FBI pod útokem. Hacker ukradl tisíce kontaktů na stážistky i speciální agenty

  • Premiér Sobotka není jedinou obětí sociálního hackingu
  • Podobnou techniku použil i jistý hacker za oceánem
  • Zveřejnil desetitisíce kontaktů na zaměstnance FBI

Premiér Sobotka se na přelomu roku stal obětí několika kybernetických útoků. První směřoval na jeho twitterový účet a druhý pak na soukromý e-mail od Seznamu. Přestože nakonec vyšlo najevo, že se nejspíše nejednalo o žádný technicky sofistikovaný hacking, ale ten znalostní, kdy se pokouší útočník zjistit o své oběti co nejvíce docela běžných informací a pak je zneužije třeba při obnově hesla odpovědí na nějakou relativně banální otázku.

Ačkoliv se zde samozřejmě nabízí doporučení, aby se Sobotka už jen kvůli svému exekutivnímu postavení lépe zabezpečil i na internetových službách třetích stran, které neprovozuje přímo Úřad vlády, faktem zůstává, že sociální hacking je čas od času poměrně úspěšný i při útocích na ty nejvyšší federální instituce v USA.

Penis útočí

V předvečer Dne bezpečnějšího internetu to v plné nahotě ukázal jistý penis, jak sám sebe na Twitteru označil prozatím neznámý propalestinský útočník, který ve stručném tweetu tvrdí, že získal kontaktní údaje o 20 000 zaměstnanců FBI, přičemž jejich seznam umístil na službu Cryptobin.

Klepněte pro větší obrázek

O svém záměru přitom informoval veřejnost už o víkendu, a aby dal svým slovům dostatek věrohodnosti, část databáze poskytl redakci Motherboardu, která vybraná telefonní čísla vyzkoušela v praxi a skutečně se dovolala jak konkrétním analytikům FBI, tak na ústřednu federálního úřadu.

Součástí seznamu přitom nejsou pouze jména zaměstnanců a jejich telefonní čísla, ale také zařazení v rámci úřadu, přičemž se nejednalo jen o běžný civil, ale i operativce a speciální agenty.

Adresář FBI poté útočník doplnil ještě seznamy dalších agentur – především několika tisíci kontakty na zaměstnance ministerstva pro vnitřní bezpečnost (DHS – Department of Homeland Security).

Opravdu to bylo tak jednoduché?

Zdaleka nejbizarnější je ale to, jak útočník vlastně přišel k databázi kontaktů. Pokud se leckdo pousmál nad chabým zabezpečením účtů premiéra Sobotky, měl by se mu okamžitě omluvit, standardy ve federálních institucích USA jsou totiž očividně úplně někde jinde, než na co jsme zvyklí z hollywoodských špionážních thrillerů.

Útočník nejprve ovládl elektronickou schránku jistého zaměstnance ministerstva spravedlnosti. Podrobnosti nesdělil, nabízí se ale hromada způsobů od tvrdého hackingu po nejrůznější formy toho sociálního.

Klepněte pro větší obrázek
Seznam interních zaměstnanců i smluvních pracovníků. Motherboard namátkově a pomocí telefonního hovoru ověřil, že se nejedná o smyšlené údaje.

Jakmile měl přístup k poštovní schránce, pokusil se přihlásit do informačního systému ministerstva, nicméně neznal heslo, a tak zatelefonoval na patřičné oddělení a podpoře vysvětlil, že je nový zaměstnanec, který potřebuje poradit s přihlášením. Nakonec získal generické heslo a dostal se do nitra federální instituce, aniž by jakkoliv věrohodně ověřil svoji totožnost.

Podle svých slov publikovaných na Motherboardu se poté mohl přihlásit k účtu oběti a jejímu terminálu. Útočník postupně stáhl na 200 GB dat a nakonec ze systému vydoloval i onen seznam pracovníků FBI a některých dalších organizací spřízněných s DOJ (Department of Justice).

