Hlavní navigace

Hesla na prodej

Ondřej Bitto

Techniky takzvaného sociálního inženýrství se hlásí o své místo pod sluncem stále častěji a vydobyly si přívlastek „nebezpečné“. Člověk by řekl, že po záplavách článků věnovaných této problematice ubude důvěřivých uživatelů, ale výsledky projektu sponzorovaného společností VeriSign hovoří jinak – vyměnili byste své heslo za kávu zdarma?

Jak informoval server TheRegister, v centru města Los Angeles byl proveden průzkum zjišťující, kolik lidí je ochotno prozradit některé své heslo výměnou za poukázku na kávu v hodnotě tří amerických dolarů. Z 272 respondentů se jich ihned nechalo uplatit 180, tedy více jak dvě třetiny. Ze zbývajících dvaadevadesáti „tajnůstkářů“ jich kávu zdarma na druhý pokus přijalo 51, a sice směnou za alespoň malou nápovědu, jak jejich heslo vypadá. Jednoduchými počty tedy snadno dospějeme k zajímavému výsledku, že pouze 41 osob z celkového počtu 272 o svém heslu neprozradilo žádné informace.

Další získaná čísla vypovídají o tom, že přibližně 57 procent dotazovaných používá celkem více než tři hesla a 79 procent využívá jednoho hesla pro přihlašování na vícero internetových stránek nebo do několika aplikací zároveň. Oblíbenými „taháky“ pak jsou všem dobře známé samolepící kancelářské papírky a uložení hesla do složky v e-mailu či mobilním telefonu.

Zalistujete-li v průzkumech, jejichž výsledky byly zveřejněny na stránkách serveru TheRegister, proti proudu času, zjistíte, že podobné studie byly provedeny již v roce 2003 a 2004. Prvně jmenovaný průzkum probíhal na londýnském Waterloo Station a devadesát procent dotázaných, jimiž byli výhradně lidé pracující v kancelářích, prozradilo své heslo výměnou za nabízené pero. O tom, která polovina lidského pokolení dokáže spíše držet své heslo v tajnosti, napovídá fakt, že muži jej vyzradili v 95 procentech případů, zatímco u žen tato míra činila 85 procent. Ze všech 152 dotazovaných jich přibližně dvanáct procent jako heslo používalo slovo password (v angličtině heslo), jedenáct procent svůj oblíbený fotbalový klub a osm procent datum narození. Vítězem v kategorii oblíbených hesel se ovšem stala přímo jména dotazovaných, a to se šestnácti procenty. Tři čtvrtiny respondentů pak přiznaly, že znají hesla svých spolupracovníků. O výsledcích další podobné studie prováděné v roce 2004 se můžete dočíst také na stránkách TheRegister.

Techniku sociálního inženýrství v poslední době nejvíce zpopularizoval Kevin Mitnick, a to ve svých knihách. Ačkoliv o vypovídací hodnotě výše uvedených statistik by se dalo sáhodlouze polemizovat, neoddiskutovatelným faktem zůstává, že řada lidí je ochotna prozradit své důvěrné informace naprosto neznámým osobám. Podvodník se nejčastěji snaží ovlivnit nebo oklamat lidi až do té míry, kdy mu uvěří, že je někým jiným, a následně je dokáže donutit k vyzrazení některých důvěrných informací. Není žádným překvapením, že mezi nejžádanějšími „artikly“ hrají prim přihlašovací jména, hesla, čísla kreditních karet apod.

Síla a nebezpečí sociálního inženýrství spočívá především v nižších nárocích na útočníkovy technické znalosti. Odmyslíte-li si nejrůznější „script kiddies“, kteří pouze těží z výsledků práce jiných, pak skuteční hackeři pronikající do systémů musí mít dobré znalosti jak o fungování počítačových sítí, tak o možnostech napadnutelnosti vzdáleného systému. Naproti tomu sociální inženýři musí být zdatní především v psychologických soubojích a ovlivňování druhých jedinců, protože se snaží přimět uživatele věřit v něco, co není pravdivé. Názornou ukázkou zneužití sociálního inženýrství pro vylákání hesel z důvěřivých uživatelů může být v poslední době populární phishing, tedy posílání falešných e-mailů, které mají uživatele donutit k návštěvě podvržené stránky a zadání například hesla. Nemalé procento lidí se vždy nachytá a útočníkovi je v tomto případě prakticky jedno, zda „uloví“ každého stého nebo tisícího adresáta. A co pro to musel útočník udělat? Vytvořit důvěryhodně vypadající falešnou stránku, vymyslet vhodný text e-mailu a rozeslat ho z nějaké (jak jinak než podvržené) e-mailové adresy. Suma sumárum se jedná o tři nepříliš náročné kroky, tedy otázku jednoho delšího večera.

Otázkou zůstává, kde se v lidech bere onen falešný pocit bezpečí, když jsou ochotni na počkání zadat své důvěrné informace do kdejakého webového formuláře. Na straně jedné může být neznalost základů bezpečného nakládání se svými hesly, PINy a podobným, na druhé straně touha po případně nabízené odměně. V posledně jmenovaném případě se jistě nejedná o v úvodu zmiňovanou třídolarovou poukázku na kávu, ale například podíl z nějakého zisku.

Falešné e-mailové zprávy samozřejmě nejsou jedinými zástupci sociotechnik, podvodníci se skutečným hereckým nadáním mohou úspěšně využít i osobního kontaktu. Často se totiž najde nějaký (pro druhou stranu postačující) důvod, proč potřebují právě ty a ony informace nebo přístup do nějaké místnosti a počítače. Oblíbeným trikem inženýrů bez titulu může také být obvolávání potenciálních obětí a dolování informací skrze telefonní linku. Často používanými fintami, respektive pozicemi, za které se podvodníci mohou vydávat, jsou například pracovníci technické podpory nebo zaměstnanci bank. Extrémní lovci „pokladů“ v podobě tajných informací mohou zkoušet své štěstí přehrabováním odpadků a hledáním dokumentů, které namísto do skartovacího stroje putovaly do popelnic. V současné době představují informace velice cenná aktiva, zejména ty důvěrné by si proto uživatelé měli střežit jako oko v hlavě a pokaždé, když po nich někdo bude chtít heslo, použít alespoň onen pověstný selský rozum.

Mimochodem, jaké je vaše heslo?

Anketa

Znáte si s kolegy v zaměstnání navzájem svá hesla?

Našli jste v článku chybu?

24. 10. 2006 8:42

honzan (neregistrovaný)
Moje heslo je: S úsměvem jde všechno líp.

20. 8. 2006 17:21

Orbb (neregistrovaný)
No snad ta Vase kamaradka a kamarad budou levnejsi :-)
Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?