Vratislav Sejk: Velké internetové služby jsou pro hackery lákavým soustem

Před několika týdny hackeři napadli twitterový účet agentury UPI a jménem papeže Františka na něm publikovali informaci, že začala třetí světová válka. Společně s tím byl napaden i účet New York Postu a jen pár dní předtím byla prolomena i twitterová hesla velitelství USA pro Blízký a Střední východ.

Inzerce

Podobných útoků stále přibývá a nemusí se jednat jen o Twitter, ale i o další sociální sítě, e-mailové schránky či samotné webové stránky. Jak je vůbec možné, že jsou při útocích hackeři úspěšní, a jak se jim můžeme bránit? Zeptali jsme se Vratislava, IT konzultanta ze společnosti Unicorn Systems.

Proč se sociální sítě stávají cílem hackerů?
Velké internetové služby obecně jsou pro hackery lákavým soustem ať už kvůli vlastnímu zviditelnění, nebo potenciálnímu zisku, takže riziko jejich napadení není malé. Sociální sítě nejsou výjimkou. Obrana je přitom složitá a nákladná. Provozovatelé těchto služeb do zabezpečení určitě investují, ale 100% bezpečnosti ve světě informačních technologií dosáhnout nelze. Tím se IT ani nijak neliší od reality. Ačkoliv jsme bezpečná země uprostřed Evropy, i u nás může dojít k podobné události jako před několika dny v Uherském Brodu…

Jak může někdo hacknout něčí profil na sociální síti?
To je široká otázka. Je samozřejmě možné, že hacker pronikne do databáze sociální sítě a zmocní se tak hesel k uživatelským účtům – to se stalo v roce 2012 síti LinkedIn. Poslední podobný případ, útok na Sony Pictures Entertainment z listopadu loňského roku, máme ještě v živé paměti.

Druhou, a podle mě mnohem pravděpodobnější variantou je, že hackerům jejich život značně usnadňujeme my sami – používáme příliš jednoduchá hesla nebo si je málo hlídáme. Lidé se obecně bojí toho, co je pro ně neznámé, takže když svedeme vlastní nedbalost na hackera, záhadnou „temnou sílu internetu”, zní to docela uvěřitelně. Jenže tím „hackerem” je většinou třeba bývalý kolega z práce nebo bývalý zaměstnanec našeho dodavatele, který se k uživatelskému účtu dostal třeba jen náhodou a později se mu hodil při vyřizování účtů.

Pokud vím, komu zavolat, a umím se správně zeptat, nemusí pro mě být nijak složité získat účet k vašemu firemnímu Twitteru třeba od vaší asistentky. Nebo jí pošlu mail s nabídkou produktu zdarma, podmíněnou registrací. Při troše štěstí vyplní při registraci stejné jméno a heslo jako do jejího facebookového účtu. Vůbec tedy nemusím být hacker, spíš přesvědčivý herec a dobrý psycholog.

Je to tedy spíše vina přímo dané sociální sítě nebo samotného uživatele?
V tomto případě si myslím, že jde spíš o chybu uživatele. Bližší informace o tomto „hackerském útoku” zatím zveřejněny nebyly, takže je to pouze spekulace, ale předpokládám, že někdo zneužil přihlašovací údaje k twitterovým účtům daných organizací, ke kterým měl v rámci svých pracovních povinností běžně přístup.

Není neobvyklé, že weby a profily těchto organizací spravují různé agentury, a účty tedy disponuje celkem široký okruh lidí. Mohlo také dojít třeba ke ztrátě nebo odcizení notebooku – při troše štěstí měl nálezce Twitter na takovém notebooku rovnou přihlášený. A pokud to byl notebook dodavatele, třeba PR agentury, mohlo být takto přihlášeno twitterových účtů hned několik.

Třetí možností je, že útočník heslo jednoduše uhodl – stačí se podívat na seznam nejpoužívanějších hesel. Je spočítané, že 100 nejpoužívanějších hesel tvoří 40 % všech hesel. Stačí mi tedy 100 pokusů a mám statisticky 40% šanci, že se do systému přihlásím vaším účtem…

A protože člověk je tvor líný, často používáme stejný účet na řadě různých míst. Pokud už se tedy někdo dostane k našemu účtu pro Twitter, nejspíš mu stejně dobře poslouží i pro editaci webu.

A ještě poznámka: všimněte si, že tyto „hackerské útoky” zjevně využívaly standardní uživatelské rozhraní internetové služby, žádná zadní vrátka. Takže šlo opravdu spíš o hackera-uživatele než hackera-IT specialistu.

