Hacker #1: Klávesnice jako zbraň - Rozhovor s nejslavnějším hackerem světa Kevinem Mitnickem I

Kevin Mitnick. Hacker, který vstoupil do dějin. Kolem jeho odsouzení a uvěznění
se dodnes vedou a nejspíš ještě nějaký ten pátek povedou spory. Jedno je ale

jisté: stal se prvním „počítačovým zločincem“, jenž se ocitl na seznamu deseti

nejhledanějších osob americkou FBI.



Začínal jako phreaker člověk, který se nabourává do systému telekomunikačních

společností. Když získal potřebné znalosti, dokázal s telefonními ústřednami

hotové divy. Třeba domácí stanici jednoho svého kamaráda změnil v ústředně na

veřejný telefonní automat. Takže když dotyčný kamarád chtěl telefonovat a zvedl

sluchátko, ozvalo se: „Vhoďte prosím minci.“ Což u domácího přístroje jde jen

velmi těžko.



Od phreakingu pokročil k hackování počítačů dokázal se dostat prakticky do

jakéhokoliv systému. Jeho úžasné schopnosti, kdy využíval jak čistokrevné

hackerské techniky, tak metod sociálního inženýrství, mu otevřely cestu do

nejpřísněji střežených počítačů. To mu na jedné straně vyneslo obdiv hackerské

komunity, na straně druhé ale nenávist mnoha jiných. Navíc se kolem něj

vytvořil velkolepý mýtus zásluhou novináře Johna Markoffa a jeho knihy. Mitnick

prý dokázal nemožné kousky. Podařilo se mu nabourat do databází FBI a měnit zde

záznamy o své osobě. Dokázal se prý dostat do počítačů amerického Pentagonu, a

byl jediné kliknutí myši od rozpoutání jaderné války, apod.



Americká vláda tyto informace nikdy oficiálně nekomentovala. A dodnes je

nekomentoval ani Mitnick po svém uvěznění byl předčasně propuštěn s podmínkou,

že příštích sedm let nebude jakkoliv komentovat své bývalé hackerské aktivity.

Navíc měl zákaz přístupu k informačním technologiím ten vypršel letos.



Škoda způsobená Kevinem Mitnickem údajně dosáhla 300 mil. dolarů! On sám ale

vysvětluje, jak k tomuto číslu vyšetřovatelé došli: „Protože proti hackerům

neexistovaly zákony a mým počínáním žádná prokazatelná škoda nevznikla, vzali v

úvahu nejvyšší možnou škodu, která mohla vzniknout. Prostě sečetli částky na

vývoj softwaru a produktů, jejichž kódy a plány jsem při svých útocích získal a

došli k oné závratné částce. Byla to ale jen imaginární suma, nikdy se totiž

neobjevila v účetních výkazech domněle poškozených firem.“



V rozsudku soudu, který jej poslal za mříže, stálo: „Vyzbrojen klávesnicí je

nebezpečím pro společnost.“



Kevin Mitnick zavítal na konci září i do České republiky, aby zde prezentoval

svoji knihou „Umění klamu“. Při této příležitosti vznikl i následující rozhovor.





? Druzí lidé o vás nejčastěji hovoří jako o „nejslavnějším hackerovi světa“.

Jak byste se ale charakterizoval sám v několika větách?



To je velmi obtížné, popsat sám sebe v několika větách. Sám sebe bych popsal

jako člověka, který má rád velké výzvy a je velmi rád úspěšný i v životě. A

taky se snaží změnit svět, aby byl lepším místem pro každého.





? Slovíčko „hack“ mělo původně pozitivní význam. V současné době ale nikoliv.

Sám sebe považujete za hackera v pozitivním, nebo negativním slova smyslu?



Sám sebe považuji za člena „staré školy“. Bohužel ale média časem význam slova

hacker překroutila a dnes je jako „hacker“ označovaný každý, kdo provede v

počítačovém světě kriminální čin. Myslím ale, že se i nadále mohu považovat za

hackera ze staré školy. Další hackeři ze staré školy jsou třeba Steve Wozniak

či Steve Jobs lidé, kteří možná zapadají do jakési „šedé zóny“, ale nevyužívají

své zkušenosti k tomu, aby poškodili druhé, aby odcizili peníze, aby měli

nějaký osobní prospěch. Prostě si jen chtějí ověřit možnosti techniky a svých

vlastních znalostí.





