Internets un mūsu drošība. Sociālā inženierija. 2.daļa
Sveiciens visiem, kas šo lasa!
Šodien
nedaudz vēlāk, bet tomēr vēl trešdienā šeit jau trešais ieraksts par interneta drošības
tēmu.
Kā
solījām pagājušajā nedēļā, tad šoreiz parunāsim vēl par citiem uzbrukumu veidiem
kas mūs var apdraudēt – šoreiz runa būs jau par konkrētai personai mērķētiem
uzbrukumiem, kaut gan te jāpiebilst, ka vismaz mūsu rīcībā nav informācijas, ka
šāda veida uzbrukumi būtu ļoti izplatīti pie mums.
Par
pamatu tam ir tā pati tirgus ekonomika un jautājums – kāda piepūle ir jāpieliek
un kāds tās rezultātā var būt iespējamais guvums. Protams, ka dzīve sastāv no
dažādiem izņēmumiem, bet diez vai būs daudz gribētāju saspringt un dienām ilgi
internetā pētīt kāda konkrēta cilvēka profilus un sociālo vidi ar mērķi piekļūt
viņa twitter kontam ar kādiem 20 sekotājiem vai arī iegūt kredītkartes datus
lai secinātu, ka ar šīs kartes kredīt limitu nepietiek lai nopirktu interneta
veikalā pat vislētāko iPhone modeli. Pavisam citādāka motivācija ir piekļūt kādas
personas vai uzņēmuma sociālo mēdiju platformas kontam ar vairāk kā miljonu
sekotāju vai piekļūt bankas kontam kura kredīt limits ir vairāki tūkstoši vai
pat simti tūkstošu EUR. Vienīgais izņēmums šeit varētu būt situācija kad kāda
cilvēka rīcībā ir specifiska un kādam ļoti vērtīga informācija – bet to jau
sauc par spiegošanu un tā ir pavisam cita tēma, kas īsti neattiecas uz ikdienas
lietotāju un šo blogu.
Bet
atgriežamies pie mūsu sociālās inženierijas. Ja runa ir par konkrēta cilvēka paroļu
un citādas pieejas informācijas iegūšanu, tad sociālā inženierija kā izrādās,
ir nesalīdzināmi efektīvāka un parasti noved pie rezultāta vienkāršāk un ātrāk
nekā hakera mēģinājums uzlauzt attiecīgo kontu “ar lauzni” – piedevām ja
brutālas ielaušanās faktu parasti mēs visi uzreiz pamanām, tad ar sociālo
inženieriju iegūtās paroles var izmantot nevienam to nemanot – vēl jo vairāk ja
mērķis tiešām ir iegūt un izmantot šo informāciju tā, lai cietušais to nemaz nenojaustu.
Viens
no mūsdienu IT sociālās inženierijas “pionieriem” ir amerikānis Kevin Mitnick. Nenoliedzami
talantīgs cilvēks, kurš jau 12 gadu vecumā pamanījās sarunu gaitā izzināt no pilsētas
sabiedrisko autobusu šoferiem biļešu reģistrācijas sistēmas tehniskās nianses
un rezultātā varēja “legāli” braukt bez maksas – vienkārši apmānot šo sistēmu (zinātniski
pareizi mūsdienās tas saucas - izmantojot šīs sistēmas vājos punktus). 16 gadu
vecumā viņš pirmo reizi ielauzās kāda uzņēmuma datoru sistēmā – atkal jau izmantojot
no drauga iegūtu informāciju. Turpmākos 15 gadus viņš pavadīja pārmaiņus vai nu
cietumā vai bēgot no FIB, pa šo laiku vismaz 100 reizes piekļūstot ASV
aizsardzības ministrijas un Nacionālās Drošības Aģentūras un citu ASV valsts un
privāto iestāžu datortīkliem. Viņam ar tiesas lēmumu ir bijis aizliegts
tuvoties jebkādām elektroniskām ierīcēm, jo kā vienā no tiesas sēdēm izteicies
prokurors, “Mitnick iespējams varētu izraisīt kodolkaru vienkārši svilpojot
telefona klausulē” – šo teicienu gan laikam īsti sapratīs tikai tie, kas zina,
kas ir “dial-up”. Līdz beidzot 2000 gadā viņš pievērsās dator drošības
uzlabošanas jautājumiem un nodibināja pats savu dator drošības firmu. Praktiski
visas Kevin Mitnick veiktās ielaušanās tika veiktas balstoties uz informāciju,
kuru viņš bija tādā vai citādā veidā ieguvis – publiski, sarunās, sarakstēs
utt. Pie tam jāatceras, ka 1990-2000 gados internetā ne tuvu nebija atrodama
tāda informācijas daudzveidība, kāda tur ir pieejama šodien.
Nākošais
ievērības cienīgais personāžs ir Robin Sage – fiktīva persona, ko izveidoja ASV
dator drošības eksperts Thomas Ryan. Robin Sage “bija” 25 gadus veca sieviete -
dator drošības analītiķe, kas strādāja ASV jūras kara flotes štābā. 2 mēnešu
laikā no 2009. gada decembra līdz 2010. gada janvārim Robina izmantojot tikai
un vienīgi sociālo mēdiju platformas sadraudzējās ar vairāk nekā 300 cilvēkiem
kas dienēja ASV armijā vai bija citādā veidā saistīti ar ASV armiju vai
aizsardzības ministriju. Rezultātā viņa ieguva no šīm personām dažādu
personisku informāciju, kas ļāva piekļūt gan šo cilvēku e-pastiem un banku
kontiem gan noteica vairāku slepenu militāru iestāžu atrašanās vietas vienkārši
analizējot cilvēku savstarpējos kontaktus sociālajās platformās un turpat
publicētās fotogrāfijas.
Kāpēc
mēs šo visu stāstām – lai saprastu, ka internetā mēs nekad nevaram būt 100% pārliecināti,
ka persona ar kuru mēs komunicējam patiešām ir tā persona par kuru viņa
uzdodas. Protams, ka arī Robin Sage gadījumā liela daļa cilvēku kurus viņa
uzrunāja tomēr samērā ātri “atkoda” ka viņa nav tā persona par ko uzdodas. It kā
loģiski, jo uzrunāti pamatā tika ar dator drošību saistīti cilvēki un pati personas
fikcija bija veidota ļoti primitīvi un aprobežojās ar sociālajos kontos
izvietoto informāciju un fotogrāfijām, kas bija aizgūtas no kādas porno lapas. Taču
vismaz 300 uzrunāto to nemaz necentās pārbaudīt, bet akli paļāvās uz pasniegto
informāciju un ticēja tai. Tātad arī bez mazākām aizdomām pakļāvās
manipulācijai un dalījās ar dažādu privātu informāciju. Kā viena no motivācijām
dalīties ar personisku informāciju parasti tiek minēta neapzināta vēlme tādā
veidā iegūt otras puses lielāku uzmanību. Un jo atraktīvāka mums šķiet šī otra
puse (skaistas fotogrāfijas), jo lielāka ir šī vēlme.
Te
nonākam pie vēl viena riska faktora – iepazīšanās mēģinājumi internetā. Laikam
jau būtu nepareizi teikt, ka to nevajag darīt. Dažādi iepazīšanās portāli un
aplikācijas mūsdienās zeļ un plaukst it sevišķi lielajā plašajā pasaulē, taču
nedaudz te tomēr būtu jāpiedomā un jāuzmanās. Protams, ka mūsdienās ar
interneta palīdzību varam viegli sasniegt cilvēkus, kurus varbūt savās ikdienas
gaitās mēs nekad nesatiktu. Jo sevišķi šajos COVID ierobežojumu laikos tas mums
dod papildus brīvību un iespēju komunicēt ar citiem cilvēkiem. Un tas ir labi. Cilvēkam
tomēr ir nepieciešama kaut kāda socializēšanās. Bet kā tanī senajā sakāmvārdā –
kur avis, tur cirpēji. Turpat jau uzglūn ieinteresēti cilvēki, kas izmanto šo
situāciju un interneta anonimitāti savās interesēs. Dažas Āfrikas valstis ir
sevišķi specializējušās šāda veida “biznesā”. Tātad jūs pavisam nejauši kādā
portālā iepazīstaties ar atraktīvu otras puses pārstāvi. Te gan jāpiebilst, ka
parasti “tehnisku problēmu dēļ” nav iespējams videočats, bet tikai sarakste.