Jak se uživatel může bránit?
Rady jsou notoricky známé. Předně používat netriviální hesla – dostatečně dlouhá, se speciálními znaky, typicky se ve slovech nahrazují písmena podobně vypadajícími čísly a znaky (B = 8, S = $ a podobně). Hesla nosit v hlavě, ne na papíře nalepeném na notebooku. Hesla nikdy a nikomu nesdělovat. A v neposlední řadě používat pro různé služby různá hesla, například nesdílet stejný login pro Facebook i pro internetové bankovnictví.

Asi daleko horší mohou být útoky na e-mailové schránky a webové stránky. Jak se postup liší od postupu při napadání sociálních sítí?
Nijak zásadně, sociální síť i webmail je pořád webová stránka. S e-maily je situace trochu složitější, protože k nim lze přistupovat více způsoby než jen přes webmail a jsou více „v pohybu” – jeden a tentýž e-mail se nachází na stanici odesílatele, příjemců i na serveru. Standardní protokoly mailové komunikace jsou navíc z principu nezabezpečené. Ochrana mailů je proto komplexnější úkol.

Věnujme se tedy první e-mailům. Co tedy můžeme udělat pro to, abychom je měli v bezpečí?
Pokud máte v e-mailech opravdu citlivá data, používejte e-mailového klienta na vaší pracovní stanici a odesílané e-maily šifrujte, například PGP klíčem. Optimálně si zašifrujte i pevný disk vašeho počítače – umí to například bezplatný nástroj TrueCrypt nebo služba BitLocker, která je součástí některých verzí operačního systému Windows. Hesla k certifikátům a webmailům pak spravujte podle už zmiňovaných pravidel.

V korporátním prostředí se navíc čím dál více prosazují systémy pro prevenci úniku dat (data loss prevention nebo data leakage prevention), které dokážou do jisté míry zamezit tomu, aby citlivá firemní data (třeba onen účet k Twitteru) někdo poslal mailem někomu mimo firmu.

Doporučujete využívat e-mailových služeb menších poskytovatelů, nebo raději využít například Gmailu? A proč?
Každá varianta má své plusy a mínusy – Google určitě dokáže dát do zabezpečení o několik řádů vyšší prostředky než malý lokální poskytovatel, zároveň je ale větším a lákavějším cílem. Osobně bych hlavně doporučoval nenechávat soukromá data v e-mailové schránce a raději bych využil služeb, které jsou pro uchování takových dat vybaveny lépe, třeba do cloudových datových úložišť. Opravdu citlivá data bych navíc zašifroval.

Spíš než riziko napadení Gmailu ale vnímám jako problém to, že tyto „velké” služby si vyhrazují právo používat data, která jim svěříte, ke svému podnikání. Google se nijak netají tím, že e-maily ve vašem Gmailu používá k dolování dat. Na jednu stranu tedy řešíme zneužití vašich dat hackerem, na druhou stranu ale ta samá data dáváme, často nevědomě, třetí straně zcela dobrovolně.

Gmail například nabízí dvoufázové ověření, kdy kromě hesla musíme zadat i kód, který nám přijde v SMS. Je to maximum, co lze udělat? A stačí to?
Je to určitě přidaná hodnota, ale k mailboxu na Google se můžete přihlásit i přes e-mailový protokol IMAP a ten takové ověření vyžadovat nebude. Ověření přes SMS používá Google hlavně kvůli svým ostatním službám, u e-mailu to podle mě zvláštní význam nemá.

Co ty webové stránky? Jak lze napadnout ty?
Možností je celá řada. Ta nejjednodušší funguje stejně jako u sociálních sítí – pomocí loginu se přihlásím ke správě webu a upravím, co potřebuji. Jsou ale i sofistikovanější způsoby. Můžu například prolomit heslo k FTP, které se používá ke vzdálené správě obsahu webu, a nahrát na web vlastní stránku. To může hrozit zejména u veřejných webhostingových služeb.

Uživatele také můžu přesměrovat na úplně jiný server, na který umístím vlastní obsah – původní web zůstane nedotčený, ale uživatel vidí obsah podvržený útočníkem, takže efekt je stejný.

Už několikrát jsme byli svědky toho, že útočníci napadli něčí web a získali z něj spoustu cenných dat. Co jako provozovatelé webu můžeme udělat pro to, abychom těmto situacím předcházeli?
Záleží, jaký web provozujete, s jakými daty web, resp. internetová služba pracuje, kde ho provozujete a kolik máte uživatelů. Pokud jste například e-shop, který pracuje s kreditními kartami, nemůžete si moc vybírat – kartová asociace vám nařídí, jaká opatření máte implementovat, jinak s vámi nebude spolupracovat.