? Hackerem se člověk nenarodí. Proč jste začal s hackováním?



Velmi jsem se zajímal o telekomunikační systémy v telefonních společnostech. A

důvodem, proč jsem s hackingem začal, byla snaha mít přístup právě do těchto

systémů. A proto jsem se začal koncem sedmdesátých let věnovat počítačům.





? Předtím, než jste se věnoval hackingu, měl jste nějaké jiné záliby?



Před skutečným hackováním jsem se věnoval phreakingu. To je zkoumání

telefonních sítí přibližně stejným způsobem, jakým dnešní hacker zkoumá sítě

počítačové. Navíc jsem se zajímal o rádiové komunikace. A mým koníčkem bylo

také kouzelnictví.





? Člověk nedělá věci jen tak, bezdůvodně. Co vám osobně hacking přinášel?



Hacking pro mě znamenal rozšíření znalostí, osobní výzvu, možnost dostat se

někam, kam bych normálně neměl přístup. A především uspokojoval moji vášeň pro

techniku. V žádném případě pro mě hacking nebyl o poškozování někoho, výzvou

pro mě bylo pouze překonávání překážek. Byl jsem počítačový nadšenec a stále

jsem. Ale nedělal jsem nic ilegálního, protože když jsem s hackingem poprvé

začal, nebylo to nelegální. Prostě nebyl zákon. A taky šlo o pokračování mého

zájmu v kouzlení, vytváření iluzí.





? Vzpomenete si ještě na svůj první úspěšný počítačový útok?



Samozřejmě. Studoval jsem na střední škole a naprogramoval jsem simulátor

přihlašovacího okna. Takže když pak přišel učitel a zadal přihlašovací jméno i

heslo, zadal ho vlastně do mého programu. A já jsem za ním druhý den přišel a

jméno i heslo mu řekl. Velmi se podivil a změnil si je. To se pak opakovalo

ještě několikrát a jeho hrozně štvalo, že nemohl zjistit, jak to dělám.





? V průběhu tiskové konference, která tomuto rozhovoru předcházela, jste se

zmínil, že po hackerech vždy zůstávají stopy. Zůstávaly i po vás?



Ano, samozřejmě. V mnoha případech poté, co jsem se dostal dovnitř, už mi bylo

jedno, co se stane později. Byly situace, kdy jsem se snažil nezanechávat

stopy, a byly situace, kdy mi na tom nezáleželo, takže nějaké nepochybně

zůstaly.





? Napsal jste knihu. Je to jen komerční tah, kdy se snažíte co nejvíce vytěžit

ze svého jména, nebo je za touto knihou něco více?



Osobně si myslím, že ta kniha má fascinující obsah, protože vyplňuje velkou

mezeru na trhu. Je to dáno tím, že sociální inženýrství což je technika

používaná VELMI často nemá v literatuře odpovídající místo. V každé knize je o

ní většinou stránka nebo dvě, když moc, tak jedna kapitola. A takto to vypadá

ve stovkách knih o počítačové bezpečnosti.



Naštěstí mám ještě mnoho dalších materiálů, které mohu zpracovat k tomuto

skutečně aktuálnímu tématu, protože sociální inženýrství není o technikách

hackingu, je to o sociální psychologii. A využití vlivu, klamu a dalších

záludností je jen prostředkem k získávání citlivých informací.



Klamy a triky jsou prostě způsobem, jakým hackeři a průmysloví špióni

kompromitují své cíle. A když ještě k těmto sociálním útokům přidáte útoky

technické, mohou se stát velmi, velmi nebezpečnými.





? Propuštěn jste byl pod podmínkou, že sedm let nebudete jakkoliv komentovat

své bývalé hackerské aktivity. Plánujete po uplynutí této lhůty napsat další

knihu jakýsi skutečný příběh Kevina Mitnicka?



