A hekkelésről mindenkinek, akinek lövése nincs a témáról, valamiféle feketemágia jut eszébe, amit aztán nem tanulhat meg akárki, na meg makacsul tartják magukat bizonyos jól ismert, ámde még hülyébb elképzelések a hekkerekről. A leginkább közkeletű elképzelés Magyarországon alighanem az, hogy a hekker egy kivételesen okos informatikus, aki aztán mindent lát mindig, kicsit bűnöző ugyan, de amolyan szerethető cukorpofaként a digital age robin hoodja, ezért kicsit megéri fosni tőle, amúgy meg teljesen öntörvényű és ha azzal bízzák meg, hogy törjön fel valamit, az is megcsinálja, na meg ha azzal, hogy tesztelje valaminek a törhetőségét, azt is, ugyanannyi pénzért.
Ahelyett, hogy hosszasan elkezdenék filózni rajta, hogy mennyire nincs így és miért, néhány megállapítást tennék: mindenki, akivel találkoztam és "hekkernek" vallotta magát /*azaz nem ethical hackernek, szoftvertesztelőnek vagy hasonlónak*/, mind valami szerencsétlen volt, akinek egy jó drága tanfolyamon kimosták az agyát főzőprogramon, aztán kapott egy papírt róla, hogy elvégezte, amit meg tud, annál jóval több megtanulható még egyetlen átfogó kötetből is. Vagy éppenséggel még ennyi se, nem végzett semmit az illető, az önképével meg olyan elégedetlen, hogy kitalálta, hogy ő márpedig hekker, úgysem nézi senki hülyének /*egy darabig*/, pont azért, mert ez amolyan kényelmesen ködös fogalom, amiről valami egyszerű lélek azt hiszi, hogy trendi. Nem keverendő az angol hacker kifejezéssel, de nem is nyelvészkednék tovább.
Nagyon röviden: nulla informatikai tudással és nulla ötletességgel, ilyen-olyan netről letöltött, játékprogram bonyolultságú szirszarokkal bárki okozhat komoly károkat szinte bárki, ugyan ehhez az is szükséges, hogy az áldozatban annyi biztonságtudatosság se legyen, mind Medve sajtban a brummogás. Az ethical hacking/pentesting/vulnerability research/social engineering meg teljesen más sportágak, viszont az ITsec-es, ha a foglalkozásáról kérdezik, legjobb, ha mond bármi mást, de komolyan, mégpedig azért, hogy magyarázni se kelljen, na meg ne is értsék félre. Ne keverjék az olyan idiótákkal, akikről most szó lesz.
Az alapsztorit amúgy a 403 Security CEO-ja jelentette meg még 2011-ben, mondjuk azóta jó sok adat átfolyt a BIX-en én ma olvastam így egyben először, ezért gondoltam, hogy sederítek róla egy posztot, alaposan kiegészítve. Az alapsztorik hitelességének ellenőrzésébe nem mentem bele, de ígérem, a végére világos lesz, hogy ez mellékes is, ahol kellett böktem bele egy kis lábjegyzetet [így számozva].
0x100. Még 2010-ben egy közelebbről meg nem nevezett valaki egy népszerű brit énekesnő, Kelly Osborne /*akinek nincs meg: Ozzy bácsi és Sharon néni lány*/ email fiókját törte fel. [1] Ezt követően beállította, hogy a leveleket a levelezőrendszer továbbítsa egy adott címre [2], ámde nem egy erre a célra létrehozott, gondosan anonimizált fiókra továbbította hősünk a leveleket, hanem a saját, valódi email címére, ami alapján nem volt olyan pokolian nehéz azonosítani.
