Přichází kybernetická válka. Jak příprava hackera probíhá?

Hackeři nemají morální zábrany. Přichází doba, kdy budou centrem zájmu organizace, jejichž kompromitací je možné ovládnout více společností jedním dobře připraveným útokem, který lze přirovnat k útokům typu APT (Advanced Persistent Threat). Ohroženými budou zejména poskytovatelé informačních služeb, internetu a cloudu. Moderní způsoby práce a neznámé hranice perimetru s sebou nesou nové hrozby. Dokážeme se bránit? A jak příprava takového útoku vypadá?

OSINT       Recon       Hacking      Intelligence

Pokud budeme vědět, jak příprava kybernetického útoku ať už státem sponzorovaných skupin, hackerských skupin či různých skupin hacktivistů (říkejme jim globálně hackeři) vypadá, budeme moci lépe pochopit, jak se chránit nebo jak identifikovat narušení bezpečnosti.

Komplexita IT s sebou nese velkou neznámou pro společnosti, protože rychlost zavádění nových technologií a používání nových principů v informačních technologiích klade obrovské požadavky na změnu myšlení při správě a ochraně společností. Dnešní doba však přináší i nedostatek IT specialistů a o to méně těch, kteří dokázali přijmout moderní technologie, principy cloudů a transformace ve fungování společností. Požadavky firem na výkonnost a efektivitu při práci zaměstnanců jsou dnes na opravdu vysoké úrovni.

Firmy chtějí být konkurenceschopnější, finančně optimalizované a snaží se dát lidem benefity, např. práci z domu. Všechny tyto požadavky s sebou nesou rizika, která si často ani neuvědomují. Tohoto aspektu však využívají hackeři, kteří jsou si našich zranitelností vědomi. A jelikož je netíží etické zásady, mohou velmi snadno tyto aspekty zneužít.

Abychom pochopili, co je nutné při přípravě útoku udělat, musíme si nejprve objasnit některé taktiky a techniky průběhu kybernetického útoku od získání informací přes vlastní provedení až po zajištění trvalého a funkčního přístupu do společnosti. V dnešní době existuje řada různých časových os neboli vertikál, které říkají, jak celý útok vypadá. Jednu z takových vertikál můžete najít v rámci MITRE ATT&ACK, což je v zásadě mapa taktik, technik a procedur, které útočníci ke svým aktivitám využívají, a to včetně nástrojů, jež k daným aktivitám mohou využívat. Druhou cestu, možná o něco jednodušší, můžeme najít v rámci standardu PTES (Penetration Testing Execution Standard). Obě cesty jsou velice užitečné k pochopení toho, jak celý vektor útoku vypadá. Všechny rámce však mají něco společného, a to hlavní nosné bloky pro přípravu kybernetického útoku, jak je uvedeno v Obr. 1, ale v zásadě mluvíme o přípravě, doručení a exfiltraci informací.

Obr. 1: Vertikála útoku

Pokud hacker plánuje kybernetický útok, musí velmi dobře vědět, co jej může kde potkat, a na každou situaci musí být dobře připraven nebo vyzbrojen. Kybernetický útok je stejný jako jakýkoli jiný projekt a čím lepší hacker nebo konzultant, tím lepší odhad či příprava na kybernetický útok nebo doručení projektu. Další přirovnání můžeme udělat s plánováním útoku v době válečného stavu, kdy velitelé a stratégové připravovali útok na nepřítele a snažili se zjistit jeho slabiny, případně najít zranitelná místa v jeho obraně.

Slabá místa nejsou dnes jen v prostředí informačních technologií a hackeři to vědí. Proto při skutečném útoku hackery nebo i v simulovaném testování útoku typu Red Team je nutné zohlednit všechny aspekty, které můžeme zneužít nebo využít. Vždy tedy hovoříme o lidech (Human Aspects), budovách či fyzickém prostředí (Physical Aspects) a o digitálním prostředí (Digital Aspects). Řekneme-li, že je naše organizace dostatečně odolná ve všech výše uvedených oblastech, můžeme nabýt dojmu, že jsme dostatečně chráněni. Nutné je ale přihlédnout i k našim externím subjektům, kterými mohou být např. brigádníci, stážisté, dodavatelé, často i zákazníci nebo externisté, jejichž úroveň zabezpečení nebo bezpečnost jejich společností může být mnohem nižší. Tím se dostáváme zpět k nedostatku interních IT specialistů a stále častějšímu najímání dodavatele na řešení nelehkých situací inovace nebo digitalizace v organizacích. Ve výsledku k tomu však nepřispívá ani již zmíněná digitalizace nebo nové principy Industry 4.0, kdy do výrobních sítí přinášíme mnohá zařízení z internetu věcí, která mají své slabiny, a z důvodu usnadnění si jejich správy je propojujeme s našimi vnitřními systémy.

