Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Nie trzeba być mega hackerem żeby obrabować bank

Nie trzeba być mega hackerem albo mega adminem ażeby obrabować bank, włamać się do sieci szkolnej/uniwersyteckiej czy nawet firmowej. Nie trzeba także tworzyć własnego programu/skryptu, który wykorzysta popularne luki w systemie/sieci i uzyska dostęp do nich.

Więc co wystarczy? Podstawowa wiedza, umiejętność obsługi popularnych programów stricte security i co? A no i jeszcze trochę inteligencji oraz wyczucia. Wyczucia granicy ludzkiej głupoty.

Jak powszechnie wiadomo, głupota ludzka nie zna granic, a co za tym idzie – idealnie sprzyja wykorzystywaniu jej u ludzi. Odpowiednie dobranie słów, przekonujący akcent i bezwzględność w wykorzystywaniu ludzkich słabości – to wszystko jest kluczem do sukcesu. Sukcesu, którym jest przechwycenie/zdobycie informacji. Bo informacje są dzisiaj w cenie, mało tego – kto ma informacje ten ma władzę.

Doskonale sobie zdaję sprawę, że powyższa treść – wprowadza trochę przerażający klimat, a do tego napawa do niezbyt optymistycznych prognoz osoby, które chronią swoje (i nie) informacje.

Poniższy schemat prezentuje moim zdaniem standardowy schemat ataku, pozwalającego na nieautoryzowany dostęp do wewnętrznej sieci ofiary.

Realizacja tego schematu ataku, nie wymaga wybitnej wiedzy z zakresu bezpieczeństwa komputerowego, administracji, a także szczegółowej znajomości ludzkiej psychiki.
Po prostu, aby włamać się do sieci wewnętrznej jakiejś firmy – nie trzeba mieć ukończonych studiów Informatyki i Psychologii. Wystarczy odpowiednia książka, umiejętność dobrego googlowania i średniozaawansowana znajomość poruszania się po systemach Windows, Linux oraz umiejętność przekonywania ludzi.
Po kolei, omówię każdy z czterech aspektów powyższej metody nieautoryzowanego dostępu do informacji.

Punkt 1 – Wygenerowanie przedmiotu ataku.

Exploit – program/skrypt wykorzystujący lukę w oprogramowaniu, a jednocześnie umożliwiający napastnikowi dostęp do „zainfekowanego” systemu.

Ogólnie dostępne oprogramowanie (np. Metasploit), a także mnogość pomocnych informacji, które zapoznają z zastosowaniem programu w praktyce – pozwala na sprawne wygenerowanie dokumentu PDF (i nie tylko PDF, albowiem jest wiele innych plików, pod które można podpiąć danych exploit.) z ukrytym w sobie exploitem. Abstrahując oczywiście od wszystkich innych możliwości manipulacji programem – skupmy się na najłatwiejszym przykładzie, czyli fałszywym dokumentem PDF.

Z czego wynika podatność na punkt 1 scenariusza ataku w naszym przypadku ?

Przede wszystkim, podejście do sprawy aktualizowania zainstalowanego oprogramowania w systemie. Bardzo często zdarza się że człowiek nie aktualizuje bo:

  • to trwa długo,
  • „pewnie się zainstaluje jakieś niepotrzebne programy”,
  • trzeba restartować komputer,
  • nie mam czasu…

Owa czynność, powinna być wpisana w rutynę, a nawet codzienne obowiązki – gdyż w dużym stopniu uniemożliwia przeprowadzenie ataków, przez domorosłych hakierów.
Taką rutynę można wpoić pracownikom, na szkoleniach. Ewentualnie, można znaleźć w sobie trochę samozaparcie i samemu aktualizować programy w firmowych komputerach ;)

Często też używamy oprogramowania, które samo w sobie nie jest do końca dobrze opracowane. Przykładowo Adobe Reader ma w sobie sporo błędów, które na bieżąco są odkrywane (nie umniejszając oczywiście programistom z Adobe ;)

Punkt 2 – Wybór potencjalnej ofiary.

Atakujący pragnie zdobyć informacje z wybranej przez siebie firmy z różnych względów. Może to być zlecenie albo zemsta na byłym pracodawcy. Wszystkie te formy, tylko motywują napastnika do działania.

