02/11/2015

Misja: Zhakować babcię. Poziom trudności: Bułka z masłem

Informacje Porady

Wiele osób może uważać, że źródłem całego cyberzła jest technologia i jeśli pozbędziemy się wymyślnych inteligentnych urządzeń, wszystkie te straszne cyberzagrożenia znikną. Albo: nie mam inteligentnej lodówki czy pralki, które są połączone z Wi-Fi, więc nie mam się czego bać. Niestety jak się okazuje, każdy ma coś, co można zhakować.

Patsy Walsh to starsza Amerykanka. Zgodziła się wziąć udział w eksperymencie i pozwoliła dwóm mężczyznom — Reedowi Lodenowi (dyrektor ds. bezpieczeństwa) i Michielowi Prinsowi (współzałożyciel) z firmy HackerOne — zhakować coś, co do niej należało. Pani Walsh twierdziła, że nie ma nic, co można by zhakować. O zarejestrowanie przebiegu eksperymentu badacze poprosili reporterów z New York Times.

grandma-hacked-FB1

Patsy Walsh to „zaawansowana babcia” – ma sześciu wnuków, laptopa, profil na Facebooku do utrzymywania kontaktu ze znajomymi i rodziną, telewizję satelitarną i samochód. Jak pewnie zauważyliście, w przeciwieństwie do jej opinii, ma mnóstwo rzeczy do zhakowania!

Najpierw hakerzy przygotowali fundament. Odwiedzili jej stronę na Facebooku, skąd dowiedzieli się, że niedawno podpisała petycję na stronie change.org. W ciągu 10 minut badacze spreparowali fałszywą wiadomość, którą wysłali do Patsy w imieniu change.org. W e-mailu zawarta była prośba o podpisanie kolejnej petycji związanej z własnością gruntów w kalifornijskim Marin County, gdzie żyła.

Założenie było takie, że „zaawansowana babcia” nie będzie obojętna i podpisze petycję. Jednak odnośnik w wiadomości e-mail zaprowadził ją nie na stronę change.org, lecz na stronę phishingową. W ten sposób hakerzy uzyskali jej hasło, którego – jak się później okazało – używała w wielu serwisach.

Zatem jeden fałszywy e-mail wystarczył, aby uzyskać dostęp do całego cyfrowego życia Patsy Walsh. Wyobraź sobie, co mogłoby się stać, jeśli byłby to prawdziwy atak hakerski, a nie przeprowadzony przez tzw. białe kapelusze. Złoczyńcy mogliby użyć danych Patsy w dowolnym celu.

Następnie mężczyźni odwiedzili dom pani Walsh. Po półtorej godziny złamali metodą siłową cyfrowy zamek w drzwiach garażu. Potem spędzili nieco więcej czasu na zhakowaniu jej telewizji satelitarnej DirecTV, przy czym nie mogli się oprzeć subskrypcji kanałów dla dorosłych.

Na końcu badacze wzięli pod lupę laptopa pani Walsh. Wszystkie hasła zapisane były na kartce samoprzylepnej przyczepionej do routera, co było do przewidzenia. Po przejrzeniu laptopa hakerzy uzyskali osobiste informacje o właścicielce, takie jak numer ubezpieczenia społecznego, hasło do serwisu PayPal, szczegóły konta w jednej z linii lotniczych, a także dane związane z ubezpieczeniem. Co więcej, uzyskali dostęp do jej dokumentu pełnomocnictwa.

Para działająca jako białe kapelusze dowiedziała się także, że do cyfrowego świata pani Walsh ma dostęp ktoś jeszcze – jej laptop opanowało kilkadziesiąt szkodliwych programów, także te, które instalowały kolejny malware, śledziły historię przeglądarki, wyświetlały szkodliwe reklamy itp. Mizernie zabezpieczony laptop należący do osoby, która nie jest biegła w cyfrowym świecie, to pożądany cel dla atakujących.

Pani Walsh skorzystała na tym eksperymencie w kilku aspektach: poznała podstawy bezpieczeństwa w cyberprzestrzeni, dowiedziała się, że potrzebuje nowego zamka do garażu oraz że musi używać unikatowych i bardziej wyrafinowanych haseł w serwisach internetowych.

Ponadto hakerzy obiecali odwiedzić panią Walsh w Święto Dziękczynienia i oczyścić jej laptopa ze wszystkich szkodliwych programów. Ten przykład z życia wzięty pokazał, jak łatwe może być zhakowanie całego cyfrowego życia osoby, które nie jest biegła w technologiach, nawet jeśli ona sama uważa, że nie ma nic do zhakowania.

W końcu jesteśmy otoczeni całą rzeszą potencjalnie hakowalnych obiektów. Wszyscy używamy komputerów, a większość z nas jest bardzo przywiązana do swoich smartfonów. Wiele osób posiada także routery, inteligentne zegarki, telewizory i konsole do grania – każda z tych rzeczy może być celem dla cyberprzestępców.

Wiele z tych przedmiotów jest traktowane jak coś, co nie jest podatne na zhakowanie, jednak charakteryzują się one dużo niższym poziomem ochrony niż komputery. Jako przykład może tu posłużyć zamek od garażu, samochód ze zintegrowanym systemem nawigacji samochodowej, który może pobierać dane o ruchu w czasie rzeczywistym, czy auto bez nawigacji, ale wyposażone w system bezkluczykowy.

Co więcej, aby zostać zhakowanym, wcale nie musisz posiadać urządzenia cyfrowego. Wiele danych cyfrowych o każdym z nas znajduje się w specjalnych bazach przechowywanych w pomieszczeniach rządowych lub handlowych – szpitalach, urzędach, liniach lotniczych, bankach, sklepach, firmach ubezpieczeniowych itp.

Dane te także są podatne na wyciek, chociaż jego konsekwencje mogłyby być absolutnie niewyobrażalne. Niedawno okazało się, że w niektórych zachodnich krajach można wpisać wybraną osobę do bazy osób zmarłych bez hakowania — a ofiara może mieć duże problemy z „prawnym zmartwychwstaniem„.

Nie można całkowicie zabezpieczyć się przed tego rodzaju zagrożeniami, tak jak nie możesz być absolutnie pewny, że łódka, którą płyniesz, z jakiegoś powodu nie zatonie. Ale jeśli sprawdzisz pogodę, posiadasz przynajmniej podstawowe umiejętności żeglarskie i założysz kamizelkę ratunkową — zminimalizujesz wystąpienie zagrożenia i będziesz mógł spokojnie korzystać z rozrywki.

Takie same zasady dotyczą bezpieczeństwa w cyberprzestrzeni. Musisz wiedzieć, w jaki sposób Twoje dane mogą zostać zhakowane, i za wszelką cenę tego unikać. Używaj rzetelnego rozwiązania bezpieczeństwa i oczywiście nie przechowuj haseł zapisanych na kartce przyczepionej do routera.