Znalostní hacking: Jak jsem se prolomil do svého Gmailu

Poslední dny rozvířila klidnou hladinu letního kybersvěta aféra s ukradeným účtem novináře z magazínu Gizmodo. Vyzkoušel jsem něco podobného se svým Google účtem.
Znalostní hacking: Jak jsem se prolomil do svého Gmailu

Jak dobře zabezpečená je naše internetová identita? Mat Honan z webu Gizmodo se před pár dny na vlastní kůži přesvědčil, že zabezpečení má stále své limity, přišel totiž v podstatě úplně o všechno včetně svých dat na iPhonu a MacBooku.

Přišel o všechno, aniž by útočník znal heslo

Na Mata zaútočil hacker, který ovšem nepoužil ani jednu z tradičních technik odhalování hesla – on se to heslo totiž ani nikdy nedozvěděl. Namísto toho použil elementárních znalostí k tomu, aby přesvědčil Apple, že je Honan. Potřeboval k tomu znát jeho bydliště, e-mail a pak také čtyři poslední čísla z kreditní karty. Tyto informace mu otevřely vrátka do jablečného e-mailu, který zároveň sloužil jako záložní pošta pro resetování účtu na dalších službách včetně Gmailu.

A kde útočník získal část kreditní karty? K tomu mu pomohl zase Amazon, kterého přesvědčil, že je Honan, protože ví, kde bydlí, jaký má e-mail a že by rád k účtu připojil novou kreditní kartu. Stalo se a útočník krátce na to Amazon znovu požádal tentokrát o přístup k účtu. Zná přece e-mail, poštovní adresu a také čtyři čísla z kreditní karty – teď už samozřejmě z té další. Amazon jej na základě těchto nezvratných důkazů identity vpustil na účet a útočník se konečně dozvěděl čtyřčíslí původní karty, která byla svázaná s jablečným účtem. Voalá! Mise dokončena.

Pokud se v tom ztrácíte, doporučuji k přečtení původní hutné čtení na Wiredu.

Útok na vlastní Gmail s pomocí „znalostního hackingu“

No dobrá, takže takto to funguje na Amazonu a Applu jenže co ostatní? Mě zajímal především Google. Vžil jsem se na chvíli do role útočníka a navštívil formulář pro obnovení hesla Gmailu na této adrese.

V takovém případě máte na výběr z několika možností. Pokud nepoužíváte dvoufázové ověření (o tom později), Google vám nabídne, že ověří vaši identitu zasláním SMS, případně použitím záložního e-mailu, kam zašle odkaz k resetování hesla.

reset hesla.png
Pokud zapomenete heslo, můžete jej obnovit přes telefon, sekundární e-mail a také pomocí nenápadného fomruláře v zápatí

Jenže tím to nekončí. Pamatuje totiž také na ty případy, kdy nemůžete identitu ověřit ani pomocí telefonu, ani pomocí záložního e-mailu. Dole pod formulářem najdete drobným písmem odkaz na dotazník s názvem Ověřte svou identitu.

A tady začíná legrace. Dotazník se případ od případu kosmeticky liší, v podstatě vám ale předloží v několika krocích hromadu kontrolních otázek. Bude se ptát třeba na to, s kým často na Gmailu komunikujete, kdy jste si založili GTalk a odkdy používáte Android. Jsou to všechno údaje, které Google získal za poslední roky a předpokládá, že je znáte pouze vy.

kontrolni formular.png
Vyplňte libovolný e-mail a pokuste se správně odpovědět na co nejvíce následujících otázek. Pokud osobu znáte, rozhodně to není nemožné...

Chtěl jsem si to ověřit a začal jsem dotazník vyplňovat tak, jak by ho mohl vyplnit skoro každý, kdo mě alespoň trochu zná. Odkdy používám Android? Sám to nevím, podíval jsem se ale na svůj starý blog Windroid na Mobilmanii a na datum prvního článku. Ten údaj je samozřejmě špatný, ale co už – je to prostě údaj, který si může najít každý.

Pak se mě Google zeptal, s kým často komunikuji. Upřímně, sám to nevím, ale opět optikou někoho cizího jsem začal vyplňovat pracovní adresy svých kolegů, tedy údaje dostupné v tiráži. Google se mě ptal také na to, jak se jmenují moje štítky v Gmailu a zde jsem si už skutečně vymýšlel, z hlavy to totiž nevím ani já.

mobil 1.png  mobil 2.png
Tyto informace neznám ani jako skutečný majitel, vyplňoval jsem je tedy náhodně. Stejně tak jsem si vymyslel štítky v Gmailu, mám tam totiž úplně jiné.

