MASARYKOVA UNIVERZITA Fakulta sociálních studií Katedra politologie
Sociální inženýrství: v kontextu kybernetické bezpečnosti Magisterská práce
Vedoucí práce: Mgr. Martin Bastl, Ph.D. Bc. Ondřej Kalvoda (333077) Bezpečnostní a strategická studia magisterské studium imatrikulační ročník 2012 Brno 2014
Prohlášení o autorství práce Prohlašuji, že jsem diplomovou práci na téma Sociální inženýrství: v kontextu kybernetické bezpečnosti vypracoval samostatně a použil jen zdroje uvedené v seznamu literatury.
Bc. Ondřej Kalvoda ………...............................................
V Brně, 10. 5. 2014
Touto cestou bych rád poděkoval Mgr. Martinu Bastlovi, Ph.D za projevenou vstřícnost, ochotu a cenné připomínky a rady při vedení této práce. Dále bych nesmírně rád poděkoval svým nejbližším za materiální i jinou podporu, kterou mi během mého celého dlouhého studia poskytovali.
Anotace Diplomová práce se zabývá velice diskutovanou, v České republice příliš neprobádanou, oblastí sociálního inženýrství. Práce zkoumá sociální inženýrství v kontextu kybernetické bezpečnosti. Prvním cílem této práce je nalézt všechny základní mechanismy označovány relevantní literaturou za sociální inženýrství. Druhý cílem této práce je představit základní cyklus útoku sociálního inženýrství. Identifikace základních fází cyklu útoku sociálního inženýrství poslouží v další fázi výzkumu jako nástroj pro analýzu jednotlivých mechanismů. Posledním a zároveň hlavním cílem této práce je představit jednotlivé mechanismy sociálního inženýrství v kontextu kybernetické bezpečnosti. Práce bude analyzovat identifikované mechanismy považované za sociální inženýrství. U každého mechanismu je rozhodnuto, zda je možné přiřadit do kategorie sociálního inženýrství. Klíčová slova: Sociální inženýrství, kybernetická hrozba, kybernetické prostředí, informační bezpečnost,
phreaking, vishing, smishing, pharming, trashing, baiting, phishing, no-tech
hacking, watering hole, social engineering toolkit
Abstract This thesis deals with a widely discussed topic of social engineering, which hasn‟t been much explored yet. The research of social engineering is carried out in context of cyber security. The first goal of the thesis is to find all basic mechanisms that are considered, by the existing literature, as social engineering methods. The second goal is to introduce a general cycle of a social engineering attack. The next part of the research uses the identified phases of a social engineering attack as a tool for analysis of each individual mechanism. The last and also the main goal of this thesis is to introduce and analyse the identified methods of social engineering. For each individual method it is decided whether it can belong to social engineering category or not. Key words: Social engineering, cyber threat, cyber space, phreaking, vishing, smishing, pharming, trashing, baiting, phishing, no-tech hacking, watering hole, social engineering toolkit
Obsah 1.
Úvod ..................................................................................................................... 1
1.1.
Cíle práce ............................................................................................................ 3
1.2.
Pojetí práce ......................................................................................................... 4
2.
Teorie a konceptualizace ................................................................................... 7
2.1.
Bezpečnost subjektu ........................................................................................... 7
2.2.
Bezpečnost organizace ....................................................................................... 7
2.2.1. Fyzická bezpečnost ............................................................................................. 8 2.2.2. Personální bezpečnost ........................................................................................ 8 2.2.3. Operační bezpečnost .......................................................................................... 9 2.2.4. Komunikační bezpečnost ................................................................................... 9 2.2.5. Síťová bezpečnost ............................................................................................. 10 2.2.6. Informační bezpečnost ..................................................................................... 10 2.3.
Sociální inženýrství .......................................................................................... 15
2.4.
Kybernetické prostředí .................................................................................... 20
2.5.
Cyklus útoku ..................................................................................................... 23
3.
Popis a přezkoumání mechanismů sociálního inženýrství ........................... 26
3.1.
Phreaking .......................................................................................................... 26
3.2.
Vishing ............................................................................................................... 31
3.3.
Smishing ............................................................................................................ 36
3.4.
Pharming ........................................................................................................... 41
3.5.
Trashing ............................................................................................................ 46
3.6.
No tech hacking ................................................................................................ 48
3.7.
Baiting ............................................................................................................... 50
3.8.
Watering Hole ................................................................................................... 52
3.9.
Phishing ............................................................................................................. 55
3.9.1. Tradiční útok .................................................................................................... 57 3.9.2. Spear phishing- cílený útok ............................................................................. 59 3.9.3. Whaling ............................................................................................................. 61 3.10. Social engineering toolkit (SET) ..................................................................... 62 4.
Diskuze .............................................................................................................. 65
5.
Závěr .................................................................................................................. 68
Použitá literatura: ...................................................................................................... 70
Počet znaků: 157 844
1. Úvod Tato magisterská práce se věnuje stále aktuálnější problematice kybernetického prostředí. Jejím hlavním tématem jsou především bezpečnostní hrozby a rizika, která se v tomto prostředí vyskytují. V současné době dochází k úzkému prolínání kybernetického a reálného prostředí a jedinec se stává zranitelnějším vůči kybernetickým hrozbám. Kybernetický prostor je prostředí, které je svou technickou strukturou a principy fungování velice složité. Převážná část počítačově neerudované populace nemá přesnou představu, jak informační technologie přesně fungují. Především z tohoto důvodu jsou kybernetické hrozby tak nebezpečné a značná část obětí se jim nedokáže účinně bránit. Většina lidí zná alespoň základní preventivní opatření proti bezpečnostním hrozbám a znají základní bezpečnostní rizika, která se jich přímo dotýkají. U kybernetické hrozby je situace odlišná. Lidé převážně neznají rizika, která přináší jejich každodenní interakce s kybernetickým prostředím. Mohou se stát poměrně snadno terčem útoku přicházejícího z kybernetického prostředí a jeho dopad negativně pocítí právě v reálném světě. Záludnost kybernetické hrozby je především v její abstraktní virtuální podobě, která nevyvolává pocit přímého narušení bezpečnosti u subjektu, jehož bezpečnost je právě narušována. Pod pojmem kybernetické hrozby a rizika si můžeme představit opravdu velmi širokou škálu problémů a do této kategorie je možné zařadit velké množství témat. Můžeme identifikovat hrozby nejrůznějšího charakteru, od kybernetické kriminality, která ohrožuje především jednotlivce a organizace, až po koncepty kybernetických válek, které ohrožující fungování suverénních států. Tato práce si neklade ambice postihnout všechny kybernetické hrozby, které v současnosti existují. Zohledníme-li dynamiku vývoje kybernetických útoků a vynalézavost jejich tvůrců, není v lidských silách poskytnout podrobný výčet všech kybernetických hrozeb. Cíl této práce bude proto o poznání užší a zaměří se na vybraný aspekt kybernetických hrozeb. V poslední době se velmi často hovoří o sociálním inženýrství, jako o významné bezpečnostní hrozbě, která úzce souvisí s informačními technologiemi a kybernetickým prostředím. Práce se zaměří právě na sociální inženýrství. Sociální inženýrství je velice komplexní a složitý fenomén. Při bližším zkoumání tohoto fenoménu zjistíme, že existuje množství článků, textů a publikací nejrůznější relevance. Ty se problematikou sociálního inženýrství zaobírají nejrůznějším způsobem. Můžeme identifikovat celou řadu 1
textů, od naučně populárních článků popisujících tuto problematiku zábavnou formou, až po vysoce technicky specifikované publikace z oblasti počítačových a informačních systémů. Většina těchto publikací a článků má jeden společný znak. Pro sociální inženýrství, jako jev spjatý s kybernetickou bezpečností, neexistuje jasné terminologické vymezení. Ambicí této práce je především pokusit se nalézt logické vysvětlení tohoto termínu a jeho definování v souvislosti právě s kybernetickým prostředím. V současnosti neexistuje jasné hranice, kde končí obyčejný podvod a začíná sociální inženýrství. Proto se tato práce pokusí představit sociální inženýrství jako bezpečnostní hrozbu kybernetického prostředí. Abychom mohli s pojmem dále pracovat, bude nutné vymezit si některé základní termíny, koncepty a teorie. Ve druhé kapitole budou vysvětleny základní rámce pro bezpečnost organizace, související především s informační bezpečností. Budou zde také vymezeny pojmy sociální inženýrství a kybernetické prostředí, ze kterých bude tato práce vycházet. Budou představeny jednotlivé fáze útoku sociálního inženýrství a na závěr této kapitoly budou identifikovány mechanismy těchto útoků. Tyto vybrané mechanismy budou následně podrobeny podrobnému přezkoumání. Výstupem této práce by pak mělo být přiřazení identifikovaných mechanismů do kategorie útoků sociálního inženýrství nebo jejich vyloučení. V diskuzi bude provedeno hodnocení výstupů této práce. Budou zde také vyhodnoceny problémy a limity tohoto zkoumání a budou naznačeny možnosti pro další vědeckou práci v této oblasti.
2
1.1.
Cíle práce
Hlavním cílem této práce je představit sociální inženýrství v návaznosti na kybernetické prostředí. V oblasti sociálního inženýrství je v současné době terminologický a teoretický chaos. Situace je aktuálně taková, že není shoda v tom, co označit jako sociální inženýrství. Neexistuje přesný ani jednotný přehled mechanismů sociální inženýrství. Odborníci se často rozcházejí v pohledu na sociální inženýrství a jednotlivé texty působí v širším kontextu velmi zmatečně. Sociální inženýrství je v současné době populární fenomén, ale v žádném případě se nejedná o terminologicky ustálený jev v oblasti informační a kybernetické bezpečnosti. S největší pravděpodobností lze předpokládat, že vymezení tohoto problému bude v mnoha ohledech problematické. Ambicí této práce není vyřešit úplné ustálení termínu sociální inženýrství. Hlavním cílem této práce je představit sociální inženýrství v kontextu kybernetické bezpečnosti. Sociální inženýrství zasahuje do kybernetického prostředí. Otázkou zůstává, nakolik je sociální inženýrství záležitostí kybernetického prostředí a nakolik jsou některé mechanismy záležitostí spíše reálného světa. Pro tyto potřeby bude hlavní výzkumná otázka formulována následovně: Jakou měrou zasahují jednotlivé mechanismy útoku sociálního inženýrství do kybernetického prostředí? Abychom si mohli na hlavní výzkumnou otázku odpovědět, bude nejprve nutné zjistit, jakým způsobem funguje útok sociálního inženýrství. Následně bude nutné identifikovat všechny mechanismy sociálního inženýrství, které současné dokumenty považují za sociální inženýrství. Stanovíme si tedy ještě dvě pomocné výzkumné otázky, které nám pomohou především v první fázi našeho výzkumu. První pomocná otázka se zabývá samotným sociálním inženýrstvím. Odpověď na tuto otázku by nám měla přinést určité základní poznatky, za pomoci kterých by mělo být snazší identifikovat celý proces útoku. Otázka tedy zní: Jaké kroky, nebo jaké procesy se využívají pro útoky sociálního inženýrství?
3
Odpovíme-li si na tuto otázku, měli bychom získat předběžnou představu o jednotlivých fázích tohoto útoku. Jaké kroky je tedy nutné provést, aby měl útok co největší šanci na úspěch. Zda je nutné tyto kroky provádět v pevně dané souslednosti, nebo lze jednotlivé kroky libovolně zaměňovat. Všechna tato zjištění napomohou rozboru, který bude následovat v další fázi výzkumu. Abychom mohli realizovat další fázi výzkumu, musíme nejprve identifikovat všechny mechanismy útoku, které jsou označovány jako sociální inženýrství. Znění druhé pomocné výzkumné otázky je tedy prosté: Jaké mechanismy útoku jsou označované jako sociální inženýrství? Jakmile získáme odpověď i na druhou pomocnou otázku, můžeme přejít ve výzkumu do další fáze a výčet mechanismů útoku podrobit důkladnému přezkoumání. Hlavním cílem přezkoumání těchto mechanismů je nalezení nebo vyvrácení kybernetické dimenze těchto útoků. Na základě tohoto přezkoumání bude rozhodnuto, zda lze nebo nelze daný mechanismus označit jako sociální inženýrství v kontextu kybernetické bezpečnosti.
1.2.
Pojetí práce
Práce se nejprve bude věnovat vysvětlení základní terminologie informační a kybernetické bezpečnosti se zaměřením na sociální inženýrství a termíny se sociálním inženýrstvím úzce související. Nejprve budou představeny možnosti bezpečnosti subjektu. Následně se budeme věnovat základnímu pojetí sociálního inženýrství. Bude nutné také definovat kybernetický prostor. Po popsání termínů, bude představen základní koncept útoku. V něm se budeme krátce věnovat jeho jednotlivým fázím. Tento koncept nám bude plnit funkci pomocného vodítka pro podrobné zkoumání. Nelze vyloučit, že u některých mechanismů útoku nebude aplikovatelný nebo nebude možné ho aplikovat celý. První část výzkumu bude tedy plně věnována především problematice sociálního inženýrství. Na základě odborné literatury bude identifikován cyklický model, který je využíván při těchto útocích, a budou popsány jeho jednotlivé fáze. Zde získáme odpověď na první pomocnou otázku, která zní: Jaké kroky, nebo jaké procesy se využívají pro útoky prostřednictvím metody sociálního inženýrství?
4
Po vymezení těchto základních předpokladů pro tuto práci, se budeme věnovat druhé pomocné výzkumné otázce. Jaké mechanismy se využívá sociální inženýr pro svůj útok? Pro odpověď na tuto otázku bude nutné identifikovat všechny druhy mechanismů, které jsou označovány za sociální inženýrství. V této části budeme analyzovat dostupnou odbornou literaturu, která se věnuje sociálnímu inženýrství, a budeme hledat výčet jednotlivých mechanismů, které tyto texty identifikují. S analýzou budeme pokračovat, dokud nedojde k saturaci dat. Poté bude možné se přesunout do druhé fáze výzkumu. Výčet jednotlivých mechanizmů sociálního inženýrství bude ve druhé fázi výzkumu podroben detailní analýze. Tato část práce se bude již plně zabývat odpovědí na hlavní výzkumnou otázku: Jakou měrou zasahují jednotlivé mechanismy sociálního inženýrství do kybernetického prostředí? Každý mechanismus, který bude získán díky výzkumu, bude následně rozebrán a analyzován podle jednotlivých fází útoku, přičemž zásadní důraz bude kladen na způsob a provedení daného kroku. Úkolem je zjistit, zda byl tento krok proveden v kybernetickém prostředí nebo v reálném světě. Následně dojde k posouzení, nakolik je mechanismus útoku sociálního inženýrství spjat s kybernetickým prostředím. Zkoumány budou všechny možnosti útoku. Podrobný rozbor nám pomůže objasnit problematiku zapojení sociálního inženýrství do kybernetického prostředí. Zjistíme, které mechanismy sociálního inženýrství jsou vytvořeny pro kybernetické prostředí a které využívají jiný, spíše reálný svět. V práci bude využito empiricko-analytického přístupu, přičemž hlavní důraz bude kladen na hermeneutickou metodu. „Základním principem hermeneutiky je hermeneutický kruh. To znamená kruhový pohyb výkladu, který začíná první základní znalostí textů, tvořící pozadí pro jemnější analýzu jejich jednotlivých částí“. (Hendl 2005:73) Tím, že se pohybujeme v kruhu nebo ve spirále, dochází stále k lepšímu a přesnějšímu porozumění dané problematiky. Dochází tak k podrobnému rozboru daného problému. Tento přístup umožňuje hluboký vhled do vymezené problematiky. Základní teoretické premisy a rámce této práce budou vytvořeny z relevantních zdrojů. Práce se bude snažit vycházet s co největšího množství skutečně relevantních, nejlépe knižních zdrojů, které se zabývají oblastí informační bezpečnosti, kybernetickými útoky, 5
hackerstvím a kybernetickou bezpečností. Vzhledem k velice problematickému získávání dat, které budou dále aplikovány, lze předpokládat, že bude nutné čerpat i z méně relevantních zdrojů. Bude se jednat především o časopisy naučně-populárního rázu, které se zabývají počítačovou problematikou, různé hackerské webové stránky a internetová fóra. Tyto data však budou důkladně prověřována. Bude se jednat převážně o doplňující informace o událostech spjatých s problematikou sociálního inženýrství. Dalšími cennými zdroji, ze kterých bude tato práce vycházet, jsou zprávy společností zabývajících se počítačovou bezpečností nebo tvorbou bezpečnostních programů (například společnosti IBM, Kaspersky, McFee Symantec atd). Lze také předpokládat určitá omezení tohoto výzkumu. Je vysoce žádoucí, aby si tato práce zachovala sociálně vědní charakter. Je více než pravděpodobné, že během zpracování tématu se nevyhneme některým skutečnostem, které spadají spíše do technické oblasti. Bude nesnadné tyto technické náležitosti zjednodušit tak, aby byl zachován sociálně vědní charakter tohoto výzkumu. Práce se bude snažit technické detaily omezit na co nejnižší míru. Bude provedeno značné zjednodušení těchto principů a pojmů takovým způsobem, aby byly srozumitelné i pro počítačově neerudované čtenáře. Cílem práce není podrobný technický popis jednotlivých mechanismů, ale především seznámení se základním principem a fungováním těchto útoků.
6
2. Teorie a konceptualizace 2.1.
Bezpečnost subjektu
Pojem bezpečnost lze bezesporu označit za klíčový pro všechny, kteří se zabývají bezpečnostní problematikou. Pro bezpečnost lze využít negativního vymezení. V této souvislosti můžeme identifikovat bezpečnost jako absenci hrozby. Jedná se o stav, kdy je na co nejvyšší možnou míru eliminována hrozba. Jedná se o ideální stav, kterého nelze nikdy za žádnou cenu dosáhnout. Nelze dosáhnout absolutní bezpečnosti. Lze se pouze v nekonečném procesu snažit co nejvíce snižovat riziko hrozby (Mareš 2002: 11-13). Předmětem úsilí subjektů je co nejvíce eliminovat hrozby a tím snižovat nebezpečí. Bezpečnost je tedy „stav, ve kterém se individua, skupiny a státy necítí ohrožené vážnými hrozbami, popř. se před nimi považují za účinně chráněné a svoji budoucnost mohou vytvářet podle vlastních představ. Stupeň bezpečnosti, popř. ohrožení závisí dalekosáhle na subjektivních pocitech, historických zkušenostech, pojetí sama sebe a poměru k okolnímu prostředí“. (Buchbender et al 1992:134) Pro naši práci je potom zásadní především chování subjektů (míněno osob), které jsou součástí objektů bezpečnosti. Podle Mareše lze „ve vztahu k jakémukoliv konkrétnímu objektu vymezit bezpečnost jako stav, kdy jsou na nejnižší možnou míru eliminovány hrozby pro objekt a jeho zájmy a tento objekt je k eliminaci stávajících i potenciálních hrozeb efektivně vybaven a ochoten při ní spolupracovat“. (Mareš 2002: 13) Pro tuto práci nebude příliš relevantní, zda objekt bezpečnosti je jedinec, soukromá společnost, stát nebo mezinárodní aktér. Z hlediska zaměření výzkumu je toto rozdělení poměrně nepodstatné. Stejně jako je nepodstatné členění bezpečnosti na vojenský, politický, ekologický a societární sektor, jak ho představují Buzan, Weaver a Wilde ve své práci Bezpečnost: nový rámec pro analýzu (Buzan et al 2005). Společnosti, jednotlivci i státy provádějí nejrůznější opatření, aby zajistili bezpečnost daných objektů. Pro zjednodušení budeme dále v textu využívat pro výše zmíněné objekty bezpečnosti pojem organizace.
2.2.
Bezpečnost organizace
Bezpečnost organizace se skládá z několika segmentů, které jsou propojené a vzájemně tak tvoří bezpečnostní prostředí této organizace. Tyto segmenty se vzájemně 7
prolínají a doplňují. Dle Michaela Whitmana a Herberta Mattorda (Whitman a Mattord 2012) tvoří základní segmenty organizace
2.2.1.
Fyzická bezpečnost
Fyzická bezpečnost organizace má za úkol chránit především budovy, v nichž sídlí organizace. Dále má za úkol zabezpečovat vybavení a důležité prvky těchto budov. Mezi tyto prvky řadíme bezpečnostní systémy, které mají za úkol ochránit budovu a subjekty uvnitř. Dalším úkolem fyzické ochrany je zajištění kontroly vstupu do budovy. Do budovy by se neměl dostat nikdo nepovolaný. Pro zajištění této fyzické bezpečnosti se využívá nejrůznějších nástrojů. Mezi tyto nástroje patří lidské zdroje a technická zařízení. Lidské zdroje mají na starosti ostrahu objektu a činnosti s ní spojené. Jedná se zpravidla o vrátné, kteří mají za úkol monitorovat a zaznamenávat vstup osob do budov organizace nebo o noční hlídače, kteří provádějí hlídkovou činnost k zajištění ostrahy objektu. Technická zařízení pak napomáhají ostraze objektu a usnadňují práci lidským zdrojům. Může se jednat o různé kamerové systémy, které mají za úkol monitorovat celý objekt nebo bezpečnostní dveře, které se otevírají na kartu či čip. Teprve po přiložení karty a zadání kódu může oprávněný subjekt vstoupit. Mezi další opatření lze zařadit alarmy a požární hlásiče, které mají za úkol zajistit integritu a požární bezpečnost budovy. Může se jednat o „fyzické bezpečnostní mechanismy stínění, trezory, zámky, protipožární ochrana, generátory náhradní energie, chráněná místa pro záložní kopie dat a programů“ (Čandík ) a podobně.
2.2.2.
Personální bezpečnost
Personální bezpečnost se stará o ochranu a pohyb zaměstnanců, kteří mají do organizace přístup. Má na starosti vytváření přístupových práv do jednotlivých budov, nebo do segmentů těchto budov. Mnoho organizací v dnešní době využívá rozdělení budov na několik segmentů, které jsou si vzájemně nepřístupné. Zpravidla jsou využita právě čipová zařízení, karty či kódy, které odemykají dveře do jednotlivých segmentů. Zaměstnanci nebo osobě pohybující se oprávněně po budově jsou následně přidělena přístupová práva jen do těch částí budov, které potřebuje pro výkon své činnosti. Další součástí personální bezpečnosti je prověřování a evaluace spokojenosti zaměstnanců. K tomuto účelu slouží různé 8
dotazníky a pohovory.
Tyto procesy mají za úkol především odhalit nespolehlivé a
nespokojené zaměstnance, protože ti představují pro organizaci opravdovou hrozbu. „Stalo se již téměř každodenní praxí, že novináři uvádějí jako zdroj svých informací dobře informovaného pracovníka banky, ministerstva, policie a dalších organizací, který si nepřál být jmenován. Tato krátká informace by měla být velkým varováním pro vedoucí pracovníky příslušné organizace, protože se v její struktuře nachází slabý článek - pracovník, jehož zájmy nejsou shodné se zájmy společnosti“. (Čandík)
2.2.3.
Operační bezpečnost
Cílem operační bezpečnosti je chránit každodenní procesy a postupy. Jedná se o ochranu procesů a postupů, které organizace využívá, aby správně fungovala a mohla efektivně pracovat. Ačkoliv by se zatajování a ochrana těchto procesů mohla zdát zbytečná, plní důležitou úlohu v procesu ochrany organizace. Pokud útočník zná vnitřní směrnice a postupy každodenní práce, může se lépe připravit k útoku na organizaci. Je také důležité si uvědomit, že mezi tyto zaměstnanecké směrnice patří především bezpečnostní směrnice. Tyto směrnice by mohl útočník velice snadno zneužít pro proniknutí do organizace nebo do informačního systému organizace.
2.2.4.
Komunikační bezpečnost
Komunikační bezpečnost má za úkol ochranu komunikačních medií a kanálů. Jedná se o zajištění bezpečnosti a správného chodu jednotlivých komunikačních zařízení. Jde především o zajištění funkčnosti a bezpečnosti počítačů a informačních systémů. Komunikační bezpečnost má za úkol kontrolovat jak softwarovou a hardwarovou kompatibilitu, tak správnost fungování a úplnost vybavení. Je důležité také pečlivě evidovat jednotlivá zařízení, především pak přenosná media (flash disky, externí harddisky, cd, dvd a podobná zařízení), protože právě tato zařízení se mohou stát snadným zdrojem ohrožení organizace. Jedná se o ochranu technologií, které obsahují a přenáší důležité informace.
9
2.2.5.
Síťová bezpečnost
Síťová bezpečnost je podobná komunikační bezpečnosti. Na rozdíl od komunikační bezpečnosti se zaměřuje na síťové prvky. Jedná se o ochranu a servis jednotlivých součástí a komponentů, které zajišťují síťové spojení. Toto spojení může být navázáno uvnitř organizace, nebo může spojovat organizaci s dalšími objekty.1 Je důležité zachovat funkčnost a ochranu zmiňovaných síťových prvků. Z tohoto důvodu dochází k nastavování jednotlivých serverů, routerů a dalších síťových komponentů.
2.2.6.
Informační bezpečnost
V této práci se budeme také zabývat, jak se mohou jednotlivci nebo skupiny uvnitř bezpečnostního objektu stát potencionálními oběťmi- pomocníky útočníků. Situace může působit trochu chaoticky, neboť oběť útoku nemusí být vždy poškozeným subjektem. Může nastat situace, kdy oběť bez svého vědomí vydá důležité informace. Tyto informace mohou poškozovat oběť, pokud vyzradí důležité informace o sobě samotné. V případě, že oběť vyzradila informace o organizaci, nemusí se sama stát poškozeným. Může být jenom určitým nedobrovolným pomocníkem útočníka. Skutečným poškozeným se může stát organizace, pro kterou oběť pracuje. Vzhledem k tomu, že se v současnosti nacházíme dle Tofflerových (Toffler a Tofflerová 2002) ve třetí civilizační vlně, je důležité se zaměřit na ochranu informací. Tofflerovi předpokládají, že třetí vlna, kterou ve své práci nazývají informačním věkem, je spojena s nástupem moderních informačních (high-tech) technologií. V tomto informačním věku mají informace nevyčíslitelnou hodnotu. V současném světě se tedy do popředí zájmů útočníků dostává především získávání informací. Informační bezpečnost tak logicky nabírá na své důležitosti. Důkazem tohoto tvrzení může být neustále přibývající
1
Buď může být vytvořena vnitrofiremní síť, která spojuje informační zařízení pouze uvnitř firmy a není napojená na internet. Nebo může být napojená na internet a může tak vytvářet daleko větší a otevřenější síť. Napojení na vnější-internetovou síť sebou nese vyšší bezpečnostní rizika.
10
medializace tohoto problému. Konkrétně v České republice existuje hned několik projektů, které se zabývají preventivní a poradní činností v oblasti informační bezpečnosti.2 Informační bezpečnost je koncept, který je spjat s mnoha aspekty společnosti. Ve většině případů je ale spojován právě s informačními a moderními technologiemi. Informační technologie podporují efektivnější a produktivnější systém práce. Lidé mají lepší a rychlejší přístup k informacím, než kdykoliv předtím, informační technologie dokážou vyřešit mnoho úkolů a udělat tak užitečnou práci za člověka. Tyto technologie nepřináší pouze pozitivní přínos pro lidstvo, ale vytváří i nové hrozby, které jsou pro mnoho lidí naprosto nepochopitelné. Stačí jedno špatné kliknutí myší nebo nepozorné zadání příkazu a zaměstnanec banky může připravit svojí chybou zákazníky o milionové částky (Andress 2011). Stejným způsobem, jak se zrychluje přístup k informacím, zrychluje se i realizace těchto hrozeb. Zůstaneme-li pro názornost v bankovním prostředí, rychlost převodu peněz přes internetové bankovnictví je dnes mimořádná. Existují banky, které odesílají tyto částky velice rychle a dokážou aktualizovat konta svých zákazníků i několikrát denně. Útočník, který proniknul do internetového bankovnictví banky, může za určitých okolností získat finance ještě tentýž den. Proto je v současné době nezbytné klást na informační bezpečnost velký důraz. „Informační bezpečnost znamená komplexní pohled, který organizaci pomáhá poznat a chránit své cenná data a také vede praktickými opatřeními k eliminaci či výraznému snížení dopadů v případě mimořádných událostí“. (Požár: 2) Komplexní pohled na ochranu a poradenskou činnost nám poskytnou společnosti, které se zabývají auditem informační bezpečnosti. Komplexní pohled znamená, že se audit nezaměřuje pouze na informační technologie, ale že informační bezpečnost chápe v souvislosti s dalšími segmenty bezpečnosti organizace, které jsou výše nastíněny. Bezpečnostní auditoři si jsou vědomi, že tyto segmenty jsou na sobě vzájemně závislé a úzce spolu souvisí. 2
Jedná se především o servery http://www.bezpecnyinternet.cz/ a http://www.saferinternet.cz. V souvislosti s bezpečným zacházením informačních technologií se objevili v televizi spoty, které jsou vysílány na kanálech veřejnoprávní České televize. 1. října 2012 Česká televize začala vysílat seriál osvětových videí Jak na Internet. Cílem projektu, za nímž stojí sdružení CZ.NIC, správce české národní domény, je edukace v oblasti Internetu, domén, internetových služeb a souvisejících technologií. Jedná se celkem o 40 přibližně dvouminutových spotů, které bude Česká televize vysílat do konce listopadu ve všední dny po hlavní zpravodajské relaci Události (CZ.NIC Labs 2014).
11
Získávání informací z reálného i kybernetického prostředí (prolínání kybernetického a reálného světa) V tomto případě se útočníci snaží získat potřebná data a informace bez využití sofistikovaných a náročných metod vyžadujících rozsáhlé znalosti v oblasti IT. Využívají přitom metod, které se běžně používají v reálném světě. Nabízí úplatky zaměstnancům firem, ze kterých chtějí získat informace. Využívají krádeží a vydírání, aby získali potřebné informace. Mohou také získat informace tím, že oklamou oběť, která nevědomky tyto informace prozradí. Po získání těchto informací, se může útočník dostat do požadovaných systémů a sítí, aniž by potřeboval využívat složité počítačové dovednosti. V tomto případě útočníci využívají často slabin tzv. insiderů. Podle Jírovského je insider nespokojený či bývalý zaměstnanec, který zná prostředí, procesy a systém společnosti či organizace, do které chce proniknout. Působení těchto insiderů často nadělá větší škody, než sofistikované počítačové útoky (Jírovský 2007: 114). V případě jednotlivce se zpravidla jedná o bývalé partnery, kamarády nebo jiné osoby, které pronikly do soukromí jednotlivce, znají jeho návyky a mají o něm dostatek informací. Definice Jírovského je velmi úzce a nepřesně vymezena. Lze souhlasit s premisou, že působení insidera nadělá obvykle větší škody než sofistikované počítačové útoky. Nelze však souhlasit s tvrzením, že insider je bývalý či nespokojený zaměstnanec. Není nezbytně nutnou podmínkou, aby zaměstnanec byl nespokojený, nebo aby se jednalo o bývalého zaměstnance. Člověk uvnitř může být zaměstnanec, kterého třeba někdo vydírá, nebo ho zlákala vidina snadného zisku. Mohl být také šikovně podveden a nemusel si vůbec uvědomit, že pomáhá útočníkovi. Proto je lépe insidera definovat jako „každého, kdo má určitá přístupová práva do sítě, k systému nebo do aplikace. Proto mohou být důvěryhodnými insidery různé typy zaměstnanců, kontraktorů, poskytovatelé servisu, softwarových prodejců a dalších“.
(Brancik 2008: 3) Jedná se o
člověka uvnitř, který má možnost proniknout do informačních technologií anebo má možnost získat informace, popřípadě nastražit léčku k získání informací. V současné době se v souvislosti se získáváním informací a jejich následném zneužití hovoří jako o kombinaci reálného a kybernetického světa. Jedná se o metodu, která kombinuje získání informací pomocí klamu, typického pro reálný svět, a následného zneužití informace za účelem proniknutí do systému či k prolomení bezpečnosti těchto systémů. Získané 12
informace jsou využity v kybernetickém prostředí. Zpravidla k tomuto způsobu útoku přistupují útočníci z důvodu usnadnění práce. Útočníci nemusí trávit dlouhý čas psaním složitého programu a obsáhlého kódu. Tuto metodu mohou využívat také útočníci, kteří nemají dostatečné znalosti a dovednosti, aby dokázali proniknout do systému násilným způsobem. Můžeme tak pozorovat vzájemné prolínání obou prostředí, přičemž jedno prostředí je závislé na druhém. Získávání informací v kybernetickém světě (kybernetické prostředí) Útočníci využívají moderních počítačových technologií a rozsáhlých znalostí počítačových systémů. Pomocí sofistikovaných metod a programů násilně pronikají do systémů jednotlivce či organizace. Po proniknutí do systému působí přímou škodu, nebo získávají další informace, které následně ilegálně zneužívají ve svůj prospěch. Skupina lidí, která je schopna tyto útoky realizovat je přirozeně méně početná, než skupina využívajících nepočítačové metody k získání informací. Jedná se o odborníky a nadšence, kteří musí mít rozsáhlé znalosti a dovednostmi v oblasti počítačových technologií. Tito lidé vědí, jak fungují jednotlivé systémy, kde mohou najít některé slabiny a bezpečnostní mezery. Znají způsoby jak nejjednodušeji do těchto systémů proniknout. Vědí, jaké metody a nástroje pro penetraci využít. Jedná se o poměrně složitou metodu získávání informací a následné zneužívání dat. Na druhou stranu se na černém trhu objevují programy a aplikace, které lze pro tyto účely použít. Výhodou těchto programů je, že je může využívat i člověk, který nedisponuje tak rozsáhlými počítačovými znalostmi (Kraemer-Mbula et al 2013: 448-550 upraveno autorem). Počítače3, počítačové sítě a informační systémy se staly v současné době naprosto běžnou součástí každodenního života většiny vyspělé populace. Počítače nám ve většině případů
3
Počítač (computer, personal computer, PC): V souladu se zněním ČSN 36 9001 se jedná o
„stroj na zpracování dat provádějící samočinné posloupnosti růžných aritmetických a logických operací“, tedy jinými slovy, stroj charakterizovaný prací s daty, která probíhá podle předem vytvořeného programu, uloženého v jeho paměti (Porada a Konrád 1998). Z logiky věci se nejedná pouze o počítače, ale lze jsem zařadit smartphony, tablety a další technologické zařízení pracující na bázi počítače.
13
ulehčují práci a stávají se také hlavním zdrojem informací a zábavy. Počítač využíváme i ve většině zaměstnání a dnes není problém se připojit na internet prakticky odkuliv. Člověk může být online 24 hodin denně. Pouze velmi malá část uživatelů rozumí principům, na kterých tyto moderní technologie fungují. Málo uživatelů si uvědomuje všechna rizika, která tyto technologie přináší. Hrozby plynoucí z užívání těchto technologií bývají velice nenápadné a uživatel si nemusí být vědom, že je ohrožen nebo napaden. Uživatelé těchto technologií jsou permanentně vystavováni nejrůznějším hrozbám. Největším nebezpečím těchto hrozeb je subjektivní pocit bezpečí, který má referenční objekt. Lidé, kteří se nedokážou orientovat v těchto složitých technologiích, si vůbec nemusí uvědomovat, že došlo k útoku na jejich počítačové zařízení. Pokud se kybernetický útok provede precizně, oběť nemusí nikdy zjistit, že k penetraci do systému došlo. Bylo by velice naivní myslet si, že odborníci pracující v oblasti IT technologií jsou proti těmto hrozbám imunní. Většina těchto odborníků, vytvářejících tyto složité systémy, chápe jejich mechanismy a procesy. Musíme ale také počítat s lidským faktorem. Lidé občas chybují. Patří to k nedílné součásti lidské přirozenosti. Existuje mnoho faktorů, které mohou útočníci využít ve svůj prospěch. U laiků mohou využít prosté nevědomosti a neznalosti. U odborníků pak mohou zneužít jejich nepozornosti nebo jejich chyb. Obecně pak platí, že útočníci zneužívají lidské slabiny, které využívají ve svůj prospěch, aby se dostali k informaci, kterou potřebují. Způsobů útoků na informační technologie a informační integritu existuje skutečně nepřeberné množství. Zranitelnost informačních technologií patří totiž k jejich přirozené vlastnosti. Mezi rizika informačních technologií patří například špatné zacházení s touto technologií, neodborný personál a neautorizované a neoriginální softwarové a hardwarové komponenty. Nejrůznější rizika také přicházejí přímo z kybernetického prostředí. Může se jednat o nejrůznější škodlivý software nebo o kybernetické útoky, během kterých je cílem buď vyřadit informační systém, nebo do něj proniknout. Následky takovýchto útoků mohou být hrozivé.
14
2.3.
Sociální inženýrství
Termín sociální inženýrství (Social Engineering SI4) se střetává s problémem neustálenosti a terminologické nejasnosti. Existuje mnoho definic, které se snaží nějakým způsobem uchopit a vymezit SI. V mnoha případech dochází k naprostému nepochopení významu SI v souvislosti s kybernetickým světem a moderními informačními technologiemi. Problém je neexistence ustálené představy o termínu SI. Velká část literatury věnují se kybernetické a informační bezpečnosti předpokládá, že pokud se nejedná o napadení sítě násilnou sofistikovanou penetrací, jde automaticky o útok SI. Většina těchto lidí vůbec nepracuje s konceptem klasického podvodu. Neexistují žádné přesné hranice vymezující, co je možné považovat za SI a co je prostý podvod, který nějakým způsobem souvisel s informačními technologiemi. SI je nejjednodušší a zároveň nejúčinnější metoda, jak získat podrobné informace o cíli. SI je metoda, kdy se útočník zaměří na svou oběť s cílem získat důvěrné a cenné informace. Získané informace následně zneužije ve svůj prospěch (Engebretson 2011). SI velice často cílí na emoce lidí, zneužívají je a převrací ve svůj vlastní prospěch. Jiní naopak navazují mezilidské vztahy s cílem vytvořit si přátelské pouto, které vyvolá v oběti důvěru (Gao a Kim 2007). Nebezpečí SI tkví především ve své jednoduchosti a nenápadnosti. Člověk je v současném světě zvyklý na každodenní telefonáty a na každodenní komunikaci s velkým množstvím lidí. Denně nám chodí do našich emailových schránek velké množství elektronické pošty. Denně navštěvujeme nejrůznější internetové stránky. V rámci sociální interakce se setkáváme denně s nejrůznějšími požadavky, dotazy a úkoly. Pro člověka, který ovládá metodu SI, není sebemenší problém splynout s těmito lidmi. SI umí zapadnout do rutiny, kterou jeho cíl prožívá každý den. Oběť tak může prozradit citlivé informace, aniž by byl tento únik informací prozrazen. Velice často se stává, že při zpětném šetření úniku informací si oběť vůbec nebyla vědoma své chyby. Naopak, kontakt s útočníkem se zdál
4
Zkratka SI bude pro zjednodušení v textu označovat sociální inženýrství, social engineering a sociálního inženýra. Termín sociální inženýr není ustálen, ale v textu budeme pojmem sociální inženýr rozumět útočníka využívající mechanismy sociálního inženýrství.
15
v rámci každodenních povinností zcela běžnou záležitostí. V některých případech si oběť nebyla schopna ani zpětně uvědomit, kdy a komu tyto informace vyzradila. Jason Andres a Steve Winterfeld dokonce přirovnávají SI k psychologickým operacím5 vedeným v informační válce a k metodě Human Intelligence (HUMINT)6. HUMINT se využívá v prostředí zpravodajských služeb (Andres a Winterfild 2011). Na první pohled by se mohlo zdát, že tito autoři srovnávají zdánlivě nesourodé pojmy. Při podrobnějším zkoumání těchto tří metod můžeme nalézt některé společné atributy. Autoři vyzdvihují právě metody psychologického nátlaku a klamu. Přičemž všechny tři metody mají za cíl vnutit nepříteli psychologickou manipulací svou vůli. Rozsah metod a postupů je u HUMINTu a psychologických operací informační války podstatně širší než u SI. Ale principielně fungují tyto metody na podobné bázi. Metoda SI může být součástí výše zmiňovaných metod anebo může působit zcela samostatně. Využívání metod SI v psychologických operacích a zpravodajských procesech dokazuje dvě důležité skutečnosti pro SI. Zaprvé, prvky SI mohou být součástí i velice závažných hrozeb, které dosahují dokonce válečného charakteru. Zadruhé, metody SI se jeví jako vysoce účinná metoda pro sběr dat a informací. Tuto skutečnost dokazuje využívání SI u získávání informací v prostředí zpravodajských služeb. Zpravodajské služby se většinou snaží využívat co nejefektivnější prostředky pro získávání důležitých informací. V souvislosti s SI se také často objevuje pojem sociotechnika nebo sociotechnik. Socitechnika je způsob, jak získat různými metodami od druhých lidí potřebné informace. Tyto metody existovaly dávno předtím, než se na světě objevily první počítače. Se sociotechnickými metodami se setkáváme v každodenním životě. Přicházíme s nimi do styku od narození, kdy se nás rodiče pomocí sociotechniky snažili vychovávat. Pomocí sociotechniky se nám snažili vnuknout prostřednictvím smyšlených historek a příběhů 5
„Podle platných západních doktrín jsou psychologické operace v rámci informační války definovány jako plánované komunikační akce zaměřené na auditorium, které se skládá výhradně z nepřátelských politických sil, obyvatelstva pod jejich kontrolou či obyvatelstva neutrálního. Tím se psychologické operace zřetelně odlišují od operací "public relations" (PR)“. (Psychologické operace informační války 2014) 6
Human intelligence (HUMINT) je sběr informací z lidských zdrojů. Získávání informací může být provedeno otevřeně, pomocí rozhovorů se svědky a podezřelými, nebo se můžou využít osoby v utajení nebo krycí prostředky (špionáž) (FBI Intelligence collection Disciplines 2014).
16
základní společenské normy. V pozdějším věku sami nevědomky zkoušíme sociotechnické metody, když se snažíme zapůsobit na potencionálního zaměstnavatele, zákazníka, partnera anebo na kohokoliv jiného, jehož důvěru a náklonnost potřebujeme získat ke splnění svých cílů. V mnoha organizacích prochází zaměstnanci školeními komunikačních dovedností. Komunikační dovednosti jsou ve své podstatě určitý druh sociotechniky. Tímto způsobem bychom mohli představovat další a další příklady, ale uvádět je není cílem těchto odstavců. Účelem předešlých řádků bylo pouze upozornit na fakt, že sociotechniku ve svém nejširším pojetí využíváme každý z nás a je součástí každodenního života. V životě dochází ke každodennímu sociálnímu kontaktu mezi jednotlivými členy společnosti. Existují jednotlivci a skupiny, které sociotechnické metody dokážou využívat daleko efektivněji, než ostatní. Je také důležité si uvědomit, že sociotechnika je nástroj, který lze využívat jak k legálním tak i nelegálním činnostem. V souvislosti s SI dochází k záměně pojmů sociotechnika a SI. Tato záměna není žádoucí, a proto ji nelze v pracích věnovaných problematice SI využívat. Velká část naučně populárních článků oba termíny propojuje. Pravděpodobně je to způsobeno nízkou znalostí problematiky SI. Mechanismy SI obsahují sociotechniku, jako jeden z možných přístupů k požadovaným informacím, ale v žádném případě se nejedná o SI. V kontextu kybernetických hrozeb by záměna pojmů SI a sociotechnika byla naprosto tristní. Jak uvádí Kevin Mitnick7 ve své knize Umění klamu: „Sociotechnika je ovlivňování a přesvědčovaní lidí s cílem oklamat je tak, aby uvěřili, že sociotechnik je osoba s totožností, kterou předstírá a kterou si vytvořil pro potřeby manipulace. Díky tomu je sociotechnik schopný využít lidi, se kterými hovoří, případně dodatečné technologické prostředky, aby
7
Mitnick je v současné době bezpečnostní poradce a expert v oblasti ochrany počítačových dat. V USA spolupracuje se stovkami soukromých společností. Pracuje také pro vládu a armádu USA. Věnuje se také výcvik odborníků, kteří mají za úkol provádět penetrační testy systémů. Tyto odborníky učí i metody sociálního inženýrství. V 90. letech byl nejhledanějším hackerem v USA. Nakonec se ho podařilo zatknout a on se ke všem činům přiznal. V současné době přestoupil na druhou stranu zákona a věnuje se vzdělávání a prevenci v oblasti kybernetické bezpečnosti. Je také autorem několika knih. Přičemž stěžejní je jeho kniha Umění klamu, ve které světu představil techniky sociálního inženýrství (Who is Kevin Mitnick? 2014). Věnoval se technikám sociálního inženýrství především proto, že jeho hackerské umění nedosahovalo takových kvalit.
17
získal hledané informace.“(Mitnick, Simon 2003) Z Mitnickovy definice vyplývá, že tyto metody jsou převážně nekybernetického rázu. K ovlivňování svých obětí využíval především přímý či nepřímý kontakt v reálném světě. Takto získané informace využíval pro přístup do kybernetického světa. Mitnick zřejmě nebyl natolik zdatný hacker, aby dokázal prolomit přístup do systému v kybernetickém prostředí, nebo si chtěl ušetřit námahu psaním složitého kódu. Využíval proto svých dovedností k získání informací mimo kybernetický prostor. Nelze zaměňovat sociotechniku a SI. Rozdíl je pak následně daleko markantnější u sofistikovaných kybernetických mechanismů SI, kde k oklamání oběti dochází zásadně v kybernetickém prostředí. Mitnick se ve své definici zaměřuje především na bezpečnostní hledisko sociotechniky. Chápe sociotechniku jako způsob podvodného jednání. Tento postoj pravděpodobně způsobila jeho bývalá ilegální kariéra, během které využíval tuto techniku pouze za účelem ilegálního získávání informací. Rozdíl mezi podvodníkem a sociotechnikem vidí Mitnick v útočníkově cíli. Podvodník se pomocí různých technik snaží vymámit z lidí peníze, ale sociotechnikovi jde primárně o informace (Mitnick a Simons 2003). Cílem těchto předešlých řádků bylo vymezit se vůči využívání slova sociotechnika v souvislosti se záměnou se slovem SI. Tato práce bude dále operovat pouze s výrazem SI. Pokud se dále v textu pojem sociotechnika objeví, bude to myšleno jen v kontextu psychologické manipulace, která velice úzce souvisí s klasickým podvodem v reálném světě. Je zřejmé, že pod metodou SI si lze představit opravdu široký záběr aktivit a mechanismů. Ve svém nejširším pojetí se používá v každodenním životě. Příchod kybernetického prostředí přinesl SI obrovskou paletu nových příležitostí. Existuje celá řada definic pojmu SI. Všechny obsahují jeden základní prvek, kterým je především lidský faktor. V kybernetickém prostoru je o mnoho jednodušší a časově méně náročné útočit na lidský faktor, než se pokoušet násilím proniknout do cizích systémů. Protože největší slabinou systému je lidský faktor (Okenyi a Owens 2007). SI je tedy „úspěšný nebo neúspěšný pokus o ovlivnění osoby tak, aby vyzradila informaci nebo jednala takovým způsobem, který by následně vedl k neoprávněnému přístupu, neautorizovanému použití, neautorizovanému zpřístupnění do informačního
18
systému, sítě nebo k datům“. (Tipton a Krause 2004: 148) Pokud si tuto definici rozebereme podrobněji, můžeme identifikovat určité základní znaky SI. Zaprvé, můžeme identifikovat pokus o ovlivňování osoby. Cílem útoku je určitá osoba, která vlastní přístup k požadované informaci anebo tuto informaci přímo vlastní. Zadruhé, se jedná o informace úzce souvisejícími s informačními technologiemi. Není důležité, zda se jedná o přístupová hesla do systému, nebo IP adresu počítače vedoucího pracovníka. Informace pokaždé úzce souvisí s informační technologií a zacházení s ní. Zatřetí, můžeme identifikovat pokus o zneužití získané informace pro další jednání přímo v síti. Tato definice však neposkytuje uspokojivou odpověď na otázku, jakým způsobem bude útočník konkrétní osobu ovlivňovat. Znovu se setkáváme s problémem absence rozlišování SI a klasického podvodu. Následující definice nám pomůže problém lépe vymezit. „SI je jednou z nejnebezpečnějších, přesto ale značně účinnou metodou, k „hacknutí“ do jakékoliv IT infrastruktury. SI má potenciál činit většinu sofistikovaných bezpečnostních opatření naprosto zbytečnými“. (Rittinghouse a Ransome 2004: 192) V definici je záměrně využito slovo „hacknutí“, přestože anglické slovo hacking se překládá jako nabourání nebo vniknutí do systému. Jsme si plně vědomi, že z hlediska zachování čistoty českého jazyka, není využívání amerikanismů nejšťastnější, ale v případě „hacknutí“ má využití amerikanismu své opodstatnění. Toto označení má za cíl podtrhnout význam způsobu, jakým je pronikáno do sítě, systému nebo počítače. Autoři Rittinghouse a Ransome (Rittinghouse a Ransome 2004) dokonce označují SI za nejlepší hackerský způsob pronikání do systémů. V kontextu této práce je pojem „hacknutí“, pro definici SI naprosto stěžejním prvkem. Zmiňovaná definice nám určuje způsob, kterým dojde k ovlivnění cílové osoby. Na cílovou osobu a její systém jsou využity hackerské dovednosti. V českém bezpečnostním prostředí je hacking chápán jako „neoprávněný průnik do konkrétního informačního systému, provedený zvnějšku, zpravidla ze vzdáleného počítače. Samotný průnik je podmínkou pro další neautorizovanou činnost v rámci cílového systému“. (Základní definice, vztahující se k tématu kybernetické bezpečnosti 2009: 3) Pojem hacking v tomto případě musíme jednoznačně chápat v kontextu sociálního inženýrství. Násilná penetrace systému a další tvrdé sofistikované metody hackingu nepřipadají v úvahu. Ideální je proto kombinace obou předchozích definic.
