Specialisté sdíleli ve fóru hackerů heslo od Googlu a sledovali, co se bude dít

  • Inženýři z Bitglass připravili návnadu a sledovali hackery
  • Internet je plný honeypotů, které zaznamenávají útoky
  • Provozuje je i CZ.NIC na routerech Turris

Hackerům se v posledních letech podařilo prolomit ochranu nejedné velké internetové služby. Loni to potkalo třeba kontroverzní seznamku Ashley Madison, před tím ještě mnohem větší Adobe a nesmím zapomenout ani na aféru Sony a její herní sítě Playstation Network z roku 2011.

Jenže co se s těmito uniklými hesly v praxi vlastně děje? Hackeři, kteří chtějí jen slávu, vypustí veškerá data do oběhu, no a ti pragmatičtější je raději prodávají na všemožných fórech dark webu. Jenže co dál? Představte si, že podobným způsobem na veřejnost uniknou přihlašovací údaje k vašemu účtu Googlu. Za jak dlouho se je pokusí někdo zneužít a co všechno bude zkoušet, pokud se mu skutečně podaří přihlásit třeba do vašeho úložiště Drive?

Specialisté vytvořili fiktivní oběť, které někdo ukradl heslo od Googlu

Přesně tuto otázku si položili i bezpečnostní specialisté ze společnosti Bitglass a vytvořili vlastní fiktivní elektronickou oběť – návnadu v podobě funkčního účtu Googlu a úložiště Drive plného klíčových dokumentů, které lákaly k prozkoumání. Identitu uživatele ještě podtrhli platným číslem kreditní banky a dokonce falešným webem banky, ve které měla oběť pracovat. Pak tyto informace vypustili do oběhu v jednom undergroundovém fóru.

Během prvního dne se začali k účtu na Googlu i na stránkách banky připojovat první zvědavci, přičemž ve většině případů používali anonymní Tor často ještě zabezpečený některou z VPN linek. Dohromady se jich nakonec sešly desítky, ovšem zdaleka ne každý začal na účtu okamžitě úřadovat. Soubory z úložiště stahovali jen někteří. A našli se i tací, kteří se pokusili dešifrovat soubory, které Bitglass skryl takovým způsobem, aby šlo poznat, jakým softwarem je vlastně šifroval.

Útočníci zkoušeli heslo na dalších službách

Tím však experiment neskončil, Bitglass totiž pro vyšší důvěryhodnost založil fiktivní oběti účty i na dalších webech a to se stejnou kombinací přihlašovacího jména a hesla. Nebohý bankovní úředník měl tedy i profil na Facebooku a také zmíněný zaměstnanecký profil.

Potvrdilo se, že útočníci zkoušejí stejnou kombinaci loginu a hesla napříč internetem. V rámci tohoto experimentu se o to pokusilo celých 94 % z nich, přičemž se úspěšně přihlásili jak do zaměstnaneckého profil una stránkách fiktivní banky, tak na sociální sítě. Používat napříč internetem jednu kombinaci zabezpečení, je tedy krajně nevhodné.

Na jedno si však útočníci netroufli. Ačkoliv Bitglass zveřejnil i čísla kreditních karet, která byla zcela funkční, zatím je nikdo nezneužil a zle předpokládat, že se pouze dostaly na seznam, se kterým se v šedé zóně obchoduje jako s každou jinou komoditou, nicméně ke skutečnému zneužití vůbec nemusí dojít, protože vyžaduje sofistikovanější způsob a lepší krytí ideálně s bílým koněm.

Internetové vábničky

Ačkoliv Bitglass zkoumal aktivitu záškodníků docela netradičním způsobem, princip všemožných vábniček, které mají monitorovat aktivitu kyberscény, existuje celá řada. Zpravidla se jedná o servery, které mají zdánlivě chabé zabezpečení a monitorují roboty, kteří se k nim pokoušejí připojit třeba skrze SSH, telnet či nějaký jiný protokol.

470243389
Mapa útoků na honeypoty Norse

Jelikož mohou roboti operovat ohromnou rychlostí, často procházejí celý rozsah IP adres, a tak dříve či později narazí i na některou z podobných vábniček – honeypot.  Autoři jednoho z nich dokonce spustili dynamickou mapu, která zobrazuje poslední útoky prakticky v reálném čase, a dává tak hrubou představu, jak je ten svět útočících robotů neskutečně dynamický-

Není se čemu divit, útočníkem jsou totiž v tomto případě často zavirované počítače, které se pokoušejí připojit k IP adresám na příkaz operátora botnetu, kterého jsou součástí. A pokud má takový botnet třeba tisíce podobných strojů, jedná se o ohromné množství komunikace.

SSH honeypot na Turrisu

Komunikace robota je zpravidla docela primitivní – vlastně se jen pokouší spustit sadu několika málo příkazů, a proto lze jeho aktivitu snadno analyzovat. Přesvědčit se o tom mohou třeba majitelé experimentálního routeru Turris, který umožňuje snadnou aktivaci SSH honeypotu, který bude poslouchat na standardním portu 22.

534203732 888534000
SSH honeypot na routeru Turris od CZ.NIC

Jelikož takový honeypot příjme jakoukoliv kombinaci přihlašovacího jména a hesla, vpustí útočníka okamžitě dovnitř a nabídne mu linuxový terminál. V tu chvíli už ale není útočník ve vaší síťové krabičce, protože jej router tajně přesměroval na server CZ.NIC. Váš Turris a jeho vlastní operační systém je tedy bezpečně mimo hru a posloužil jen jako vstupní vábnička.

366725450 370890094
Přístupy na můj honeypot za jediný měsíc a záznam jednoho útoku a Íránu

Pokud je honeypot opravdu věrohodný, umožní útočníkovi provést téměř libovolný příkaz, přičemž všechny neustále zaznamenává. Ostatně i mě se už stalo, že jsem se ke svému Turrisu přihlásil skrze SSH na portu 22, aniž bych si uvědomil, že mám aktivní honeypot. Teprve po čtvrthodince konfigurace webového serveru jsem si uvědomil, že jsem jej nenainstaloval na svůj router, ale že celou dobu komunikuji s falešnou vábničkou kdesi v Praze.

327873764
Mapa znázorňující původ útoků na všechny routery Turris (spojení, která zakázal firewall na routeru). Více globálních statistik z projektu Turris najdete zde.

Aktivita robotických záškodníků v každém případě ukazuje, že na maximální zabezpečení je třeba dbát i v případě své vlastní domácí sítě. IPv4 adres totiž zase není tolik, aby se vás čas od času skutečně nepokusil někdo navštívit.

Diskuze (19) Další článek: Epson má nové brýle pro rozšířenou realitu. Dovednostmi se zařadí mezi HoloLens a Google Glass

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,