Zkopírují karty a vloupají se do firmy. Jak vypadá extrémní bezpečnostní analýza

  • Prolustrují si vaše zaměstnance na sociálních sítích
  • Zkopírují jim čipové karty a připraví pro ně cílený phishing
  • Nakonec se dostanou do chráněné budovy a vy jim za to zaplatíte

Loni na podzim jsem jako reportér zpravodajského Chmelington Globe zažil jednu z největších bezpečnostních krizí posledních let, na integrovaný záchranný systém mírumilovné Pilsnerie totiž zaútočila skupina hackerů z nepřátelské Sauronie a způsobila kritické výpadky celé infrastruktury.

Vše se pochopitelně odehrávalo jen na oko ve speciálním simulátoru Kybernetický polygon na půdě Fakulty informatiky Masarykovy univerzity a v režii zdejšího Národního úřadu pro kybernetickou a informační bezpečnost NÚKIB. Tehdy jeho vedení ještě netušilo, že se za pár měsíců stanou jednou z nejznámějších státních institucí v Česku.

Červené a modré týmy

V každém případě, mezi sebou se tehdy skrze své klávesnice a linuxové terminály poprali skuteční správci sítí českého integrovaného záchranného systému a počítačoví specialisté NÚKIBu. Zatímco modré týmy hasičů, záchranářů a policistů hájily své systémy, červení se pokoušeli najít bezpečnostní mezery a převzít kontrolu. Podařilo se jim to.

Volba barev nebyla náhodná, tzv. blue a red týmy totiž mají zejména v USA mnohaletou tradici a zvláště červený tým je mnohdy zahalen rouškou tajemství. Není divu, jsou to totiž experti, kteří mají jediný úkol: otestovat vaše zabezpečení téměř všemi myslitelnými prostředky, které místy připomínají spíše staré dobré bondovky.

Jsem banka, zaútočte na mě

Co to znamená v praxi? O tom jsem si před pár dny popovídal se skupinou etických hackerů z Unicornu, jenž je jednou z mála českých společností, která nabízí red team jako komerční službu. Něco podobného si samozřejmě neobjedná vaše oblíbená kavárna naproti přes ulici, ale třeba energetika, banka nebo jiná klíčová instituce, jejíž bezpečnostní práh je přece jen o něco výše.

Klepněte pro větší obrázek
Osaháním síťové infrastruktury pomocí nmapu a dalších nástrojů to začíná

Dobrá, dejme tomu, že si útok objednala jedna nejmenovaná banka. Na nástěnce v přízemí se o tom ale zaměstnanci nedočtou. Že se něco chystá, tuší nejvýše pár jedinců z nejvyššího vedení, kteří budou následující 2-3 měsíce doufat, že nakonec obdrží tučnou zprávu potvrzující, že je vše v pořádku. Realita ale bývá často opačná.

Cíl? Najít netušené slabiny

Jakmile červený tým dostane zelenou, má několik měsíců na to, aby našel slabiny v systému. Aby našel způsob, jak by mohl skutečný záškodník jeho klientovi jakýmkoliv způsobem vážně uškodit. Nemá k tomu přitom armádu dobrovolníků, kteří se pár týdnů neobjeví doma, ale zpravidla jen skupinu do deseti lidí, kteří o svém cíli na začátku vědí zhruba to, co vy, když vyťukáte název firmy do vyhledávače.

Co s tím? Nejslabším článkem každého lidského společenství je člověk samotný. Můžete mít zvenčí sebelépe jištěný počítačový systém, co když na něj ale zaútočíme zevnitř? Co k tomu potřebujeme? Perfektní znalost firmy a čipové karty odpovědných zaměstnanců.

Kdo je kdo

V první fázi útoku se tedy červený tým snaží zjistit, kdo vlastně ve firmě pracuje a jakou má roli. Pomohou sociální sítě od Facebooku po Instagram a zejména profesní Linkedin, kde nechybí ani podrobnosti o pracovní pozici. Proces je částečně automatizovaný, takže do hry vstupují i prvky umělé inteligence třeba při vyhledávání osob na sociálních sítích podle fotografií.

Jakmile červený tým zjistí, kteří zaměstnanci jsou pro něj dostatečně atraktivní, vrhne se do jejich podrobného profilování, které může využít v další fázi při přípravě phishingu. Nemám ale na mysli primitivní podvodné e-maily se špatnou češtinou ze strojových překladačů, které všichni dobře známe, ale phishing na míru – tzv. spear phishing.

