Hálózatok biztonsága és feltörése "social engineering" módszerekkel

A hálózati biztonsággal kapcsolatos sajnálatos végeredmény általában az szokott lenni, hogy a hekkelés megtörténik, mivel lehetőség nyílik rá. A csalások legtöbb fajtája elkerülhető lenne, ha az emberek ragaszkodnának a józan protokollokhoz és a megfelelő biztonsági megoldásokhoz. Nem lehet elégszer említeni, hogy az IT biztonság legnagyobb hézagja az ember maga - azon sokaság, amely nap mint nap kapcsolatba kerül az IT rendszerekkel.

Sokkal könnyebben szerezhetünk fontos információt egy személytől, mint egy jól összeállított védelmi rendszerrel ellátott számítógép-rendszertől. Ez szokatlan állításnak tűnhet, mégis abszolút igaz. Ha egy teljes biztonsági megoldást alakítunk ki, majd karbantartjuk és fejlesztjük is, akkor nagyon nehéz a behatolást véghezvinni. Az emberek viszont teljesen más problémát jelentenek.

Egy biztonsági rendszerbe vetett töretlen hit a legnagyobb felelőtlenség, hiszen az emberek hozzászoknak, s egy idő után nem figyelnek már annyira. Minden falon van egy kapu, amin az emberek keresztül mehetnek; a hagyományos hekkelés a kapu áttörését foglalja magában. A social engineering viszont ráveszi a kapu őrét, hogy mosolyogjon szépen, miközben mi beosonunk.

Annak érdekében, hogy a következő néhány percben sikeresen koncentráljunk a lényegre, elmesélek egy történetet. A jogszerűség kedvéért egyértelműen kijelenthetem, hogy mindez a képzeletem műve, semmi köze a valósághoz.

Rejtőzködés nyílt terepen

Tételezzük fel, hogy megbízott egy cég azzal, hogy felkonfiguráljak néhány internetes alkalmazás-szervert. Ez kedvelt célpontja a hackereknek: egy online pénzügyi intézmény oldala.

Megbízásom szerint egy szerverfarmon kellett dolgoznom. Miután bemutatkoztam a személyzetnek, s lebonyolítottam néhány megbeszélést, nekiláttam dolgozni a fő IT területen kapott konzollal. Bevittem a kedvenc laptopom, beállítottam a DHCP-t, majd egyszerűen rácsatlakoztam a rendszerre. Puszta megszokásból gyorsan megnéztem, hogy milyen más eszköz látható még a rendszerben, kevert módban (sniffelés). Ez kimutathat egy korábbi vagy jelenlegi felhasználót vagy szoftvert, aki vagy ami illegális tevékenységet végzett a hálózaton.

A szerverszoba számos emelettel feljebb volt, s minden lift és bejárat biztonsági kártyákkal volt védve, hasonlóan egy hitelkártyához. Ha erre a területre kellett merészkednem, meg kellett kérnem valakit, aki kártyával rendelkezett, hogy csatlakozzon hozzám. Ez napjában többször is meg kellett tennem, ahogy a szükség úgy hozta.

Rövid idő múlva, fáradtan a sok miattam szükséges mászkálástól a helyzet egyszerűsödött. A bizalom úgy épült fel, ahogy a bizalmaskodás tiszteletlenséget szül: két hét múlva már kölcsön kaptam az alkalmazottak kártyáit, s rövid idő múlva megkaptam a saját ideiglenes kártyámat is.

*

Nirvána

A szerverszobában odaléptem a KVM switch-hez, hogy hozzáférjek a szervereimhez. Ott számos működő eszközt találtam, bejelentkezve, felügyelet nélkül. Az Eszköz #1 egy újonnan megépített Win 2003 szerver volt alapállapotban; az Eszköz #2 egy kisebb mailszerver volt, bejelentkezve, míg az Eszköz 3, 4 és 5 az én szervereim voltak, de volt még több is, például az egyik egy Cisco firewall dashboard-dal a képernyőn, tárva-nyitva. Az egyik gép, amelyik zárolva volt, úgy vonzott, mint egy mágnes. A poén kedvéért kipróbáltam az adminisztrátor jelszavára egy olyat, ami az én szervereim egyikén is be volt állítva. S hihetetlen, de bejutottam a közös jelszóval! Totális hacker nirvána!

A kényelem érdekében szükségem volt távoli parancssori hozzáférésre, hogy konkrét folyamatokat elindíthassak, illetve leállíthassak. Nem szeretem túlságosan a VNC-t, így feltettem a Netcat nevű programot, majd beállítottam a távoli parancshéjat. Abszolút orgazmus a hackereknek!

