FBI pod útokem. Hacker ukradl tisíce kontaktů na stážistky i speciální agenty

  • Premiér Sobotka není jedinou obětí sociálního hackingu
  • Podobnou techniku použil i jistý hacker za oceánem
  • Zveřejnil desetitisíce kontaktů na zaměstnance FBI

Premiér Sobotka se na přelomu roku stal obětí několika kybernetických útoků. První směřoval na jeho twitterový účet a druhý pak na soukromý e-mail od Seznamu. Přestože nakonec vyšlo najevo, že se nejspíše nejednalo o žádný technicky sofistikovaný hacking, ale ten znalostní, kdy se pokouší útočník zjistit o své oběti co nejvíce docela běžných informací a pak je zneužije třeba při obnově hesla odpovědí na nějakou relativně banální otázku.

Ačkoliv se zde samozřejmě nabízí doporučení, aby se Sobotka už jen kvůli svému exekutivnímu postavení lépe zabezpečil i na internetových službách třetích stran, které neprovozuje přímo Úřad vlády, faktem zůstává, že sociální hacking je čas od času poměrně úspěšný i při útocích na ty nejvyšší federální instituce v USA.

Penis útočí

V předvečer Dne bezpečnějšího internetu to v plné nahotě ukázal jistý penis, jak sám sebe na Twitteru označil prozatím neznámý propalestinský útočník, který ve stručném tweetu tvrdí, že získal kontaktní údaje o 20 000 zaměstnanců FBI, přičemž jejich seznam umístil na službu Cryptobin.

Klepněte pro větší obrázek

O svém záměru přitom informoval veřejnost už o víkendu, a aby dal svým slovům dostatek věrohodnosti, část databáze poskytl redakci Motherboardu, která vybraná telefonní čísla vyzkoušela v praxi a skutečně se dovolala jak konkrétním analytikům FBI, tak na ústřednu federálního úřadu.

Součástí seznamu přitom nejsou pouze jména zaměstnanců a jejich telefonní čísla, ale také zařazení v rámci úřadu, přičemž se nejednalo jen o běžný civil, ale i operativce a speciální agenty.

Adresář FBI poté útočník doplnil ještě seznamy dalších agentur – především několika tisíci kontakty na zaměstnance ministerstva pro vnitřní bezpečnost (DHS – Department of Homeland Security).

Opravdu to bylo tak jednoduché?

Zdaleka nejbizarnější je ale to, jak útočník vlastně přišel k databázi kontaktů. Pokud se leckdo pousmál nad chabým zabezpečením účtů premiéra Sobotky, měl by se mu okamžitě omluvit, standardy ve federálních institucích USA jsou totiž očividně úplně někde jinde, než na co jsme zvyklí z hollywoodských špionážních thrillerů.

Útočník nejprve ovládl elektronickou schránku jistého zaměstnance ministerstva spravedlnosti. Podrobnosti nesdělil, nabízí se ale hromada způsobů od tvrdého hackingu po nejrůznější formy toho sociálního.

Klepněte pro větší obrázek
Seznam interních zaměstnanců i smluvních pracovníků. Motherboard namátkově a pomocí telefonního hovoru ověřil, že se nejedná o smyšlené údaje.

Jakmile měl přístup k poštovní schránce, pokusil se přihlásit do informačního systému ministerstva, nicméně neznal heslo, a tak zatelefonoval na patřičné oddělení a podpoře vysvětlil, že je nový zaměstnanec, který potřebuje poradit s přihlášením. Nakonec získal generické heslo a dostal se do nitra federální instituce, aniž by jakkoliv věrohodně ověřil svoji totožnost.

Podle svých slov publikovaných na Motherboardu se poté mohl přihlásit k účtu oběti a jejímu terminálu. Útočník postupně stáhl na 200 GB dat a nakonec ze systému vydoloval i onen seznam pracovníků FBI a některých dalších organizací spřízněných s DOJ (Department of Justice).