Kaut gan mēdz būt izņēmumi. Bet lai nu kā - sarakste vēršas plašumā un intensitāte
pieaug un pēc nedēļām divām - trim – četrām cilvēks ir jau stipri aizrāvies, jo
otra puse ir tik izprotoša, tik ieinteresēta, tik iejūtīga – nu visas tās
īpašības ko jau sen un bez rezultātiem meklējāt sev apkārt esošajos. Te maza
atkāpe - šis te vairāk attiecas tieši uz cilvēkiem jau gados, kas iespējams ir
vīlušies iepriekšējās attiecībās vai jau gadiem ilgi nesekmīgi mēģina tādas
izveidot, bet šai grupai ir vēl viena šinī kontekstā būtiska iezīme – tie pārsvarā
ir cilvēki ar stabilu dzīvi un darbu un tātad viņiem ir nauda!
Tad
vēl piedevām jau iepazīšanās brīdī jums šķita, ka otra puse tik daudz par jums
zina, it kā jūs jau sen būtu pazīstami. Te gan vēlreiz nolaižamies atpakaļ uz
zemes un padomājam, ka ļoti iespējams, ka kāds jūs jau zināmu laiku mērķtiecīgi
vēroja un sekoja līdzi jūsu aktivitātēm citās platformās, varbūt pat komunicēja
ar jums bet no cita profila.
Bet
lai nu kā tas nebūtu veidojies, sarakstei strauji attīstoties jūs sākat pierast
viens pie otra, cita starpā esat padalījušies ne ar vienu vien privātu lietu un,
iespējams, arī kādu noslēpumu. Jebkurā gadījumā šis sarakstes partneris nemanot
ir kļuvis par jūsu dzīves neatņemamu sastāvdaļu.
Pēc
kāda laika, kad “klients ir nobriedis”, sākas nākošais cēliens. Pēkšņi regulārā
un ierastā komunikācija kaut kā pilnīgi negaidīti pārtrūkst – tas protams, ka
ir ļoti nepatīkami, jo jūs jau bijāt saplānojuši vai visu dzīvi uz priekšu. Lai
tomēr atgrieztos pie saviem plāniem jūs izmisīgi mēģināt kaut kā pagriezt to
visu atpakaļ ierastajās sliedēs – un tieši to jau arī gaidīja otra puse. Šie
izmisīgie centieni parasti liek piemirst par elementāru uzmanību – un tad
parādās dažādas iespējas – piemēram ar nelielu finansiālu ieguldījumu atgriezt
to visu atpakaļ. Parasti (globālā mērogā) otra puse ir vai nu kaut kur plašajā
pasaulē dienošs karavīrs, kas cīnās pret ļaunajiem teroristiem vai ārsts, kas
glābj Āfrikas iedzīvotājus no ebolas vai kas līdzīgs. Un kaut kur tur – tālu
projām - ir radušās kaut kādas grūtības vai problēmas, kas šobrīd nodarbina
viņa prātu un neļauj veltīt nepieciešamo uzmanību jums. Vai varbūt bija pat
ieplānots atvaļinājums lai jūs apciemotu, bet nodega nometne un kopā ar to sadega
mantas ar visu naudu un kredītkartēm – tagad ar to ir jānodarbojas un tāpēc
nācās mainīt plānus un nav laika ikdienas komunikācijai ar jums. Bet ja jūs pārskaitītu
naudu piemēram caur Western Union tēvocim Ahmedam, kurš katru nedēļu brauc uz
tuvējo pilsētu Sahāras tuksneša malā pēc produktiem, tad tas vismaz daļu no šīm
problēmām varētu atrisināt vai vismaz izbrīvēt vairāk laika jūsu komunikācijas
turpināšanai. Laikam lieki teikt, ka tālākais scenārijs jau stipri līdzinās
iepriekšējā nedēļā aprakstītajiem. Dažreiz viss izbeidzas jau uzreiz pēc pirmās
naudas summas pārskaitīšanas, dažkārt tas turpinās un seko vēl daži maksājumi.
