reklama

Specialisté sdíleli ve fóru hackerů heslo od Googlu a sledovali, co se bude dít

  • Inženýři z Bitglass připravili návnadu a sledovali hackery
  • Internet je plný honeypotů, které zaznamenávají útoky
  • Provozuje je i CZ.NIC na routerech Turris

Hackerům se v posledních letech podařilo prolomit ochranu nejedné velké internetové služby. Loni to potkalo třeba kontroverzní seznamku Ashley Madison, před tím ještě mnohem větší Adobe a nesmím zapomenout ani na aféru Sony a její herní sítě Playstation Network z roku 2011.

Jenže co se s těmito uniklými hesly v praxi vlastně děje? Hackeři, kteří chtějí jen slávu, vypustí veškerá data do oběhu, no a ti pragmatičtější je raději prodávají na všemožných fórech dark webu. Jenže co dál? Představte si, že podobným způsobem na veřejnost uniknou přihlašovací údaje k vašemu účtu Googlu. Za jak dlouho se je pokusí někdo zneužít a co všechno bude zkoušet, pokud se mu skutečně podaří přihlásit třeba do vašeho úložiště Drive?

Specialisté vytvořili fiktivní oběť, které někdo ukradl heslo od Googlu

Přesně tuto otázku si položili i bezpečnostní specialisté ze společnosti Bitglass a vytvořili vlastní fiktivní elektronickou oběť – návnadu v podobě funkčního účtu Googlu a úložiště Drive plného klíčových dokumentů, které lákaly k prozkoumání. Identitu uživatele ještě podtrhli platným číslem kreditní banky a dokonce falešným webem banky, ve které měla oběť pracovat. Pak tyto informace vypustili do oběhu v jednom undergroundovém fóru.

Během prvního dne se začali k účtu na Googlu i na stránkách banky připojovat první zvědavci, přičemž ve většině případů používali anonymní Tor často ještě zabezpečený některou z VPN linek. Dohromady se jich nakonec sešly desítky, ovšem zdaleka ne každý začal na účtu okamžitě úřadovat. Soubory z úložiště stahovali jen někteří. A našli se i tací, kteří se pokusili dešifrovat soubory, které Bitglass skryl takovým způsobem, aby šlo poznat, jakým softwarem je vlastně šifroval.

Útočníci zkoušeli heslo na dalších službách

Tím však experiment neskončil, Bitglass totiž pro vyšší důvěryhodnost založil fiktivní oběti účty i na dalších webech a to se stejnou kombinací přihlašovacího jména a hesla. Nebohý bankovní úředník měl tedy i profil na Facebooku a také zmíněný zaměstnanecký profil.

Potvrdilo se, že útočníci zkoušejí stejnou kombinaci loginu a hesla napříč internetem. V rámci tohoto experimentu se o to pokusilo celých 94 % z nich, přičemž se úspěšně přihlásili jak do zaměstnaneckého profil una stránkách fiktivní banky, tak na sociální sítě. Používat napříč internetem jednu kombinaci zabezpečení, je tedy krajně nevhodné.

Na jedno si však útočníci netroufli. Ačkoliv Bitglass zveřejnil i čísla kreditních karet, která byla zcela funkční, zatím je nikdo nezneužil a zle předpokládat, že se pouze dostaly na seznam, se kterým se v šedé zóně obchoduje jako s každou jinou komoditou, nicméně ke skutečnému zneužití vůbec nemusí dojít, protože vyžaduje sofistikovanější způsob a lepší krytí ideálně s bílým koněm.

Internetové vábničky

Ačkoliv Bitglass zkoumal aktivitu záškodníků docela netradičním způsobem, princip všemožných vábniček, které mají monitorovat aktivitu kyberscény, existuje celá řada. Zpravidla se jedná o servery, které mají zdánlivě chabé zabezpečení a monitorují roboty, kteří se k nim pokoušejí připojit třeba skrze SSH, telnet či nějaký jiný protokol.

Klepněte pro větší obrázek
Mapa útoků na honeypoty Norse

Jelikož mohou roboti operovat ohromnou rychlostí, často procházejí celý rozsah IP adres, a tak dříve či později narazí i na některou z podobných vábniček – honeypot.  Autoři jednoho z nich dokonce spustili dynamickou mapu, která zobrazuje poslední útoky prakticky v reálném čase, a dává tak hrubou představu, jak je ten svět útočících robotů neskutečně dynamický-

Není se čemu divit, útočníkem jsou totiž v tomto případě často zavirované počítače, které se pokoušejí připojit k IP adresám na příkaz operátora botnetu, kterého jsou součástí. A pokud má takový botnet třeba tisíce podobných strojů, jedná se o ohromné množství komunikace.