Tehát, itt állok, mint egy átlagos tanácsadó, s nagyon rövid idő alatt máris root hozzáférést kaptam minden rendszerhez, ami számít az adott szervezetben. Alapjában véve semmit sem hekkeltem meg, legalább is a szó elektronikai értelmében.

Ez a nagyfokú bizalom eléggé nyomasztó, s nagy ostobaságra vall. Mivel jó fiú vagyok, minderről beszámoltam az IT-menedzsernek is, aki nem volt túlságosan lenyűgözve attól, hogy egy hiányosságot fedeztem fel. Miután befejeztem az aktuális munkát, végeztem a többi dolgomat, majd néhány hónap múltán visszatértem ehhez a céghez egy rutinszerű szerver-egészség vizsgálat miatt.

Nem tudtam ellenállni az egyértelmű kérdés feltevésének: mi változott az utolsó látogatásom óta? Nos, úgy találtam, hogy a szerverek már nem álltak tárva-nyitva, mint korábban. Viszont továbbra is ugyanazt a jelszót állították be nekik.

Elég az udvariasságból, s ne aggódjunk annyit a kényelem miatt!

Egy ajtó, amin tíz másodperc alatt át lehet jutni, egy olyan átjáró, ami egy területhez való hozzáférést engedélyez. Valaki lehúzza a kártyáját, majd gyorsan kinyitja az ajtót, s besétál rajta; ez tiltott hozzáférésre ad lehetőséget a behatolónak, hiszen az ajtót nyitva lehet tartani.

Képzeljük el az uvarias alkalmazottat, aki lát egy gyönyörű nőt közeledni, aki ráadásul egy nagy bőröndöt cipel, ezért mosolyogva beengedő őt az ajtón. De mi a helyzet azzal a hálózattal, amiben engedélyezve van a DHCP, így bárki rácsatlakozhat?

Vegyük például azt a helyzetet, amikor valaki üt az asztalánál, s felhívják őt az "IT osztályról." A meleg hang így szól: "hello, kéne a felhasználóneved és a jelszavad" - ez nem működne, igaz? Nos, mi a helyzet akkor, ha valaki egy ideje figyel minket, így megtudott egyet s mást a családunkról, s beszélgetésbe kezd velünk: "Tegnap találkoztam a feleségeddel a könyvklubban, s erről meg arról beszéltünk..." Ez mondjuk még három percen át tart, s mivel az illető túl udvarias ahhoz, hogy az mondja "ööö, bocs, de nem tudom, hogy ki a franc vagy te...", inkább valamilyen bizalmat kezd táplálni a másik iránt. Ekkor az "IT szakember" elejt egy kérdést a jelszóra vagy hasonlóra vonatkozóan, s nagyobb eséllyel is kapja meg azt.

*

A behatolás feledése

Vegyük mindezt szemügyre egy másik nézőpontból, mégis a biztonsági kockázatok körül maradva.

Ismét megjegyezném, hogy mindez a képzeletem műve.

Egyik este felhívott a barátom azzal, hogy olyasmi van a birtokában, amivel az egyik kliensemet az őrületbe lehetne kergetni. Belementem a játékba, ezért meggyőztem a haverom, hogy megnézhessem a szerzeményét. Ezért hát elugrott egy sörre; elővette az ultrakönnyű laptopját (amire irigy vagyok), s mutatott egy fájlt, ami biztosan nem kéne, hogy nála legyen - de senki másnál sem.

A Microsoft Excel fájl, amit az Elcomsoft programjával megtört, egy olyan adatbázis volt, amit tipikusan az adminisztrátorok vezetnek. Ebben a fájlban az összes Oracle adatbázis felhasználóneve és jelszava neve benne volt, beleértve az OS-ek jelszavait is, amelyek az adatbázisokat kezelték, de a hitelkártya-kezelő gépek hozzáférései is mind a listában voltak.

A veszély elképesztő

Ezen jelszavak némelyikét én magam kreáltam, a céggel kapcsolatos munkám során. Minden szükséges részlet benne volt a listában, az összes adatbázishoz és külső VPN keresztüli kapcsolatokhoz is.

Ekkor egy mosoly kíséretében azt mondta: "van még más is." Számos olyan fájlnak a neve volt meg neki, amelyek a felhasználókhoz tartoztak, néhányukat személyesen is ismertem. Megkérdeztem, hogy teljesen megőrült-e, hogy ilyesmi van nála, hiszen ő a biztonsági főnök, így jó hírnevét védenie kell.

Ez ugyan nem jelentett neki nagy gondot, a fájlok pedig online elérhetőek voltak. Valaki feltette őket egy weboldalra! Szó sem volt arról, hogy egyedi hozzáférése lett volna az oldalhoz: bárki elérhette és letölthette a fájlokat, s szabadon játszogathatott vele. S mi történt ezután?