0x200. Shahee Mirza, egy önmagát hacktivistának és géniusznak nevező 21 éves hülyegyerek bangladesi kormányzati webszervereket tört fel és azokon helyezett el remekebbnél remekebb nyelvhelyességgel írt üzeneteket, amiben felszólította a kormányt, hogy a számítógépes bűnözés elleni törvényeket módosítsák, mert ők, hacktivisták akkora zsenik, hogy úgyis feltörnek bármit. A dolog egyik pikantériája, hogy ugyanazt a dumát közel 20 webhellyel megcsinálta. Úgy bukott le, hogy elhelyezett a deface-elt oldalak alján egy olyan logót, amiben benne volt a neve. [3]
0x300. Samy Kamkar a MySpace egy sebezhetőségét felhasználva [4] útjára indította a Samy Wormöt, ami rommá fertőzött egymillió accountot, valójában csak annyit csinált, hogy megjelenítette a felhasználók képernyőjén a "Samy is my hero" üzenetet. Érdekes lélek lehet, mert ennyivel nem érte be, még a blogján is alaposan beszámolt a nagy hekkelésről, a kínos csak az volt, hogy a blogján volt egy kép a kocsijáról is - hát hogy ne lett volna - amin tisztán látszott a rendszáma, ami egyértelművé tette, hogy tényleg ő volt az elkövető. Na innentől nem volt nagy kriminalisztikai bravúr azonosítani. Az alkalmazott módszer egyébként nagy hasonlóságot mutatott azokkal a perzisztens XSS-támadásokkal, amivel a jó öreg iWiW-et is megkínálták néha.
0x400. Daquan Mathis New Yorkban ellopott egy iPhone-t, de nem csak gyönyörködött benne, hanem csinált magáról egy rakás szelfit, nem mellékesen ugyanabban a ruhában, amiben a rablást vagy lopást elkövette. Nos, ehhez már alapjáraton hozzáfért az iPhone tulajdonosa /*már akkor is*/, amelyiknek az accountjaiból nem jelentkezett ki. Ha mindez még nem lett volna elég, a képeket a tolvaj a saját email címére küldözgette, ami szintén látható volt - és megdönthetetlen bizonyíték az év kiberbűnözője ellen. Itt hozzáteszem, hogy Magyarországon egy zsebesnek még ezt a szintet is sikerült messze felülmúlnia: miután csinált magáról egy adag szelfit, feltöltötte az eredeti tulajdonos Facebook-accountjára, ahogy arról a 444 beszámolt
0x500. Még 2006-ban egy Eduard Lucian Mandru nevű pofa, aki bejutott a DoD egyik - szerintem szándékosan legyengített - gépére, a védelmi minisztérium sokáig ennek ellenére semmit nem tudott róla az email címén kívül /*de valószínűbb, hogy ez a DoD részéről taktikai blöff volt*/. Emberünk néhány évvel később ugyanazt az email címet használta különböző álláshirdető-álláskereső oldalakon.
0x600. A hatodik nem igazán illik a képbe, de azért... Egy forma tisztában volt vele, hogy az USA-ban bizonyos helyeken, ahol tábla is jelzi, hogy lassítani kell a kocsival, a gyorshajtók rendszámtábláját egy rejtett kamera felveszi, majd ezt egy optikai karakterfelismerő szoftver átalakítja sima karakterlánccá, ahonnan már szintén gépileg mehet abba a nyilvántartásba a rendszám, amiben a kocsik tulajdonosait jegyzik, hogy könnyen elő lehessen venni a gyorshajtókat. Ötletes, nem? Amivel a pofa próbálkozott, még ötletesebb akart lenni és a rendszáma helyére egy olyan táblát tett, amit ha a rendszámnyilvántartó megkap, nem egyszerű szövegként fogja kezelni, hanem végrehajtható parancsként és konkrétan törli a teljes adatbázistáblát. A veszett nagy trükk a "ZU 0666......" rendszámmal ugyan alighanem nem jött be, de a hékek eléggé gyorsan nyomára akadtak a tagnak. Az SQL befecskendezésnek
nevezett támadás lényege, hogy ahol egy szolgáltatás bemenete szabályos adatot, tipikusan szöveget vár, meg is kapja, majd azt belefoglalja az adatbázislekérdezést ténylegesen elvégző függvénybe, viszont ha a szerver nincs rá felkészítve, hogy csak olyan adatot engedjen tovább, ami oda ildomos, elvben beküldhető olyan szöveg, ami egy adatbázisműveletként értelmeződik majd, például rekordokat vagy táblákat módosít, töröl, na meg amilyen jogosultsággal a szolgáltatás indította a függvényt. A tanulság az, hogy bemenetet - meg úgy egyáltalán semmit - nem adunk át azonnal feldolgozásra, hanem azt alaposan ellenőrizzük, mielőtt egy felületről egyenesen menne feldolgozásra /*jelen esetben pedig jó esetben nem végrehajtásra*/ a szerver gyomrában.