19
Sociální inženýrství by se mohlo vymezit, jako: úspěšný nebo neúspěšný hackerský pokus o ovlivnění osoby tak, aby vyzradila informaci nebo jednala takovým způsobem, který by následně vedl k neoprávněnému přístupu, neautorizovanému použití, neautorizovanému zpřístupnění do informačního systému, sítě nebo k datům. Tato definice by obsahovala ovlivnění osoby, kdy cílem je získání důležitých informací souvisejících s informačními systémy, které budou následně zneužity. Navíc by byla jasně definována metoda, kterou útočník použil k realizaci SI. Hacking v tomto kontextu nemůže být chápán jako penetrace do systému. Hacking je nutno v tomto případě chápat především jako způsob práce, při kterém útočník využívá počítače, znalosti počítačových systémů a více nebo méně sofistikovaných nástrojů k oklamání oběti.
2.4. Slovo
Kybernetické prostředí kybernetický
prostor
(v
českém
překladu lze
pracovat
i
s pojmy
prostředí/dimenze) se vůbec poprvé objevuje v roce 1984. Tento pojem můžeme nalézt v knize Neuromancer od Williama Gibsona. Kybernetický prostor je v tomto období součástí sci-fi literatury, která je zaměřená na kybernetický punk. Kniha popisuje kybernetické prostředí podobně, jako ho můžeme vidět ve filmu Matrix. Kybernetické prostředí je virtuální svět vytvořený počítači, který je mimo reálné prostředí. Skutečného významu nabírá pojem kybernetický prostor až v 90. letech s příchodem a postupným masivním rozšiřováním sítě World Wide Web- internetu (Reveron 2012: 5). S masivním nástupem internetu začíná být věnována kybernetickému prostředí značná pozornost. Současně přicházejí pokusy o vytvoření základní definice kybernetického prostředí. „Koncept kyberprostoru v současnosti není ustálen a stále se vyvíjí. Současné definice jsou výsledkem více než třiceti let existence pojmu samotného a diskuze o roli informační infrastruktury. Mají již konkrétnější podobu, ale ani tak je nelze považovat za definitivní“. (Bastl a Gruberová 2013: 12) „Kybernetický prostor je interaktivní oblast tvořená sítí, která slouží k uchovávání, upravování a sdílení informací. Zahrnuje nejen internet, ale i ostatní informační systémy podporující naši obchodní činnost, infrastrukturu a služby“. (The UK Cyber Security Strategy 2011: 11) Britská vláda chápe kybernetický prostor jako oblast, ve které se pracuje s informacemi. Informace se do tohoto prostoru vkládají, mohou se zde upravovat a mazat. 20
Informace jsou v tomto pojetí základní veličinou celého prostoru. Virtuální prostředí je chápáno jako místo, ve kterém neustále probíhá shluk informací. Širší pojetí využívá například Ministerstvo obrany Spojených států amerických, pro něž je kybernetický prostor „oblast charakterizovaná užitím elektroniky a elektromagnetického spektra k uchovávání, modifikaci a výměně dat skrze systémy spojené v sítích a přidruženou fyzickou infrastrukturu“. (Department of Defense USA: 7) Na rozdíl od britského pojetí, americká definice zahrnuje fyzickou infrastrukturu. Fyzická vrstva zajišťuje samotnou existenci kybernetického prostoru.
Pro SI je ale fyzická infrastruktura nepodstatná. Pro SI není
důležité, zda cíl útoku vlastní nejnovější notebook nebo starý stolní počítač. Občas bývá kybernetický prostor označován jako pátá dimenze. Definicí kybernetického prostoru se zabýval i Reveron. „Shrneme-li co víme, slouží kybernetický prostor jako pátá dimenze, kde lidé mohou existovat, jako alternativní osobnosti na blogu, sociálních sítí a prostřednictvím her ve virtuální realitě“. (Reveron 2012: 12) Raveronovo vymezení je v mnoha ohledech problematické a neustálené. Kvalitnější vymezení kybernetického světa přináší TRADOC8 armádního oddělení ministerstva obrany. Ten rozděluje kybernetický prostor do třech vrstev. Vrstvy jsou dále složeny z pěti složekgeografická složka, fyzická síť, logická síť, persona a kybernetická persona. 1. Fyzická vrstva Fyzická vrstva obsahuje geografickou složky a složky fyzické sítě. Geografickou složkou se rozumí geografické rozmístění jednotlivých prvků sítě. Zatímco geopolitické hranice jsou pevně stanovené, kybernetické hranice jsou daleko pružnější. Lze je překonávat prakticky rychlostí světla. Rychlost je pro kybernetický svět klíčovým prvkem. Jen v kybernetickém prostoru se můžeme pohybovat z jednoho konce světa na druhý během krátkého okamžiku. Fyzická složka představuje veškerý hardware a infrastrukturu. Jedná se o všechny kabely, routery, počítače, servery a další zařízení vytvářející hmatatelnou páteř kybernetického světa.
8
United States. Army Training and Doctrine Command
21
2. Logická vrstva Logická vrstva představuje logickou složku sítě, která je technické povahy a sestává se z logických spojení, které existují mezi jednotlivými uzly. Pod uzly si lze představit všechny počítače, které jsou připojené k síti. Internetový protokol chápe každý uzel jako zařízení s IP adresou. Může sem zahrnout i mobilní telefony, PDA zařízení, moderní televize a další zařízení, připojující se na internetovou síť. 3. Sociální vrstva Obsahuje kognitivní a lidské aspekty. Ty jsou v tomto konceptu ztvárněny personou a kybernetickou personou. Kybernetická persona představuje identifikaci a činnost dané osoby nebo osob uvnitř sítě. Tato kybernetická persona se přihlašuje k emailové schránce, vlastní účet na sociálních sítích, přihlašuje se do aukčních síní, internetového bankovnictví. Persony jsou lidé, kteří se přihlašují do sítě. Persona může mít více kybernetických person. Jeden člověk může vlastnit několik emailových účtů nebo profilů na sociálních sítích. Běžně se stává, že více osob ovládá jednu kybernetickou personu. Může se jednat o skupinku, která společnými silami vytváří jednu kybernetickou personu (TRADOC 2010: 8-9).
Obrázek č. 1. zdroj: (TRADOC 2010) Stejně jako mohou lidé vytvářet své alternativní já v kybernetickém světě, mohou tuto alternativu využít i útočníci. Proto se bude tato práce věnovat kybernetickému prostředí jako 22
alternativě k realizaci hrozby v reálném světě. Budeme zkoumat, nakolik jsou jednotlivé mechanismy sociálního inženýrství spjaté s kybernetickou personou a nakolik jsou prováděny v reálném světě. Pro lepší představu si uvedeme názorný příklad z bankovního prostředí. Aby se jednalo o plně kybernetickou hrozbu, musel by útočník získat přístupové heslo přímo na internetu. To znamená, že by si musel vytvořit kybernetickou personu, která by získala přístupové informace od oběti. Dále by se musel přihlásit do elektronického bankovnictví a převést si peníze na svůj účet. Pokud by heslo získal z nalezené peněženky oběti, která si ho tam neprozřetelně ponechala zapsané na kousku papíru i s názvem její banky, nemohlo by se jednat o kybernetickou hrozbu. Klíčovým faktorem pro určení kybernetického útoku bude tedy vytvoření určité kybernetické identity, stvořené kvůli realizaci hrozby.
2.5.
Cyklus útoku
Následující část je věnována samotnému procesu SI. Nejprve si představíme, taxonomii útoku SI. Jedná se o proces, který SI využívá pro úspěšnou realizaci celého útoku. Následně budou představeny základní mechanismy SI. Důraz bude přitom kladen na technické provedení útoku, jakým způsobem dochází k oslovení a kontaktu s cílovou osobou vlastnící požadované informace, o které má útočník zájem. Získávání informací pomocí SI lze chápat jako cyklus určitých vzájemně sousledných kroků, které mají přesně danou posloupnost a mají jediný cíl- zmanipulovat a zmást oběť. 1. Shromáždění informací Prvním krokem SI je, že se pokusí shromáždit co největší množství dostupných informací o svém cíli. Zjišťují se informace o prostředí a okolí, ve kterém se daný cíl pohybuje. Úspěšný útočník dokáže nalézt a využít i zdánlivě banální informaci. Cílem tohoto prvního kroku je udělat si představu o cíli. Jedná se o přípravu na další krok. Útočník se snaží co nejvíce poznat svůj cíl, aby v něm později dokázal vzbudit pocit důvěry. Všechny tyto informace mohou být využity proto, aby následný útok působil co nejvěrohodnějším dojem a byl co nejpřirozenější. Existuje mnoho způsobů, jak potřebné informace získat.
23
2. Utvoření vztahu s obětí Pomocí informací, získaných v předešlé fázi, si útočník dokáže připravit strategii, která má jediný cíl- získat si důvěru oběti. SI k tomu využívá různé sociologickopsychologické taktiky. Existuje mnoho způsobů, jak si tuto důvěru vybudovat. Neexistuje však žádný univerzální postup, jak si toto pouto vytvořit. Někteří lidé jsou od přírody důvěřiví a ochotní. Takové lidi je daleko jednodušší oklamat. SI nemusí vynaložit tolik úsilí k vytvoření důvěry. Jiní jsou naopak podezíraví a oklamat je si vyžaduje složitější taktiky a dlouhodobý sběr informací. Obecně tedy platí, že čím více informací útočník získal ve fázi jedna, tím větší má šanci na úspěch ve fázi budování důvěry. Druhá fáze je naprosto klíčová pro celý útok. V podstatě celé SI stojí a padá na umění získávání důvěry. Pokud útočník nedokáže vyvolat pocit důvěry, je celý proces neúspěšný. Iluze musí být naprosto dokonalá. V ideálním případě by měl být úspěšný útok proveden, aniž by se oběť někdy dozvěděla, že se stala terčem útoku. 3. Využití navázaného vztahu V této fázi již útočník přesvědčil svou oběť, aby mu věřila, a získanou důvěru zneužije k tomu, aby získal potřebnou informaci. Útočník opět využívá různých způsobů, jak oklamat oběť. Cíl útoku netuší, že vyzrazuje důležitou informaci a nemá důvod, aby informace nebyla poskytnuta. Veškeré souvislosti působí věrohodně a je vyvolán dojem, že souhlasí. Oběť útočníkovi věří. Útočník tímto způsobem dokáže získat i velice citlivé informace. Může se jednat například o čísla účtů, hesla do systémů a další citlivé informace, které by neměly být nikomu sdělovány. Oběť tak poskytuje útočníkovi informace zcela dobrovolně, aniž si uvědomuje, že se jedná o útok na důležité informace a systémy. 4. Zneužití získané informace K poslední, závěrečné fázi směřují všechny předešlé kroky útoku SI. Jde o využití získaných informací za účelem naplnění vlastních cílů. Cíle v tomto případě mohou být jakékoliv. Může se jednat o finanční obohacení, o zdiskreditování konkurence, o špionáž a podobně. Pokud útočník získá potřebné informace pro vstup do systému, existuje nepřeberná škála možností využití tohoto přístupu. Útok SI je dokončen. Dochází k penetraci systému, 24
která může mít katastrofální následky. V této fázi se nemusí pracovat již jen s informacemi, ale může dojít ke konkrétním zločinům. Příkladem může být odcizení peněz, teroristický útok nebo ztráta strategických dokumentů. Stává se také, že dojde k odcizení identity za účelem zdiskreditování skutečného majitele této identity. Majitel odcizené identity se pak může dostat do velkých problémů i v reálném světě. Tento proces je cyklický, je tedy možné, aby se útoky opakovaly. Zároveň lze opakovat jednotlivé kroky znovu v situaci, že útočník nebyl úspěšný. V takovémto případě je ale útok již složitější, protože útočník svým neúspěšným pokusem mohl vyvolat u oběti podezření, a ta zpravidla začne být více ostražitou (Chantler a Broadhurst 2006 srovnej Mitnick a Simon 2003; Patel 2013; Andress a Winterfeld 2011). Základním předpokladem úspěšného průběhu celého procesu je nejprve rozhodnutí útočníka, jaký mechanismus zvolí ke svému útoku. Mechanismy útoku jsou různé. Může jít o celou řadu mechanismů počínaje osobním setkáním, které je ale velice vzácné, a složitými sofistikovanými elektronickými metodami, operujícími převážně v kybernetickém prostoru konče. Následující řádky poskytnou základní výčet mechanismů, které může SI využít pro svůj útok. Tyto mechanismy byly získány na základě výzkumu provedeného v dokumentech zabývajících se SI. Pro potřeby této práce jsou jako mechanismy SI označeny všechny způsoby, které odborná literatura považovala za SI. Výčet mechanismů ještě nebyl v této fázi výzkumu podroben analýze, zda se jedná o SI v kontextu našeho vymezení. Cílem této fáze výzkumu bylo získat všechny mechanismy označované jako SI, které budou následně podrobně analyzovány, a bude rozhodnuto, zda můžeme mechanismus označovat za SI v kontextu kybernetických hrozeb. Jako mechanismus SI bývá označován: ● Phreaking
● Vishing
● Smishing
● Pharming
● Trashing
● Baiting
● Phishing
● No-tech hacking
● Watering hole
● Social engineering toolkit (SET)
25
3. Popis a přezkoumání mechanismů sociálního inženýrství 3.1.
Phreaking
Za phreakera je označován člověk provozující činnost v angličtině označovanou jako phone phreaking. Phone phreaking je termín, který vznikl slovním spojením „free use of the phone“ (v českém překladu volné užívání telefonu). Phreaking je sada metod, která se využívá k ovládnutí nebo manipulaci s telefonní sítí (Worsham 2010: 6). Počátek phreakingu je datován mezi šedesátými a sedmdesátými lety minulého století. Hlavním cílem phreakingu bylo ilegální napojení do telefonní sítě. Po napojení do telefonní sítě se následně mohly odposlouchávat hovory anebo byla možnost bezplatného telefonování. Phil Lapsley ve své knize Exploding The Phone (Lapsley 2006), která je věnována celé historii phreakingu od počátků až po současnost, označuje phrekara jako „1) Osobu, která je posedlá zkoušením a hraním si s telefonní sítí. 2) Osobu, která má zájem o telefonní volání zdarma“. (Lapsley 2006) Vzniká tedy otázka, zda volání zdarma mezi mladými lidmi v USA může vůbec nějak souviset s SI, jak ho chápeme dnes. Při podrobnějším zkoumání tohoto fenoménu zjistíme, že phreaking je považován za jakéhosi předchůdce hackingu. Cílem útoků phreakerů byly telefonní budky, telefonní sítě a ústředny. Už samotná skutečnost, že phreaking vznikl někdy v 60.-70. letech vylučuje možnost, že by se jednalo o SI. V roce 1964 přišla společnost RAND Corporation se síťovým spojením jednotlivých orgánů administrativy USA a v roce 1969 představuje grantová agentura ministerstva obrany čtyř-uzlovou experimentální síť, která se nazývala ARPANET (Smysitelová 1999). Internet a kybernetické prostředí tou dobou ještě neexistovaly. Právě z tohoto důvodu nemůžeme o phreakingu hovořit jako o SI. V USA dosáhl phreaking v období Vietnamské války podoby určité subkultury. Jednalo se o velice populární a oblíbený způsob volání. Důvodů bylo hned několik. První byl, že americká telefonní společnost vyměnila telefonní operátory za počítačový systém fungující na bázi rozeznávání jednotlivých tónů. Phreakeři dokázali tento tón falešně napodobovat, a tak převzít kontrolu nad telefonním systémem. Další důvod, který napomohl rozvoji phreakingu, byla probíhající Vietnamská válka. Ta byla veřejností USA nepříznivě přijímána. 26
Phreakeři si tak ospravedlňovali svoje počínání, protože svým jednáním způsobovali škody velkým americkým telekomunikačním společnostem. Byla to určitá forma protestu proti vládě a válce. Poslední a asi nejdůležitější důvod pro rozvoj phreakingu byla cena dálkových hovorů, která byla v té době v USA velmi vysoká (Worsham 2010: 6-7). Za velice úspěšného, a v USA velice známého, phreakera lze považovat Johna T. Drapera, který pro svou phreakerskou činnost využíval přezdívku Capitan Crunch. Drapper přišel na způsob, jak ovládnout telefonní hovory. Využil k tomu píšťalku, která byla součástí každého balení kukuřičných lupínků značky Cap‟n Crunc.
Na té pak následně přelepil
některé dírky a píšťalka vydávala zvuk frekvenčního tónu 2600 Hz. Právě tón využívala telefonní společnost AT&T pro přepojování meziměstských hovorů. Jeho metoda byla následně modifikována a dnes je známá pod pojmem Blue Boxing (Brzobohatý 2008). Jak je na Draperově příkladu evidentní, phreking nelze považovat za metodu SI. Nástrojem tohoto phreakera bylo telefonní sluchátko a upravená píšťalka. Díky ní dokázal Capitan Crunch ovládat telefonní síť. Motivací tohoto útočníka byla především zábava, zájem o veškeré systémy- tedy i ty telefonní- a hlavně bezplatné volání. Způsobů, jak volat zdarma, existuje široké množství. Pro názornost bychom mohli ještě uvést metodu Black Box. Na telefonní linku byl umístěn rezistor o odporu 1.8 ohmu, který způsobil, že telefonní společnost nebyla schopna rozlišit, zda byl hovor na druhém konci přijat. Společnost pak nemohla volajícímu účtovat žádný poplatek za poskytnutou službu. Metoda se využívala především v 80. letech (Rajagopalan). Uvedené podvody jsou založeny čistě na technickém základu. Není předmětem této práce analyzovat každou jednotlivou metodu napadení telefonní linky zvlášť. Podrobně metody uvádí a analyzuje Rajagopalan (Rajagopalan srovnej Wang 2006) ve své práci Study of the Security Problems Associated with the Telephone Network. Všechny metody mají jeden společný jmenovatel, a to, že útočí na systém nikoliv na osoby. Proto nelze o phreakingu jako mechanismu SI uvažovat. Nezáleží na tom, zda útočník využil píšťalky s přelepenými dírkami nebo se vloupal do telefonní ústředny. Podstatné je, že vždy útočí na infrastrukturu a systém telefonních společností. Lidský faktor v tomto případě naprosto absentuje. Důkazem pro tvrzení je, že jako jedna z příčin rozvoje phreakingu je uváděna
27
skutečnost, že telefonní operátoři byli vyměněni za automatický systém. Než se tak stalo, byl phreaking jako způsob ovládání telefonní sítě nemožný. V České republice lze také najít návody na bezplatné volání, ačkoliv o jejich aktuální použitelnosti se dá poměrně pochybovat. K tomuto závěru jsme dospěli především z důvodu, že společnosti a služby, které jsou v těchto návodech uvedeny, většinou neexistují. Metody se také různí od nejjednodušších, zahrnující násilné vniknutí do telefonních automatů a telefonních skříní, až po více sofistikované, zahrnující práci s telefonním aparátem a vybranou hlasovou schránkou9 (Mr Sysel 2006). Je evidentní, že v České republice nikdy nedošlo k tak masivnímu rozšíření phreakingu jako kdysi v USA. V současnosti se s touto metodou setkáváme jen velice omezeně. V souvislosti s phreakingem je zarážející, jak velké množství zdrojů (například Sims a Spencer 1995; Kim a Solomon 2012; Holt a Schell 2013 a další) považuje tento mechanismus za SI. Skutečnost zákonitě vyvolává otázku, z jakých důvodů se tato zastaralá a téměř nepoužívaná technika označuje za SI. S SI nemá společného vůbec nic. Jediné co spojuje SI a phreaking je osoba Kevina Mitnicka. Osoby, jako například již výše zmiňovaný Kevin Mitnick, začaly telefonní sítě využívat k získávání citlivých a důležitých informací. Po napojení do telefonní sítě je již neuspokojovalo bezplatné volání mezi sebou, ale začaly volat do různých organizací. Cílem těchto hovorů bylo získávání nejrůznějších informací. Učily se a neustále zkoušely nové metody jimi označované za SI, které následně mohly později využívat ve své hackerské kariéře (Mitnick, Simon 2003). Právě z tohoto důvodu bývá phreaking zařazen jako praktika SI. Phreaking lze, samozřejmě, používat i pro získávání informací v dnešní době. S postupným odchodem klasických telefonních sítí však ustupuje praktika postupně do pozadí. V několika dalších odstavcích se pokusíme analyzovat i tento
9
V českém hackerském prostředí lze pozorovat určitou názorovou tenzi na pojem phreaking. Jedna skupina preferuje phreaking metodou násilného vloupání do telefonních budek a rozvoden. Chápou to jako dobrodružství a adrenalinovou záležitost srovnatelnou s tvorbou ilegálních grafitti. Druhá pak tento způsob odmítá jako nepřípustný a primitivní. Přiklání se k více sofistikovanějším metodám založeným na technických znalostech a na znalostech interních pracovních postupů jednotlivých telekomunikačních společností (SOOM 2005). Diskuze však proběhla v roce 2005 naposledy a je pravděpodobné, že phreaking se v současnosti již v České Republice využívá opravdu minimálně.
