Pojem zneužití a zcizení identity

Neexistují přesné definice zneužití a zcizení identity. Jako pracovní definice nám poslouží následující:

• zcizení identity – neoprávněné přivlastnění si cizí identity,
• zneužití identity – neoprávněné konání pod cizí identitou.

Nebezpečí zneužití identity spočívá ve škodě vůči třetím osobám a škodě vůči vlastníkovi předstírané identity.

Příklady zneužití identity

Předstírání technicky nechráněné identity (spoofing)

Technické údaje jako například IP a e-mailové adresy je možné jednoduše zfalšovat. V rámci spoofingu se však nefalšují pouze klasická technická data, jako IP adresy anebo záznamy v tabulkách ARP, ale také rozšířené informace DNS (např. záznamy MX), vizuální zjev webové stránky, případně dokonce například manipulace výsledků vyhledávání v Googlu, které uživatele „svede“ na podvržené stránky (např. manipulací algoritmu optimalizace vyhledávání).

Zcizení identity chráněné soukromou informací (heslem)

Identita chráněná soukromou informací se dá poměrně snadno implementovat, protože nevyžaduje složitou technickou infrastrukturu. Její nevýhoda spočívá zejména v jejím bezpečném uložení. Zapamatování je omezeno počtem hesel a určuje rovněž jejich nízkou entropii. Uložení těžko zapamatovatelných hesel (případně souboru hesel) musí být chráněno dalším heslem (tzv. master password). Dalším problémem je rozhodnutí uživatele, kdy a kde smí heslo zadat – čehož právě využívá phishing (viz níže).
Webové e-mailové účty jsou dnes typicky chráněny jednoduchým heslem. K zaznamenání hesla se rovněž nejčastěji používá phishingu. Škoda při zneužití identity e-mailového účtu spočívá zejména v rozesílání spamu z tohoto účtu a jeho následného zablokování.

Zcizení autentizačních dat u kombinované ochrany

Jako příklad uvedeme platební karty, které se často využívají v internetovém platebním styku. V dnešní době se používají téměř výlučně procesorové smart karty, které jsou zabezpečeny proti vyčtení dat a mají ochranu v podobě PIN, kontrolního kódu CVC, CVV či CVV2 a doby platnosti karty. V případě tzv. virtuálních (čistě internetových) platebních karet jsou karty (vlastně pouze identita karty v podobě identifikačních dat) často chráněny dodatečnými PINy s možností ohraničit jednorázovou a denní sumu transakce.
Ochrana před fyzickou ztrátou spočívá především v chráněné znalosti PINu a možnosti blokování karty u banky. V internetovém platebním styku ve vyspělých zemích existuje možnost rozporovat provedenou transakci, přičemž důkazní břemeno nese strana příjemce platby.
Největším nebezpečím při platebním styku a internet bankingu spočívá v tzv. phishingu, tj. nabízení podvržených internetových stránek uživateli, který do nich zadá identifikační a autentizační prvky platební karty. Toto se děje nejčastěji pomocí e-mailových zpráv obsahujících odkaz na podvrženou stránku. Častý je ale i tzv. social engineering, kdy jsou pod různými záminkami od uživatelů „jménem banky“ požadovány identifikační a autorizační údaje, a to jak pomocí e-mailů, tak například i telefonicky.
Dalším nebezpečím je odchycení autentizačních údajů na počítači pomocí tzv. keyloggerů, které softwarově nebo hardwarově zaznamenávají znaky zadávané přes klávesnici. Toto nebezpečí hrozí zejména u cizích počítačů.

Obr. 1: Příklad použití keyloggeru (zdroj: czecheshop.cz)

Určitou ochranou je – pokud to služba dovoluje – zadávání citlivých údajů pomocí výběru znaků z tzv. vizuální klávesnice (i takové zadávání je však možné vhodnými softwarovými a hardwarovými prostředky zaznamenat).

Zneužití cizí transakční identity

U internetového bankovnictví (IB) se dříve používalo ověření jednotlivých transakcí pomocí transakčních čísel (TAN, později indexovaných ITAN). Tímto se sice zabrání hrubým útokům pomocí keyloggerů a sniffingu, útočníci však začali ve velké míře používat útok typu man-in-the-middle.

Útoky typu man-in-the-middle

Zejména u identit vázaných na vlastnictví je zcizení identity přes internet prakticky nemožné, protože vyžaduje reálné zcizení autentizačního hardwaru (tokenu). V tomto případě útočník používá tzv. útok man-in-the-middle (prostředníka), při kterém převezme kontrolu nad komunikačním kanálem a může měnit procházející data. Toto se děje nejčastěji ovládnutím počítače uživatele (např. pomocí trojského koně) nebo přesměrováním datového toku v síti (např. v internetu) přes kontrolovaný komunikační bod (počítač útočníka).

