IDC Security Roadshow 2005: Jak hacknout Eurotel

Je blbe se hadat o tom jestli se ma hackovat pres socialni inzenyrstvi.. nebo pomoci znalosti techniky... Co ja vim tak kdyz se nevloupavate zrovna brachovi na comp tak musite pouzit cokoliv aby jste dostali ty spravne info. Nekdy je dobre delat hlupaka a ukazovat druhemu jak je nedostizny az zneho tu spravnou info vyrazite. Nekdy se holt studujete zamky aby se treba dvere kde je neco zajimaveho daly otevrit. Nekdy se nekde neco ukradne treba servisni manualy. Nekdy nekde nasadite trojana... a td..
Pak by jsme se mohli hadat jestli spravny hacker krade, falsuje... Podle me hacker hleda chybu v systemu a ten system netvori jen pocitace i kdyz jsou cilem.

Už vidím jak někdo tvoří CD ve firemních barvách, obyč.placka popsaná fixem se zajímavým textem, je určitě lepší. Pokud někdo mluví o soc. inženýrství tak mi měl za prvé vědět, že v ČR je málo firem (pokud některá je) co vydává interní CD s firemním potiskem (snad jen výroční zpráva atp.)

Mitnick je v*l jako lampa, protože by po vstupu do budovy ET skončil u recepce...
no, ale nápad je to fakt super, škoda že to takový genius nedomyslel do konce, tj. jak ho skutečně zrealizovat...

Jeste k poznamkam v diskuzi o Eurotelu : A to mi jako kdyz pan Mitnick hackne Eurotel, nebude chodit mobil, nebo co ? Za prvy mam T-Mobile a za druhy, kdyz mi nepujde mobil, tak si zavolam z telefonni budky.

Kdyz je ten pan tak chytrej, tak at zkusi hacknout Temelin. Garantuju, ze se nedostane s tim CDeckem ani do vratnice.

Temelin..?? Proc Temelin, s pristupem ktery predvedl je daleko jednodussi dostat se do site CEZu. Naucte se trochu rozlisovat datove a technologicke site.

"Podle údajů IDC potom české firmy vynakládaly v roce 2003 na bezpečnost 0,72 % IT rozpočtů (17,45 milionu dolarů) ve srovnání s 0,90 % v Západní Evropě nebo 0,49 % v Řecku a 0,76 % v Portugalsku."

Tak by me zajimalo, jestli jsme tak zaostaly, ze vydavame na bezpecnost IT oproti zapadni Evrope tak malo, nebo tam kde je to dulezity mame nasazenej Linux jako u nas ve firme, kterej vyjde levneji a pritom toho zastane vic.

to je úžasný, jak některý lidi dokážou napsat vsuvku o Linuxu kamkoli, i když o něčem takovým nepadlo ani slovo

Včerejší akce jsem se zúčastnil také a tvrdím, že v referátu pana Mitnicka jméno fy Eurotel nepadlo. Dost pochybuji, že by pan Mitnick vůbec znal jméno nějakého místního mobilního operátora - ráno přiletí, odpřednáší a večer odletí domů nebo na další "štaci". Nevím, co si autor článku s panem Mitnickem říkali někdy o přestávkách, příležitostí bylo hodně, ale spíš autor zneužil jméno známé firmy k zaujetí čtenářů. Být Eurotelem, nenechal bych si to líbit.
Co se týká diskuse o tom, jestli je pan Mitnick "hacker" nebo ne. Z hlediska čistě technologického dnes určitě ne, nemá to zapotřebí. Je ale popularizátorem myšlenek obsahujících hlubokou pravdu - pravdu, kterou nadšenec oslněný počítačovými technologiemi nechce slyšet. Nejslabším článkem všech bezpečnostních opatření je člověk - člověk důvěřivý, nepoučený, snadno manipulovatelný. V jiné přednášce včerejší akce zazněl velmi zajímavý údaj přesně v duchu Mitnickova "evangelia": v Anglii zkoušeli ptát se dam u okýnek prodeje jízdenek na jejich heslo do počítače - zaobaleno nějakou legendou a za odměnu rozdávali tabulku čokolády. A? 79% dotázaných jim to heslo prozradilo! Tak na co schovávat data za složité technologické bariéry, když se vždy najde někdo, kdo má k datům oprávněný přístup a kdo data prozradí - za peníze, z blbosti, jako mstu ... To je podstata přednášek a knih pana Mitnicka, a je úplně jedno, jestli se v minulosti do něčeho naboural nebo ne.
Říkáte si, že to by musel být člověk úplný blbec.... Tak schválně: hádejte, kolik služebních aut, v nichž se střídají řidiči, má v zásuvce palubní desky složku se "staskou", potřebnými doklady, kartou CCS a.... papírkem s PINem k té kartě! Nebo je ten PIN napsaný na deskách deníku jízd. Vsaďte se, že 95 %.
 

