Loni na podzim jsem jako reportér zpravodajského Chmelington Globe zažil jednu z největších bezpečnostních krizí posledních let, na integrovaný záchranný systém mírumilovné Pilsnerie totiž zaútočila skupina hackerů z nepřátelské Sauronie a způsobila kritické výpadky celé infrastruktury.
Mírumilovná Pilsneria čelila největšímu kybernetickému útoku v dějinách
Vše se pochopitelně odehrávalo jen na oko ve speciálním simulátoru Kybernetický polygon na půdě Fakulty informatiky Masarykovy univerzity a v režii zdejšího Národního úřadu pro kybernetickou a informační bezpečnost NÚKIB. Tehdy jeho vedení ještě netušilo, že se za pár měsíců stanou jednou z nejznámějších státních institucí v Česku.
Červené a modré týmy
V každém případě, mezi sebou se tehdy skrze své klávesnice a linuxové terminály poprali skuteční správci sítí českého integrovaného záchranného systému a počítačoví specialisté NÚKIBu. Zatímco modré týmy hasičů, záchranářů a policistů hájily své systémy, červení se pokoušeli najít bezpečnostní mezery a převzít kontrolu. Podařilo se jim to.
Volba barev nebyla náhodná, tzv. blue a red týmy totiž mají zejména v USA mnohaletou tradici a zvláště červený tým je mnohdy zahalen rouškou tajemství. Není divu, jsou to totiž experti, kteří mají jediný úkol: otestovat vaše zabezpečení téměř všemi myslitelnými prostředky, které místy připomínají spíše staré dobré bondovky.
Jsem banka, zaútočte na mě
Co to znamená v praxi? O tom jsem si před pár dny popovídal se skupinou etických hackerů z Unicornu, jenž je jednou z mála českých společností, která nabízí red team jako komerční službu. Něco podobného si samozřejmě neobjedná vaše oblíbená kavárna naproti přes ulici, ale třeba energetika, banka nebo jiná klíčová instituce, jejíž bezpečnostní práh je přece jen o něco výše.
Osaháním síťové infrastruktury pomocí nmapu a dalších nástrojů to začíná
Dobrá, dejme tomu, že si útok objednala jedna nejmenovaná banka. Na nástěnce v přízemí se o tom ale zaměstnanci nedočtou. Že se něco chystá, tuší nejvýše pár jedinců z nejvyššího vedení, kteří budou následující 2-3 měsíce doufat, že nakonec obdrží tučnou zprávu potvrzující, že je vše v pořádku. Realita ale bývá často opačná.
Cíl? Najít netušené slabiny
Jakmile červený tým dostane zelenou, má několik měsíců na to, aby našel slabiny v systému. Aby našel způsob, jak by mohl skutečný záškodník jeho klientovi jakýmkoliv způsobem vážně uškodit. Nemá k tomu přitom armádu dobrovolníků, kteří se pár týdnů neobjeví doma, ale zpravidla jen skupinu do deseti lidí, kteří o svém cíli na začátku vědí zhruba to, co vy, když vyťukáte název firmy do vyhledávače.
Vyrobili jsme z mikropočítače za dolar záškodnickou klávesnici. Je to snadné
Co s tím? Nejslabším článkem každého lidského společenství je člověk samotný. Můžete mít zvenčí sebelépe jištěný počítačový systém, co když na něj ale zaútočíme zevnitř? Co k tomu potřebujeme? Perfektní znalost firmy a čipové karty odpovědných zaměstnanců.
Kdo je kdo
V první fázi útoku se tedy červený tým snaží zjistit, kdo vlastně ve firmě pracuje a jakou má roli. Pomohou sociální sítě od Facebooku po Instagram a zejména profesní Linkedin, kde nechybí ani podrobnosti o pracovní pozici. Proces je částečně automatizovaný, takže do hry vstupují i prvky umělé inteligence třeba při vyhledávání osob na sociálních sítích podle fotografií.
Jakmile červený tým zjistí, kteří zaměstnanci jsou pro něj dostatečně atraktivní, vrhne se do jejich podrobného profilování, které může využít v další fázi při přípravě phishingu. Nemám ale na mysli primitivní podvodné e-maily se špatnou češtinou ze strojových překladačů, které všichni dobře známe, ale phishing na míru – tzv. spear phishing.
Phishing, na který byste skočili také
Oběti v takovém případě dorazí e-mail se slovními obraty, na které je skutečně zvyklá, hackeři se totiž podívali, jak firma komunikuje třeba na Facebooku, jak vypadají sdělení marketingového oddělení a se stejným slovníkem a grafikou vytvoří vlastní texty i celé věrohodné weby.
- 30 % phishingových zpráv je otevřeno příjemcem
- 12 % těchto příjemců klikne na odkaz nebo přílohu
- 95 % všech útoků je výsledkem úspěšného spear phishingu
Namísto domény ruzovabanka.cz zaregistrují mojeruzovabanka.cz, přičemž stránky se budou jevit třeba jen jako speciální dílčí webová aplikace pro konkrétní produkt, zaměstnaneckou událost aj. HTTPS a věrohodný certifikát je samozřejmostí, ale kdo z vás opravdu kontroluje, na koho je vystaven?
