Co se děje, když premiér země používá freemail u veřejného poskytovatele? Vektory útoku z pohledu plausability provedení a možnosti jeho opakování. Je iluze silného hesla jen „placebo efekt“? Jsou White Media jenom whistleblowery? Co se děje, když premiér země používá freemail u veřejného poskytovatele? Vektory útoku z pohledu plausability provedení a možnosti jeho opakování. Je iluze silného hesla jen „placebo efekt“? Jsou White Media jenom whistleblowery? Náš šéfredaktor se v pátek na Svobodném rádiu rozpovídal na téma uniklých emailů premiéra ČR Bohuslava Sobotky a zmínil se i o našem soukromém rozhovoru, který jsme na toto téma vedli. Protože do redakce přišlo několik dotazů na toto téma, připravil jsem malý článek, který by měl (snad) některým odpovědným politikům otevřít oči. Nedělám si iluze, že by se něco plošně změnilo ve zvyku českých politických elit používat emailové služby Seznamu nebo Gmailu, ale minimálně zodpovědní bezpečnostní „poradci“ by měli zajistit, aby k tomuto již nikdy nedošlo.
Heslo je v oblasti IT bezpečnosti často jen placebo pro dobrý pocit uživatele.
Hackeři z White Media právě dnes uveřejnili další (už celkem čtvrtou) várku emailů a na mainstreamu se můžeme o nich dočíst jako o „extrémistech“, třeba zde. Nevím, co je tím myšleno, když se o někom říká, že je extrémista (znamená to, že to je každý, kdo nejde tzv. s hlavním proudem?), ale pokud je tím myšleno extrémní chování, které někoho ohrožuje, potom takovým extrémistou je právě Bohuslav Sobotka a všichni jeho poradci, kteří tolerují nebo dokonce preferují komunikaci s premiérem vlády o citlivých informacích přes freemailového providera. Placebo effect
Silné heslo. Mantra, kterou se zaklínají poradci v IT, redaktoři časopisů a reportéři televizí. Každý administrátor ale ví, že heslo je ve světě bezpečnosti jenom iluze, která má mít efekt placeba. Aby člověk měl pocit, že jeho data jsou v bezpečí. Bohužel, ve skutečnosti síla hesla nemá nic společného s bezpečností. Většina úniků dat v IT světě je dnes prováděna bez narušení integrity hesla. Nejcitlivější data zveřejňují zaměstnanci s oprávněným přístupem, administrátoři a privilegované osoby a nebo útočníci, kterým tyto jmenované skupiny oprávněných osob data předají. Pokusím se proto nyní představit výčet možných vektorů útoku, které mohly být při útoku na Sobotkovu emailovou schránku použity. Inside job
V USA mají na svědomí úniky citlivých informací z emailů v drtivé většině zaměstnanci s bezpečnostní prověrkou. Kauzy Manning nebo Snowden jsou toho dobrým příkladem. Ne všichni zaměstnanci s prověrkou jsou totiž loajální svému zaměstnavateli, státnímu režimu nebo organizaci, pro kterou pracují. Jedná se přitom obvykle o úniky emailů z vnitřních poštovních serverů vládních institucí, kdy nedojde k neoprávněné elevaci privilegií nebo k průniku do systému neschváleným způsobem. Poštovní servery pracují v drtivé většině případů v režimu „Trusted Environment“, kdy se předpokládá, že všichni mohou vidět všechno, s odpovídajícími privilegii. Režim potřebuje zároveň přístup k emailům činitelů ze shora. Takže se nepoužívá „on-site“ kryptování emailů na poštovním serveru. Z technického hlediska jsou emaily uloženy v relačních databázích různých platforem (MySQL, MS-SQL, PostgreSQL atd.) a administrátoři mají na úrovni databází přístup ke všem emailům na poštovním serveru. Emaily jsou uloženy v databázi a lze je dumpem stáhnout a dále zpracovávat.
