incident komentuje – hacking in Mr. Robot, časť č.6

MrRobot6

Zdroj: incident.sk

V októbri sa rozbehla posledná štvrtá séria populárneho seriálu Mr. Robot a tak som sa rozhodol, že budem komentovať hackovanie v jednotlivých častiach. Ak chcete seriál pozerať zo Slovenska, tak sa dá kúpiť na Amazon Prime Video. POZOR! Spoilers! Ak ste ešte seriál nevideli, tak v nasledujúcom texte odhaľujeme niektoré časti deja. Ak ich nechcete vedieť dopredu, tak prestaňte čítať.

Časť č.6 – 406 Not Acceptable

Proxy

V šiestej časti sa prelína niekoľko dejov, ale na začiatku keď Darlene telefonuje s Elliotom, tak potvrdzuje, že ich hack z predchádzajúcej časti bol úspešný a proxy im umožňuje vidieť nezašifrovanú komunikáciu. To je reálne a dokonca sa to bežne používa vo firemnom prostredí, aj keď o tom nemusíte ani vedieť, ak neviete kam sa máte pozrieť. Internet od 90-tych rokov prešiel jednou veľkou zmenou. V súčasnosti je väčšina komunikácie zašifrovaná. To je ale problém pre firemný firewall, ktorý nedokáže urobiť bezpečnostnú inšpekciu komunikácie. Preto sa používa „HTTPS interception“, čo je vlastne MITM (man in the middle) útok. Medzi vami a cieľovým web serverom je odpočúvacie zariadenie (napr. firewall), ktorého certifikátu dôverujete (napr. vám ho v práci nútene nainštalujú cez domain policy). Vaša komunikácia ide najprv na odpočúvacie zariadenie cez HTTPS a je zabezpečená certifikátom od tohto zariadenia, ktoré vygeneruje firewall na počkanie podľa toho, na akú doménu idete. Následne odpočúvacie zariadenie urobí za vás spojenie na cieľový web server, na ktorý ste chceli ísť a spojenie je zabezpečené cez HTTPS a verejný certifikát cieľového web servera. Vďaka hore popísanému postupu odpočúvacie zariadenie vie odšifrovať vašu vzájomnú komunikáciu (používate verejný certifikát odpočúvacieho zariadenia). Následne ju znova zašifruje, tentoraz verejným certifikátom cieľového servera. Pri odpovedi cieľového servera sa situácia opakuje v opačnom smere. Odpočúvacie zariadenie vidí všetku vašu komunikáciu aj keď je HTTPS. Ako zistiť či vo vašej práci robia MITM vašej komunikácie? Choďte napr. na stránku https://duckduckgo.com/ a pozrite si, kto vydal certifikát. Ak je tam DigiCert Inc. (teraz platný vydavateľ certifikátu pre túto doménu), tak je to OK, ale ak je tam iný vydavateľ, tak vaša komunikácia je skenovaná firemným firewallom.

Darlene a Elliot chcú vidieť nezašifrovanú komunikáciu, aby odchytili heslo používateľa, ktorý má vyššie práva ako Olívia.

Signal aplikácia a ZRTP protokol

Keď policajtka Dom telefonuje cez aplikáciu Signal s kontaktnou osobou Dark Army, tak ona povie slovo „clorox“ a Dom povie slovo „market“. Čo to znamená? Pred marcom 2017 sa pri volaní cez aplikáciu Signal používal protokol ZRTP. Keď ste niekomu volali cez Signal, tak na obrazovke sa vám objavili dve slová napr. „clorox market“. Ak nebol hovor odpočúvaný cez MITM (man in the middle), tak druhá strana videla rovnaké dve slová. Pred začiatkom hovoru ste si skontrolovali, či sú slová rovnaké, aby ste vylúčili odpočúvanie. Dnes sa to už nepoužíva a overenie funguje inak.

Vydieranie, MITM

V nasledujúcej scéne Elliot vydiera Olíviu. Využije informácie, ktoré získal z jej mailov v časti č.3. Bola kedysi závislá na lieku OxyContin a môže prísť o dieťa, ak bude mať pozitívny test. V USA majú teraz epidémiu závislostí od liekov ako OxyContin. Veľké korporácie vyrábajúce tieto lieky dlhé roky tlačili lekárov, aby predpisovali tieto lieky aj ľuďom, ktorí ich nepotrebujú. Ľudia sa stali masovo závislými a je to teraz obrovský problém súčasnej Ameriky. Ak chcete vedieť viac, na službe Netflix si pozrite „Patriot Act with Hasan Minhaj, volume 4, časť č.2 Fentanyl“. Elliot dal OxyContin do jej pohára s kávou a teraz potrebuje, aby zavolala niekomu kto má potrebné práva, aby Elliot a Darlene odchytili jeho heslo. Elliot kontroluje zachytenie prihlásenia na mobile, kde vidí „SSL Session log“, čo bude znova najskôr web stránka urobená extra pre tento záber. Po odkliku vidí niečo, čo sa podobá na výstup z programu Wireshark, ktorý je asi najznámejším nástrojom na analýzu sieťovej komunikácie. Heslo je „c0nv3rg3nce37“. Toto je vcelku reálne, len schopnosť Elliota mať všade internet a prístup kam chce je obdivuhodná. Wireshark samozrejme nemá mobilnú verziu a to čo vidí Elliot je prístupné väčšinou len zo samotného firewallu alebo proxy, ktoré robí MITM.