Pokud víme, co nás čeká při kybernetickém útoku, jak vypadá vertikála a kde lze očekávat slabiny, pak se můžeme přesunout k vlastnímu plánování. Pro přípravu útoku používáme metody typu INTelligence (technika, která nám pomáhá s identifikací informací, jež bychom pro plánování mohli využít). Dnes máme značné množství oblastí, které je nutné řádně prozkoumat, pochopit, vyhodnotit a najít v získaných informacích očekávaná slabá místa. Vnímáme zde však dva hlavní a zásadní problémy. Vše se děje tajně, tedy oběť nemá šanci přijít na to, že se něco takového děje. Druhým problémem je fakt, že tyto operace většinou nejsou ilegální. Proto operace typu INTtelligence řadíme spíše mezi pasivní techniky skenování a získávání informací.

Nedostatek IT specialistů a nové principy práce, digitalizace či Industry 4.0 s sebou nesou neočekávané hrozby, kterým musíme čelit.

Během přípravy budeme muset také provádět ilegální operace, které často děláme pomocí aktivního skenování nebo získávání informací. Je nutné zmínit, že některé techniky z oblasti INTelligence mohou být také aktivními, a to zejména techniky týkající se odposlechů. Pokud získanou informaci zveřejníme nebo řádně neochráníme, můžeme se velmi snadno dostat do problému se zákonem. Žádnou z uvedených technik bychom neměli provádět bez písemného souhlasu vlastníka informací, a to i za předpokladu, že se jedná o veřejné informace, jelikož tyto nebyly určitě zveřejněny k námi zamýšlenému účelu. Jedním z takových případů může být odcizení informací hackerské skupiny s označením APT34 (hackerská skupina OilRig, která byla spojována s íránskou vládou), kdy došlo k odcizení a zveřejnění jejich databází, ve kterých lze identifikovat např. přístupy do naftařských nebo leteckých společností či informace o jejich infrastruktuře a mnoho dalšího (viz Obr. 2).

Obr. 2: Informace o úniku informací APT34 na GitHub.com

V rámci INTtelligence bychom měli rozlišit několik různých typů průzkumu:

1. HUMINT (Human Intelligence)
2. GEOINT (Geospatial Intelligence)
3. MASINT (Measurement and Signature Intelligence)
4. OSINT (Open-source Intelligence)
5. SIGINT (Signals Intelligence)
6. TECHINT (Technical Intelligence)
7. CYBINT/DNINT (Cyber or Digital Network Intelligence)
8. FININT (Financial Intelligence)

Abychom celé plánování útoku lépe pochopili, je nutné znát všechny výše uvedené oblasti a k nim získat i potřebné nástroje pro sběr žádaných informací. K většině lze využívat zejména internet, ale některé se bez fyzického průzkumu či sociální interakce s obětí neobejdou. Pro plánování kybernetického útoku nás zajímají zejména oblasti HUMINT, GEOINT, OSINT a TECHINT, nicméně i další nám mohou poskytnout užitečné informace (viz Box 1).

HUMIT je obecně používán ke špionáži, tedy k získání informací od lidí kladením správných otázek (techniky sociálního inženýrství). V praxi to pak může vypadat velice jednoduše. Pokud zjistíte, že se většina týmu IT schází každou druhou středu v jedné restauraci na posezení, vydáte se tam a sednete si k vedlejšímu stolu. Jelikož jsou všichni ze stejného oddělení a mají mezi sebou sociální vztahy, budou pravděpodobně v určitou chvíli rozebírat i pracovní záležitosti, což je situace, kdy si musíte zaznamenat vše důležité. Občas je velmi vhodné někoho vyzvat k sociální interakci, případně koupit danému člověku něco k pití a dát se do diskuze. Postupnými a nenápadnými otázkami můžete získat drahocenné informace, které poslouží k infiltraci do společnosti. Velmi dobré je být připraven, tedy mít v hlavě co možná nejvíce informací, které pomohou navázat diskuzi. Např. znát technologie, které společnost používá, znát konkrétní lidi a vědět, že nejsou přítomni, a mnoho dalších. Druhou možností je nechat se zaměstnat či absolvovat pohovor v dané organizaci a nechat si představit jejich fungování, benefity, týmy nebo technologie. Tím se dostanete k velkému množství informací, které lze následně zneužít.

