Detekce a prevence kybernetických hrozeb

Sociální inženýrství nelze za každých okolností považovat přímo za kybernetický útok, nicméně je předpokladem pro to, aby byla řada kybernetických útoků úspěšná.

Pokud bychom chtěli definovat pojem sociální inženýrství, bylo by možné říci, že jde o ovlivňování, přesvědčování či manipulaci s lidmi s cílem je donutit provést určitou akci, či od nich získat informace, které by jinak neposkytli. Smyslem je v oběti navodit dojem, že situace, v níž se nachází, je jiná, než ve skutečnosti je. Zjednodušeněji by se dalo říci, že se jedná o „umění klamu“, přičemž Mitnick rozlišuje dvě specializace v povolání umělce-manipulátora. „Ten kdo mámí z lidí peníze je obyčejný podvodník, zatímco ten kdo využívá manipulace a přesvědčování vůči firmám – obvykle se záměrem získání informací – je sociotechnik.“[1]

Jsem přesvědčen, že toto tvrzení Mitnicka z roku 2003 by v současném digitálním světě neobstálo, neboť řada útočníků využívá techniky sociálního inženýrství pro to, aby získala právě informace či data a dále je využila například v rámci služby crime-as-a-service. Dále jsou tyto techniky využívány nejen vůči firmám, ale i vůči jednotlivcům. Vlastní útok primárně nemusí mít podobu podvodu, ale následně mohou být tyto informace prodány či zneužity k závažnějšímu útoku.

Hlavní myšlenkou sociálního inženýrství je nevyužívat různé ryze technické přístupy či nástroje například k prolomení hesla, když mnohem jednodušší je uvést oběť v omyl, ve kterém sama dobrovolně toto heslo prozradí. Nejslabším článkem bezpečnostního systému je a vždy bude člověk (uživatel). Jelikož na světě nemůže existovat počítačový systém, který by alespoň v nějaké fázi nebyl závislý na člověku (ať již jde o zprovoznění, nastavení, či údržbu počítačového systému), je nejjednodušší cestou získat potřebné informace právě od člověka.

Právě jednoduchost útoku zacíleného na nejslabší článek celého systému z něj zpravidla činí tu nejúčinnější formu. Sociální inženýrství se do popředí dostalo s kauzou Mitnicka[2], který je mnohými považován za hackera, avšak sám se spíše považuje za sociotechnika. Mitnick ve svých knihách[3] ukazuje, jak jednoduše lze získat informace, které jsou citlivé a představují bezpečnostní riziko pro jedince i organizace. V rámci slyšení před U.S. Senate Committee on Governmental Affairs[4], kde Mitnick vypovídal, jak získával hesla a citlivé informace k počítačovým systémům firem, do kterých pronikl, mimo jiné Mitnick uvedl: „Představil jsem se jako někdo jiný a prostě jsem o ně požádal.“

Pro sociální inženýrství je jedním z klíčových faktorů zisk co největšího množství informací o cíli útoku (ať již počítačovém systému, právnické či fyzické osobě). Mnohdy dochází k dlouhodobému působení na klíčovou osobu a budování „důvěry“ mezi útočníkem a obětí před vlastním útokem, přičemž útočník typicky využívá lidské neopatrnosti, důvěřivosti, ochoty pomoci jiným, lenosti, slabosti, strachu (např. aby se osoba nedostala do problémů), neodpovědnosti, hlouposti aj.

Výše uvedené lidské vlastnosti značně napomáhají útočníkovi realizovat jeho útok. Sami si položte otázku, jak moc si ověřujete protistranu například při telefonátu či komunikaci skrze ICT? Jak moc si prověřujete paměťová média (USB disky, paměťové karty aj.), které jste získali darem na prezentační akci?

Zejména v oblasti ICT je možné sledovat stále sofistikovanější a propracovanější útoky [např. kvalitně připravené podvodné e-maily, reálné instituce (použité jako domnělý odesílatel), přesměrování na podvodné stránky či instalace malware obsaženého v příloze dokumentu nebo na paměťovém médiu aj.].