Skaidrs ir tas, ka vecajā Eiropā un Amerikā, kur cilvēkiem naudas mēdz būt
daudz vairāk, ir gadījumi, kad šādā vai līdzīgā ceļā cilvēki atbrīvojas pat no
vairākiem simtiem tūkstošu. Pie nosacījuma ja otrā pusē ekrānam ir labs sociālais
inženieris. Un tādi nenoliedzami ir.
Kā
šeit rīkoties – īsti tāda padoma nav. Mīlestība jau padara aklu. Laikam jau
vienīgi nekad neskaitīt naudu nepazīstamam (lai gan liekas, ka viņu pazīstat) cilvēkam,
neatkarīgi no iemesla nopietnības vai ticamības. Ja viņš būs īstais, tad būs
tāds arī bez naudas, ja nebūs – pazudīs jebkurā gadījumā. Taču pašam to ļoti
bieži ir grūti vai pat neiespējami izvērtēt jo otra puse taču ar mums manipulē.
Tāpēc ja kāds no jūsu draugiem stāsta jums par lielo mīlestību kas satikta
internetā, tad varbūt ieklausieties vai tas stāsts kaut kur nelīdzinās šim te.
Tā teikt – izglāb draugu!
Vēl
viens interesants veids kā parasti tiek mēģināts piekļūt dažādu augsta profila –
prominentu cilvēku vai lielu kompāniju informācijai - lietotāja kontam kādā
platformā vai bankas kontam - ir sekojošs. Parasti šādi cilvēki paši nemaz nenodarbojas
ar sava konta pārvaldīšanu, bet to dara komanda kas ir ap viņiem un kas
pārvalda visas šīs darbības. Tad uzbrucējs cenšas noskaidrot šo cilvēku loku un
meklē tajā vājo ķēdes posmu – kādu no šīs komandas, no kura tad ar dažādām
iepriekš minētām metodēm cenšas vai nu iegūt nepieciešamo pieejas informāciju
vai arī izmanto šantāžu vai naudu vai vēl citos veidos iedarbojas uz šo personu
lai iegūtu nepieciešamo. Skaidrs, ka šis te jau ir mērķtiecīgs, smags un ilgstošs
darbs, jo ne jau katrs tā uzreiz piemēram twitterī raksta - mani sauc Maikls, strādāju
es Facebook un man ir pieeja visam iekšējam datoru tīklam. Parasti cilvēkiem,
kam tiešām ir šādas pieejas, ir ļoti nopietni līgumi ar daudziem aizliegumiem –
jo sevišķi runāt un publicēt savu darba vietu. Un kompānijām attiecīgi ir arī
savi iekšējās drošības dienesti, kas ļoti rūpīgi seko lai kāds no darbiniekiem
šos noteikumus tomēr nepārkāptu. Bet kas meklē, tas atrod... un ja kārtīgi
pameklēt, tad agri vai vēlu var šādus cilvēkus atrast.
