Hlavní navigace

Dostat se k e-mailům šéfa CIA? Kupodivu to nebylo nic složitého

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal

Je to příběh ignorance, nedodržování nejzákladnějších pravidel a trochy štěstí s potřebnou dávkou sociálního inženýrství.

E-maily šéfa CIA Johna Brennena vypuštěné WikiLeaks přinášejí samozřejmě řadu obvyklých menších či větších odhalení, včetně řady otázek. Jedna ze souvisejících maličkostí je ale to, jak se vlastně podařilo něco tak zdánlivě nemožného – tedy proniknout k mailům šéfa CIA.

Především, pokud se stanete šéfem CIA, dalo by se předpokládat, že používáte dostatečně zabezpečené komunikační prostředky. Nikoliv, že si na „firemním“ e-mailu nastavíte přeposílání na soukromou schránku u AOL. 

Co Brennena k něčemu takovému vedlo, je těžké odhadnout, ale svědčí to o značné dávce počítačové i bezpečnostní negramotnosti. Ale také nezodpovědnosti a zároveň o zásadním nedostatku v (nejenom) poštovních systémech CIA. Něco takového by totiž nemělo být možné. Případně to měl odhalit software, který má podobné excesy nepřetržitě hlídat.

Jedno je ale jasné, pokud by ona osobní schránka u AOL neexistovala, žádný problém by nevznikl. To další už je velmi zajímavý sled okolností.

Štěstí, sociální inženýrství a ignorance

Hacker se do schránky u AOL dostal nejprve tak, že si zjistil, že Brennen používá určitého operátora, stačilo mu k tomu vědět telefonní číslo. To ho přivedlo k Verizonu a tam zkusil štěstí s prvním sociálním inženýrstvím. 

Vydával se za technika Verizonu a s historkou o momentálním výpadku systémů se mu podařilo z jiného zaměstnance Verizonu dostat osobní údaje Johna Brennena. Jedním z údajů bylo například poslední čtyřčíslí platební karty, kterou platí služby u Verizonu.

Zaměstnanec Verizonu, který mu tyto údaje prozradil, přitom žádal ověření přes Vcode (Verizon Code, číslo zaměstnance). Paradoxně mu stačilo náhodně vymyšlené číslo. Vedle již zmíněného čtyřčíslí z platební karty se hacker dostal i k zákaznickému číslu, PIN kódu k telefonu, záložnímu telefonnímu číslu a hlavně k AOL adrese, kterou Brennen používal.

Peklo bezpečnostních otázek

Právě to mu pomohlo k nastavení nového hesla u AOL. Roli zde hraje starý známý systém „bezpečnostních otázek“ či obecně jakýchkoliv otázek sloužících pro ověření. Ty první jsou už dávno zásadním bezpečnostním rizikem a ty druhé jsou zásadním problémem, protože nemusí ověřovat vůbec nic. 

První jsou problematické hlavně proto, že je lidé nechápou jako další hesla (a nedávají tam tedy nesmyslné odpovědi), ale poctivě je vyplňují. Odpovědi na otázky typu „jak se jmenovala vaše matka za svobodna“ jsou přitom snadno odhalitelné. V USA mají navíc ve zvyku do bezpečnostních otázek dávat právě „poslední čtyřčíslí z platební karty“. Případně právě tohle čtyřčíslí používají pro ověření „totožnosti“ při osobním kontaktu. 

Hacker (a jeho spolupracovníci) se tak nakonec poměrně snadno dostal do pošty Brennena v AOL. To, že tam našel přeposílané maily z jeho účtu v CIA, muselo být asi dost velké překvapení, protože něco takového je až k neuvěření absurdní.

Reset hesla hacker vyřešil telefonátem do AOL, kde stačilo jednak ono zmíněné čtyřčíslí platební karty, plus ověření toho, že volající věděl jméno a telefonní číslo. Což byly informace získané v předchozím kole sociálního inženýrství. Tohle celé tak trochu připomíná absurdní chování českých operátorů, když vám volají na mobil a ptají se, zda „hovoří s majitelem tohoto telefonu“. Jako by snad čekali, že jim případný zloděj řekne „pardon, ne, já ten telefon právě ukradl“.

Dny hraní si na kočku a myš

Hackerům se dařilo k Brennově e-mailu u AOL přistupovat tři dny, poté došlo k deaktivaci účtu a o den později Brenean účet u AOL kompletně zrušil. 

Po tři dny si navíc s Brennenem tak trochu hráli na kočku a myš. Brennen po zjištění, že nemůže přistupovat k účtu, nechal heslo změnit, načež hackeři (stejně jako poprvé) získali přístup zpět další změnou hesla. Sami říkají, že tohle proběhlo celkem třikrát.

Nakonec hacker samotnému Brennerovi zavolal na jeho mobil a oznámil mu, že má hacknutou poštovní schránku. 

Našli jste v článku chybu?

26. 10. 2015 17:14

J (neregistrovaný)

no rikejte si co chcete ale chteji ho USA pro vlastizradu tak ja nevim jak je to s tou telenovelou.

26. 10. 2015 12:19

Jose Chrostal (neregistrovaný)

Na jedne strane neustala snaha prosazovat zakony, cim dal vic omezujici a pronikajici do soukromi a na druhe strane totalni diletanstvi. By jeden blil.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Cena stejného léku se liší i o tisíce

Cena stejného léku se liší i o tisíce

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Podnikatel.cz: Chtějte údaje k dani z nemovitostí do mailu

Chtějte údaje k dani z nemovitostí do mailu

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání