Jak přijít o cenná data. Etický hacker prozradil nejlepší triky

Pod slovem hacker si lidé často představí zločince, který využívá svých znalostí počítačových systémů ke kybernetickým útokům a krádeži dat. Samotná znalost těchto metod však nutně neznamená, že se takový člověk přidá na „temnou stranu Síly“.

Existují také etičtí hackeři (tzv. white-hat hackers), jejichž činnost je na první pohled stejná. Rozesílají phishingové e-maily. V převleku za kurýra pronikají do cizích budov, kde instalují špionážní zařízení. Zkrátka dělají (skoro) vše pro to, aby se nabourali do cizí sítě. Místo toho, aby ukradená data zpeněžili na černém trhu, ale pošlou podrobnou zprávu o útoku firmě, jejíž zabezpečení právě pokořili.

S etickým hackerem Chrisem Cowlingem, penetračním testerem z firmy Unicorn, jsme si povídali o jeho dobrodružné práci a vtipných historkách z útočení. Jeho doporučení vám mohou být užitečná, i když zrovna nespravujete velkou firemní síť. Cílem kybernetických útoků jsou totiž čím dá častěji i jednotlivci. A kdo lépe zná jejich taktiky než ten, který je umí uplatnit v praxi?

Měli jste v Praze nedávno seminář pro etické hackery. Jak probíhal?

Seminář s názvem Proelium (latinsky bitva) jsme rozdělili do dvou dní. První den jsme se zaměřili na pohled firemních zákazníků a především na tzv. redteaming, druhý den na penetrační testy.

Součástí prvního dne byla zajímavá přednáška. Jednu událost společně prezentovali červený tým, zadavatel a pak nezávislý arbitr, každý ze svého pohledu. Červený tým ukazoval, jak se na útok připravoval, jaké útoky zkusil a co jimi získal. Objednatel pak mluvil o tom, co byli schopni vidět, co se dělo na pozadí.

Nezávislý arbitr následně hodnotil, co se mohlo udělat lépe, nebo naopak, co se povedlo a proč červený tým v daný okamžik neuspěl. (Seminář probíhal pouze pro zvané a pod pravidlem Chatham House, takže účastníci smějí použít informace, které se dozvěděli, ale nesmějí prozradit identitu mluvčích ani jejich organizaci, pozn. red.)

Hodně přednášejících na semináři předvedlo své techniky, které byly na špičkové úrovni. Účastníci se tak mohou naučit něco nového a najít inspiraci pro útoky i pro obranu proti nim. Seminář byl mezinárodní a získali jsme velmi pozitivní zpětnou vazbu. Takže už teď plánujeme další ročník.

Je úkolem etického hackera také navrhnout záplaty na ty zranitelnosti, které odhalí?

Obecně se etičtí hackeři zabývají nejčastěji penetračním testováním. Tedy nalezením děr v zabezpečení konkrétního systému a jejich přesným popsáním, včetně navržení vhodného způsobu nápravy nebo zmírnění rizika. Opravy ale musí zajistit někdo jiný, obvykle výrobce toho děravého programu.

Určité systémy jsou však proniknutelné spíše z důvodu špatného nastavení na straně firmy. V horším případě z důvodu slabého nebo výchozího hesla a neexistence vícefaktorového ověření.

Jak byste popsal scénář, který má vlastně „útok červeného týmu“ (tzv. redteaming) simulovat?

Je to podobné, jako když si nějaká zločinecká hackerská skupina řekne, že se chce dostat do vaší firemní sítě. Využijí vše, k čemu se dostanou: prostudují váš web, zjistí, co se o vás kdepíše, pošlou vám phishingové e-maily, zkusí se fyzicky dostat do vaší budovy, zkusí nainstalovat šmírovací programy (malware). Pokusí se do počítačů ve vaší síti propašovat svá vlastní zařízení (keyloggery). A je toho mnohem více.

Řekl bych, že „redteaming“ je pomyslnou špičkou etického hackování. Etický hacker obvykle začíná testováním webových aplikací a postupně jde ke komplexnějším věcem. Jakmile máte tým hackerů s různými zkušenostmi a expertízami a máte dobré zázemí, můžete se pustit do takového komplexního útoku, který simuluje útok kriminálních skupin.

Jaké firmy mají o takovou službu zájem? Napadá mne totiž, že firmy, které by takový test skutečně potřebovaly, vlastně ani nevědí, že jej potřebují.

Firmy, které si simulovaný útok červeného týmu objednávají, obvykle musí být celkem bezpečnostně vyspělé. Jinak jsme velmi rychle hotovi. Měli jsme případy, kdy jsme se do sítě probourali za dva dny od zahájení akce.

