Specialisté sdíleli ve fóru hackerů heslo od Googlu a sledovali, co se bude dít

  • Inženýři z Bitglass připravili návnadu a sledovali hackery
  • Internet je plný honeypotů, které zaznamenávají útoky
  • Provozuje je i CZ.NIC na routerech Turris

Hackerům se v posledních letech podařilo prolomit ochranu nejedné velké internetové služby. Loni to potkalo třeba kontroverzní seznamku Ashley Madison, před tím ještě mnohem větší Adobe a nesmím zapomenout ani na aféru Sony a její herní sítě Playstation Network z roku 2011.

Jenže co se s těmito uniklými hesly v praxi vlastně děje? Hackeři, kteří chtějí jen slávu, vypustí veškerá data do oběhu, no a ti pragmatičtější je raději prodávají na všemožných fórech dark webu. Jenže co dál? Představte si, že podobným způsobem na veřejnost uniknou přihlašovací údaje k vašemu účtu Googlu. Za jak dlouho se je pokusí někdo zneužít a co všechno bude zkoušet, pokud se mu skutečně podaří přihlásit třeba do vašeho úložiště Drive?

Specialisté vytvořili fiktivní oběť, které někdo ukradl heslo od Googlu

Přesně tuto otázku si položili i bezpečnostní specialisté ze společnosti Bitglass a vytvořili vlastní fiktivní elektronickou oběť – návnadu v podobě funkčního účtu Googlu a úložiště Drive plného klíčových dokumentů, které lákaly k prozkoumání. Identitu uživatele ještě podtrhli platným číslem kreditní banky a dokonce falešným webem banky, ve které měla oběť pracovat. Pak tyto informace vypustili do oběhu v jednom undergroundovém fóru.

Během prvního dne se začali k účtu na Googlu i na stránkách banky připojovat první zvědavci, přičemž ve většině případů používali anonymní Tor často ještě zabezpečený některou z VPN linek. Dohromady se jich nakonec sešly desítky, ovšem zdaleka ne každý začal na účtu okamžitě úřadovat. Soubory z úložiště stahovali jen někteří. A našli se i tací, kteří se pokusili dešifrovat soubory, které Bitglass skryl takovým způsobem, aby šlo poznat, jakým softwarem je vlastně šifroval.

Útočníci zkoušeli heslo na dalších službách

Tím však experiment neskončil, Bitglass totiž pro vyšší důvěryhodnost založil fiktivní oběti účty i na dalších webech a to se stejnou kombinací přihlašovacího jména a hesla. Nebohý bankovní úředník měl tedy i profil na Facebooku a také zmíněný zaměstnanecký profil.

Potvrdilo se, že útočníci zkoušejí stejnou kombinaci loginu a hesla napříč internetem. V rámci tohoto experimentu se o to pokusilo celých 94 % z nich, přičemž se úspěšně přihlásili jak do zaměstnaneckého profil una stránkách fiktivní banky, tak na sociální sítě. Používat napříč internetem jednu kombinaci zabezpečení, je tedy krajně nevhodné.

Na jedno si však útočníci netroufli. Ačkoliv Bitglass zveřejnil i čísla kreditních karet, která byla zcela funkční, zatím je nikdo nezneužil a zle předpokládat, že se pouze dostaly na seznam, se kterým se v šedé zóně obchoduje jako s každou jinou komoditou, nicméně ke skutečnému zneužití vůbec nemusí dojít, protože vyžaduje sofistikovanější způsob a lepší krytí ideálně s bílým koněm.

Internetové vábničky

Ačkoliv Bitglass zkoumal aktivitu záškodníků docela netradičním způsobem, princip všemožných vábniček, které mají monitorovat aktivitu kyberscény, existuje celá řada. Zpravidla se jedná o servery, které mají zdánlivě chabé zabezpečení a monitorují roboty, kteří se k nim pokoušejí připojit třeba skrze SSH, telnet či nějaký jiný protokol.

Klepněte pro větší obrázek
Mapa útoků na honeypoty Norse

Jelikož mohou roboti operovat ohromnou rychlostí, často procházejí celý rozsah IP adres, a tak dříve či později narazí i na některou z podobných vábniček – honeypot.  Autoři jednoho z nich dokonce spustili dynamickou mapu, která zobrazuje poslední útoky prakticky v reálném čase, a dává tak hrubou představu, jak je ten svět útočících robotů neskutečně dynamický-

Není se čemu divit, útočníkem jsou totiž v tomto případě často zavirované počítače, které se pokoušejí připojit k IP adresám na příkaz operátora botnetu, kterého jsou součástí. A pokud má takový botnet třeba tisíce podobných strojů, jedná se o ohromné množství komunikace.