Mno mám pocit že na peprné nadpisy článků na živě už sme si zvykly. :))))

Jasne ze jste si zvykly ...holky

jmeno firmy eurotel padlo pri setkani pana Mitnicka s novinari a predstavte si, opravdu jmeno Eurotelu znal, dokonce ho vyslovoval cesky, ne jako "jurotel"

No, možná je to moula, ale prosadit se umí výborně a to je na tom to důležitý. Zdá se mi, že tady z někoho hovoří závist.

No já jsem dělal na systémech pro centrály dvou českých bank a kdybych tam po chodbách poházel nějaká CD tak by mi to bylo prd platný, k datům o účtech bych se nedostal, protože PC uživatelů byla bez CD a FDD mechanik, protože všechny instalace se provádějí před zapojením PC do sítě nebo až po síti. Uživatelé nemohli spustit žádný soubor, pokud jim k dané aplikaci nebyla nastavena práva pro spuštění. Pokud potřebovali novou aplikaci museli si požádat o její instalaci, sami na to neměli žádná práva. Jednotlivé části systémů jsou  odděleny podle citlivosti dat v nich obsažených. Jediné čeho bych dosáhl by bylo, že si to nějací zaměstnanci vezmou domu a nabourám jejich domácí počítač a budu se moci kochat na tím jaké hry si hrajou jejich dětičky. A vzhledem k velikosti ET a jejich finančním možnostem na zajištění svých systémů, tomu u nich nebude jinak stejně jako u mnoha dalších společností.

A co tak potřebná data poslat z firmy jako obyčejný mail?

Někdo tomu říká sociální inženýrství, někdo hacking :) já tomu říkám normální podvody
Tanhle člověk by něco opravdu zabezpečenýho nehacknul ani ve snu

fajn, a co toto?
pujdu se nechat zamestnat jako uklizec do firmy co uklizi nekde .... a pripojim vecer na klavesnici tu vychytavku se zachytavanim hesel.. pak si ji odnesu..
 
co vy na to pani borci? nevim jestli je to hacking ale bude to hodne ucinny...

Hmm, ale cipovku s tim tezko sejmes O biometrii ani nemluve

to ne, ale dostanu celou jeho komunikaci, jmena, pripadne jestli zadava nekam web hesla atd......

Tak tomu rikam taky slusny..Asi necham proverit firmu ktera nam uklizece serveroven outsourcuje ¨
P.K.

ne, tohle opravdu neni hacking, najdi si definici hackingu

LOL :)

Mitnick je fakt borec. Ne pro to, co driv delal (protoze zname jineho lepsiho Kevina:) ) ale protoze se dokaze fakt krasne prodavat. Mel jsem jeho knizku - "Umeni klavu" v ruce na dost dlouho, abych zjistil, ze jsou to fakt hezky plky, ktery se prodaj jen diky tomu, ze je oznacovan za hackera .

Mě by zajímalo jak je to s tím, když si někdo vezme takto bez uvážení jméno nějaké společnosti do úst? V článku prezentovaný způsob "hackingu" je naprosto obecný a lepší by určitě bylo říci "Jak hacknout jakoukoliv firmu". Když jsem četl nadpis, předpokládal jsem, že se v článku dozvím jak to má Eurotel děravé..., ale samozřejmě nic. No moc by se mi nelíbilo, aby někdo spojoval jméno mé firmy s takovýmto článkem a navíc s tímto nadpisem...

na zive uz maji nejaky ten patek, jak se tady jiz mnohokrat opakovalo, bulvarizator nadpisu (zadny shareware, plnou verzi ) a ta dokaze i z bezneho nadpisu udelat megaturbo bulvarni nadpis

S tím souhlasím. Jak hacknout Eurotel je nadpis ze bych me jny nenapadl. . Co takhle uvedené CD s emblemem Bílého domu a nápisem "Personal Salary 2005". Kde ho polozit to uz necham na Mitnikovi.

Je potreba rozlisovat socialni inzenyrstvi, hacking a cracking. A take se seznamit se zakladni filozofii techto cinnosti. Pak by se teprve mely psat clanky. ....fakt miluju tyhlety "novinare"
ad Mitnick,  hyckany medii, komunite pro smich.

