10:19
20/10/2015

Kilka dni temu NY Post opublikował artykuł opisujący niewiarygodne włamanie na prywatną skrzynkę e-mail dyrektora CIA, Johna Brennana. Okazało się, że dyrektor przechowywał w niej m.in. swoją aplikację o dostęp do informacji ściśle tajnych, zawierającą olbrzymią liczbę szczegółów z jego życia. Jakby tego było mało, do skrzynki dostęp uzyskał nastolatek, który przy pomocy socjotechniki wykiwał obsługę klienta portalu AOL.

Co na skrzynce ma dyrektor CIA?

Kto na prywatnej skrzynce e-mail nigdy nie posiadał wiadomości związanych z firmowymi sprawami, niech pierwszy rzuci kamieniem. Ciężko jednak uwierzyć w to, że tak podstawowy błąd popełnia szef jednej z najlepszych agencji wywiadowczych na świecie. Zwłaszcza, że ostatnio przy okazji włamania do OPM przez media przetoczyła się burza dotycząca tego ile ważnych, pod kątem wywiadowczym, danych znajduje się w aplikacjach o poświadczenia bezpieczeństwa (por. wykradziono dane 4 milionów urzędników i osób mających dostęp do ściśle tajnych informacji w USA) a całe USA od kilku miesięcy żyje aferą związaną z prywatno-oficjalnym serwerem pocztowym Hillary Clinton (por. Hillary Clinton używała prywatnego maila do rządowych spraw).

CRsfe7BWEAAnWlG

O ile można przypuszczać, że zawartość prywatnej skrzynki zawierać będzie informacje na temat jej właściciela, to okazuje się, że Brennan poza dokumentami dotyczącymi swojej osoby przechowywał także arkusze z danymi osobowymi innych topowych funkcjonariuszy CIA i kontrowersyjne raporty dotyczące “ostrych technik przesłuchań” osób podejrzanych o terroryzm. Włamywacz ujawnił część z plików na Twitterze (obecnie jego konto jest zawieszone). Sprawą już zajmuje się FBI.

Kto stoi za włamaniem?

Czy to robota wrogich służb? Raczej nie — one działają po cichu. Kto zatem i dlaczego chce skompromitować szefa najpotężniejszej agencji wywiadowczej świata? Włamywacz w wywiadach z mediami opisuje siebie jako ucznia szkoły średniej. Na pytanie dlaczego włamał się na skrzynkę dyrektora CIA odpowiada:

“FreeGaza FreePalestine. Fuckin government funding terrorism.””

Ale jednocześnie twierdzi, że nie jest muzułmaninem, ani Palestyńczykiem. Ma mieszkać w Nowym Yorku i być włoskiego pochodzenia. To zapewne tłumaczy błędy, jakie popełnia pisząc po angielsku:

Rozmowa z włamywaczem, fot. Ars

Rozmowa z włamywaczem, fot. Ars

Włamywaczowi wróżymy szybkie pojmanie — z redaktorami jednej z gazet rozmawiał przez telefon… Ponoć dzwonił też do samego szefa CIA i recytował mu jego Social Security Number.

Socjotechnika lepsza niż łamanie haseł

Najciekawsze, choć nie zaskakujące, w całej sprawie jest to jak włamywaczowi udało się przejąć kontrolę nad skrzynką dyrektora CIA. Twierdzi, że najpierw przekonał pracowników operatora GSM (Verizon) do ujawnienia informacji na temat Brennona, a następnie pozyskane w ten sposób dane wykorzystał do wykiwania obsługi klienta w AOL — uwierzytelnił się nimi i przejął kontrolę nad skrzynką e-mail. Ot, socjotechnika.

Taka ścieżka przejmowania dostępu do kont to nic nowego. Jej ofiarą padł 2 lata temu jeden z dziennikarzy, Mat Honan. Jego, bardzo pouczający przypadek w szczegółach opisywaliśmy na łamach Niebezpiecznika w artykułach Jak Amazon pomógł zhackować Apple oraz To mogło spotkać każdego z nas — wszystkie dane skasowane, wszystkie e-maile zhackowane.

