IDC Security Roadshow 2005: Jak hacknout Eurotel

V Praze proběhl další ročník konference IDC Security Roadshow, které se zúčastnil nejznámější hacker Kevin Mitnick, zajímavější ale byla přednáška hackingu na živo, byť v té nejzákladnější podobě. Právě jednoduchost, s jakou lze napadnout různé systémy, na publikum zapůsobila nejvíce.

Související odkazy

Slovník
buffer
hacker
overrun
proxy
server
trojský kůň
URL

Po roce, kdy se v Praze konference IDC Security Roadshow zúčastnil specialista Microsoftu na oblast bezpečnosti Stephen McGibbon, představilo IDC jako hlavního hosta IDC Security Roadshow 2005 slavného hackera Kevina Mitnicka. Kevin Mitnick, přestože se dostal k mnoha citlivým datům, se nakonec nechal hned několikrát chytit a uvěznit. Byl určitou dobu dokonce na seznamu nejhledanějších osob ve Spojených státech a stejně jako slavný padělatel Frank W. Abagnale se po pěti letech ve vězení začal věnovat svému oboru z opačné pozice, jako bezpečnostní konzultant. A stejně jako Abagnale se stal svým způsobem celebritou, sám se tak ostatně cítí, i když nadále dělá i bezpečnostní analýzy pro klienty své firmy.

Mitnick: Jak hacknout Eurotel

Na IDC Security Roadshow se Mitnick věnoval svému nejoblíbenějšímu tématu, sociálnímu inženýrství, které umožňuje narušení bezpečnosti počítačových systémů a přístup k utajovaným informacím na základě využití znalostí lidské psychologie. Na tiskové konferenci Mitnick jako příklad sociálního inženýrství nabídl plán, jak proniknout do vnitřní sítě Eurotelu. Stačilo by podle něj obléknout se do kvalitního obleku, vejít do budovy Eurotelu a na několika místech nechat CD v barvách Eurotelu s popisem "Důvěrné, mzdové ukazatele 1Q 2005". Na CD by potom namísto slibovaných údajích o platech v rámci firmy byl trojský kůň.

 
Kevin Mitnick sám a s Tomem Vavrou z IDC

Kromě tohoto praktického případu Mitnick, jako správný obchodník, upozornil na chystané vydání knihy Art of Intrusion, ve které formou rozhovorů s aktivními i bývalými hackery popisuje reálné útoky různého typu i s návodem, jak takovým útokům předejít. Mitnick na sebe prozradil i zajímavou informaci, totiž, že jeho bratranec se oženil s Češkou a žije v Praze, sám Mitnick ale do Prahy létá pouze obchodně.

Málo informací, malé výdaje

Protože konferenci hostila analytická společnost IDC, nemohla chybět ani prezentace, která přinesla statistické informace o trhu s bezpečnostními řešeními v České republice a srovnání s Evropskou unií, bohužel ale byla k dispozici pouze čísla za rok 2003, protože údaje za uplynulý rok ještě nejsou k dispozici. I tak IDC oceňuje český trh jako poměrně vyspělý, co se bezpečnosti týká, ve srovnání s ostatními zeměmi střední a východní Evropy, i když ve srovnání se západní Evropou a USA stále zaostáváme. Hlavním problémem je podle IDC malé povědomí o problematice bezpečnosti počítačových systémů mezi lidmi odpovědnými za vytváření rozpočtů.

Specifikem českého trhu je podle IDC soustředění na jednoduchá, základní řešení počítačové bezpečnosti, i když se situace v této oblasti zlepšuje. Výrazný je také vliv lokálních úspěšných firem jako je Grisoft, Alwil a Kerio. Podle údajů IDC potom české firmy vynakládaly v roce 2003 na bezpečnost 0,72 % IT rozpočtů (17,45 milionu dolarů) ve srovnání s 0,90 % v Západní Evropě nebo 0,49 % v Řecku a 0,76 % v Portugalsku.

Obrázek nad tisíce slov. Co praktická ukázka?

Nejzajímavější částí odpoledního programu konference byla prezentace Sebastiana Schreibera ze společnosti SySS, který v praxi předvedl základní jednoduché útoky, které může provádět každý, kdo si dá tu práci a bude chvíli hledat na Googlu informace o zranitelných systémech a nástrojích, které umožní každému několika kliknutími ohrožovat bezpečnost nezáplatovaných systémů.

Schreiber předvedl v praxi odhalení webových rozhraní nezajištěných síťových tiskáren a odhalení hesel k MySQL databázím jen prostřednictvím Google. Pikantní na ukázce bylo, že nezajištěnou MySQL databázi našel přímo ze sálu hotelu Marriott i na slavném MITu (Massachusetts Institute of Technology).

 
Sebastian Schreiber byl s výsledky svého snažení spokojený

Další částí prezentace byly útoky na špatně zajištěné webové obchody, které umožňují změnu účtované ceny pouhou úpravou URL, které může obsahovat nešifrovaný údaj o ceně, nebo úpravou formuláře prostřednictvím pluginu pro prohlížení a úpravu zdrojových kódů. Nechybělo ani "sestřelení" operačního systému Windows XP bez záplat jednoduchým buffer overrun útokem, opět pomocí nástroje běžně dostupného na internetu.

 
Notebook s Windows XP s běžícím OS a po útoku

Poslední část praktické ukázky byla věnována sofistikovanějším útokům typu "man in the middle" pro přerušení šifrované komunikace a získání citlivých dat jako je například číslo kreditní karty spuštěním nástroje pro automatické přesměrovávání, kdy se útočníkům počítač mění v proxy, který překládá komunikaci mezi uživatelem a serverem na základě podstrčených veřejných klíčů. I přes to, že namísto skutečné hackerské práce šlo jen o využití jednoduchých nástrojů, nebo možná právě pro snadnost spuštění takových útoků tato praktická ukázka viditelně na publikum zapůsobila. Rozhodně byla zajímavější než obvyklé prezentace suchých čísel a faktů.

Diskuze (43) Další článek: Sophos rozšíří své produkty o firewall

Témata článku: , , , , , , , , , , , , , , , , , ,