Najnowsze

Opublikowano Listopad 4, 2013 Przez ls W Inne

Cyfrowe życie spenetrowane przez hakerów na prośbę dziennikarza

hakerów Wiadomości z kraju i ze świataTesty penetracyjne swoich sieci z reguły zlecają klienci firmowi. Kiedy więc jedna z firm prowadzących takie testy została poproszony przez dziennikarza o test na nim samym, z ciekawości nie odmówiła. Wyniki eksperymentu były ciekawe.

Adam Penenberg, amerykański dziennikarz, kiedyś już przeprowadził podobny eksperyment. Kilkanaście lat wcześniej wynajął prywatnego detektywa, by ten przygotował teczkę na jego temat. Detektyw w ciągu tygodnia, dysponując jedynie imieniem, nazwiskiem i miejscem pracy dziennikarza, ustalił jego adres, numer ubezpieczenia społecznego (amerykański PESEL), panieńskie nazwisko matki, pensję, listę połączeń międzymiastowych, wysokość czynszu i rachunków za media, listę rachunków bankowych oraz spis posiadanych akcji. Historia trafiła na okładkę magazynu Forbes, a jej sukces zainspirował  Penenberga do powtórzenia eksperymentu w epoce cyfrowej.

Wynajmijmy hakera i zobaczmy, co się stanie

Kilka miesięcy temu dziennikarz skontaktował się ze znanym mu z wcześniejszej współpracy przy jednym z artykułów Nicholasem Percoco, zastępcą szefa zespołu SpiderLabs. SpiderLabs to oddział firmy Trustwave, zajmujący się prowadzeniem testów penetracyjnych na zlecenie. Penenberg podpisał oświadczenie, w którym obiecał, że nie pozwie SpiderLabs w razie sukcesu operacji, a firma zobowiązała się nie łamać prawa oraz nie angażować w swoją działalność dzieci dziennikarza. Zespół hakerów ze SpiderLabs rozpoczął przygotowania, a Penenbergowi pozostało czekać na efekty ich działań.

Plan działania

Hakerzy rozpoczęli projekt od zebrania informacji o ofierze. Z artykułów dziennikarza dowiedzieli się, że jest miłośnikiem produktów Apple, z dostępnych publicznie informacji wydobyli jego adres domowy i biura, w którym pracuje. Dowiedzieli się także, że jego żona prowadzi studio pilates. Na tej podstawie przygotowali wstępny plan, obejmujący dziewięć kierunków i metod ataku:

  1. Włamanie do domu dziennikarza i instalacja złośliwego oprogramowania na jego komputerze
  2. Identyfikacja domowej sieci WiFi i atak na WPS
  3. DoS na jego ruter bezprzewodowy i podstawienie innego z tym samym SSID, by przejąć ruch sieciowy
  4. Wysłanie złośliwego oprogramowania emailem dziennikarzowi i jego żonie
  5. Atak na sieć firmy żony dziennikarza
  6. Atak na sieć w biurze dziennikarza
  7. Podrzucenie zainfekowanych napędów USB w okolicy domu dziennikarza i w firmie jego żony
  8. Skuszenie dziennikarza do odwiedzenia spreparowanego bloga, który może zainfekować jego komputer
  9. Nawiązanie współpracy z projektantem strony internetowej dziennikarza, by przy okazji wykraść jego login i hasło i wykorzystać do zdobycia kontroli nad blogiem dziennikarza

Pierwsze porażki

Hakerom nie udało się dostać do domu ani biura dziennikarza, ponieważ zrezygnowali z łamania przepisów. Skoro przylecieli jednak do Nowego Yorku, to zabrali się za atak na sieć domową. Natrafili wtedy na trywialny problem – dziennikarz mieszkał w okolicy, w której aż roiło się od sieci WiFi i hakerzy nie byli w stanie określić, który z 1200 widocznych identyfikatorów należy do niego. Fakt, że korzystał ze sprzętu Apple, mógł im trochę pomóc, jednak nadal nie identyfikował jednoznacznie docelowej sieci, zatem zrezygnowali z tej opcji ataku. Na identyczny problem natrafili w przypadku studia pilates jego żony. Postanowili jednak się nie poddawać i spróbowali innej sztuczki.

Tym razem znajoma jednego z hakerów zapisała się na zajęcia pilates, po których zostawiła w szatni nośnik USB, zawierający kilka dokumentów pod nazwą „CV”, a tak naprawdę będących złośliwym oprogramowaniem, umożliwiającym zdalną kontrolę nad komputerem, na którym zostaną uruchomione. Gdy przez kilka dni nikt nie uruchomił spreparowanych plików, znajoma hakera spróbowała ponownie – tym razem poprosiła po zajęciach o możliwość wydrukowania swojego CV na firmowym komputerze. Podstęp prawie się udał – niestety autorzy programu nie przewidzieli, że na komputerze w biurze wersja oprogramowania Apple będzie tak stara, że program nie zadziałał. Ten kierunek ataku został chwilowo porzucony.

