Hlavní navigace

Dostat se k e-mailům šéfa CIA? Kupodivu to nebylo nic složitého

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 26. 10. 2015

Je to příběh ignorance, nedodržování nejzákladnějších pravidel a trochy štěstí s potřebnou dávkou sociálního inženýrství.

E-maily šéfa CIA Johna Brennena vypuštěné WikiLeaks přinášejí samozřejmě řadu obvyklých menších či větších odhalení, včetně řady otázek. Jedna ze souvisejících maličkostí je ale to, jak se vlastně podařilo něco tak zdánlivě nemožného – tedy proniknout k mailům šéfa CIA.

Především, pokud se stanete šéfem CIA, dalo by se předpokládat, že používáte dostatečně zabezpečené komunikační prostředky. Nikoliv, že si na „firemním“ e-mailu nastavíte přeposílání na soukromou schránku u AOL. 

Co Brennena k něčemu takovému vedlo, je těžké odhadnout, ale svědčí to o značné dávce počítačové i bezpečnostní negramotnosti. Ale také nezodpovědnosti a zároveň o zásadním nedostatku v (nejenom) poštovních systémech CIA. Něco takového by totiž nemělo být možné. Případně to měl odhalit software, který má podobné excesy nepřetržitě hlídat.

Jedno je ale jasné, pokud by ona osobní schránka u AOL neexistovala, žádný problém by nevznikl. To další už je velmi zajímavý sled okolností.

Štěstí, sociální inženýrství a ignorance

Hacker se do schránky u AOL dostal nejprve tak, že si zjistil, že Brennen používá určitého operátora, stačilo mu k tomu vědět telefonní číslo. To ho přivedlo k Verizonu a tam zkusil štěstí s prvním sociálním inženýrstvím. 

Vydával se za technika Verizonu a s historkou o momentálním výpadku systémů se mu podařilo z jiného zaměstnance Verizonu dostat osobní údaje Johna Brennena. Jedním z údajů bylo například poslední čtyřčíslí platební karty, kterou platí služby u Verizonu.

Zaměstnanec Verizonu, který mu tyto údaje prozradil, přitom žádal ověření přes Vcode (Verizon Code, číslo zaměstnance). Paradoxně mu stačilo náhodně vymyšlené číslo. Vedle již zmíněného čtyřčíslí z platební karty se hacker dostal i k zákaznickému číslu, PIN kódu k telefonu, záložnímu telefonnímu číslu a hlavně k AOL adrese, kterou Brennen používal.

Peklo bezpečnostních otázek

Právě to mu pomohlo k nastavení nového hesla u AOL. Roli zde hraje starý známý systém „bezpečnostních otázek“ či obecně jakýchkoliv otázek sloužících pro ověření. Ty první jsou už dávno zásadním bezpečnostním rizikem a ty druhé jsou zásadním problémem, protože nemusí ověřovat vůbec nic. 

První jsou problematické hlavně proto, že je lidé nechápou jako další hesla (a nedávají tam tedy nesmyslné odpovědi), ale poctivě je vyplňují. Odpovědi na otázky typu „jak se jmenovala vaše matka za svobodna“ jsou přitom snadno odhalitelné. V USA mají navíc ve zvyku do bezpečnostních otázek dávat právě „poslední čtyřčíslí z platební karty“. Případně právě tohle čtyřčíslí používají pro ověření „totožnosti“ při osobním kontaktu. 

Hacker (a jeho spolupracovníci) se tak nakonec poměrně snadno dostal do pošty Brennena v AOL. To, že tam našel přeposílané maily z jeho účtu v CIA, muselo být asi dost velké překvapení, protože něco takového je až k neuvěření absurdní.

Reset hesla hacker vyřešil telefonátem do AOL, kde stačilo jednak ono zmíněné čtyřčíslí platební karty, plus ověření toho, že volající věděl jméno a telefonní číslo. Což byly informace získané v předchozím kole sociálního inženýrství. Tohle celé tak trochu připomíná absurdní chování českých operátorů, když vám volají na mobil a ptají se, zda „hovoří s majitelem tohoto telefonu“. Jako by snad čekali, že jim případný zloděj řekne „pardon, ne, já ten telefon právě ukradl“.

Dny hraní si na kočku a myš

Hackerům se dařilo k Brennově e-mailu u AOL přistupovat tři dny, poté došlo k deaktivaci účtu a o den později Brenean účet u AOL kompletně zrušil. 

EBF16

Po tři dny si navíc s Brennenem tak trochu hráli na kočku a myš. Brennen po zjištění, že nemůže přistupovat k účtu, nechal heslo změnit, načež hackeři (stejně jako poprvé) získali přístup zpět další změnou hesla. Sami říkají, že tohle proběhlo celkem třikrát.

Nakonec hacker samotnému Brennerovi zavolal na jeho mobil a oznámil mu, že má hacknutou poštovní schránku. 

Našli jste v článku chybu?
Podnikatel.cz: Vrcholový řídící zaměstnanec za 75 tisíc

Vrcholový řídící zaměstnanec za 75 tisíc

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Vitalia.cz: 7 příčin neplodnosti u žen: pravda a mýty

7 příčin neplodnosti u žen: pravda a mýty

120na80.cz: Rodiče, pozor: jak dodat vitamín D bez rizika

Rodiče, pozor: jak dodat vitamín D bez rizika

Podnikatel.cz: 5 věcí, které o EET ještě nevíte

5 věcí, které o EET ještě nevíte

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Lupa.cz: Poučný příběh jednoho rozšíření pro Chrome

Poučný příběh jednoho rozšíření pro Chrome

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

DigiZone.cz: LG OLED65E6: první pohled

LG OLED65E6: první pohled

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku