E-maily šéfa CIA Johna Brennena vypuštěné WikiLeaks přinášejí samozřejmě řadu obvyklých menších či větších odhalení, včetně řady otázek. Jedna ze souvisejících maličkostí je ale to, jak se vlastně podařilo něco tak zdánlivě nemožného – tedy proniknout k mailům šéfa CIA.
Především, pokud se stanete šéfem CIA, dalo by se předpokládat, že používáte dostatečně zabezpečené komunikační prostředky. Nikoliv, že si na „firemním“ e-mailu nastavíte přeposílání na soukromou schránku u AOL.
Co Brennena k něčemu takovému vedlo, je těžké odhadnout, ale svědčí to o značné dávce počítačové i bezpečnostní negramotnosti. Ale také nezodpovědnosti a zároveň o zásadním nedostatku v (nejenom) poštovních systémech CIA. Něco takového by totiž nemělo být možné. Případně to měl odhalit software, který má podobné excesy nepřetržitě hlídat.
Jedno je ale jasné, pokud by ona osobní schránka u AOL neexistovala, žádný problém by nevznikl. To další už je velmi zajímavý sled okolností.
Štěstí, sociální inženýrství a ignorance
Hacker se do schránky u AOL dostal nejprve tak, že si zjistil, že Brennen používá určitého operátora, stačilo mu k tomu vědět telefonní číslo. To ho přivedlo k Verizonu a tam zkusil štěstí s prvním sociálním inženýrstvím.
Vydával se za technika Verizonu a s historkou o momentálním výpadku systémů se mu podařilo z jiného zaměstnance Verizonu dostat osobní údaje Johna Brennena. Jedním z údajů bylo například poslední čtyřčíslí platební karty, kterou platí služby u Verizonu.
Zaměstnanec Verizonu, který mu tyto údaje prozradil, přitom žádal ověření přes Vcode (Verizon Code, číslo zaměstnance). Paradoxně mu stačilo náhodně vymyšlené číslo. Vedle již zmíněného čtyřčíslí z platební karty se hacker dostal i k zákaznickému číslu, PIN kódu k telefonu, záložnímu telefonnímu číslu a hlavně k AOL adrese, kterou Brennen používal.
Peklo bezpečnostních otázek
Právě to mu pomohlo k nastavení nového hesla u AOL. Roli zde hraje starý známý systém „bezpečnostních otázek“ či obecně jakýchkoliv otázek sloužících pro ověření. Ty první jsou už dávno zásadním bezpečnostním rizikem a ty druhé jsou zásadním problémem, protože nemusí ověřovat vůbec nic.
První jsou problematické hlavně proto, že je lidé nechápou jako další hesla (a nedávají tam tedy nesmyslné odpovědi), ale poctivě je vyplňují. Odpovědi na otázky typu „jak se jmenovala vaše matka za svobodna“ jsou přitom snadno odhalitelné. V USA mají navíc ve zvyku do bezpečnostních otázek dávat právě „poslední čtyřčíslí z platební karty“. Případně právě tohle čtyřčíslí používají pro ověření „totožnosti“ při osobním kontaktu.
Hacker (a jeho spolupracovníci) se tak nakonec poměrně snadno dostal do pošty Brennena v AOL. To, že tam našel přeposílané maily z jeho účtu v CIA, muselo být asi dost velké překvapení, protože něco takového je až k neuvěření absurdní.
Reset hesla hacker vyřešil telefonátem do AOL, kde stačilo jednak ono zmíněné čtyřčíslí platební karty, plus ověření toho, že volající věděl jméno a telefonní číslo. Což byly informace získané v předchozím kole sociálního inženýrství. Tohle celé tak trochu připomíná absurdní chování českých operátorů, když vám volají na mobil a ptají se, zda „hovoří s majitelem tohoto telefonu“. Jako by snad čekali, že jim případný zloděj řekne „pardon, ne, já ten telefon právě ukradl“.
Dny hraní si na kočku a myš
Hackerům se dařilo k Brennově e-mailu u AOL přistupovat tři dny, poté došlo k deaktivaci účtu a o den později Brenean účet u AOL kompletně zrušil.
Po tři dny si navíc s Brennenem tak trochu hráli na kočku a myš. Brennen po zjištění, že nemůže přistupovat k účtu, nechal heslo změnit, načež hackeři (stejně jako poprvé) získali přístup zpět další změnou hesla. Sami říkají, že tohle proběhlo celkem třikrát.
Nakonec hacker samotnému Brennerovi zavolal na jeho mobil a oznámil mu, že má hacknutou poštovní schránku.