W tym samym czasie drugi zespół kręcił się wokół domu dziennikarza, by zidentyfikować jego sieć WiFi. Hakerzy, kilka razy przepłoszeni przez czujnych sąsiadów, w końcu porzucili ten pomysł i ograniczyli się od obserwacji wejścia, by poznać zwyczaje domowników. W tych samych dniach ukazał się nowy artykuł dziennikarza, w którym wychwalał on czytniki ebooków, sugerując, że ma w piwnicy sporo książek do oddania. Wkrótce zgłosiła się do niego przyjaciółka hakerów chętna do odebrania książek. Dostanie się do piwnicy domu dziennikarza mogło pomóc hakerom w identyfikacji jego sieci, jednak, mimo iż nie wyczuł on podstępu, odłożył wizytę tłumacząc, że musi najpierw przejrzeć wszystkie tytuły. Kolejny pomysł nie wypalił, jednak hakerzy mieli ich jeszcze kilka.

Phishing dobry na wszystko

Skoro nie powiodły się ataki fizyczne, przeszli do klasycznego phishingu. Dziennikarz otrzymał pytanie od „studenta z Ohio”, zainteresowanego jego kursami dziennikarstwa. Do wiadomości załączony był plik, zawierający rzekomo portfolio kandydata na studia. Dziennikarzowi jednak podejrzane wydało się rozszerzenie .jar i nie otwarł załącznika. W związku z tym hakerzy kolejną wiadomość wysłali do jego żony w formie aplikacji o pracę nauczycielki pilatesu z załączonym „filmem” prezentującym przykładową lekcję. Żona dziennikarza nie zwróciła uwagi na rozszerzenie .jar i uruchomiła załącznik. Hakerzy uzyskali dostęp do jej komputera – jednak tylko na kilkanaście minut.

W osobnym artykule zespół, który próbował zdobyć dostęp do danych dziennikarza, opisuje wszystkie wydarzenia ze swojej perspektywy. Aplet Javy, który otrzymała żona dziennikarza, został stworzony specjalnie na te okazję. Próbował wykorzystać błędy CVE-2013-2423 lub CVE-2012-0503, a w razie niepowodzenia  prosił użytkownika o zgodę na pobranie docelowego złośliwego programu. Okazuje się, że autor złośliwego oprogramowania po raz pierwszy pisał je na platformę OS X i nie przewidział, że powinno się ono ponownie uruchomić po powrocie komputera ze stanu uśpienia. Program świetnie działał przy restartach, ale nie poradził sobie z zamknięciem ekranu komputera. Na szczęście żona dziennikarza była dobrym celem ataku i gdy otrzymała poprawioną kopię konia trojańskiego w archiwum ZIP, ją również radośnie uruchomiła, dając włamywaczom dostęp do swojego komputera i całej zawartości jego dysków. Tam znaleźli prawdziwe skarby

hakerów Wiadomości z kraju i ze świata

Żyła złota

W komputerze żony dziennikarza było wszystko, czego potrzebowali. Natrafili tam na zeznania podatkowe, zawierające wszystkie ważne dane osobowe i finansowe całej rodziny. Na dysku znaleźli kopie kart kredytowych i wyciągów bankowych. Skopiowali także zaszyfrowane hasła, przechowywane w systemie, jednak nie mogli ich odczytać, nie znając głównego hasła. Stworzyli więc prostą aplikację, która prosiła użytkownika o ponowne podanie głównego hasła – i wkrótce je otrzymali. Zdobyli wtedy dane domowej sieci WiFi (z hasłem włącznie), dzięki czemu mogli w końcu do niej podłączyć. W komputerze były także zapisane login oraz hasło do głównego rachunku bankowego rodziny w banku Chase. Zabezpieczenia banku wymagają, by podczas logowania z nieznanego wcześniej komputera lub lokalizacji podać dodatkowy kod, wysyłany w wiadomości SMS, jednak hakerzy skopiowali ciasteczka z przeglądarki żony oraz zalogowali się do banku z domowej sieci dziennikarza, dzięki czemu ominęli dwuskładnikowe uwierzytelnienie. To nie było jednak wszystko.

Na dysku żony włamywacze znaleźli pliki jej męża sprzed kilku lat. Na skutek awarii jednego z komputerów kiedyś przeniósł wszystkie swoje dane na komputer żony i były one przenoszone na nową maszynę przy każdej kolejnej wymianie sprzętu. Wśród tych plików włamywacze znaleźli hasło dziennikarza do sklepu Amazon. Co prawda nie używał tego samego hasła do innych serwisów, ale pozwoliło ono włamywaczom na ustalenie, według jakiego szablonu dziennikarz tworzy inne hasła. Wkrótce włamali się na jego konto Twittera i Facebooka, a z Amazonu zamówili 100 plastikowych pająków (pozdrowienia od SpiderLabs) na jego koszt i adres. Na koniec włamali się na jego konto iCloud i aktywowali funkcję skradzionego urządzenia dla jego laptopa i telefonu, uniemożliwiając mu chwilowe z nich korzystanie.

Hakerzy osiągnęli swój cel. Dziennikarz co prawda musiał długo uspokajać swoją żonę, która nie wiedziała o eksperymencie, ale dostał świetny materiał na artykuł i miał okazję zmienić wszystkie hasła. Hakerzy przyznali, że atakowanie jednego człowieka jest trudniejsze, niż całej firmy, gdzie potencjalnych celów jest często kilkaset lub kilka tysięcy. Sam eksperyment z kolei pokazuje po raz kolejny, że jak będą się gdzieś chcieli włamać, to się włamią. A jak dla odmiany pokazuje historia, nie wszystkie testy penetracyjne komputerów dziennikarzy są zamówione…

ZA: Zaufana Trzecia Strona

Tags : , , , , , , ,

Komentowanie zamknięte.