Phishing, na který byste skočili také

Oběti v takovém případě dorazí e-mail se slovními obraty, na které je skutečně zvyklá, hackeři se totiž podívali, jak firma komunikuje třeba na Facebooku, jak vypadají sdělení marketingového oddělení a se stejným slovníkem a grafikou vytvoří vlastní texty i celé věrohodné weby.

  • 30 % phishingových zpráv je otevřeno příjemcem
  • 12 % těchto příjemců klikne na odkaz nebo přílohu
  • 95 % všech útoků je výsledkem úspěšného spear phishingu

Namísto domény ruzovabanka.cz zaregistrují mojeruzovabanka.cz, přičemž stránky se budou jevit třeba jen jako speciální dílčí webová aplikace pro konkrétní produkt, zaměstnaneckou událost aj. HTTPS a věrohodný certifikát je samozřejmostí, ale kdo z vás opravdu kontroluje, na koho je vystaven?

Myslíte si, že byste se nenachytali? Opravdu pečlivě kontrolujete každý interní podnikový e-mail? Nejspíše ne a potvrdil to i červený tým z Unicornu, jeho oběti totiž začaly na fiktivních stránkách zvesela vyplňovat svá přihlašovací jména, hesla a ještě si stěžovaly na fiktivní podpoře, že to nefunguje.

Sociální inženýring proti vývojářům banky

Mimochodem, cílený phishing se může týkat i vysoce specializovaných profesí – počítačových správců a vývojářů naší nejmenované banky. V jednom z případů stačilo projít zdrojový kód mobilní bankovní aplikace a získat z ní informace, které přece nikdo jiný neví. Podvodný e-mail byl poté opět mnohem věrohodnější.

A když už budeme znát identitu správců počítačové sítě a interních vývojářů, není nic snadnějšího než z nich vytáhnout další informace třeba na GitHubu nebo na Stack Overflow, kde si komunita programátorů navzájem radí, jak řešit nejrůznější vývojářské překážky. Všechny tyto drobnosti, i když samy o sobě vlastně zdánlivě neškodné, totiž pomohou červenému týmu v tvorbě uceleného pohledu na firmu a infrastrukturu, na kterou útočí.

V jednom případě hackeři objevili na sociální síti hromadu fotografií pracovního stolu jednoho ze zaměstnanců. Zdánlivě bezcenná informace? Právě naopak. Z fotografií se dozvěděli, jaký software a hardware firma používá a jakým směrem má tedy útok pokračovat. Díky množství snímků zároveň dokázali zrekonstruovat a poté vyrobit jeden z klíčů, který ležel na stole.

Ještě okopírovat čipové vstupní karty

Všechny tyto střípky nakonec povedou k tomu, že se červený tým úspěšně dostane do chráněné budovy. Čipovou vstupní kartu okopírovala atraktivní volavka, která prošla okolo našeho zaměstnance v bistru, kam pravidelně chodí na polední sendvič a kávu. Červený tým to dobře ví, vždyť si v posledních několika týdnech vytvořil jeho kompletní profil.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Nevěřte atraktivním dívkám se zlomeninami horních končetin

Velká kancelářská budova může být hotové bludiště a neznámý člověk vypadá podezřele, rudý agent se ale pohybuje sebevědomě a jde rovnou do open spacu, v uchu má totiž skryté sluchátko a kolega jej naviguje podle plánu budovy, který získal v předchozím útoku.

Síťové štěnice s LTE a keyloggery

Jakmile je na místě, může do nejbližší ethernetové přípojky v podlaze zapojit štěnici, která bude analyzovat tok v síti LAN a snažit se třeba zachytávat dokumenty cestující na síťovou tiskárnu, jenž je nedílnou součástí každé kanceláře.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Průchozí USB keylogger s vlastní microSD a Wi-Fi. Dění na klávesnici tedy může ukládat na paměťovou kartu a zároveň odesílat do skrze Wi-Fi do schované centrály s LTE modemem.

Pokud se to štěnici podaří, pomocí LTE modemu odešle data ven z budovy. Keyloggery s Wi-Fi připojené do pracovních stanic (jak často kontrolujete, co máte zapíchnuté v USB konektorech?) zase budou snímat klávesnici, či jako virtuální klávesnice samy stisky vyvolají a spustí v počítači nejrůznější automatizované úlohy třeba pro otevření zadních vrátek do systému.

