Hlavní navigace

Hesla na prodej

Ondřej Bitto 18. 5. 2005

Techniky takzvaného sociálního inženýrství se hlásí o své místo pod sluncem stále častěji a vydobyly si přívlastek „nebezpečné“. Člověk by řekl, že po záplavách článků věnovaných této problematice ubude důvěřivých uživatelů, ale výsledky projektu sponzorovaného společností VeriSign hovoří jinak – vyměnili byste své heslo za kávu zdarma?

Jak informoval server TheRegister, v centru města Los Angeles byl proveden průzkum zjišťující, kolik lidí je ochotno prozradit některé své heslo výměnou za poukázku na kávu v hodnotě tří amerických dolarů. Z 272 respondentů se jich ihned nechalo uplatit 180, tedy více jak dvě třetiny. Ze zbývajících dvaadevadesáti „tajnůstkářů“ jich kávu zdarma na druhý pokus přijalo 51, a sice směnou za alespoň malou nápovědu, jak jejich heslo vypadá. Jednoduchými počty tedy snadno dospějeme k zajímavému výsledku, že pouze 41 osob z celkového počtu 272 o svém heslu neprozradilo žádné informace.

Další získaná čísla vypovídají o tom, že přibližně 57 procent dotazovaných používá celkem více než tři hesla a 79 procent využívá jednoho hesla pro přihlašování na vícero internetových stránek nebo do několika aplikací zároveň. Oblíbenými „taháky“ pak jsou všem dobře známé samolepící kancelářské papírky a uložení hesla do složky v e-mailu či mobilním telefonu.

Zalistujete-li v průzkumech, jejichž výsledky byly zveřejněny na stránkách serveru TheRegister, proti proudu času, zjistíte, že podobné studie byly provedeny již v roce 2003 a 2004. Prvně jmenovaný průzkum probíhal na londýnském Waterloo Station a devadesát procent dotázaných, jimiž byli výhradně lidé pracující v kancelářích, prozradilo své heslo výměnou za nabízené pero. O tom, která polovina lidského pokolení dokáže spíše držet své heslo v tajnosti, napovídá fakt, že muži jej vyzradili v 95 procentech případů, zatímco u žen tato míra činila 85 procent. Ze všech 152 dotazovaných jich přibližně dvanáct procent jako heslo používalo slovo password (v angličtině heslo), jedenáct procent svůj oblíbený fotbalový klub a osm procent datum narození. Vítězem v kategorii oblíbených hesel se ovšem stala přímo jména dotazovaných, a to se šestnácti procenty. Tři čtvrtiny respondentů pak přiznaly, že znají hesla svých spolupracovníků. O výsledcích další podobné studie prováděné v roce 2004 se můžete dočíst také na stránkách TheRegister.

Techniku sociálního inženýrství v poslední době nejvíce zpopularizoval Kevin Mitnick, a to ve svých knihách. Ačkoliv o vypovídací hodnotě výše uvedených statistik by se dalo sáhodlouze polemizovat, neoddiskutovatelným faktem zůstává, že řada lidí je ochotna prozradit své důvěrné informace naprosto neznámým osobám. Podvodník se nejčastěji snaží ovlivnit nebo oklamat lidi až do té míry, kdy mu uvěří, že je někým jiným, a následně je dokáže donutit k vyzrazení některých důvěrných informací. Není žádným překvapením, že mezi nejžádanějšími „artikly“ hrají prim přihlašovací jména, hesla, čísla kreditních karet apod.

Síla a nebezpečí sociálního inženýrství spočívá především v nižších nárocích na útočníkovy technické znalosti. Odmyslíte-li si nejrůznější „script kiddies“, kteří pouze těží z výsledků práce jiných, pak skuteční hackeři pronikající do systémů musí mít dobré znalosti jak o fungování počítačových sítí, tak o možnostech napadnutelnosti vzdáleného systému. Naproti tomu sociální inženýři musí být zdatní především v psychologických soubojích a ovlivňování druhých jedinců, protože se snaží přimět uživatele věřit v něco, co není pravdivé. Názornou ukázkou zneužití sociálního inženýrství pro vylákání hesel z důvěřivých uživatelů může být v poslední době populární phishing, tedy posílání falešných e-mailů, které mají uživatele donutit k návštěvě podvržené stránky a zadání například hesla. Nemalé procento lidí se vždy nachytá a útočníkovi je v tomto případě prakticky jedno, zda „uloví“ každého stého nebo tisícího adresáta. A co pro to musel útočník udělat? Vytvořit důvěryhodně vypadající falešnou stránku, vymyslet vhodný text e-mailu a rozeslat ho z nějaké (jak jinak než podvržené) e-mailové adresy. Suma sumárum se jedná o tři nepříliš náročné kroky, tedy otázku jednoho delšího večera.

Otázkou zůstává, kde se v lidech bere onen falešný pocit bezpečí, když jsou ochotni na počkání zadat své důvěrné informace do kdejakého webového formuláře. Na straně jedné může být neznalost základů bezpečného nakládání se svými hesly, PINy a podobným, na druhé straně touha po případně nabízené odměně. V posledně jmenovaném případě se jistě nejedná o v úvodu zmiňovanou třídolarovou poukázku na kávu, ale například podíl z nějakého zisku.

WT100

Falešné e-mailové zprávy samozřejmě nejsou jedinými zástupci sociotechnik, podvodníci se skutečným hereckým nadáním mohou úspěšně využít i osobního kontaktu. Často se totiž najde nějaký (pro druhou stranu postačující) důvod, proč potřebují právě ty a ony informace nebo přístup do nějaké místnosti a počítače. Oblíbeným trikem inženýrů bez titulu může také být obvolávání potenciálních obětí a dolování informací skrze telefonní linku. Často používanými fintami, respektive pozicemi, za které se podvodníci mohou vydávat, jsou například pracovníci technické podpory nebo zaměstnanci bank. Extrémní lovci „pokladů“ v podobě tajných informací mohou zkoušet své štěstí přehrabováním odpadků a hledáním dokumentů, které namísto do skartovacího stroje putovaly do popelnic. V současné době představují informace velice cenná aktiva, zejména ty důvěrné by si proto uživatelé měli střežit jako oko v hlavě a pokaždé, když po nich někdo bude chtít heslo, použít alespoň onen pověstný selský rozum.

Mimochodem, jaké je vaše heslo?

Anketa

Znáte si s kolegy v zaměstnání navzájem svá hesla?

Našli jste v článku chybu?
DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Jak důležitá je u firemních počítačů spotřeba?

Jak důležitá je u firemních počítačů spotřeba?

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Vitalia.cz: Když všichni seli řepku, on vsadil na dýně

Když všichni seli řepku, on vsadil na dýně

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?