Máte přání vykrást ? Blog - Miroslav Schneberger (blog.iDNES.cz)

Potkáte na ulici solventního pána, značkový oblek, kravata dle poslední módy, vyleštěné boty. Přistoupí k Vám slušně pozdraví, popřeje krásného dne a požádá Vás o klíče od Vašeho domu, peněženku, platební kartu s pinem a občanský průkaz. Vy mu vše dáváte opět přejete krásný den a s úsměvem odcházíte. Zdá se Vám tato situace nereálná ? A co takto ?

Do poštovního klienta Vám přišel zajímavý email od známého, na ulici jste našel datovou klíčenku, přišel k Vám nový člověk, CD s daty jste vyhodil do koše, všude používáte jednotné heslo, proč číst co se děje na monitoru, když je tam stejně jediná volba OK, copak asi dělá tento program, naše paní účetní hesla nemusí mít, však už je to starší paní, jistě pane Novák sice Vás vidím poprvé v životě, ale jste potencionálně významný klient, proč by byl problém si na mém PC poslat email, facebook, twitter, libimseti copak je za problém o sobě něco napsat ……
To vše jsou některé z možností, které umožní útočníkovy získat veškeré potřebné přístupy. Představte si situaci, že veškeré Vaše technické prostředky zmizí server, Váš počítač, mobilní telefon, platební karta, Váš email … A co hůř, ovládá je někdo kdo má zájem Vás poškodit.
Často se ve své praxi setkávám s názorem, že my máme vše zálohované, my máme IT, kteří se nám o vše starají, kdo by se o nás zajímal …. Bohužel praxe je taková, že zálohy se sice dělají, ale opravdu dostatečně, opravdu každou zálohu kontrolujete ? Jsou Vaši IT specializování na praktickou IT bezpečnost ? Pracujete v oboru, kde nemáte žádnou konkurenci ? Není ve Vašem okolí někdo kdo by Vám záviděl úspěch ?
Dovolím si zde uvést ze své praxe pár příkladů jak lehce obejít veškerou bezpečnost.
Na začátek je důležité říct, že sebelepší zabezpečení má jednu společnou a zásadní slabinu. Tou slabinou je člověk. Vždy existuje někdo kdo má k datům přístup, vždy existuje někdo kdo zná hesla, vždy bude existovat možnost tyto hesla a přístupy získat….

Příklad číslo 1
Společnost AAA s.r.o. je velmi progresivní a dynamická firma, která ve své velice krátké historii získala nemalý podíl na trhu. Jejich aktivní zabezpečení je na velmi vysoké úrovni, společnost si uvědomuje důležitost dat obsažených na serverech. Nechtějí však omezovat zaměstnance v práci a tak mají všichni relativně vysoká práva pro přístup do sítě. Tohoto faktoru využil útočník při svém útoku. Na plochu parkoviště před sídlem společnosti proto volně poházel barevné USB klíčenky. Samozřejmě cílem není obdarovat kolemjdoucí, ale cílený útok. Na USB klíčence je škodlivý kód, který nemusí řešit jinak dokonalé zabezpečení oproti útokům zvenčí. Útočník během pár minut získává veškerá potřebná data.

Příklad číslo 2
Společnost BBB s.r.o. má paranoidního správce sítě, pravidelně prochází všechny logy na zařízeních, pravidelně kontroluje celou síť, pravidelně mění hesla, pravidelně se účastní všech možných i nemožných školení …. Pro útočníka je velice těžké se do sítě dostat. Nakonec nachází slabý článek. Slečna Marie je řekněme lehce korpulentní, delší dobu již hledá vhodný protějšek a večery tráví u internetu hledáním své vysněné lásky. Útočník postupně sbírá veškeré informace a vytváří profil dokonalého protějšku slečny Marie… Marie se zamilovala. Útočník se stavuje za svojí novou láskou do práce s obědem, kytkou růží a … žádostí zda si může od ní z počítače poslat email. Útočník má plnou kontrolu nad sítí.

Příklad číslo 3
Katka je hlavní účetní ve velké mezinárodní společnosti. Nemá ráda IT oddělení, jsou divný pořád jí něco zakazují, přikazují, omezují. Zrovna nedávno však vyhrála svůj malý boj. Má ráda svůj účetní program, provází ji již několik let přes několik firem. Doslova si vykřičela vyšší práva na administraci programu. Má pořád čekat, až některý z těch neschopných divných adminů dohraje nějakou hru a přijde ji nainstalovat upgrade ? Takhle si všechno dělá sama a má klid. A hele zrovna přišel upgrade. Kontroluje si pečlivě všechny znaky zaslaného emailu ( poštovní klient ho označil za spam ), ale ano vše je oki, poslal jí to upgrade@jejioblibenyucetnisoftware.cz. Instaluje upgrade, pročítá instrukce, vše je v pořádku. Útočník právě převzal kompletní správu nad celým systémem.