Ano, rozhodně to připravuji poté, co skončí restrikce vůči mé osobě. Možná to

nebude až po uplynutí sedmi let, protože hodlám najmout advokáta a těmto

omezením se bránit už v dohledné době. To, co je konáno proti mé osobě, je

podle zákonů Spojených států neústavní.



V sedmdesátých letech rozvířil dění ve Státech příběh vraha, který zabil

několik prostitutek, a byl odsouzený na doživotí. Úřady jej přinutily zastavit

psaní knihy a profitovat tak ze svého zločinu. Následně vznikl zákon, že pokud

jste usvědčený ze zločinu, nemůžete z něj profitovat. Nejvyšší soud Spojených

států to ale zvrátil s tím, že každá osoba má ústavní právo vyjadřovat se.

Takže v mém případě je spousta legislativních otázek, zdali jsou restrikce vůči

mé osobě oprávněné či nikoliv. Nejpozději za čtyři roky (v roce 2007 vyprší

sedmiletá lhůta pozn. autora) budeme moudřejší.



Ale na konec tohoto roku připravuji ve Spojených státech svoji další knihu po

Art of Deception (Umění klamu) chystám Art of Intrusion (Umění průniku). Je to

příběh skutečných útočníků jak kompromitují své cíle, jaké slabiny systémů

využívají a jak zajistit, aby se něco podobného čtenářům knihy nestalo.





? Čas od času se objeví informace, že hackeři jsou placeni bezpečnostními

firmami. Vás osobně někdy nějaká bezpečnostní firma najala?



Tu a tam se objevují zprávy, že například antivirové firmy najímají

programátory, aby psali viry. Ale kdyby to byla pravda a dostalo se to na

veřejnost, zruinovalo by to celou firmu. Myslím, že s něčím podobným je spojeno

příliš velké riziko.



Já osobně v současné době jednám s jistou společností v Londýně, abych

otestoval jejich produkt. Je to hardwarové zařízení přesněji hardwarové

bezpečnostní zařízení. Ale na tom není nic nelegálního.



A dříve jsem si za podobnou činnost nenechal platit, nikdo po mě nic podobného

nechtěl.





? Jste známý tím, že dokážete obratně používat sociálního inženýrství. Jaký je

ve vašem případě poměr mezi ním a skutečnými hackerskými technikami?



V mém případě padesát na padesát.





? Na světě je mnoho hackerů nebo alespoň lidí, kteří se za hackery považují.

Jen málo z nich ale bylo dopadeno a odsouzeno. Nejslavnějším z nich se stal

Kevin Mitnick. Proč?



Já myslím, že to má hodně co do činění s mýtem Kevina Mitnicka. Jeden reportér

pracující pro New York Times vytvořil senzační příběh, napsal fiktivní

sumarizaci mých aktivit a vytvořil neuvěřitelný strach v americké veřejnosti.

Stal jsem se tak čítankovým příkladem pro federální vládu jako počítačový

hacker a mé jméno proniklo jako velmi známé na veřejnost. A tak jsem se stal

odstrašujícím příkladem.





? Jak vlastně FBI získala důkazy proti vám?



Na tom nehledejte nic zvláštního. Jakmile jsem byl lokalizován, provedli

domovní prohlídku, zabavili počítače a z nich získali příslušné důkazy.





? Dobře, ale proč se FBI rozhodla, že vás bude stíhat? Kde byl prvotní impuls,

že na vás přišla?



To nemohu komentovat.





? Několik let jste byl ve federálním nápravném zařízení, i po propuštění

následoval trest v podobě zákazu používání elektronických zařízení. Neztratil

jste za tuto dobu kontakt s novými technologiemi?



Samozřejmě, že když je člověk odříznutý od reálného světa, mnoho věcí zapomene

a mnoho se změní. Ale sám jsem na druhé straně překvapený, kolik toho zůstalo a

že staré triky fungují i v nové době.





? Kdysi jste se věnoval hackingu, nyní se nacházíte takříkajíc „na druhé straně

barikády“. Udržujete stále ještě kontakty s hackery?



