Jak jsme testovali zabezpečení

Před časem jsem měl školit u mého oblíbeného eshopu (toho, o kterém tu píšu pořád) zaměstnance s novým způsobem vyřizování objednávek. Bylo to poprvé, kdy se mi sešli úplně všichni na jedné hromadě (třicet kusů a přitom jich před rokem bylo kolem deseti), tak jsem chtěl využít příležitosti a rovnou provést menší bezpečnostní školení. Ale vykládat takhle nudnou látku místnosti plné ženských bez sebemenšího zájmu o zabezpečení by mělo asi podobný efekt jako dávat Radkovi H. recenzovat iPad. Rozhodl jsem se proto pro menší bezpečnostní experiment - zkusím se co nejjednodušeji dostat do jejich administrace (samozřejmě bez použití našich hesel apod :)).

Tento článek je z roku 2011.

"Hacking" pro začátečníky

Ve zmiňovaném eshopu je kolem třiceti lidí a každý má svůj účet do administrace a oprávnění do částí, kam potřebuje. Dost to ale komplikuje, že kolují mezi jednotlivými částmi obchodu (prodejna, dva sklady, reklamace, katalog, ...), takže se přístup nemůže omezovat moc striktně. Zkusil jsem ten nejstarší a nejjednodušší postup pro získání hesla - prostě jsem se na něj zeptal. Založil jsem si schránku na Seznamu a poslal tento email na několik adres v eshopu:

Opravdu jsem se snažil, aby to prokoukli. Samozřejmě že umím poslat email tak, aby nebylo poznat, že je to podvrh. Ale to nebylo cílem. Chtěl jsem, aby se měli čeho chytit a odhalili to. Vůbec jsem neskrýval, že mail přichází ze Seznamu a ne z firemního emailu - nechal jsem adresu pěkně svítit. Vše jsem psal bez diakritiky, ikdyž ji jinak používám i na mobilu. Použil jsem jiné oslovení a jiný podpis. Nápověd bylo hodně. A že po nich chci urgentně heslo ani nezmiňuji. Výsledek?

Jedna skladnice mi svoje přístupy poslala obratem. Rovnou pro jistotu přiložila i přístupy k mailu a ostatní v okolí popoháněla, aby rychle taky poslali svoje hesla. V druhém skladu se jedna chytila, ale druhé to bylo podezřelé a email mi přeposlala (na firemní email) - tleskáme! Úplně nám z toho ale vypadla prodejna, protože ta email nepoužívá. Požádal jsem tedy kolegu Aleše, aby jim zavolal (mě znají po hlase). Bohužel jsem mu zapomněl říct, ať výjimečně neschovává ostravský přízvuk. Velmi stručně se představil a bez bližšího vysvětlování se dožadoval hesla. Prodavačka zbystřila a prohlásila, že si jen někam odběhne stranou, ať ho nediktuje před zákazníky (že mluví možná s cizím člověkem ji nevadilo). Bez problémů heslo nadiktovala, poděkovala a rozloučila se. Po pár minutách ji ale došlo, že to asi nebylo úplně v pořádku a začala nám kazit zábavu. Poměrně hystericky začala všechny plašit, že asi dala někomu heslo. Skladnice ji uklidnila, že to je v pořádku, že ona ho dala už před hodinou. Panika se postupně dostala až k majitelce, která všem jasně vysvětlila banda čeho jsou, ale také zklamala, protože nezavolala k nám, že je potřeba zablokovat přístupy.

Hodinu na to už jsem přijel já a našel jsem půlku firmy před prodejnou nervózně pokuřující. Nechal jsem je v tom až do začátku školení, kde jsem se konečně k celé akci přiznal.

To by se u nás nestalo!

Můžete si říkat, že takhle jednoduše by vás nikdo nenachytal. Přímo takhle nejspíš ne, ale stejně je potřeba být v pozoru. Celý trik u mého pokusu ale spočíval ve struktuře firmy. Kdybychom takto "útočili" na eshop, který funguje ve 2-3 lidech, tak pochybuji, že bychom uspěli s takto jednoduchým postupem. Dotyčný by se zřejmě zamyslel, proč něco takového někdo chce. U větší firmy už ale myšlenkový pochod funguje úplně jinak. Zaměstnanec je zvyklý plnit rozkazy z vrchu. Příliš se neptá ne jejich smysl, dokud to není moc práce. Právě takto rychle rostoucí firmy jako je zmiňovaný eshop jsou na podobný postup velmi náchylné - pořád se něco mění, rozkazy chodí jeden za druhým, není čas a ani pořádně důvod nad nimi moc přemýšlet.

Poslední dobou se setkáváme u našich klientů třeba se zneužitím jejich emailu (a našeho SMTP) pro rozesílání spamu. Útočník heslo nehádal, ale šel na jisto. Nakonec se ukázalo, že použili stejný email a heslo k registraci do nějaké jednodouché služby - nemusí to být ani porno, ale třeba i úplně nevinná služba jako image hosting a podobné. Ani nemusíte používat stejné údaje, ale mít více hesel. Kolikrát se vám ale stalo, že jste při přihlašování k nějaké službě použili heslo od jinud (třeba od emailu)? Běželi jste si ho hned změnit?

Disclaimer

Samozřejmě vás tímto nenavádím, abyste teď začali zjišťovat hesla svojí konkurence. Ale pravděpodobně by se vám to povedlo. Rozhodně také netvrdím, že tento postup je nějaký můj výtvor. Je to obyčejné sociální inženýrství, o kterém toho bylo napsáno už mnoho. A také bych rád doplnil, že takto rozhodně netrápíme klienty běžně :) S tímto eshopem máme velmi dobré a hlavně dlouholeté vztahy, takže jsme si toto mohl dovolit. Bylo mi sice vytčeno, že jsem je mohl předem varovat, ale pak by to jaksi ztratilo smysl :)

Jen tak na okraj...

Víte jak donutit nové klienty, aby u administrace po obdržení změnili hlavní heslo? Dřív měli defaultně přístup admin / admin, což byla pěkná blbost, protože to tak nechávali. Lepší varianta by byla heslo jim vždy vygenerovat, jenže pak ho zase zapomínali. Zvažoval jsem také implemetovat jeho povinnou změnu po prvním přihlášení, ale že by se mi to chtělo implementovat... Nakonec jim heslo vytvořím vždy ručně a dávám si záležet, aby bylo co možná nejdebilnější - například "ňufíkatýňufáček" nebo "strč-pršť-škrž-krk". Zcela spolehlivě si ho změní každý a ještě jim je hned od prvního dne jasné, s jakou firmou se to zapletli :)