Ono totiž není hlavním cílem ukázat na slabiny v bezpečnosti, to je spíše takový vedlejší produkt. Hlavním cílem simulovaného útoku je prověřit, jak vaše firma umí útok detekovat a jak na takový útok umí reagovat. Pokud tedy firma na něco takového vůbec není připravená a nemá třeba ani vybudovaný plán pro případ útoku nebo bezpečností operační centrum, tak to prostě nebude fungovat.

Můžete nám dát konkrétní – byť hypotetický – příklad úspěšné sekvence útoku červeného týmu? Jak se prolomíte do firmy XYZ?

Dobře, spojím několik příběhů dohromady, takže se to netýká žádného konkrétního klienta, ale vše je reálné. Řekněme, máme za úkol prolomit se do firmy XYZ. Tato firma měla velmi dobré zabezpečení on-line systémů, takže průnik jen přes internet by byl složitý. Vedle jejich budovy ale byla kavárna a v té se nám podařilo okopírovat nepozorovaně zaměstnanecké karty několika zaměstnanců.

To pak našemu agentovi pomohlo k průniku přímo do budovy. Tam pak nainstaloval hardwarové zařízení zvané keylogger, díky čemuž jsme se dostali k platnému uživatelskému jménu a heslu. Tím jsme dostali možnost připojit se do firemní sítě vzdáleně.

Na sociálních sítích jsme si udělali průzkum a ten jsme využili k sepsání velmi důvěryhodného phishingového e-mailu, který jsme poslali už skrze firemní poštu s použitím získaného uživatelského jména a hesla. Odkaz v e-mailu vedl na program zneužívající známou zranitelnost v softwaru, který firma používala. Tak jsme získali přístupy několika dalších uživatelů a mezi nimi i člověka se správcovským účtem.

Skrze jeho login jsme se dostali do správcovského rozhraní Active Directory, kde jsme přidali vlastního nového uživatele. Tomu jsme už mohli dát práva, jaká jsme chtěli. Dostali jsme se tak k jakýmkoli údajům ve firemní síti, včetně těch, které byly dle dohody s klientem naším hlavním cílem.

Jak dlouho takový útok trval?

Celý proces trval několik týdnů a snažili jsme se být velmi nenápadní. Když si ale ani po týdnu firma nevšimne, že jsme v jejich síti, začneme být naschvál trochu hlasitější, abychom ověřili, zda vůbec dávají pozor. No pak to stupňujeme, dokud si nás nevšimnou.

Mohli byste třeba šéfovi nechat na ploše PDF s fakturou…

Třeba tak. Nebo začneme pomocí skriptu zkoušet stovky hesel za minutu. Nebo deaktivujeme účet některým klíčovým manažerům.

To zní jako ta nejzábavnější část práce.

Z našeho pohledu už v téhle fázi máme splněno. Tohle jsou spíš takové vedlejší kroky. Pro firmu je samozřejmě důležité vědět, co je schopna zachytit a co ne. Proto to děláme. Dává nám to možnost pomoci jim zlepšit se.

Pokud ale vidíte, že ta firma nemá ani základní detekční schopnosti, nezkazí vám to radost? Vždyť vy jste byli tak opatrní a vidíte, že jste vlastně ani nemuseli.

Dalo by se říci, že to může být trochu zklamání. Jsme samozřejmě nejraději, když se do firmy dokážeme prolomit, stihneme udělat, co jsme měli, a oni nás vzápětí odhalí.

Když si firma objedná simulovaný útok, kdo o tom ví? Dokážu si představit hodně ošklivá nedorozumění, kdyby o tom nikdo nevěděl…

Obvykle o tom, že simulovaný útok někdy v blízké době proběhne, ví velmi malý tým v rámci organizace, která si jej objednala. Máme obvykle jedinou kontaktní osobu, kterou udržujeme v obraze. A několik dalších lidí, řekněme v představenstvu, o objednávce ví.

Protože náš test je na objednávku, jedna z nejdůležitějších věcí je pečlivá právní příprava. Máme s sebou doklad o tom, že naše služby jsou objednané, třeba pro případ, že by nás ochranka nebo policie přistihla při neoprávněném vstupu řekněme do banky. Říká se tomu „propustka z vězení“ (anglicky get-out-of-jail letter). Je to svolení k tomu, co děláme, a kontakt na osobu, u které je možné ověřit pravdivost toho, co říkáme.

U fyzického prolamování se do budov to asi může být dost nebezpečné, ne? Stačí, když má ochranka revolver…

Ano, na konferenci jsme se bavili o tom, že tohle je velký rozdíl mezi Evropou a USA. Třeba zámky jsou v Americe mnohem méně bezpečné, je tam jenom pár výrobců zámků. Na druhou stranu je v USA velké procento lidí se střelnou zbraní. Takže je pak jedno, že umíte šperhákem otevřít jejich zámek, protože oni mají za pasem bouchačku.