W przypadku Mata, atakujący (także nastolatek) najpierw z konta Twitterowego dziennikarza odczytał jego prywatną domenę i z jej wpisu we WHOIS poznał adres zamieszkania dziennikarza. Potem zadzwonił do Amazonu i poprosił o dodanie kolejnej karty kredytowej do konta dziennikarza (to wymagało podania adresu zamieszkania, który już znał). Mając dodany numer karty, zadzwonił do Amazonu po raz drugi i poprosił o reset hasła (to wymagało podania numeru karty podpiętej do konta). Mając dostęp do konta, odczytał dane oryginalnej karty i rozpoczął procedurę resetu hasła do konta Apple (to wymagało podania ostatnich cyfr numeru karty dziennikarza).

…but why?

Dlaczego wśród pracowników służb wywiadowczych, które przecież zdają sobie sprawę z tego jak ważne w dzisiejszym świecie są informacje dochodzi do tak spektakularnych wpadek i naruszeń procedur? Jak komentuje osoba ze środowiska służb w USA:

Problem ze starszymi funkcjonariuszami jest taki, że oni totalnie nie mają pojęcia o cyberbezpieczeństwie i to może być dla nas groźne.

Nasi polscy informatorzy ze służb są bardziej precyzyjni w komentowaniu takich sytuacji i osoby pokroju Brennona nazywają jednym słowem:

“Beton”.

Na koniec przypomnijmy nie tak spektakularną wpadkę z naszego podwórka, czyli dokumenty kapitana ABW, które pojawiły się w internecie po ataku na jego domowy serwer plików wystawiony do internetu. Włamywaczem był Pocket, który po zamieszaniu we włamanie do Plusbanku ostatnio ucichł…

Przeczytaj także:

35 komentarzy

Dodaj komentarz
  1. Nie mogę uwierzyć, że gdziekolwiek na świecie jako dane uwierzytelniające użytkownika wykorzystuje się numer karty kredytowej. Przecież te dane są łatwo dostepne i każdy kto ma styczność z taką kartą (przykładowo w sklepie) i wie kim jest dana osoba może stanowić zagrożenie.

    • No popatrz, a mówią żeby nie wierzyć stereotypom. Po raz kolejny okazuje się że Ameryka to kraj idiotów rządzonych przez jeszcze większych idiotów. Żeby nie było że jestem jakiś uprzedzony czy coś: jak inaczej nazwać sytuację, w której z czystego lenistwa bądź niedołężności umysłowej do autoryzacji używa się danych (kartę kredytową z reguły masz zawsze przy sobie, w portfelu) które codziennie (np płacąc w sklepie) wystawia się na widok publiczny? Idiotyzm. Czysty idiotyzm.

    • Ameryka to nie kraj.

      A u nas myślisz co? Hasła typu data urodzenia, numer rejestracji auta, 12345, itd. Brak świadomości nie zależy od tego w jakim kraju żyjesz.

    • @kot: przeciez tu problem jest inny – co Ci po hasle spelniajacym wszystkie mozliwe standardy bezpieczenstwa, skoro byle gowniarz zadzwoni do supportu, powie Twoje imie, nazwisko i kod pocztowy, po czym dostanie dostep?

    • @kot
      Bo ma być prosto i wygodnie dla klienta, żeby się nie musiał umysłowo przemęczać ani on ani obsługujący go sprzedawca. I potem wychodzą takie kwiatki.

      Kilka lat temu, aby założyć komuś w USA polecenie zapłaty (direct debit) wystarczyło znać numer jego konta i identyfikator banku. Bank po prostu wierzył, że jeśli ktoś zna numer konta to na pewno klient mu podał…

  2. Rzucam kamieniem! Prywatny mail to prywatny mail, własnie przeszukałem skrzynkę pod katem ‘pracy’ i znalazłem … firmowe foto (z imprezy integracyjnej ;) )

    • Ja również rzucam :) Ani jednego służbowego maila na prywatnej poczcie.

      Dodatkowo jako administrator m.in. firmowego MTA staram się tępić przesyłanie sobie rzeczy z firmy na prywatnego maila (ogólnie rzecz biorąc, zgodnie z regulaminem sieci, można za to wylecieć dyscyplinarnie, ale nikogo aż tak mocno nie trzeba było na szczęście dyscyplinować).