Jelikož Motherboard ověřil, že přinejmenším některé kontakty na seznamu odpovídají skutečným analytikům, zdá se, že i zbytek příběhu bude pravdivý. Pokud tomu tak skutečně je, americká instituce systémově selhala hned v několika krocích a je náchylnější k sociálnímu hackingu, než by si leckdo pomyslel.

Erotika na webu PSP.cz

Sobotka se na přelomu roku stal obětí sociálního hackingu, možná si ale vzpomenete i na případ opravdového šlendriánství z roku 2012, kdy se na webu Poslanecké sněmovny objevil obsah, který bychom spíše čekali na některé z pornografických a warezových stránek na internetu.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek
Díky špatnému zabezpečení se na webu PSP.cz před pár lety objevila adresářová sktruktura některého z adminů. Pokud by se nejednalo o stránky zákonodárného sboru, bylo by to snad i legrační.

Zadáním konkrétní adresy se tehdy zobrazila složka s interními daty některého ze správců serveru psp.cz, který si ze sněmovny udělal své vlastní soukromé FTPko. Jelikož byly adresáře několik hodin volně přístupné a vedle pornografického obsahu a wearezu obsahovaly i interní zdrojové kódy a SQL dumpy databází, každý si mohl nastudovat, jak vlastně web psp.cz funguje, a využít toho při nějakém pozdějším útoku.

Ačkoliv se nakonec nic vážného nestalo, alarmující amatérismus na serveru zákonodárného sněmu otevírá otázku, jak jsou na tom asi weby a interní informační systémy dalších tuzemských institucí.

Nelze tedy než doufat, že pomalu končící Den bezpečnějšího internetu bude vzdělávací inspirací nejen pro děti a školy, kterým je primárně určený, ale i pro oddělení IT amerických DOJ, FBI ovšem i českých institucí.

Diskuze (17) Další článek: Google přestane používat Flash pro reklamy v roce 2017, přejde na HTML5

Témata článku: Web, Bezpečnost, FBI, Americká instituce, Thriller, Úřad vlády, Justice, Stáž, Oběť, Federální instituce, Soukromý e-mail, Dump, Vnitřní bezpečnost, Homeland, Telefonní hovor, Agent, Kontakt, Interní zdroj, Twitterový účet, Tisíc, Sobotka, Nový zaměstnanec, Federální úřad, Kontaktní údaje, Speciál


Určitě si přečtěte

USB-C už mělo být všude, ale není. Tak kde to vázne?

USB-C už mělo být všude, ale není. Tak kde to vázne?

** Konektor USB-C byl představen už před čtyřmi roky ** Praktické univesrzální rozhraní však stále není rozšířeno ** Výrobcům hardwaru se do změny moc nechce

David Polesný, Vladislav Kluska | 87

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28

Intel vs. AMD: souboj vícejádrových procesorů začal. AMD zesměšňuje Intel neuvěřitelně nízkou cenou

Intel vs. AMD: souboj vícejádrových procesorů začal. AMD zesměšňuje Intel neuvěřitelně nízkou cenou

** AMD představilo nové levné procesory až s 32jádry ** AMD útočí na serverový i domácí trh Intelu ** Intel nemá konkurenceschopnou nabídku

Karel Javůrek | 84

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

** Alternativní DNS servery mohou zpříjemnit surfování na internetu ** Existuje několik ověřených alternativ, nejen známé DNS od Googlu ** Alternativní DNS však mají i své nevýhody, pozor na ně

Petr Březina | 31

Nová zbraň proti hackerům: obrovské množství chyb v softwaru

Nová zbraň proti hackerům: obrovské množství chyb v softwaru

** Vědci vymysleli nový systém obrany proti hackerům ** Pomocí speciálního systému implementují do softwaru spoustu chyb ** Tyto chyby nejsou zneužitelné, což útočník zjistí až po čase

Karel Javůrek | 25

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 142


Aktuální číslo časopisu Computer

Jak mobily určují svoji polohu?

Velký test notebooků pro studenty

Nejlepší reproduktory na párty

Služby a aplikace pro výuku angličtiny