Te
viens no spilgtākajiem piemēriem ir šā gada 15. jūlijā notikusī twitter kontu
uzlaušana. Šī bija samērā plaša akcija, kas sastāvēja no 2 daļām – ļaundari
izmantojot (atkal jau) sociālās inženierijas metodes un pielietojot tās pret kompānijas
Twitter tehniskajiem darbiniekiem ieguva piekļuvi twitter kontu administrēšanas
platformai. Tālāk daudzos visā pasaulē pazīstamu un bagātu cilvēku (kā piemēram
Barack Obama, Jeff Bezos, Warner Buffet) kontos parādījās ieraksti, ka viņi ir
nolēmuši dalīties ar savu naudu un ja jūs pārskaitīsiet uz ekrānā redzamo
Bitcoin kontu naudu, jums tiks atgriezta atpakaļ dubulta summa. Te zemāk
screenshot no Jeff Bezos twitter konta:
Nezinām
vai daudzi, bet gan jau ka kāds tur arī naudu aizskaitīja. Taču tā bija tikai šī
uzbrukuma redzamā puse. Kamēr twitter centās šo kļūdu labot, darkneta forumos notika
aktīva tirdzniecība ar pieejas iespējām dažādiem pārsvarā no viena vai dažiem burtiem
vai cipariem sastāvošiem twitter kontiem, kas dažās aprindās ir ļoti iecienīti
– nu līdzīgi, ka ar auto numuriem ar vienu vai 2 cipariem. Un šinī dienā kādi simts
twitter kontu mainīja savus īpašniekus. Nekur jau nav reģistrēts, ka konkrētais
konts pieder piemēram Jānim Bērziņam ar personas kodu tādu un tādu. Tas, kuram
ir pieejas informācija arī ir konta īpašnieks. Un ja kāds pārdod par naudu šos
pieejas datus vai arī var attiecīgā sistēmā tos nomainīt uz citiem, tad pircējs
iegūst kontroli pār šo kontu un atgūt to atpakaļ ir praktiski neiespējami. Tieši
tas tad arī notika zīmīgajā 15. jūlija dienā. Ak jā, laikam te vienīgi jāpiebilst,
ka 20. jūlijā trīs galvenie šīs ielaušanās organizatori jau bija arestēti, jo
kā jau runājām iepriekš, tad jebkādas mūsu darbības internetā atstāj savas pēdas.
Tieši tāpat pēdas atstāj arī ļaundari. Jautājums ir tikai vai mums ir resursi
lai šīs pēdas atrastu. Taču šie aresti vēl ne tuvu nenozīmē, ka kāds atgūs savu
pārskaitīto naudu vai zaudēto piekļuvi savam bijušajam twitter kontam.
Visticamāk ka nē.
Kāda
šeit morāle – protams, ka mēs nevaram izmainīt vai kontrolēt to, vai kādas
kompānijas kāds mums nezināms darbinieks ir kādam atklājis savu darba vietu un vai
viņš ir kaut kādā veidā iespaidojams vai nē, taču iesakām visiem padomāt par
tādu lietu kā 2FA – latviski – divu faktoru autorizācija. Skan samērā sarežģīti
un nav arī pārāk vienkārši, bet dzīvē tas nozīmē, ka piekļuvi kādam būtiskam
resursam, piemēram bankas kontam, vai šī resursa pamatdatu izmaiņas - piemēram lietotāja
vārda vai paroles nomaiņa ir iespējama tikai ja tas tiek apstiprināts pa 2
dažādiem informācijas apmaiņas kanāliem – visparastākais ikdienā sastopamais 2FA
variants ir jūsu bankas konta autorizācija ar SmartID palīdzību - jūs savā
datorā interneta pārlūkā ielogojaties savā internetbankā, ievadiet lietotāja
vārdu un paroli un tad saņemat apstiprinājuma uzaicinājumu savā telefonā. Tātad
pat ja ļaundaris zinās jūsu pieejas kodus un paroles, bez jūsu telefona tālāk
viņš netiks. Protams, ka arī šeit ir dažas tehniskas metodes, kā to apiet, bet tās
jau ir ļoti sarežģītas un 2FA lietošana jebkurā gadījumā ievērojami paaugstinās
drošības barjeru jūsu resursiem. Tāpēc silti iesakām pēc iespējas (ja tādu vispār
piedāvā resursa uzturētājs) izmantot šo 2FA. Tepat gan jāpiebilst, ka
nevajadzētu darīt tā, kā daudzi lietotāji to ērtības dēļ dara - izmantot bankas
pieeju un SmartID uz vienas un tās pašas ierīces, vēl nedod dievs – pasakot,
lai piemēram Chrome atceras mūsu ievadītās paroles vai pieejas datus - tādā veidā veicot abas autorizācijas vienā
ierīcē mēs paši izslēdzam no spēles šo otro faktoru, kas tika izveidots mūsu
drošībai.
Šodienai
laikam pietiks.
Nākošo
trešdienu parunāsim par to, kas ir hakeris un ar ko viņa darbības atšķiras no
līdz šim apspriestajiem gadījumiem.
Uz tikšanos
nākošnedēļ!
Jūsu notebookshop.lv
komanda