    • U mnie tez czysto. Chociaz bardziej ze wzgledow praktycznych. Firmowa korespondencja zawsze na firmowe maile zeby byla tam gdzie byc powinna w razie W.

    • to ja też dorzucam swój kamyczek. owszem, czasem coś przeleci przez skrzynkę, ale to sytuacje wysoce wyjątkowe a mail krótko tam siedzi. bardzo krótko.

  3. “Ponoć dzwonił też do samego szefa CIA i recytował mu jego Social Security Number. ” – kozak

  4. Też dołoże kamyczek do ogródka – zero, wręcz /dev/null

    • ja również rzucam kamieniem …

  5. Wiadomo, że to nie robota służb, bo oni mają dzięki microsoftowi i ostatnim aktualizacjom pełen dostęp do wszystkiego co jest na windows 7,8,8.1,10, wystarczy że amerykańskie służby się prawem zasłonią a pozostałe odpowiednio zapłacą …

    • Daj spokój,
      admin/cmd i wykonaj:
      wusa /uninstall /kb:3065988 /quiet /norestart
      wusa /uninstall /kb:2976978 /quiet /norestart
      wusa /uninstall /kb:3075853 /quiet /norestart
      wusa /uninstall /kb:3065987 /quiet /norestart
      wusa /uninstall /kb:3050265 /quiet /norestart
      wusa /uninstall /kb:3050267 /quiet /norestart
      wusa /uninstall /kb:3075851 /quiet /norestart
      wusa /uninstall /kb:2902907 /quiet /norestart
      wusa /uninstall /kb:3068708 /quiet /norestart
      wusa /uninstall /kb:3022345 /quiet /norestart
      wusa /uninstall /kb:2952664 /quiet /norestart
      wusa /uninstall /kb:2990214 /quiet /norestart
      wusa /uninstall /kb:3035583 /quiet /norestart
      wusa /uninstall /kb:971033 /quiet /norestart
      wusa /uninstall /kb:3021917 /quiet /norestart
      wusa /uninstall /kb:3044374 /quiet /norestart
      wusa /uninstall /kb:3046480 /quiet /norestart
      wusa /uninstall /kb:3075249 /quiet /norestart
      wusa /uninstall /kb:3080149 /quiet /norestart
      wusa /uninstall /kb:3083325 /quiet /norestart
      wusa /uninstall /kb:3083324 /quiet /norestart

      Potem reboot, sprawdzenie aktualizacji i ukrycie/hide tych wszystkich numerów update’ów.

    • and…
      “Community funded software specialist site gHacks claims Windows 10
      “slurps data like there is no tomorrow, especially when systems are
      set up using the express settings.”
      The site now claims Microsoft has introduced a number of these features
      to its previous two operating systems, Windows 7 and Windows 8.
      Windows 7 and Windows 8 users should keep an eye out
      for updates KB3068708, KB3022345, KB3075249, KB3080149.”

    • po wykonaniu i re boocie system cały czas sypie pakietami kiedy jest jakaś aktywność … nawet po blokadzie serwerów telemetrycznych ms na routerze

  6. Ja też się dorzucę. Ja to w ogóle nie mam maila. Z internetu też nie korzystam.

    • pewnie z komputera też nie korzystasz tylko twoja ręka;)

    • +1
      ja też nie :)

  7. Heh, kolejny raz kwestia socjotechniki. Mitnick miał rację w książce, czynnik ludzki bywa decydujący. Zwłaszcza przy “betonie”.

  8. Beton + brak wiedzy + “Takie rzeczy zdarzaja się tylko frajerom a ja jestem taki cool & intelliget” + “A kto się odważy?” … niestety znane przypadłości ogółu ludzkości a w szczególności managementu.

  9. Dziwne ze nikt nie bierze pod uwage celowej mistyfikacji,konia trojanskiego czy scenariusza innego typu.Skad wiadomo czy wszelkie takie wpadki nie maja na celu sterowanej kontroli.Taka ewentualnosc rowniez nalezy brac pod uwage.