Klepněte pro větší obrázek
Do prostoru v podlaze moderních open spaců se vedle vývodů sítě vejde i LTE modem, Raspberry Pi a ethernetový switch červeného týmu

Z hotelu přes ulici je vidět do zasedačky

Tak, zaměstnance máme analyzované, v budově máme intranetové štěnice, keyloggery a vlastní LTE modemy, máme zkopírované čipové karty, ale proč ještě nezkusit ten hotel přes ulici, ze kterého je skvělý výhled do zasedací místnosti? 

S pořádným ultrazoomem si pak v čitelné podobě pořídíme snímek toho tabulkového dokumentu v Excelu na monitoru laptopu. Ano, i to se našemu červenému týmu v minulosti podařilo.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Bezdrátový odposlech sítě z vozu pomocí výkonné směrové antény a fotografování interiéru z protějších budov s ultrazoomy se 125× přiblížením

Zatímco jedni fotí z dálky zasedací místnost, ostatní tou dobou sedí ve voze pár desítek metrů opodál a pomocí směrové antény a výkonného Wi-Fi vysílače a přijímače zkoušejí zachytit a prolomit bezdrátovou komunikaci v budově.

Po několika měsících mravenčí práce je konečně hotovo a zadavatel získá výsledky komplexní analýzy. Její četba není v mnoha případech zrovna veselá, teprve v tuto chvíli si totiž mnozí uvědomí, jaké mají mezery v zabezpečení a co je třeba ještě vylepšit – zvláště v nastupující éře hybridních informačních  konfliktů, kdy bude kybernetická špionáž cennější než výstřel z houfnice Dana M2.

Diskuze (11) Další článek: Dropbox Paper se hodí pro online práci v týmech. Teď přichází s náloží novinek

Témata článku: Facebook, Byznys, Bezpečnost, USA, Linkedin, Wi-Fi, Hacking, Klávesnice, Phishing, GitHub, Soukromí, Excel, LTE, DDoS, Kyberválka, Čipová karta, Pár desítek, Mrav, Unicorn, Zlomenina, Chmel, Bezpečnostní analýza, Sdělení, Česká republika, Stack Overflow, Klávesnice na Heureka.cz



Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

** Kam s telefonem v autě, které nemá palubní počítač? ** Variant držáků je celá řada, ale každý má svá specifika ** Není možné jej umístit, kam se vám zlíbí

AutoRevue.cz
LegislativaPro řidičePříslušenství
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě
Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

** Chytré hodinky běžně bereme jako informativní měřidla ** Jak si však stojí ve srovnání s profesionálními měřiči ** Při měření stavby těla se na hodinky můžete spolehnout

Martin Chroust
Galaxy Watch4Měření
Návod, jak dostat maximum z Peněženky Google

Návod, jak dostat maximum z Peněženky Google

Služba Google Wallet (Peněženka Google) schlamstla před několika měsíci platební aplikaci Google Pay. Díky tomu se původní platforma rozrostla o další funkce. Je zde však i prostor pro zlepšení.

Jan Spěšný
Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

** Dnešní telefony se předhánějí v tom, který z nich bude větší ** Malé telefony na trhu skoro vyhynuly... ** Čínská značka si připravila telefon do dlaně s třípalcovým displejem

Martin Chroust
InfraportKompaktní velikostSmartphony
Recenze hry Fire Emblem Engage. Dračí strategie s parádními bitvami a až příliš nezajímavým příběhem

Recenze hry Fire Emblem Engage. Dračí strategie s parádními bitvami a až příliš nezajímavým příběhem

Už je to přes 3 roky, co nás série Fire Emblem vzala na velké strategické dobrodružství. Engage přináší nový svět, nové mechaniky, ale nějak se zapomnělo na poutavý příběh se zajímavými postavami.

Martin Nahodil
Fire Emblem EngageRecenze
Co s novým počítačem: Tohle udělejte, než ho začnete používat

Co s novým počítačem: Tohle udělejte, než ho začnete používat

**Každý nový počítač si zaslouží počáteční péči **Odinstalujte bloatware a nezapomeňte na vhodné nastavení **Poradíme, jaký software do nového počítače nainstalovat

Petr UrbanDavid Polesný
TipyPočítače