Jen podotknu, že jsem dotazník vyplňoval na telefonu kolegy, nemohlo tedy dojít k nějaké identifikaci na základě sušenky Cookies v prohlížeči apod. Jedinou identifikační shodou byla stejná síť Wi-Fi a veřejná IP adresa. Jenže to je situace společná prakticky pro všechna pracoviště za NATem, školy aj. Když už bych tedy nesimuloval nějakého záškodníka z širého internetu, rozhodně by to platilo třeba o kolegovi ve velké firmě, který se mi chce pomstít. A co teprve taková bývalá zhrzená partnerka, která by toho o mě věděla ještě více?

Když jsem dotazník konečně dokončil a zažádal o zaslání resetovacího odkazu na cizí e-mail (anonymně vytvořený na Seznamu), za pár minut mi skutečně dorazil a já jen nevěřícně koukal, protože jsem v dotazníku nasekal větší než malé množství chyb. Takže pozor, rozhodně nemusíte odpovědět na vše správně. Google odpovědi váží a některé jsou očividně důležitější než jiné.

reset hesla uspech.png
A je hotovo. Na e-mail, který jsem vytvořil krátce před experimentem, dorazil odkaz k resetování hesla na Gmailu. Vystačil jsem si se znalostmi, které zná každý můj kolega v práci... Naštěstí zde máme dobré vztahy.

Pouze náhoda?

Podobný reset se mi pak podařilo opět zopakovat, nicméně při pokusu takto znalostně hacknout účet kolegy Davida Polesného jsem zatím neuspěl. Píšu zatím, Google totiž doposud mlčí a dle nápovědy má na analýzu identity tři až pět dnů. Vzhledem k tomu, že jsem z jedné IP adresy žádal o reset hromady hesel, bych se ale ani nedivil, kdybych dostal nějaký ban.

Možná to byla jen náhoda, možná se mi to už nikdy nepodaří, faktem ale zůstává, že kdyby takto včera autentizační dotazník vyplňoval namísto mě někdo jiný, možná bych dnes už také byl bez Gmailu, bez PayPalu a hromady dalších služeb.

To všechno by získal, aniž by potřeboval znát mé sebedokonalejší heslo s dvanácti speciálními znaky. Pouze by si dal domácí úkol zjistit co nejvíce o Čížkovi, což vzhledem k mé profesi není zase tak složitá záležitost. Ohroženi jsou tedy už z principu vždy novináři, veřejně činné osoby a další pochybná individua.

Co s tím?

No dobrá, ale co teď s tím? Pokud se vám něco podobného podaří, pochopitelně trošku znejistíte. Osobně bych nejvíce uvítal dvě možnosti. Tou první je volba v konfiguraci účtu, aby mi Google jednoduše podobný dotazník nenabízel. Pokud zapomenu své heslo, pokud ztratím autorizovaný telefon a nedostanu se ani na některý z dalších autorizovaných e-mailů, tak mám prostě smůlu a tečka. Těch záchranných možností je opravdu hromada a behaviorální dotazník je prostě potenciální bezpečnostní díra.

Anebo ještě jedna možnost. Když projdete podobným dotazníkem až do konce, Google vám pošle bezpečnostní zprávu, že si chcete resetovat heslo. Jenže když vás takto někdo začne hackovat ve tři ráno, tak vám to asi bude k ničemu, protože si toho nevšimnete a především bude příliš pozdě. Než se nadějete, útočník změní heslo a zvesela u vás bude úřadovat.

Nebylo by tedy na škodu, kdyby v takových případech Google naopak posílal SMS a to už ve chvíli, kdy někdo vůbec začne podobný dotazník vyplňovat. Pak byste mohli zavčas obnovu hesla zablokovat a útočník by měl smůlu. Jenže co když to za hodinku bude zkoušet znovu? Ne, uživatel by prostě měl mít možnost podobný dotazník při vší zodpovědnosti zablokovat a tečka – jakýkoliv protiargument je chabý.

Dvoufázové ověření: Jako v bance

Už od loňského roku nabízí Google k účtu takzvané dvoufázové ověření. Je to opravdu velmi silné zabezpečení, protože k přihlášení na účet už nebude stačit pouhé heslo. Když ho tedy někdo zjistí, bude mít stejně smůlu. Tedy pokud nepoužíváte jedno heslo na celém širém internetu.

prihlaseni.png  prihlaseni overeni.png  aplikace v mobilu.png
Dvoufázové přihlášení v praxi: zadáte běžné heslo, pak speciální PIN, který vám dorazí jako SMS, nebo si ho vygenerujete v aplikaci pro Android, iOS a BlackBerry

Pakliže funkci aktivujete v nastavení zabezpečení svého Googlu účtu, napříště se budete přihlašovat pomocí zadání e-mailu, hesla a také speciálního PINu, který vám dojde na spárovaný telefon ve formě SMS. V případě Androidu, iPhonu a BlackBerry můžete použít také aplikaci přímo v telefonu, která bude generovat PINy i bez přístupu k mobilní síti. Pokud se tedy někdo dozví vaše heslo, bude mu k ničemu. Musí jednoduše ukrást i váš telefon.