Azonnal felhívtam az IT-menedzsert a cégnél, hogy felhívjam a figyelmét a fájl tartalmára. Nagyon meghökkent, de nem azért, mert a fájl nyilvánosságra került: nem is tudta, hogy a fájl egyáltalán létezik! Ráadásul jól tudta, hogy ezen adatokhoz csak korlátozott számú embernek van hozzáférése, így mindenképpen ezek egyike vonható felelősségre az adatok létezéséért.

A szörnyűség 'a fenébe' pillanat

Amikor úgy tűnt, hogy a dolgok nem is fordulhatnának rosszabbra, egy barátom telefonált, hogy olyan információkra lelt, amik azt támasztják alá, hogy a fájlok egy mentési szalagról kerültek elő. Egy mentésről? Így már minden érthető. Ennyi anyaggal, ami a felhasználókhoz köthető, nagyon nehéz boldogulni; minek is pazarolná a hacker az idejét arra, hogy alacsony szinten álló felhasználók fájljait böngéssze, amikor megvan a lehetősége a root vizsgálatára. Ez esetben persze az összes root-éra!

Miután az IT-menedzser is tudomást szerzett a tényekről, el kellett ismernie, hogy a veszély hatalmas. Mindez azokon az embereken múlt, akik elkészítették a fájlt, hiszen ez önmagában is hatalmas biztonsági kockázatot jelent.

A probléma ott kezdődött, hogy ezeket az embereket nem lehetett kizárni az együttműködésből, hiszen a fájl készítője és a mentésért felelős személy is az igazgatói szinten állt.

*

Mit kéne tennünk ebben a helyzetben?

Úgy döntött, hogy a személyzet alapos vizsgálata nélkül kell lezárnia a problémát. Nevezhetjük lojalitásnak, de a szokásos 'mentsd a menthetőt' stratégiának is, ő mégis úgy döntött, hogy összeszedi magát és a a sodródó adathalmazokat, majd minden biztonsági hézagot befoltozva előveszi végre a személyzetet is.

Nem volt komoly próbálkozás a károkozásra. Ez az eset egyértelműen megmutatja, hogyan lehet kapcsolat az adminisztratív felhasználó és a hacker között.

Milyen potenciális veszély fenyegette az adatokat? Az adatbázisok rengeteg olyan adatot tartalmaznak, amikhez könnyen hozzá lehetett volna jutni, A gépek több ezer hitelkártya tranzakciót kezelnek, amik a hálózattal együtt veszélyben forogtak. Az IT-adminisztrátorok első harcvonala is tűz alá került.

S mindez csendesen elmúlt. Ez egy nagyon finom social engineering stratégia, amit a hackerek gyakran megkockáztatnak. Ha az adatokra leselkedő veszély elég magas vagy a cég eléggé neves, a behatolás már csak idő kérdése, s szinte észrevétlenül következik be.

Összejátszás?

Miről is van akkor szó?

Azt állítom tehát, hogy az olyan esetek mellett, amikor rájövünk a csalásra, olyan esetek is előfordulhatnak, hogy mindez észrevétlen marad. Tehát a tolvajok úgy juthatnak információhoz rólunk, a komplett személyzet is benne van az egészben?

Azt állítom tehát, hogy így működik ez az egész? Vagyis az IT-csalások büntetőjogi következmények nélkül zárulnak le? A legtöbb esetben volt lényeges esélye annak, hogy a cég infrastruktúrája destabilizálódik vagy a márkanév kárt szenved, ezért szigorítanak a biztonsági előírásokon?

Még több példa...

Van még számos féktelen példája a social engineering-nek, beleértve olyanokat is, amelyek közvetlenül a végfelhasználót érintik. A phishing is a social engineering egy formája. Egy másik jó példa, ami mostanában jött elő, hogy a hackerek részleteket közöltek a BBC híreiből a leveleikben, egy linkkel: "Bővebben..." Az emberek rákattintanak erre különösebb ellenőrzés nélkül, s nem is gondolnak arra, hogy miért kapnak levelet a BBC-től, így tudtukon kívül spyware-rel és trójaival fertőződnek meg.

A lista tovább folytatható. A fentebb említett problémák kapcsán nem a biztonsági rendszer vallott kudarcot, hanem a megvalósítás és a karbantartás protokolljainak be nem tartása. A kockázatok, amik ezzel járnak, mind emberi mind szervezeti oldalról, tisztán láthatók. Minden adat, a hitelkártyáktól a katonai titkokig felfedhetők az okosan alkalmazott social engineering segítségével, ami rengeteg manipulációs technikát és kémkedést is magában foglal.

Számos ilyen dologra kell figyelnie a biztonsági személyzetnek, ha a biztonsági számít valamit.