Egy korábbi posztomban már utaltam rá, hogy még pár évvel ezelőtt, amikor reggeltől estig dagonyáztam a dark web mocskában, azaz az internet azon tájain, amerre ember nem jár, ha nem nagyon muszáj, konkrétan személyek hitelességét ellenőriztem és persze nap, mint nap beleakadtam valami pöcsbe, aki pénzért árult meghívókat olyan közösségi szolgáltatásokba, ahova nem lehet csak úgy regisztrálni. Bizonyos szolgáltatásokba kizárólag egy vagy több tag meghívása alapján lehet belépni, a meghívókat pedig nem osztották két kézzel - márpedig ami csak korlátozott mennyiségben hozzáférhető, értelemszerűen vonzó, ha van benne racionalitás ha nincs. És bizony lesznek arcok, akik az emberi természet ezen mesés vonását ki fogják használni. Többször is találkoztam például kőburzsuj amerikai nyugger bőrébe bújva olyan formákkal, akik mondjuk az AsmallWorld-höz, ELIXIO-hoz vagy BestOfAllWorlds-höz kínáltak meghívókat szaros ezer dollárért, amit rendszerint lealkudtam 50 dollárra, a csaló pedig szintén kitett magáért, mondjuk amikor olyat írt, hogy biztos csóró szar amerikai vagyok, ha nem utalom a pénzt még aznap egy Paypal/Moneybookers/Skrill-számlára, amire ugyebár, ha tényleg öreg amcsi nyugger lennék alighanem az egó miatt azonnal fizetnék is. Na, fizetni nem fizettem, hanem amikor már rég tudtam, hogy a csaló honnan netezik, milyen oprendszerrel, böngészővel, mik azok a kamu identitások, amik szintén hozzáköthetőek, nem küldtem neki valami finomat a gépére, amivel bűncselekményt követtem volna el, inkább megírtam, hogy azonnal fizetek, de küldjön egy képlövést a szolgáltatásról, hogy meggyőződjek róla, hogy tényleg tud onnan meghívót küldeni.
A harceddzettebb webcserkészek kitalálhatják, hogy milyen screenshotot kaptam emailen, többször is: amin látszott a szolgáltatás, a másik böngészőfülön pedig befigyelt névvel/címmel a tag valódi (!!) Gmail/FB profilja. És ezek az arcok egész nap azzal foglalkoztak, hogy az USA-ban, na meg Európa burzsujabb részein lakó felhasználókat húzzanak le nem túl ékes angolsággal. Ugyan eléggé határozott volt a trend, hogy ez hol biznisz, leszek most olyan polkorrekt, hogy nem írom meg. A jelenség természetéből adódóan a tettesek elvben könnyen azonosíthatóak, gyakorlatilag meg a büdös életbe sem, hiszen a Paypal-nek az egyik lényege, hogy nem tudni, kihez tartozik a számla, amíg több ország hatósága összefogva ki nem kéri a számlatulajdonos adatait - amihez persze nincs joga. A károsultaknak pedig többszörösen indokolt okból úgysem tesznek feljelentést, azzal a szöveggel, hogy voltak olyan hülyék, hogy fizettek valakinek, akiről fogalmuk sincs, hogy kicsoda, de azért fizettek, mert egy elit közösségi szolgáltatásba akart bejutni, ahol nincs valódi ismerősük, aki meghívót küldhetne, tehát eleve illegálisan. Akinek hatalmas az egója, na meg még hülye is, azzal még nem érdemli ki, hogy lehúzzák pénzzel.
Na, ilyen cybercrime-os blogot mondjuk fix, hogy nem írok, ha meg mégis, akkor majd valamikor a jövőben, mondjuk kinyíratni magam nem akarom, szóval álnéven, de lenne mit írni azokról a manipulációs fogásokról, amiket a bűnözők és a nyomozók is alkalmaznak, arról nem is beszélve, hogy a csalók többségének annyi esze nincs, hogy a lebukást megelőzve legalább ne olyan fantom karaktert használjanak, amit azonnal dob a Google képkereső, sátöbbi.
