HARD CORE SECURITY LAB

W jaki sposób intruz może złamać hasła broniące dostępu do rozmaitych usług internetowych, których używamy na co dzień, takich jak poczta elektroniczna, bankowość on-line itd.? Wystarczy tylko, że skorzysta z informacji zawartych w serwisie nasza-klasa.pl...

Załóżmy, że intruz zna tylko imię, nazwisko oraz miejsce zamieszkania właściciela konta w danej usłudze internetowej (np. konta poczty email). W jaki sposób włamywacz może utworzyć i wykorzystać do swych celów słownik potencjalnych haseł użytkownika, czyli listę ciągów związanych z danymi personalnymi właściciela konta? Wystarczy skorzystać z serwisów społecznościowych (ang. Social network service), takich jak nasza-klasa.pl. Portale tego typu umożliwiają użytkownikom nawiązywanie ciekawych kontaktów, poznawanie nowych ludzi oraz odnawianie starych znajomości. Niestety, aby inni mogli nas odnaleźć, zazwyczaj jesteśmy zmuszeni udostępnić o sobie szereg informacji. Znając tylko imię i nazwisko właściciela atakowanego konta oraz zakładając, że korzysta on z portali społecznościowych intruz może zebrać szereg potencjalnych haseł. Po pierwsze, jeśli wyszukiwanie zwróci wielu użytkowników o tym imieniu i nazwisku, należy ustalić o który profil dokładnie chodzi. Pomóc w tym może miejsce zamieszkania oraz opis w polu „Czym się aktualnie zajmuję”. Gdy intruz zidentyfikuje już konkretne konto w serwisie społecznościowym, może zebrać szereg potencjalnych haseł na podstawie analizy profilu oraz znajomości nawiązanych z innymi użytkownikami. Przykładowe potencjalne hasła ustalone w ten sposób mogą być następujące: 

• pseudonim szkolny,
• nazwisko panieńskie (zdarza się, że zamężne kobiety wykorzystują nazwisko panieńskie jako hasło, uważając, że niewiele osób z ich obecnego środowiska może je znać),
• nr telefonu,
• imię ulubionego zwierzaka domowego (w przypadku, gdy ktoś ma ulubionego zwierzaka domowego, być może w galerii dołączonej do profilu umieścił zdjęcie pupila opatrzone stosownym podpisem),
• nazwa ulubionego miejsca (przeglądamy galerię zdjęć w poszukiwaniu zdjęć opatrzonych wymownym komentarzem),
• dane personalne najlepszego przyjaciela lub sympatii z czasów dzieciństwa (przeglądamy galerię w poszukiwaniu sentymentalnych zdjęć opatrzonych komentarzem dotyczącym wspomnień),
• nr rejestracyjny (ewentualnie również marka/model) samochodu, motoru, itp. (zdarza się, że w galerii użytkownicy umieszczają zdjęcia pojazdów, które posiadają),
• dane personalne bliskich (współmałżonka, rodzeństwa, dzieci) oraz przyjaciół.

W celu ustalenia, które z kontaktów danej osoby należą do jej bliskich, wystarczy zazwyczaj przeanalizować galerię zdjęć wraz z ich opisami oraz komentarze dodawane do profilu i zdjęć przez innych użytkowników portalu. Gdy już ustalone zostanie grono osób bliskich, do listy prawdopodobnych haseł można dodać wszystkie powyższe kategorie danych, ustalone odpowiednio dla każdej z osób. Dobrym pomysłem dla intruza może okazać się dodanie kombinacji zawierających na końcu oraz na początku cyfrę, można również zawrzeć wszystkie kombinacje pisane wspak. Użytkownicy właśnie w ten sposób najczęściej urozmaicają swe hasła. Wszystko zależy oczywiście od tego jak bardzo włamywacz będzie musiał ograniczyć (np. ze względu na nałożone na dany system ograniczenia liczby logowań w danym okresie czasu) swój słownik potencjalnych haseł.

W przypadku, gdy intruz dysponuje innymi danymi dotyczącymi właściciela konta, może również zastosować inne techniki pozyskiwania informacji na temat prawdopodobnych haseł. Jeśli przykładowo znany jest adres e-mail właściciela atakowanego konta, który został założony na publicznym serwerze, można spróbować wykorzystać ten fakt. Wystarczy skorzystać z formularza służącego do odzyskiwania zapomnianego hasła do skrzynki e-mail. W przypadku, gdy pytanie pozwalające na przypomnienie hasła jest dość proste (np. imię mojego psa, imię mojej pierwszej miłości), być może uda nam się odzyskać hasło do skrzynki, gdyż odpowiedzi na tego typu pytania prawdopodobnie uda się odnaleźć we wspominamy wcześniej portalu społecznościowym. Przy odrobinie szczęścia, hasło do atakowanego konta będzie identyczne lub bardzo podobne do odzyskanego hasła do poczty elektronicznej. Nie jest przecież tajemnicą, że wiele osób używa zawsze tych samych lub bardzo podobnych haseł. Jeśli nawet hasło do docelowego konta będzie inne, da to intruzowi przynajmniej pojęcie o typie haseł stosowanych przez daną osobę. Jeśli intruzowi uda się w jakiś sposób uzyskać dostęp (zdalny lub fizyczny) do komputera, z którego korzysta interesująca go osoba, uzyskanie informacji na temat stosowanych przez nią haseł jest jeszcze prostsze. Wystarczy że intruz złamie hasło do konta tej osoby w systemie Windows za pomocą przeznaczonej do tego dystrybucji Linuxa Ophcrack. Można również w łatwy sposób odkryć hasła stosowane w komunikatorze Gadu-Gadu. Wystarczy dostęp do pliku konfiguracyjnego oraz skorzystanie z powszechnie dostępnego oprogramowania „GG Tools”. Wszystko to oczywiście również pozwoli intruzowi na bardziej precyzyjne określenie potencjalnych haseł przy ataku na docelowe konto użytkownika.

Idąc dalej, w celu poznania przykładowych haseł stosowanych przez analizowaną osobę, intruz może się posłużyć również zaawansowanymi metodami socjotechnicznymi. Przykładowo, ustalając zainteresowania danej osoby (ponownie pomocny okaże się portal społecznościowy), można jej przesłać mailem zachętę do utworzenia własnego profilu w specjalnie spreparowanym forum tematycznym. Oczywiście intruz kontrolujący dane forum, będzie w stanie przechwycić hasła wszystkich użytkowników. Jak widać, pomysłowy intruz dysponuje całą gamą możliwości ustalenia listy prawdopodobnych haseł stosowanych przez interesującą go osobę. Gdy już uda się intruzowi sporządzić listę prawdopodobnych haseł, wystarczy już tylko sprawdzić, czy któreś z nich rzeczywiście otworzy mu drogę do konta interesującej go osoby.

Wniosek z powyższych rozważań jest taki, że nie wolno stosować haseł skojarzonych z danymi personalnymi naszymi lub danymi naszych bliskich. Nie wolno również stosować tego samego hasła w wielu różnych usługach. Przechwycenie hasła do jednej z nich, otworzy przecież drogę do wszystkich pozostałych! Należy również zastanowić się nad tym, jakie dane udostępniamy o sobie w portalach społecznościowych...

Artykuł autorski HCSL - Wojciech Smol