10/12/2012

Nie trzeba być mega hackerem żeby obrabować bank

Nie trzeba być mega hackerem albo mega adminem ażeby obrabować bank, włamać się do sieci szkolnej/uniwersyteckiej czy nawet firmowej. Nie trzeba także tworzyć własnego programu/skryptu, który wykorzysta popularne luki w systemie/sieci i uzyska dostęp do nich.

Więc co wystarczy ? Podstawowa wiedza, umiejętność obsługi popularnych programów stricte security i co ? A no i jeszcze trochę inteligencji oraz wyczucia. Wyczucia granicy ludzkiej głupoty.

Jak powszechnie wiadomo, głupota ludzka nie zna granic, a co za tym idzie – idealnie sprzyja wykorzystywaniu jej u ludzi. Odpowiednie dobranie słów, przekonujący akcent i bezwzględność w wykorzystywaniu ludzkich słabości – to wszystko jest kluczem do sukcesu. Sukcesu, którym jest przechwycenie/zdobycie informacji. Bo informacje są dzisiaj w cenie, mało tego – kto ma informacje ten ma władzę.

Doskonale sobie zdaję sprawę, że powyższa treść – wprowadza trochę przerażający klimat, a do tego napawa do niezbyt optymistycznych prognoz osoby, które chronią swoje (i nie) informacje.

Poniższy schemat prezentuje moim zdaniem standardowy schemat ataku, pozwalającego na nieautoryzowany dostęp do wewnętrznej sieci ofiary.



Schemat potencjalnego prostego ataku.


Realizacja tego schematu ataku, nie wymaga wybitnej wiedzy z zakresu bezpieczeństwa komputerowego, administracji, a także szczegółowej znajomości ludzkiej psychiki.
Po prostu, aby włamać się do sieci wewnętrznej jakiejś firmy – nie trzeba mieć ukończonych studiów Informatyki i Psychologii. Wystarczy odpowiednia książka, umiejętność dobrego googlowania i średniozaawansowana znajomość poruszania się po systemach Windows, Linux oraz umiejętność przekonywania ludzi.
Po kolei, omówię każdy z czterech aspektów powyższej metody nieautoryzowanego dostępu do informacji.

Punkt 1 – Wygenerowanie przedmiotu ataku.

Exploit – program/skrypt wykorzystujący lukę w oprogramowaniu, a jednocześnie umożliwiający napastnikowi dostęp do „zainfekowanego” systemu.
Ogólnie dostępne oprogramowanie (np. Metasploit), a także mnogość pomocnych informacji, które zapoznają z zastosowaniem programu w praktyce – pozwala na sprawne wygenerowanie dokumentu PDF (i nie tylko PDF, albowiem jest wiele innych plików, pod które można podpiąć danych exploit.) z ukrytym w sobie exploitem. Abstrahując oczywiście od wszystkich innych możliwości manipulacji programem – skupmy się na najłatwiejszym przykładzie, czyli fałszywym dokumentem PDF.

Z czego wynika podatność na punkt 1 scenariusza ataku w naszym przypadku ?

Przede wszystkim, podejście do sprawy aktualizowania zainstalowanego oprogramowania w systemie. Bardzo często zdarza się że człowiek nie aktualizuje bo:
  • to trwa długo,
  • „pewnie się zainstaluje jakieś niepotrzebne programy”,
  • trzeba restartować komputer,
  • nie mam czasu…
Owa czynność, powinna być wpisana w rutynę, a nawet codzienne obowiązki – gdyż w dużym stopniu uniemożliwia przeprowadzenie ataków, przez domorosłych hakierów.
Taką rutynę można wpoić pracownikom, na szkoleniach. Ewentualnie, można znaleźć w sobie trochę samozaparcie i samemu aktualizować programy w firmowych komputerach ;)

Często też używamy oprogramowania, które samo w sobie nie jest do końca dobrze opracowane. Przykładowo Adobe Reader ma w sobie sporo błędów, które na bieżąco są odkrywane (nie umniejszając oczywiście programistom z Adobe ;)

Punkt 2 – Wybór potencjalnej ofiary.

Atakujący pragnie zdobyć informacje z wybranej przez siebie firmy z różnych względów. Może to być zlecenie albo zemsta na byłym pracodawcy. Wszystkie te formy, tylko motywują napastnika do działania.

Wykorzystując człowieka, który uważany jest jako najsłabszy czynnik w polityce bezpieczeństwa. Istnieje bardzo duże prawdopodobieństwo udanego ataku. Generalnie, dzisiejszy Internet dostarcza wiadomości o praktycznie każdej osobie. Szczególnie takiej, która nie specjalnie dba o swoją prywatność.
Napastnik, przykładowo może znaleźć informacje na stronie internetowej firmy o pracowniku. Przydatne są
także portale społecznościowe. Można też wykonać telefon do firmy i poznać personalia pracownika – podając się za „mocno zainteresowanego” klienta.
Punkt 2 jest bardzo specyficzną sytuacją.
Skuteczna obrona oparta jest o regularne szkolenia i ścisłe przestrzeganie polityki bezpieczeństwa. Oczywiście, jest to wykonalne, jednakże w praktyce wygląda to różnie, często nawet mizernie.