SSH honeypot na Turrisu

Komunikace robota je zpravidla docela primitivní – vlastně se jen pokouší spustit sadu několika málo příkazů, a proto lze jeho aktivitu snadno analyzovat. Přesvědčit se o tom mohou třeba majitelé experimentálního routeru Turris, který umožňuje snadnou aktivaci SSH honeypotu, který bude poslouchat na standardním portu 22.

Klepněte pro větší obrázek Klepněte pro větší obrázek
SSH honeypot na routeru Turris od CZ.NIC

Jelikož takový honeypot příjme jakoukoliv kombinaci přihlašovacího jména a hesla, vpustí útočníka okamžitě dovnitř a nabídne mu linuxový terminál. V tu chvíli už ale není útočník ve vaší síťové krabičce, protože jej router tajně přesměroval na server CZ.NIC. Váš Turris a jeho vlastní operační systém je tedy bezpečně mimo hru a posloužil jen jako vstupní vábnička.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Přístupy na můj honeypot za jediný měsíc a záznam jednoho útoku a Íránu

Pokud je honeypot opravdu věrohodný, umožní útočníkovi provést téměř libovolný příkaz, přičemž všechny neustále zaznamenává. Ostatně i mě se už stalo, že jsem se ke svému Turrisu přihlásil skrze SSH na portu 22, aniž bych si uvědomil, že mám aktivní honeypot. Teprve po čtvrthodince konfigurace webového serveru jsem si uvědomil, že jsem jej nenainstaloval na svůj router, ale že celou dobu komunikuji s falešnou vábničkou kdesi v Praze.

Klepněte pro větší obrázek
Mapa znázorňující původ útoků na všechny routery Turris (spojení, která zakázal firewall na routeru). Více globálních statistik z projektu Turris najdete zde.

Aktivita robotických záškodníků v každém případě ukazuje, že na maximální zabezpečení je třeba dbát i v případě své vlastní domácí sítě. IPv4 adres totiž zase není tolik, aby se vás čas od času skutečně nepokusil někdo navštívit.

Témata článku: Web, Bezpečnost, Internet, Heslo, Telnet

22 komentářů

Nejnovější komentáře

  • shadow_warior 26. 2. 2016 11:06:07
    na verejne ssh ktere bere libovolne heslo se prihlasi jen fakt stupidni...
  • xlnc 25. 2. 2016 2:39:55
    Fiktivní web banky? Jako jinak neexistující banky? No ukažte mi vo.a,...
  • BonzujícíLukas 25. 2. 2016 0:16:30
    Jak předělat Turris, aby z majitelů nedělal děvku CZ.nic?

Určitě si přečtěte


Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

** Vyhledávače jsou natolik dobré, že si poradí i s frází v běžné češtině ** Pokud to ale nebude stačit, můžete vyzkoušet pokročilé funkce ** Vybrali jsme ty nejzajímavější

25.  9.  2016 | Jakub Čížek | 19

9 nejlepších programů na úpravu fotek. Placené i zdarma

9 nejlepších programů na úpravu fotek. Placené i zdarma

** Pro běžné úpravy fotek nemusíte pirátit Photoshop, vystačíte si s levnějšími programy ** Ceny pokročilých editorů se většinou vejdou do dvou tisíc korun ** Mnohdy stačí i bezplatné nástroje

26.  9.  2016 | Stanislav Janů | 49

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

** V systému se mohou periodicky spouštět nechtěné aplikace ** Anebo si vyberou tu nejméně vhodnou chvíli ** Prozkoumejte Plánovač úloh na Windows

23.  9.  2016 | Jakub Čížek | 128

Týden Živě: Zvyknou si Češi platit paušál za software?

Týden Živě: Zvyknou si Češi platit paušál za software?

** Zoner vypustil do světa nové Photo Studio. Je za paušál. ** HP nechce neoficiální inkoust ** Koutek časopisu Computer

25.  9.  2016 | Časopis Computer | 65

Aby byl signál a internet všude: jak fungují a kde jsou schované antény operátorů

Aby byl signál a internet všude: jak fungují a kde jsou schované antény operátorů

** Základnové stanice BTS mobilních operátorů zdaleka nejsou jen typické kovové stožáry ** Podívejte se na některé nevšední instalace ** Dozvíte se, z čeho se moderní BTS skládá a jak funguje

Včera | David Polesný | 18


Aktuální číslo časopisu Computer

Srovnání výhodných 27" monitorů

Velký test levných rychlých routerů

Jak nastavit Android, aby vás nesledoval

45 podrobných testů a recenzí