Korisnici računala olakšavaju hakerima posao
17. veljače 2014Kod većine korisnika računala postoji svijest o opasnosti od hakerskog upada u njihov kompjutor. Sumnjičavi su ako elektronskom poštom dobiju neku spam-poruku. Znaju da bi se u privitku mogao nalaziti neki virus ili trojanac. Ali, stvarno opasni napadi na tuđa računala danas se događaju na drugi način, kaže stručnjak za računalnu sigurnost Ben Williams. On za tvrtku NCC-Group provodi takozvane penetracijske testove na softwareu najpoznatijih proizvođača. Pokušava, dakle, kao haker upasti u software. I to mu uspijeva gotovo uvijek. Primjerice, na e-mail-servere.
"Kao haker moram točno znati koji je proizvod instaliran na serveru i koju web-adresu ima taj proizvod. Do tih informacija mogu doći tako što pošaljem e-mail korisnicima koji uopće ne postoje. Kad e-mail dođe do tvrtke, prolazi kroz zaštitne filtere, ukoliko ne bude prepoznat kao opasnost", kaže Williams.
Serveri dostavljaju tražene podatke
Poruka upućena nepostojećem korisniku tako prolazi do internog mail-servera. A onda ju mail-server šalje nazad pošiljatelju jer ne može pronaći primatelja. "Kad e-mail dođe nazad, pogledam podatke koji su u toj e-mail-poruci." Trik se sastoji u tomu što je poruka slana unutar sustava od servera do servera. I svaki je server u zaglavlju (headeru) ostavio vlastite informacije. "Tako mogu otkriti adrese pojedinih firewallova, e-mail-filtera i tako dalje, o kakvim se proizvodima radi i koja je verzija instalirana. Sve to mi pomaže u planiranju moga napada", kaže Williams.
Za pogođene tvrtke postoji rješenje: e-mail upućen nepostojećem korisniku ne bi smio proći vanjsku granicu računalne mreže toga poduzeća. A to je moguće samo ako je već tamo instaliran filter koji prepoznaje koji korisnici stvarno postoje i koji ne propušta e-mail poruke upućene nepostojećim korisnicima.
Ali, najčešće to nije slučaj pa Williams dolazi do željenih informacija. Tako može nastaviti napad. Sljedeći korak je phishing-napad. Za to koristi činjenicu da e-mail-administratori svoje mail-servere u pravilu opslužuju preko jedne web-stranice. Zato administratore mora vješto zavarati. "Moram navesti nekog internoga korisnika da klikne na jedan link u e-mail-poruci. Njega sam posebno napravio za toga korisnika. On bi trebao posjetiti web-stranicu koju sam tako programirao da pomaže u napadu na određeni proizvod."
Kako nadmudriti administratora?
Iza krive web-stranice krije se mali nevidljivi program - takozvani skript. Ako je administrator slučajno u isto vrijeme ulogiran na mail-server, taj skript napravi poseban ulaz za hakera. Ali, kako Williams navede načelno vrlo sumnjičavog administratora da klikne na neki link?
"Mogu se primjerice žaliti da mi njegov sustav šalje previše spama", objašnjava haker po dužnosti svoju taktiku, "ili mogu tvrditi da pokušavam poslati e-mail-poruke njegovom odjelu za marketing koje nikako ne stižu. I onda napišem: 'Ovdje su dodatne informacije'. I ako administrator klikne na taj link, a ja preuzimam kontrolu nad njegovim e-mail-filterom."
Ista zaporka za razne stranice pomaže hakerima
Još jednostavnije je postupala skupina hakera LulzSec, skupina bliska anarhističkoj skupini Anonymous. LulzSec je 2011. upao u računala brojnih financijskih i vladinih institucija, među kojima su bili i američki Senat i tajna služba CIA.
"U gotovo svim slučajevima koje sam vidio radilo se o višestrukom korištenju istih zaporki. Ljudi isto korisničko ime i zaporku koriste na različitim web-stranicama", kaže Michael McAndrews, danas privatni savjetnik za sigurnost. McAndrews je svojevremeno kao specijalni agent FBI-ja gonio hakere skupine LulzSec. Iznenadilo ga je kako korisnici različitih kompjutorskih sustava hakerima olakšavaju posao.
Ako primjerice neki policajac istu zaporku koristi za forum svoga sportskog društva, koji je slabo zaštićen, kao i za pristup osjetljivim istražiteljskim podacima, on hakerima olakšava posao. "Nažalost, globalni je problem što su ljudi pomalo lijeni", kaže McAndrews. "Lakše je zapamtiti si jednu zaporku nego njih 12. Ako za sve stranice koristim samo jednu zaporku, to je, istina, lakše i meni, ali isto tako i kriminalcima."
Rizik objavljivanja bezazlenih osobnih podataka
Tako je bilo i s hakerima LulzSec: čim su prodrli u jedan mail-server, iskoristili su još jednu slabu točku. "Napadači su e-mail-accountu dali nalog: 'Sve što dođe na ovu adresu pošalji dalje'. Oni uopće više nisu morali biti unutra u sustavu." Tako su hakeri automatski dobivali kopije svih e-mail-poruka koje su slane dotičnom korisniku na bilo koji web-mail-account.
I tako su lako došli do novih zaporki. Na mnogim stranicama se, naime, može mijenjati zaporku navodeći samo e-mail-adresu. "Mnoge tvrtke zato zahtijevaju da se odgovori na još neka pitanja", napominje sigurnosni stručnjak McAndrews. "Ali, odgovore na mnoga od tih pitanja hakeri lako mogu pronaći. Gdje ste odrasli? Kako je djevojačko ime Vaše majke? Ime kućnog ljubimca? Sve to se može pronaći ako je to korisnik objavio na internetu."
I to je razlog zašto takve informacije ne bi trebalo objavljivati na Facebooku ili na obiteljskom blogu. Oprez je glavna zapovijed na internetu, kaže Ben Williams. Ali, on nema iluzija, Jer, ljudi su ipak samo ljudi. "Kod phishing-napada koje sam proveo uvijek iznova mi je uspijevalo navesti i članove IT-odjela da izvedu codove ili čak da otkriju zaporke. Uvijek iznova se čovjek iznenadi: to što netko radi u IT-odjelu ne znači da ga se ne može nasamariti", kaže Williams.