Bezpečnost na internetu a sociální inženýrství

Jak se vlastně proti těmto praktikám chránit?

V tomto článku opomeneme popisování různých firewallů, šifrování, zabezpečených přístupů a vůbec softwaru, který bude hlídat automaticky bezpečnost dat za uživatele. Tato část ochrany je samozřejmě velice důležitá a doporučuji ji v žádném případě nezanedbávat. Téma, kterému se chci však věnovat vychází ze známé pravdy, že nejslabším článkem jakéhokoli počítačového zabezpečení je vždy uživatel.

K tomu, abychom správně pochopili jaké nebezpečí a v jaké formě nás může potkat v každodenním životě, se musíme oprostit od faktu, že je k útoku na osobní data vždy potřeba počítač a připojení k internetu. Tato cesta je samozřejmě tou nejjednodušší, nemusí ale být vždy jedinou. Níže popisuji dva praktické příklady útoku na osobní data. První způsob využívá počítače a internetové pošty (phishing), druhý způsob však absolutně nepotřebuje k počítači přístup. Oba způsoby však využívají takzvané sociální inženýrství.


1) Podvodné e-maily (phishing)

Phishing je podvodná technika používaná na internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu vykrást peníze.

Jako první příklad jsem si vybral skutečný podvodný e-mail, který byl zaslán našemu klientovi. Tento druh útoku je na internetu rozhodně jedním z nejčastějších útoků na osobní data. Při aplikaci této metody sází útočník na častou chybu uživatelů, kteří používají jedno jediné přihlašovací jméno a heslo do více na sobě nezávislých služeb. Pokud se tak útočníkovi podaří Vás podvést získává přístup do veškerých služeb obsahující Vaše citlivá data.

Zpět k příkladu, dne 1.2.2011 byl našemu klientovi zaslán e-mail tvářící se jako zpráva od našeho technika zajišťující provoz e-mailových schránek. Zde je kopie e-mailu:

Vážení Email Majitel Účtu,
Tato zpráva je z webmailu středisko zpráv do všech webmail účet vlastníků. V současné době modernizace naší databázi a e-mailový účet centra. Jsme ukončit všechny nepoužívané e-mailových účtů vytvořit prostor pro nových účtů.

Chcete-li zabránit svému účtu byly ukončeny, budete muset aktualizovat tím, že poskytne požadované informace níže:

Potvrdit e-mailovou IDENTITY TEĎ

E-mail Uživatelské jméno: ...............
E-mail: Heslo: ...............

Upozornění! Majitel účtu, že odmítne aktualizovat svůj účet do sedmi dnů od obdržení tohoto varování ztratí svého účtu trvale.

Upozornění Kód: VX2G99AAJ

Díky, Webmail správce.

Odesílatelem zprávy je e-mailová schránka s názvem: info@webmaster.cz. Nezkušeného uživatele může tato zpráva zmást a skutečně pošle své uživatelské jméno a heslo útočníkovi. To samozřejmě vede spolu s kombinací výše popsané chyby při volbě hesla k nedozírným následkům. Útočníkovi se tak otevírá mnoho možností jak s Vašimi údaji naložit, případně jak Vás či Vaši firmu poškodit. Útočník navíc často využívá psychického tlaku k podpoření úspěšnosti svého podvodu – v tomto případě hrozba ztráty účtu do 7 dní.

Prvním příznakem, který by měl v tomto případě uživatele upozornit, že se jedná o podvodný e-mail, je chybná kompozice českého jazyka. Další věcí, nad kterou by se měl uživatel pozastavit, je fakt, že si administrátor žádá od klienta údaje, které by neměl za žádných okolností znát. Ochrana před tímto útokem je však vcelku jednoduchá. Za žádných okolností nezasílejte své přihlašovací údaje komukoli, kdo si o ně pod nějakou záminkou požádá. Dalším krokem může být i kontaktování skutečného technika, který Vás informuje o relevanci e-mailu.