28
způsob jednání. Zjistíme tak, zda lze nalézt logickou konsekvenci ve spojení pojmů phreakingu, osoby Kevina Mitnicka a SI. Telefonní phreaking, jak ho představují zastánci názorového proudu Kevina Mitnicka, jehož metody označují jako SI, je využití telefonního aparátu a speciálních dovedností, které on sám nazývá socitechnika. Sám popisuje nejrůznější podobu podvodů a klamů, které dokážou z člověka vymámit přístupové informace do informačních systémů, hesla k internetovému bankovnictví a jiné důvěrné informace týkající se informačních technologií. Není příliš přesné nazývat tento útok phreakingem. Nutno připustit skutečnost, že útočník může využít phreakingu, aby zmátl oběť či zakryl stopy a znemožnil své dopadení. Může využít dovednosti phreakera k nabourání do telefonní sítě a následně tak simulovat například hovor z New Yorku, přestože reálně volá z Denveru. Častou metodou takových útočníků bylo vydávání se za servisního pracovníka. Phreaking je ale pouze jedna část celého podvodu, který je složen z více vzájemně navazujících a propojených částí. Stejně jako mohou útočníci využívat násilného proniknutí do telefonních sítí, existuje v dnešní době možnost využít jednorázových telefonů, nebo střídat libovolně velké množství sim karet (Hadnagy 2011). V případě využití mobilních sim karet ztrácí phreaking zcela svůj význam. Označovat tento způsob útoku za tvz. phone phreaking, v kontextu Mitnickovi telefonní sociotechniky, není v žádném případě přípustné. Využijeme-li našeho pomocného modelu, zjistíme, že telefonní přístroj může být použit v prvních třech fázích útoku. Prostřednictvím telefonního hovoru může útočník získat prvotní informace o cíli svého útoku. Pro získání primárních informací je možné využít i další metody sběru informací. Nelze vyloučit rozhovory s kolegy, přáteli nebo rodiči. Může také docházet k fyzickému sledování nebo lze získat informace online na internetu. Existuje nepřeberné množství možností. Obvyklým nástrojem je ale, ve většině případů, právě telefon. Například součástí hackerské konference nazývané DEF CON je pravidelně soutěž nazývaná Social Engineering Capture the Flag. Cílem této hry je získat co nejvíce informací prostřednictvím telefonního aparátu a otevřených internetových zdrojů (Fincher a Hadnagy 2013). Útočníci využívají v těchto případech i internet a kybernetické prostředí, jako zdroj informací o cíli. Kybernetické prostředí ale využívají naprosto pasivně, stejně jako ho
29
využívají ostatní standardní uživatelé. Internet je pro ně pouze další zdroj volně dostupných informací, stejně tak jako kterýkoliv jiný informační zdroj. Po získání informací důležitých pro útok, přichází fáze vytváření důvěry s danou obětí. Tato fáze probíhá zásadně telefonickou cestou. Existuje mnoho způsobů, jak získat důvěru dané osoby. Většinou se jedná o navození určité situace. Obecně se, pro tento způsob navázání důvěrného vztahu a následné získání požadované informace, využívá pojem pretexting. Pretexting je získávání informací pod falešnou záminkou (Miller 2011: 49). Pod pretextingem je možné si představit nejrůznější smyšlené příběhy, které využívají falešné identity a navozují záměrně vybrané životní situace. Nenápadná manipulace probíhá během celého telefonního hovoru, který ale působí naprosto přirozeně. Útočník tak získává důvěru a žádá informace, které může využít v poslední fázi útoku. V poslední fázi pak získané informace zneužívá ve svůj prospěch. Zneužití těchto informací může mít nejrůznější charakter. Záleží především na podobě získané informace. Pokud se jedná o přístupová hesla, může se útočník dostat do systému, aniž by využil jakékoliv sofistikovanější dovednosti. To samé platí u hesel do různých internetových aplikací a internetového bankovnictví. Útočník sice zasahuje do kybernetického prostředí, ale nevytváří žádnou kybernetickou personu. Maximálně se, díky získaným informacím, může nějaké kybernetické persony zmocnit a následně ji zneužít k páchání další škodlivé činnosti. To však neodpovídá našemu pojetí hackerských dovedností. Jedná se o obyčejný podvod, kde cílem podvodníka jsou informace související s informačními technologiemi. Stejným způsobem by se tyto útoky daly využít k získání informací, které s informačními technologiemi vůbec nesouvisí. Opatření proti phreakingu bychom mohli zařadit převážně do komunikační bezpečnosti. Pokud se dostatečně podaří zajistit komunikační linky, kterými telefonní linky jsou, mělo by se riziko phreakingu velkou měrou eliminovat. Zajištění linek by mělo být prováděno jak po technologické stránce, tak po stránce fyzické bezpečnosti. Dalším opatřením snižujícím riziko phreakingu je kvalitní personální politika telefonní společnosti. Nemělo by docházet k únikům interních technických dokumentací a postupů. Opatření proti telefonním podvodníkům- sociotechnikům je poněkud složitější a zasahuje do několika sektorů
30
bezpečnosti organizace. Zaprvé, je důležité zajistit stejná bezpečnostní opatření jako u phreakingu, aby se útočníci nedostali k telefonní lince a nemohli ji zneužívat. Zadruhé, je důležité vzdělávat své zaměstnance v oblasti informační bezpečnosti. Zaměstnanci by měli procházet speciálními školeními, která by je upozorňovala na nástrahy a pasti těchto podvodníků. Podvody jsou nejlépe identifikovatelné na konkrétních případech. V tomto směru ale narážíme na problém. Většina povedených a účinných podvodů nebyla nikdy odhalena, neboť oběť nikdy nepřišla na to, že byla napadena. Tyto telefonní podvody si pak vyžadují komplexní pohled a systematickou práci především s lidskými zdroji uvnitř organizace či entity. Phreaking se postupně vytrácí a jako metoda napadání klasických telefonních sítí, prakticky vymizel. Zastaralé telefonní systémy jsou nahrazovány novými, modernějšími technologiemi. Protože útočníci jsou velice flexibilní a v tomto směru učenliví, dochází v poslední době k přerodu phreakingu ve fenomén zvaný vishing (Gold 2011).
3.2.
Vishing
Vishing by se dal označit za technologického nástupce phreakingu. Pracuje a zneužívá technologii Voice over Internet Protocol (VoIP)10.
Pojem vishing je, stejně jako u
předchozího termínu, odvozen z anglického jazyka a jedná se o složeninu slova voice (hlas) a phishing.
S rozšířením
internetového
volání
dochází
i
k rozšiřování
vishingu.
Pravděpodobnou příčinou rozmachu vishingu je výše poplatku za takový hovor a skutečnost, že můžete volat z jakékoliv části světa, která je pokryta dostatečným internetovým připojením. Vishing je založen na principu hlasové zprávy, která upozorňuje oběť na smyšlenou situaci nebo problém. Uživatel má neprodleně učinit protiopatření a hlasová zpráva ho vyzve k zadání požadovaných informací do hlasového systému (Mitic 2009:100).
10
„VoIP (Voice over Internet Protocol) je technologie, umožňující přenos digitalizovaného hlasu prostřednictvím počítačové sítě, pomocí protokolu IP (IP telefonování). Využívá se pro telefonování prostřednictvím Internetu, intranetu nebo jakéhokoliv jiného datového spojení. Nutnou podmínkou pro spolehivé VoIP je kvalitní spojení. Základní sestava pro uskutečnění jednoduchého hovoru pomocí IP telefonie zahrnuje dvě koncová zařízení a spojovací médium. Zařízení se pak mohou rozšiřovat o další funkce - hlasové brány (gateway), vrátný (gatekeeper), konferenční jednotka (MCU) atd.“. (Co je VoIP? 2014)
31
„Vishing těží z důvěry v telefonní služby, které jsou pevně spjaté se sídlem určité renomované telefonní společnosti. Ale s příchodem VoIP již nemusí být na konci “drátu” pevná linka, ale třeba i počítač. A počítač je proti běžné telefonní přípojce možno zneužít mnohem snadněji nemluvě o možnostech, které nám nabízí“. (Horníček 2009: 29) Vishing je značnou hrozbou pro uživatele, protože se dotazuje na citlivá data. Ta by pravděpodobně většina cílů standardně nesdělila. Právě renomé telefonu a určitý pocit anonymity, který automatický hlas v telefonu poskytuje, je důvodem tohoto selhání. Vishing tak splňuje určitá kritéria SI. Porovnáme-li, kolik procent populace má dnes internet a kolik procent populace má mobilní či jiný telefon, můžeme předpokládat nárůst této hrozby. Společenská nebezpečnost vishingu je celkem vysoká. Vishing totiž může cílit na tu část populace, která je vzhledem ke svému věku či intelektu znevýhodněná a nemá šanci tyto hrozby rozeznat. Vlastnictví počítačových technologií má stále ještě své určité limity, ale telefonní aparát vlastní v dnešní době prakticky každý. Budeme proto tento útok podrobněji analyzovat, abychom mohli rozhodnout, zda se jedná o SI, nebo jen o další možnou formu podvodu, zneužívající lidský faktor. Gunter Olman (Olman 2007) ve své práci The Vishing Guide přirovnává vishing k phishingu, především z důvodu technické náročnosti celého útoku. Nick Hunter ho dokonce považuje za „další variantu phishingu“. (Hunter 2011: 34) Faktem ale je, že existují dva způsoby vishingového útoku. První způsob vypadá následovně. Oběti přijde do její emailové schránky zpráva budící dojem, že je doručena z organizace, jejíž služby oběť běžně využívá a je pro ni tudíž dobře známou. Většinou se jedná o bankovní ústav nebo společnost poskytující kreditní karty. Samozřejmě, není nutně podmínkou, aby se jednalo právě o tyto dvě instituce. Útočník se může vydávat za jakoukoliv entitu. Email obsahuje, kromě loga entity a dalších náležitostí, které mají za úkol vzbudit pocit věrohodnosti, také zprávu o nenadálé události. Tato událost se má následně vyřešit kontaktováním telefonní linky, která bývá ve většině případů bez poplatku. Druhý způsob je přímý kontakt s obětí na jeho telefonní aparát. Po zvednutí příchozího hovoru se ozve v telefonu nahraná zpráva (Mitic 2009: 100-101). Stejně je tomu tak v případě, kdy oběť po obdržení emailové zprávy zavolá na danou linku. Možností, jak oslovit oběť, je opět nepřeberné množství. V jednom případě vishingu útočníci provedli útok na uživatele společnosti PayPaI, kdy obdrželi email s odkazem na telefonní číslo. V jiném případě zase útočníci pomocí automatického vytáčení oslovovali oběti 32
prostřednictvím krátké mluvené zprávy. Ta obsahovala vážné sdělení, že se staly možnou obětí podvodu s kreditními kartami. V obou případech měly oběti potvrdit svoje citlivé informace a nahrát je prostřednictvím tónové volby na záznamník útočníků (Gross 2006: 16). U vishingového útoku můžeme identifikovat dvě strategie oslovení oběti. První způsob je oslovení prostřednictvím emailové adresy oběti, která vyzývá ke zpětnému zavolání. Druhá metoda je o něco přímější a oběť oslovuje prostřednictvím příchozího hovoru. Zaměříme se nyní na taxonomii obou způsobů vishingu. Jak je již z předchozích řádků patrné, můžeme vishing zařadit do kategorie sofistikovanějších hrozeb, než jeho „evolučního předchůdce“ phreaking. Samotná povaha IP telefonie vychází z internetového připojení a potřebujete k němu počítač a internetové připojení (Lupa 2014). Bez počítače a internetového připojení se tedy útočník neobejde. Pro tvorbu tohoto útoku bude ale zapotřebí daleko více nástrojů a postupů, než pouhý počítač s internetem. Na rozdíl od phreakingu útočníci nekontaktují svoji oběť osobně. Aby se vyhnuli přímé konfrontaci, využívají moderní nástroje a techniky. Pouze pro představu, aby útočníci mohli vytvořit úspěšný vishingový útok, potřebují k tomu nainstalovat program spravující VoIP server. Další program, který musí použít, zpracovává a tvoří hlasové zprávy. Následně musí nainstalovat další program, který se stará o hromadné náhodné vytáčení. Zaznamenané odpovědi je nutné uložit a transformovat z tónové volby zpět do číselné. Všechny tyto kroky jsou součástí vishingového útoku, který napadá své oběti prostřednictvím přímého telefonního hovoru. Existuje celá řada programů, které tyto služby poskytují. VoIP servery jsou většinou adekvátním řešením pro IP telefonii a poskytování příslušných služeb. Servery, jako například les.net, poskytují možnost platit pomocí kreditních karet nebo několika online transakcemi (les.net 2014). To umožňuje útočníkům dokonale zakrýt svou identitu, neboť mohou použít kradenou kreditní kartu nebo ukradenou identitu. Útočník tak zůstává v anonymitě a jeho dopadení je velmi obtížné. Po zaplacení IP poskytovatele je nutné zajistit si softwarovou výbavu. Její pořízení rozebereme trochu podrobněji. Nejprve je vhodné si zakoupit software pro telefonování a
33
vybavit se dalšími aplikacemi.11 Následným krokem je instalace Interactive Voice management (IVM) softwaru. Ten se dá využít několika způsoby. Buď je nakonfigurován pouze pro odchozí hovory a sběr dat, které při těchto hovorech získá, nebo může provádět i samostatné odchozí hovory.
Dalším využitelným typem programu jsou Text-To-Speech
(TTS) a Interactive Voice Recording (IVR). Tyto typy programů zvládají převést textové informace do mluvené nahrávky (TTS) a jsou schopny určité interakce (IVR) (Dunham 2008: 180-189). Navíc programy poskytují velkou výhodu anonymity. Útočník nepotřebuje využít vlastní hlas, aby připravil telefonní nahrávku. Program přečte strojovým hlasem text, který útočník zadá. Odpadá tak riziko hlasové identifikace a útočník zůstává bezpečně v anonymitě. Pokud se jedná o oslovení prostřednictvím emailu, je celý útok ještě o něco složitější. Rozesílání podvodných emailů bude podrobně zanalyzováno v kapitole o phishingu. Úspěšně provedený útok může vypadat následovně: „Zákazníci Santa Barbara Bank and Trust obdrželi e-mail se zprávou, že jejich online bankovní účty byly zablokovány, protože banka zaznamenala neoprávněný přístup. Zákazníkům bylo řečeno, aby zavolali na telefonní číslo s předčíslím Jižní Kalifornie, kde je automatická hlasová zpráva vyzvala k zadání jejich čísla účtu, přístupového kódu a k dalším podrobnostem. Není jasné, kdo byl na druhém konci telefonní linky, ale nebyla to Santa Barbara Bank and Trust. FBI oznámila, že sledovala stopu od Santa Barbary k počítačům uvnitř i mimo území Spojených států, ale v tu dobu bylo telefonní číslo již deaktivováno“. (Milhorn 2007: 166-167) Vishingový útok tak vykazuje značnou sofistikovanost. K jeho realizaci je zapotřebí vytvoření kybernetické persony. Vytvoření této kybernetické persony předpokládá již vyšší počítačové dovednosti, než má většina populace standardně pracující s počítači každý den. Samotné provedení útoku by nebylo až tak příliš složité. S výše zmíněnými programy by se počítačově gramotný uživatel naučil pracovat poměrně rychle. Jedná se totiž o legální programy, které se dají zakoupit a jako takové určitě obsahují i návod k použití. 11
Řešení existuje celá řada. Například od společnosti 3CX (http://www.3cx.com/) nebo Mondotalk (http://residential.mondotalk.com/). Samozřejmě, těchto programů existuje celá řada a můžete si je zcela legálně zakoupit na výše zmiňovaných internetových stránkách. Pro zájemce o IP telefonii je vytvořen poměrně rozsáhlý přehled těchto programů i s popisem funkcí na anglické verzi Wikipedie (Comparison of VoIP 2014). Ačkoliv tento zdroj nebývá často označován jako relevantní, v oblasti této konkrétní problematiky poskytuje podrobný přehled, který je precizně zpracován.
34
Problematičtější je následné maskování stop. K zahlazení stop jsou potřeba sofistikovanější hackerské dovednosti. Jedná se převážně o maskování adres a krádeže identit. Výhodou kybernetické identity je, že se nemusí vázat na identitu jediné skutečné osoby. Může se jednat o skupiny nebo týmy lidí, které na tomto podvodu pracují. Každý jednotlivec pak může být zaměřen na určitou činnost. Vishing je charakteristickým příkladem SI. U vishingu lze identifikovat spojení kybernetických dovedností a útoku na jednotlivce či skupiny osob. Oběť je kybernetickou personou vyzvána k vydání citlivých informací. Jak dokazuje výše zmiňovaný příklad, není jednoduché útočníky vypátrat. Ti mohou útočit prakticky z kterékoliv části světa, popřípadě mohou útočit i z více míst zároveň. Výhody vishingového útoku definuje Olman (Olman 2007 5-6): Schopnost volat z jakéhokoliv místa na světě na jakékoliv místo na světě. Minimální náklady na příchozí i odchozí hovory. Schopnost maskovat nebo úmyslně měnit informace o volajícím. Automatizace některých kroků (vytáčení, záznam dat atd). Problematické zpracování hlasových zpráv s ohledem na analýzu zakázaných slov nebo frází. Schopnost používat proxy pro směrování provozu na mezinárodní úrovni, a tím krýt skutečný zdroj útoků. Schopnost automatického sběru informací pomocí klávesové a tónové volby. Nelze s určitostí tvrdit, zda většina vishingových útoků přichází bez většího sběru informací o oběti. Vzhledem k povaze náhodného vytáčení a oslovování rozesíláním hromadných emailových zpráv však lze předpokládat, že rozsáhlejší sběr informací o obětech neprobíhá. Číslo útočníka má zpravidla lokální charakter (Griffith 2008: 62-63). Existuje zde jisté omezení při výběru obětí. Oběti ale většinou bývají oslovovány masovým způsobem. Nepodařilo se nalézt žádný specificky cílený útok tohoto druhu. Získávání důvěry pak probíhá prostřednictvím telefonního aparátu nebo emailové zprávy a následného telefonického hovoru. V tomto případě je nutné ještě uvést, že pokud útočník posílá email s odkazem na telefonní číslo, je získávání důvěry rozděleno na dva kroky. Jistě by bylo velice zajímavé zjistit, zda poslání emailové zprávy budí větší pocit autenticity a následný VoIP hovor pak 35
působí seriozněji, než samostatný VoIP hovor. Na druhou stranu se zvyšuje riziko, že oběť bude obezřetnější a podvod odhalí, protože mezi emailovou zprávou a hovorem má více času na přemýšlení. Pokud však přijme oběť hovor, musí se rychle rozhodnout. Jedná tak pod tlakem a nemusí být tak ostražitá. Předání informace následně probíhá prostřednictvím klávesnice na mobilním telefonu. Takto získané informace se dále dají využít především v kybernetickém prostředí. Otázka obrany proti takovému útoku je věcí informační bezpečnosti a informovanosti co nejširšího pole aktérů, kterých by se tento útok mohl týkat.
3.3.
Smishing
Stejně jako u vishingu a phreakingu je způsob napadení podobný- prostřednictvím telefonu. V tomto případě jsou útoky omezeny na majitele mobilních telefonů PDA zařízení a tabletů. Počáteční oslovení přijde ve formě textové zprávy, která následně odkazuje na další postup. Cílem útočníkovy snahy je opět snazší zisk důvěrných informací. Textová zpráva ve většině případů obsahuje odkaz na webovou stránku (Biegelman 2009). Jinou variantou je, že zpráva obsahuje odkaz na telefonní číslo. Po kontaktování tohoto telefonního čísla se zpravidla ozývá telefonní automat. Zbývající část útoku má stejný scénář, jako již výše popsaný vishingový útok. Prostřednictvím VoIP telefonie jsou vytěžovány citlivé informace o oběti. SMS zpráva tak může vyzývat ke zpětnému volání na uvedené číslo, nebo může odkazovat na webovou adresu (Ross 2010: 72). Mezi oběma způsoby můžeme pozorovat značné odlišnosti. Na první pohled by se mohlo zdát, že není příliš podstatné, zda oběť volá nazpět, nebo zda kliká na URL adresu. Rozdílů ale můžeme nalézt hned několik. Hlavní rozdíl je v přístroji, na který lze tento útok doručit. V případě útoku s využitím SMS vyzývající ke zpětnému volání, může útok proběhnout i prostřednictvím klasického mobilního telefonu, který neposkytuje funkci připojení k internetu. Útok může nastat i na mobilním telefonu, jehož uživatel nevyužívá žádnou formu internetového připojení. Mobil tyto funkce sice poskytuje, ale uživatel je nevyužívá. Volající může pak zadat informace na klávesnici a útok je úspěšně dokončen. Taková zpráva může mít například tuto podobu: „
[email protected] / Gratulujeme! Vaše odměna v podobě vrácení peněz od Huntingtonské Banky je právě připravena k vybrání! Stačí zavolat 877-555-5555 a vybrat ji“. (Huntington 2014) 36
Jedná se o sofistikovaný akt SI. Na odesílání zpráv může být využito webových serverů odesílajících masové SMS. Další možnost představují servery poskytující bezplatnou službu pro odesílání SMS (Dunham 2008: 133). SMS může být také odeslána z VoIP serverů. Součástí prodejních balíčků společností zabývajících se internetovou telefonií bývá obvykle i služba zasílání SMS (Warnet.cz 2014). „Zločinci nastaví automatický systém odesílání textu … v určitém regionu nebo s určitou předvolbou (nebo někdy používají ukradená telefonní čísla zákaznických linek z bank nebo úvěrových záložen)“. (FBI 2010) K vytvoření smishingového útoku, potřebuje útočník kybernetickou personu. Vytvoření této persony a následný proces zahlazování stop po útoku, bude probíhat stejně jako u vishingu. Na rozdíl od vishingu můžeme u smishingu zaznamenat určitá omezení. Tato omezení souvisí s problematikou obětí, na které je útok zacílen. Cílem útoku, se mohou stát pouze majitelé mobilních telefonů. Touto skutečností se okruh obětí již nepatrně snižuje. Dalším omezením může být stáří obětí. Někteří starší lidé se naučili využívat mobilní telefon pouze k volání a SMS naprosto ignorují. Útočníci tak přicházejí o značnou část obětí náchylných k nejrůznějším typům podvodů.12 „Klasický“ smishing lze zařadit mezi kybernetické hrozby SI. Útočník sice kontaktuje oběť prostřednictvím SMS na mobilní telefon, ale samotný útok přichází z kybernetického prostředí. Při získávání důvěry rozhoduje zpravidla tvar, formát a obsah textové zprávy. Útočníci umí vyvolat zdání, že SMS přišla z čísla, které oběť dobře zná. Může se jednat o čísla kamarádů, rodiny, bankovní instituce nebo státního úřadu (Chappell 2012: 42-43). Typické pro tento útok je využívání znaků podtrhujících určitý typ emocí. Příkladem takového znaku může být vykřičník. Vykřičník má za úkol symbolizovat jistou urgenci SMS sdělení. Urgence má donutit oběť k rychlému a zkratkovitému jednání. Útočník tak donutí oběť k vydání důležitých informací. V kybernetickém prostředí pak dochází ke sběru těchto
12
Není předmětem této práce viktimizace obětí jednotlivých podvodů a útoků. Autor pouze vychází z předpokladu, že starší lidé jsou těmto nátlakovým a podvodným praktikám daleko náchylnější. Útočníci tak u nich mají větší šanci na úspěch. Jako důkaz tohoto tvrzení si můžeme předložit českou aféru s tzv. „Šmejdy“ (Dymáková 2013), kteří se sice zabývali podvodným jednáním v oblasti obchodu, ale lze předpokládat, že princip bude podobný. Lze dále logicky předpokládat, že na čím složitější zařízení nebo aplikaci bude útočník cílit, tím se bude snižovat počet lidí staršího věku využívající tyto technologie. Autor tím chce poukázat pouze na skutečnost, že tyto podvody mají své přirozené limity z hlediska výběru obětí.
37
citlivých informací. Následně už útočníkovi pouze zbývá rozhodnout, jakým způsobem tyto informace zneužije. Mohlo by být samozřejmě otázkou diskuze, zda zařadit „klasický“ smishing mezi hrozby kybernetického SI. Hrozba přichází z kybernetického prostředí a informace se ukládají a zneužívají také tam. Cílem útoku je ale obyčejný mobilní telefon uživatele a ten s kybernetickým prostředím nemá mnoho společného. Tato práce bude přesto operovat s verzí, že tento typ smishingu lze zařadit mezi kybernetické SI. Značná část útoku je namodelovaná v kybernetickém světě, zpráva je odesílána také z kybernetického světa. K jedinému kontaktu s reálným světem dochází ve fázi, kdy oběť zavolá zpět na dané číslo. Následně se oběť de facto nevědomky pohybuje v kybernetickém světě. Především v této skutečnosti tkví značná záludnost takového útoku. Pro většinu lidí je nepředstavitelné, že by se mohli stát obětí kybernetického útoku zinscenovaného prostřednictvím klasického mobilního telefonu. Nastane-li druhá možnost, kdy SMS vyzývá ke kliknutí na URL odkaz, stává se situace trochu složitější. Předpokladem pro tento útok je modernější telefonní přístroj s vlastním operačním systémem a připojením k internetu. Internetové připojení musí být aktivně využíváno uživatelem přístroje a útok pak může mít dvě podoby. První způsob je, že na falešné URL adrese bude vytvořena fiktivní stránka, připomínající stránku společnosti, od které oběť zprávy běžně dostává. Na této falešné stránce bude oběť vyzvána k vyplnění formuláře se svými osobními daty, hesly a dalšími citlivými informacemi (Reynolds 2014: 94). Nastane-li taková situace, je možné ji připodobnit k phishingovému útoku, přesněji k fázím získávání a zneužití informací. Phishingu se budeme podrobně věnovat v dalších kapitolách této práce. Rozdíl lze pozorovat ve fázi získání důvěry. Důvěru musí získat útočník prostřednictvím SMS, která následně odkazuje na URL adresu. Fáze získání důvěry proto neprobíhá v emailové schránce, ale prostřednictvím SMS. Tento útok vykazuje všechny znaky SI, protože bez připojení na internet by nebyl realizovatelný. Oslovení probíhá prostřednictvím SMS zprávy, ta je však doručena na smartphone, tedy na přístroj, který lze považovat za počítač. Následující proces pak probíhá v kybernetickém prostředí. Jako poslední možnost smishingu si představíme útok, při kterém oběť kliknutím na zmíněný odkaz infikuje svůj mobilní telefon škodlivým softwarem (Claypoole a Payton 2012:
38
28). Tento malware13 je nainstalovaný do operačního systému smartphonu a zpřístupňuje osobní informace podvodníkům (Bryan 2013:19). Terčem takovéhoto útoku se stali například zákazníci Jihokorejské banky. Zákazníkům banky přišla SMS zpráva, která měla přijít od Financial Services Commission. Tato zpráva vyzývala k instalaci nové ochrany proti škodlivému malwaru. Uživatel, v domnění že zabezpečuje svůj mobilní telefon, klikl na odkaz v SMS zprávě a instaloval tak trojského koně. V určitém případě14 ale není tento malware schopen odinstalovat původní aplikaci. Uživatel je proto vyzván k odinstalování původní aplikace. Místo pravé aplikace si oběť nainstaluje novou, falešnou aplikaci se stejnou ikonou. Následně musí oběť potvrdit podezřelou žádost o povolení k užívání této aplikace. Trojský kůň získává citlivá bankovní data oběti. Takto získaná data odesílá na vzdálený server (Selvan 2013). Útoky jsou vysoce sofistikované a přicházejí z kybernetického prostředí. K oklamání uživatele je vytvořena propracovaná kybernetická persona a do systému je nainstalován škodlivý kód15, který má za úkol získávat informace. Tyto informace jsou dále sbírány a ukládány v kybernetickém prostředí. Zneužití těchto informací může mít různý charakter od napadení internetového bankovnictví přes průmyslovou špionáž až ke klasické špionáži. 13
„Slovo malware (z anglického malicious software, čili škodlivý software) popisuje jakýkoliv kus kódu, který byl vytvořen za účelem infikování vašeho počítače (nebo mobilního zařízení) a přiměl jej dělat věci, které nechcete, aby dělal, jako je masové rozesílání spamových e-mailů nebo krádeže bankovních hesel. Mezi malware patří trojské koně, červy či tzv. rootkity. Stejně tak je typem malwaru i virus, ve svém technicky nejkorektnějším smyslu. Virus je škodlivým kódem, který se šíří infikováním existujících souborů, podobně jako se biologický virus šíří infikováním živých buněk“. (Spector, Kreuziger 2013) 14
Tento útok cílil na uživatele mobilních telefonů s operačním systémem Android. Operační systém Android může mít omezená přístupová práva k systému. To je standardní nastavení pro běžné uživatele a telefon v tomto stavu zakoupíte. Uživatel Androidu však může tento systém tzv. rootnout (provést root Androidu). Routnutím dochází k aktivaci práv „administrátora“ jak jsou známé s operačních systémů. Po rootnutí můžete libovolně zasahovat do systému Androidu. Pro běžného uživatele je však rootnutí naprosto nevyužitelné, jedná se spíše o nastavení pro nadšence a experimentátory (Androidmarket 2014). Výše zmíněný malware dokázal odinstalovat aplikaci, pouze pokud byl telefon rootnutý. V opačném případě musel přimět uživatele k provedení změn. Nevýhodou rootnutí systému tedy je, že pro běžného uživatele se jedná o naprosto nevyužitelnou věc. Navíc po routnutý systém usnadňuje právě práci škodlivému softwaru a mobilní operační systém je tak náchylnější k útoku. 15
Může se jednat o keystroke logger, botnet kód nebo další varianty malwaru (Musthaler 2007). V případě škodlivého softwaru, který se využívá pro špionážní účely, bývá používáno označení spyware.