U firem z toho strach úplně nemáme. Jasně, může si na nás došlápnout pár namakaných chlapů z ochranky, ale obvykle musejí dodržovat určité procedury. To nám, když nás chytí při pokusu o průnik, umožňuje dát ruce nad hlavu a vysvětlit jim, že je to součástí simulovaného útoku. Dát jim jméno člověka, u koho to můžou ověřit. Je to důležité pro naši bezpečnost, a vlastně pro bezpečnost všech.

Tahle práce je určitě hodně pestrá. Skoro jako být špion. Lidé si většinou pod pojmem hacker představují útoky přes internet…

Dá se říci, že jakmile máme fyzický přístup k počítači té firmy, tak je jen otázka času, než toho dokážeme využít. Pokud pronikneme do budovy, dostaneme se k počítači, nainstalujeme tam malé zařízení mezi klávesnici a počítač. Tak získáme hesla uživatelů, a to nám zase umožní dostat se dále.

V podstatě je to ekvivalent toho, co děláme v on-line prostoru. Hledáme chyby a nedostatky v zabezpečení. Někdy to vypadá jako z filmů o Jamesi Bondovi, třeba když zkoušíme pomocí maličkých senzorů o velikosti poštovní známky ukrást biometrické údaje. Jindy je to relativně primitivní technika, třeba otevírání zámků pomocí šperháku nebo vysazení dveří z pantů. To jsme pak uvnitř za pár sekund. Musíme si přitom být vědomi, zda nás snímá kamera, kde je zrovna ochranka…

V některých firmách se dostanete kamkoli, když máte na zádech batoh s nápisem Kurýr. Jaké další převleky fungují?

Sociální inženýrství je velká část naší práce. Do budovy se dostaneme v převleku za poslíčka s náručí plnou krabic od pizzy. „Podržíte mi dveře, prosím?“ A je uvnitř. Jindy se náš člověk dá do řeči s lidmi, kteří šli ven na cigaretu, a pak se skupinkou vejde dovnitř, aniž by potřeboval kartu.

Používáme převleky za opraváře telefonů, za uklízeče… Jde o to, abychom oklamali ochranku, recepci a další pracovníky firmy. Abychom měli evidentní záminku, proč tam jsme.

Firmy dnes mají plný instagram informací o tom, jak fungují. Pomáhá vám to?

Říkáme tomu open-source intelligence, práce s veřejně dostupnými zdroji. Když si někdo na svůj profil dá fotku se svou kartičkou do práce a napíše: „dnes jsem nastoupil u firmy XYZ“, je to pro nás nesmírně cenná informace.

Na kartičce vidíme číslo. Na pozadí vidíme obrazovku počítače a poznáme, jaký používají antivirus. To nám samozřejmě pomůže při útoku.

Lidé prostě chtějí žít své životy, nechtějí neustále přemýšlet o možném útoku.

Ano, v podstatě zneužíváme lidské nátury. Lidé chtějí být nápomocní. Třeba taková maličkost, že vám podrží dveře, když máte plné ruce. A toho zneužijeme, abychom proklouzli dovnitř.

Velmi úspěšné jsou telefonáty. Zavoláme někomu z firmy a představíme se jako Honza z IT podpory: „Jsem tu teprve týden a dostal jsem za úkol aktualizovat váš software, pomůžete mi s tím?“ Tak jednoduché to někdy je.

Už se vám stalo, že jste se do nějaké firmy prostě neprobourali? Že měli všechno tak dobře zabezpečené a personál tak vycvičený, že to prostě nešlo?

Vždycky existuje cesta dovnitř. Firmě pak ale prezentujeme kompletní dokumentaci. Ukážeme, co všechno jsme zkusili. Takže je pochválíme za to, co nám nevyšlo. Snažíme se z toho udělat srozumitelný příběh, hlavně pro výše postavené manažery, kteří třeba nejsou zběhlí v bezpečnostních detailech.

Důležité je, aby firma měla z našich závěrů užitek. Aby viděli, že ty peníze utratili za něco, co jim pomůže v budoucnu.

S jakými nejvtipnějšími bezpečnostními chybami jste se setkali? Papírky s heslem na monitoru a tak?

Pamatuju si, že jsme viděli hesla napsaná na tabuli v oficiálním videu sportovního stadionu. Ajťáci často zapomínají vypnout staré přístupové body, takže jsou stále zapnuté, ale už nejsou několik let záplatované. Tím se dovnitř prolomíme snadno.

Když někomu vysvětlujete, co děláte, s jakými mýty se setkáváte?

Obvykle říkám, že se prolamuji do banky a pak bance vysvětlím, jak jsem to udělal. Banka to pak může opravit a zvýšit své zabezpečení.

Jak zajistíte, že se někdo z vašeho týmu nedá na dráhu zločinu? Co kdyby si někdo z vašeho týmu nějakou zranitelnost nechal pro sebe, nenapsal ji do závěrečné zprávy a pak použil k okradení společnosti?

