Nebuďte sami sebou, ukradněte si identitu

Na letošní evropské Tech-Ed konferenci jsem se zúčastnil přednášky Andy Maloneho o krádežích identity. Stačí trocha chytrosti, dobrý plán a pár veřejných webových služeb.
Nebuďte sami sebou, ukradněte si identitu

Původně jako zpestření jsem v rámci konference Microsoft Tech-Ed EMEA 2008, která se konala začátkem listopadu v Barceloně, navštívil interaktivní seminář o informační bezpečnosti. Že to bude opravdu zábava, se ukázalo již v okamžiku, kdy přednášející Andy Malone (MVP) ještě před přednáškou vybral od některých účastníků jejich kreditní karty a celou dobu je dráždil vsugerováváním nepříjemných pocitů, že má nějakou jejich soukromou věc. Následovalo upozornění, že předváděné postupy mohou být v některých státech ilegální a přednáška o krádežích identity mohla začít. Poté přednášející obratnou argumentací dovedl šest desítek přítomných správců sítí přiznat, že žádný z nich není (pochopitelně) schopen garantovat, že přijde na útok na svou síť.

Chraňte svou počestnost

Až překvapivé je, že 84 % narušení bezpečnosti totiž přichází nikoli zvenčí, ale zevnitř sítě. Průměrná doba do narušení špatně zabezpečeného systému je odhadována na pouhých 19 minut. V dnešní době se většina útoků zaměřuje na krádeže informací, zejména osobních dat. V Británii, odkud Andy Malone pochází, přitom jsou na ztráty osobních dat tak trochu experty. Například v říjnu tohoto roku si síť hotelů Best Western nechala ukrást informace o desetitisících svých klientů včetně čísel platebních karet. Dnes již se těmito informacemi čile obchoduje na elektronických obchodech ruských kyberkriminálníků.

Posluchači ani nedýchali, když se přednášející pustil do krádeže cizí identity za pomoci naprosto veřejných webových služeb. V Británii je pro vytvoření falešné identity potřeba znát konkrétní sadu informací: Jméno, datum narození, adresu, číslo řidičského průkazu, číslo sociálního pojištění; Běžnými zdroji těchto informací pak jsou lékaři, účetní, právníci, školy, zaměstnavatelé, hotely, zdravotní pojišťovny atd.

Jak získat „novou“ identitu? V některých státech lze elektronicky získat doklady. Stačí na genealogických stránkách (např. Findmypast.com) zjistit informace o místě narození a sérii rodného listu nějaké osoby a požádat (elektronicky) o duplikát. Na Intelius.com se dají zjistit informace o historii každého občana USA. Objednat lze výpis z rejstříku trestů, informace o bankrotu apod. To vše za necelých 10 USD. Kompletní údaje falešné identity lze vygenerovat na adrese FakeNameGenerator.com. K dokonalosti lze celou věc dotáhnout například na serveru Spooftel.com, který slouží mj. k podvržení volajícího čísla a hlasu volajícího v telefonních hovorech.

Klepněte pro větší obrázek
Fake Name Generator, generátor falešných identit na pouhých pár kliknutí

FakeMyText.com je zase služba pro anonymní rozesílání libovolných zpráv komukoli. Klidně za účelem poškození osobnosti. Je zajímavé, kolik škody může nepáchat jeden malý drb – na něm pak lze vystavět kompletní falešnou identitu, která může poškodit kohokoliv či naopak představovat cokoliv včetně člověka, jemuž ostatní rádi posílají své osobní údaje. Rozhodnete-li se vytvořit falešnou identitu, nezapomeňte na mail, profily na LinkedIN, MSN, MySpace, vlastní blog „dotyčného“, mailing listy, nějaké domény... Když budete chtít falešnou identitou poškodit někoho druhého, tak klidně přidejte i pornostránky.

Co když si budete chtít zaspamovat?