Obr. 3: Portál WIGLE pro sledování Wifi zařízení v rámci wardrivingu

GEOINT je velice důležitý, pokud neexistuje jiná cesta průniku než skrze fyzické zabezpečení. V rámci GEOINTu sbíráte informace dostupné pomocí nástrojů jako Google Maps, Street View nebo za pomoci různých archivů geografických informací. Pokud je toto provedeno dobře, zjistíte, jaké jsou v místě kamery, jaké jsou dostupné Wifi sítě a úroveň jejich šifrování. Pro zjištění, kde se nacházejí jaká Wifi zařízení, můžete použít buď fyzického průzkumu a s použitím nástroje KISMET provádět vlastní sledování Wifi, nebo lze využít portál, který tato Wifi zařízení monitoruje. Jedná se např. o portál WIGLE, který slouží primárně pro tzv. wardriving (uživatelé získávají body za objevení Wifi zařízení, když se pohybují vozidlem). Důležité je zmínit, že wardriving není ilegální, protože je pasívní technikou sledování sítí. Pokud by ale došlo k narušení bezpečnosti daného zařízení, dostáváme se do techniky zvané piggybacking, která už je za ilegální považována, jelikož dochází k narušení bezpečnosti Wifi zařízení.

Google v posledních letech začal maskovat významné cíle (viz Obr. 4), které by mohly být využívány k plánování teroristického útoku, kdy by mohlo dojít k odhalení citlivých informací. Jedním z takových míst v Google Maps je jaderná elektrárna ve Francii. Toto však není pro útočníka překážkou, jelikož existují různé mapové archivy, které lze pro přípravu útoku využít. Toto je dobré i s ohledem na kontrolu historie a vývoje v čase. Portál, který lze pro zobrazení těchto informací využívat, se jmenuje ArcGIS.

Obr. 4: Rozostřený obrázek jaderné elektrárny ve Francii

Obr. 5: Zostřený obrázek jaderné elektrárny ve Francii

OSINT je jednou z nejrozsáhlejších oblastí INTelligence a zabere nejvíce času při přípravě útoku. Obecně jej dělíme na dva základní bloky, a to osobní (Personal OSINT) a OSINT společnosti (Company OSINT). Pro osobní OSINT je nutné najít informace o lidech vyskytujících se v organizaci, případně o lidech, kteří poskytují nějaké služby společnosti, tedy často zaměstnanci dodavatele. Pro identifikaci osob ve společnosti je k dispozici mnoho různých nástrojů, jako příklad lze uvést LinkedIn či Facebook, kde jsou všichni spojeni s danou organizací, dále pak technika Google Dork, tedy hledání za pomoci vyhledávacích operátorů Google, nebo již hotové nástroje, např. theHarvester nebo Maltego. Pro Google Dork existuje navíc již hotová databáze vyhledávacích výrazů, kde můžete rovnou hledat konkrétní informace, např. hesla, jména, dokumentace a mnoho dalšího. Tuto databázi najdete na stránkách exploit-db (viz Obr. 6).

Obr. 6: Databáze Exploit-DB pro Google Dorking

V rámci osobního OSINTu jsou velice důležité informace o spolupracovnících, tedy jejich jména, příjmení, pracovní pozice, e-mailové adresy, faxy a telefonní, zaměstnanecká či rodná čísla, zkrátka jakékoli neveřejné osobní údaje. Pokud si budete připravovat databázi hesel, pak vás budou zajímat i další informace, které se mohou zdát jako nesmyslné, ale jsou velice důležité, např. zájmy, záliby, koníčky, navštívené a dokončené školy včetně data dokončení, jména příbuzných, milenců a milenek, manželek, mazlíčků nebo dětí, navštěvované internetové stránky a aktivita na sociálních sítích. Poté můžete použít nástroj napsaný v programovacím jazyku Python s názvem CUPP (Common User Passwords Profiler), jak je vidět na Obr. 7, a s jeho pomocí automaticky sestavit slovník pro útoky na uživatelské heslo.

Vygenerování takového seznamu o 36 606 slovech v kombinaci se zadanými informacemi trvá řádově několik málo sekund, tedy bude záležet na tom, co do slovníku zadáte a z čeho jej budete chtít postavit. Slovník lze následně použít např. při útoku na poštovní server, který je často vystaven do internetu, a to s nástroji THC-Hydra nebo Medusa, nicméně pokud je pro vás ovládání složité, lze použít rovnou hotový nástroj BruteDum. Obdobně by bylo možné útočit i na vzdálenou plochu serverů za pomoci nástrojů dostupných na Googlem neindexovaném webu (deep web), např. DuBrute nebo NLBrute.