Útoky sociálního inženýrství jsou zpravidla vedeny třemi způsoby, přičemž tyto způsoby jsou navzájem kombinovány:

1.     Sběr volně (veřejně) dostupných dat o cíli útoku

2.     Fyzický útok (útočník se například vydává za pracovníka servisní agentury – např. servis tiskáren, pracovník údržby aj.), při kterém se útočník snaží získat co nejvíce informací „zevnitř“ společnosti, případně citlivé informace o jednotlivých pracovnících (včetně např. prohledávání odpadků aj.)

3.     Psychologický útok

Mezi nejčastější metody útoků sociálního inženýrství lze zařadit:

1.     Podvodný e-mail či falešná webová stránka

2.     Telefonický hovor

3.     Útok „tváří v tvář“

4.     Prohledávání odpadků („Dumpster diving“ a také „cezení dat“)

5.     Prohledávání webu, sociálních sítí aj. (jedná se o jednoduše dosažitelný otevřený zdroj dat pro útočníky sociálního inženýrství, který pomáhá zjistit, případně ověřit informace o potenciálním cíli). Veřejné informace dostupné online (např. životopisy, práce, teze, návrhy aj. uveřejněné na Internetu). Výroční zprávy a jiné veřejně dostupné informace o společnosti

6.     Doručení reklamních či jiných materiálů na CD, DVD či jiném paměťovém nosiči

7.     Ponechání paměťového média (USB aj.) v zájmové oblasti (např. firmě, u domu zaměstnance aj. toto médium pak typicky obsahuje malware) 

8.     Nabídka vyzkoušení služby online (např. nabídka cloudového úložiště, či některé zajímavé služby zdarma aj.)

9.     Dodávka či nalezení zařízení (počítačového systému)

10.  Falešný servisní technik

11.  Jiné

            Pokud jde o cíl útoků sociálního inženýrství v rámci organizace, pak se možnými cíli mohou stát například:

Sociotechnik je schopen díky svým schopnostem manipulovat s lidmi, nicméně prostá manipulace není v některých případech dostačující a je třeba propojit tyto informace s technickými znalostmi v oblasti ICT.

Na závěr této kapitoly uvádím příklad, na němž Mitnick demonstruje právě propojení sociálních technik se znalostmi ICT:[5]

Mladý hacker, kterému budu říkat Ivan Peters, si dal za cíl získat zdrojový kód nové hry. Bez potíží se dostal do firemní sítě WAN, protože jeho hackerský kolega se už dříve dokázal nabourat na jeden z jejich webových serverů. Po odhalení jisté slabiny v softwaru div že nespadl ze židle. Ukázalo se, že systém používal tzv. dual homing, což znamená, že měl odtud přístup i do vnitřní sítě.

Avšak po připojení stál Ivan před podobným problémem, před jakým stojí turista v Louvre, který chce najít portrét Mony Lisy. Bez průvodce by se tam mohl motat celé týdny. Byla to globální korporace se stovkami kanceláří a tisíci serverů, která ve své síti nezveřejňovala indexy vývojářských systémů nebo jiné průvodcovské služby po svých datech. Místo toho, aby k nalezení serveru, na který se potřeboval dostat, použil technologické metody, využil metodu sociotechnickou. Uskutečnil několik telefonátů na základě postupů v této knize už popsaných. Nejprve zatelefonoval na technickou pomoc oddělení informatiky, představil se jako zaměstnanec firmy a řekl, že by rád probral jistý problém spojený s rozhraním produktu, na kterém pracovala jeho skupina. Požádal o telefonní číslo na šéfa projektů ve skupině programátorů, kteří se zabývali hrami. Potom zavolal na toto číslo a předstíral, že je pracovníkem oddělení Informatiky. „Ještě dnes večer," řekl, „budeme měnit router a chceme se ujistit, že lidé z vaší skupiny neztratí spojení se serverem. Který server používáte?" Síť byla neustále vylepšována a sdělení jména serveru nemůže ničemu vadit, že? Vždyť je přece chráněn heslem a samotná znalost jména nikomu nic nepřinese. A tak šéf projektů uvedl jméno serveru. Ani se nepokusil o zpětné zavolání a ověření této historky nebo alespoň o zapsání jména a telefonního čísla volajícího. Prostě sdělil jména serverů: ATM5 a ATM6.