Může se samozřejmě stát, že nebudete mít po ruce ani telefon, dvoufázová autentizace tedy ještě nabízí vygenerování speciálních záložních kódů na jedno použití. Když si je vytisknete, můžete je použít namísto PINu a systém vás pak vpustí dovnitř. Když vám dojdou, vygenerujete si další.

dvoufazove overeni.png dvoufazove overeni.png
Nastavení dvoufázového ověření a také speciální záložní kódy na jedno použití

Bezpečné... Ale složité

Zní to velmi zajímavě, má to ale i své mouchy. Ačkoliv si s tímto zabezpečením Google pohrává už déle než rok, mnoho jeho aplikací na tento systém stále není připraveno, protože dialog pro zadání PINu se zobrazuje pouze ve webovém prohlížeči. Komplikace nastanou jak na Androidu včetně nejnovější verze, tak na desktopovém klientu pro GTalk a při synchronizaci Chromu. A pak to samozřejmě platí také o hromadě aplikací třetích stran.

Když dvoufázové ověření aktivujete, desktopový GTalk se vás prostě nezeptá na PIN, protože to neumí. Bude si myslet, že zadáváte špatné heslo. Stejně se zachová i Android, který budete chtít spárovat se svým Google účtem.

gtalk chyba.png  hesla aplikaci.png  heslo gtalk.png
Mnohé aplikace si s dvoustupňovou autorizací neporadí, musíte jim tedy v nastavení vytvořit speciální alternativní heslo

Pro tyto případy musíte v administraci účtu vytvořit pro tyto aplikace ručně nová hesla. Je to krapet složité, neergonomické a nedokážu si dost dobře představit, že by takto komplikovaný postup pochopil člověk, který si chce jen přečíst poštu a s počítači se moc nekamarádí. Jednoduše to není žádný übergeek.

Důvěryhodný počítač neobtěžuje

Dvoufázové ověřování rozhodně zvyšuje zabezpečení. Tu a tam vám pod nohy hodí nějaký nepříjemný klacek, na druhou stranu si ale můžete třeba domácí počítač nastavit jako důvěryhodný a na něm pak fungovat jako doposud. Tedy žádné PINy, jen se vás Google čas od času znovu zeptá na heslo. Jenže to dělá z bezpečnostních důvodů už dnes.

Nezničitelný dotazník

Teď bych mohl celý dnešní příběh zakončit jednoduše tak, že jsem definitivně našel řešení svého problému a dvoufázové ověření vše vyřešilo. Jenže tak tomu bohužel není. Představte si třeba situaci, kdy se chcete přihlásit k účtu, ale nemáte u sebe ani mobil, ani vytištěné jednorázové kódy. Nebo co když vám telefon někdo ukradne, přejede ho vlak nebo ho třeba rozšlápne velký a zarostlý pižmoň grónský?

Google pamatuje i na tyto situace, pro jistotu tedy ani u dvoufázového ověření nechybí havarijní přihlášení k účtu skrze sekundární e-mail. No, a když nemáte přístup ani k němu, tak… Chvíle napětí… Ano! Pokud k němu nemáte přístup, tak je tu přeci opět náš starý dobrý dotazník. A tedy opět potenciální bezpečnostní díra.

I kdyby platilo, že se mi podařilo projít čistě náhodou a s pravděpodobností dopadu meteoritu na malého ježka pochodujícího nočním parkem v Kozojedech, stále je to matematické riziko a příliš velké.

dotaznik.png  dotaznik.png  dotaznik.png
Když nebudu moci zadat PIN, vždy se mohu složitě prokousat opět k dotazníku pro reset hesla. Tentokrát po mně chce napsat i telefonní číslo, to zná ovšem mnoho lidí z mého adresáře, rozhodně to není nijak extrémně tajemný údaj. Leda že bych napříště použil speciální SIM kartu pouze pro tento účel. Jenže jak sám Google píše v textu: snažte se být v odpovědích co nejpřesnější (rozuměj: nemusíte být vždy úplně přesní).

