Byznys | Bezpečnost | Hacking

Zkopírují karty a vloupají se do firmy. Jak vypadá extrémní bezpečnostní analýza

  • Prolustrují si vaše zaměstnance na sociálních sítích
  • Zkopírují jim čipové karty a připraví pro ně cílený phishing
  • Nakonec se dostanou do chráněné budovy a vy jim za to zaplatíte

Loni na podzim jsem jako reportér zpravodajského Chmelington Globe zažil jednu z největších bezpečnostních krizí posledních let, na integrovaný záchranný systém mírumilovné Pilsnerie totiž zaútočila skupina hackerů z nepřátelské Sauronie a způsobila kritické výpadky celé infrastruktury.

Vše se pochopitelně odehrávalo jen na oko ve speciálním simulátoru Kybernetický polygon na půdě Fakulty informatiky Masarykovy univerzity a v režii zdejšího Národního úřadu pro kybernetickou a informační bezpečnost NÚKIB. Tehdy jeho vedení ještě netušilo, že se za pár měsíců stanou jednou z nejznámějších státních institucí v Česku.

Červené a modré týmy

V každém případě, mezi sebou se tehdy skrze své klávesnice a linuxové terminály poprali skuteční správci sítí českého integrovaného záchranného systému a počítačoví specialisté NÚKIBu. Zatímco modré týmy hasičů, záchranářů a policistů hájily své systémy, červení se pokoušeli najít bezpečnostní mezery a převzít kontrolu. Podařilo se jim to.

Volba barev nebyla náhodná, tzv. blue a red týmy totiž mají zejména v USA mnohaletou tradici a zvláště červený tým je mnohdy zahalen rouškou tajemství. Není divu, jsou to totiž experti, kteří mají jediný úkol: otestovat vaše zabezpečení téměř všemi myslitelnými prostředky, které místy připomínají spíše staré dobré bondovky.

Jsem banka, zaútočte na mě

Co to znamená v praxi? O tom jsem si před pár dny popovídal se skupinou etických hackerů z Unicornu, jenž je jednou z mála českých společností, která nabízí red team jako komerční službu. Něco podobného si samozřejmě neobjedná vaše oblíbená kavárna naproti přes ulici, ale třeba energetika, banka nebo jiná klíčová instituce, jejíž bezpečnostní práh je přece jen o něco výše.

Klepněte pro větší obrázek
Osaháním síťové infrastruktury pomocí nmapu a dalších nástrojů to začíná

Dobrá, dejme tomu, že si útok objednala jedna nejmenovaná banka. Na nástěnce v přízemí se o tom ale zaměstnanci nedočtou. Že se něco chystá, tuší nejvýše pár jedinců z nejvyššího vedení, kteří budou následující 2-3 měsíce doufat, že nakonec obdrží tučnou zprávu potvrzující, že je vše v pořádku. Realita ale bývá často opačná.

Cíl? Najít netušené slabiny

Jakmile červený tým dostane zelenou, má několik měsíců na to, aby našel slabiny v systému. Aby našel způsob, jak by mohl skutečný záškodník jeho klientovi jakýmkoliv způsobem vážně uškodit. Nemá k tomu přitom armádu dobrovolníků, kteří se pár týdnů neobjeví doma, ale zpravidla jen skupinu do deseti lidí, kteří o svém cíli na začátku vědí zhruba to, co vy, když vyťukáte název firmy do vyhledávače.

Co s tím? Nejslabším článkem každého lidského společenství je člověk samotný. Můžete mít zvenčí sebelépe jištěný počítačový systém, co když na něj ale zaútočíme zevnitř? Co k tomu potřebujeme? Perfektní znalost firmy a čipové karty odpovědných zaměstnanců.

Kdo je kdo

V první fázi útoku se tedy červený tým snaží zjistit, kdo vlastně ve firmě pracuje a jakou má roli. Pomohou sociální sítě od Facebooku po Instagram a zejména profesní Linkedin, kde nechybí ani podrobnosti o pracovní pozici. Proces je částečně automatizovaný, takže do hry vstupují i prvky umělé inteligence třeba při vyhledávání osob na sociálních sítích podle fotografií.