Ano, nějaké kontakty stále mám. Opakuji ale, že nevykonávám žádnou ilegální

činnost. Udržuji své kontakty s hackerskou komunitou, protože mě velmi

podporovala a také od ní dostávám informace o různých bezpečnostních problémech

a nedostatcích dříve, než jsou oficiálně zveřejněné.





? Kdybyste měl možnost něco ve svém životě změnit, co by to bylo?



Kdybych měl možnost postavit stroj času, rád bych se vrátil do dob

vysokoškolského studia. Ale kdyby to šlo, ponechal bych si své současné

znalosti. [Smích.] To bych opravdu rád udělal, ale bohužel je to nemožné.





? Asi každý vidí, že současnost počítačové bezpečnosti je slušně řečeno

tragická. Jak vidíte její budoucnost?



Bude to stále hra kočky s myší. Stále bude skupinka osob schopných najít

bezpečnostní nedostatky a využít je. A na druhé straně se budou výrobci

softwaru, tvůrci operačních systémů a dodavatelé bezpečnostních řešení pokoušet

zastavit tyto průniky a narušení. Nevěřím, že někdy bude nalezeno stoprocentní

řešení. Naopak věřím, že přestože se bezpečnostní technologie stávají

pokročilými a úspěšnějšími, stále se nacházejí a budou nacházet využitelné

nedostatky. Například je-li vaše softwarové bezpečnost na vysoké úrovni, vaše

fyzická bezpečnost je velmi slabá. A útočník pak může snadno vstoupit do vaší

budovy a připojit se do sítě. Velmi jednoduchý útok. A útočník získá přístupová

práva.



Útočník prostě analyzuje celkovou situaci a hledá nejslabší body celého

řetězce. Myslím, že největší hrozbou jsou lidé, protože každý sociální útok,

který jsem se pokusil v minulosti provést, byl úspěšný. Opravdu věřím, že lidé

jsou nejslabším článkem.



Hacker #1: Klávesnice jako zbraň – Rozhovor s nejslavnějším hackerem světa

Kevinem Mitnickem II



? Mohl byste nám prozradit, jakým způsobem chráníte svůj osobní počítač?



Jak vidíte, nosím jej stále při sobě, prostě ho nenechávám jen tak v autě.

Zálohuji svá data mnoho lidí nezálohuje data právě z laptopů, protože je mají

stále s sebou což je minimálně zvláštní. Dále mám personální firewall,

antivirový program a snažím se pravidelně záplatovat. Čas od času spouštím

programy, které mají za cíl nalézt, zdali se v mém počítači neobjevil nějaký

spyware. Jsem opatrný, což ale neznamená, že jsem v bezpečí. Pokud se objeví

nový bezpečnostní nedostatek ve službě, kvůli které mám nějaký port otevřený

podotýkám, že firewallem se pokouším mít stále uzavřené všechny nepotřebné

porty samozřejmě může nastat velmi nepříjemná situace. Zvláště nebezpečné jsou

nedostatky na klientské straně, kdy vám prohlížeč může nahrát do počítače něco

proti vaší vůli. Proto se snažím svůj počítač udržovat co nejvíce s dobou.





? Je pravdou, že došlo k hacknutí také vašich osobních stránek?



Ano, to je pravda. Protože jsem dlouho nesměl k počítači a protože jsem měl

málo času, jeden nadšenec se nabídl, že se mi bude starat o mé stránky. Jenomže

jim nevěnoval odpovídající pozornost a samozřejmě je někdo hacknul. Prostě

chtěl získat skalp Kevina Mitnicka. Pochopitelně se tím pochlubil a senzace

byla na světě: hacknuté stránky nejslavnějšího hackera! Jak jsem ale uvedl, na

těch stránkách jsem osobně neměl žádný podíl a když jsem je pak chtěl převzít a

odstranit bezpečnostní chyby, musel jsem zatelefonovat onomu nadšenci. Já jsem

k nim totiž neměl ani heslo.



Tyto stránky jsme pak přesunuli k profesionálnímu poskytovateli služeb a od té

doby jsou místem zajímavého střetu. Na jedné straně je komunita hackerů, která

na ně usilovně útočí ve snaze se zviditelnit. A na straně druhé je komunita

hackerů, která je usilovně brání.