Jen připomenu, že se vás v takovém případě Google neptá na otázky, kterým můžete dopředu přidělit složité odpovědi (jméno mazlíčka v dětství → složitá změť znaků, příjmení matky za svobodna → další složitá změť předem určených znaků), ale na informace, které jsou teoreticky zjistitelné. Jaké používám štítky v Gmailu? To ví každý, kdo mi někdy v práci kouknul přes rameno…

Dokonalé zabezpečení neexistuje

Suma sumárum, můj problém zatím nemá řešení a nebude ho mít nejspíše do doby, dokud Google uživatelům neumožní podobný behaviorální dotazník jednoduše zablokovat.

A jak jsou na tom další služby na internetu? Není to zase tak úplně zlé. Všechny v podstatě používají princip Googlu bez dotazníku. Pokud zapomenete heslo na PayPal, můžete si jej nechat zaslat na e-mail, případně vám z PayPalu zavolají na telefon uvedený při registraci. Podobně funguje Seznam a další. Dokonce i Apple běžně nabízí některý z těchto automatů, nicméně jak ukazuje případ Mata Honana, nakonec často existují ještě nějaká zadní vrátka, tedy lokální a povětšinou anglofonní telefonické linky podpory, a je vymalováno.

Má to celé nějaké řešení? Nemá. I když použijete sebelepší zajištění včetně dvoucestné autentizace, nakonec vám někdo telefon prostě ukradne. Ty, kteří se v tom umí pohybovat, nějaký směšný PIN u SIM karty opravdu nezastaví.

Kybersvět má svá rizika a budou stále citelnější. Jenže máte na výběr? Před patnácti lety jste se bez problému obešli bez bankovního účtu. Dnes už na to nejsou firmy povětšinou připravené a drtivá většina plateb včetně mezd probíhá bezhotovostně. Je skoro jisté, že za dalších patnáct let se jednoduše neobejdete ani bez některé z internetových identit. Snad se do té doby dočkáme dramaticky lepších autentizačních metod s využitím nezpochybnitelných biometrických údajů a umělých inteligencí, které bezchybně odhadnou, jestli jste to skutečně vy, kdo hodlá resetovat účet.

V takových chvílích by mi snad nevadil ani nějaký ten skoro až mýtický čip pod kůží, jakkoliv by to byla asi hotová tragédie nejen pro ing. Bendu a jeho vesmírné kolegy. Ale nechci malovat čerta na zeď…


P.S. Uteču z cloudu do bezinternetové jeskyně? Ne, potenciální riziko spolknu a zvesela budu čekat na světlé zítřky doby cloudové – bezpečné.

A snad ještě jedna poznámka. Ačkoliv jsem si dnes pro ukázku vybral Google, podobná riziková místa v procesu resetu hesla najdete i u jiných služeb. Někdo si totiž skutečně jako kontrolní otázku zvolí opravdové jméno mazlíčka, jehož fotky pak veřejně vystaví na blogu a Facebooku i s popisky. V ten okamžik začíná velká hra sociálních inženýrů – hackerů.

Článek patří do rubrik: Google, Web, Bezpečnost

80 komentářů

Diskuze

  • Jiří Bartouš , 5. 8. 2015 13:38:15
    Tak nevím, jestli tenhle článek je k něčemu dobrý, ale jako zajímavost...
  • hektorcze , 28. 7. 2014 19:13:38
    Ahojte, co myslíte, vyplatí se jít na http://www.hacker-academy.cz/ kurz,...
  • Miroslav Čermák , 15. 8. 2012 21:47:55
    Problém je, že správně implementovat systém kontrolních otázek není vůbec...

Určitě si přečtěte


Týden Živě s Mapy.cz: Navigace, výlety, kompletní offline a další chystané novinky

Týden Živě s Mapy.cz: Navigace, výlety, kompletní offline a další chystané novinky

** Mapy.cz chystají mobilní navigaci ** Dočkáme se také lepšího plánování výletů ** A postupně také kompletního offline a dalších specialit

26.  6.  2016 | Jakub Čížek | 57

Česko vs. Slovensko v grafech. Kdo má lepší internet podle obřího Akamai?

Česko vs. Slovensko v grafech. Kdo má lepší internet podle obřího Akamai?

** Průměrná rychlost českého internetu není vůbec špatná ** Podle Akamai patříme ke světové špičce ** Jak vypadá srovnání se sousedním Slovenskem?

Včera | Jakub Čížek | 36


Aktuální číslo časopisu Computer

Testy nejnovějších produktů na českém trhu.

Informace ze světa internetu i bezpečnosti.

Plné verze programů zdarma pro všechny čtenáře.