Jakmile červený tým zjistí, kteří zaměstnanci jsou pro něj dostatečně atraktivní, vrhne se do jejich podrobného profilování, které může využít v další fázi při přípravě phishingu. Nemám ale na mysli primitivní podvodné e-maily se špatnou češtinou ze strojových překladačů, které všichni dobře známe, ale phishing na míru – tzv. spear phishing.

Phishing, na který byste skočili také

Oběti v takovém případě dorazí e-mail se slovními obraty, na které je skutečně zvyklá, hackeři se totiž podívali, jak firma komunikuje třeba na Facebooku, jak vypadají sdělení marketingového oddělení a se stejným slovníkem a grafikou vytvoří vlastní texty i celé věrohodné weby.

  • 30 % phishingových zpráv je otevřeno příjemcem
  • 12 % těchto příjemců klikne na odkaz nebo přílohu
  • 95 % všech útoků je výsledkem úspěšného spear phishingu

Namísto domény ruzovabanka.cz zaregistrují mojeruzovabanka.cz, přičemž stránky se budou jevit třeba jen jako speciální dílčí webová aplikace pro konkrétní produkt, zaměstnaneckou událost aj. HTTPS a věrohodný certifikát je samozřejmostí, ale kdo z vás opravdu kontroluje, na koho je vystaven?

Myslíte si, že byste se nenachytali? Opravdu pečlivě kontrolujete každý interní podnikový e-mail? Nejspíše ne a potvrdil to i červený tým z Unicornu, jeho oběti totiž začaly na fiktivních stránkách zvesela vyplňovat svá přihlašovací jména, hesla a ještě si stěžovaly na fiktivní podpoře, že to nefunguje.

Sociální inženýring proti vývojářům banky

Mimochodem, cílený phishing se může týkat i vysoce specializovaných profesí – počítačových správců a vývojářů naší nejmenované banky. V jednom z případů stačilo projít zdrojový kód mobilní bankovní aplikace a získat z ní informace, které přece nikdo jiný neví. Podvodný e-mail byl poté opět mnohem věrohodnější.

A když už budeme znát identitu správců počítačové sítě a interních vývojářů, není nic snadnějšího než z nich vytáhnout další informace třeba na GitHubu nebo na Stack Overflow, kde si komunita programátorů navzájem radí, jak řešit nejrůznější vývojářské překážky. Všechny tyto drobnosti, i když samy o sobě vlastně zdánlivě neškodné, totiž pomohou červenému týmu v tvorbě uceleného pohledu na firmu a infrastrukturu, na kterou útočí.

V jednom případě hackeři objevili na sociální síti hromadu fotografií pracovního stolu jednoho ze zaměstnanců. Zdánlivě bezcenná informace? Právě naopak. Z fotografií se dozvěděli, jaký software a hardware firma používá a jakým směrem má tedy útok pokračovat. Díky množství snímků zároveň dokázali zrekonstruovat a poté vyrobit jeden z klíčů, který ležel na stole.

Ještě okopírovat čipové vstupní karty

Všechny tyto střípky nakonec povedou k tomu, že se červený tým úspěšně dostane do chráněné budovy. Čipovou vstupní kartu okopírovala atraktivní volavka, která prošla okolo našeho zaměstnance v bistru, kam pravidelně chodí na polední sendvič a kávu. Červený tým to dobře ví, vždyť si v posledních několika týdnech vytvořil jeho kompletní profil.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Nevěřte atraktivním dívkám se zlomeninami horních končetin

Velká kancelářská budova může být hotové bludiště a neznámý člověk vypadá podezřele, rudý agent se ale pohybuje sebevědomě a jde rovnou do open spacu, v uchu má totiž skryté sluchátko a kolega jej naviguje podle plánu budovy, který získal v předchozím útoku.