? Co hodláte dělat v budoucnosti?



V současné době jsem konzultant přes počítačovou bezpečnost a jsem

spoluzakladatel i CEO společnosti Defensive Thinking. Zaměřujeme se na školení

počítačové bezpečnosti, připravujeme dvoudenní semináře pro firmy, děláme

penetrační testy, bezpečnostní analýzy. Já osobně se navíc věnuji veřejným

vystoupením a cestuji s přednáškami o počítačové bezpečnosti po celém světě.

Také jsem předsedou dvou bezpečnostních konferencí ve Státech. Jedna se jmenuje

„360 Security Summit“ a bude se konat koncem roku. Další nazvaná „Access

Denied“ (Přístup odepřený) se bude konat v roce 2004.





? Chtěl byste na závěr něco vzkázat lidem zejména mladým kteří vás vidí jako

vzor?



Opravdu si myslím, že dnešní mladí lidé se nemusejí vydávat v mých stopách.

Když jsem začínal s počítači, nebyly tak jednoduché a dostupné. Osobně jsem já

a mí rodiče kdysi vydali za počítač mnoho a mnoho peněz, ale dnes… Systémy

jsou nyní k dispozici za zlomky ceny. A tak když chce někdo hackovat, není

problém pořídit si dva počítače a dělat útoky mezi nimi. Já vím, není to ono,

ale skutečné hackování nikomu nedoporučuji následky mohou být velmi tvrdé.



Za rozhovor poděkoval a co nejméně bezpečnostních incidentů popřál

Tomáš Přibyl.







Žaloba proti Kevinu Mitnickovi se skládala z 25 obvinění: například

ilegální vlastnictví počítačových souborů odcizených z takových společností,

jako např. Motorola, NEC a Sun, krádeže státních tajemství, proniknutí do

národního systému obrany, atd.







Malý slovníček



Hacker, hacking – člověk, který provádí ve světě informačních technologií

zásahy do softwaru (anglicky hack zásek). Původně byli hackeři lidé, kteří

upravovali vytvořené počítačové programy pro použití v konkrétním prostředí,

postupem času slovíčko získalo jiný význam a označuje všechny vykonavatele

nelegálních činností v kybernetickém světě.



Malware (Malign Software) – škodlivý program. Souhrnné označení veškerých

nežádoucích programů, které se v kybernetickém prostoru vyskytují (viry, síťoví

červi apod.).



Phreaker, phreaking – člověk, který provádí útoky na systémy telekomunikačních

firem. Cílem může být osobní zisk (telefonování zdarma, za snížený poplatek

apod.) nebo pouhé zadostiučinění (překonání bariér, možnost pohybovat se v

„zakázané“ zóně aj.).



Sociální inženýrství – technika útoku, která má za cíl získat data a informace

z nejslabšího článku bezpečnostního řetězce (což je zpravidla člověk). Vesměs

využívá klamu nebo podvodu.



Spyware (Spy Software) – sledovací program. Počítačový software, který je

instalovaný v počítači a monitoruje prováděné úkony (veškeré nebo jen některé)

zadávání hesel, spouštěné programy, psané e-maily apod.









Útok na nejslabší článek sociální inženýrství



Tomáš Přibyl



Social engineering. Sociální inženýrství, nebo někdy také sociotechnika.

Nesmírně nebezpečná technika (nejen) počítačového útoku, protože je zaměřena na

nejslabší článek celého systému, kterým bývá až na čestné výjimky potvrzující

pravidlo člověk. Jakmile selže „lidský faktor“, jsou všechna implementovaná

bezpečnostní opatření zbytečná.



Sociální inženýrství vychází z filozofie, že není nutné hledat žádné složité

cesty, jak se dostat do počítačových systémů, když existují způsoby jednoduché.

V reálném světě také není nutné vylamovat dveře od třinácté komnaty, když máte

v ruce klíč. A proč se v informačních technologiích pokoušet o časově a

znalostně náročné útoky, když se do systému lze dostat veskrze jednoduchým

způsobem? Stačí přece znát heslo.