Vyzkoušeli jsme FM štěnici: Když si vtipálci hrají na pirátské rozhlasové vysílání
Myslíte si, že byste se nenachytali? Opravdu pečlivě kontrolujete každý interní podnikový e-mail? Nejspíše ne a potvrdil to i červený tým z Unicornu, jeho oběti totiž začaly na fiktivních stránkách zvesela vyplňovat svá přihlašovací jména, hesla a ještě si stěžovaly na fiktivní podpoře, že to nefunguje.
Sociální inženýring proti vývojářům banky
Mimochodem, cílený phishing se může týkat i vysoce specializovaných profesí – počítačových správců a vývojářů naší nejmenované banky. V jednom z případů stačilo projít zdrojový kód mobilní bankovní aplikace a získat z ní informace, které přece nikdo jiný neví. Podvodný e-mail byl poté opět mnohem věrohodnější.
A když už budeme znát identitu správců počítačové sítě a interních vývojářů, není nic snadnějšího než z nich vytáhnout další informace třeba na GitHubu nebo na Stack Overflow, kde si komunita programátorů navzájem radí, jak řešit nejrůznější vývojářské překážky. Všechny tyto drobnosti, i když samy o sobě vlastně zdánlivě neškodné, totiž pomohou červenému týmu v tvorbě uceleného pohledu na firmu a infrastrukturu, na kterou útočí.
V jednom případě hackeři objevili na sociální síti hromadu fotografií pracovního stolu jednoho ze zaměstnanců. Zdánlivě bezcenná informace? Právě naopak. Z fotografií se dozvěděli, jaký software a hardware firma používá a jakým směrem má tedy útok pokračovat. Díky množství snímků zároveň dokázali zrekonstruovat a poté vyrobit jeden z klíčů, který ležel na stole.
Ještě okopírovat čipové vstupní karty
Všechny tyto střípky nakonec povedou k tomu, že se červený tým úspěšně dostane do chráněné budovy. Čipovou vstupní kartu okopírovala atraktivní volavka, která prošla okolo našeho zaměstnance v bistru, kam pravidelně chodí na polední sendvič a kávu. Červený tým to dobře ví, vždyť si v posledních několika týdnech vytvořil jeho kompletní profil.
Nevěřte atraktivním dívkám se zlomeninami horních končetin
Velká kancelářská budova může být hotové bludiště a neznámý člověk vypadá podezřele, rudý agent se ale pohybuje sebevědomě a jde rovnou do open spacu, v uchu má totiž skryté sluchátko a kolega jej naviguje podle plánu budovy, který získal v předchozím útoku.
Síťové štěnice s LTE a keyloggery
Jakmile je na místě, může do nejbližší ethernetové přípojky v podlaze zapojit štěnici, která bude analyzovat tok v síti LAN a snažit se třeba zachytávat dokumenty cestující na síťovou tiskárnu, jenž je nedílnou součástí každé kanceláře.
Průchozí USB keylogger s vlastní microSD a Wi-Fi. Dění na klávesnici tedy může ukládat na paměťovou kartu a zároveň odesílat do skrze Wi-Fi do schované centrály s LTE modemem.
Pokud se to štěnici podaří, pomocí LTE modemu odešle data ven z budovy. Keyloggery s Wi-Fi připojené do pracovních stanic (jak často kontrolujete, co máte zapíchnuté v USB konektorech?) zase budou snímat klávesnici, či jako virtuální klávesnice samy stisky vyvolají a spustí v počítači nejrůznější automatizované úlohy třeba pro otevření zadních vrátek do systému.
Do prostoru v podlaze moderních open spaců se vedle vývodů sítě vejde i LTE modem, Raspberry Pi a ethernetový switch červeného týmu
Z hotelu přes ulici je vidět do zasedačky
Tak, zaměstnance máme analyzované, v budově máme intranetové štěnice, keyloggery a vlastní LTE modemy, máme zkopírované čipové karty, ale proč ještě nezkusit ten hotel přes ulici, ze kterého je skvělý výhled do zasedací místnosti?
S pořádným ultrazoomem si pak v čitelné podobě pořídíme snímek toho tabulkového dokumentu v Excelu na monitoru laptopu. Ano, i to se našemu červenému týmu v minulosti podařilo.
Bezdrátový odposlech sítě z vozu pomocí výkonné směrové antény a fotografování interiéru z protějších budov s ultrazoomy se 125× přiblížením
Zatímco jedni fotí z dálky zasedací místnost, ostatní tou dobou sedí ve voze pár desítek metrů opodál a pomocí směrové antény a výkonného Wi-Fi vysílače a přijímače zkoušejí zachytit a prolomit bezdrátovou komunikaci v budově.
Po několika měsících mravenčí práce je konečně hotovo a zadavatel získá výsledky komplexní analýzy. Její četba není v mnoha případech zrovna veselá, teprve v tuto chvíli si totiž mnozí uvědomí, jaké mají mezery v zabezpečení a co je třeba ještě vylepšit – zvláště v nastupující éře hybridních informačních konfliktů, kdy bude kybernetická špionáž cennější než výstřel z houfnice Dana M2.