V prvé řadě by se nikam uvnitř budovy nedostal, resp. bylo by to hodně obtížné. Dále by se možná dostal na sdílenou síť a viděl by interní e-mail, ale nedostal by se k informacím a provozním systémum uvnitř Eurotelu a vubec již k informacím o zákaznících.

to si jenom myslis, ze by se nedostal, neveril bys jak je vetsina useru ve firmach naivnich ci neinformovanych...

Ten trojský kůň by mu nezafungoval tak, jak asi chce. Především bezpečáci ET nejsou naivní, a nedoufají, že běžný user na svém pc je vycvičený a ostřílený uživatel. Čili jinak řečeno, co není výslovně dovoleno, je zakázáno. Takový trojský kůň by asi mnoho neudělal. Ale to podstrčení CD si umím představit, jde asi především o t socíální inženýrství, a ta myšlenka se mi fakt hodně líbí. Asi jde o to ukázat jaké jsou možnosti, ne zda mu to opravdu vyjde na poprvé a pod. Je fakt, že budete-li mít sebevědomí a splynete s davem, máte šanci.
Mě by třeba zajímaly obchodní budovy, např. CITY EMPIRIA v Praze, jestli když se tam někde pěkně zakousnu do linky, bych třeba něco zajímavého nenašel ;) Tu linku můžu mít klidně z kanceláře mého známého...

"...Čili jinak řečeno, co není výslovně dovoleno, je zakázáno. Takový trojský kůň by asi mnoho neudělal..."
Záleží na typu bezpečnostní politiky. Neplatí vždy a všude - pouze u "opatrné BP", založené na povinném řízení přístupu (BP rozhoduje nezávisle na vůli uživatele o přístupu k jednotlivým objektům) - viz model Bell-LaPadula (definuje uspořádání, zavádí klasifikaci objektů a subjektů, zajišťuje důvěrnost) - a právě zde je riziko trojského koně (viz bod 1). Existují 2 základní podmínky v tomto modelu:
1. Subjekty (uživatelé, procesy) nesmí číst data vyšší úrovně (ss-property) -  pokud vytvoříš objekt vyšší úrovně (což můžeš), který bude trojským koněm, potom můžeš číst data vyšší úrovně
2. Subjekty nesmí zapisovat do nižší úrovně (* property) - pouze pro nedůvěryhodné subjekty.
Z toho, co jsi napsal, zřejmě plyne, že nemáš příliš velké povědomí o bezpečnosti v IS.

"...Čili jinak řečeno, co není výslovně dovoleno, je zakázáno. Takový trojský kůň by asi mnoho neudělal..."
Záleží na typu bezpečnostní politiky. Neplatí vždy a všude - pouze u "opatrné BP", založené na povinném řízení přístupu (BP rozhoduje nezávisle na vůli uživatele o přístupu k jednotlivým objektům) - viz model Bell-LaPadula (definuje uspořádání, zavádí klasifikaci objektů a subjektů, zajišťuje důvěrnost) - a právě zde je riziko trojského koně (viz bod 1). Existují 2 základní podmínky v tomto modelu:
1. Subjekty (uživatelé, procesy) nesmí číst data vyšší úrovně (ss-property) -  pokud vytvoříš objekt vyšší úrovně (což můžeš), který bude trojským koněm, potom můžeš číst data vyšší úrovně
2. Subjekty nesmí zapisovat do nižší úrovně (* property) - pouze pro nedůvěryhodné subjekty.
Z toho, co jsi napsal, zřejmě plyne, že nemáš příliš velké povědomí o bezpečnosti v IS.

Precti si ten clanek znovu, mozna pochopis o co slo...

zmineny blbecek mitnick by se v eurotelu nedostal dal nez je 20 metru ke vstupni brane. Mitnik provadi hacking -to ano. Ncmene jedna se o hacking novinaru, kdy se jim je schopen vetrit na zaklade svych udajnych "znalosti". Tam je uspesny. Informace pro novinare pisici tyto zvasty - mitnick byl zavreny za zneuzivani telefonniho systemu + akce typu, kdy odpojil napajaci stanici retranslacni stanice, prez kterou jista TV prenasela porad o "hackingu -nebo tehdy spis o phreakingu". Pak nad touto "akci" spolecne onanovali na 2600.org atd... Mitnick nesaha lidem, kteri v 90 letech u nas delali telef. karty, ani po kotniky. Je to nouma

protoze 99 procent lidi s komputerama jsou "ohanbisti" jako ty, tak to prave funguje i neznalkum typu mitnicka.. udelal sem si pokus... na sitovy disk spolecny pro vsechna oddeleni jsem dal soubor nazvany mzdy-2004.xls - byl ve vypisu asi 200 souboru.. behem 20 minut mi to 5x zahlasilo spusteni...
 
ma pravdu a ty si "hacker onan.." proc to delat slozite kdyz to jde jednoduse?