  10. Beton betonem, ale w zakresie przejęcia skrzynki to tutaj konkretniej zawinili: Verizon i AOL.

  11. Two by four ;)

  12. Problem ze starszymi funkcjonariuszami jest taki, że oni totalnie nie mają pojęcia o cyberbezpieczeństwie i to może być dla nas groźne.

    To niech sie kurwa nauczą?
    Chłopakowi powinni zapłacić za dobrą robotę, pana szefa powinni wypierdolić z roboty za przchowywanie tajnych danych na prywatnej skrzynce. proste.

    • Widzę, że masz generalnie doskonałe IMHO pojęcie o służbach et cetera. Mleko pod wąsem.

    • @Tadzik
      powinni go wywalić — “naraził na niebezpieczeństwo interes narodowy. Stwarzał zagrożenie… nie wiadomo, czy przypadkiem nie robił tego z zamysłem… terrorysta!”

      nie?
      :)

  13. Apropos: “… szef jednej z najlepszych agencji wywiadowczych na świecie”. CIA nie jest najlepszą agencją wywiadowczą, nigdy nie była i pewnie długo nie będzie. Co najwyżej może być najbogatszą.
    Polecam dokumentalną książkę “Dziedzictwo popiołów. Historia CIA”, to na prawdę daje do myślenia, że CIA naprawdę dobra jest tylko w PRze.

    • Czytanie ze zrozumieniem się kłania… ‘Jedna z najlepszych’ != ‘najlepsza’

    • @polak Przeczytaj tą książkę to podyskutujemy. Pisząc, że nie jest najlepszą, miałem na myśli że nie jest “jedną z najlepszych” i to chyba było jasne. Potoczny język to nie kod maszynowy.

  14. Biura obsługi klienta dają czadu: Kiedyś chciałem zmienić adres zamieszkania u operatora telef. i zadzwoniłem na infolinię PlusGSM, bo od dawna już nieaktualny, a panienka w telefonie mówi: Tak to jest możliwe, tylko niech Pan mi wyśle skan obu stron dowodu osobistego [szczęka rąbnęła o podłogę]. Albo trzeba iść do biura obsługi klienta. W sumie maja rację – istotnych danych nie powinno się dać zmienić “bo tak mówi pan z telefonu”. Z drugiej strony nie powinno się wysyłać skanu dowodu “pani z telefonu”.

  15. Panowie i panie. Hasła, zabezpieczenia? Nasz narodowy bank nbp po wdrożeniu nowego systemu użytkownikom przyznal hasła na zasadzie !(dwielitery nazwiska)12345. Jak myślicie ile osób zmienilo to haslo na cos trudniejszego? Betony z instytucji w której pracuje dpdali sobie na końcu kolejna cyfrę a co najlepsze co miesiac przy zmianie hasła można sie cofać do poprzedniego. Hej na nic godziny tłumaczeń ze to niebezpieczne bo uwaga przeciez bank pozwala wiec jest bezpiecznie :) kurw…wa inna sprawa ze dostęp do systemu jest po skonfiguroqaniu przeglądarki ibdodaniu odpowiedniego certyfikatu super sobie mysle walić hasła jest cert. I ku mojemu zdziwieniu instrukcja jak to zrobic oraz ów cert jest ba stronie nbp. Wiec o czym tu mowa jakie bezpieczeństwo. Poprostu beton

  16. @ Mrk @ ktokolwiek
    mozesz rozwinac skrot MTA

  17. @Problem ze starszymi funkcjonariuszami jest taki, że oni totalnie nie mają pojęcia o cyberbezpieczeństwie i to może być dla nas groźne.

    > nooooo, żenujące. Mój skromny intelekt czuję się urażony taką argumentacją.
    Najwyraźniej osrał szkolenia mr dyrektór. taka nonszalancja jest groźna!

  18. “arkusze z danymi osobowymi innych topowych funkcjonariuszy CIA i kontrowersyjne raporty dotyczące “ostrych technik przesłuchań” osób podejrzanych o terroryzm. Włamywacz ujawnił część z plików na Twitterze” — ktoś coś ma z tego?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.