Administrátoři freemailových služeb nejsou státní zaměstnanci s prověrkou, takže mohou sledovat a číst v databázích každý den veškerou politickou i nepolitickou komunikaci vrcholných českých politiků a získané informace potom mohou nabízet na černém trhu, nebo je zdarma poskytovat serverům typu Wikileaks nebo White Media. Aby se zamaskoval vektor útoku, je možné extrahovaná data z databáze poštovního serveru potom ve Photoshopu vložit do obrázku webového rozhraní emailového účtu, aby to vypadalo, že jde o živý náhled na email a vyšetřovací orgány potom šly po falešné stopě průniku. Zamaskování vektoru útoku je mnohdy pro hackery důležitější, než samotná trofej, protože umožňuje útok opakovat. Všimněte si, že této variantě nahrává poslední informace z webu White Media, kde se pod posledním balíkem Sobotkovo emailů anglicky uvádí toto:
This page contains only informations about websites and accounts attacked by unknown hackers. We do not publish any instructions, scripts, hack tools or directions to perform illegal hacking activities. We are not hackers. V překladu: Tato stránka obsahuje pouze informace o webových stránkách, na které zaútočili neznámí hackeři. Nepublikujeme žádné instrukce, skripty, hackovací nástroje nebo návody pro provádění nelegálních hackerských aktivit. Nejsme hackeři.
Plausabilita toho, že „ne-hackeři“ z webu White Media ve skutečnosti dostali dumpnutá data z poštovní databáze freemailového providera od někoho zevnitř, je nyní po tomto jejich vyjádření opravdu velmi vysoká. Potom by se provozovatelé White Media zařadili mezi tzv. whistleblowery po bok serveru Wikileaks, který také nehackuje, ale pouze zveřejňuje to, co jim kdo pošle. Většina velkých úniků citlivých dat byla vždy dílem zaměstnance a ne vnějšího útočníka, takže i v tomto případě je zde veliká pravděpodobnost, že někdo vytahoval nebo dokonce ještě i teď vytahuje informace z poštovní databáze serveru Seznamu mnoha dalších českých politiků, na které se ještě nepřišlo, resp. nenastal správný čas, aby jejich emaily se dostaly na světlo. Vendor Attack
Státní správa a vláda v ČR používá notebooky jedné značky, jedné řady a ty se potom rozdělí mezi členy vlády a na nich potom vrcholní představitelé pracují. Když útočník zná model stroje a defaultní instalaci softwaru oběti, může svůj útok přímo směrovat na určité komponenty koncového produktu. Tomuto se říká „Vendor Attack“ a jde o nejnebezpečnější vektor útoku. Vybraný model počítače má uniformní výbavu, software, drivery a operační systém (obvykle Windows) s mnoha bezpečnostními dírami. Zatímco operační systém dostává záplaty přes Windows Update (záplaty na ty díry, o kterých se Microsoft dozví…), tak mnohé další nainstalované programy v počítači záplaty nedostávají. Jsou jenom nainstalované jako bloatware v systému a nikdo je nepoužívá. Vendor Attack použili nedávno hackeři na útok proti mobilnímu telefonu Lenovo Vibe P1m, kdy se útočníkům podařilo nabourat servery Lenova s aktualizacemi českých firmwarů a injektovat do aktualizací škodlivý payload, který uživatelům načítal (a dosud načítá) v telefonu porno aplikace, provádí snímky obličeje uživatele z přední kamery a odesílá je na cizí servery. Lenovo se snaží celou kauzu ututlat, nevydalo ke kauze ani tiskové prohlášení, ale na darknetu je k tomu výživná diskuse. Jednalo se o Vendor Attack na konkrétní produktovou řadu serverů HP Proliant proti aplikaci, která je tam jako bloatware nainstalována do Windows Serveru a útočníci napadli především české firmwary na serverech Lenova. Je zajímavé, že na ALZA.cz se telefon nadále prodává, jako by se nechumelilo a není tam ani nějaké upozornění. Nový update firmwaru už je prý v pořádku, ale je potřeba po jeho nainstalování provést factory reset, protože jinak závadné aplikace v mobilu zůstanou.