Natomiast, znowu deczko samozaparcia i ustalenie odpowiednich reguł z naciskiem na bezpieczeństwo, pozwolą podnieść poziom bezpieczeństwa przed tego typu atakiem.

Kevin Mitnick, w swojej książce „Sztuka Podstępu” określił standardową procedurę weryfikacji tożsamości. Pozwoliłem sobie na łamach bloga, udostępnić jej kserokopię.


Sądzę, że stosowanie jej w praktyce – pozwoli uchronić się przed dużą liczbą amatorów.

Punkt 3 – Kontakt z ofiarą.

Kontakt z ofiarą to najważniejszy etap ataku. Od jego powodzenia, zależy dalsze „misja” napastnika. 

Najprostszym sposobem na kontakt z ofiarą, jest podanie się za któregoś pracownika (informatyka ? :>) poprzez wysłanie fałszywego mejla (spoofing). W Internecie, sporo jest stron umożliwiających wysłanie fałszywej wiadomości e-mail.
Oczywiście, w załączniku wiadomości – znajduje się jakiś dokument (Rozliczenie PIT pracownika, nowy regulamin, informacja dla pracownika etc.). Otwarcie go spowoduje, uaktywnienie się zawartego w nim exploita, a co za tym idzie – zapewnienie napastnikowi zdalnego dostępu do systemu. Przykładowy fałszywy mejl, od prezesa Jarzyny.

Obrona przed realizacją punktu 3, jest bardzo prosta.
 Zazwyczaj wystarcza upewnić się telefonicznie bądź osobiście – czy aby na pewno taki mejl został wysłany przez nadawcę. Ewentualnie, w przypadku niemożności jej dokonania – dobrze jest zajrzeć w źródło naszej wiadomości, gdzie na pewno dostaniemy informację czy mejl jest prawdziwy.


Przykład spreparowanego mejla


Punkt 4 – Przechwytywanie informacji od celu.

Po udanym ataku, napastnik będzie wykonywał kolejne kroki, mające na celu dostęp do potrzebnych mu informacji. Zwykle polega to na śledzeniu poczynań użytkownika zainfekowanego systemu, przechwyceniu wpisywanych przez niego loginów i haseł. Po dłuższej obserwacji, atakujący przechodzi do fazy bezpośredniej. Czyli przechwyceniu informacji i przekopiowaniu ich na zabezpieczone przez niego miejsce zrzutu.

Zabezpieczenie przed następstwem realizacji poprzednich punktów scenariusz – wynika już tylko od doświadczenia i umiejętności, kadry administratorów.
Generalnie, jeżeli przy samym utworzeniu sieci – odpowiednio zostały skonfigurowane reguły Firewalla, a także sieć jest na bieżąco monitorowana – administrator w porę wychwyci intruza w sieci.
W tym przypadku, wszystko zależy od kadry zarządzającej.

Suma sumarum

Wszystkie zaprezentowane przeze mnie powyżej punkty, mają na celu uświadomienie o łatwości wykonania ataku. Ataku, który de facto nie wymaga niesamowitej wiedzy, bądź ponadprzeciętnych umiejętności.

W związku z czym, pozwala to na zastosowanie takiego scenariusza w praktyce – przez każdego. Może to być dziecko próbujące się podbudować przed kolegami, albo wynajęty przez konkurencję przestępca, a nawet i zwolniony pracownik. Wszyscy oni, motywujący się swoimi ideami i wartościami – zdecydowanie zagrażają bezpieczeństwu informacji.

Cała idea tego wpisu, ma na celu uświadomienie nieuświadomionych o realnych zagrożeniach, które coraz częściej w sposób drastyczny dotykaja każdego z nas.
Nie biorę odpowiedzialności, za ewentualne następstwa czytelników po przeczytaniu tego wpisu ;)13.10.2012 - UPDATE: Po kilku sugestiach, postanowiłem poprawić wpis. Przede wszystkim, omówiłem zabezpieczenia się przed danym punktem, a także pododawałem trochę linków ;>

2 komentarze:

  1. To poniżej to Twoje, czy ktoś skopiował ? :)

    http://www.dobreprogramy.pl/GBM/Nie-trzeba-byc-mega-hackerem-zeby-obrabowac-bank,36768.html

    OdpowiedzUsuń
  2. To jest mój drugi blog. Prowadzę go równolegle, jednakże tamten jest wielotematyczny ;)

    OdpowiedzUsuń

Zastrzegam sobie możliwość usuwania komentarzy, które nie są zbytnio konstruktywne pod względem merytorycznym.