Síťové štěnice s LTE a keyloggery

Jakmile je na místě, může do nejbližší ethernetové přípojky v podlaze zapojit štěnici, která bude analyzovat tok v síti LAN a snažit se třeba zachytávat dokumenty cestující na síťovou tiskárnu, jenž je nedílnou součástí každé kanceláře.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Průchozí USB keylogger s vlastní microSD a Wi-Fi. Dění na klávesnici tedy může ukládat na paměťovou kartu a zároveň odesílat do skrze Wi-Fi do schované centrály s LTE modemem.

Pokud se to štěnici podaří, pomocí LTE modemu odešle data ven z budovy. Keyloggery s Wi-Fi připojené do pracovních stanic (jak často kontrolujete, co máte zapíchnuté v USB konektorech?) zase budou snímat klávesnici, či jako virtuální klávesnice samy stisky vyvolají a spustí v počítači nejrůznější automatizované úlohy třeba pro otevření zadních vrátek do systému.

Klepněte pro větší obrázek
Do prostoru v podlaze moderních open spaců se vedle vývodů sítě vejde i LTE modem, Raspberry Pi a ethernetový switch červeného týmu

Z hotelu přes ulici je vidět do zasedačky

Tak, zaměstnance máme analyzované, v budově máme intranetové štěnice, keyloggery a vlastní LTE modemy, máme zkopírované čipové karty, ale proč ještě nezkusit ten hotel přes ulici, ze kterého je skvělý výhled do zasedací místnosti? 

S pořádným ultrazoomem si pak v čitelné podobě pořídíme snímek toho tabulkového dokumentu v Excelu na monitoru laptopu. Ano, i to se našemu červenému týmu v minulosti podařilo.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Bezdrátový odposlech sítě z vozu pomocí výkonné směrové antény a fotografování interiéru z protějších budov s ultrazoomy se 125× přiblížením

Zatímco jedni fotí z dálky zasedací místnost, ostatní tou dobou sedí ve voze pár desítek metrů opodál a pomocí směrové antény a výkonného Wi-Fi vysílače a přijímače zkoušejí zachytit a prolomit bezdrátovou komunikaci v budově.

Po několika měsících mravenčí práce je konečně hotovo a zadavatel získá výsledky komplexní analýzy. Její četba není v mnoha případech zrovna veselá, teprve v tuto chvíli si totiž mnozí uvědomí, jaké mají mezery v zabezpečení a co je třeba ještě vylepšit – zvláště v nastupující éře hybridních informačních  konfliktů, kdy bude kybernetická špionáž cennější než výstřel z houfnice Dana M2.

Diskuze (11) Další článek: Dropbox Paper se hodí pro online práci v týmech. Teď přichází s náloží novinek

Témata článku: Byznys, Facebook, Bezpečnost, USA, Wi-Fi, Hacking, Linkedin, Klávesnice, Excel, Phishing, Soukromí, GitHub, LTE, Kyberválka, DDoS, Pár desítek, Sdělení, Unicorn, Hacker, Česká republika, Bezpečnostní analýza, Stack Overflow, Čipová karta, Štěnice


Určitě si přečtěte

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

Wi-Fi 6 konečně začíná dostávat smysl. Poradíme, jak ji využít

** Na trh míří první levné Wi-Fi 6 routery ** Nabídka zařízení, zejména notebooků, každý den roste ** Poradíme, jak nejlépe přejít s domácností na Wi-Fi 6

Tomáš Holčík | 28

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

** K odposlechu mozků používáme EEG ** To má ale žalostné informační rozlišení ** Rusům pomohla počítačová neuronová síť

Jakub Čížek | 28

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

** Je sice z Aliexpressu, ale funguje ** Můžete ji ovládat hlasem přes Amazon Echo nebo Google Home ** Za tři stovky zautomatizuje menší 230V spotřebič

Jakub Čížek | 108

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 99