Ako imate email, držite žrtvu u šaci

Tekstovi o zaštiti, 24.08.2012, 11:53 AM

Za onog koji želi da kontroliše nekog na internetu, osvajanje kontrole treba da počne emailom žrtve. Ako imate email, imate i žrtvu.

Ovakva strategija nikada nije bila delotvornija nego danas kada ima toliko mnogo društvenih mreža, servisa i sajtova za kupovinu preko interneta koji su povezani sa email adresama korisnika.

Istraživanje koje je sproveo Lukas Lungren iz IOActive pokazalo je kako može biti jednostavno sticanje kontrole nad nečijim email nalogom, a od tog trenutka, i nad ostatkom žrtvinog digitalnog života.

Za mnoge od nas, privatni email nalozi su sefovi koja čuvaju naše živote ili bar značajne pojedinosti iz njih. Izvodi iz banaka, računi, privatna prepiska, poslovna dokumentacija, i sve ostalo što možete dobiti u elektronskom obliku nalazi se u našem email inboksu. Veliki broj email sistema čuvaju korisničke inboksove samo običnim lozinkama. Gmail je izuzetak, sa svojom dvostepenom autorizacijom koja omogućava korisnicima da obezbede svoje naloge mobilnom aplikacijom koja generiše kodove za jednokratnu upotrebu koji se koriste kao dodatak već postojećim lozinkama. Ali i u slučaju Gmail-a to je samo opcija koja nije obavezna, pa je mnogi ne koriste jer, kao i inače u životu, radije biramo nesigurne prečice nego bezbednije ali duže puteve.

Imajući sve ovo u vidu, Lundgren je sproveo malo istraživanje da bi ustanovio koliko je lako upasti u email naloge dobrovoljaca. On je dobio pristanak svojih prijatelja i članova porodice koji su se saglasili da učestvuju u eksperimentu. Lundgren je otkrio da su samo podaci koje je prikupio sa Facebook-a i drugih sajtova dovoljni za upad u inboksove učesnika u eksperimentu. Ispostavilo se da je mehanizam koji mu je najviše bio od pomoći, u većini slučajeva, funkcija poništenja lozinke na mnogim sajtovima i email servisima.

Prva meta koju je odabrao Lundgren bio je njegov prijatelj koji koristi Gmail. Dok je pokušavao da resetuje lozinku Gmail naloga, Lungren je otkrio da on ima i Hotmail nalog ali nije znao tačnu email adresu. Potražio je na Facebook-u ali bez uspeha. Onda je pregledao listu prijatelja na stranici Facebook profila i pronašao jednu osobu koja je objavila zajedničku fotografiju iz srednje škole sa žrtvom. Koristeći fotografiju te osobe, Lundgren je registrovao lažni Facebook profil i poslao zahtev za prijateljstvo svojoj žrtvi. Zahtev je prihvaćen brzo, a on je tada mogao da vidi email adresu koju je tražio i koja je bila zaštićena pdešavanjima privtnosti i dostupna samo prijateljima.

Tada je pokušao da poništi lozinku za pristup Hotmail nalogu ali mu je zatražen odgovor na sigurnosno pitanje - koje je devojčako prezime majke njegove žrtve. Potrebnu informciju našao je pregledom Facebook profila žrtve i tako uspeo da resetuje lozinku Hotmail naloga. Sada je na red došao njegov primarni cilj - Gmail nalog. Zahtev za resetovanje lozinke za Gmail nalog poslat je automatski na kompromitovani Hotmail nalog, posle čega je napadač promenio lozinku za Gmail i preuzeo nalog.

Sledeći cilj je bio Facebook nalog. Koristeći isti metod, Lundgren je pristupio Facebook nalogu, zatim Flickr nalogu prijavljujući se preko Facebook naloga. A zatim i nalogu za jednu online prodavnicu elektronike u kojoj mogao da kupuje na račun žrtve.

Lundgren je tako imao ceo žrtvin online život u šaci.

A mogućnosti su se tek otvarale. Stvarni napadač mogao je da promeni adresu za isporuke i da kupuje na račun žrtve. Pored toga, žrtva je imala i iTunes nalog povezan sa emailom, što bi potencijalnom napadaču omogućilo da sa daljine obriše sve podatke iz žrtvinog telefona i iPad-a.

Na sreću, ovo je bio samo eksperiment bez loših namera koje stvarni napadači imaju.

Da to nije teorija govori i nedavni slučaj Meta Honana.

Ovakvi napadi ne zahtevaju neko posebno tehničko predznanje, već je dovoljno poznavati način na koji veb sajtovi obrađuju zahteve za resetovanjem lozinke. Pored toga, potrebno je imati i strpljenje da prečešljate žrtvin online život kako biste pronašli neophodne podatke. Mnogo je onih koji računaju da će ih sajtovi koje posećuju zaštiti, što je velika greška, kaže Lundgren.

Većina velikih sajtova zaista je zaštićena veoma dobro i prolazi kroz nekoliko revizija pre nego što se odobri impementacija, tako da napadačima nije lako da otkriju ranjivosti sajtova direktnnim napadom na njih. Ali istovremeno, mnoge kompanije zaboravljaju važnost obuke zaposlenih i to može biti problem za bezbednost.

Ne možete se uzdati u to da će vas neko drugi zaštititi, mere predostrožnosti morate sami preduzeti. Jedna od njih da svedete podatke o sebi koji su dostupni na internetu na najmanju moguću meru. Ako neko drugi napravi grešku, pa provajder usluge koju koristite bude ugrožen bar ćete znati da ste vi uradili sve što ste mogli. I da nema mnogo podataka o vama do kojih bi napadači mogli doći.