Kako so Anonymous vdrli družbo, ki med drugim sodeluje tudi z NSA


O nekaterih posledicah in vzrokih najbolj odmevnega računalniškega vdora v zadnjih letih, sem že razmišljal v prejšnjem članku, AnonLeaks. Glavna posledica vdora je bil vpogled v kriminalne navade, ki si jih lahko privoščijo nekateri v korporativnem svetu, dokler niso javno razkrite. Aaron Barr, CEO HBGary Federal, zvezda vseh ‘balkanskih‘ kiber prijemov, je januarja iz obupa – ‘edino korporativno pokvarjeno jabolko‘, kot ga skušajo predstaviti v tem članku – v času, ko je njegovo podjetje bilo že čisto brez denarnih tokov, skušal identificirati ljudi, ki so zdaj v središču pozornosti svetovne javnosti in raznih varnostnih agencij – Anonymousa ter te podatke prodati naprej.

HBGary je poleg NSA sodelovala tudi z Interpolom, McAfeejem ter drugimi vladnimi agencijami z tričrkovnimi akronimi (pravzaprav sta to dve družbi, HBGary in HBGary Federal). Prodajali so se kot strokovnjaki v računalniški varnosti in zaenkrat še ponujajo vse od računalniške forenzike, analize in zaznave črvov, virusov in trojancev; pa do analiz ranljivosti, skupaj z testiranjem vdorov v sisteme in programsko opremo. Poleg tega pa so tudi ustanovitelji in lastniki strani rootkit.com, kjer strokovnjaki razpravljajo in analizirajo ‘rootkite‘ – programsko opremo, ki vpliva na delovanje operacijskega sistema na najnižjih ravneh, da se izogne detekciji.

Kdo bi si mislil, da bo takšno spoštljivo družbo, ki ji to priznavajo tudi javne službe, pohekali nekakšni mulci iz vrst Anonymousa? In da bo zaradi nezakonitih načinov dela Aarona Barra večino tega tudi očitno propadlo? V prejšnjem članku sem za zabavo na koncu dodal tudi posodobitev – intervju s prav takšno najstniško članico Anonymousa, ki je pravzaprav tehnično zelo nespretna. A zdaj je na Ars technici Peter Bright objavil še ozadje tega vdora, ki pojasnjuje nekaj vrzeli o razumevanju raznolikosti članov Anonymousa.

Spletno stran HBGary Federal je gnal CMS (Sistem za upravljanje vsebin), ki pa ni bil eden izmed mnogih sistemov za spletno urejanje na voljo, ampak je bil posebej napisan s strani tretjega ponudnika. CMS se pogovarja z bazo podatkov in ker so vsebine teh spletnih strani dinamične, vsi klici v bazo ne morejo biti statični, ampak vsebujejo tudi spremenljivke. Če so v sistemu napake ali je slabo napisan, postane mogoč napad imenovan SQL Injection. Člani Anonymusa, s katerimi je govoril Bright, so to tudi potrdili.

Napadalec lahko s tem napadom iz baze podatkov dobi poljuben podatek. Seveda so najprej dobili podatke o uporabnikih strani. Razen gesel, so ti podatki shranjeni nešifrirani, geslo pa je kodirano s posebno hash funkcijo, ki proizvede neko število, iz katerega ni več mogoče nazaj izračunati originalne vrednosti gesla. Ti algoritmi so namreč zelo počasni in tradicionalno bi lahko dobili vrednost gesla zgolj, če bi poskušali izračunati iz vse možne kombinacije gesel in njihovo hash funkcijo, takšno, da bi ustrezala tistemu številu, ki ga je napadalec dobil iz baze.

Mavrične tabele

Že dolgo je znan teoretični napad na hash funkcije in zadnja leta je v razvoju tudi v praksi. Imenuje se Mavrične tabele. To se v naprej izračunani ogromni kupi podatkov, ki vsebujejo hash števila in njihove prevode. Če vsebujejo geslo, ki ustreza ukradenemu hash številu, ga bo napadelec lahko dobil. Tudi proti tej tehniki obstaja zaščita, npr. večkratno hashanje, ali naključno avtomatsko dodajanje znakov pri izračunu funkcije. Tudi dolga gesla, nad 14 znakov, so zaščita proti tej vrsti napada. Zaenkrat mavrične tabele obstajajo samo do 12 znakov, vse kar je daljše bi namreč porabilo preveč prostora in časa za končni izračun tabel.