39
Popsaný typ smishingu je pravděpodobně nejnebezpečnější. Útok je kombinací SI a vysoce sofistikovaných hackerských dovedností. Mnoho lidí v dnešní době využívá svůj chytrý telefon, jako nástroj usnadňující vyřizování velké části soukromé i pracovní agendy (Musthaler 2007). Přes mobilní telefon se vyřizuje emailová korespondence. Lidé se prostřednictvím telefonu připojují na sociální sítě, do firemních informačních systémů, komunikují s bankou přes službu internetového bankovnictví. U internetového bankovnictví je riziko využívání chytrých telefonů velmi vysoké. Připojuje-li se uživatel prostřednictvím svého počítače, musí při převodu peněz i při jiných finančních operacích projít systémem dvojího ověření. Nejprve se na počítači přihlásí uživatelským jménem a heslem. Následně provede ověření prostřednictvím SMS zprávy s kódem. SMS přichází na mobilní telefon uživatele. Uživatel zadává takto získaný kód do svého internetového bankovnictví a tímto úkonem autorizuje svou činnost. Pokud se uživatel přihlašuje prostřednictvím aplikace v telefonu a potvrzení přichází na stejný telefon, riziko útoku je mnohonásobně vyšší. Je-li telefon infikován, útočníci získají obě hesla potřebná pro autorizaci do systému internetového bankovnictví. Obchází tak systém dvojí autorizace, který má většina bank nastavený pro zvýšení ochrany služby internetového bankovnictví. V České republice zaznamenala pokusy o takový útok nedávno například Česká spořitelna (Novinky.cz 2014). Obrana proti tomuto typu útoku je komplikovanější. Vyžaduje prvky softwarové ochrany. Sem řadíme především antivirový program a firewall. Oba softwarové nástroje je dobré kombinovat s bezpečným využíváním mobilních telefonů ze strany uživatelů. Mobilní telefon bývá méně chráněný než počítač. Detekce podvodných zpráv je u mobilních telefonů problematičtější. Rozeznání podvodné zprávy, stránky nebo emailu znesnadňuje uživateli několik skutečností. Adresa URL bývá u většiny přístrojů, z důvodu přehlednosti, automaticky skrývána. Na první pohled nemá uživatel šanci falešnou URL rozeznat, protože adresu nevidí. Malý displej telefonu tak limituje uživatele v rozeznávání podvrhů a klamů. Vše je zmenšené a pro uživatele méně přehledné (Graham et al 2011: 91). Je důležité pečlivě zvažovat, jaké aplikace si jako uživatel chytrého telefonu chystáte nainstalovat. Dalším bezpečnostním opatřením pro běžného uživatele je eliminace rootování operačního systému svého telefonu. U internetového bankovnictví je nejbezpečnější nepoužívat pro přístup do internetového bankovnictví aplikaci v telefonu. Pro vstup do internetového bankovnictví využít přístup z počítače, popřípadě kombinovat dva odlišné přístroje. 40
V souvislosti se smishingem se objevuje alternativní způsob oslovení. Místo SMS útočník využívá pro svůj útok MMS zprávy. MMS, na rozdíl od textové zprávy, má výhodu lepší vizualizace. Může působit daleko důvěryhodněji, než SMS. Útočník může umístit do MMS logo firmy, od které měla být falešná zpráva doručena. Úkolem těchto detailů a podrobností je vytvoření co nejpřesvědčivějšího klamu (Online security center 2014). Kromě lepšího grafického zpracování útoku, který je umožněn vlastnostmi MMS zprávy, se útok od smishingu jinak neliší. Jediným rozdílem pro oběť je, že místo SMS přijde oslovení prostřednictvím MMS. Podrobnější analýza tohoto útoku by proto postrádala jakýkoliv hlubší smysl.
3.4.
Pharming
Pharming je sofistikovaný mechanismus počítačového podvodu. Hlavní princip útoku spočívá ve vytvoření falešné iluze reálné stránky. Oběť je přesměrována na falešnou internetovou stránku, která vypadá jako zcela běžně využívaná skutečná stránka organizace. Na této stránce je oběť pod nejrůznější záminkou vyzvána, aby poskytla o sobě nebo svých účtech požadované údaje. Pharming je nebezpečný především proto, že přesměrování na falešnou stránku může přijít i po zadání pravé adresy do prohlížeče (Newman 2010: 34). Nevzniká tak žádné podezření, že by se mohlo jednat o falešnou webovou stránku. Útočníci nemusí vymýšlet žádné smyšlené příběhy ani nemusí vytvářet žádný nátlak na oběť. Uživatel zadává tyto informace sám s předpokladem, že provádí běžné operace v informačním systému, který využívá pro vyřizování své běžné denní agendy. Uživatel se stává obětí iluze skutečné stránky. Celý útok je založený na principu záměny názvu webové stránky, respektive její adresy, která je zadávána do prohlížeče. Po zadání názvu této adresy je počítač přesměrován na jinou IP adresu (Parsons a Oja 2009:187). Každý počítač připojený do sítě má svou IP adresu. IP adresu si můžeme představit jako telefonní číslo. Protože pro uživatele internetu by bylo nemožné pamatovat si čísla všech IP adres stránek, byl vytvořen DNS (Domain Name System) systém. DNS přiřazuje doménové jméno k příslušné IP adrese. Uživatel zadává do svého prohlížeče doménové jméno zpravidla v podobě názvu stránky, kterou chce navštívit. Nemusí si tedy pamatovat čísla IP adres stránek (CZ.NIC O doménách a DNS 2014). Při 41
pharmingu dochází pak k záměně těchto adres. V praxi vypadá falešná URL adresa naprosto stejně, jako adresa původní stránky, kterou chtěl uživatel navštívit. Zadáním této URL je uživatel přesměrován na jinou IP adresu. Celý útok je poměrně složitý. Pharming je svou sofistikovaností daleko složitější než phishingový útok, který bývá považován za technicky náročný mechanismus SI. U pharmingu je zadávaná URL skutečná, proto se jedná o jeden z nejhůře zjistitelných hackerských útoků a obrana je velice složitá (Parsons a Oja 2014: 406, srovnej Tvrdíková 2008: 158). Existují dva způsoby pharmingového napadení. Při prvním je počítač oběti infikovaný škodlivým malwarem nebo virem, který způsobuje technické změny v počítači. Nic netušící uživatel je během své každodenní činnosti (například kliknutím na políčko oblíbené v internetovém prohlížeči nebo zadáním doménové adresy známé stránky) přesměrován systémem z pravé webové stránky na falešnou. Falešná stránka má stejnou URL, ale IP adresa je jiná. Proti tomuto typu útoku neexistuje spolehlivá ochrana. Používáním antivirových a antispywarových programů je možné, jen do určité míry snížit riziko napadení (SCAM watch 2014). Technických možností, jak takový útok provést, je celá řada. Útočník například infikuje operační systém uživatele, a aby získal kontrolu nad jeho správou domén, zaměří se na tvz. hosts soubor16. V okamžiku, kdy uživatel zadá doménovou adresu do prohlížeče, je automaticky přesměrován na falešnou adresu. V případě operačního systému Windows je infikován soubor C:\Windows\System32\drivers\etc\hosts, který má na starosti rozeznávání doménových adres (Patel a Panchal 2013: 67). Infikace hosts souboru je jeden z mnoha způsobů, jak napadený počítač donutit, aby přesměrovával uživatele na falešné internetové stránky. Tyto mechanismy se vyznačují vysokou sofistikovaností a vyžadují pokročilé hackerské dovednosti. Pro účel této práce není relevantní se jednotlivými způsoby zabývat. Podrobný návod a vysvětlení všech technických principů pharmingových útoků, včetně podrobného popsání jednotlivých mechanismů můžeme nalézt v dokumentu The Pharming Guide (Olman 2004).
16
Jedná se o prakticky stejný princip jako u DNS, s tím rozdílem, že je součástí operačního systému a nikoliv síťové infrastruktury.
42
Po přesměrování se falešné stránky snaží chovat jako originální. Úkolem těchto stránek je získat od uživatele citlivé data. Příkladem pharmingového útoku může být útok na klienty České spořitelny. Útok byl popsán tiskovou mluvčí České spořitelny následně: „počítač uživatele se buď prostřednictvím mailu odeslaného z nedůvěryhodného zdroje, nebo na webových stránkách, nakazí speciálním virem. Do počítače se tak dostane škodlivý software, ten způsobí přepsání IP adresy a přesměrování klienta na falešné stránky internetbankingu. Tyto stránky se chovají jako stránky SERVISU 24 ČS s tím rozdílem, že po uživateli žádají při přihlášení bezpečnostní kód. Ten pro přihlášení standardně nutný není, je však potřeba jej znát pro některé operace s účtem, například pro změnu zadání telefonního čísla pro odeslání autorizační SMS zprávy“. (Gajdůšková 2007) Všechny mechanismy tohoto útoku mají jeden společný jmenovatel. Cílem útoku není uživatel, ale uživatelův počítač. Pharming je mechanismus napadení samotného počítače a jeho operačního systému. Útok je sám o sobě tak sofistikovaný, že nepotřebuje útočit na uživatele. Uživatele klame, ale v principu se jedná o tak dokonalý klam, založený čistě na technickém základu, že ho nelze považovat za SI. Útok je primárně veden na počítač a soubory operačního systému. Jedná se tedy o násilnou penetraci do systému, za účelem získání informací od uživatele. Možností, jak počítač infikovat, je celá řada. Infikovaný kód mohou obsahovat ilegální pirátské kopie softwaru (Dunn a Kreuziger 2013) nebo si může uživatel nakazit svůj počítač prostřednictvím otevření přílohy ve své emailové adrese nebo otevřením infikované webové stránky. Je zjevné, že na zavirování počítače má uživatel velký podíl, přesto infikaci počítače viry nelze přiřazovat k útoku SI. Dostali bychom se totiž do situace, kdy by za SI bylo považováno úplně vše. Není možné v tomto případě vycházet z premisy, že informační systémy vytváří a využívají lidé, a proto je lidský faktor všudypřítomný a kybernetické útoky tak využívají vždy lidských chyb. Tímto způsobem problematiku SI nelze posuzovat. Útočník v případě pharmingu neútočí na lidský faktor, ale na systém. Uživatel pracuje s takto napadeným systémem standardně, ale „napadený počítač pak vykonává činnost, kterou mu přímý uživatel nezadal“. (Hoszowski) Jak již bylo výše zmíněno, obranou proti tomuto útoku je instalace originálního antivirového programu. Varovným signálem pro uživatle by měla být neobvyklá podoba webové stránky. Stránka může vizuálně vypadat totožně, ale systémově může fungovat jinak, 43
jako v případu napadení internetového bankovnictví České spořitelny. Stránka může po uživateli požadovat nestandardní data, nebo operace (Bezpečný internet.cz 2014). Problematiku pharmingu můžeme zařadit do komunikační a síťové bezpečnosti Vysoce sofistikovaný pharmingový útok je z hlediska obrany výhradně záležitostí odborníků na bezpečnost. Jeho řešení je v kompetenci specialistů s vysokými znalosti moderních informačních technologií. Uživatelé mohou přispět ke snížení rizika napadení dodržováním obecných zásad informační bezpečnosti. Ostražitost a rozvaha při zadávání citlivých dat a informací je určitě nutná, ale v případě pharmingu nemusí být stoprocentní zárukou bezpečnosti. Druhý způsob útoku je zjistitelný ještě mnohem obtížněji, protože neinfikuje počítač ani jeho operační systém. Dochází k napadení DNS serveru, který automaticky přesměruje počítač na podvodné stránky. V počítači není nainstalován žádný škodlivý software, protože k přesměrování dochází přímo na serveru. Ochrana proti takovémuto útoku je velice složitá (Wall 2007: 77). Jedná se o vysoce sofistikovanou podvodnou činnost. Duplikáty pravých stránek bývají mnohdy velmi precizně zpracované. Rozeznat je nebývá jednoduché stejně tak, jako tomu bylo i v předchozím případě. Celá metoda napadení DNS serveru je ještě složitější, než je předchozí metoda využívající infikování hosts souboru v operačním systému. Protože DNS servery tvoří páteř internetu, bývá vynakládané značné úsilí i na jejich ochranu. Objevit chybu nebo bezpečnostní mezeru není nikterak jednoduché (Bednář 2007). Možností, jak DNS server napadnout, je opět celá řada. Technicky zdatnější zájemce odkazujeme opět na dokumenty, které problematiku podrobně zkoumají (Olman 2004; Patel a Panchal 2013; Quigley 2008). Pro účel práce popíšeme jeden ukázkový mechanismus útoku. Uvedený mechanismus ještě modifikuje výše popsanou možnost pharmigového útoku cíleného na DNS servery. Základní princip útoku zůstává zachován. „Pharming je prováděn … manipulací se systémem DNS (Domain Name System). Útok „drive-by pharming“ je nový typ hrozby, jejíž princip spočívá v tom, že když uživatel navštíví nebezpečný web, je útočník schopen změnit nastavení systému DNS v uživatelově širokopásmovém směrovači nebo bezdrátovém přístupovém bodu. Útok „drive-by pharming“ je možný, když není širokopásmový směrovač chráněný heslem, nebo když je útočník schopen heslo uhodnout. Většina směrovačů se 44
například dodává se známým výchozím heslem, které uživatel nikdy nezmění. Útočník tak má plnou kontrolu nad tím, které webové servery napadená oběť navštíví. Uživatel si může například myslet, že je na stránkách internetového bankovnictví své banky, ale ve skutečnosti byl přesměrován na web útočníka. Tyto podvodné weby jsou téměř přesnými replikami pravých webů, takže uživatel pravděpodobně nic nepozná“.(Symantec 2007) Všechny tyto útoky však fungují na bázi penetrace do DNS serveru nebo přístupových bodů. Jedná se o složitý útok, přičemž prvky SI bychom zde hledali jen velice obtížně. Druhý typ útoku je nebezpečnější než útok prostřednictvím infikace hosts souboru. V případě napadení DNS nebo směrovače nepomůže uživatelovi ani antivirová ochrana. Útok probíhá naprosto mimo operační systém počítače. Útok je vytvořen a probíhá v kybernetickém prostředí. Prevence těchto útoků je záležitostí především síťové bezpečnosti a je na poskytovatelích internetu, aby si zajistili bezpečnost těchto DNS serverů. Útok probíhá celý v kybernetickém prostředí. Pharming nahrazuje IP adresy skutečně existujících webových stránek za podvodné a dokáže tak cílit na velké množství lidí v relativně krátkém čase (Brown 2010: 91-92). Je velmi obtížné tento druh napadení odhalit. Doporučenou ochranou pak je: „Zkontrolujte adresu URL každého webu, který požaduje identifikační údaje. Přesvědčte se, zda vaše relace začíná na známé pravé adrese webového serveru a nejsou k ní přidány žádné další znaky. Udržujte účinnou a aktuální antivirovou ochranu. Používejte důvěryhodného a uznávaného poskytovatele služeb Internetu. Nekompromisní zabezpečení na úrovni poskytovatele služeb Internetu je vaší první linií obrany proti pharmingu. Kontrolujte certifikáty. K ověření toho, zda vstupujete na legální web, stačí pouze několik sekund. V nejnovější verzi prohlížeče Internet Explorer a v mnoha jiných obecně dostupných webových prohlížečích přejděte do nabídky Soubor v hlavní nabídce a vyberte Vlastnosti, nebo klepněte pravým tlačítkem myši kdekoli v okně prohlížeče a z místní nabídky vyberte Vlastnosti. V okně Vlastnosti klepněte na tlačítko Certifikáty a zkontrolujte, zda daný web používá bezpečný certifikát svého legitimního majitele a zda je stále platný.
45
Potřebujete-li vstoupit na citlivý web, nikdy neklepejte přímo na odkaz v emailu nebo na webové stránce. Text odkazu vždy vyjměte a vložte do nového okna prohlížeče nebo použijte vaše záložky“. (Club Synamtec 2014) Bezpečným způsobem ochrany je výše zmiňovaná kontrola certifikátů. Na druhou stranu, jedná se o krok „časově poněkud náročnější“. Uživatelé kontrolu certifikátů využívají sporadicky, přestože je snad jedinou účinnou metodou ochrany. Certifikáty se nedají falšovat. Při dobře provedeném pharmigovém útoku ke kontrole certifikátů nedochází, neboť oběť nezaznamená ani nejmenší podnět k podezření. Preventivní kontrolou certifikátů se tedy nikdo nezdržuje. Podívame-li se na výše popsaný výčet bezpečnostních opatření dojdeme k závěru, že se jedná o ochranné opatření převážně technického rázu. Tato skutečnost pouze upevňuje naše rozhodnutí nezařadit pharming mezi mechanismy SI. Pharming je vysoce sofistikovaný útok založený na principu penetrace síťových systémů.
3.5.
Trashing
Ještě předtím, než se budeme podrobně věnovat phishingovým útokům, budou pro úplnost práce rozebrány ostatní mechanismy označované jako SI. Prvním takovým mechanismem je trashing. Občas se také pro trashing využívá označení dumpster diving (volně přeloženo jako prohrabávání se v popelnici nebo ponoření se do odpadkových kontejnerů). Jedná se o praktiku, při níž jsou prohledávány odpadky oběti (Long 2008: 2). Jedná se o poměrně oblíbenou praktiku, která vychází z předpokladu, že z odpadků může SI získat mnoho potřebných informací. Nevýhodou je, že se útočník musí pohybovat v nepříjemném prostředí a často se ušpiní. Jedná se o velice pracný a mnohdy i zdlouhavý způsob získávání informací, který ale může přinést dobré výsledky (Dr K 2000). Trashing se využívá ze dvou důvodů. Prvním je, že při prohledávání odpadků může útočník získat mnoho potřebných informací pro svůj připravovaný útok. Odpadky skrývají zdánlivě neškodné informace, které ale mají pro útočníka velkou cenu. Druhým důvodem je, že občas má útočník štěstí a narazí při hledání přímo na citlivé informace, které potřebuje pro provedení svého útoku.
46
Mitnick tvrdí (Mitnick a Simon 2003), že tento útok je pro SI poměrně bezpečný, protože nedochází k žádnému kontaktu s cílem. Informace jsou získány z koše. Jedná se o oblíbenou metodu především pro mladé a začínající útočníky, právě pro jeho nízkou nebezpečnost a celkem vysokou efektivitu. Přestože trashing je poměrně jednoduchý způsob zisku důležitých informací, nejedná se o SI. Zaprvé, nedochází ke kontaktu s obětí. Zadruhé, oběť není nikterak ovlivněna. Zatřetí, není využito žádných hackerských schopností k získávání informací. Trashing proto nemůže řadit mezi mechanismy SI, protože s SI nemá trashing absolutně nic společného. Trashing bývá označován jako low tech hrozba pro počítačové systémy (Dubrawsky a Faircloth 2007: 620). Ani toto vymezení není přesné. Budeme-li chápat technickou stránku v návaznosti na počítačovou technologii, musíme přiřadit trashing do kategorie no tech hrozeb. Této formě hrozby se budeme věnovat v následující kapitole. Pro prohrabávání odpadkových košů není zapotřebí žádných technických znalostí ani dovedností, které by úzce souvisely se znalostí informačních technologií. Můžeme ji označit jako metodu získávání citlivých informací prostřednictvím činnosti v reálném světě. Nástrojem takového útočníka jsou vlastní ruce, rukavice a svítilna. Typickým převlečení pro trashera je černé oblečení. Občas se také využívají převleky úklidové nebo popelářské služby (Bosworth et al 2009). Nástroje a oblečení nám připomínají spíše obyčejné zloděje. Černé oblečení se používá, protože trashing se většinou provádí až v noci. Útočníci proto volí černou barvu oblečení, aby nevzbuzovali žádnou velkou pozornost. Pachatel hledá v odpadcích oběti nebo organizace nejrůznější dokumenty, složky, CD, DVD, flash disky a jiné digitální nosiče informací. Zkrátka pokouší se nalézt cokoliv, co by následně mohl využít k oklamání oběti, nebo k přístupu do informačního systému. V odpadcích může útočník nalézt přístupová hesla, IP adresy, jména osob, osobní emailové účty, bankovní čísla účtu a mnoho dalších zajímavých důvěrných informací (Kizza 2009: 102-103). Nelze si ani představit situaci, že by zkušený hacker, provádějící SI útoky prostřednictvím svého počítače, vyrazil v noci prohrabávat zapáchající odpadky. Zkušený hacker využije určitě nápaditější způsob, aby získal požadovanou informaci. Na druhou stranu, pokud nejsou odpadky příslušně zajištěné na soukromém pozemku, nedopouští se útočník ničeho nelegálního. Jedná se o legální možnost, jak získat citlivé informace. Útočník se při trashingu nevystavuje žádnému riziku postihu. Odlišná situace nastává, pokud útočník musí kvůli trashingu někam 47
násilně vniknout.
V tomto případě se dopouští trestného jednání, které ale nesouvisí
s informační bezpečnostní, ale spíše s bezpečností fyzickou, protože dochází k narušení bezpečnosti objektu. Trashing bývá spojován s SI především z důvodu, že se jedná o jednu z možností získávání informací o budoucích obětech SI útoku. SI může trashing využít v přípravné fázi útoku, ve které se hledá o oběti co největší množství informací. Je to jedna z možných cest, kterou se lze vydat ve fázi sběru informací o oběti. Tyto skutečnosti ale neumožňují zařazení trashingu do kategorie SI. Sběr informací provádějí i útočníci, kteří se chystají k násilnému proniknutí do systému (Cole 2013: 138-139). Jedná se o informace získané v reálném prostředí. Následně mohou být tyto informace využity pro získání důvěry u oběti anebo přímo k proniknutí do informačního systému. Jistou souvislost mezi SI a trashingem existuje, ale nelze trashing označovat za mechanismus SI. Na následujícím příkladu ukážeme, že trashing je pouze jedna nepatrná součást celého útoku SI. „Dva klíčové členy skupiny "Phonemasters" odsoudili v USA za krádež a držení neoprávněného a neautorizovaného přístupu k federálním počítačům. Tato mezinárodní skupina kybernetických zločinců údajně pronikla do počítačových systémů MCI, Sprint, AT&T, Equifax a National Crime Information Center. Znalosti „Phonemasterů“ jim umožnily stahovat stovky čísel telefonních karet, aby je následně mohli distribuovat do prostředí organizovaného zločinu po celém světě. Část jejich metody spočívala v dumpster divingu, sbírání starých telefonních seznamů a systémových příruček. Tyto nástroje, spolu se sociálním inženýrstvím, vedly k útokům na uvedené systémy“.