Výčet dostupných opatření by vystačil na menší knížku. Za základ považuji bezpečnou aplikační platformu. V souvislosti s bezpečností nás asi většinou napadne antivir nebo firewall, ale podle statistik je více než 75 % útoků cíleno na softwarovou část webu, nikoliv infrastrukturu. Web musí být navržen tak, aby nebylo možné manipulovat s daty jinak, než zamýšlel jeho autor. Je nutné validovat data zadávána do vstupních polí, jinak mohou být náchylná ke zranitelnostem, jako SQL injection. Web by neměl být monolitická aplikace, ale měl by být rozdělen do samostatných vrstev pro přístup, aplikační logiku a data.

Je proto vhodné se při výběru systému pro správu webu řídit třeba i tím, jestli produkt prošel vhodnou certifikací. U software vyvinutého na míru, což je běžné u velkých e-shopů a dalších komerčních platforem, pak požadovat realizaci bezpečnostních a penetračních testů.

Samozřejmostí je také podepsání webu, resp. domény bezpečnostním certifikátem a šifrování komunikace mezi uživatelem a serverem. Správci webu musí respektovat odvětvovou praxi, zejména pokud se týká hesel k jejich účtům, přístupům k serverům a podobně.

A na zmiňovanou infrastrukturu samozřejmě také dojde. Web je potřeba zabezpečit firewallem, který řídí a kontroluje komunikaci mezi uživatelem a serverem i mezi komponentami systému navzájem, například mezi aplikační logikou a databází. Na serverech nesmí být software, který tam nemá co dělat – různé vzorové stránky instalovaných produktů, nepotřebné služby a podobně. Veškerý software, operační systém i aplikační platformu je potřeba udržovat aktualizovaný. Je potřeba přechodně uchovávat přístupové logy, abychom mohli identifikovat problém v případě, že už k napadení dojde. A tak dále a tak dále.

Měl by toto řešit provozovatel webu?
Spíše než se stát samoukem v oboru IT bezpečnosti bych doporučoval svěřit váš web poskytovateli, který vám dokáže bezpečný provoz webu zajistit. Na trhu jich je dnes už bohatý výběr. Můžete sice namítat, že si tím zaděláváte na problémy, které jsme už probírali, ale specializovaný poskytovatel hostingových služeb pořád dokáže zajistit vašim datům větší bezpečí než vy sami. A pokud už jste provozovatelem renomované internetové služby, máte tuto otázku nejspíš dávno vyřešenou :)

Jak tato pravděpodobnost úspěchu útočníka ovlivňuje např. využití bezplatných redakčních systémů, jako je WordPress, Drupal a další?
Stejně jako u jiných „balíkových” řešení a platforem je výhodou, že už byly mnohokrát testovány, a jsou tedy relativně bezpečné, na druhou stranu jsou také veřejně známé jejich nedostatky, což může útočníkovi práci naopak usnadnit. Použití těchto systémů bych proto určitě nezavrhoval, ale o to více bych se soustředil na druhotná bezpečnostní opatření – sledoval komunity, které tyto platformy vyvíjejí, aplikoval poslední aktualizace, případně se pomocí dostupných technologií snažil útočníkovi ztížit identifikaci používané platformy.

Kromě toho jsou na trhu pokročilé aplikační firewally, které do jisté míry dokážou  suplovat bezpečnost samotné aplikační platformy – zachytí pokusy o zneužití chyby, kvůli které by jinak byl samotný systém zranitelný.

Bezpečnost serveru, na kterém je web umístěn, je v rukou jeho poskytovatele. Co nás jako klienty tedy má zajímat? Na co se poskytovatele zeptat?
Zajímejte se o informace i o to, jakým způsobem vám je poskytovatel dodá. Renomovaný poskytovatel nebude mít problém se s vámi podělit o koncepci svého zabezpečení, ale jen do určité míry – aby nevyzradil příliš v případě, že se za zákazníka jen vydáváte a chcete tyto informace zneužít. Renomovaný poskytovatel se také určitě pochlubí certifikací na některou z norem, např. ISO 27000. A na co se máte ptát už jsme si řekli.

Myslíte si, že bezpečnost v IT bude stále vyšší a že může předběhnout zdatnost útočníků?
Jasně a stručně: ne :-) Komplexita IT i jeho bezpečnosti se bude nadále zvyšovat, ale stejně tak porostou i schopnosti útočníků. Aktuální trend je spíš opačný – roste tzv. asymetričnost útoků, kdy osamocený hacker s využitím zanedbatelných prostředků v řádu stovek dolarů může zlikvidovat provozovatele celosvětové služby.

Ale pokud se vrátíme k původnímu tématu – nemyslím si, že by se tímto trendem musel trápit běžný uživatel internetu. Raději dělejme pro bezpečnost internetu všechno, co je v našich vlastních silách. Vždyť jde o pár jednoduchých zásad.