Že byste heslo nikdy nikomu neřekli? Za normálních okolností asi těžko. Když

vás na ulici zastaví neznámá osoba a vybafne na vás „Heslo!“, zřejmě odejde s

nepořízenou. Ale pokud to provede poněkud rafinovanějším způsobem, má na úspěch

velkou šanci. A dokonce si třeba ani neuvědomíte, že jste heslo prozradili.

Sociální inženýrství je zkrátka umění. Umění s velkým „U“.



Představte si následující případ. Přijde vám e-mailem zpráva, že jste si v

internetovém obchodě E-Kvelb objednali to a to zboží v té a té ceně. Obchodní

server ale potkal výpadek, takže si nejsme jisti správností našich dat a

nabízíme vám možnost zrušit objednávku na alternativní adrese. Pokud ale

objednávku nezrušíte do určeného času, bude příslušná částka stržena z vašeho

bankovního účtu a zboží zasláno poštou.



Vy se vyděsíte. Nic jste si neobjednali a za to byste měli platit? Navíc je zde

časový limit, takže je nutné jednat rychle. Alternativní web? Jaképak

podezření, „spadlé“ počítače jsou běžnou součástí kybernetického prostoru. Tak

honem zadat požadované informace, hlavně abychom se vešli do časového limitu

(který zpravidla není nikterak velkorysý). Sláva, stihli jsme to a zachránili

své drahocenné finance!



Anebo to bylo úplně jinak? Vžijte se nyní do role útočníka, který potřebuje

vyzískat třeba jakékoliv přihlašovací jméno a heslo pro přístup do

internetového obchodu E-Kvelb. Získat e-mailové adresy (některých) zákazníků

není tak složité, jak by se na první pohled mohlo zdát. Většina webových

obchodů má u svých produktů i diskusní fóra, kde mohou zákazníci vyjádřit své

názory. Vytvořit e-mail s falešnou adresou odesílatele (třeba

obchod@e-kvelb.com) také není žádným problémem. Ostatně, dokáží to i primitivní

počítačové viry jako třeba Sobig.F nebo Swen, tak proč by to nedokázal průměrně

vzdělaný uživatel? A vytvořit webovou stránku s rozhraním, které se tváří jako

přihlašovací formulář, jistě není na maturitu z programování, stejně jako její

umístění na nějaký veřejně přístupný server.



Hotovo. Stačí jen odeslat e-maily a následně si z databáze vybírat přihlašovací

jména i hesla, na jejichž kontu hodlám v E-Kvelbu nakupovat, a zboží si

nechávat posílat na nějakou nastrčenou adresu (P.O.Box). Jakmile mám k

dispozici heslo, mohu zpravidla změnit adresu odběratele i komunikační e-mail

ale byl bych blázen, kdybych měnil fakturační údaje.



Primitivní útok? To rozhodně ano. Ale nesmírně účinný, a především funkční. A

skutečný sociální inženýr by nad ním nejspíše jen mávnul rukou, protože je

schopen vymyslet věci mnohem sofistikovanější a rafinovanější.



Šlo skutečně jen o ilustrační příklad, jakým způsobem lze z veřejně běžně

dostupných informací a základních znalostí získat nesmírně cenné informace.



Sociální inženýrství funguje tak, že má za úkol snížit pozornost člověka, aby

vykonal úkon, který by za normálních okolností neprovedl, nebo by dokonce pojal

podezření a přijal by odpovídající protiopatření. V předchozím případě uživatel

nejenže pravděpodobně nepojal podezření, že vyzradil citlivé informace (protože

na něj nebyl vyvíjen nátlak, ale on sám se rozhodl tyto údaje poskytnout), ale

navíc měl dobrý pocit, že zabránil hrozící škodě. Jak kruté pak bylo po

několika dnech vystřízlivění!



K základním metodám používaným sociálním inženýrstvím patří:



- Stres – člověk pod tlakem reaguje jinak než člověk v pohodě, který má čas nad

věcmi přemýšlet. Zvláště ve velké firmě platí, že ne každý zná každého, a když

zazvoní telefon, že je potřeba vykonat tu a tu činnost či sdělit takovou

informaci, aby se zabránilo velkému průšvihu, asi jen málokdo zaváhá.



