HARD CORE SECURITY LAB

W czwartek amerykańska Federalna Komisja Handlu (FTC) zobligowała właścicieli serwisu Twitter.com do zaostrzenia środków bezpieczeństwa. Powodem takiej decyzji była niepokojąco wysoka w ostatnim czasie ilość udanych włamań do systemów informatycznych tegoż znanego serwisu mikroblogowego. Nie to jest jednak w całej sprawie najciekawsze. Moim zdaniem najbardziej interesujące jest to, w jaki sposób jednemu z crackerów udało sie uzyskać uprawnienia administracyjny. Zobaczmy więc, w jak prosty sposób możliwe było uzyskanie całkowitej kontroli nad Twitterem.

Całkowitą kontrolę nad Twitterem udało się w ostatnim czasie uzyskać pewnemu francuskiemu włamywaczowi (Francois Cousteix), znanemu jako Hacker-Croll. Francuzowi udało się po prostu odgadnąć hasło jednego z administratorów serwisu. Powodzenie tego typu ataku wydaje się na pierwszy rzut oka bardzo mało prawdopodobne, okazuje się jednak, że w praktyce jest to jedna ze skuteczniejszych metod na uzyskanie dostępu do docelowego systemu.

Oczywiście próba zupełnie losowego odgadnięcia poświadczeń jest z góry skazana na porażkę. Intruz musi w jakiś sposób określić zbiór potencjalnych haseł. W przypadku zdalnej usługi dostępnej jedynie za pośrednictwem Internetu, typowy atak słownikowy zazwyczaj nie przyniesie oczekiwanych rezultatów. Pojedyncza próba logowania zabiera stosunkowo dużo czasu, a systemy bezpieczeństwa dużych serwisów internetowych są zazwyczaj w stanie wykryć masowe próby logowania i w najlepszym razie po kilkunastu próbach utracimy czasowo kontakt z usługą.

Hacker-Croll wybrał inną drogę. Otóż jak wiemy, użytkownicy oraz administratorzy rozmaitych systemów informatycznych mają wręcz legendarną słabość do stosowania haseł związanych z własnymi danymi osobowymi (lub danymi osobowymi swych bliskich). Tylko w jaki sposób potencjalny intruz może uzyskać szczegółowe dane związane z nieznajomymi mu osobami (administratorami docelowego serwisu)?

Przede wszystkim przyszły włamywacz musi odnaleźć samych administratorów docelowego serwisu internetowego. Nie jest to jednak szczególnie trudne. Pracowników określonej firmy (wraz z ich stanowiskiem oraz zakresem obowiązków) odnajdziemy za pomocą serwisów takich jak goldenline.pl lub też linkedin.com. Teraz pozostaje nam już tylko zebranie wszelkich możliwych informacji na temat poszczególnych interesujących nas osób. Wiele danych osobowych oraz szczegółów z życia prywatnego odnajdziemy oczywiście za pomocą innych serwisów społecznościowych, z których korzystają poszczególne osoby.
Dostęp do profilu danej osoby wymaga dołączenia do grona znajomych? Nic prostszego, profil lub grupa tematyczna mogąca potencjalnie zainteresować docelową osobą załatwi sprawę. Możliwe jest również przykładowo założenie w danym serwisie profilu rzekomo należącego do innego pracownika tej samej firmy (odnalezionego również za pomocą goldenline.pl lub linkedin.com) i zaproszenie interesującej nas osoby. Efekt niemal gwarantowany. Alternatywnie intruz może również udając specjalistę ds. rekrutacji z innej firmy poprosić ofiarę o przesłanie CV i tym samym nawiązać bezpośredni kontakt w celu zebrania wszystkich interesujących go danych.

W taki oto sposób intruz może utworzyć słownik potencjalnych haseł, zawierający dla każdego z administratorów przykładowo poniższe potencjalne hasła:

• imiona i nazwiska,
• pseudonim szkolny,
• nazwisko panieńskie (zdarza się, że zamężne kobiety wykorzystują nazwisko panieńskie jako hasło, uważając, że niewiele osób z ich obecnego środowiska może je znać),
• numery telefonów,
• imię ulubionego zwierzaka domowego (w przypadku, gdy ktoś ma ulubionego zwierzaka domowego, być może w galerii dołączonej do profilu w serwisie społecznościowym umieścił zdjęcie pupila opatrzone stosownym podpisem),
• nazwa ulubionego miejsca (przeglądamy dostępne w Internecie galerie zdjęć w poszukiwaniu fotografii opatrzonych wymownym komentarzem),
• dane personalne najlepszego przyjaciela lub sympatii z czasów dzieciństwa (przeglądamy galerie wposzukiwaniu sentymentalnych zdjęć, opatrzonych komentarzem dotyczącym wspomnień),
• numer rejestracyjny (ewentualnie również marka/model) samochodu, motoru itp. (zdarza się, że w galeriach w serwisach społecznościowych użytkownicy umieszczają zdjęcia pojazdów, które posiadają),
• podobne do powyższych dane personalne bliskich (współmałżonka, rodzeństwa, dzieci) oraz przyjaciół.

W przypadku, gdy intruz dysponuje innymi danymi dotyczącymi właściciela konta administracyjnego, można również zastosować inne techniki pozyskiwania informacji na temat prawdopodobnych haseł. Jeśli przykładowo znamy prywatny adres e-mail właściciela atakowanego konta, który został założony na publicznym serwerze, intruz może wykorzystać ten fakt. Wystarczy skorzystać z formularza służącego do odzyskiwania zapomnianego hasła do skrzynki e-mail. W przypadku, gdy pytanie pozwalające na przypomnienie hasła jest dość proste (np. imię mojego psa, imię mojej pierwszej miłości), być może uda się odzyskać hasło do skrzynki, gdyż odpowiedzi na tego typu pytania prawdopodobnie uda się odnaleźć na wspominanym wcześniej portalu społecznościowym. Przy odrobinie szczęścia hasło do atakowanego konta będzie identyczne lub bardzo podobne do odzyskanego hasła do poczty elektronicznej. Nie jest przecież tajemnicą, że wiele osób używa zawsze tych samych (lub bardzo podobnych) haseł.

Myli się ten, kto uważa, że w sposób podobny do powyższej przykładowej procedury nie można uzyskać haseł pozwalających na administracyjny dostęp do poważnych portali internetowych i ważnych systemów informatycznych. Właśnie w tego typu sposób Hacker-Croll przejął kontrolę nad Twitterem, co pozwoliło mu w efekcie między innymi kontrolować konto należące do Baracka Obamy.

W ten oto sposób wracamy do Federalnej Komisji Handlu (FTC) nakazującej Twitterowi zaostrzenie mechanizmów bezpieczeństwa, ze szczególnym naciskiem na wymuszenie odpowiedniej polityki haseł. Proces włamywacza zakończył się dosłownie kilka dni temu. Hacker-Croll otrzymał jedynie wyrok w zawieszeniu, dzięki temu, że w trakcie swych działań nie poczynił żadnych znaczących szkód. Dla nas cała ta historia niech będzie natomiast jeszcze jednym ostrzeżeniem przed stosowaniem haseł w jakikolwiek sposób związanych z publicznie dostępnymi na nasz temat informacjami...