Specialisté sdíleli ve fóru hackerů heslo od Googlu a sledovali, co se bude dít

  • Inženýři z Bitglass připravili návnadu a sledovali hackery
  • Internet je plný honeypotů, které zaznamenávají útoky
  • Provozuje je i CZ.NIC na routerech Turris

Hackerům se v posledních letech podařilo prolomit ochranu nejedné velké internetové služby. Loni to potkalo třeba kontroverzní seznamku Ashley Madison, před tím ještě mnohem větší Adobe a nesmím zapomenout ani na aféru Sony a její herní sítě Playstation Network z roku 2011.

Jenže co se s těmito uniklými hesly v praxi vlastně děje? Hackeři, kteří chtějí jen slávu, vypustí veškerá data do oběhu, no a ti pragmatičtější je raději prodávají na všemožných fórech dark webu. Jenže co dál? Představte si, že podobným způsobem na veřejnost uniknou přihlašovací údaje k vašemu účtu Googlu. Za jak dlouho se je pokusí někdo zneužít a co všechno bude zkoušet, pokud se mu skutečně podaří přihlásit třeba do vašeho úložiště Drive?

Specialisté vytvořili fiktivní oběť, které někdo ukradl heslo od Googlu

Přesně tuto otázku si položili i bezpečnostní specialisté ze společnosti Bitglass a vytvořili vlastní fiktivní elektronickou oběť – návnadu v podobě funkčního účtu Googlu a úložiště Drive plného klíčových dokumentů, které lákaly k prozkoumání. Identitu uživatele ještě podtrhli platným číslem kreditní banky a dokonce falešným webem banky, ve které měla oběť pracovat. Pak tyto informace vypustili do oběhu v jednom undergroundovém fóru.

Během prvního dne se začali k účtu na Googlu i na stránkách banky připojovat první zvědavci, přičemž ve většině případů používali anonymní Tor často ještě zabezpečený některou z VPN linek. Dohromady se jich nakonec sešly desítky, ovšem zdaleka ne každý začal na účtu okamžitě úřadovat. Soubory z úložiště stahovali jen někteří. A našli se i tací, kteří se pokusili dešifrovat soubory, které Bitglass skryl takovým způsobem, aby šlo poznat, jakým softwarem je vlastně šifroval.

Útočníci zkoušeli heslo na dalších službách

Tím však experiment neskončil, Bitglass totiž pro vyšší důvěryhodnost založil fiktivní oběti účty i na dalších webech a to se stejnou kombinací přihlašovacího jména a hesla. Nebohý bankovní úředník měl tedy i profil na Facebooku a také zmíněný zaměstnanecký profil.

Potvrdilo se, že útočníci zkoušejí stejnou kombinaci loginu a hesla napříč internetem. V rámci tohoto experimentu se o to pokusilo celých 94 % z nich, přičemž se úspěšně přihlásili jak do zaměstnaneckého profil una stránkách fiktivní banky, tak na sociální sítě. Používat napříč internetem jednu kombinaci zabezpečení, je tedy krajně nevhodné.

Na jedno si však útočníci netroufli. Ačkoliv Bitglass zveřejnil i čísla kreditních karet, která byla zcela funkční, zatím je nikdo nezneužil a zle předpokládat, že se pouze dostaly na seznam, se kterým se v šedé zóně obchoduje jako s každou jinou komoditou, nicméně ke skutečnému zneužití vůbec nemusí dojít, protože vyžaduje sofistikovanější způsob a lepší krytí ideálně s bílým koněm.

Internetové vábničky

Ačkoliv Bitglass zkoumal aktivitu záškodníků docela netradičním způsobem, princip všemožných vábniček, které mají monitorovat aktivitu kyberscény, existuje celá řada. Zpravidla se jedná o servery, které mají zdánlivě chabé zabezpečení a monitorují roboty, kteří se k nim pokoušejí připojit třeba skrze SSH, telnet či nějaký jiný protokol.

Klepněte pro větší obrázek
Mapa útoků na honeypoty Norse

Jelikož mohou roboti operovat ohromnou rychlostí, často procházejí celý rozsah IP adres, a tak dříve či později narazí i na některou z podobných vábniček – honeypot.  Autoři jednoho z nich dokonce spustili dynamickou mapu, která zobrazuje poslední útoky prakticky v reálném čase, a dává tak hrubou představu, jak je ten svět útočících robotů neskutečně dynamický-

Není se čemu divit, útočníkem jsou totiž v tomto případě často zavirované počítače, které se pokoušejí připojit k IP adresám na příkaz operátora botnetu, kterého jsou součástí. A pokud má takový botnet třeba tisíce podobných strojů, jedná se o ohromné množství komunikace.

