Zdroj: incident.sk
Pred viac ako troma týždňami sa rozbehla posledná štvrtá séria populárneho seriálu Mr. Robot a tak som sa rozhodol, že budem komentovať hackovanie v jednotlivých častiach. Ak chcete seriál pozerať zo Slovenska, tak sa dá kúpiť na Amazon Prime Video. POZOR! Spoilers! Ak ste ešte seriál nevideli, tak v nasledujúcom texte odhaľujem niektoré časti deja. Ak ich nechcete vedieť dopredu, tak prestaňte čítať.
Časť č.1 – 401 Unauthorized
Sextortion, hacking, emaily, GPS
Začiatok prvej časti pripomína film Matrix. Aj tam hlavná postava dostane balíček a v ňom mobilný telefón. V tejto časti je to právnik a obálka obsahuje okrem mobilného telefónu, DVD médium aj USB kľúč. Na DVD je videonahrávka právnika ako chatuje z asi neplnoletou dievčinou. Ako sa k nej hlavná postava Mr. Robot/Elliot Alderson dostala nevieme, ale najskôr hackol domáci počítač právnika. Následne mu zavolá na telefón z balíčka a chce po ňom, aby klikol na link v emaile a následne podľa inštrukcií nakopíroval .pst súbor na priložený USB kľúč. Túto koncovku používa pre emaily Microsoft Outlook klient. Možno sa pýtate načo klikať na link, keď má vydieraný právnik fyzický prístup k počítaču? Možno ide o odvrátenie pozornosti adminov pred kopírovaním súboru, alebo ide o spôsob ako vypnúť antivírus pred kopírovaním. Následne dôjde k trochu komickej komunikácii z hľadiska bezpečnosti. Právnik ho upozorňuje, že jeho inbox je plný citlivých informácií zákazníkov. Mám pre vás všetkých zlú správu. Ak používate obyčajný nešifrovaný email na posielanie a ukladanie citlivých informácii, tak ste doomed already. Vaše bežné emaily sú chránené (ak vôbec) len pri prenose. Na záver od neho žiada zobrať so sebou kľúč s emailmi a chce, aby nechal v kancelárii svoj mobil, Fitbit náramok alebo smart hodinky ak ich vlastní. To je zjavne snaha, aby právnik nebol sledovaný cez GPS v týchto zariadeniach a jeho osobný mobil, keď pôjde na miesto schôdzky. To je rozumná rada ak idete na tajnú schôdzku. Urobí však chybu.
Spy games, kamery, Bluetooth beacon
Stretnutie je na slávnej stanici Grand Central v meste New York. Tam použije Mr. Robot/Elliot overenú taktiku špiónov. Sleduje právnika cez kamery z bezpečného miesta vo vlaku a zisťuje či nemá tzv.tail, či ho niekto nesleduje. Sofistikovanejšiu verziu vymysleli ruskí špióni. Dopredu sa dohodne miesto a čas stretnutia. Špióni dôjdu na miesto, ale tvária sa, že sa nepoznajú a držia odstup. Na tajný pokyn sa začne jeden zo špiónov pohybovať, druhý ho sleduje či nemá tail. Po dohodnutom čase a pokyne si úlohy vymenia. Ak je všetko v poriadku, tak sa po jednom dostavia na miesto stretnutia, kde môžu nerušene komunikovať. V našom prípade Elliot hackol kamerový systém stanice a sleduje právnika aj protivníkov cez kamery. Na importovanie .pst email súboru používa Elliot zjavne neexistujúci softvér „Expansion Inbox“. Následne Elliot hľadá informácie cez Google Search, čo ma trochu sklamalo. Elliot, čakal som že budeš kačkovať. A dostávame sa k chybe právnika. Elliot zistí, že sa približujú ľudia Dark Army a dozvedá sa, že si právnik zabudol odopnúť kartu zamestnanca, ktorá zjavne podporuje BLE (Bluetooth Low Energy) Beacon funkcionalitu. Takéto karty naozaj existujú a môžu mať dosah až 50 m. V uzavretej budove sa takto dá sledovať pohyb zamestnanca. Je nejasné ako to využila Dark Army, museli by mať tisíce čítačiek po celom New Yorku. Znie to nereálne. Nezabudnime ani na to, že právnik mal pri sebe mobil od Elliota a ten by sa dal tiež sledovať, ale nebolo by to až tak presné. A áno, GPS vo vnútri budovy je tiež nanič.
