Víte, ze které strany může přijít útok na vaši IT infrastrukturu a data v ní uložená? I když používáte moderní prvky zabezpečení, využíváte procesní politiky, provádíte aktualizace, instalujete bezpečnostní patche, máte vytvořenou bezpečnostní politiku, přesto existuje jedna důležitá zranitelnost, která bývá velmi často opomíjena.


Současná vize bezpečnosti je založena na převážně technických řešeních. Využívány jsou velmi sofistikované metody implementované v antivirových programech, IDS/IPS systémech, firewallech a dalších aplikacích, které mají primárně za úkol udržet chráněné informace pod pokličkou organizace. Vysoké nároky na míru zabezpečení představují dlouhodobý a poměrně složitý proces, ve kterém je nutné sledovat například vycházející bezpečnostní záplaty, objevené zranitelnosti implementovaných aplikací a mnoho dalších faktorů.
Z naší vlastní praxe máme zkušenost, že úroveň zabezpečení nových, moderních počítačových systémů je v průměru na mnohem vyšší úrovni, než tomu bylo například před třemi nebo pěti lety. Realizace útoků typu buffer over-flow, slovníkových útoků nebo odposlechu hesla se dnes tedy stává nereálnou.
Z pohledu běžně znalého počítačového útočníka – hackera – je takový systém nezajímavý. Představuje pro něj nepřiměřené úsilí vynaložené na pokusy o prolomení ochrany, které není navíc nijak zaručeno úspěchem a přináší spíše dlouhodobé riziko jeho odhalení.
Díky těmto skutečnostem se cena utajovaných a před veřejností skrývaných informací šplhá do závratných výšin. Informace se stávají nepřehlédnutelným lákadlem pro konkurenční společnosti i jednotlivce. Výsledky soukromých výzkumů, technické patenty a další jiné utajované informace jsou velmi žádaným zbožím.
Existují skupiny a jednotlivci, kteří jsou ochotni a schopni chráněné informace získat! O koho se jedná? Konkurence s bohatým investorem, chudá konkurence nebo například i vládní organizace z „rozvojových“ států s „rychlou“ ekonomikou. Tito kybernetičtí zloději hledají ta nejslabší místa a trhlinky, kudy se dokáží vloupat i do opravdu bezpečných institucí.
Moderní počítačoví zločinci, placení hackeři, ve snaze dostat se k velmi cenným informacím využívají nejmodernějších počítačových zbraní a útoků. Na druhé straně barikády se potkávají s neméně schopnými odborníky, kteří jim připravují nemilá překvapení ve formě stále obtížněji překonatelných ochranných opatření.
S jistotou lze ovšem konstatovat, že se tito útočníci se stále větší mírou zaměřují na chyby lidí, tedy všude přítomný lidský faktor. Útočníci zejména využívají staré i nové techniky sociálního inženýrství, kdy se snaží přesvědčit a přimět uživatele, aby jim nevědomky pomohli a vykonali dvě nebo tři kliknutí myší, která dokáží pootevřít pomyslná vrátka. Těchto metod existuje velké množství. Lidé, ač si myslí, že jsou odolní, mají ve skutečnosti minimální šanci těmto útokům nepodlehnout.
Jde například o přesvědčení uživatele o vykonání dvojkliku při surfovaní internetem, spuštění aplikace z nalezeného „podstrčeného“ CD-ROM disku nebo USB flash disku pohozeného u popelnic či u místa pro kuřáky, využití nového cracku do utility, kterou každý den daná osoba používá a nemá na ni řádně zakoupenou licenci a snad tisíce dalších triků.