Wykorzystując człowieka, który uważany jest jako najsłabszy czynnik w polityce bezpieczeństwa. Istnieje bardzo duże prawdopodobieństwo udanego ataku. Generalnie, dzisiejszy Internet dostarcza wiadomości o praktycznie każdej osobie. Szczególnie takiej, która nie specjalnie dba o swoją prywatność.

Napastnik, przykładowo może znaleźć informacje na stronie internetowej firmy o pracowniku. Przydatne są także portale społecznościowe. Można też wykonać telefon do firmy i poznać personalia pracownika – podając się za „mocno zainteresowanego” klienta.

Punkt 2 jest bardzo specyficzną sytuacją.

Skuteczna obrona oparta jest o regularne szkolenia i ścisłe przestrzeganie polityki bezpieczeństwa. Oczywiście, jest to wykonalne, jednakże w praktyce wygląda to różnie, często nawet mizernie.

Natomiast, znowu deczko samozaparcia i ustalenie odpowiednich reguł z naciskiem na bezpieczeństwo, pozwolą podnieść poziom bezpieczeństwa przed tego typu atakiem.

Kevin Mitnick, w swojej książce „Sztuka Podstępu” określił standardową procedurę weryfikacji tożsamości. Pozwoliłem sobie na łamach bloga, udostępnić jej kserokopię.

Sądzę, że stosowanie jej w praktyce – pozwoli uchronić się przed dużą liczbą amatorów.

Punkt 3 – Kontakt z ofiarą.

Kontakt z ofiarą to najważniejszy etap ataku. Od jego powodzenia, zależy dalsze „misja” napastnika.

Najprostszym sposobem na kontakt z ofiarą, jest podanie się za któregoś pracownika (informatyka ? :>) poprzez wysłanie fałszywego mejla (spoofing). W Internecie, sporo jest stron umożliwiających wysłanie fałszywej wiadomości e-mail.

Oczywiście, w załączniku wiadomości – znajduje się jakiś dokument (Rozliczenie PIT pracownika, nowy regulamin, informacja dla pracownika etc.). Otwarcie go spowoduje, uaktywnienie się zawartego w nim exploita, a co za tym idzie – zapewnienie napastnikowi zdalnego dostępu do systemu. Przykładowy fałszywy mejl, od prezesa Jarzyny.

Obrona przed realizacją punktu 3, jest bardzo prosta.

Zazwyczaj wystarcza upewnić się telefonicznie bądź osobiście – czy aby na pewno taki mejl został wysłany przez nadawcę. Ewentualnie, w przypadku niemożności jej dokonania – dobrze jest zajrzeć w źródło naszej wiadomości, gdzie na pewno dostaniemy informację czy mejl jest prawdziwy.

Punkt 4 – Przechwytywanie informacji od celu.

Po udanym ataku, napastnik będzie wykonywał kolejne kroki, mające na celu dostęp do potrzebnych mu informacji. Zwykle polega to na śledzeniu poczynań użytkownika zainfekowanego systemu, przechwyceniu wpisywanych przez niego loginów i haseł. Po dłuższej obserwacji, atakujący przechodzi do fazy bezpośredniej. Czyli przechwyceniu informacji i przekopiowaniu ich na zabezpieczone przez niego miejsce zrzutu.

Zabezpieczenie przed następstwem realizacji poprzednich punktów scenariusz – wynika już tylko od doświadczenia i umiejętności, kadry administratorów.

Generalnie, jeżeli przy samym utworzeniu sieci – odpowiednio zostały skonfigurowane reguły Firewalla, a także sieć jest na bieżąco monitorowana – administrator w porę wychwyci intruza w sieci. W tym przypadku, wszystko zależy od kadry zarządzającej.

Suma sumarum

Wszystkie zaprezentowane przeze mnie powyżej punkty, mają na celu uświadomienie o łatwości wykonania ataku. Ataku, który de facto nie wymaga niesamowitej wiedzy, bądź ponadprzeciętnych umiejętności.

W związku z czym, pozwala to na zastosowanie takiego scenariusza w praktyce – przez każdego. Może to być dziecko próbujące się podbudować przed kolegami, albo wynajęty przez konkurencję przestępca, a nawet i zwolniony pracownik. Wszyscy oni, motywujący się swoimi ideami i wartościami – zdecydowanie zagrażają bezpieczeństwu informacji.