Máme velmi složitý proces, spolupracovníky si pečlivě vybíráme. A na ty důležité zakázky bereme jen ty, kteří jsou osvědčení a důvěryhodní. Nevezmeme do červeného týmu nějakého nováčka, ať by byl sebeschopnější.

Obvykle také nepracujeme izolovaně, ale v týmu. Nestane se tak, že bych objevil díru, o které nikdo z kolegů neví. A samozřejmě firmy mají ošetřené i legálně, takže za únik informací bychom pořádně zaplatili.

Vaše práce vyžaduje, abyste se na lidi díval poměrně cynicky. Změnilo to váš pohled na svět?

Samozřejmě, že lidé jsou v jádru stejní. Kromě toho je tady i ta korporátní složka. Vidíme samozřejmě, že firmy se často navenek tváří profesionálně, zatímco my vidíme, jaký mají uvnitř nepořádek.

V posledních letech se cílem hackerů stávají stále častěji i jednotlivci. Jsou celá callcentra, která se zaměřují na útoky na jednotlivce. Jak se mohou bránit?

Jednotlivci o sobě nechávají ohromné množství informací na sociálních sítích. Útočník může různých detailů využít k tomu, aby útok přizpůsobil konkrétnímu jednotlivci. Obvykle se jim asi nevyplatí vyrábět útok na míru právě vám, pokud nemají nějaký důvod. Používají phishing, který rozesílají na velké množství adresátů.

Setkáváme se ale s tím, že u útoků se stírá hranice mezi pracovním a soukromým životem. Takže když se snažím proniknout do firemní sítě, mohu si najít soukromé kontakty na lidi, kteří ve firmě pracují. Najdu si na jejich sociálních sítích, co je zajímá, a pak to využiju k získání pozornosti.

Lidé mají rádi drby. Když zjistím ze sociálních sítí, že je jedna ze zaměstnankyň těhotná, můžu to zmínit v nějakém e-mailu jejím kolegům ze stejného patra. Vlastně to ani nemusí být pravda, ale je to něco, co upoutá.

Řekl bych ale, že taková věc už je na hraně. Myslím třeba zneužívat něčí soukromou událost ke generování šeptandy. Nesmíme zapomínat, že naším cílem je poskytnout té firmě užitečnou službu. Nechceme se tam probourat nějakou destruktivní metodou. Jistě, skoro každý zámek lze zničit nebo provrtat, často za pár sekund. Ale takové věci neděláme. Najdeme jinou cestu, nenápadnější. Což ostatně dělají i ti zločinci, jejichž chování simulujeme.

Jaká je vaše rada pro běžné uživatele, aby zločincům a podvodníkům jejich jednání co nejvíce zkomplikovali? Kdy by se nám měly v hlavě rozsvítit varovné kontrolky?

V tom se on-line podvodníci moc neliší od obchodníků a marketérů. Když dostanete e-mail, který se vás snaží dostat do časové tísně, když se někdo snaží navázat s vámi úzký kontakt, aniž byste jej znali… je to vlastně stejná psychologie. Používají techniky z neurolongvistického programování, jednají sebevědomě a lež jim tak projde.

Jaká lákadla a vějičky na lidi v e-mailu nejvíce zabírají?

Už jsem zmínil drby nebo informace o dalších lidech, to vždy upoutá pozornost. Nebo také nabídka dárku zdarma, kupóny na slevy. Padesátiprocentní sleva na nějaký drahý a žádaný výrobek. Takových lákadel je hodně.

Obecně se dá říci, že využíváme lidské emoce, abychom motivovali k nějakému chování. Motivovat můžete třeba příslibem peněz nebo různými emocemi. Třeba soucitem: sirotci potřebují vaši pomoc.

Bývá to také závislé na sezoně. Třeba před Vánocemi mohou lidé dostávat balíčky s dárky od korporátních partnerů. Šílené věci jako blikající vánoční stromeček, který musíte zapojit do USB konektoru, aby se rozsvítil. A tím posbíráme spoustu informací. Podobné věci můžeme lidem poslat i k narozeninám.

Vzhledem k vaší práci předpokládám, že se v soukromí chováte celkem opatrně a svá data máte pečlivě zabezpečená?

Určitě máme domácnost nadprůměrně zabezpečenou. Práce v IT a penetrační testování mne naučily, jak důležité je zabezpečit účty, takže obvykle používám hardwarový klíč Yubikey a podobné věci.

Takové zabezpečení doporučuji i všem ostatním, rodině i přátelům často dávám jako dárek hardwarové klíče k zabezpečení účtů.

Ale my teď už víme, že dárky od vás jsou ve skutečnosti odposlouchávací zařízení.

Proto asi manželka dárky ode mne po Vánocích chodí vracet…