Zdroj: incident.sk
Pred viac ako troma týždňami sa rozbehla posledná štvrtá séria populárneho seriálu Mr. Robot a tak som sa rozhodol, že budem komentovať hackovanie v jednotlivých častiach. Ak chcete seriál pozerať zo Slovenska, tak sa dá kúpiť na Amazon Prime Video. POZOR! Spoilers! Ak ste ešte seriál nevideli, tak v nasledujúcom texte odhaľujem niektoré časti deja. Ak ich nechcete vedieť dopredu, tak prestaňte čítať.
Časť č.3 – 403 Forbidden
Spyware/stalkerware
V prvej tretine tretej časti sa nedeje nič čo by stálo za zmienku, ale po neplánovanom stretnutí Elliota/Mr. Robota s jeho bývalou psychologičkou Kristou vidíme chlapíka ako pozerá do mobilu. Zdá sa, že predierajúc sa davom na ulici niekoho sleduje. Sleduje Elliota/Mr. Robota? Má v tom prsty Darlene a jej upravená aplikácia Signal? Tento spôsob sledovania je celkom reálny. Ak má chlapík prístup ku GPS súradniciam z mobilu Elliota cez nejaký spyware, tak by mohol vidieť pohyb jeho mobilu na mape. Na internete sa dá kúpiť spyware/stalkerware od firiem, ktoré ho cielia na žiarlivých alebo manipulatívnych partnerov. Tento typ ľudí ho zneužíva na sledovanie svojich partnerov tak, že ak sa fyzicky dostanú k mobilu partnera, tak im tento spyware/stalkerware nainštalujú. Dávajte si pozor na tento typ ľudí.
OSINT, hacking, SS7
V ďalšej scéne sa dostávame k technike OSINT (Open-source intelligence). Elliot a Darlene sa snažia zistiť niečo o žene, ktorá ich zaujíma z voľne dostupných informácií na internete. Ľudia o sebe na internete prezrádzajú niekedy príliš veľa. V tomto prípade prechádzajú napríklad jej Facebook účet.
V rovnakej chvíli vidíme, že Elliot sa zrejme nabúral do jej emailového účtu a prechádza jej kalendár a prílohy v emailoch. Nachádza zaujímavú schôdzku v kalendári a citlivú informáciu v prílohe. Oboje sa dá neskôr zneužiť. Ako sa mohol dostať Elliot do jej účtu? Ak obeť používa jedno heslo na všetky online účty a nemá nastavenú dvojfaktorovú notifikáciu, tak stačí nájsť email obete v databáze uniknutých prístupov. Ak jej email a heslo unikli aspoň raz z nejakej služby, tak jej heslo sa dá nájsť v databáze. S týmito databázami sa obchoduje a niekedy sa dajú stiahnuť aj zadarmo. Znova zopakujem, že nepoužívajte obyčajný nešifrovaný email na posielanie citlivých dokumentov. Ak tak predsa urobíte, zmažte ho následne z odoslaných emailov, príjemca by mal urobiť to isté čo najskôr po uložení na disk.
Na záver Darlene spomína SS7 licenciu. SS7 (Signaling System No. 7) je skupina protokolov navrhnutá ešte v polovici 70-tych rokov. Slúžia na vytvorenie a ukončenie telefonických hovorov v pevnej aj mobilnej sieti. Poskytujú rôzne služby ako SMS, preklad čísel a pod. Protokoly vznikli v dobe, v ktorej bezpečnosť nebola problémom, lebo tel. služby poskytovalo len zopár firiem. Vďaka nedostatkom v SS7 je možné len vďaka znalosti mobilného čísla obete sledovať jej polohu, odchytávať jej SMS alebo hovory. V roku 2017 bol zaznamenaný úspešný útok na bankové účty klientov v Nemecku cez odchytávanie SMS pre dvojfaktorovú autentifikáciu. Ak chcete prístup do mobilnej siete na tento typ útoku, tak buď si založíte virtuálneho operátora (licencia) alebo nelegálne preniknete do siete existujúceho operátora.
