Sociální inženýrství v praxi: Když si hacker o heslo prostě řekne

2. 4. 2012

Sdílet

 Autor: Redakce

Definovat jednoznačně termín sociálním inženýrství je poměrně složité. Obecně se dá říct, že jde o způsob získávání užitečných informací od různých lidí, kdy tito lidé netuší, že se stávají cílem útoku. Jsou pak ochotni vyzradit například své osobní údaje, přístupová hesla čí jiné informace, které mohou útočníkovi pomoci získat neautorizovaný přístup do zabezpečeného systému, případně využít tyto informace k podvodu či odcizení něčí identity.

Zcizení identity je přitom velmi závažný problém. V zásadě jde o to, že se někdo vydává za někoho jiného, přičemž tato nová identita má reálný základ. Následky takového činu mohou být opravdu dalekosáhlé. Názorně to ilustruje příběh jedné Američanky, která se ucházela o práci hypermarketu. Byla však odmítnuta s tím, že je v této firmě již zaměstnaná. Následné vyšetřování prokázalo, že šlo o odcizení identity a její osobní údaje byly použity při zaměstnání dalších 37 osob.

Hlavní myšlenka sociálního inženýrství je tedy následující: proč se obtěžovat s používáním technických prostředků a různých nástrojů k prolamování hesel, když je nejjednodušší někoho přimět k tomu, aby toto heslo řekl sám? Ne nadarmo se říká, že nejslabším článkem každého bezpečnostního systému je člověk. A právě sociální inženýrství této skutečnosti využívá, či lépe řečeno zneužívá.

 

Jaké techniky se využívají?

Útoky sociálního inženýrství jsou obvykle vedeny dvěma způsoby: fyzicky nebo psychologicky. V prvním případě se útočník vydává například za pracovníka najaté servisní nebo údržbářské firmy a bez problémů se dostane do sídla společnosti, na kterou podniká útok. To je typický výjev z mnoha filmů a opravdu funguje. Takový člověk se pak dostane prakticky kdekoliv. Může například prohledat kanceláře, ve kterých může získat citlivé dokumenty nebo hesla. Lidé píšící si hesla papírek pohozený u monitoru totiž nejsou výjimkou.

Další velmi účinnou metodou je prohledávání odpadkových košů či kontejnerů. Firmy totiž vyhazují obrovské množství dokumentů obsahující důležité informací. Často v kontejneru za budovou naleznete například telefonní seznamy, organizační diáře, kalendáře, vytištěné seznamy přihlašovacích jmen a hesel, dopisy, poznámkové bloky, vyřazené pevné disky a mnoho dalších. Díky tomu si pak sociální inženýr může udělat docela dobrou představu o fungování společnosti.

 

Může tak třeba zjistit, který zaměstnanec je zrovna mimo město, jaká je úroveň zabezpečení vnitřní sítě, případně jména zaměstnanců společnosti, díky čemuž pak působí věrohodněji.

Z pevných disků je pak možné získat po obnovení dat mnoho dokumentů, e-mailů či informací o zaměstnancích. Při mazání souborů v operačních systémech Windows totiž nejsou tyto soubory fyzicky odstraněny, pouze je upravena hlavička souborového systému. Místo, kde byl původně soubor umístěn, se tak tváří jako prázdné, původní data tam však zůstávají až do přepsání jinými daty. Původní data je tak možné pomocí speciálních programů obnovit. Obrana proti tomuto je jednoduchá, při mazání je nutné použít program, který disk několikanásobně přepíše náhodnými daty.

Budování důvěry

Pokud útočníkovi na úspěchu akce velmi záleží, neváhá věnovat hodně času na budování důvěry. Například si s obětí i několik týdnů dopisuje, čímž pro oběť přestane být někým neznámým, ale naopak důvěryhodným. Pak již není problém ji přimět k nějaké laskavosti, například poskytnutí informací o firmě nebo k instalaci nějakého špionského programu. Velmi užitečná je přímá komunikace s obětí (telefonicky nebo osobně), protože to vzbuzuje mnohem větší důvěru.