Na záver jedna rada. Ak ste v neznámom prostredí medzi ľuďmi, ktorých nepoznáte, dávajte si pozor na svoj pohár. Muži sú väčšinou omámení a okradnutí (páchateľky väčšinou ženy) a ženy by mohli byť zneužité aj okradnuté (prakticky vždy mužmi). Pozor na páchateľov a páchateľky v dvojiciach, jeden odpúta pozornosť, druhý upraví nápoj.

Rukojemníčka a ochrana zdravotných záznamov

Krista sa stala rukojemníčkou a je tiež okolnosťami donútená urobiť niečo čo nechce, tak ako Olívia. Ako Elliotova terapeutka prezradí, čo vie o Elliotovi a jeho druhej podobe M. Robotovi. Tu si pohovorme o lekárskom tajomstve a ako by mali lekári  a nemocnice bezpečne narábať a skladovať údaje o pacientovi. Na Slovensku máme celkom silnú právnu ochranu aj vďaka tomu, že sme v EÚ. Aká je realita? Nie veľmi dobrá. Nemocnice majú nedostatok odborníkov a peňazí. V praxi vidím snahu urobiť čo sa dá, ale v reálnom zabezpečení máme na Slovensku ešte veľké medzery. Za porušenie lekárskeho tajomstva už padali v EÚ pokuty. Napr. v podcaste č.34 sme hovorili o nemocnici v Holandsku, ktorá dostala pokutu 460.000 € za to, že zamestnanci si neoprávnene pozerali údaje o celebritnej pacientke. Audit odhalil, že kontrola prístupu k údajom pacientov bola biedna, nemali implementovanú dvojfaktorovú autentifikáciu a logy prístupov neboli auditované či niekto nepristupuje tam, kam by nemal. V USA v posledných rokoch uniklo množstvo údajov pacientov z poisťovní, za ktorými vraj boli čínski hackeri. Digitalizácia nášho života bohužiaľ priniesla jednoduchšie kradnutie citlivých údajov. Kým boli papierové, bola nutná fyzická návšteva na skopírovanie/ukradnutie.

Vymazanie mobilu a Signal

V takmer poslednej scéne Darlene nebadane vymazáva mobil, aby sa Dark Army nedostala k Elliotovej polohe a zachránila si na chvíľu svoj holý život. No a tu sa pristavme. Darlene dostala svoj mobil naspäť od Dom tesne pred príchodom Dark Army. Celý čas na ňu pozerajú traja členovia Dark Army a jej ramená sa nehýbu. Ako do pekla urobila wipe Android mobilu jednou rukou bez pohybu? Asi jej „mad skilz“ alebo čo. :o)  Na vymazanie Android mobilu potrebujete vypnúť mobil a zapnúť ho stlačením dvoch niekedy troch tlačidiel a podržaním. Následne v menu musíte vybrať „Recovery“ a po pár sekundách v ďalšom menu „Wipe data/factory reset“, odporúčam predtým aj „Wipe cache partition“. Mobil môžete vymazať aj z menu v Androide, ale to tiež bez pozerania na obrazovku nie je jednoduché. Celkom nereálne zobrazenie vymazania mobilu.

Signal v roku 2015 asi nemal „Registration Lock“, takže Darlene nie je v suchu. Dark Army môže stále znova bez problémov nainštalovať Signal na jej vlastný mobil s jej SIM kartou.

To je všetko zo 6.časti, siedma časť bude v USA vysielaná dnes a v pondelok by mala byť na Amazone. Sledujte náš blog, popis hackingu v 7.časti uverejním v dohľadnej dobe.

Obrázok: USA Network

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

Cena ITAPA 2022 opäť hľadá najlepšie projekty

Cena ITAPA 2022 opäť hľadá najlepšie projekty v oblasti inovácií, digitalizácie a modernizácie spoločnosti Bratislava 4. októbra 2022 – ITAPA už po 21-krát vyhlasuje prestížnu súťaž Cena…