Jelikož Motherboard ověřil, že přinejmenším některé kontakty na seznamu odpovídají skutečným analytikům, zdá se, že i zbytek příběhu bude pravdivý. Pokud tomu tak skutečně je, americká instituce systémově selhala hned v několika krocích a je náchylnější k sociálnímu hackingu, než by si leckdo pomyslel.

Erotika na webu PSP.cz

Sobotka se na přelomu roku stal obětí sociálního hackingu, možná si ale vzpomenete i na případ opravdového šlendriánství z roku 2012, kdy se na webu Poslanecké sněmovny objevil obsah, který bychom spíše čekali na některé z pornografických a warezových stránek na internetu.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek
Díky špatnému zabezpečení se na webu PSP.cz před pár lety objevila adresářová sktruktura některého z adminů. Pokud by se nejednalo o stránky zákonodárného sboru, bylo by to snad i legrační.

Zadáním konkrétní adresy se tehdy zobrazila složka s interními daty některého ze správců serveru psp.cz, který si ze sněmovny udělal své vlastní soukromé FTPko. Jelikož byly adresáře několik hodin volně přístupné a vedle pornografického obsahu a wearezu obsahovaly i interní zdrojové kódy a SQL dumpy databází, každý si mohl nastudovat, jak vlastně web psp.cz funguje, a využít toho při nějakém pozdějším útoku.

Ačkoliv se nakonec nic vážného nestalo, alarmující amatérismus na serveru zákonodárného sněmu otevírá otázku, jak jsou na tom asi weby a interní informační systémy dalších tuzemských institucí.

Nelze tedy než doufat, že pomalu končící Den bezpečnějšího internetu bude vzdělávací inspirací nejen pro děti a školy, kterým je primárně určený, ale i pro oddělení IT amerických DOJ, FBI ovšem i českých institucí.

Témata článku: Web, Bezpečnost, FBI

17 komentářů

Nejnovější komentáře

  • nymfomanka 11. 2. 2016 16:15:54
    největší sadomaso je hamáček, kalousek, u pultu
  • djmetlicka 11. 2. 2016 1:47:52
    A čo hacker žije ešte?
  • dododanken 10. 2. 2016 14:06:00
    tak im treba,snazia sa spehovat kazdeho,konecne im niekto vysvetlil

Určitě si přečtěte


Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

** Vyhledávače jsou natolik dobré, že si poradí i s frází v běžné češtině ** Pokud to ale nebude stačit, můžete vyzkoušet pokročilé funkce ** Vybrali jsme ty nejzajímavější

25.  9.  2016 | Jakub Čížek | 19

9 nejlepších programů na úpravu fotek. Placené i zdarma

9 nejlepších programů na úpravu fotek. Placené i zdarma

** Pro běžné úpravy fotek nemusíte pirátit Photoshop, vystačíte si s levnějšími programy ** Ceny pokročilých editorů se většinou vejdou do dvou tisíc korun ** Mnohdy stačí i bezplatné nástroje

26.  9.  2016 | Stanislav Janů | 50

Aby byl signál a internet všude: jak fungují a kde jsou schované antény operátorů

Aby byl signál a internet všude: jak fungují a kde jsou schované antény operátorů

** Základnové stanice BTS mobilních operátorů zdaleka nejsou jen typické kovové stožáry ** Podívejte se na některé nevšední instalace ** Dozvíte se, z čeho se moderní BTS skládá a jak funguje

28.  9.  2016 | David Polesný | 32

Pojďme programovat elektroniku: Vyrobím si z drobných součástek vlastní mikropočítač za pár kaček

Pojďme programovat elektroniku: Vyrobím si z drobných součástek vlastní mikropočítač za pár kaček

** Můžete si koupit třeba desku Arduino Uno ** Anebo si složíte celý mikropočítač sami ** Je to snadné jako facka

27.  9.  2016 | Jakub Čížek | 28

Asus Zenbook UX330UA: je to tenké, kovové a není to MacBook Air  (recenze)

Asus Zenbook UX330UA: je to tenké, kovové a není to MacBook Air (recenze)

** Dlouhá výdrž v tenkém provedení ** Jemný kvalitní matný displej ** Rozumná volba pro práci v terénu

29.  9.  2016 | Tomáš Holčík | 29