Nyní se Ivan vrátil k technologickým metodám, aby získal autentikační informace. Ve většině případů je prvním krokem identifikace účtu se snadným heslem, které dovolí získat v systému první opěrný bod. Pokud se útočník pokouší za pomoci hackerských nástrojů vzdáleně identifikovat hesla, vyžaduje to být po dlouhé hodiny připojen k firemní síti.

Objevuje se tu nebezpečí: čím déle bude připojen k síti, tím větší je riziko jeho odhalení a dopadení. Nejprve použil Ivan enumeraci, která umožňuje odhalit podrobnost o systému. Jako obvykle je možné vhodné nástroje nalézt na Internetu, (http://mtslenth.0catch.com). Ivan našel na webu několik volně dostupných hackerských nástrojů, které mu dovolily proces zautomatizovat a vyhnout se tak ruční práci, která by prodlužovala čas operace, a tím by zvětšovala i riziko dopadení. Věděl, že firma většinou používá servery na platformě Windows a stáhl si program NTBEnum — enumerační nástroj[6] NetBIOS (basic input/output system). Zadal IP adresu serveru ATM5 a spustil program. Nástroj dokázal identifikovat několik existujících kont na serveru.

Po identifikaci existujících kont stejný program umožnil spuštění slovníkového útoku. Slovníkový útok je dobře známý lidem zabývajícím se bezpečností počítačových systémů a samozřejmě i hackerům. Ostatní lidi fakt, že je něco takového vůbec možné, šokuje. Tento útok má za cíl zjištění hesel uživatelů pomocí obecně užívaných slov. Všichni jsme v některých věcech líní, ale nikdy mne nepřestane udivovat, že při výběru hesla má lidská kreativita a představivost prázdniny. Většina z nás chce mít heslo, které nás ochrání, ale zároveň je lehké si ho pamatovat. Obvykle to znamená použití nějakého nám blízkého slova. Mohou to být například naše iniciály, druhé jméno, přezdívka, jméno manžela, název oblíbené písničky, filmu či značky piva. Dále pak jméno ulice či města, kde bydlíme, značka auta, kterým jezdíme, oblíbené prázdninové místo nebo jméno potoka, kde nejlépe berou pstruzi. Vidíme to pravidlo? Většinou jsou to jména nebo výrazy, které lze najít ve slovníku. Slovníkový útok zkouší postupně výrazy ze slovníku jako heslo jednoho či více uživatelů.

Ivan provedl slovníkový útok ve třech fázích. V první fázi seznam 800 nejčastěji používaných hesel. Seznam obsahuje taková jako secret, work nebo password (tedy tajné, práce, heslo). Kromě toho program tvořil permutace těchto výrazů s doplněnými číslicemi nebo s číslem aktuálního měsíce. Program zkoušel každé heslo na všech nalezených účtech v systému. Bez výsledku. Ve druhé fázi si otevřel stránku vyhledávače Google a zadal výraz „wordlists dictionaries" a našel tisíce stran obsahující seznamy slov a anglické i jiné slovníky. Stáhl si celý elektronický anglický slovník. Doplnil ho o několik seznamů výrazů, které našel vyhledávač. Ivan si vybral adresu www.outpost9.com/files/Wordlists.html. Z této stránky se mu podařilo stáhnout (úplně zadarmo) sadu souborů obsahující příjmení, neobvyklá jména, jména a výrazy spojené s politikou, jména herců a slova a jména pocházející z Bible. Jiná stránka se seznamy výrazů je dostupná na univerzitě v Oxfordu na adrese ftp://ftp.ox.ac.uk/pub/wordlists . Na jiných adresách můžeme najít seznamy se jmény postav z animovaných filmů, citáty ze Shakespeara, z Odyssey, z Tolkiena i Hvězdných válek a také slova spojená s vědou, náboženstvím atd. (Jedna internetová firma prodává seznam obsahující 4,4 milionu slov a jmen za pouhých 20 dolarů.) Atakující program může být zkonfigurován i tak, aby tvořil na základě výrazů ze slovníku anagramy - to je další oblíbená metoda uživatelů, která má zvětšit jejich bezpečnost.