Příklad z praxe

Pro dokreslení představy, že jsou lidé všeho schopni, uvedu krátký případ z praxe. Při praktické realizaci penetračních testů bankovní instituce prováděné i s využitím sociálního inženýrství byly nejprve otestovány hardwarové a softwarové prostředky vystavené přímo do internetu. Byla odhalena pouze nepříliš podstatná možnost kompromitace několika serverů, které ovšem byly umístěny v demilitarizované zóně, takže průnik jejich prostřednictvím do vnitřního informačního systému již nebyl možný – žádné známe zneužitelné chyby umožňující útok, prostě nic! Jako největší nedostatek se dala označit zranitelnost typu open relay – zkráceně se jedná o možnost posílání pošty jménem testované instituce. Tato zranitelnost je zneužitelná například při phishingu – podvodných e-mailech. Zranitelnost byla způsobena outsorcingovou firmou a jejím novým pracovníkem, který špatně provedl konfiguraci daného serveru. V celku tedy vnitřní informační systém instituce jakž takž obstál.
Při následných testech metodami sociálního inženýrství byla náhodně vytáčena telefonní čísla a oslovováni lidé podle předem vymyšlených scénářů. Dále byly po pobočkách a centrále rozmístěny infikované CD-ROM a USB disky. „Infikované soubory“ byly rovněž zasílány pod různými záminkami na nalezené e-mailové adresy. A úspěšnost takových útoků? Překvapivě velká.
Ale začněme od začátku. Základem úspěchu je dobrý scénář útoku. V tomto konkrétním případě jich bylo použito více. Z nich nejefektivnější byl následující.
Útočník se při telefonickém kontaktu představil jako zástupce neziskové společnosti, která v rámci grantu evropské unie zavádí určitý projekt. V první fázi projektu hledá dobrovolníky, kteří by se projektu zúčastnili s tím, že by měli nárok na určitou odměnu v euro. Po přednesení této nabídky byl každý dotázán, zda se chce projektu účastnit. Odpověď byla většinou pozitivní, každý si bleskurychle spočítal, kolik euro získá a nepřemýšlel nad nějakým ověřováním identity volajícího nebo nad bezpečnostními předpisy. Každé takto rekrutované „oběti“ byl zaslán e-mail s tzv. testem počítačových dovedností, který bylo třeba vyplnit a poslat zpět. Samozřejmě, že se jednalo pouze o past, do které se chytilo mnoho uživatelů. Příloha e-mailu obsahovala trojského koně, jehož prostřednictvím pak bylo možné počítač plně ovládat. Při pokusu o otevření přílohy se objevilo pouze předem připravené chybové hlášení. Touto cestou se v konečném výsledku dokonce „nakazilo“ mnohem více uživatelů, než bylo původně plánováno. Oběti si mysleli, že chyba je v jejich počítači a snažili se kód spouštět u svých kolegů. Došlo to dokonce až tak daleko, že sekretářka ředitele úseku jej spustila na stanici samotného ředitele, a to v době jeho nepřítomnosti, samozřejmě jako ve všech ostatních případech neúspěšně.
Tímto byla významná část vnitřní sítě bankovní instituce kompromitovaná. Útočníkovi se podařilo dostat na rozličná důležitá pracovní místa, která měla, dle slov zadavatele, přístup přímo k samotným finančním transakcím.
Zde ale testy metodami sociálního inženýrství zdaleka nekončily. Pod heslem, že člověk se nejvíce naučí z vlastních chyb, jsme pokračovali dále. Opět byla vytáčena telefonní čísla „obětí“ a s omluvou za zaslání chybného testu navrhována rychlá realizace testu po telefonu a následného zaslání jeho výsledku na daný e-mail. Test byl záměrně jednoduchý – vytvoření adresáře, vytvoření souboru, vložení fotografie obrazovky atd. To nejdůležitější přišlo na konec testu. Do souboru měla každá osoba napsat svoje iniciály, adresu, telefon, klapku, login a heslo. Po několika telefonicky udělených pochvalách se většina osob nezmohla na protest a uvedla svoje správné heslo. Všechny požadované údaje pak útočníkovi přišly za pár okamžiků elektronickou poštou. Úsměvné, ale jak pro koho…
Co si z toho odnést za ponaučení? Všichni zúčastnění zaměstnanci (naše oběti) prošli nedávno bezpečnostním školením, kde byli na podobná rizika a možnosti útoků proškoleni, vlastnoručně podepsali, že tajné a citlivé informace nikomu nesdělí, budou je střežit a chovat se tak, aby nedošlo k jejich úniku. Přesto na všechno nakonec zapomněli s vidinou slíbené odměny. Na závěr je třeba uvést, že po následném proškolení a dalších testech již byla úspěšnost podobných útoků (z pohledu útočníka) nesrovnatelně nižší. Osobní zkušenosti úzké skupiny lidí (obětí) velice rychle samovolně prosákly do celé společnosti a dostali se tak do bezpečnostního povědomí většiny zaměstnanců, kteří pak začali dávat daleko větší pozor na to, s kým mluví a komu sdělují informace, jaké programy spouští a jaké internetové stránky navštěvují…
Je tedy patrné, že sociologickým a psychologickým útokům lze poměrně těžko odolávat. Od dob mediálně známého mistra hackingu Kevina Mitnicka a vydání jeho slavné knihy Umění klamu uteklo již hodně času a techniky sociálních útočníků se stále vyvíjí. Základní principy jsou ovšem pořád stejné. Jsou založeny na vlastnostech, jako je přirozená autorita, sympatie, vzájemnost, důvěrnost, společenský souhlas nebo vzácná příležitost. Pro představu si uveďme několik teoretických příkladů.