SSH honeypot na Turrisu

Komunikace robota je zpravidla docela primitivní – vlastně se jen pokouší spustit sadu několika málo příkazů, a proto lze jeho aktivitu snadno analyzovat. Přesvědčit se o tom mohou třeba majitelé experimentálního routeru Turris, který umožňuje snadnou aktivaci SSH honeypotu, který bude poslouchat na standardním portu 22.

Klepněte pro větší obrázek Klepněte pro větší obrázek
SSH honeypot na routeru Turris od CZ.NIC

Jelikož takový honeypot příjme jakoukoliv kombinaci přihlašovacího jména a hesla, vpustí útočníka okamžitě dovnitř a nabídne mu linuxový terminál. V tu chvíli už ale není útočník ve vaší síťové krabičce, protože jej router tajně přesměroval na server CZ.NIC. Váš Turris a jeho vlastní operační systém je tedy bezpečně mimo hru a posloužil jen jako vstupní vábnička.

Klepněte pro větší obrázek Klepněte pro větší obrázek
Přístupy na můj honeypot za jediný měsíc a záznam jednoho útoku a Íránu

Pokud je honeypot opravdu věrohodný, umožní útočníkovi provést téměř libovolný příkaz, přičemž všechny neustále zaznamenává. Ostatně i mě se už stalo, že jsem se ke svému Turrisu přihlásil skrze SSH na portu 22, aniž bych si uvědomil, že mám aktivní honeypot. Teprve po čtvrthodince konfigurace webového serveru jsem si uvědomil, že jsem jej nenainstaloval na svůj router, ale že celou dobu komunikuji s falešnou vábničkou kdesi v Praze.

Klepněte pro větší obrázek
Mapa znázorňující původ útoků na všechny routery Turris (spojení, která zakázal firewall na routeru). Více globálních statistik z projektu Turris najdete zde.

Aktivita robotických záškodníků v každém případě ukazuje, že na maximální zabezpečení je třeba dbát i v případě své vlastní domácí sítě. IPv4 adres totiž zase není tolik, aby se vás čas od času skutečně nepokusil někdo navštívit.

Diskuze (19) Další článek: Epson má nové brýle pro rozšířenou realitu. Dovednostmi se zařadí mezi HoloLens a Google Glass

Témata článku: Web, Internet, Bezpečnost, Heslo, Telnet, Chabé zabezpečení, Oběť, Ashley Madison, Fór, Vábnička, Madison, Netradiční způsob, Šedá zóna, Playstation Network, Linuxový terminál, Libovolný příkaz, Podobný stroj, Dark, Falešný web, VPU, Jediný měsíc, Záškodník, Falešný účet, Standardní port, Kali


Určitě si přečtěte

USB-C už mělo být všude, ale není. Tak kde to vázne?

USB-C už mělo být všude, ale není. Tak kde to vázne?

** Konektor USB-C byl představen už před čtyřmi roky ** Praktické univesrzální rozhraní však stále není rozšířeno ** Výrobcům hardwaru se do změny moc nechce

David Polesný, Vladislav Kluska | 87

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

Nová zbraň Microsoftu proti iPadu: Levný tablet Surface Go bude stát jen deset tisíc

** Microsoft představil nový tablet Surface Go ** Nový model zaujme nízkou cenou, ale schopnostmi zařízení Surface ** Microsoft nepoužil čip ARM, ale klasický procesor od Intelu 

Karel Javůrek | 117

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

David Polesný | 27

Alan Turing: Genius, který matematicky stvořil počítač

Alan Turing: Genius, který matematicky stvořil počítač

Řešením matematického problému se dostal k modelu teoretického stroje, který nese jeho jméno a je základem logiky univerzálních počítačů.

Pavel Tronner | 58

Šmírování kamerami Googlu: Koukněte se, co zachytily na Street View

Šmírování kamerami Googlu: Koukněte se, co zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 44

Cardano: kryptoměna nové generace, která se netěží, ale razí

Cardano: kryptoměna nové generace, která se netěží, ale razí

** Cardano je unikátní kryptoměna, která díky svým vlastnostem a schopnostem přitahuje pozornost ** Od Bitcoinu se zásadně liší ** Jejím smyslem není jen „koupit a prodat“, má pozoruhodné technologické možnosti

Martin Miksa | 28


Aktuální číslo časopisu Computer

Jak mobily určují svoji polohu?

Velký test notebooků pro studenty

Nejlepší reproduktory na párty

Služby a aplikace pro výuku angličtiny