(Standridge) Trashing nesplňuje
základní znaky útoku SI. Obrana proti ztrátě informací je v případě trashingu jednoduchá. Stačí pouze dodržovat zásady operační bezpečnosti a všechny dokumenty a digitální nosiče informací před vhozením do odpadkového koše znehodnotit, skartovat nebo jinak fyzicky zničit (Dubrawsky 2011: 50).
3.6.
No tech hacking
V souvislosti s trashingem se objevuje poměrně často pojem no tech hacking. Jak samotný název napovídá, jde o způsob pronikání do informačního systému netechnickým
48
způsobem. Netechnickým způsobem v tomto případě znamená, že útočník nevyužívá žádné počítače, informační systémy ani high tech dovednosti. Útočník získává citlivé informace o systémech a procesech z reálného prostředí. Citlivé informace, relevantní pro útok na počítačové systémy, se vyskytují i v reálném světě (Long 2008: 1). No tech hacking je založen na získávání informací pomocí pozorování, sledování a velké dávky zvědavosti a drzosti. Mezi oblíbené techniky no tech hackingu lze zařadit i již výše zmiňovaný trashing. Krom trashingu do této kategorie patří tailgaiting, shoulder surfing a další způsoby získávání informací fyzickou cestou. Využívají se násilné odposlechy telefonních linek a podobné metody. Tyto metody jsou považovány za SI ze stejného důvodu, jako tomu bylo u výše zmiňovaného trashingu. V žádném případě se ale o SI nejedná. Jde o metody inklinující spíše ke klasickým kriminálním aktivitám spojených především s reálným světem. Podíváme-li se například na shoulder surfing, zjistíme, že jde o obyčejný podvod. Shoulder surfing je metoda podvodu, při níž se útočník jednoduše podívá přes rameno oběti a zjistí, jaké heslo zadává na své klávesnici pro přihlášení do systému. Tímto způsobem zjištěné heslo nebo informaci využije dále ve svůj prospěch. Shoulder surfing je metoda hojně se vyskytující především v korporátním prostředí. Metodu lze zařadit pod kategorii útoků vyplývající z pozice insidera (Cole 2002: 45-46). Často se metoda používá při zadávání PIN kódu při výběru z bankomatu. Spojitost s SI je tedy opět jen vzdálená. Platí stanovisko, že tyto metody mohou skutečně napomoci v některých fázích SI útoku, ale rozhodně se nedají považovat za SI. Opět zde absentuje útok na lidský faktor. Útočník nikoho neklame a jedná se o běžnou krádež informace spojenou více s činností běžného podvodníka než SI. Jinou metodou zmiňovanou v souvislosti s no tech hackingem je tailgating. Tailgating je v podstatě nezákonný vstup do budovy, kde chce útočník získat informace. Většinou se do budovy dostane tak, že se připojí ke skupině osob, které mají oprávnění pro vstup do této budovy. Útočník splyne s davem osob patřících do budovy a není po něm požadována autorizace při vstupu (Gogolin 2013: 128-129). Jakmile je útočník v budově, má několik možností, jak využít svého ilegálního vstupu do cizí organizace. Může se pokusit nainstalovat připravený malware do sítě, může jen zkopírovat či zcizit dokumenty obsahující důležité informace. Tailgating je kriminální činnost, se kterou se běžně setkávame v reálném světě. 49
Cílem jsou sice informace související s informačními systémy a počítači, to ale neznamená, že se automaticky jedná o SI. Ve většině případů se jedná o podvody a krádeže, které s kybernetickým prostředím nijak nesouvisí. Pokud bychom chápali SI v takto širokém kontextu, vedlo by to k naprosto zavádějící terminologii. SI by byla veškerá činnost, kde útočník získá jakýmkoliv způsobem jakoukoliv informaci, která jakkoliv souvisí s informačními systémy nebo zařízeními zpracující tyto informace. Takový stav je nežádoucí a zavádějící, nepřispívá k řešení problematiky terminologické ustálenosti pojmu SI. Proto techniky a metody no tech hackingu17 nemůžeme řadit pod SI. Ochrana proti no tech hackingu spadá pod oblast fyzického zabezpečení objektů, sítí a počítačů a zároveň i zabezpečení informací nacházejících se uvnitř těchto objektů.
3.7.
Baiting
Baiting bývá přirovnáván k útoku trojského koně, modifikovaného pro reálné prostředí (Kuneš 2012). Základní princip mechanismu funguje na lidské zvědavosti. Útočník umístí uvnitř organizace přenosné digitální médium (flash disk, CD, DVD atd) s takovým popisem, který u oběti vyvolá pocit přirozené zvědavosti. Cílem útočníka je přesvědčit oběť k vložení média do počítače. Po vložení média se spustí instalace programu, který nabourá systém a pronikne do něj. Výhodou tohoto útoku je, že může infikovat i interní sítě, které nejsou připojeny k internetu (Gragido a Pirc 2011). Nevýhodou baitingu je vysoké riziko prozrazení, protože útočník se musí pohybovat po objektu, ve kterém se rozhodl umístit „návnadu“. Nejedná-li se přímo o insidera, vystavuje se vysokému riziku identifikace a odhalení. „Návnada“ může cílit na různé lidské pohnutky. Baiting musí v oběti vyvolat intenzivní reakci. Není vůbec důležité, zda se jedná o zvědavost, strach nebo vášeň. Po vyvolání reakce oběť umisťuje externí zařízení do svého počítače. Do systému se instaluje malware, jehož škodlivá činnost může mít různorodý charakter. Představme si, například situaci, že zaměstnanec nalezne v práci CD s popiskem „platy zaměstnanců“. Neodolá a vloží CD do 17
Další možnosti této disciplíny můžete v případě zájmu najít v knize Low Tech Hacking: Street Smarts for Security Professionals (Willes et all 2012), kde jsou v kapitole o sociálním inženýrství rozebrány další možnosti a nástroje no tech hackingu. V této knize jsou chybně označované, jako metody sociálního inženýrství, ale pro představu, co vše si pod pojmem no tech hacking představit je tato kapitola dostačující.
50
počítače. Po otevření složky na CD se do počítače automaticky nainstaluje malware v podobě trojského koně nebo viru. Tento malware bude čerpat a odesílat útočníkovi důležité informace z informačního systému (Cross 2014: 212). U baitingu můžeme identifikovat čtyři fáze útoku. První fáze útoku je ale velmi podobná no tech hacking metodám. Útočník se nejprve musí dostat do cílové oblasti, aby zde mohl umístit návnadu. Další možností je přesvědčit někoho ze zaměstnanců k umístění návnady v cílové organizaci místo něj. Umístěná návnada čeká pasivně na svou oběť. Chytneli se oběť na návnadu, je instalován škodlivý software do systému. Následná část útoku vykazuje znaky složitosti a sofistikovanosti. Po infikaci systému malwarem dochází ke sběru informací, ty jsou odesílány útočníkovi na vzdálený server. Při posuzování, zda se jedná o SI, se dostáváme do poněkud rozporuplné situace. První dvě fáze útoku, zadání návnady a oklamání oběti, probíhají zcela v reálném prostředí. Jsou proto plně záležitostí fyzické ostrahy objektů. Zbylé fáze představující čerpání a zneužití informace a probíhají naopak v kybernetickém prostředí. Obrana je po infikaci malwarem záležitostí komunikační, síťové a informační bezpečnosti. První fáze nemá za úkol sběr informací o oběti, v první fázi dochází k umístění návnady způsobem, který má vzbudit pozornost oběti. Baiting lze považovat za hybridní mechanismus kombinující prvky klasického podvodu, který můžeme sledovat v prvních dvou fázích a sofistikované kybernetické činnosti ve fázi třetí a čtvrté. Na druhou stranu k tomuto klamu nebylo zapotřebí vytvoření žádné kybernetické persony. Proto baiting nelze zařadit do kategorie SI. V současné době jsou zaznamenány určité evoluční tendence baitingu. S příchodem smarphonu a technologie QR kódů, se objevuje i nový druh útoku. Pokud uživatel vlastní aplikaci pracující s QR kódy, může se mu stát, že narazí na návnadu umístěnou v QR kódu. QR kód může obsahovat odkaz na URL, která je infikovaná. Mobilní telefony jsou nastaveny takovým způsobem, že pokud QR kód obsahuje URL adresu, automaticky ji toto zařízení otevírá, i když je otevřená stránka infikovaná (Alcorn et al 2014: 57-58). Následující fáze útoku jsou totožné s výše popsaným baitingovým útokem, který využívá klasickou návnadu. Přechod útoků z počítačů na mobilní zařízení není v současnosti žádný nový trend. Mobilní zařízení jsou méně chráněna, uživatelsky jsou méně přehledné, uživatelé jsou zároveň méně pozorní a ostražití. V případě QR baitingu můžeme vysledovat jeden zajímavý trend. Útoky, 51
jako je baiting, se neustále vylepšují a modifikují na moderní technologie, přičemž se snaží využít výhody nad svou obětí. Uživatelé využívající technologie QR kódů si ve většině případů neuvědomují, že po načtení kódu obsahující URL se stránka automaticky otevírá. Útočník má tak výhodu nad uživatelem, který nepředpokládá při načtení QR kódu nic neobvyklého.
3.8.
Watering Hole
Mechanismus kybernetického útoku watering hole18, je popisován prostřednictvím analogie s divokými africkými zvířaty. Africká zvířata přicházejí k napajedlům, aby uspokojili svoji žízeň. U těchto napajedel na ně číhají predátoři, kteří zneužijí jejich základní potřeby pít. Predátoři vyčkávají, až k nim oběti sami přijdou a následně na ně zaútočí (Merritt 2013). Jedná se, samozřejmě, o velmi zjednodušený popis principu takového mechanismu, za kterým se v kybernetickém světě skrývá velice složitý a sofistikovaný útok. Útok je založený na principu přímé infekce pravé URL adresy. Během navštívení takto infikované stránky, je do počítače naistalován škodlivý malware. Malware odesílá získané informace z uživatelova systému zpět útočníkovi (Sood a Enbody 2014: 30-32). Watering hole se zčásti podobá klasickým mechanismům SI. Watering hole útoky jsou nejenom vysoce sofistikované, ale jsou také vysoce cílené. V zásadě můžeme identifikovat některé společné prvky. Před zahájením útoku probíhá podrobný sběr informací, aby mohl být spuštěn co nejefektivnější podvod. Oběť tak může obdržet email, který ji pod obvyklou záminkou pozve na oblíbenou stránku, kterou běžně denně využívá. V druhé verzi využijí útočníci při watering hole útoku přesné informace o uživateli. Zjistí si, které stránky navštěvuje. Ty jsou infikovány škodlivým softwarem. Následně útočníci vyčkávají, jako predátoři, až oběť zmiňované stránky navštíví a infikuje si tak vlastní počítač (O'Harrow
18
V českém kontextu se může setkat s překladem „útok typu napajedla“ (Williams 2013). Pro watering hole útok je však přesnější, zůstat u anglického označení a nepřekládat toto spojení do českého jazyka. Prvním důvodem je skutečnost, že v oblasti IT technologií je využívání anglických výrazů zcela běžné a v českém jazyku ustálené. Druhým důvodem je prostá skutečnost, že označení „útok typu napajedla“ působí poněkud kostrbatě.
52
2013). Do počítače je následně nainstalován bez vědomí uživatele RAT19 malware, který odesílá informace útočníkovi. Po lepší pochopení složitého procesu útoku, nám nejlépe poslouží názorné schéma.
Obrázek č. 2. Zdroj: (Sood, Enbody 2014)
19
„ RAT (Remote Access Tool/Trojan) je malware využívaný nejčastěji pro vzdálené ovládání počítače oběti a její šmírování pomocí mikrofonu a webové kamery. Nyní se nově tento druh malwaru objevil na Android zařízeních a uživatel si ho může stáhnout spolu s regulérní aplikací/hrou z Google Play storu. Jednou z nich byla Parental Control, ve které objevil malware-kit Dendroid Marc Rogers ze společnosti Lookout Mobile vyvíjející antimalware software. Dendroid je softwarový balík schopný sestavit malware na míru vaším požadavkům, během pár kliknutí. Obsahuje velkou řadu funkcí od sledování uživatele (volání, SMS, historie prohlížeče, zadaná hesla, …), infikování ostatních aplikací až po sestavení kompletní C&C infrastruktury a obcházení googlovského detektoru podezřelých aplikací, který scanuje nové aplikace před publikováním na Google Play Store. To vše za pouhých 300 dolarů!“. (Čmelík 2014)
53
Z grafického znázornění útoku je na první pohled patrné, že na něj nelze aplikovat cyklus SI, který se využívá při realizaci SI útoků. Útok je velice sofistikovaný a obrana proti němu není vůbec snadná. Jedná se především o zabezpečení IT infrastruktury jako takové. „Bezpečné musí být také všechny webové brány. Takto se zajišťuje další vrstva obrany, která chrání před spustitelnými soubory v příchozím webovém provozu“. (Merritt 2013) Útok typu watering hole nemůžeme zařadit k mechanismům SI. Oběť není žádným způsobem ovlivněna. Útočník v tomto případě nemusí získávat důvěru své oběti, stačí mu trpělivě vyčkat, až navštíví infikované stránky a škodlivý software se nainstaluje sám. Nejde identifikovat jakoukoli interakci mezi obětí a útočníkem. Pouze v některých případech se útočníci snaží svou oběť přimět k navštívení dané stránky prostřednictvím emailu. Emailovou výzvou se však snaží zkrátit jen své čekaní. Email nemusí obsahovat odkaz typický pro phishingové emaily, ale emailová zpráva není nutnou součástí útoku. Pokud je útočník trpělivý, stačí vyčkávat a oběť infikovanou stránku navštíví sama. Útok nese znaky sofistikovaného útoku, ale nepatří do kategorie mechanismů SI. Watering hole bývá spojován především se špionážní činností. Porovnají-li se náklady na takto sofistikovaný útok, s ohledem na případný zisk informací a časový rámec celého útoku, bylo by pro běžné útočníky jednodušší využít jiný způsob útoku.
Jedná se o mechanismus, využívaný především ve státem sponzorované
kybernetické špionáži, nebo k náročným kriminálním aktivitám, které vyžadují specifický okruh informací (Paganini 2013a). Příkladem takové skupiny hackerů je Comment Crew, která bývá označována za Čínou financované kybernetické bojovníky. Ta útoky prostřednictvím watering holo pravděpodobně provádí. Tato Skupina se zaměřuje převážně na anglicky hovořící země, především pak na USA. Jejím cílem je získat veškeré informace o nových technologiích, výzkumech a dalších strategicky důležitých oblastech, které by Čína mohla využít ve svůj prospěch. Snaží se také získat strategické informace o kritické infrastruktuře USA (Mimoso 2013). Útoky mohou být vysoce sofistikované, protože státem sponzorovaný aktér má možnost vynaložit vyšší náklady na útok než jednotlivec nebo skupina. Cílem útočníků jsou především informace strategického charakteru. V uvedeném případě se jednalo ze strany Commet Crew především o průmyslovou špionáž. Zájem o prvky kritické infrastruktury jsou alarmující a nesou prvky špionáže vojenské. Na rozdíl od ostatních útoků, které jsme dosud zkoumali, bývá watering hole výrazně odlišný z hlediska svého cíle. Předchozí útoky měly za 54
cíl především finanční zisk. Mechanismy jednotlivých útoků se lišily, ale získaná informace byla využita převážně k finančnímu zisku útočníka. U tohoto útoku ale můžeme pozorovat opravdu primární zaměření na informace. Informace, které nemusí generovat finanční zisk. Zpravodajské informace můžou posloužit k naplnění vojenských, politických či jiných cílů konkrétního zadavatele.
3.9.
Phishing
Slovo phishing vzniklo spojením anglických výrazů fishing (rybaření) a phreaking. V českém jazyce se také občas využívá pro phishing výraz rhybaření (Root.CZ Slovníček pojmů 2014). První zmínky o phishingu můžeme zaznamenat kolem roku 1995 v souvislosti s napadáním klientů společnosti American Online. American Online patřil v té době mezi největší internetové poskytovatele v USA. V té době se ještě phishing nešířil pomocí emailových zpráv, ale využíval se systém upozorňování na nové zprávy od American Online nebo IRC.20 Od 90. let prošel phishing značnou vývojovou genezí. Dnešní metody útoku jsou mnohem sofistikovanější a propracovanější. Pro současné útoky se využívají pokročilé, vylepšené strategie útoků. Množství variací phishingového útoku znesnadňuje stanovení a přesné definování tohoto fenoménu. James Lance navrhuje ve své knize Phishing bez záhad (Lance 2007) jednoduché řešení tohoto problému. Lance nejprve stanoví definici nejprimitivnějšího phishingového útoku, ze které následně vychází a navazuje na ni v dalším zkoumání.
Lance tedy chápe phishing „ jakožto způsob odeslání falšovaného e-mailu
příjemci, který klamavým způsobem napodobuje legální instituci s úmyslem vyzvědět od příjemce důvěrné informace jako číslo platební karty nebo heslo k bankovnímu účtu. Takový e-mail většinou navádí uživatele, aby navštívil webové stránky a zadal zde tyto důvěrné informace. Tyto stránky mají design podobný jako instituce, za kterou se scammer vydává, aby získal vaši důvěru. Stránky této instituci samozřejmě nepatří a výsledkem je ukradení vašich důvěrných údajů za účelem finančního zisku. Proto je slovo phishing evidentně variací na slovo fishing (rybaření), kde scammer nahazuje „háčky“ v naději, že se do nich pár jeho obětí „zakousne“ “. (Lance 2007: 28)
20
IRC „Internet Relay Chat“ způsob internetové komunikace v reálném čase. Jedná se o předchůdce dnešního chatování (IRC.org 2014).
55
Anti-phishingová pracovní skupina uvádí, v souvislosti s phishingem, analogii s internetovými podvodníky nahazujícími emailové návnady s cílem nachytat v moři internetových uživatelů jejich důvěrné údaje a hesla (The Anti-Phishing Working Group. 2004). Pro phishing se také často využívá označení „brand spoofing“ nebo „carding“. Tyto pojmy jsou však pouze jiným označením pro stejnou kriminální aktivitu (Elledge 2007). Respektive, phishing je označení pro odeslání falešného emailu, spoofing je falšování skutečných webových stránek. Většinou se oba typy vzájemně prolínají v jeden podvod souhrnně nazývaný phishing (Yar 2006: 87). Základem phishingových útoků je právě emailová komunikace. Phishing je součástí tvz. spamu. Spam je: „Nevyžádané, v prostředí elektronické pošty masově šířené sdělení. V nejčastějším případě se jedná o reklamu nejrůznějšího charakteru, včetně nabídek afrodisiak, léčiv nebo pornografie. Není-li systém dostatečně zabezpečen, může nevyžádaná pošta tvořit značnou část elektronické korespondence (odhaduje se, že spam tvoří polovinu komunikace v rámci elektronické pošty v dnešním světě). Spam nejenom obtěžuje, ale může představovat výraznou hrozbu pro konkrétního příjemce. Představuje nemalou zátěž pro server elektronické pošty (čímž může zapříčinit jeho zahlcení nebo alespoň omezení jeho výkonnosti). Dalším faktorem, který s existencí spamu souvisí, je ztráta času uživatele a často i ztráta jeho financí. Jen v zemích EU se odhadují ztráty, způsobené ztrátou produktivity práce v souvislosti s existencí spamu, na 2.5 miliard eur ročně. Jako každá elektronická zpráva, i spam v sobě může nést, a často také nese, další hrozby (crimeware, spyware atd.). Častým jevem je například nevyžádaná instalace poštovního klienta, který spam (a mnohdy nejenom jej) rozešle na všechny adresy elektronické pošty, které nalezne v počítači nebo i v celém konkrétním informačním systému. Konkrétní uživatel či organizace se tak stávají nedobrovolnými rozesílateli spamu, který, vzhledem k tomu, že přichází z pohledu dalších adresátu z důvěryhodných zdrojů, nemusí být odfiltrován jejich antispamovými prostředky“ (Základní definice, vztahující se k tématu kybernetické bezpečnosti. 2009). Mazání spamu se stalo v současné době naprosto běžnou součástí denní rutiny většiny majitelů emailových účtů. Nelze paušálně označit každý spam za nebezpečný. Existují různé druhy spamu. Některé druhy spamu pouze znepříjemňují denní práci s emailovým prostředím. Uživatel musí neustále mazat desítky až stovky naprosto zbytečných sdělení. Mezi zbytečnými a neškodnými emailovými zprávami existují spamy, které jsou přímou hrozbou pro 56
kybernetickou bezpečnost našeho počítače nebo informačního systému. Spam je proto nutné rozdělit do několika skupin. Nevyžádaná obchodní sdělení: Jedná se o reálné firmy, které touto cestou oslovují potencionální nebo stávající zákazníky. Neodpovídající obchodní elektronická pošta: Jedná o skutečné firmy, ale uživatel již odebral těmto firmám souhlas k zasílání této pošty. Prodejci seznamů emailových adres: Jedná se o spamerské skupiny vydělávající na tvoření seznamu emailových adres, se kterými dále obchodují. Obchodování s emailovými adresami využívají ostatní skupiny produkující spam. Jde o ilegální činnost, kterou ovšem nemůžeme chápat jako kybernetickou hrozbu. Na druhou stranu je potřeba si uvědomit, že prodané adresy se mohou stát cílem sofistikovaného kybernetického útoku. Scamy: Asi největší část ztráty finančních prostředků vytváří právě scamy. Scamy mají za cíl vylákat z lidí podvodným způsobem finanční hotovost. Mezi podskupiny scamu patří malware, scam 419 a phishing (Lance 2007: 2-26). Scamy jsou nějvětší hrozbou pro uživatele. Z hlediska rozboru scamu z pohledu SI je relevantní pouze phishing. Scam 419 v českém prostředí známý jako Nigerijské dopisy, není SI už ze samotné podstaty jeho fungování. Jedná se o klasický podvod, kterému emailová komunikace pouze napomohla k masivnějšímu rozšíření. „Nigerijské dopisy mohou být názorným příkladem „starých podvodů v novém komunikačním prostředí“ “. (Kalvoda 2011: 34) Naše pozornost bude v oblasti scamu věnována čistě phishingu. Phishing lze rozdělit na několik podkategorií, přičemž princip útoku zůstává zachován. Změně podléhají pouze určité parametry tohoto mechanismu.
3.9.1.
Tradiční útok
V této části si nejprve představíme základní variantu phishingu. Phishing se stal velice oblíbeným mechanismem SI. Provádíme-li analýzu tohoto útoku, je nutné si uvědomit, že existuje více způsobů, jak tradiční phishingový útok zrealizovat. Tradiční phishingové útoky je možné rozlišit dle kritéria náročnosti provedení.
57
První a zároveň nejjednodušší metodou, je metoda přímá. Útočník zašle email s dotazem na požadované informace. Oběť mu v dobré víře odešle odpověď.