Obr. 2: Princip útoku man-in-the-middle

Praktické zkušenosti

V lokálních sítích (zejména bezdrátových) se nejčastěji jedná o výše uvedený MAC spoofing nebo ARP spoofing. Jak již bylo uvedeno v prvním dílu, na síťové úrovni se přesměrování děje pomocí manipulace směrování, na úrovni DNS podvržením IP adres. Výše uvedený phishing je často rozšířen o tzv. pharming, při kterém dochází k přesměrování na podvrženou stránku pomocí manipulace záznamů lokálních překladových tabulek (soubor hosts) anebo odpovědí DNS serverů. Lokálně se to děje nejčastěji pomocí škodlivého softwaru, u služby DNS pak zneužitím zranitelnosti serveru, případně manipulací dat odpovědi. Obecně se u tohoto typu zneužití jedná o spoofing.
Útoků proti DNS je možné zabránit například použitím protokolu DNSSEC, při kterém je pravost informací ověřována digitálním podpisem. Tento protokol se však zatím neprosadil kvůli složitosti implementace. Vysoce nebezpečné je používání nezabezpečeného přenášení citlivých dat aplikačním protokolem (HTTP, IMAP atp.), které umožňuje útočníkům zachytit identifikační a autentizační informace přímo z toku dat (tzv. sniffing).
V souvislosti se síťovou bezpečností často dochází k nesprávnému pochopení kryptografických protokolů. SSL/TLS je sice de facto standardem pro bezpečnou komunikaci v internetu, často se však zapomíná, že SSL/TLS chrání pouze datový komunikační kanál – jeho důvěrnost, autenticitu a integritu.
Komunikace uvnitř kanálu SSL/TLS však bezpečnostně zajištěna není (to umožňuje různé útoky v rámci komunikace prohlížeče s webovým serverem, jako například XSS (cross-site scripting) a jiné zneužití zranitelnosti prohlížeče nebo serveru). Bez oboustranné autentizace pomocí certifikátů je možné kanál SSL/TLS „ukrást“ pomocí útoku man-in-the-midle. Prostředník se vůči serveru tváří jako uživatel a vůči uživateli jako server, čímž ovládá komunikační kanál a může měnit protékající data.
Nejzranitelnějším článkem v bezpečnosti je často uživatel a jeho počítač. Dochází k nekontrolované instalaci různých programů a doplňků, někdy i k „vylepšení“ nastavení bezpečnostních parametrů prohlížeče. Uživatelé často nesledují úspěšné ověření certifikátu („zámeček“) a informace, které prohlížeč uživateli poskytuje ohledně ověření.

Standardní bezpečnostní mechanismy

Používání nástrojů pro odstraňování škodlivého softwaru (zejména antivirů) se stalo běžnou součástí používání osobních počítačů. Bohužel vývoj škodlivého softwaru je častokrát rychlejší než vývoj a aktualizace ochranných programů.
Dalším typem ochrany jsou osobní (desktopové) firewally, které se snaží zabránit útokům na síťové, a často i aplikační úrovni. Jejich velkou nevýhodou je, že uživatel musí často sám rozhodovat, zda komunikaci povolit, nebo ne, přičemž nedokáže posoudit relevanci informací, které mu firewall nabízí. To vede k povolení veškeré komunikace, kterou si programy (a tím pádem i škodlivý software) vyžádají. Firewally většinou nedokážou zabránit útokům zevnitř sítě (LAN), případně z již instalovaného škodlivého softwaru. Moderní firewally však často obsahují heuristiku, která nevyžaduje tolik nastavení ze stránky uživatele.
Ačkoliv se dnešní komunikace stále více omezuje na webový prohlížeč a standardní protokoly, data, která jsou přes tyto protokoly přenášena, nejsou kontrolována na škodlivost obsahu. Moderní prohlížeče využívají množství rozhraní pro multimediální obsah a k tomuto účelu spouštějí „na svůj účet“ různé aplikace, jako například Java, JavaScript a Flash, případně doplňky typu Adobe Acrobat Reader a Real Player. Různá rozšíření prohlížečů (Firefox, Chrome), jako například NoScript nebo Better Privacy, poskytují poměrně účinnou ochranu, často však webové stránky pak nejsou plně funkční.
Některá řešení (zejména pro vzdálená připojení do firemního prostředí) proto uplatňují princip vlastní kontroly koncové stanice uživatele, který se děje po navázání spojení, přičemž se nekontroluje pouze přítomnost škodlivého softwaru, nýbrž i obecných bezpečnostních nastavení operačního systému a aplikací, jako například verze, bezpečnostní záplaty apod. Dotažením této myšlenky do konce je používání bezpečnostně definovaného virtuálního prostředí, které se pro citlivé situace vytvoří k tomuto účelu (jail, sandbox, kiosk), a uživateli je dovoleno komunikovat pouze z něj. Toto prostředí může být pro další „sezení“ znovupoužito, případně vytvořeno nově.

Milan Balážik
Autor je držitelem certifikace CISSP a působí jako technical solutions architect ve firmě Corpus Solutions.