Autorita

Lidé mají přirozenou tendenci podřídit se vůli osob, které mají moc. Příklad:

• Útočník vystupuje pod autoritou moci.
• Říká, že pracuje pro top management, pro oddělení IT, pro partnerskou firmu a v zájmu vedení organizace atd.

Sympatie

Lidé mají sklon vyhovět, když je žadatel schopen ukázat se jako sympatická osoba, která má podobné zájmy, názory a přístupy k životu jako oběť. Příklad:

• Během rozhovoru se oběť dozvídá podobné, nebo stejné koníčky, zájmy, školy, známé osoby, místa atd.

Vzájemnost

Princip „něco za něco“. Útočník provede oběti laskavost, službu. Oběť se cítí jistým způsobem zavázána a snáze podlehne žádosti útočníka. Příklad:

• „Dali jsme vám knihu, co nám dáte vy, je na vás“,
• Zařadili jsme vás do projektu, tak nám na oplátku sdělte tuto informaci, je to pro čistě statistické účely

Důvěrnost

Pokud lidé něco veřejně prohlásí, mají tendenci v dané věci pokračovat a vyhovět. Příklad:

• Útočník kontaktuje nového zaměstnance a přednese mu bezpečnostní zásady. Následně si vyžádá jeho heslo pro „kontrolu slučitelnosti“ se zásadami.

Společenský souhlas

Lidé mají velkou tendenci vyhovět prosbám, jestliže se to zdá shodné s chováním ostatních. Příklad:

• Volající tvrdí, že provádí anketu, na kterou již několik jmenovaných osob odpovědělo. Oběť věří, že chování jiných potvrzuje věrohodnost žádosti.

Vzácná příležitost

Lidé mají tendenci se podřídit, když věří, že vytoužený objekt je v malém množství a je žádoucí pro mnoho jiných nebo je dostupný jen krátký čas. Příklad:

• Hledáme deset účastníků výzkumu, hodinová mzda...
• Prvních 500 registrovaných získá CD...

K uvedeným příkladům si můžeme připojit moderní technické metody, jako jsou škodlivé kódy typu trojský kůň, keylogger, rootkit a jiné pomocné utility či kódy určené ke kompromitaci dat. Tyto softwary jsou většinou nedetekovatelné – vytvořeny a otestovány přímo na míru tak, aby nebyly odhaleny současnými skenery (antivir, spyware, ...). Využívají nedostatků běžně používaných protokolů, a jsou tedy silnou hrozbou pro bezpečnost informací. Často si lze stáhnout z odkazů na internetu vytvořené frameworky, které si útočník poměrně snadno doladí dle své potřeby a schopností. Tyto nástroje například využívají vlastnost protokolu http, který umožňuje přenášet jakékoliv informace pod rouškou internetového prohlížeče. Nebo málo známý komunikační protokol sctp, který lze využít k průchodu přes firewall na unixových systémech. Takových metod jsou desítky, úspěch závisí jen na schopnostech útočníka a administrátora systému.
Většina takových útoků končí na počítačích v Číně nebo v jiných rozvojových zemích s nespolupracujícím justičním systémem. Samotní útočníci z těchto zemí pravděpodobně nepocházejí. Využívají pouze školních pouček a rad uváděných v hackerské literatuře, kde je doporučováno neútočit z vlastní IP adresy, ale kompromitovat nejdříve stanici, která je pro případné odhalení bezpečná – právně nedosažitelná.

Využitá metoda	Efektivita (%)
Hromadná e-mailová zpráva	0–20
Cílená e-mailová zpráva	5–60
CD-ROM	0–5
USB flash disk	20–70
Sofistikovaná metoda	50–90

Efektivita = přepočítaný poměr počtu použitých médií (zpráv, oslovených osob) ke kompromitaci jednoho cíle

Metody útoků, které využívají sociální inženýrství, před sebou mají zcela jistě velkou budoucnost. Otázkou nadále zůstává, jak se podobným útokům bránit.
V literatuře zabývající se metodami sociálního inženýrství je popsána řada obranných technik s vyšší či nižší úspěšností. Z pohledu z praxe je nejefektivnější metodou obrany poučení se z vlastních chyb.


e-mail: michal.drozd (zavináč) autori (tečka) ccb (tečka) cz

Autor je bezpečnostním konzultantem ve společnosti AEC.