USB Token
Vzhledem k tomu, že celá vláda používá erární laptopy konkrétního typu a výrobce, není problém z
defaultní konfigurace určit aplikaci, která má bezpečnostní chybu a skrze ní se dostat k převzetí kontroly nad počítačem. Velkou bezpečnostní výzvou jsou potom nové Windows 10, které jsou na darknetu mezi hackery teď velkým hitem, protože W10 umožňují izolovat běh škodlivého kódu způsobem, že antivirové programy nemohou číst z paměti, protože zavaděč viru ve spolupráci s W10 jí přemapují jako virtuální paměť na síti, ke které antivirus vzápětí nedostane oprávnění pro čtení, protože síť náhle selže, takže škodlivý kód antivir nedetekuje, ale pořád běží v paměti. Antiviry na to reagují buď vyskočením chyby o nedostupnosti zařízení, nebo nereagují nijak. Obrana proti tomu je (vypnout podporu síťových úložišť ve W10), ale to naštve uživatele NASů apod. Jelikož zavaděč mappingu není virus, nelze operaci detekovat. Detekovat lze až payload, ale k tomu se antivir nedostane, protože kernel W10 antivir nepustí k oskenování paměti. Zatím žádný antivirový program nemá proti tomuto útoku obranu. Metoda tohoto vektoru útoku je stále ve vývoji na darknetu, odkaz uvádět nebudu, abychom jako zpravodajský server nebyli obviněni z navádění někoho k něčemu. Takže, jak je možné i z tohoto vidět, Vendor Attack je svým způsobem generický nástroj proti skupině strojů stejného typu a stejné výbavy a dostat na stroj premiéra keylogger, to může být opravdu triviální záležitost. Zaměstnanci státu a politici by měli používat randomizované značky výpočetní techniky, což je nejlepší obrana před Vendor Attack vektorem průniku. To je ale v rozporu s pravidly o nákupech pro státní správu, kdy se nákupy techniky provádí hromadně na základě vysoutěžené zakázky jedné firmy. Tam potom těžko půjde zajistit randomizaci hardwaru a softwaru. Compromised environment
Velmi oblíbeným vektorem útoků ve středních a velkých IT firmách je systém „narušeného prostředí“. Tato metoda útoků je přitom naprosto triviální. Mnoho lidí při odchodu z pracoviště nezamyká obrazovku počítače. Útočníkovi potom stačí do počítače zasunout USB klíčenku a nainstalovat keylogger. Otázka 30 sekund. Útok spolupracovníka je velmi snadný, pohodlný a těžko se prokazuje. Pokud by někdo chtěl poškodit Bohuslava Sobotku zevnitř vlády, je toto velmi pohodlná cesta. Politici si taktéž nespravují počítače sami, mají na to poradce, asistenty a IT odborníky. Kdo všechno dostane během kalendářního roku do ruky počítač, laptop nebo i mobil premiéra? Kde všude premiér nechává otevřený laptop, když si někam potřebuje odskočit? Kolikrát mu někdo z poradců řekl, aby se podíval na dokumentaci na „této flašce“ a zasunul tak USB klíčenku do svého počítače? A co třeba takové hry ve Flashi? Politici si je hrají na laptopech, ve sněmovně apod. Posílají si dokonce tyto hry i po emailech.
Narušení bezpečnosti protokolu ze strany člověka nelze prakticky eliminovat.
Bezpečnostní předpisy, které používá Úřad vlády, nejsou poplatné 21. století. Premiér a nikdo z politiků nesmí používat freemaily. Nikdo nesmí přistupovat ke svým emailům z cizích počítačů. Emaily by měly být na poštovním serveru kryptované. Systém kryptování by měl být buď „End-toEnd“ anebo „End-to-Authority-to-End“, pokud systém potřebuje soukromou komunikaci politiků dekryptovat pro účely státu, soudů apod. Vrcholní představitelé by měli používat státem optimalizovaný open-source operační systém, který by byl nastaven tak, aby poskytoval představitelům státu bezpečné elektronické prostředí. Systém by měl být tajný, stejně tak seznam nainstalovaných aplikací. Systém by měl umět znemožnění nainstalování neschválených aplikací, přístup k systému by měl být chráněn materiálovým klíčem (USB Token) a emailová schránka by měla mít verifikaci mobilním telefonem. Samozřejmostí je, že nikdo by neměl mít dovoleno přeposílat si poštu ze zabezpečeného prostředí ven na freemail. Uvidíme, kolik dalších várek emailů se ještě dočkáme, ale pokud toto pouštění informací bude mít za výsledek jenom trapné opakovaní úřadů, že pan premiér nic špatného neudělal, když používal pro řešení státních záležitostí komerční freemail, potom bude jasné, že žádná změna nenastane, že útočníci si budou číst i nadále emaily vrcholných představitelů ČR. -Administrator-
