se vydává. Většinou je to osoba velmi dobře obeznámená s prostředím své oběti.Nikdy neútočí nepřipravena. Pokud napadá nějakou společnost, naučí se její žargon, zná velmi dobře její rozložení, ví, kdo ji vede, a umí vyjmenovat polovinu zaměstnanců na důležitých postech.Je to psycholog, jenž si umí hrát s našimi představami a sny. Využívá k tomu nejen své znalosti a zkušenosti, ale i různé metody počítačové kriminality.Formy útoků, které využívá sociální inženýrství, před sebou mají velkou budoucnost.


Sociální inženýrství s odpadky

Trashing je prosévání odpadu za účelem získání cenných informací. Tato metoda je v rukou sociotechnika velmi užitečnou zbraní, s její oblíbeností je to ale poněkud horší. Ne každý má žaludek na prohrabávání odpadků. Útočník má jasný cíl. Hledá dokumenty spojené například s výpisy z účtu, telefonních karet a jiné cennosti. Útok potom vede díky nalezeným dokumentům. S množstvím vyprodukovaného odpadu se tato metoda ukazuje jako velmi účinná. Řada společností nemá kontejnery střežené, stávají se tak snadno dostupné pro útočníka. Třídění přináší řadu usnadnění.

Zatykač vydaný v listopadu 1992 na Kevina Mitnicka.

V kontejnerech na papír se útočník nemusí zabývat komunálním odpadem. Ochrana dokumentů a dat je založena opět na zdravém rozumu. Zbavovat se výpisů z účtů a podobných dokumentů pomocí odpadkového koše není bezpečné. Stejně zbytečná je metoda skartace papírových dokumentů, která nám spíše uvolní místo na psacím stole, než bezpečně odstraní dokumenty. Pokud bude útočník toužit po vašich výpisech z účtů, dá si tu práci a rozřezané papíry složí zpět. Řada lidí se proto uchyluje k nejjednodušší variantě, jak se zbavit papírových cenností – zatopí jimi v kamnech. Velké společnosti postupně přecházejí na elektronickou formu fakturace. Tato metoda je sice zbaví možnosti útoku trashingem, ale otvírá je jiným rizikům spojeným s elektronickou komunikací.

Sociální inženýrství s USB klíčenkou

Velká americká korporace zabývající se finančními transakcemi investovala velkou řádku peněz do softwarového zabezpečení. Ale to nestačilo, šla ještě dál. Nechala všechny své zaměstnance několikrát proškolit a soustředila se na sociální inženýrství. Důvodem byly úniky informací a výměna hesel mezi jednotlivými zaměstnanci. Po proškolení si najala bezpečnostní agenturu, aby svoje zaměstnance vyzkoušela. Základní metody sociotechnika v podobě navázání kontaktu venku s kuřáky, lichocení recepčním apod. byly neúčinné. Zaměstnanci o nich věděli a dávali si na ně pozor. Ale co třeba trošku pozměnit strategii útoku? Sociotechnik koupil v obchodě 20 flash disků, nahrál na ně skrytého trojského koně.

Poté přijel do testované firmy a tyto flash disky rozházel po parkovišti, v kuřárně a na jiných místech, kde se zdržuje větší počet zaměstnanců. 15 z 20 flash disků bylo zapojeno v počítačích společnosti a zjistilo dostatečné množství údajů ke zničení firmy, která investovala tolik financí do své bezpečnosti. Tento vir po aktivaci sebral z hostitelského počítače hesla, přihlašovací jména a informace o počítači, a to vše poslal e-mailem do společnosti, která prováděla bezpečnostní audit. A na čem byl založen tento útok? Na lidské zvědavosti a hlouposti. I kdyby tento flash disk do počítače připojil jediný člověk, považujeme metodu za účinnou.

Vyzbrojen klávesnicí je nebezpečím pro společnost

Kevin Mitnick je klasik, o tomto nejslavnějším hackerovi jsme psali už několikrát, ale pominout jej nemůžeme. Za své činy spojené s počítačovou kriminalitou byl několikrát odsouzen a měl zakázáno publikovat cokoli, co nějakým způsobem souviselo s jeho životem nebo hackingem. Po dobu šesti let od svého uvěznění v roce 1997 měl zakázáno používat počítače a telefony. Soud tehdy svůj rozsudek odůvodnil slovy: „Vyzbrojen klávesnicí je nebezpečím pro společnost.“ Jako jeden z hlavních praktiků sociálního inženýrství metodu, jak manipulovat s lidmi, uvést je v omyl, ovlivnit a přesvědčit k vykonání něčeho ve svůj prospěch, dokázal využít už ve svých dvanácti letech, když po pár rozhovorech s řidičem autobusu zjistil, jak jezdit městskými linkami zadarmo. Přelstil veřejnou telefonní síť a telefonoval zadarmo.

Při studiích v Computer Learning Center v Los Angeles naboural školní síť a za opravení této chyby vystudoval s vyznamenáním. Mýtus, který kolem Kevina Mitnicka vytvořili novináři a média, neznal mezí. Často byl obviňován za věci, které nikdy nespáchal, a byl několikrát donucen, aby se zřekl svých práv. Vyšetřovatelé u soudu prohlásili, že způsobil několika firmám škodu přesahující 300 milionů dolarů. Po svém propuštění v lednu 2002 z vězení se Kevin Mitnick úplně změnil, přestoupil na „druhou stranu barikády“ a založil firmu Defensive Thinking, která se zabývá poradenstvím v oblasti bezpečnosti.

Nejčtenější