Na letošní evropské Tech-Ed konferenci jsem se zúčastnil přednášky Andy Maloneho o krádežích identity. Stačí trocha chytrosti, dobrý plán a pár veřejných webových služeb.
Původně jako zpestření jsem v rámci konference Microsoft Tech-Ed EMEA 2008, která se konala začátkem listopadu v Barceloně, navštívil interaktivní seminář o informační bezpečnosti. Že to bude opravdu zábava, se ukázalo již v okamžiku, kdy přednášející Andy Malone (MVP) ještě před přednáškou vybral od některých účastníků jejich kreditní karty a celou dobu je dráždil vsugerováváním nepříjemných pocitů, že má nějakou jejich soukromou věc. Následovalo upozornění, že předváděné postupy mohou být v některých státech ilegální a přednáška o krádežích identity mohla začít. Poté přednášející obratnou argumentací dovedl šest desítek přítomných správců sítí přiznat, že žádný z nich není (pochopitelně) schopen garantovat, že přijde na útok na svou síť.
Chraňte svou počestnost
Až překvapivé je, že 84 % narušení bezpečnosti totiž přichází nikoli zvenčí, ale zevnitř sítě. Průměrná doba do narušení špatně zabezpečeného systému je odhadována na pouhých 19 minut. V dnešní době se většina útoků zaměřuje na krádeže informací, zejména osobních dat. V Británii, odkud Andy Malone pochází, přitom jsou na ztráty osobních dat tak trochu experty. Například v říjnu tohoto roku si síť hotelů Best Western nechala ukrást informace o desetitisících svých klientů včetně čísel platebních karet. Dnes již se těmito informacemi čile obchoduje na elektronických obchodech ruských kyberkriminálníků.
Posluchači ani nedýchali, když se přednášející pustil do krádeže cizí identity za pomoci naprosto veřejných webových služeb. V Británii je pro vytvoření falešné identity potřeba znát konkrétní sadu informací: Jméno, datum narození, adresu, číslo řidičského průkazu, číslo sociálního pojištění; Běžnými zdroji těchto informací pak jsou lékaři, účetní, právníci, školy, zaměstnavatelé, hotely, zdravotní pojišťovny atd.
Jak získat „novou“ identitu? V některých státech lze elektronicky získat doklady. Stačí na genealogických stránkách (např. Findmypast.com) zjistit informace o místě narození a sérii rodného listu nějaké osoby a požádat (elektronicky) o duplikát. Na Intelius.com se dají zjistit informace o historii každého občana USA. Objednat lze výpis z rejstříku trestů, informace o bankrotu apod. To vše za necelých 10 USD. Kompletní údaje falešné identity lze vygenerovat na adrese FakeNameGenerator.com. K dokonalosti lze celou věc dotáhnout například na serveru Spooftel.com, který slouží mj. k podvržení volajícího čísla a hlasu volajícího v telefonních hovorech.
Fake Name Generator, generátor falešných identit na pouhých pár kliknutí
FakeMyText.com je zase služba pro anonymní rozesílání libovolných zpráv komukoli. Klidně za účelem poškození osobnosti. Je zajímavé, kolik škody může nepáchat jeden malý drb – na něm pak lze vystavět kompletní falešnou identitu, která může poškodit kohokoliv či naopak představovat cokoliv včetně člověka, jemuž ostatní rádi posílají své osobní údaje. Rozhodnete-li se vytvořit falešnou identitu, nezapomeňte na mail, profily na LinkedIN, MSN, MySpace, vlastní blog „dotyčného“, mailing listy, nějaké domény... Když budete chtít falešnou identitou poškodit někoho druhého, tak klidně přidejte i pornostránky.
Co když si budete chtít zaspamovat?
Pro rozesílání nevyžádané pošty poslouží hned několik služeb. Povedeným anonymním spalovačem je například DeadFake.com. Abyste však mohli poštu rozesílat, je potřeba mít nějakou databázi adres, kterou však není těžké získta. Existují na to pochopitelně i specializované nástroje. Jedním z nich je i SensePost Bidiblah. Tento program využívá systému DNS ke zjišťování informací o doménách a k nim se hlásísích e-mailových adresách. Bidiblah je drahou komerční aplikací, avšak v nabídce je také dvacetiminutová demoverze pro vyzkoušení funkčnosti. Potřebujete-li najít konkrétní server například mailserver společnosti, jíž chcete spamovat, zkuste Maltego. Tento program totiž prohledává vazby mezi servery.
Maltego: Vyhledá vazby mezi servery
Pokud vás náhrada identity a rozesílání spamu už nebaví, vyzkoušejte třeba populární Google hacking, na internetu je totiž skoro cokoli si umanete. Chcete-li si pohrát s něčí bezepečnostní kamerou či dotyčnému jen přeštelovat klimatizaci, nebo naopak najít nějaká hesla používaná armádou, zkuste zapřemýšlet nad správnou formulací vyhledávacího dotazu. Jednou z možností je třeba něco takového: archive: site:mil filetype:xls „Top secret“. Možná vás čeká odměna v podobě přístupu k nějaké zajímavé technologii, i když vlastní bitevní simulátor takto asi zrovna nezískáte. Doufejme. Závěrem je na místě připomenout, že neautorizovaný přístup do cizího zabezpečeného systému, byť přístupové údaje získáte na webu, je protizákonný.