Cała idea tego wpisu, ma na celu uświadomienie nieuświadomionych o realnych zagrożeniach, które coraz częściej w sposób drastyczny dotykaja każdego z nas.
Nie biorę odpowiedzialności, za ewentualne następstwa czytelników po przeczytaniu tego wpisu ;) 

internet bezpieczeństwo

Komentarze

0 nowych
  #1 15.10.2012 08:37

Dzięki, już wiem czym teraz się zajmę ]:->

Shaki81 MODERATOR BLOGA  38 #2 15.10.2012 11:20

A mnie zastanawia skąd ty to wiesz? Stosowałeś powyższy opis w praktyce?
Niestety, ale to co napisałeś powyżej jest smutną prawdą, jak zwykle najsłabszym ogniwem zabezpieczenia jest człowiek.

  #3 15.10.2012 14:08

@Shaki81

Sztuka Podstępu Mitnicka, sytuacje, autentyczne fakty @ niebezpiecznik.pl? ;>

Na socjotechnice dużo firm poległo.

PS. Gmail przepuścił wiadomość z fałszywym SPF do inboxa czy wrzucił do spamu? Ostatnio działa to tak wybiórczo, że phishing YouTube trafił do inboxa a wiadomość z VPS z poprawnym rekordem SPF bez spamerskiej treści trafiła do spamu..

Autor edytował komentarz.
Over   9 #4 15.10.2012 14:15

Ciekawe napisane wpis też ok ale mi się to do niczego nie przyda to nie moja działka ;)

GBM MODERATOR BLOGA  20 #5 15.10.2012 14:51

@Shaki81: I tak i nie ;)

@Zbigniew2003: Hmm... Twoja prośba zabrzmiała mniej więcej tak, żebym powiedział "jak skutecznie się włamać do kogoś i nie zostać złapanym", niestety to nie jest zgodne z moimi zasadami - przez co nie planuję nic takiego udostępnić w przyszłości :)

@Bartek46op: Gmail o dziwo przepuszcza fejkowe mejle. Jednakże coraz bardziej myślę że jest to celowo zrobione ;)

parasite85   8 #6 15.10.2012 15:08

Dosyć kontrowersyjny wpis. Nie wiem czy powinien zjawić się na dp. Nie dlatego, że jest zły, a dlatego że ułatwia wyszukiwanie takich informacji. Tak jakby sprzedawać kije bejsbolowe jako rekwizyt kibica na meczu piłki nożnej - niby kij nie jest zły, jak ktoś się uprze to może kupić, a jednak coś tutaj nie pasuje.
A co do celu....mam trochę doświadczenia z nieuświadomionymi i wśród nich znajdują się dwie osoby które można uświadamiać.

  #7 15.10.2012 15:22

@parasite85

Wszystko jest dobre żeby uświadomić ludzi jak samemu sobie można zaszkodzić przez nieuwagę / nadmierną ufność.. i zachęcić do aktualizowania oprogramowania zwłaszcza w dobie takich wynalazków jak Secunia PSI która może to robić za nas (lub chociaż działając w tle informować o nowej wersji).

GBM MODERATOR BLOGA  20 #8 15.10.2012 15:27

@parasite85: Tak zgadzam się. Przez chwilę wahałem się czy na pewno dodać taki wpis na dp, ale doszedłem do wniosku - że to i tak bardziej pomoże niż zaszkodzi :)
Swoją drogą, kumate osoby i tak dojdą do odpowiedniej wiedzy...