- Nebezpečí – krásný a jednoduchý příklad už byl uveden na předchozích řádcích.

Vaší peněžence hrozí nebezpečí. Když nechcete, nic nedělejte. Ale kdybyste se

přece jen rozhodli něco udělat.



- Vydávání se za někoho/něco známého – opravdu je osoba v e-mailu nebo v

telefonu skutečně tím, za koho se vydává? Zvláště v armádě se hierarchie

hodností dodržuje více než důsledně. Ale i v civilu platí, že když zavolá nová

asistentka generálního ředitele, asi jen největší odvážlivec by jí odmítl

sdělit požadovanou informaci.



- Důvěryhodná činnost – útoky není potřeba provádět pouze vzdáleně. Člověk s

brašnou a v montérkách propluje hlavně do objektu velké firmy zpravidla bez

větších potíží. A když se předtím ještě třeba telefonicky objednal (nebo když

ho dokonce objednal někdo jiný), má dveře otevřené prakticky všude.



- Lákavá činnost – lidé zpravidla nejsou příliš složitými osobnostmi, alespoň

ne v základních potřebách. A tak není divu, že třeba e-mailoví červi,

vydávající se za soubory s lechtivým obsahem, dosahují větší úspěšnosti než

jejich „serióznější“ kolegové. Viz třeba červ Anna Kurnikovová antivirové

programy jej znaly už mnoho měsíců, a přesto slavil obrovský úspěch. Člověku

pak není problém jakýmkoliv způsobem podstrčit něco „lechtivého“, a téměř

určitě sedne na vějičku.



- Tajemství – na chodbě firmy leží disketa a na ní je samolepka „Výplaty

2002/03“. Dříve či později ji někdo zvedne a je velká pravděpodobnost (skoro až

jistota), že příslušnou disketu vloží do počítače. Zvědavost vítězí. Samozřejmě

jediný program na disketě spustí a zároveň s tím si v příslušném okamžiku mohl

nainstalovat do počítače nějaký nástroj pro útočníka.



Takto bychom mohli pokračovat cílem předcházejícího seznamu nebyl výčet úplný,

ale jen naznačení nejčastějších směrů, jimiž se sociální inženýři ubírají.

Zkrátka a dobře, sociální inženýrství je metoda, která (ať se nám to líbí nebo

ne) funguje.



Na sociálním inženýrství je přitom nejhorší skutečnost, že se proti němu špatně

brání. Útočník si volí podobně jako v reálném světě čas, místo a způsob útoku,

ale navíc to provádí způsobem, který na první pohled nemusí vypadat jako útok.

A v tom je největší nebezpečí sociálního inženýrství jedná se skutečně o

manipulaci s lidmi. Některé tipy a triky, jak se bránit, ale přece jen existují:



- Zachovejte si chladnou hlavu. Nic není horší, než zbrklé chování útočník to

ví a počítá s tím. Opravdu je nějaký důvod ke spěchu?



- Ověřujte, ověřujte, ověřujte. Nikdy sice nedokážete ověřit všechny informace,

ale v případě některých je to velice jednouché a rychlé (jsou předkládaná

tvrzení pravdivá/reálná?, je dotyčná osoba tím, za koho se vydává?).



- Získejte informace a čas. Někdo telefonuje a má neobvyklý požadavek? Vezměte

si od něj číslo a zavolejte mu za pět minut (pokud nepracujete u hasičů,

záchranky nebo na policii, pak se zpravidla nic nestane).



- Buďte obezřetní. I zdánlivě bezvýznamné informace mohou být v nesprávných

rukou nebezpečné. Mám/mohu to dotyčné osobě sdělit?



Další opatření jsou pak spíše organizačního charakteru a měla by být řešena na

úrovni organizace, nikoliv jednotlivce: vypracovat a dodržovat komunikační

kanály, zajistit roztřídění informací (tajné, důvěrné, veřejné apod.),

ověřování totožnosti zákazníků/dodavatelů atd.



