Jak utrudnić pracę hakerom?
18 lutego 2014
Gdzie znajdują się luki w filtrach antyspamowych, ułatwiające hakerom posługiwanie się naszymi danymi i jak można uniknąć włamania? Na ten temat obradowali eksperci branży IT na konferencji odbywającej się od 10 do 14 lutego w Kolonii.
‒ W zasadzie świadomość tego, że łatwo możemy stać się ofiarą ataku hakerskiego jest w społeczeństwie ogromna. Z dozą nieufności otwieramy maile niewiadomego pochodzenia, które zawierają podejrzane załączniki mogące kryć wirusy lub trojany. Ale prawdziwie niebezpieczne ataki odbywają się w dzisiejszych czasach w zupełnie inny sposób ‒ tłumaczy doradca do spraw bezpieczeństwa IT Ben Williams. Williams pracuje dla firmy NCC-Group zajmującej się przeprowadzaniem tzw. testów penetracyjnych oprogramowania firm. W czasie testów Williams odgrywa rolę hipotetycznego hakera i sprawdza, czy możliwe jest włamanie i pozyskanie danych z serwerów firm. Udaje mu się to prawie zawsze. Najczęściej przez serwery do otwierania poczty elektronicznej.
Jakie tajemnice może wyjawić e-mail?
‒ Jako haker muszę dokładnie wiedzieć, jaki produkt zainstalowany jest na serwerze i jaką stronę www on posiada ‒ objaśnia specjalista ‒ Żeby to sprawdzić, wysyłam maila do nieistniejącego użytkownika. Gdy taki e-mail dotrze do danej firmy, musi on przejść przez jej wszystkie systemy zabezpieczeń, zakładając oczywiście, że już wcześniej nie zostanie rozpoznany jako niebezpieczny.
W ten sposób nasz fałszywy e-mail trafia do wewnętrznych serwerów. Serwer odsyła maila z powrotem do nadawcy, ponieważ adres mailowy odbiorcy jest błędny.
‒ Gdy e-mail do mnie wróci, a dzieje się tak zawsze w przypadku wysłania maila na nieistniejący adres, sprawdzam informacje zawarte w tym mailu ‒ tłumaczy Williams. Sztuczka polega na tym, że nasza błędna wiadomość czyli tzw. undelivered mail jest przekazywana z jednego serwera do kolejnych i każda z tych stacji pośrednich zawiera informację dotyczącą rodzajów filtra antspamowego i zapory sieciowej a także o tym, jakie oprogramowanie i jaka jego wersja jest użytkowana. ‒ Wszystko to pomaga mi w planowaniu mojego hipotetycznego ataku ‒ objaśnia Williams. Jego zdaniem, gdy firma ma dobre zapory antyspamowe, niemożliwe jest uzyskanie takich informacji. Najczęściej jednak jest tak, że dzięki słabym zaporom Williams dociera do potrzebnych mu danych i może kontynuować swój hipotetyczny atak.
Przez nitkę do kłębka
Następnym etapem ataku jest tzw. phishing czyli podszycie się pod godną zaufania firmę lub instytucję i wyłudzenie ważnych informacji. ‒ Teraz muszę tylko skłonić użytkownika, żeby kliknął na wysłany mu przeze mnie link, który wcześniej przygotowałem ‒ tłumaczy dalej ekspert. Na fałszywej stronie internetowej kryje się niewidoczny na pierwszy rzut oka program tzw. skrypt. służący do kontrolowania aplikacji. Jeśli administrator sieci jest przypadkowo zarejestrowany na serwerze, program ten otwiera sobie już bez problemu drogę do haseł administratora.
Ale w jaki sposób Williamsowi udaje się nakłonić z natury sceptycznych administratorów systemu do kliknięcia w link?
‒ Mogę na przykład napisać do niego maila, że staram się wysłać informację do działu marketingu, ale moje maile nie dochodzą a szczegóły tej operacji są w podanym przeze mnie linku. W ten sposób administrator robi to, czego chcę ‒ klika w link a ja przejmuję kontrolę nad jego filtrem antyspamowym i w konsekwencji nad zarządzaniem jego pocztą ‒ objaśnia Williams.
Gdy hasła są dostępne w sieci
Opisywany przez Williamsa sposób pozyskiwania haseł i danych może wydawać się dosyć skomplikowany. Prostszą metodę wynaleźli hakerzy organizacji Lulz-Sec. To właśnie im w 2011 roku udało się wedrzeć do sieci amerykańskiego senatu czy CIA.
‒ Moim zdaniem chodzi tutaj o wielokrotne stosowanie tych samych haseł przez internautów. Wielu z nich używa tych samych haseł i nicków na różnych stronach internetowych ‒ objaśnia Michael McAndrews, specjalista do spraw zabezpieczeń. McAndrews był w 2011 roku agentem specjalnym uczestniczącym w śledztwie w sprawie hakerów LulzSec. Był on zdziwiony tym, że użytkownicy często sami ułatwiają hakerom dostęp do swoich haseł. Jako przykład podaje policjanta, który używa tego samego hasła do słabo chronionego forum dotyczącego jego ulubionej drużyny sportowej i tej samej kombinacji cyfr i liter do poufnych danych dotyczących prowadzonych przez niego dochodzeń.
‒ Niestety, ogromnym problemem jest to, że ludzie są po prostu leniwi ‒ tłumaczy McAndrews ‒ To oczywiste, że łatwiej jest zapamiętać jedno hasło niż dwanaście różnych. Ułatwia to pracę nie tylko nam, ale i hakerom ‒ podkreśla McAdrews.
Zdaniem ekspertów kolejnym problemem jest używanie przez internautów banalnych haseł. Amerykańska organizacja SplashData ujawniła w styczniu 2014 najbardziej rozpowszechnione w sieci hasła. Pierwsze miejsce zajęło 123456. Na drugim miejscu uplasowała się anglojęzyczna wersja wyrazu hasło ‒ password. Trzecie miejsce to 12345678, a czwarte pierwsze litery najpopularniejszej klawiatury czyli qwerty.
Kto czyta nasze maile?
W momencie gdy hakerzy mają już nasze hasła, mogą działać dalej. ‒ Hakerzy mający dostęp do naszego konta mailowego mogą kazać przekierowywać wszystkie otrzymane przez nas wiadomości na podany przez nich adres e-mail ‒ objaśnia dalej Williams ‒ Nawet maile dotyczące zmiany haseł. Oszuści mają nas więc w szachu.
Nawet gdy zauważymy atak i postaramy się zmienić hasło, niewiele wskóramy. Wiele stron wymaga, żeby podczas zmiany hasła odpowiedzieć na określone przez nas wcześniej pytania np. o panieńskie nazwisko matki lub imię psa. Problem polega na tym, że odpowiedzi na te pytania są często łatwo dostępne w internecie i hakerzy są w stanie bardzo szybko otrzymać do nich dostęp.
Zdaniem Williamsa właśnie dlatego nie wolno podawać nam takich informacji w sieci ‒ czy to na rodzinnym blogu czy facebooku. Jego zdaniem najbardziej zaskakujący jest fakt, że podczas ataków z tzw. użyciem phishingu udaje mu się przechytrzyć nawet członków grup IT danej firmy. ‒ Informatycy firm sami z chęcią podają mi hasła, nawet o tym nie wiedząc ‒ podsumowuje z uśmiechem Williams.
Fabian Schmidt/ Aleksandra Wojnarowska
red. odp.: Elżbieta Stasik