ichito   11 #9 15.10.2012 20:04

Fajny wpis...bez niepotrzebnej, zbyt fachowej terminologii pokazuje, jaką potęgą może być socjotechnika i brak odpowiedniej wiedzy użytkowników. Wpis dotyczy w głównej mierze bardziej firm/korporacji, bo tak naprawdę pomimo szumnych zapowiedzi, określonych reguł tam najczęściej pojawiają się podstawowe błędy zarówno administratorów systemów, jak i użytkowników.
Ograniczając się jednak tylko do tego wpisu...bo bezpieczeństwo i popełniane przy tym błędy, to temat rzeka...w punkcie 1 piszesz autorze o przyczynach braku aktualizacji...dodałbym jesz i takie, które rzutują na zagadnienie:
- bo administratorzy instalują na konkretnych maszynach stare wersje...bo takie mają i nie chce się ich aktualizować...strata czasu...nie?
- bo jak już jest zainstalowane to albo obawa, żeby czegoś nie popsuć przy zmianie wersji na nowszą i będzie kłopot - brak narzędzia do pracy, pretensje przełożonego...sto innych powodów jeszcze,
- poza tym IT wie lepiej, co ma być i dlaczego...
- bo przecież jest "polityka bezpieczeństwa" i użytkownik ma ograniczone prawa czasem, więc jak już chce coś zaktualizować, to nie daje rady, bo system nie puści.
Wcale nie uważam, żeby taki tekst był jakimś nadużyciem czy ryzykiem...tekstów bardziej szczegółowych i zaawansowanych znaleźć można "na kopy" bez specjalnego wysiłku...a odrobina wiedzy na temat tego, co może nam zagrozić i jak potem się przed tym bronić - nikomu nie zaszkodzi.
:)

  #10 15.10.2012 20:52

bajki bajki... czemu się nie włamiesz na mój komputer. Nie mam antywirusa- zwykły firewall. Zostaw mi wiadomość w pliku .txt
Dzięki.

GBM MODERATOR BLOGA  20 #11 16.10.2012 08:01

@ichito: Zgadzam się z Tobą w 100%. Dziękuję za rzeczowy komentarz ;)

Pozdrawiam.

Samurai   16 #12 16.10.2012 09:44

Wpis bardzo fajny i konkretny, jak już ktoś wyżej pisał w prostu sposób pokazane jak można wykorzystać socjotechnikę.

ichito   11 #13 16.10.2012 12:16

@czysta teoria...
A to był artykuł a antywirusach??
A wracając do Twojego pytania...czemu się nikt nie włamuje do Ciebie?...może nie jesteś na tyle interesujący, żeby cokolwiek robić?

  #14 16.10.2012 12:20

hej "czysta teoria"
a może już jesteś zombie? :)

Axles   17 #15 16.10.2012 12:27

Konkretny wpis. Zastanawia mnie tylko jedno, czy dałbyś radę wygenerować taki plik pdf i sprawdzić jak antywirusy, firewalle radzą sobie z nim? Chodzi o to, że socjotechnika to potężna rzecz, ale czy ten plan nie poległby już na początku gdy ma się solidne oprogramowanie antymalware?

  #16 16.10.2012 12:34

Teraz pytanie:

http://lochtcant.blogspot.com/2012/10/nie-trzeba-byc-mega-hackerem-zeby.html

Czy powyzszy wpis to zwykly plagiat, czy autor publikuje w 2 miejscach ?

GBM MODERATOR BLOGA  20 #17 16.10.2012 17:21

@czysta teoria... - kocham takich sceptyków i malkontentów jak Ty

@Axles: Hmm... nawet jak sygnatury, na których bazują antywirusy - wykryją że to jest "malware", to jest możliwość oszukania ich, poprzez zmianę paru informacji pliku. Ale tego (jeszcze) nie praktykowałem, przez co - teraz to jest czysta teoria ;)

alucosoftware   7 #18 16.10.2012 20:04

@Axles
Nie musisz wykorzystywać błędu (luki) w jakimś oprogramowaniu, aby wysłać dane, połączyć się z lub po prostu zepsuć komputer. Wystarczy zwykła, quasi-pożyteczna aplikacja sprawiająca wrażenie bezpiecznej, a która "przy okazji" będzie miała funkcję zdalnego dostępu.

Napisanie oprogramowania w kodzie zarządzanym (.NET, Java, itp. itd.) pełniącego rolę monitora aktywności użytkownika to kwestia kilkunastu minut. Większość programów antywirusowych nie będzie miała nic przeciwko takim aplikacjom...

Autor edytował komentarz.
DanKar REDAKCJA  14 #19 21.10.2012 16:00

@takiktos: Odpowiedź na Twoje pytanie znajdziesz w komentarzach na blogu, do którego link podałeś ;-)

djkarateka   5 #20 24.03.2013 09:05

Artykuł bardzo fajny:)