Novináři Matu Honanovi se stala zajímavá věc, někdo se mu nabořil do účtu u Apple. Důkaz, že sociální inženýrství stále velmi dobře funguje.
Dnes ráno za mnou byli lidé z České televize a točili se mnou krátký rozhovor k případu, kdy si člověk chtěl nechat zablokovat nedostupný účet na Seznamu a firma mu odpověděla, že na to chce soudní příkaz. „Pochopitelně, protože pokud nemají jak toho člověka s účtem spojit, může se za něj někdo vydávat.“
Střih.
Před pár dny mi napsal čtenář, že má na Rootu účet a že zapomněl heslo a původní registrační e-mail už nemá, neb změnil práci. Napsal jsem mu, že to je problém, protože v profilu nemá ani žádnou URL a další informace, podle kterých by mohl dokázat vlastnictví účtu. „Pokud bychom jen tak na vaši žádost změnili údaje, riskujeme tím velmi nepříjemný problém,“ napsal jsem mu.
Střih.
Že to je reálný problém, dokazuje případ Mata Honana, kterému někdo zaútočil na různé účty včetně toho u Apple a přes službu iCloud mu promazal data na MacBooku, iPadu a iPhone. Navíc napáchal ještě další škody, protože mu smazal účet na Google a sebral Twitter účet. Vtipné je, že se mu útočník ozval a popsal mu způsob, jakým se mu to podařilo. Nešlo o žádný sofistikovaný útok na systémy Apple, ale o klasické sociální inženýrství.
Celý případ popisuje Wired a vyplývá z něj, že klasické ověření identity podle osobních údajů je velmi slabý bezpečnostní proces, který může velmi snadno selhat.
Klíčovým prvkem v útoku byl účet ke službě Apple iCloud (dřív se to jmenovalo MobileMe), což je cloudová služba, kam si zařízení jablečné firmy ukládají informace a je možné přes ni třeba tato zařízení sledovat a v případě odcizení i vymazat. Útočník si zjistil, co bude potřebovat, aby mu Apple vydal účet, ke kterému uživatel nezná heslo. Jsou k tomu potřeba poslední čtyři číslice platební karty a billingová adresa. Předpokládá se, že to jsou osobní údaje, které si člověk dobře chrání.
Útočník ale zkusil zavolat do Amazonu a představil se jako Honan. Chtěl po operátorovi přidat ke svému účtu další platební kartu. S tím neměla firma problém a přidání karty proběhlo bez řečí a stačilo ověření základních osobních údajů jako jméno a poštovní adresa. Tu zjistil ve whois záznamu Honanovy osobní domény. Samozřejmě existuje několik dalších metod, jak to provést.
Poté zavolal znovu do Amazonu a dovolal se jinému operátorovi. Tomu řekl, že přišel o heslo a nechal se ověřit pomocí karty, kterou před chvílí přidal do systému. V tu chvíli mu operátor k účtu umožnil přidat další e-mailovou adresu, na kterou si pak sám útočník nechal poslat náhradní heslo. V tu chvíli byl v účtu Amazonu a přečetl si údaje o dvou platebních kartách, včetně posledního čtyřčíslí té neznámé.
Pak bylo možné zavolat do Apple a získat přístup, protože útočník měl všechny potřebné osobní údaje oběti. Útočníkovi se takto podařilo reálně zlikvidovat jednomu člověku celý jeho digitální život, jak sám novinář napsal. Dokazuje to, že spousta osobních údajů se dá velmi lehce vypátrat a zneužít a pokud je rozdáme více různým firmám, může z toho být velký průšvih.
Applu přidal k ověření vstupu do správy AppleID několik kontrolních otázek. Předpokládám, že odpovědi na ně vyžaduje i obnovení hesla, ne? I když je nadmíru pravděpodobné, že to lze obejít s operátorem a vědomostí všech údajů. Nicméně, jsou-li tyto otázky k dispozici a jsou-li nazolik specifické, že by je měl majitel vědět, nemělo by s nimi obnovení stát a padat?
Například Steam vám obnoví heslo z osobních informací typu: přátelé, koupené hry, achievementy apod., o tom lze také spekulovat, avšak když skutečně zapomenete heslo, můžete být za tuto možnost nadmíru rádi.
No já nevím.
Viz: "The very four digits that Amazon considers unimportant enough to display in the clear on the Web are precisely the same ones that Apple considers secure enough to perform identity verification."
Je otázka, jak který přístup k tomu čtyřčíslí je správnější.
(tím nechci hodnotit, jak to pak používají v tom Amazonu)
1. Bezpečnostní norma PCI DSS, bod 3.3 říká:
Mask PAN when displayed (the first six and last four digits are the maximum number of digits to be displayed).
Tím se řídí všechny banky i ostatní organizace, které pracují s číslem karty. Většinou se maskuje ještě více a místo 6+4 je používáno maskování 6+3 nebo dokonce 5+3. To ale není povinné. Tento případ tedy ukazuje, že má bezpečnostní postupy u Apple na starosti buď absolutní diletant, nebo že firma zcela ignoruje bezpečnostní standardy.
2. Odkazovaný článek jasně říká, že Mat Honan měl nastavené bezpečnostní otázky a podpora Apple přesto hackera do účtu pustila. To je zásadní informace a měla by v tomto článku určitě zaznít.
Z celého příběhu je vidět, že cloud je rozhodně za rozumnou hranicí mezi bezpečností a pohodlím. Mata Honana je mi líto a je smutné, že hacker alespoň neudělal zálohu dat, ale je dobře, že se to stalo.
Doufám jen, že má Apple alespoň zálohu...
[4] Hlavně když útočníkovi stačí nepřipojovat koncové zařízení k Internetu, v případě MacBooku vyndat disk, a příkaz ke vzdálenému smazání se k němu nemá jak dostat…
[6,8] To je jen jedna z mnoha chyb, které tu jsou. Čtyřčíslí kreditky ví třeba prodavačka v obchodě, kde platíš za nákup kreditkou, nebo kdejaký e-shop. (nejen) kreditky jsou celé špatně. Ale to je normální, vždyť bezpečná symetrická kryptografie je tu s námi teprve 40 let a asymetrická kryptografie byla vynalezena až v roce 1977. Nemůžeme přece chtít, aby bankovní instituce implementovaly takové neotestované novinky!
[11] To je naprosto logicke. Kdyz si banka udela statistiku zneuziti, zjisti, ze se jedna o zlomek procenta vsech transakci. Z kazde transakce vsak maji zisk nekolik procent. Kolik si vezmou za transakci zalezi na typu podniku. Velke hotely plati radove 1%, nocni bary a podobne potencialne nebezpecne podniky plati 4%. Takze vratit nekomu penize z podvodne transakce je jednodussi a levnejsi, nez hledat a draze zavadet jakekoliv dalsi prostredky proti zneuziti, ktere by byly stejne fungovaly jenom do chvile, nez nekdo prijde na to jak je obejit.
Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. GNU/Linuxem a Unixem obecně se zabývá již více než deset let a věnuje se především jeho nasazení v počítačových sítích a bezpečnostní politice. Zde bloguje o Root.cz, Linuxu, internetu a světě kolem sebe.
Přečteno 112 285×
Přečteno 89 762×
Přečteno 73 157×
Přečteno 58 108×
Přečteno 54 434×