SSH honeypot na Turrisu

Komunikace robota je zpravidla docela primitivní – vlastně se jen pokouší spustit sadu několika málo příkazů, a proto lze jeho aktivitu snadno analyzovat. Přesvědčit se o tom mohou třeba majitelé experimentálního routeru Turris, který umožňuje snadnou aktivaci SSH honeypotu, který bude poslouchat na standardním portu 22.

Klepněte pro větší obrázek Klepněte pro větší obrázek
SSH honeypot na routeru Turris od CZ.NIC

Jelikož takový honeypot příjme jakoukoliv kombinaci přihlašovacího jména a hesla, vpustí útočníka okamžitě dovnitř a nabídne mu linuxový terminál. V tu chvíli už ale není útočník ve vaší síťové krabičce, protože jej router tajně přesměroval na server CZ.NIC. Váš Turris a jeho vlastní operační systém je tedy bezpečně mimo hru a posloužil jen jako vstupní vábnička.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Přístupy na můj honeypot za jediný měsíc a záznam jednoho útoku a Íránu

Pokud je honeypot opravdu věrohodný, umožní útočníkovi provést téměř libovolný příkaz, přičemž všechny neustále zaznamenává. Ostatně i mě se už stalo, že jsem se ke svému Turrisu přihlásil skrze SSH na portu 22, aniž bych si uvědomil, že mám aktivní honeypot. Teprve po čtvrthodince konfigurace webového serveru jsem si uvědomil, že jsem jej nenainstaloval na svůj router, ale že celou dobu komunikuji s falešnou vábničkou kdesi v Praze.

Klepněte pro větší obrázek
Mapa znázorňující původ útoků na všechny routery Turris (spojení, která zakázal firewall na routeru). Více globálních statistik z projektu Turris najdete zde.

Aktivita robotických záškodníků v každém případě ukazuje, že na maximální zabezpečení je třeba dbát i v případě své vlastní domácí sítě. IPv4 adres totiž zase není tolik, aby se vás čas od času skutečně nepokusil někdo navštívit.

Témata článku: Web, Internet, Bezpečnost, Heslo, Telnet, Kali, Madison, Ashley Madison, Dark, Playstation Network

19 komentářů

Nejnovější komentáře

  • shadow_warior 26. 2. 2016 11:06:07
    na verejne ssh ktere bere libovolne heslo se prihlasi jen fakt stupidni...
  • xlnc 25. 2. 2016 2:39:55
    Fiktivní web banky? Jako jinak neexistující banky? No ukažte mi vo.a,...
  • BonzujícíLukas 25. 2. 2016 0:16:30
    Jak předělat Turris, aby z majitelů nedělal děvku CZ.nic?
reklama
Určitě si přečtěte

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

Facebook o nás ví vše. Díky dobře skrytému vyhledávači se to dozví i ostatní

** Facebook o nás ví vše, protože mu to sami řekneme ** V jeho nitru se skrývá mocný vyhledávač ** Mohou jej zneužít stalkeři, sociální inženýři a další nezbedníci

16.  2.  2017 | Jakub Čížek | 76

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

Vybíráte herní periferii nebo hardware? Pak zapomeňte na nálepku Gaming

** Herní hardware se od toho běžného často liší jen vzhledem ** Při výběru stále nezapomínejte na základní parametry ** Poradíme jak vybrat herní hardware i periferie

20.  2.  2017 | Stanislav Janů | 35

10 nejhorších produktů v historii Microsoftu

10 nejhorších produktů v historii Microsoftu

20.  2.  2017 | Karel Javůrek | 128

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

Pojďme programovat elektroniku: Žádný bastlíř se neobejde bez armády švábů

** Každý bastlíř se po čase neobjede bez armády švábů ** Dnes si některé z nich vyzkoušíme ** Třeba zázračný posuvný registr

19.  2.  2017 | Jakub Čížek | 39


Aktuální číslo časopisu Computer

Stavba 3D tiskárny

Výbava domácí elektrodílničky

Budoucnost 5G sítí

Velké testy microSD karet a vodních chladičů

Přehled mobilních tarifů

reklama
reklama