Na žalost razvijalec CMS sistema ni upošteval ničesar o šifriranju gesel, niti ni HBGary Federal očitno naredil varnostne ocene ali pa poizkusa vdora na lastno stran in še huje – tudi uporabljena gesla za administracijo strani Aarona Barra in njegovega namestnika Teda Vera, so bila katastrofalno kratka – obe po štiri črke in dve številki.

Seveda sam dostop do spletne strani ne razloži, kako so prišli naprej do email strežnika. Največ kar bi lahko z dvema računoma za administracijo spletne strani je, da bi pač po njej pisali svoja običajna roganja ter lastništvo aka ‘pwnd‘. Ampak ne, niti Aaron, ne Ted, nista sledila zapovedim lastne profesije in sta uporabljala enako uporabniško ime in geslo za celo vrsto storitev, od e-maila, Twitterja in LinkedIna. Najprej so uporabili Tedov račun za dostop Linux strežnika za podporo, kjer so namesto javnih kriptirnih ključev za SSH dostop uporabljali kar geska. Ker pa je bil Ted zgolj navaden uporabnik, so izkoristili napako, ki je bila objavljena oktobra lansko leto, a je družba za varnost do februarja ni popravila. Tako so vzdignili njegov račun v administratorskega, ki jim je dalo dostop do raziskovalnih podatkov družbe.

Še več pa je prineslo geslo Aarona, ki je bil administrator za Google Apps, katere so uporabljali tudi za poštne storitve obeh družb. Zato so lahko resetirali geslo kateregakoli uporabnika in to so uporabili za email račun Grega Hoglunda, CEO HBGary. Potrebovali so ga namreč za socialni inženiring, tehniko manipuliranja pridobitve neavtoriziranega dostopa preko ljudi, ki podatke izročijo prostovoljno, a napačnim ljudem. Z njegovim mail računom so namreč prepričali skrbnika strani rootkit.com, Jussija Jaakonaho, da je resetiral ‘pozabljeno‘ geslo za dostop in jim dal tudi uporabniško ime. Tudi tu niso uporabljali javnih kriptirnih ključev za dostop, kar bi preprečilo napad. Posledično so napadalci objavili uporabniške podatke strani skupaj z njihovimi nešifriranimi gesli. Tudi tu so bila gesla namreč pod najbolj osnovno hash funkcijo, zato so preko mavričnih tabel razšifrirali večino gesel.

Zaključek

Kaj vse je bilo potrebno za ta vdor? Spletna aplikacija ranljiva za SQL injection in slabo šifriranje gesel v bazi. Slabo izbrana gesla. Gesla, ki so jih uporabljali ponovno. Strežniki, ki so dopuščali avtentikacijo preko gesel. Sistemi, ki niso bili posodobljeni. In neverjetna voljnost dajanja dostopov po emailu, ne da bi ugotovili, da je nekaj narobe.

Kljub temu, da je to družba za varnost, pa vse to sploh ni nenavadno. Resnica je prav nasprotna. Anonymousov vdor ni bil kaj posebnega, kljub temu pa je bil zelo učinkovit in dobro izpeljan. Uporabili so širše znane tehnike vdiranja v sisteme, našli čimveč informacij in jih uporabili, da so dosegli še več sistemov.

Vsi vemo, da ne smemo uporabljati lahkih gesel, pa jih večina uporablja vseeno. Vsi vemo, da ne smeš ponovno uporabljati gesel, pa jih večina vseeno ponovno uporablja. Vsi vemo, da je treba strežnike/računalnike redno posodabljati, pa jih nekateri ne. HBGary tukaj gotovo ni osamljen primer, analiza gesel iz rootkit.com in nedavnega vdora v Gawker kaže, da je ponovna uporaba gesel razširjena pri vsaj tretjini uporabnikov.

Kot pravijo na ars technici, sta vsaj dve lekciji, ki se jih lahko naučimo iz teh dogodkov. Prva je, da če bi upoštevali vse nasvete dobre prakse, potem se vse to ne bi zgodilo. Druga pa, da včasih očitno tudi nasvet dobre prakse ni dovolj, če jih niti strokovnjaki, ki jih dajejo, ne upoštevajo.

, , , , ,

  1. Trenutno še ni komentarjev.
(ne bo objavljeno)


Komentiranje iz tujine je omogočeno zgolj prijavljenim uporabnikom !