Byt ako honeypot
Na záver ide Elliot/Mr. Robot do bytu muža, ktorého meno mu dal právnik ako kontakt. Elliot/Mr. Robot zisťuje, že ide pascu. V byte nejde mobilný signál a dvere sa zamknú. Ide o honeypot byt. Slúži len na to, aby niekto v problémoch dal jeho adresu ako signál. Priznám sa, že o takom niečom som v reálnom živote ani nepočul ani nečítal. Niekto z vás? Napíšte.
Časť č.2 – 402 Payment Required
Brute-force for password
V druhej časti sa Elliot/Mr. Robot snaží dostať do E-coin peňaženky, aby zistil aké transakcie robila osoba, ktorej peňaženka patrila. Veľmi sa mu to nedarí, pretože to najskôr skúša hrubou silou. Toto je reálny scenár a ja len poznamenám, že na toto existujú aj špecializované cloud služby. Robiť to môžete aj doma a najlepšie v zime, lebo teplo zadarmo z grafických kariet vám zohreje izbu. Ak máte 8 znakové heslá a kratšie, považujte ich už teraz za prelomené.
Darkweb, AlphaBay, OPSEC
V ďalšej scéne sa policajtka Dom zúčastňuje vypočúvania kriminálnika a spomína sa darkweb AlphaBay. Táto stránka je reálna, ale od roku 2017 už nefunguje. Predávali sa na nej drogy, ale aj iné ilegálne komodity. Policajtka spomína, že dali dokopy kriminálnikove spojenia na darkwebe, a tak prišli na jeho ilegálny biznis. To je reálne, kriminálnici robia chyby v OPSEC (Operations security). Musíte si dávať pozor na to, či pri svojej činnosti nevyzrádzate informácie, ktoré by vás mohli kompromitovať. Chcete príklad? V minulosti boli chytení predajcovia drog na základe fotky drogy na darkwebe, kde mali vzorku drogy vysypanú na ruke. Fotka bola tak kvalitná, že policajti zobrali odtlačky prstov z fotky a po zadaní do ich systému našli už trestaného človeka.
Vzor, PIN a biometria
Dom aj Elliot používajú na odomknutie svojich zjavne Android telefónov vzor. V obidvoch prípadoch je veľmi jednoduchý. Používanie vzoru je OK, ale vyhnite sa dvom veciam. Nevyberajte si ľahký vzor, dávajte si pozor na kamery a ľudí okolo vás. Už ani neviem koľkokrát som videl vzor alebo PIN iných ľudí vo výťahu, stojac v rade na niečo alebo stojacich rovno predo mnou keď sa s nimi rozprávam. Pozor aj na biometriu ako je tvár (Apple) alebo odtlačok prsta. Berte na vedomie, že vaše odtlačky sú všade naokolo a keď spíte môže vám niekto priložiť prst na snímač. V tejto časti sa Darlene prizná, že tajne sledovala displej na mobile Elliota. Nebuďte ako Elliot :o). Kúpte si napríklad špeciálnu privacy fóliu na displej pre vaše zariadenia.
Signal, spy code name
Dom aj Elliot používajú na komunikáciu aplikáciu Signal, čo je reálna a naozaj používaná aplikácia pre end-to-end šifrovanú komunikáciu. End-to-end šifrovanie znamená, že len vy a osoba s ktorou komunikujete, môže vidieť čo si píšete. Nikto iný nemá vaše privátne kľúče. Výnimka je, ak je váš mobil alebo mobil druhej strany hacknutý. Nedajte si teda hacknúť mobil, čo je veľakrát náročné ak ste cieľom dobre vybavených ľudí. Neviem či ste si všimli, ale Elliot má Darlene uloženú v mobile ako úplne iné meno. To je znova taktika zo špionážneho sveta. Aby ste neprezradili svoj zdroj, dáte mu náhodné meno a to všade používate. V záverečnej scéne inštaluje Darlene Elliotovi upravenú verziu aplikácie Signal s pridanou GPS funkcionalitou (a vie vzor do jeho mobilu, facepalm a no comment). To je reálne, lebo Signal je open source aplikácia a jej zdrojový kód si môžete stiahnuť a upraviť (len žartujem, väčšina z vás vrátane mňa by nevedela čo s ním, len Darlene vie). Na záver len pripomeniem, že si neinštalujte neoverené aplikácie na svoj mobil (hlavne Androidisti) a už vôbec nie od Darlene.
Tretia časť už vyšla a boli v nej zaujímavé veci. Sledujte náš blog, popis hackingu v 3.časti uverejním už čoskoro.
Obrázok: USA Network