Získané
informace jsou následně zneužity dle uvážení pachatelů. Druhou možností je, že útočník vytvoří phishingovou kampaň a rozešle spam s URL odkazem. Po otevření emailu s URL odkazem a následném kliknutí na tento odkaz, oběť přechází na podvodnou adresu. Na falešné adrese zadává v dobré víře své citlivé informace. Informace jsou automaticky zaznamenány a odeslány útočníkovi. Útočník pak tyto informace může kdykoli zneužít. Poslední variantou, kterou řadíme pod útok prostřednictvím phishingu je, varianta spamu obsahující odkaz. Po kliknutí na odkaz je uživatelův počítač infikován trojským koněm, který odesílá útočníkovi informace. Následně dochází opět ke zneužití informací (Lininger a Vines 2004: 10-14). U většiny těchto klasických phishingových kampaní nedochází ke sběru informací o cíli. Phishingové emaily bývají velice často odesílány masivně. Odesílá se velké množství emailů. Útočníci vycházejí z předpokladu, že alespoň malé procento uživatelů bude oklamáno. Při tomto typu masového útoku je důležité hlavně kvantitativní měřítko. Základním elementem, rozhodujícím o úspěchu či neúspěchu phishingového útoku, je získání důvěry. Emailová zpráva musí působit co nejdůvěryhodněji. V ideálním případě by měla mít stejnou strukturu, pravopis, sémantiku, barvy a další náležitosti, jako email od skutečné entity, za kterou se phishingový útočník vydává (Tipton a Krause 2007: 2857). Dochází k vytvoření kybernetické persony nebádající uživatele, aby pod věrohodnou záminkou otevřel URL adresu. Po otevření URL je uživatel nasměrován na podvržený web. V ideálním případě si napadený uživatel myslí, že webová stránka, na které se nachází, je pravá. Na rozdíl od pharmingu, URL odkaz je na falešnou webovou stránku. Je-li uživatel pozorný a ostražitý, musí si této odlišnosti všimnout. Při tradičním útoku je vytvořena kybernetická persona v obou případech- nejprve při tvorbě emailu a podruhé při tvorbě duplicitních internetových stránek. Velký důraz je přitom kladen na příběh. Metod jak přesvědčit uživatele je opravdu mnoho.21
21
Společnost Mailfronter ve svém dokumnetu Mailfrontier Field Guide to Phishing (Mailfronter 2014) podrobně rozlišuje a popisuje jednotlivé způsoby, jak může vypadat podvodný mail a jaké triky využívá k oklamání oběti.
58
Klasický phishingový útok je typickou ukázkou metody SI. Útočník dokáže pomocí svých hackerských schopností vytvořit kybernetickou personu, která získá od uživatele důvěru. Oběť následně vydává své osobní informace nebo kliknutím na odkaz sama nevědomě instaluje škodlivý software do svého systému. Na rozdíl od pharmingu a watering hole útoku, dochází u phishingu k přímé interakci mezi obětí a útočníkem. Oběť má příležitost se bránit. Za předpokladu dodržování zásad informační bezpečnosti, by oběť měla být schopna podvod rozeznat a citlivé informace nevydat. K interakci dochází plně v kybernetickém prostoru a útok je značně sofistikovanou záležitostí. Iluze je založena na útoku na lidský faktor. Útok není veden přímo proti informačnímu systému, jako tomu je v případě pharmingu nebo watering hole útoku.
3.9.2.
Spear phishing- cílený útok
V současné době sledujeme genezi phishingu. Pozorovat můžeme především jejich personifikaci. Útoky přecházejí od kvantitativního měřítka spíše na měřítko kvalitativní. Účelem již není oslovit co největší množství obětí. Cílem je oslovit uživatele, nebo skupinu uživatelů, kteří zaručeně mají požadovanou informaci (Ciampa 2011: 59). Praxe je obvykle taková, že útočník rozesílá emailové zprávy přímo do organizace, kterou chce napadnout. Princip je podobný jako u klasického phishingového útoku s tím rozdílem, že spear phishing se daleko obtížněji detekuje. Spear phishingový email je cílený na konkrétního uživatele. Většinou obsahuje oslovení konkrétním jménem, nebo jiné osobní informace o oběti (Ciampa 2008: 26). Použití osobních informací má u oběti vyvolat pocit, že se jedná o každodenní rutinní záležitost. Útočník vzbudí u oběti důvěru, protože je email dobře připravený a vypadá velice věrohodně. Na rozdíl od klasického phishingu si útočník zjistí všechny potřebné informace o své oběti. Informace získává plně v kybernetickém prostoru. Obvykle si projde stránky organizace, kde oběť pracuje. Pak následuje průzkum osobních stránek nebo blogů oběti. Významným informačním zdrojem jsou sociální sítě, při jejichž průzkumu se útočník dostává i k velice citlivým a soukromým informacím. Všechny takto získané informace se dají využít při tvorbě emailu (SANS 2013). „Populární technika spear phishingu se skládá ze směsice SI útoku na klienta s pomocí jeho osobních informací získávaných prostřednictvím sociálních sítí“. (Spear Phishing Testing Methodology 2012)
59
Pokud útočník získá důvěru, oběť může nechtěně informaci vydat. V případě výše zmiňované přímé metody- jednoduše na email odpoví stejně, jako v případě klasického podvodu.
Pokud je mechanismus sofistikovanější, nastávají mezi klasickým a cíleným
útokem rozdíly. U spear phishingu se prakticky nevyužívá varianta s odkazem na URL. Podle zprávy společnosti Trend Micro, obsahuje většina emailů přílohu, která má koncovku textových souborů (PDF, DOC, DOCX atd.). Uvádí se, že až v těchto 94% dokumentů je obsažen škodlivý malware, který se nainstaluje do systému a odesílá informace (Trend Micro 2012). Jedná se tedy opět o vysoce sofistikovaný útok. Lze předpokládat, že tyto přílohy se budou postupně obměňovat. V dalším roce můžou být v příloze obrázky nebo videa. Vše závisí na fantazii útočníků. Přestože oběť, ve většině případů nevydává informaci přímo, umožní instalaci škodlivého softwaru, který tyto informace následně systematicky odesílá. Spear phishing můžeme označit za SI, protože dochází k interakci s obětí. Oběť musí být oklamána, aby mohl být nainstalován nástroj získávající požadované informace. Spear phishing bývá využíván pro státem sponzorované útoky, nebo se jedná o útoky proti velkým finančním organizacím (Buecker et al. 2011: 135). Stejně jako u watering hole útoku se jedná o velice komplikovaný útok, který je časově a finančně náročný. Předpokládá se, že spear phishing je využíván ke špionážní činnosti nebo kriminální činností vysoce organizovaných kriminálních syndikátů. Typickým příkladem spear phishingu je útok Red October. „Ruští odborníci z Kasperski Labs odhalili virus, který už od roku 2007 kradl data z různých vládních i komerčních organizací. Program, který experti z antivirové firmy objevili náhodou při jedné rutinní kontrole, měl neobvykle široké pole působnosti: soustředil se na vládní a diplomatické instituce jako jsou ministerstva a ambasády, jaderné elektrárny, nadnárodní koncerny a letecké i těžařské společnosti. Virus dostal jméno Red October (Rudý říjen), podle slavného románu Toma Clancyho. Byl naprogramován tak, aby kradl zašifrovaná data a kromě toho se specializoval na obnovení již smazaných souborů – dokázal je získat i z externích USB flash disků zaměstnanců. Největší výskyt byl odhalen v Rusku a zemích bývalého Sovětského svazu, ale také ve státech střední Asie, Západní Evropy a Severní Ameriky. Podobně jako v případě dříve odhalených virů Stuxnet a Flame byla podle odborníků i příprava a provozování Red Octoberu finančně velmi náročná“. (T3 2013, srovnej Kaspersky 2013)
60
U mechanismu spear phishingového útoku se dostáváme do ještě jiné dimenze kybernetických hrozeb. Dostáváme se do dimenze aktérů a organizací, které mají k dispozici vysoké finanční možnosti. Především z tohoto hlediska představuje spear phishing krajně nebezpečnou hrozbu. Typickým rysem pro spear phishing je nepřímá linie útoku. Útočník si vybere oběť, které se ale ztráta informací přímo nedotýká. Oběť útoku není zároveň obětí zneužití získaných informací. U klasického útoku je zpravidla oběť útoku a oběť zneužití informací totožná. Způsob obrany proti těmto složitým útokům je především v dodržování informační bezpečnosti. U spear phishingu můžeme identifikovat rozsáhlou první fázi SI útoku. Sběr informací o oběti tvoří podstatnou část celého útoku. Pokud tato fáze proběhne úspěšně, získávání důvěry a sběr citlivých dat může být pro útočníka snadnou záležitostí. Fáze zneužití získaných informací je u spear phishingu poněkud problematičtější. Vzhledem k povaze a charakteru specifických informací získávaných touto metodou se můžeme pouze dohadovat, jakým způsobem jsou tyto informace dále zneužívány.
3.9.3.
Whaling
Whaling je metoda podobná spear phishingu. „Whaling je specifická forma spear phishingu nebo phishingu“. (Gil 2014) Hlavní rozdíl mezi spear phishingem a whalingem představuje ještě přímější zacílení na oběť. Whaling cílí na skutečně vysoce postavené jedince v hierarchii dané společnosti. Jedná se tedy zpravidla o vysoké manažery a řiditele napadených firem (Bunker a Fraser-King 2009: 189). K těmto zcela personifikovaným útokům využívají informace získané na sociálních sítích a z nelegálně získaných firemních databází. Využívají i informace z otevřených zdrojů. Postup je stejný jako u spear phishingu. Specifikem whalingu oproti předešlým dvěma metodám je zaměření vždy pouze na jednu osobu, která je umístěna vysoko v hierarchii dané organizace. Zabránit whalingovému útoku je mnohem složitější, než odolat ostatním phishingovým útokům. Wahling je nastaven přesně na míru konkrétnímu vysoce postavenému jednotlivci a proto působí útok velice důvěryhodně (Cook a Khudhur 2008). S výjimkou podrobnější specifikace při zaměření cíle útoku, je wahling po technické stránce stejný jako mechanismus spear phishingu. Tento typ je ale nebezpečnější. Whaling útočí na vysoce postavené osoby, u kterých se předpokládá, že mohou mít přístup k opravdu klíčovým informacím. Útoky se nezaměřují pouze na oblast
61
soukromého sektoru, ale cílem útoku se stávají i vysoce postavení úředníci či politici (Paganini 2013b). Únik takovýchto informací může mít nedozírné následky i v reálném světě. V souvislosti s whalingem se objevuje útok nazývaný minnowing, který je přesným opakem. Rozdíl je, stejně jako u spear phishingu a whalingu, v cíli útoku. V případě minnowingu je útok zaměřen na běžné řadové zaměstnance (Bunker 2008). Zisk informací a motivace útočníků využívajících minnowing je odlišná. U minnowingu se nejedná o rozsáhlé špionáže a získávání strategických informací, ale spíše o kriminální činnost nebo sběr důležitých informačních střípků. Ty může následně útočník využít k útoku na klíčovou osobu organizace. Mechanismus je stejný jako u spear phishingu nebo whalingu. Whaling a minnowing tak lze označit spíše za jakési podkategorie spear phisingových útoků, které však mají ještě o něco specifičtější požadavky na výběr své oběti.
3.10.
Social engineering toolkit (SET)
V současnosti se objevují na softwarovém trhu nástroje, které poskytují všechno potřebné pro provedení útoku prostřednictvím SI. Tyto nástroje umožňují útočníkům získávat informace o oběti v reálném čase. Software funguje tak, že dokáže vytvořit phishingový email s odkazem na podvodnou stránku, kterou předtím sám vytvořil. Sada je konfigurovatelná a obvykle umožňuje provést více útoků za sebou (Lininger a Vines 2005: 28-31). Jedná se převážně o nástroje, jejichž využití je primárně určeno pro penetrační testy daných systémů. Jejich využití je naprosto legální. Na druhou stranu, nikdo nedokáže zajistit, aby se tento software nezneužíval k ilegálním útokům. V podstatě se jedná o program, který obsahuje většinu mechanismů SI, které byly v této práci popisovány. Nemělo by tedy hlubší smysl se opakovaně podrobně zabývat mechanismy těchto útoků. Do textu je tato krátká kapitola zahrnuta především z důvodu, aby demonstrovala, že v současné době člověk nemusí mít hluboké znalosti, aby mohl provést SI útok. Samozřejmě, bez návodu k tomuto programu a bez základních znalostí informačních technologií se naprostý laik neobejde. Má-li člověk alespoň základní znalost o počítačových systémech, pomocí těchto nástrojů je schopen vytvořit kybernetický SI útok.
62
Existence těchto programů dokazuje, jak je poměrně snadné vytvořit kybernetickou personu a prostřednictvím této persony zaútočit na vybraný cíl. Mezi tyto programy patří například program s příhodným názvem Social Engineering Toolkit (SET). SET22 nabízí hned po otevření několik možností, jak zaútočit prostřednictvím vybraného mechanismu SI. Uživatel si může zvolit, zda provede spear phishing útok nebo vytvoří infikované medium (Faircloth 2011: 151). Program po výběru základního mechanismu útoku nabízí opravdu nepřeberné množství variací a specifikací pro vylepšení celého útoku. Útočník je veden krok po kroku, dokud není útok komplexně dokončen. Pozoruhodné je, že program dokáže i tak sofistikované útoky, jako je spear phishing. Nemůžeme, samozřejmě, předpokládat, že takto namodelované útoky budou vykazovat úroveň rozsáhlých sofistikovaných útoků, jakým byl například výše zmiňovaný Red October. Pro provedení základní úrovně útoku jsou tyto programy dostatečně využitelné a existuje jistě řada lidí, která se nechá oklamat i jednoduše vytvořeným mechanismem SI. Na jedné straně sledujeme převratný vývoj kybernetických útoků, jejich narůstající sofistikovanost a s tím klesající možnost jejich kognice. Na druhé straně se objevují programy, které dokážou navést krok po kroku uživatele informačních systémů až k provedení kybernetického útoku. K SET útoku uživatel nepotřebuje žádné rozsáhlé znalosti v oblasti programování ani znalost z oblasti informační architektury. Programy jsou sice primárně určeny pro penetrační testery, ale přesto je musíme vnímat jako možnou hrozbu pro informační a kybernetickou bezpečnost. Tyto nástroje můžeme do kategorie SI zařadit. Dalo by se, samozřejmě, namítat, že se jedná o nástroj, který pouze umožňuje útoky SI a sám o sobě nepatří do SI. Programy ale vytváří vlastní mechanismus útoku, který je předdefinovaný a vůle uživatele nehraje žádnou roli. Uživatel přímo neovládá útok. Na rozdíl od zkušených útočníků, kteří si vytváří vlastní programy a hledají vlastní bezpečnostní mezery v systému. Ti mají celý útok pod svou kontrolou a záleží pouze na jejich znalostech a dovednostech. Tito útočníci jsou schopni pružněji reagovat a přizpůsobovat jednotlivé aplikace podle reakcí 22
Dalším takovýmto programem je kupříkladu Kali, program pracující v Linuxovém rozhraní. Je k němu napsána poměrně podrobná příručka od Rahula Patela (Patel 2013). Existují také programy, které se zaměřují na speciální mechanismus útoku. Například velké množství jich je pro phishing. Jedná se o programy jako je Phisher Creator, Super Phisher, Gmail Phisher a další (Hacking and cracking tools. 2014).
63
obětí. Nástroje umožňující tyto útoky tak tvoří jakousi podkategorii SI. Svoje místo v oblasti problematiky SI ale rozhodně mají.
64
4. Diskuze SI je složitý a komplikovaný jev. V první fázi výzkumu byla zjištěna tendence přiřazovat cokoli, co souvisí s informačními systémy do kategorie SI. Je uváděna celá řada nelogických a nepřesných definic. Mnohé si dokonce protiřečí. Situace v oblasti terminologického vymezení je tak velmi nepřehledná a je naprosto nezbytné, aby probíhal trvalý proces terminologického zdokonalování tohoto pojmu. Zpřesňující proces je základním předpokladem dalších výzkumných prací v oblasti SI. Cílem této práce bylo nahlédnout na SI optikou kybernetické bezpečnosti. V tomto směru lze hodnotit práci za úspěšnou. Podařilo se analyzovat, které mechanismy útoku je možné zařadit do kategorie SI a naopak, eliminovaly se mechanismy, které do této kategorie v žádném případě nepatří. Tato práce vycházela s vymezení obsahující kybernetickou personu a pracovala s předpokladem dostatečných hackerských dovedností. Zkoumána byla také vzájemná interakce mezi útočníkem a obětí, nebo alespoň mezi jejich kybernetickými personami. Toto vymezení, samozřejmě nemusí být v širším kontextu SI akceptováno. I přes toto vědomé riziko, posloužilo tímto způsobem vydefinované vymezení SI svému účelu velmi dobře. Především se podařilo vyselektovat některé mechanismy, které mezi SI rozhodně nepatří. Prací se tak podařilo nastavit odlišnou optiku na problematiku SI, než která panovala v odborných kruzích posledních dvacet let a byla evidentně silně ovlivněna osobou a dílem Kevina Mitnicka. Provedení revize SI bylo nezbytné o to více, že fenomén se vyskytuje v tak dynamickém a rychle se rozvíjejícím prostředí, jakým kybernetický prostor bezesporu je. Během tohoto výzkumu byly identifikovány tři pomyslné kategorie mechanismů označovaných jako SI. První kategorií jsou mechanismy jako je trashing, phreaking, no tech hacking. Tyto mechanismy svou povahou připomínají spíše klasické podvody z reálného prostředí. Můžeme vysledovat určitou souvislost mezi těmito mechanismy a informačním prostředím, ale s SI nemají nic společného. Do této kategorie přiřazujeme i baiting. Tento mechanismus je sofistikovanější než ostatní z této kategorie, ale stále se jedná o násilnou penetraci systému. Nástroj je sofistikovanější, ale princip je stejný jako u ostatních výše jmenovaných. Druhou kategorií je SI v podobě, jak bylo na začátku této práce nadefinováno. Do této skupiny patří phishing se všemi podkategoriemi, vishing, smishing a SET. Tuto skupinu reprezentují mechanismy, které můžeme spolehlivě označit za SI v kontextu 65
kybernetické bezpečnosti. Zajímavá je jistá analogie těchto útoků. Pokud bychom nezacházeli do přílišných podrobností, mohli bychom tvrdit, že vishing a smishing je určitá modifikace phishingových útoků. Rozdíl je především v cíli, na který útočí a ve formě, kterou takový útok má. Principielně jsou si útoky hodně podobné. Nelze je označit jako podkategorie phishingu, ale s určitou nadsázkou je lze považovat za vzdáleně příbuzné. Poslední, třetí kategorií, jsou vysoce sofistikované útoky, které do SI nepatří. Tyto mechanismy jsou svou složitostí a důvěryhodností tak přesvědčivé, že účinná obrana jednotlivce proti nim je obtížná. V těchto případech se nejedná o útok na lidský faktor, ale o útok na samotné počítačové systémy. Řadíme k nim watering hole a všechny druhy pharmingových útoků, jedná se o náročné a propracované útoky. Nedochází k interakci mezi pachatelem a obětí. Oběť sice vydává informace, ale útočníci získávají informace útokem na technickou stránku informačních technologií, nikoliv na lidský faktor. Samotný cyklus útoku SI se ukázal jako velice užitečný nástroj pro tuto práci. Narážel však na určité limity. Pokud se jednalo o mechanismy touto prací označené jako SI, nedal se vždy úplný cyklus aplikovat. Problémy vznikaly především v první fázi, kdy útočník získává informace potřebné k provedení útoku. V některých případech, jako například u klasického phishingového nebo vishingového útoku, může docházet k situaci, že je oběť vybrána zcela náhodnou kvantitativní/ masovou metodou. Jedná se o masivní útoky založené na kvantitě odeslaných návnad. Útočník musel ale někde získat alespoň základní kontaktní údaje. Výjimku tvoří pouze funkce náhodného vytáčení u vishingu. Zkoumání první fáze útoku mělo v této práci nastavené omezení. Je tomu tak i v případě, sofistikovanějších mechanismů. Například u spear phihingu a whalingu lze tuto fázi prokazatelně identifikovat. Lze identifikovat i přibližnou podobu sběru informací. Víme, že se hojně využívá otevřených internetových zdrojů a sociálních sítí. Vzhledem k rozsahu této práce, ale nebylo možné se technikami sběru dat o obětech zabývat dopodrobna. To je výzva a příležitost pro další zkoumání v této oblasti. Ze stejného důvodu byla limitována i podrobná analýza poslední fáze SI cyklu, která řeší zneužití informací. Výzkum měl své limity a nemohl si dovolit řešit odpovědi na otázky, jakým způsobem se informace zneužívají a za jakým účelem se informace získávají.
66
Zajímavé výsledky by mohl generovat výzkum objasňující motivaci útočníků. Během výzkumu se lze setkat ještě s mnoha dalšími jevy a fenomény, které by stály za podrobné, samostatné zkoumání. Zajímavé by bylo pozorovat určitou genezi jednotlivých mechanismů. Pokrokový trend se dá vysledovat například u smishingu. Ten ragoval na příchod chytrých telefonů a modifikoval útok pro nové prostředí smartphonů. Místo telefonního čísla začal v podvodných zprávách odkazovat na URL. Jiným příkladem geneze těchto mechanismů je využití technologie QR čteček při baitingu. Bylo by určitě zajímavé pokusit se prozkoumat modifikaci „staré hrozby“ na novou technologii. SI je velice populární a poutavý termín, ale jeho ustálení bude, stejně jako u ostatních termínů souvisejících s kybernetickou bezpečností, otázkou dlouhé trpělivé práce a permanentní diskuze. Nezbývá než doufat, že tato práce bude považována za smělý příspěvek do této debaty. Témat k diskuzím a debatám nabízí SI velké množství, proto je důležité neustrnout v minulosti a neustále debatu o SI adaptovat na nové skutečnosti.
67
5. Závěr Cílem této diplomové práce bylo představit SI v kontextu kybernetického prostředí. Nejprve bylo nutné provést vymezení základních pojmů. Kybernetické prostředí bylo vymezeno jako prostředí skládající se ze tří vrstev. Tyto vrstvy jsou popsané jako fyzická, logická a sociální. Pro sociální inženýrství má nejvyšší význam právě vrstva sociální. V ní vytváří lidé kybernetické persony. Persony se pohybují v kyberprostoru a jsou ovládány skutečnými lidmi. Důležité bylo také vymezení samotného SI. Nadefinování SI se ukázalo jako nejproblematičtější část této práce. SI bylo nakonec vymezeno jako ovlivnění osoby, aby vydala důležité informace. Při tomto ovlivňování musí být využity metody tzv. „hacknutí“. Dále byly vymezeny oblasti bezpečnosti organizace nebo entity, které s SI mohou souviset. Jednalo se převážně o komunikační, informační a síťovou bezpečnost.
Následně byl
identifikován cyklus útoku sociálního inženýrství, který má čtyři fáze. Fáze útoku jsou: 1)Shromáždění informací 2)Utvoření vztahu s obětí 3)Využití navázaného vztahu 4)Zneužití získané informace. Tento model posloužil jako analytický nástroj pro další část výzkumu, ve kterém byly testovány jednotlivé mechanismy SI. V další fázi výzkumu byl vytvořen seznam jednotlivých mechanizmů SI. Na základě relevantní literatury byly určeny tyto mechanismy: phreaking, vishing, smishing, pharming, trashing, baiting, phishing, no-tech hacking, watering hole a social engineering toolkit. Tyto mechanismy byly následně prozkoumány z hlediska jejich závislosti na kybernetickém prostředí. Bylo zkoumáno, zda bylo k útoku využito kybernetické persony. Při tomto testování bylo zjištěno, že phreaking nelze v žádném případě zařadit mezi SI. Bylo také zjištěno, že phreaking bývá mylně zaměňován s metodou sociotechniky, během které útočník ovlivňuje svou oběť prostřednictvím psychologické manipulace po telefonu. Vishing a smishing jsou metody, které útočí také na telefonní přistroje, ale v tomto případě se již jedná o metodu SI. Tyto útoky probíhají z kybernetického světa a sbírají data, která se ukládají a využívají v kybernetickém prostředí. Jsou označovány za vzdálené příbuzné mechanismu SI označovaného jako phishing. Phishing je svou povahou a mechanismem SI v pravém smyslu slova. Práce také identifikovala tři formy phishingového útoku. Klasický útok probíhá prostřednictvím masového oslovování obětí s využitím emailové adresy. V případě spear phishingu a whahlingu je odlišnost v cíli útoků. Spear phishing je phishingový útok cílen 68
přímo na konkrétně danou oběť či organizaci. U whalingu je cíleno na vysoce postavené osoby státní správy, soukromých nebo polostátních organizací. Další kategorií spadající pod SI jsou programy SET. Programy umožňují namodelovat vybraný útok i technicky méně zdatným útočníkům. Velmi často se tyto programy využívají pro modeling phishingového útoku. Programů existuje celá řada a jsou legálně k zakoupení. Oficiálně se jedná o programy určené pro penetrační testery, ale jejich nelegální zneužití nelze vyloučit. Trashing a další metody tvz. low tech nebo no tech hackingu nemůžeme považovat za SI. Jedná se o metody připomínající spíše klasické podvody a krádeže. Získané informace jsou často využívány v kybernetickém světě, ale přesto nelze hovořit o SI. Stejně je tomu i u mechanismu, který je označován jako baiting. Útočník nastraží přenosné médium do cílové organizace. Po otevření tohoto média se instaluje malware. V tomto případě se jedná o násilnou penetraci systému a k prolomení ochrany dochází díky nevědomému insiderovi. Mechanismy watering hole a pharmingu jsou vysoce sofistikované útoky, které nelze označit za SI. K oklamání oběti dochází velice složitou penetrací kybernetického prostředí, respektive webových stránek. V případě watering hole útoku DNS serverů a počítačů. V případě pharmingu jsou napadeny směrovače. Jedná se o násilné ovládnutí informačních systémů nebo jejich komponent. Uživatel pak zadává příkazy v domnění, že provádí každodenní úkony, ale informační systém ignoruje jeho příkazy a monitoruje jeho činnost. Proti těmto útokům se těžko brání. Uživatelské prostředí se tváří naprosto standardně, přestože je napadeno. Práci se podařilo naplnit její ambice. Byly prozkoumány všechny mechanismy označované literaturou za SI. Bylo provedeno rozlišení, které mechanismy jsou SI v kontextu kybernetického prostředí a které metody se týkají spíše jiných fenoménů spjatých s informačními technologiemi a systémy.