Když si Ivan vybral seznam, který použije a spustil program, přepnul ho do automatického režimu a mohl se tak věnovat něčemu jinému. Člověk by si myslel, že takový útok dá útočníkovi čas na delší šlofíček a dokonce, že až se vzbudí, bude pokrok nevelký. Ve skutečnosti může být - v závislosti na druhu napadeného systému, konfiguraci bezpečnostních systémů a rychlosti připojení - plná slovní zásoba z anglického slovníku otestována za 30 minut! Během útoku zapnul Ivan druhý počítač a rozběhl podobný útok na druhý server, který používala skupina programátorů, ATM6. O dvacet minut později se podařilo něco, co se většině lidí zdá nemožné: prolomit heslo a odhalit, že jeden z uživatelů si zvolil heslo „Frodo", jméno jednoho z hobitů, hrdiny Pána prstenů. S heslem v ruce se Ivan mohl připojit k serveru ATM6. Čekala tam na něho dobrá a špatná zpráva. Dobrá, že konto, na které se naboural, mělo administrátorská práva. A špatná, že tam nikde nemohl najít zdrojový kód hry. Zřejmě byl na druhém serveru, ATM5, který se slovníkovému útoku ubránil. Ivan však neházel flintu do žita - stále ještě měl v zásobě pár triků. V některých operačních systémech Windows a UNIX jsou zašifrovaná hesla přístupná každému, kdo má přístup na počítač, kde jsou umístěná. Důvodem je fakt, že zakódovaná hesla nelze dekódovat zpět a tedy není důvod je chránit. Tato teorie je mylná. Pomocí dalšího nástroje dostupného na síti, pwdump3, si stáhl zakódovaná hesla ze serveru ATM6. Typický soubor se zakódovanými hesly vypadá takto:

Když měl soubor u sebe na počítači, použil Ivan další nástroj, který prováděl tzv. útok hrubou silou.[7] Ten zkouší všechny kombinace alfanumerických a většiny speciálních znaků.

Ivan použil nástroj L0phtcrack3 (čti loft-crack; je dostupný na adrese www.atstake.com; jiný zdroj vynikajících nástrojů na hádání hesel je www.elcomsoft.com ). Správci používají L0phtcrack3 na vyhledávání „slabých" hesel a hackeři na jejich proražení. L0phtcrack3 umožňuje zkoušet hesla s kombinacemi písmen, číslic a většiny symbolů včetně @#$%^&. Systematicky testuje všechny možné kombinace většiny znaků. (Pokud jsou však v hesle použity neviditelné znaky, L0phtcrack3 nebude schopný heslo odhalit.) Tento program pracuje s neuvěřitelnou rychlostí, která může na počítači s frekvencí procesoru 1 GHz dosáhnout hodnoty 2,8 milionu pokusu za sekundu. Dokonce i při této rychlosti může, pokud správce dobře zkonfiguroval systém Windows (tj. vypnul používání hašování LANMAN), prolomení hesla zabrat hodně času. Z tohoto důvodu si útočník často stahuje soubory s hesly na svůj počítač a spouští útok u sebe, aby neriskoval odhalení během dlouho udržovaného spojení. Ivan nemusel čekat dlouho.

O několik hodin později našel program hesla všech členů skupiny programátorů. Byla to však hesla uživatelů na ATM6, kde nebyl zdrojový kód. Co teď? Stále nebyl schopen získat hesla umožňující přístup k serveru ATM5. Jako hacker si uvědomoval zlozvyky většiny uživatelů a došel k závěru, že si někdo z členů týmu mohl vybrat stejné heslo na obou serverech. A bylo to tak. Jeden z programátorů měl heslo gamers jak na ATM5, tak i na ATM6. Před Ivanem se otevřely dveře k hledání zdrojového kódu.

 Když ho našel a stáhl si celý strom, učinil ještě jednu pro hackera typickou věc. Změnil heslo na spícím kontě s administrátorskými právy, čistě pro případ, že by se sem chtěl později vrátit a stáhnout si novou verzi programu.

K redukci rizik sociálního inženýrství je nezbytné zvyšovat povědomí o možných hrozbách nejen v rámci organizace, ale v rámci celé společnosti. Jak jsem již uvedl dříve, sociální inženýrství pomáhá uskutečnit útok, přičemž je zcela na útočníkovi, aby určil, kdo bude jeho cílem. Pro útočníka je mnohem snazší zaměřit svůj útok na masy nezkušených a neznalých lidí, než na relativně dobře chráněnou společnost.