Samotne XLS je zcela neskodne bez povoleni maker... dale spousta antiviru uz i tahle makra proveruje, potom je tu ten trojan.... takovej trojan by byl bud po restartu neskodnej, protoze by se jiz nespustil (pokud by dotycny zjistil ze to neni to co si clovek mysli a nebo by se musel nekam nacpat aby se spoustel pri startu (kazdej lepsi AntiSpyware tohle nahlasi a utok je prozrazen).
Predvedene utoky v clanku sice funguji.... nicmene je to hackovani internetoveho uzivatele a ne serveru... jinak se na chodbach Eurotelu bezne povaluji CD s vnitrnima informacema ze? :))
Pres MIM se da vykrast informace i ze serveru s SSL.... jenze to nehackujete server ale klienta... je to podobne jako kdyz si stoupnu za cloveka u bankomatu a opisu si jeho pin... Vyzral sem snad nad bankomatem? Jiste retez je tak silny jako je silne nejslabsi ocko, ale pokud uzivatel neni lama, tak si muze hacker nehat zajit chut s takovejmahle trapnejma pokusama....

Jenomže uživatelé převážně JSOU lamy, a překvapivě často zabere právě něco jednoduchýho - nečetls o tom, jak se Feynman dostával do trezorů v Los Alamos? To je dost podobný.

to zni zajimave, kde by se pliiiz dalo dozvedet neco vic - myslim tim Feynman vers. trezory v Los Alamos?

To je v knížce "To snad nemyslíte vážně, pane Feynmane" od stejnojmenného autora. Perfektní čtení. Ten člověk je skutečně naprostý unikát...

Dostával se do nich velice jednoduše: napadlo ho totiž vyzkoušet, kolik lidí je líných, nechávájících v trezoru číselnou kombinaci od výrobce (jednostná pro všechny trezory). Zjistil, že v drtivé většině případů to funguje. Jestli se dobře pamatuju, myslím, že napsal, že se poblíž dokonce povalovala příručka k trezoru i s uvedeným firemním nastavením. V těch několika málo vyzkoušel svůj mozek a mohu Tě ujistit, že na něj má (měl, už zemřel) málokdo, byť to popsal. 
Kdysi jsem svého syna učil, že většina úloh se dá řešit více způsoby a vždy je vhodné zvolit ten nejvýhodnější. Přesně to dělal Feynmann i Mitnick. Proč se snažit něco dělat složitě, když to jde i jednoduše? To ovšem nevylučuje, že v případě potřeby, selžou-li jednoduché prostředky, zvolím jinou metodu. V tom je odbornost. Přece nepojedu s nákladním autem pro dva rohlíky…

ty jsi nouma, chlapce ... ja jsem na Eurotelu prosel az do kancelare osoby, kterou jsem hledal (k jejimu velkemu uzasu) ... a to nejsem zamestnanec ... staci mit u vsech zavrenych dveri pripravenou prosbicku a jsi tam :o))
Mitnick neni zadny hlupak, prodava konzultace a zna ho cely svet ... co by kdo chtel vic? Jestli nekdy udelal tohle nebo tamto, na tom az tak nezalezi ... Co se tyka know-how - za litr na hodinu si muzes klidne zaplatit hackera s mastnyma vlasama a vse potrebne z nej vytahnes za par hodin, resp. ho muzes vzit na audit s sebou :o)

Hm, jasne, a jak vite, ze to nebyl umysl? Spousta studentu si ve volnem case hraje s honeypoty.

naucte se rozlisovat mezi hackery a crackary!
btw. skript-kiddies delaji uz i prednasnky? bajecny svet, kde podvodnicek typu mitnick je oslavovan pomalu stejne jako celebrity na urovni helenky vondrackove nebo horsta fuchse.
cekam kdy se budou delat konference o telemarketingu, obtezovani po telefonu a jinych formach poklesle zabavy.

Ja mezi nimi rozlisuju, ale nevi, jaky to ma vztah k clanku.