Lockpicking, hacking, dvojfaktorová autentifikácia
V nasledujúcej scéne používa Elliot nástroje pre lockpicking, aby sa dostal do bytu a následne k firemnému notebooku obete. Lockpicking je spôsob ako za pomoci rôznych nástrojov prekonať zámky bez originálneho kľúča. Ak ho ovládate, tak je to umenie. Na internete sa dajú kúpiť sady s priesvitnými kladkami a zámkami pre začiatočníkov. Je to zaujímavé hobby.
V byte nájdu súkromný aj firemný notebook obete. Z hľadiska bezpečnosti je dobré oddeliť firemný a osobný život. Firmy by nemali dovoliť prístup do svojej vnútornej siete cez počítač, na ktorý nemajú dosah (firemný antivírus, politiky, VPN pripojenie). Elliot štartuje firemný počítač obete do „System Error Recovery“ módu. Ide reálny útok, ale operačný systém na počítači nie je Microsoft ale „E Operating System“ a v skutočnosti vyzerajú obrazovky a postup trochu inak. Tento útok využíva to, že ak počítač nemá zašifrovaný disk a máte fyzický prístup, tak po premenovaní súboru cmd.exe na sethc.exe a reštarte, stlačíte v login obrazovke 5xSHIFT(sticky keys). Vďaka tomu sa spustí command line s admin právami a môžete zmeniť heslo používateľa. Na Windows 10 je postup nasledovný. Musíte naštartovať z externého média, napr. inštalačky Windows 10. Na prvej obrazovke dáte „Next“ a potom „Repair your computer“. V novom menu zvolíte „Troubleshoot“ a v ďalšom „Command Prompt“. Vykonáte tieto príkazy:
X:\sources>
X:\sources>c:
c:\>cd c:\Windows\System32
c:\Windows\System32>rename sethc.exe sethc.exe.bak
c:\Windows\System32>rename cmd.exe sethc.exe
c:\Windows\System32>exit
V menu zvolíte „Continue“ a po naštartovaní v login okne stlačíte 5xSHIFT a spustí sa command line. Zmena hesla je v obrázku nižšie a ste pánom počítača.
Obrázok č.1: Ukážka nastavenia ľubovoľného hesla vďaka zámene sethc.exe
Zdroj: incident.sk
Ako sa chrániť? Šifrujte disky na vašom počítači. Hlavne na prenosných počítačoch. Ak použijete BitLocker musíte nastaviť v Group Policy zadávanie PIN pri štarte alebo prítomnosť USB kľúča alebo oboje inak vám šifrovanie nepomôže. Nakoniec Elliot stiahne heslá z prehliadača Firefox a na svojom Kali Linux počítači ich natiahne cez ffpass Python skript. Našťastie najnovšia verzia Firefox už neumožňuje import a export hesiel, ale môžete si ich synchronizovať cez nástroje Firefox.
Nakoniec sa Elliot prihlási cez VPN do banky. Na to mu stačí len meno a heslo, čo v reálnom svete nie je dobrý nápad. Prístup do VPN by mal byť chránený druhým faktorom. Pri pokuse prihlásiť sa do účtu obete v banke zistí, že nemá druhý faktor (to je už z hľadiska bezpečnosti lepšie). Podľa vzhľadu loginu ide o RSA SecurID time-based token. To znamená, že kód zobrazený na displeji tokenu sa zmení po určitom časovom intervale. Elliot neskôr spomenie, že to je 60 sekúnd, čo je naozaj pravda. Existujú aj tokeny, ktoré generujú kódy v rade za sebou a nemenia sa s časom, sú statické. V tomto prípade vám stačí prístup k tokenu na malú chvíľu a môžete si vygenerovať napr. 10 kódov a následne ich použiť. Nakoniec ste možno od svojej banky dostali challenge-response token. Systém vygeneruje výzvu, tú zadáte do tokenu cez klávesnicu a dostanete odozvu, ktorú zadáte do kolónky na web stránke.
Sociálne inžinierstvo
V záverečnej scéne Elliot aj keď trochu nemotorne dokáže zaujať a „zbaliť“ majiteľku tokenu, aby neskôr v nestráženej chvíli odoslal práve aktuálny kód čakajúcej Darlene. Dávajte si pozor na svoje fyzické tokeny, stratu okamžite hláste adminom, aby token zablokovali.
Štvrtá časť už vyšla. Sledujte náš blog, popis hackingu v 4.časti uverejním v dohľadnej dobe.
Obrázok: USA Network
