|
V tomto článku si ukážeme jak můžete přijít o své bezpečné heslo, ať už je to heslo k internetbankingu, emailu a nebo se jedná o PIN ke kreditní kartě.
1) Fyzický kontakt – Najdeme někoho, kdo heslo zná a donutíme ho heslo prozradit. Ať už je to fyzickým násilím, opitím, uplácením, vydíráním, léčkou, sociálním inženýrstvím....
2) Léčka – Celosvětově označováno jako Phishing, někdy převáděno do češtiny jako rhybaření, je podvodná technika používaná na Internetu k získávání citlivých údajů od obětí útoku. Principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky, firmy či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může například napodobovat přihlašovací okno internetového bankovnictví, rozhraní webmailu nebo administrátorského přístupu a uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu ukrást peníze, informrace, nebo znepřístupnit službu. Naštěstí dnešní internetové prohlížeče většinou obsahují anti-Phishing štít, takže jste upozorněni pokud na takovou stránku vstupujete. Phishing je záležitost především zahraničních skupin a proto podvodné emaily obsahují gramatické chyby. Možná si pamatujete na zábavné phishingové emaily zasílané od roku 2006, ke sdělení Vašich přihlašovacích údajů do rozhraní internetového bankovnictví České spořitelny. Poslední email co se mi dostal do rukou směroval na server v Hongkongu. V dnešní době naštěstí mnoho lidí už na takovéto emaily vůbec nereaguje.
Metodou phishingu je mnohem jednoduší získat heslo k něčemu méně důležitému. Např.: emailu- dotyčnému je na email zaslána zpráva, že několik měsíců používal placenou službu a že níže nalezne výzvu k platbě. Pod emailem bude také uvedeno, že službu možná užívala neoprávněná osoba a z důvodu šetření je dotyčný vlastník emailu požádán o zaslaní přístupových údajů na uvedený email, nebo o přihlášení do podvrženého webmailu.
3) Útok na validaci vstupu – Tento způsob získání hesla se dá rozdělit na dvě metody:
1) Slovníkový útok – k určenému přihlašovacímu jménu jsou zkoušeny předem připravená slova ze slovníku, takovéto wordlisty si mužete stáhnout třeba na passwordy.net.
2) Útok hrubou silou - k určenému přihlašovacímu jménu jsou zkoušeny všechny kombinace z určeného rozsahu znaků. Slouží k tomu programy Brutus, wwwhack a další. Útok hrubou silou je použitelný max. do hesla o delce 6-8 znaků.
Metoda je však velmi náročná na čas a úspěšnost získaní přístupu je účiny na 1-5%.
Např. u emailu webhosteři a poskytovatelé free-emailu útoky na validaci vstupu hlídají a po určitém počtu přístupu rychlost zkoušení hesel sníží, nebo zablokují na čas přístup do schránky. V internetovém bankovnictví máte navíc jen 3-5 pokusů a po jejich vyčerpání je účet zablokován a vy musíte účet aktivovat s tel. operátorem banky, nebo zadáním speciálních údajů ze smlouvy o účtu.
4) Odposlechnutí hesla(Sniffing) - Sniffing je technika, při které dochází k ukládání a následnému čtení TCP paketů. Používá se zejména při diagnostice systému, sítě a odposlechu datové komunikace. Pokud se tedy připojujete nešifrovaným spojením může byt obsah nebo přihlašovací údaje k emailu, ICQ, nebo odeslané informace z webového formuláře, přečtené třetí stranou. Takovýto způsob odposlechnutí je spojen s infiltraci trojského koně do Vašeho počítače nebo umístěním sniffer programu např. před router Vašeho domovního připojení k internetu. Sniffer programy jsou např.: tcpdump, IP Sniffer, EffeTech HTTP Sniffer, EtherDetect - Packet Sniffer a další...
5) Keylogger - je software, který snímá stisky jednotlivých kláves, bývá však někdy antivirem považován za virus. V počítači může být nainstalován takovým způsobem, že ho neuvidíte ani v seznamu procesů a nelze běžným způsobem odinstalovat, např. program Elite keylogger, ale existují i hardwarové keyloggery. Výsledky z keyloggeru jsou v určitý čas zasílany útočníkovy na email, nebo jsou skladovány na počítači, kde si je útočník, vyzvedne nějakým remote administratorem.
7) Plná emailová schránka – Určitě Vás nepřekvapí, že mnoho lidí zprávy ze svých email schránek nikdy nepromazávají a tak utočník muže ve Vaší schránce najít udaje o zřízení Vašeho emailu, či přístupové údaje do Vaší sítě v práci.
8) Stejná hesla - Proč by si měl útočník dávat práci s prolomeníim hesla do zabezpečené interní sítě, když ví, nebo odhaduje, že stejné heslo by mohlo být i u Vaší emailové schránky, nebo do diskuzního fóra..
Nakonec se s Vámi podělím o pár kuriozit, jak lze také získat heslo do systému.
V USA byla jedna nejmenovaná firma, co na internetu dávala k dispozici pohled na pracovníky firmy z webových kamer. Kdokoliv si tak mohl přímo na stránkách firmy prohlídnout jak to v takové firmě šlape a kdokoliv si také mohl přečíst přihlašovací údaje do systému, co měl jeden pracovník přilepené na monitoru.
Zajímavou metodou odposlechnutí hesel a veškeré komunikace je metoda magnetické rezonance CRT a dokonce i LCD monitorů. Více na:
http://www.newscientist.com/
V Praze znám dokonce jednu firmu, která má upravenou strukturu budovy, proti tomuto odposlechu.
Takže jak vidíte internetový svět je plný možností.
|