[1] Amikor két droid arról beszél, hogy hogyan törték fel valakinek a Gmail/Facebook fiókját, a leggyakoribb esetek:
0x100. a felhasználói név ismert, a jelszó pedig valami elképesztően banálisan kitalálható szó, mondjuk "password"
0x120. a felhasználói név ismert, a jelszóemlékeztető vagy jelszóhelyreállító opció pedig pofátlanul egyszerű: új jelszó beállításához a rendszer megkérdezi mondjuk, a születési időt /*vagy bármi olyan adatot, ami full nyilvános*/, a helyes választ a támadó megadja és ezzel új jelszót állít be, amivel már be tud lépni. Én azt mondom, hogy alapvetően minden password recovery rossz, de ha már az ilyen Security questions a téma, na, azt akik tervezték, feltételezték, hogy a felhasználónak lesz annyi esze, hogy olyat állít be, amit nem banalitás tudnia vagy kitalálnia bárki más számára is.
0x130. letöltenek egy önmagát képfájlnak álcázó keyloggert a netről, majd elküldik emailen csatolt fájlként az áldozatnak, aki annak ellenére, hogy nem ismerős neki sem a feladó, sem a tárgy, meg úgy általában semmi, mégis van olyan hülye, hogy megnyitja, a víruskergető szoftver meg vagy megfogja vagy sem. Amikor a jelszót legközelebb beírja, azt a keylogger elküldi a támadónak. A játékprogramok egy része több intellektust igényel, mint egy ilyen konzerv-keyloggerrel támadni.
0x140. odamennek ahhoz a géphez, amit általában használ az illető, majd a böngésző beállításaira kattintanak és ott az elmentett jelszavaknál rákattintanak a jelszavak megjelenítése gombra... /*na, ez már a többségnek az advanced level*/
Tehát gyakorlatilag sosem az authentikációért felelős programhiba kihasználásáról, az adatokat ténylegesen tároló adatokhoz egy sérülékeny szerverszolgáltatáson keresztüli eléréséről, a kliens és a szerver oldal közti titkosított kommunikáció lehallgatásáról, stb, stb, stb. van szó. Amúgy innen is csókoltatom az összes idiótát, akiktől hetente legalább 2-3 levelet kapok "feltörnéd az exem fészbúkját?" témában, mióta egy ezzel kapcsolatos Facebook-cikkem megjelent.
[2] Ha már email átirányítás, ilyen beállításánál újabban még a legkommerszebb levelezőrendszerek is alul vagy felül egy csíkban, na meg ahogy tudják, figyelmeztetik a fiók tulajdonosát, hogy a levelei át vannak irányítva.
[3] vegyük észre, hogy itt is az überszuper nagy "feltörésnél" közönséges webszerverekről volt szó, nem pedig a kritikus infrastruktúrákért felelős gépek valamelyikéről. Magánvéleményem, hogy a NASA és az NSA korábban szándékosan alakította ki úgy a webhelyeit, hogy az a hülye, ámde elszántságuk miatt veszélyes aktivisták számára feltörhető legyen, majd miután elkapták az illetőt, már gyerekjáték volt feltérképezni ilyen-olyan potenciálisan underground csoportokat, amikbe az elkövető tartozott. Az általánosan bevett technika eredetijét honeypot-olásnak nevezik, ennek kifinomultabb, gyakorlatilag végtelenségig cizellálható változata a tar trapek használata, aminek az a lényege, hogy miközben emberünk reszeli a szervert, mindig egy kicsit nehezítünk valamit a védelmen, de vannak erre automatizált eszközök is, lényeg, hogy a szerencsétlen ennek megfelelően nyilván annál több nyomot fog maga után hagyni, hiszen a betörés módja sokszor egy adott csoportra jellemző, de jellemző lehet akár egyénre is.
[4] Én a Samy wormről valószínűsítem, hogy a szkript részletet valahol látta a neten, aztán kipróbálta, hogy a MySpace-n működik-e. Egyébként ún. XSS-sebezhetőség volt, amik közül vannak egészen kifinomultak, na meg annyira egyszerűek is, hogy azt a legbölcsészebb olvasó is azonnal megértené. A tankönyvi eset, amikor egy szövegdoboz szöveget vár bemenetként, de olyan kódot, például Javascript-parancsot kap, ami feldob egy kis ablakot egy adott szöveggel vagy valamilyen nem kívánt műveletet végrehajt. XSS-ről bővebben a Wikipedián.
Képek innest: blog.on.com, Wikipedia