2) Podvod s pomocí telefonu a firemního žargonu

Pro demonstraci tohoto podvodu jsem si vypůjčil situaci z knihy Kevina Mitnicka – „Umění klamu“.
V této situaci chce sociotechnik (podvodník) zjistit komu patří skryté číslo v určité lokalitě:

(…)Útočník zavolal do mechanizovaného centra přidělování linek (MLAC) jedné telekomunikační firmy a řekl ženě, která zvedla telefon: „Dobrý den, tady je Paul Anthony. Jsem montážní technik. Poslyšte, mám tu spálenou rozvodnou skříňku. Policie si myslí, že se nějaký chytrák pokoušel podpálit svůj dům, aby získal z pojišťovny prachy. Poslali mne sem, abych tu zapojil novou skříň s dvěma sty koncovkami. Potřeboval bych Vaši pomoc. Jaká zařízení by měla fungovat na South Main pod číslem 6723?“
    Ve všech odděleních telekomunikační firmy věděli, že neveřejná telefonní čísla a informace o jejich přiřazení ke jménu lze sdělovat pouze oprávněným zaměstnancům. O existenci MLAC centra však vědí spíš jen pracovníci firmy. Tyto informace jsou sice chráněné, ale kdo by odmítl pomoci kolegovi, který má vykonat těžkou a důležitou práci? Dotazovaná s ním soucítila – vždyť jí se také přihodilo, že měla těžké pracovní dny – takže pominula zásady zabezpečení a pomohla kolegovi ze stejné firmy, který měl problém. Sdělila mu označení kabelů, svorek a všechna čísla přiřazená této adrese.(…)

(…) Analýza podvodu: Jak už si bylo možné v popisovaných příbězích mnohokrát všimnout, znalost firemního žargonu a vnitřní struktury firmy – různých kanceláří a oddělení, jaké mají úkoly a informace – je část základní výbavy, kterou sociotechnik využívá.(…)

(…) Poznámka Mitnicka: Lidé od přírody důvěřují jiným, zejména když je prosba odůvodněná. Sociotechnici toho využívají, aby oklamali oběť a dosáhli svých cílů.(…)



Sociální inženýrství (sociotechnika)

Je způsob manipulace lidí za účelem provedení určité akce, nebo získání určité informace. Tento způsob manipulace, či útoku na osobní data nepotřebuje ke svému zdárnému průběhu počítač ani internet. Může probíhat přímo při osobním či telefonickém kontaktu. Útočník v tomto případě často využívá získání důvěry oběti pomocí např. firemního žargonu, vnitro firemních zvyků a postupů, vzhledu či vystupování.

Nejslavnějším provozovatelem této metody je bezesporu americký sociotechnik a spisovatel Kevin Mitnick. Díky této metodě se dostal k tajným dokumentům a informacím firem jako jsou například: Motorola, NEC, Nokia, Fujitsu Siemens. Mluví se údajně o nabourání do organizací FBI, Pentagon a Novell. Za podobné přestupky a porušování zákona byl nakonec zatčen a uvězněn. Soud o něm tehdy prohlásil: „Vyzbrojen klávesnicí je nebezpečím pro společnost“. Tyto příklady zde uvádím záměrně pro zamyšlení nad vyspělými bezpečnostními systémy těchto napadených velikánů. Samozřejmě jako ve většině případů i zde byl nejslabším článkem zabezpečení uživatel. Pro pochopení těchto triků a praktik doporučuji přečíst právě knihu „Umění klamu“. Na mnoha modelových situacích je zde nastíněn postup vybraných útoků, které skutečně Mitnick provedl. Vám, jako potenciální oběti takového napadení, se rozšíří obzory o možnostech útoků na Vás či Vaši firmu a zbystří Váš odhad na rozpoznání takové situace. Po propuštění z věznice se nyní Mitnick věnuje právě ochraně firem před podobnými útoky.


Závěrem článku bych Vás chtěl vyzvat k obezřetnosti a pozornosti při odpovídání na různé e-maily, telefonáty, ale i rozhovory, týkající se i zdánlivě vzdáleně Vašich osobních údajů. Z výše uvedených příkladů jednoznačně vyplívá, že nejčastějším terčem jak internetových, tak ostatních podvodníků je uživatel a jeho nepozornost. Heslem Mitnickovi knihy a vůbec problematiky využívání sociálního inženýrství k útokům na osobní data firem či uživatelů, je výrok Alberta Einsteina: „Pouze dvě věci jsou nekonečné: vesmír a lidská hloupost. Ačkoli tím prvním si nejsem jist“. Snažme se tedy toto tvrzení spíše vyvracet a tím znemožnit útočníkům ohrožovat naše data a citlivé údaje.


odkazy:

Sociální inženýrství - http://cs.wikipedia.org/wiki/Sociální_inženýrství_(bezpečnost)
Phishing - http://cs.wikipedia.org/wiki/Phishing
Kevin Mitnick - http://cs.wikipedia.org/wiki/Kevin_Mitnick
Kevin Mitnick – Umění klamu - http://mitnick.helion.pl/