Příklad číslo 4
Tomáš vystudoval Vysokou školu technickou, kamarádi o něm tvrdí, že je technokrat a mají pravdu. Tom se rád zabývá novinkami ve světě IT. Má profily na všech možných i nemožných serverech. Rád využívá možnosti moderní doby. Právě si přes internet chce nechat dovést pizzu. Tááák jedna šunková, k tomu něco sladkého a jde se platit. Ale co to ? Transakce zamítnuta. No jo, to se občas stává, pro jistotu chce provést kontrolu v bance, ale … do banky najednou nemá přístup. Chce se zeptat kamaráda, účet mají u společné banky, asi jim padlo celé internetové bankovnictví, ale nejde se přihlásit na ICQ ( neplatné heslo ), ani na SkyPe, ani na FaceBook … Tomáš propadá panice, bere telefon, ale nejde nikam volat. CO SE TO DĚJE ?

Odpověď je jednoduchá Tomáš přišel o svoji elektronickou identitu.

Kolik z následujícího a né jistě vyčerpávajícího seznamu využíváte Vy ?

Elektronická komunikace:
-    Email
-    Messengery ( ICQ, SKYPE … )
-    Různé formy firemních komunikátorů

Elektronické platby
-    Elektronické bankovnictví
-    Platební systémy ( PayPal, Paysec … )
-    Věrnostní a obchodní systémy

Sociální sítě
- Facebook, twitter, lide, libimseti ………

Autorizační systémy
- Kolik věcí můžete změnit jenom ze svého emailu, kolik různých hesel a přístupů je Vám zasláno do emailu ?

A jak by se Vám líbilo, kdyby všechny tyto účty náhle mohl ovládat někdo jiný ?

Sociální inženýrství
Využívání socio technik v IT spočívá ve využití skrytých bezpečnostních rizik za využití lidského faktoru. Kdysi dávno jsem pro napadenou vrstvu slyšel označení humanware. Uvědomte si kolik informací je o Vás obsaženo jenom na internetu ( zkuste si do vyhledávače google zadat postupně svoje jméno, email, telefon …. ) a jak lehce jsou tyto informace zneužitelné.
Útočník pro svoji činnost však nevyužívá jenom internet, ale nebojí se provést i fyzický monitoring. Víte kolik informací nalezne útočník v odpadkovém koši ?
Je potřeba si uvědomit, že útočník využije každou sebemenší možnost pro získání informací. Nedávno jsem při řízeném průniku do sítě klienta ( klient o průniku jako takovém ví, ale zaměstnanci nejsou obeznámeni ) využil informaci z oficiálních stránek v kombinaci s facebookem ( slečna učetní má ráda gerbery ) a byl jsem společnost navštívit jako poslíček s obrovským pugetem. Při té příležitosti jsem získal spoustu informací o vnitřním fungování společnosti např. vím jak é jsou postupy pro připuštění návštěvníka vně společnost, vím jaké je vnitřní rozložení společnosti, znám také podpis jednoho z pracovníků, bez nutnosti skenování společnosti také vím, jaké používají operační systémy, znám část aplikační sady ( účetní program, poštovní klient … ). Z těchto informací se dá následně spřádat základní scénáře útoku

… ale o tom až příště ?

Uvedené postupy neberte jako návod na průnik do sítí jiných subjektů. Vždy se jedná o nelegální a trestnou činnost.

Miroslav Schneberger|sobota 9. leden 2010 23:37|karma článku: 20,04|přečteno: 1677 x

Líbil se Vám článek? Klikněte sem, zvýšíte karmu článku!Co je karma článku?

Poslední články autora

Miroslav Schneberger

schneberger.blog.iDNES.cz

socio hacking, jsou vaše data v bezpečí ?

Karma autora: 0,00

O autorovi:

Bezpečnostní technik, CEO QWERT Solutions. Již několik let se aktivně zabývám bezpečností počítačových sítí. Po předchozích bohatých zkušenostech jsem přešel na druhou stranu barikády a nyní učím elementárním základům PC hygieny. Motto: Následující tvrzení je lež: předchozí tvrzení je pravda

Seznam rubrik:

Reklama

Kalendář:

Květen 2012
Po	Út	St	Čt	Pá	So	Ne
	01	02	03	04	05	06
07	08	09	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

RSS

© Copyright 1999 – 2012 MAFRA a.s. a dodavatelé Profimedia, Reuters, ČTK, AP. Partner pro inzerci v Německu: RP Online.
Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA a.s. zakázáno.

Hlavní menu

Menu rubriky