Pro rozesílání nevyžádané pošty poslouží hned několik služeb. Povedeným anonymním spalovačem je například DeadFake.com. Abyste však mohli poštu rozesílat, je potřeba mít nějakou databázi adres, kterou však není těžké získta. Existují na to pochopitelně i specializované nástroje. Jedním z nich je i SensePost Bidiblah. Tento program využívá systému DNS ke zjišťování informací o doménách a k nim se hlásísích e-mailových adresách. Bidiblah je drahou komerční aplikací, avšak v nabídce je také dvacetiminutová demoverze pro vyzkoušení funkčnosti. Potřebujete-li najít konkrétní server například mailserver společnosti, jíž chcete spamovat, zkuste Maltego. Tento program totiž prohledává vazby mezi servery.

Klepněte pro větší obrázek
Maltego: Vyhledá vazby mezi servery

Pokud vás náhrada identity a rozesílání spamu už nebaví, vyzkoušejte třeba populární Google hacking, na internetu je totiž skoro cokoli si umanete. Chcete-li si pohrát s něčí bezepečnostní kamerou či dotyčnému jen přeštelovat klimatizaci, nebo naopak najít nějaká hesla používaná armádou, zkuste zapřemýšlet nad správnou formulací vyhledávacího dotazu. Jednou z možností je třeba něco takového: archive: site:mil filetype:xls „Top secret“. Možná vás čeká odměna v podobě přístupu k nějaké zajímavé technologii, i když vlastní bitevní simulátor takto asi zrovna nezískáte. Doufejme. Závěrem je na místě připomenout, že neautorizovaný přístup do cizího zabezpečeného systému, byť přístupové údaje získáte na webu, je protizákonný.

Diskuze (3) Další článek: Google se na GUG.CZ ptá, jak překladat slovo friend

Témata článku: Bezpečnost, Neautorizovaný přístup, Osobní údaj, Genealog, Anonymní síť, Generator, Kompletní údaj, Narušení bezpečnosti, Google, Veřejný web, Secret, Hlas volajícího, Bankrot, Fake, Top Secret, Nepříjemný pocit, Kamery na Mall.cz


Určitě si přečtěte

Hledá se způsob, jak uložit elektřinu. Možná pomohou obří gravitační baterie

Hledá se způsob, jak uložit elektřinu. Možná pomohou obří gravitační baterie

** Jak uložit elektřinu z fotovoltaiky a větrných turbín ** Pomohou třeba staré autobaterie, nebo setrvačníky ** A pak tu jsou bizarní gravitační akumulátory velikosti mrakodrapu

Jakub Čížek | 256

Nejlevnější router s Wi-Fi 6 v testu: vážně ještě chcete kupovat routery jen pro 802.11ac?

Nejlevnější router s Wi-Fi 6 v testu: vážně ještě chcete kupovat routery jen pro 802.11ac?

** Otestovali jsme TP-Link Archer AX10, nejdostupnější router s Wi-Fi 6 ** Šetřilo se, ale zatím ty ústupky tolik nebolí ** Pro domácí síťování pohodlná volba, do firmy ale chcete něco lepšího

Tomáš Holčík | 43

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

Nový Edge je opravdu Chrome! Prohnali jsme prohlížeče benchmarky i vlastním unikátním testem

** Nový Edge je postavený na Chromiu ** Prohnali jsme ho benchmarky a srovnali s ostatními ** Potvrdily nám, že je prakticky stejný jako Chrome a Opera

Jakub Čížek | 65

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

Vyzkoušeli jsme TP-Link Deco P9: zajistí doma Wi-Fi díky drátům ve zdi

** Nová generace Mesh Wi-Fi s propojením přes elektrické rozvody ** Lepší parametry a nižší cena než u předchůdce ** Aplikace zatím podporuje jen základní nastavení bez rozšířených funkcí

Tomáš Holčík | 25

Co je TikTok: Svérázná sociální síť chytla mladé uživatele, už jich má už 1,5 miliardy

Co je TikTok: Svérázná sociální síť chytla mladé uživatele, už jich má už 1,5 miliardy

** Sociální síť TikTok získala stamiliony uživatelů a stále roste ** Jaký obsah na ní najdete a co můžete v jejím rámci čekat? ** Je to zábava pro mladé, nebo platforma pro úchyláky?

Karel Kilián | 38



Aktuální číslo časopisu Computer

Megatest 12 bezdrátových sluchátek

Vyplatí se Apple z bazaru?

Test batohů pro notebooky

Vybíráme nejlepší sportovní hodinky