Podtrženo, sečteno sociální inženýrství bývá velmi často podceňovanou, a stejně

tak nedoceňovanou metodou získávání informací. Velmi správně totiž předpokládá,

že nejslabší články počítačových systémů se nacházejí mezi židlí a klávesnicí.





Hacker #1: Klávesnice jako zbraň – Rozhovor s nejslavnějším hackerem světa

Kevinem Mitnickem III





Jak vytvořit opravdu dobré heslo



Tomáš Přibyl



Vytvořit heslo? Nic složitého vždyť je kolem nás tolik krásných věcí, jejichž

jména můžeme použít. Stop! No právě!



Proč nemůžete jako heslo použít třeba jméno své babičky? Vždyť je

nepravděpodobné, že by ho někdo znal. To je sice pravda, ale útočník stejně tak

dobře nemusí a nepotřebuje vědět, že máte jako heslo nastavené právě jméno

babičky. Prostě vyzkouší většinu běžně používaných slov a mezi ně ženská jména

rozhodně patří (tedy pokud vaše babička nepocházela z nějakého indiánského

kmene). Že je to zdlouhavé a náročné? Omyl na druhou v současném světě

informačních technologií může potencionální útočník vyzkoušet tisíce slovíček

během několika sekund.



Pokud chceme získat přístup do nějakého systému, je nejjednodušší získat právě

heslo a pak máte přístup otevřený. A jak se k heslu dostat? Je to celkem

jednoduché. Lidé jsou líní a pohodlní někdy nezadávají heslo žádné (prázdné

heslo). Jindy zadají jako heslo slovíčko „heslo“ (na to hned tak někdo

nepřijde, že?). Velice často se lze setkat s tím, že jako přihlašovací login je

příjmení a jako heslo křestní jméno (nebo naopak). Mnoho aplikací má zase

defaultně nastavené heslo, a administrátoři se zpravidla neobtěžují jej měnit.



Chceme-li ale vytvořit heslo opravdu bezpečné, musíme si tyto skutečnosti

uvědomit útočníci si jich jsou každopádně vědomi. Zároveň je dobré si uvědomit,

jakým způsobem se útoky provádějí. V prvé řadě je to tzv. slovníkový útok.

Útočník prostě nasadí specializovaný software, který během krátké doby (desítek

sekund či několika málo minut) vyzkouší většinu běžně používaných slov (v

angličtině, v mateřském jazyce apod.).



Druhým typem útoku je tzv. útok hrubou silou. Ten je časově výrazně náročnější

a dříve nebo později je úspěšný. Problém je v tom, že při použití dostatečně

silného hesla (nebo ještě lépe password_phrase heslové fráze či věty) může jeho

prolomení trvat nereálně dlouhou dobu. Třeba i tisíce či statisíce let. Útok

hrubou silou prostě zkouší všechny přípustné možnosti hesla. Pokud máte

jednoznakové heslo, je otázkou kratičké doby vyzkoušet všechny možnosti. Pokud

je heslo dvouznakové, už je možností, které je nutné vyzkoušet, na druhou

tolik. V případě tří znaků na třetí atd. Jak vidno, počet možností roste

geometrickou řadou.



Z těchto poznatků vyplývá několik pravidel pro vytvoření bezpečného i silného

hesla a jeho každodenního používání:



- Heslo by mělo být dostatečně dlouhé (zpravidla se doporučuje osm znaků).

- Heslo by nemělo být tvořeno jakýmkoliv běžně používaným slovem.

- Heslo by nemělo být vytvořeno ve vztahu k uživateli (aby nešlo odhadnout).

- Heslo by mělo být co nejpestřejší (mělo by obsahovat číslice, speciální

znaky, velká i malá písmena).

- Heslo si nikde nepoznamenávejte!

- Heslo pravidelně obměňujte!

- Heslo nikomu za žádných okolností nesdělujte!!!



A jeden drobný tip na závěr: snažte se nepoužívat v hesle písmena „z“ a „y“.

Zvláště, pokud se pokaždé přihlašujete z jiného počítače (např. freemailová

poštovní schránka). Nikdy nevíte, jaká je kde klávesnice a nepoznáte, zdali je

správné heslo „********“ nebo „********“.