Jednání útočníka pak mohou mít tyto podoby:

-          Důležitý člověk – útočník obvykle předstírá, že je někým z vedení společnosti a má problémy, které potřebuje urychleně vyřešit. Pokud svým jednáním působí důvěryhodně, čemuž bezpochyby mohou dopomoci i dříve získané informace o fungování firmy a zaměstnancích, má velkou šanci na úspěch

-          Bezmocný člověk – jde v podstatě o stejný způsob, kdy se tentokrát útočník vydává například za nového zaměstnance, který potřebuje pracovat na svém projektu, ale nemůže se přihlásit do firemní sítě. Lidé totiž rádi pomohou svému kolegovi

-          Administrátor – útočník předstírá, že patří do oddělení informatiky. Zavolá tedy některému ze zaměstnanců a oznámí mu, že se bude dělat nějaký významný zásah do firemní sítě. Následně si pod určitou záminkou vyžádá jeho přihlašovací údaje. Řadoví zaměstnanci v mnoha případech žádosti vyhoví

bitcoin školení listopad 24

-          Reverzní sociální inženýrství – jde o velmi pokročilou a často velmi úspěšnou metodu. Útočník vše zařídí tak, aby se oběť obrátila s prosbou o pomoc přímo na něj.

Útočník samozřejmě může svůj útok vést různými způsoby za použití mnoha prostředků. Velmi často jsou útoky vedeny pomocí e-mailů, kdy je cílem získat především osobní údaje a informace, které je možné snadno zneužít.

Kevin Mitnick, nejslavnější hacker

Kevin Mitnick je považován za nejslavnějšího hackera na světě. Proslul tím, že dokázal obratně využívat právě sociální inženýrství. A právě díky tomu se dostal opakovaně do konfliktu se zákonem. Jako jedné z nejhledanějších osob v historii americké FBI mu za jeho neoprávněné průniky do počítačových systémů velkých společností hrozil trest několika set let odnětí svobody.

Mitnick vyrůstal v americkém Los Angeles a svou kariéru hackera začal budovat už v raném dětství. Ve dvanácti letech přišel na způsob, jak využívat městskou dopravu zadarmo. Na střední škole se pak seznámil s technikami phreakingu, jehož cílem je využívání telefonních linek a služeb bez zaplacení jejich provozovateli. Při studiu informatiky na vysoké škole nalezl na školní síti bezpečnostní díru v operačním systému, díky které získal práva na všechny počítače. Protože nikdo nedokázal odhalit, jak se mu to podařilo, dalo mu vedení školy na výběr: buď bude vyloučen, nebo v rámci semestrální práce opraví zabezpečení systému.

V průběhu 80. a 90. let pronikl do mnoha počítačových systémů firem, jako jsou Motorola, DEC, Nokia, Sun Microsystems či Fujitsu Siemens, za což byl několikrát souzen. Po jeho posledním propuštění z vezení v roce 2000 měl zákaz používání počítačů a mobilních telefonů pod dobu tří let.

Počítačové znalosti netřeba

Mitnick ve skutečnosti nebyl nijak zvlášť dobrým počítačovým hackerem, dokázal však své technické znalosti dokonale kombinovat s technikami sociálního inženýrství a díky tomu byl tak úspěšný.

Jak sám říká, FBI z něj chtěla udělat odstrašující případ. Vyšetřovatelé zašli do největších společností, do jejichž systému se Mitnick naboural a zkopíroval zdrojové kódy vyvíjeného softwaru, a zeptali se, kolik do vývoje investovaly. Tímto způsobem pak vyčíslili škodu 291 milionů dolarů. On sám přitom žádný finanční zisk z hackingu neměl. Pouze si zkopíroval zdrojové kódy programů a ty následně studoval, aby zjistil, jak fungují.

V současné době je Kevin Mitnick profesionálním počítačovým konzultantem a ve své práci uplatňuje své znalosti o počítačové bezpečnosti a zkušenosti se sociálním inženýrstvím. Na základě toho také doposud napsal dvě knihy, The Art of Deception (2002) a The Art of Intrusion (2005). První z nich byla vydána i v češtině pod názvem Umění klamu.