69
Použitá literatura: Knižní zdroje: 1. Alcorn,W. Frichot,CH.
, M. 2014. The browser hacker's handbook. Indianapolis:
Wiley. 2. Andress,J. a Winterfeld, S. 2011. Cyber warfare : techniques, tactics and tools for security practitioners. Waltham: Elsevier. 3. Andress, J. 2011. The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice. Waltham: Syngress. 4. Biegelman, T. M. Identity Theft Handbook: Detection, Prevention, and Security. New Jersey: John Wiley & Sons, Inc. 5. Bosworth, S. Kabay, M. E. Whyne, E. 2009. Computer security handbook. New York: John Wiley & Sons. 6. Brancik, C. K. 2008. Insider Computer Fraud: An In-depth Framework for Detecting and Defending against Insider IT Attacks. New York: Auerbach Publication. 7. Brown, B. C. 2010. How to Stop E-mail Spam, Spyware, Malware, Computer Viruses, and Hackers from Ruining Your Computer Or Network: The Complete Guide for Your Home and Work. Ocala: Atlantic Publishing Company. 8. Bryan, D. M. 2013. Smartphone Safety and Privacy. New York: The Rosen Publishing Group. 9. Buecker, A. Browne, K. Foss, L. Jacobs, J. Jeremic, V. Lorenz, C. Stabler, C. Herzele, J. V. 2011. IBM Security Solutions Architecture for Network, Server and Endpoint. IBM Redbooks.
70
10. Buchbender, O. Bühl, H. Kujat, H. 1992. Wörterbuch zur Sicherheitspolitik. 3. vollständig überarbeitete Auflage. Berlin.Bonn.Hamburg: Verlag E. S. Mittler & Sohn. 11. Bunker,G. a Fraser-King, G. 2009. Data Leaks for Dummies. Indianapolis: Wiley Publishing Inc. 12. Buzan, B. Weaver, O. Wilde, J. 2005. Bezpečnost: nový rámec pro analýzu. Brno: Centrum strategických studií. 13. Ciampa, M. D. 2008. The Impact of Computer Security Policy Content Elements on Mitigating Phishing Attacks. Ann Arbor: ProQuest. 14. Claypoole, T. a Payton, T. 2012. Protecting Your Internet Identity: Are You Naked Online?. Lanham: Rowman & Littlefield. 15. Cole, E. 2002. Hackers beware. Indianapolis : New Riders. 16. Cole, E. 2013. Network security bible. New York: Wiley. 17. Cross, M. 2014. Social Media Security: Leveraging Social Networking While Mitigating Risk.Waltham: Syngress. 18. Dr. K. 2000. The Complete Hacker's Handbook: Everything You Need to Know About Hacking in the Age of the Web. London: 20 Mortimer Street. 19. Dubrawsky, I. a Faircloth, J. 2007. Security+ Study Guide. Burlington: Syngress. 20. Dubrawsky, I. 2011. How to Cheat at Securing Your Network. Burlington: Syngress. 21. Dunham, K. 2008. Mobile Malware Attacks and Defense. Burlington: Syngress. 22. Engebretson, P. 2011. The Basic of Hacking and Penetration Testing. Ethical Hacking and Penetration Testing Made Easy. Waltham: Elsevier. 23. Faircloth, J. 2011. Penetration Tester's Open Source Toolkit. Waltham: Elsevier. 71
24. Gogolin, G. 2013. Digital Forensics Explained. New York: Taylor & Francis. 25. Gragido, W. a Pirc, J. 2011. Cybercrime and Espionage: An Analysis of Subversive Multi-Vector Threats. Burlington: Elsevier. 26. Graham, J. Olson, R. Howard, R. 2011. Cyber Security Essentials. New York: CRC Press. 27. Griffith, T. 2008. The ID Theft Guru Presents; The Identity Theft Recovery Handbook. USA: Break-Through Press. 28. Hendl.J. 2005. Kvalitativní výzkum:základní metody a aplikace. Praha: Portál. 29. Holt, T.J. a Schell, B.H. Hackers and Hacking: A Reference Handbook. Santa Barbara: ABC-CLIO. 30. Hunter, N. 2012. Internet Safety. London: Raintree. 31. Chappell, R. P. 2012. Child Identity Theft: What Every Parent Needs to Know. Lanham: Rowman & Littlefield. 32. Jírovský, V. 2007. Kybernetická kriminalita nejen o hackingu, crackingu, virech a trojských koních bez tajemství. Praha: Grada Publishing. 33. Kim, D. a Solomon, M. G. 2012. Fundamentals of Information Systems Security.Sudbury: Jones & Bartlett Publishers. 34. Kizza, J. M. 2009. A guide to computer network security. London : Springer. 35. Lance, J. 2007. Phishing bez záhad. Praha: Grada Publishing. 36. Lapsley, D. P. 2006. Exploding The Phone.The Untold Story of the Teenagers and Outlaws Who Hacked Ma Bell. New York: Grove Press. 37. Lininger, R. a Vines, R. D. 2004. Phishing : Cutting the Identity Theft Line. Hoboken: John Wiley & Sons. 72
38. Lininger, R. a Vines, D. R. 2005. Phishing: Cutting the Identity Theft Line. Indianapolis: Wiley Publishing Inc. 39. Long, J. 2008. No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing. Burlington: Syngress. 40. Mareš, M. 2002. Bezpečnost. In: Česká bezpečnostní terminologie. Výklad základních pojmů. Ed. Zeman, P. a kol. 2002. Brno: Ústav strategických studií Vojenské akademie v Brně, 11-13. 41. Milhorn, H. T. 2007. Cybercrime: How to Avoid Becoming a Victim. Florida: Universal Publishers. 42. Miller, R. L. 2011. Cengage Advantage Books: Modern Principles of Business Law. Mason: Cengage Learning. 43. Mitic, S. 2009. Stopping Identity Theft: 10 Easy Steps to Security. Berkeley:Nolo. 44. Mitnick, K. a Simon, W. L. 2003. Umění klamu. Helion. 45. Newman, R. C. 2010. Computer security : protecting digital resources. Sudbury: Jones and Bartlett Publishers. 46. O'Harrow, R. 2013. Zero day : the threat in cyberspace. New York : Diversion Books. 47. Parsons, J. J. a Oja, D. 2009. Computer concepts. Boston: Course Technology Cengage Learning. 48. Parsons, J. J. a Oja, D. 2014. New perspectives, computer concepts. Boston, MA: Course Technology. 49. Patel, R. S. 2013. Kali Linux Social Engineering. Birmingham: Packt Publishing. 50. Porada, V. a Konrád, Z. 1998. Metodika vyšetřování počítačové kriminality. Praha: Policejní akademie ČR. 73
51. Quigley, M. 2008. Encyclopedia of information ethics and security. Hershey: Information Science Reference. 52. Reveron, D. S. 2012. Cyberspace and national security : threats, opportunities, and power in a virtual world Washington, DC: Georgetown University Press. 53. Reynolds, G. 2014. Ethics in Information Technology. Cengage Learning. 54. Rittinghouse, J. a Ransome, F. J. 2004. Wireless Operational Security. Burlington: Elsevier Digital Press. 55. Ross, J. I. 2010. Cybercrime. New York: Chelsea House. 56. Sims, R. R. a Spencer, M.P. 1995. Corporate Misconduct: The Legal, Societal, and Management Issues. Greenwood Publishing Group. 57. Sood, A. a Enbody, R. 2014. Targeted Cyber Attacks: Multi-staged Attacks Driven by Exploits and Malware. Waltham: Syngress. 58. Tipton, H. F. A Krause, M. 2004. Information Security Management Handbook. Fifth Edition. New York: Auerbach Publications. 59. Tipton, H.F. a Krause, M. 2007. Information Security Management Handbook. Sixt Edition. New York: Auerbach Publications. 60. Toffler, A. a Toffler, H. 2002. Válka a antiválka.Praha: Dokořán. 61. Tvrdíková, M. 2008. Aplikace moderních informačních technologií v řízení firmy. Praha: Grada Publishing. 62. Wall, S. D. 2007. Cybercrime: The Transformation of Crime in the Information Age. Cambridge:Polity Press. 63. Wang, W. 2006. Steal this Computer Book 4.0: What They Won't Tell You about the Internet. No Starch Press. 74
64. Whitman, M. a Mattord, H. 2012. Principles of Information Security. Boston: Course Technology. 65. Willes, J. Gudaitis, T. Jabbush, J. Rogers, R. 2012. Low Tech Hacking: Street Smarts for Security Professionals. Waltham: Elsevier. 66. Yar, M. 2006.Cybercrime and society. London: Sage Publications. Časopisy: 67. Bastl, M. a Gruberová, Z. 2013. Kyberprostor jako „pátá doména“? Vojenské rozhledy. roč. 22 (54) č. 4. s. 10–21. 68. Gold, S. 2011. The rebirth of phreaking. Network security. Vol. 2011. Is. 6. P. 15-17. 69. Hadnagy, Ch. 2011. Take Your Pretexting To The Next Level. S-E. Newsletter. Vol. 02 Is. 16. (5.4 2014). (http://www.socialengineer.org/newsletter/SocialEngineerNewsletterVol02Is16.htm). 70. Kraemer-Mbula, E. Tang, P. Rush, H. 2013. The cybercrime ecosystem: Online innovation in the shadows? Technological Forecasting & Social Change.Vol. 80 Is.3. P. 541-555. 71. Okenyi, P. O. a Owens, T. J. 2007. On the anatomy of human hacking. Information Systems Security, Vol. 16 Is. 6. P. 302-314. 72. Patel, J. a Panchal, S. D. 2013. A survey on Pharming attack Detection and preventiv metodology. IOSR Journal of Computer Engineering. Vol. 9. Is. 1. P. 66-72.
75
Internetové dokumenty: 73. Čandík, Informační bezpečnost. Katedra managementu a informatiky. Fakulta bezpečnostního managementu. Policejní akademie ČR v Praze (21. 4. 2014).(http://www.cybersecurity.cz/data/Candik2.pdf). 74. Department of Defense USA. The Vice Chairman.Joint Chiefs of Staff. Joint Terminology for Cyberspace Operations. (23. 4. 2014). (http://www.nsciva.org/CyberReferenceLib/2010-11joint%20Terminology%20for%20Cyberspace%20Operations.pdf). 75. Elledge, A. 2007. Phishing: An Analysis of a Growing Threat. SANS Institute. (28. 1. 2014).(http://www.sans.org/reading-room/whitepapers/threats/phishing-analysisgrowing-problem-1417). 76. Fincher, M. a Hadnagy,CH. 2013. The DEF CON 21 Social Engineer Capture The Flag Report. (4. 4. 2012). (http://www.socialengineer.org/defcon21/DC21_SECTF_Final.pdf). 77. Hoszowski, R. Bezpečnost, ochrana dat a autorských práv. (10. 4. 2014). (http://www.sslch.cz/files/163/7-bezpecny-pocitac--ochrana-dat-a-autorskych-pravu.pdf). 78. Chantler, A. a Broadhurst, R. 2006. Social Engineering and Crime Prevention in Cyberspace . Technical Report. Justice. Queensland University of Technology. (22. 2. 2014). (http://eprints.qut.edu.au/7526/1/7526.pdf). 79. Mailfronter. 2014. Mailfrontier Field Guide to Phishing. (24. 4. 2014). (http://www.mailfrontier.com/docs/field_guide.pdf). 80. Olman, G. 2007. The vishing guide. IBM Global Technology Services. (5. 4. 2014). (http://www.infosecwriters.com/text_resources/pdf/IBM_ISS_vishing_guide_GOllma nn.pdf).
76
81. Phishing - stále aktuální hrozba 2013. NCKB. (28. 2. 2014). (http://www.govcert.cz/cs/informacni-servis/zranitelnosti/phishing---stale-aktualnihrozba/). 82. Požár, J. Vybrané hrozby informační bezpečnosti organizace. Katedra managementu a informatiky. Fakulta bezpečnostního managementu. Policejní akademie ČR v Praze. (28. 2. 2014). (http://www.cybersecurity.cz/data/Pozar2.pdf). 83. Rajagopalan, S. A Study of the Security Problems Associated with the Telephone Network. Department of Electrical and Computer Engineering. (4. 4. 2014). (http://tucops.com/tucops3/phreak/general/r2.pdf). 84. SANS. 2013. Spear Phishing. (25. 4. 2014). (http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201307_en.pdf). 85. Spear Phishing Testing Methodology. 2012. Network Intelligence India. (28. 2. 2014).(http://www.niiconsulting.com/innovation/Spear%20Phishing%20Methodolog y.pdf). 86. The Anti-Phishing Working Group. 2004. “Origins of the Word Phishing.”(22. 3. 2004).(http://www.antiphishing.org/word_phish.htm). 87. The UK Cyber Security Strategy. 2011. Protecting and promoting the UK in a digital world. London: Cabinet office- 22 Whitehall. (1. 4. 2014). (https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/60961 /uk-cyber-security-strategy-final.pdf). 88. TRADOC. 2010. Cyberspace Operations Concept Capability Plan 2016-2028. Department of the Army. Department of Defense. (1. 4. 2014). (http://www.fas.org/irp/doddir/army/pam525-7-8.pdf). 89. Trend Micro. 2012. Spear-Phishing Email: Most Favored APT Attack Bait. (24. 4. 2014). (http://www.trendmicro.com/cloud-content/us/pdfs/securityintelligence/white-papers/wp-spear-phishing-email-most-favored-apt-attack-bait.pdf). 77
90. Worsham, L. J. 2010. From Phone Phreaking to Cyber War: Cyber Crime‟s Impact on Business.(23. 2. 2014).(http://itprofessional.vpweb.com/upload/From%20Phone%20Phreaking%20to %20Cyber%20War%20Cyber%20Crime%E2%80%99s%20Impact%20on%20Busine ss.pdf). 91. Základní definice, vztahující se k tématu kybernetické bezpečnosti. 2009. (12. 1. 2014).
-
-
-
-
).
Internetové zdroje: 92. Androidmarket. 2014. Co je to ROOT a jak jej získat? (7. 4. 2014). (http://www.androidmarket.cz/android/co-je-to-root-a-jak-jej-ziskat/). 93. Bednář, V. 2007. Pharming je zpět a silnější. (10. 4. 2014). (http://www.lupa.cz/clanky/pharming-je-zpet-a-silnejsi/). 94. Bezpečný internet.cz. 2014. Phishing a pharming.(10. 4. 2014). (http://www.bezpecnyinternet.cz/pokrocily/internetove-bankovnictvi/phishing-apharming.aspx). 95. Brzobohatý, M. 2008. Galerie nejlepších hackerů historie - 1. Díl. (4. 4. 2014). (http://pcworld.cz/ostatni/galerie-nejlepsich-hackeru-historie-1-dil-4549). 96. Bunker, G. 2008. Minnowing… The Opposite Of Whaling. (24. 4. 2014). (http://viewfromthebunker.com/2008/04/29/minnowing-the-opposite-of-whaling/). 97. Club Symantec. 2014. “Pharming”: když se phisheři vyvíjejí a usilují o nezjistitelnost. (10. 4. 2014). (http://www.symantec.com/region/cz/clubsymantec/2006_1_8.html). 98. Co je VoIP?. 2014. (23. 2. 2014). (http://www.viphone.cz/voip.htm). 99. Comparison of VoIP. 2014. Comparison of VoIP software. Wikipedia. (5. 5. 2014). (http://en.wikipedia.org/wiki/Comparison_of_VoIP_software).
78
100. Cook, R. a Khudhur, P. 2008. Whaling: Nahradí „velrybářství“ klasický phishing?. Security World. (28. 2. 2014)). (http://computerworld.cz/securityworld/whalingnahradi-velrybarstvi-klasicky-phishing-45377). 101. CZ. NIC Labs 2014. Televizní spoty podpoří znalosti o internetu. (3. 3. 2014). (https://labs.nic.cz/page/1177/televizni-spoty-podpori-znalosti-o-internetu/). 102. CZ. Nic. O doménách a DNS. 2014. O DOMÉNÁCH A DNS. (23. 2. 2014). (https://www.nic.cz/page/312/o-domenach-a-dns/). 103. Čmelík, M. 2014. Postřehy z bezpečnosti: kyberšpionážní malware a chyba v GnuTLS. (24. 4. 2014). (http://www.root.cz/clanky/postrehy-z-bezpecnostikyberspionazni-malware-a-chyba-v-gnutls/). 104. Dunn, J. E. a Kreuziger, P. 2013. Pirátský software je zkratkou k malwaru i horším věcem. Business World. (10. 4. 2014). (http://businessworld.cz/analyzy/piratskysoftware-je-zkratkou-k-malwaru-i-horsim-vecem-10612). 105. FBI Intelligence Collection Disciplines.2014. (1. 2. 2014). (http://www.fbi.gov/aboutus/intelligence/disciplines). 106. FBI. 2010. Smishing and Vishing And Other Cyber Scams to Watch Out for This Holiday. (6. 4. 2014). (http://www.fbi.gov/news/stories/2010/november/cyber_112410). 107. Gajdůšková, K. 2007. ČS odvrací napadení svého internetbankingu phishingem a pharmingem. (10. 4. 2014). (http://www.mesec.cz/tiskove-zpravy/cs-odvracinapadeni-sveho-internetbankingu-phishingem-a-pharmingem/). 108. Gross, G. 2006. First Phishing,Now Vishing. CIO. Business Technology Leadership. (5. 4. 2014). (http://books.google.cz/books?id=EgoAAAAAMBAJ&pg=PA16&dq=vishing&hl=cs &sa=X&ei=aMxDU4npIojRsgbu64D4CQ&redir_esc=y#v=onepage&q=vishing&f=f alse). 79
109. Hacking and cracking tools. 2014. (24. 4. 2014). (http://hackingncrackingtools.blogspot.cz/search/label/Phishing%20Tools). 110. Huntington. 2014. Phishing and SMishing. (6. 4. 2014). (https://www.huntington.com/security/phishing.htm). 111. IRC. org. 2014.(26. 2. 2014). (http://www.irc.org/). 112. Kaspersky. 2013. Kaspersky Lab Identifies Operation “Red October,” an Advanced Cyber-Espionage Campaign Targeting Diplomatic and Government Institutions Worldwide. (24. 4. 2014). (http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_Identifies_Opera tion_Red_October_an_Advanced_Cyber_Espionage_Campaign_Targeting_Diplomat ic_and_Government_Institutions_Worldwide). 113. Kuneš, J. 2012. Co je sociální inženýrství? - 2. díl. PC World. (23. 2. 2014). (http://pcworld.cz/internet/co-je-socialni-inzenyrstvi-2-dil-44372). 114. les.net. 2014. Get more with les.net. (5. 5. 2014). ( https://les.net/products.php). 115. Lupa. 2014. IP telefonie jako levnější varianta. (5. 4. 2014). (http://www.lupa.cz/specialy/jak-nejlevneji-telefonovat/ip-telefonie-jako-levnejsivarianta/). 116. Merritt, M. 2013. Cyber Security Term: “Watering Hole Attack”. (24.4 2014).( https://community.norton.com/t5/Ask-Marian/Cyber-Security-Term-Watering-HoleAttack/ba-p/1004915). 117. Mimoso, M. 2013. Comment Crew Exposé a New Level of China Attack Attribution. (24. 4. 2014). (https://threatpost.com/comment-crew-expos-new-level-china-attackattribution-021913/77538). 118. Mr. Sysel. 2006. Jak jsem volal zdarma. Security- Portal.cz. (4. 4. 2014). (http://www.security-portal.cz/clanky/jak-jsem-volal-zdarma).
80
119. Musthaler, L. 2007. How to avoid becoming a victim of SMiShing (SMS phishing). Network World. (8. 4. 2014). (http://www.networkworld.com/newsletters/techexec/2013/030813bestpractices.html ?page=1). 120. Novinky.cz. 2014. Nebezpečný virus vysává lidem peníze z účtů, umí obejít i SMS ověření. (8. 4. 2014). (http://www.novinky.cz/internet-a-pc/333011-nebezpecnyvirus-vysava-lidem-penize-z-uctu-umi-obejit-i-sms-overeni.html). 121. Olman, G. 2004. The Pharming Guide.(10. 4. 2014). (http://www.technicalinfo.net/papers/Pharming2.html). 122. Online security center. 2014. Phishing, pharming, vishing and smishing. (22. 2. 2014). (https://security.intuit.com/phishing.html). 123. Paganini, P. 2013b. Phishing: A Very Dangerous Cyber Threat. Infosec Institute. (2. 4. 2014). (http://resources.infosecinstitute.com/phishing-dangerous-cyber-threat/). 124. Paganini, P. 2013a. Watering Hole Attacks. (24. 4. 2014). (http://www.chmag.in/article/may2013/watering-hole-attacks). 125. Psychologické operace informační války. 2014. (26. 1. 2014).(http://www.army.cz/scripts/detail.php?id=770) 126. Root. CZ. Slovníček pojmů. 2014. Phishing. (23. 2. 2014). (http://www.root.cz/slovnicek/phishing/). 127. SCAM watch. 2014.„Pharming‟ scams. Australian Competition and Consumer Commission. (10. 4. 2014). (http://www.scamwatch.gov.au/content/index.phtml/itemId/829456). 128. Selvan, S. 2013. Android Banking malware spreads via Smishing (SMS phishing). E Hacking News. (6. 4. 2014). (http://www.ehackingnews.com/2013/06/androidbanking-trojan-via-smishing.html).
81
129. SOOM. 2005. Phreaking.HackForum. (3. 4. 2014). (http://www.soom.cz/hackforum/1702--Phreaking) 130. Spector, L. a Kreuziger, P. 2013. Jaký je rozdíl mezi malwarem a virem. Pc World. (23. 2. 2014). (http://pcworld.cz/software/jaky-je-rozdil-mezi-malwarem-a-virem46659). 131. Standridge, K. Dumpster Diving. (16. 4. 2014). (http://all.net/CID/Attack/papers/DumpsterDiving2.html). 132. Symantec. 2007. Symantec varuje před pharmingem. (10. 4. 2014). (http://www.systemonline.cz/it-security/symantec-varuje-pred-pharmingem-z.htm). 133. T3. 2013. Kybernetický útok Rudý říjen. (25. 4. 2014). (http://www.t3mag.cz/kyberneticky-utok-rudy-rijen). 134. Warnet.cz. 2014. VoIP Easy. (6. 4. 2014). (http://www.warnet.cz/hlas/voip-easy/). 135. Who is Kevin Mitnick? 2014. (25. 1. 2014). (http://www.knowbe4.com/products/who-is-kevin-mitnick/). 136. Williams, P. 2013. Kybernetické ochrana musí počítat s útoky typu watering hole. (24. 4. 2014). (http://www.zalohovani.net/kyberneticke-ochrana-musi-pocitat-sutoky-typu-watering-hole/) Audiovizuální zdroje: 137. Dymáková, S. 2013. Šmejdi. Dokument ČR. Závěrečné práce: 138. Horníček, J. 2009. Sociální inženýrství. Bakalářská práce. Zlín: Fakulta aplikované informatiky. Univerzita Tomáše Bati. 139. Kalvoda, O. 2011. Kyberkriminalita. Bakalářská práce. Brno: FSS MUNI. 82
140. Smysitelová, L. 1999. Historie rozlehlých počítačových sítí. FI. MUNI. (3. 4. 2014). (http://www.fi.muni.cz/usr/jkucera/pv109/xsmysit.html). Ostatní zdroje: 141. Gao, W. a Kim, J. 2007. Robbing the cradle is like taking candy from a baby. Proceedings of the Annual Conference of the Security Policy Institute (GCSPI). October 4. Amsterdam, The Netherlands. 1.23-37.
83