Abyste mohli následně zacílit na správné místo, budete ještě potřebovat e-mailové adresy. V rámci Googlu nebo s využitím theHarvester nemusíme najít všechny e-mailové adresy, a proto je vhodné použít další online nástroj. Tento nástroj se jmenuje hunter.io (viz Obr. 8), případně lze použít i databáze uniklých hesel, které mají označení Collection #1 – Collection #5.

Vygenerování slovníku hesel na základě informací o uživateli o velikosti 36 606 slov trvá řádově několik málo sekund.

Informací o osobách je opravdu velké množství a vždy bude záležet na době, kterou máte k dispozici pro přípravu, a také na množství informací, které potřebujete získat pro navazování sociálních interakcí. Každá informace, kterou o jedinci získáte, může pomoci v HUMINTu nebo při sociálním inženýrství, např. pokud budete chtít udělat Spear Phishing opravdu účinným.

OSINT společnosti je částečně hodně propojen s TECHINTem, protože se musí identifikovat množství informací, které jsou vázány na IT prostředky společnosti, ale také musíte být schopni zjistit, jaké používá společnost technologie, jaké bezpečnostní a ochranné prvky vlastní a jak moc je pravděpodobné, že vás při útoku identifikují. Během OSINTu společnosti se zaměřujeme zejména na níže uvedené oblasti:

1. Infrastruktura
2. Metadata souborů
3. Domény a vlastníci domén
4. Adresní rozsahy a adresní plány
5. Dodavatelé, poskytovatelé nebo externí spolupracovníci
6. Aplikace publikované do internetu
7. Zranitelnosti publikované infrastruktury
8. Kamery
9. Verze služeb a operačních systémů publikovaných do internetu
10. Zdrojové kódy
11. Uživatelská jména a hesla

První, co použijete, pokud chcete znát infrastrukturu oběti, je jistě shodan.io, což je portál nebo spíš služba, která pravidelně skenuje internet, nebo BinaryEdge, což je takový agregátor informací a funguje, možná dokonce čerpá z shodan.io, případně opět theHarvester, kde získáte kompletní informace o infrastruktuře a také adresní IP rozsahy včetně těch, které už nejsou aktivní, protože pracujete hodně s internetovými cache servery. Získané IP adresy pak můžete vložit do RIPE (portál pro identifikaci vlastníků IP rozsahů) nebo v USA použít ARIN, který provádí stejnou službu. Jedná se o tzv. whois databáze, kde se dozvíte, jak velký síťový rozsah daná společnost vlastní. To následně využijete k provádění skenu všech IP adres společnosti a můžeme se pokusit hádat i jména serverů.

Obr. 7: Použití nástroje CUPP

Obr. 8: Portál pro hledání e-mailových adres

U některých zákazníků se povede provést přenos DNS zóny, zejména pokud je špatně nastavené DNS, tedy můžete se podívat do databáze pro překlad IP adres na jména serverů. Ve chvíli, kdy se povede tento přenos provést, máte všechna jména, zástupná jména a další záznamy na zlatém podnose a už stačí jen provést skenování. Pro demonstraci lze využívat doménu zonetransfer.me od digi.ninja, která je k dispozici právě pro ukázku špatného nastavení DNS přenosů zóny. Pro skenování lze využívat velké množství nástrojů, a to včetně obyčejného nslookup, který je dostupný v rámci operačního systému Windows. Pokud chcete toto skenování provést za pomoci online nástroje, můžete použít stránky hackertarget.com (viz Obr. 9). Pozor však na to, že tato aktivita je aktivním skenováním, tedy bude existovat záznam, že jste danou aktivitu provedli, a proto potřebujete souhlas vlastníka dané domény.

Obr. 9: DNS replikace zóny s využitím online nástroje

Ne vždy však je vše na zlatém podnose, a proto je potřeba používat jiné techniky na hledání infrastruktury. Pro hledání infrastruktury lze použít např. již zmíněný a notoricky známý shodan.io nebo dnsdumpster.com, který nám dá informace z internetových cache (viz Obr. 10).

Na aktivity OSINTu a všeobecně INTelligence se dají v dnešní době získat několikadenní kurzy, které jsou velice obsáhlé a zaměřují se zejména na automatizaci získávání informací, protože jako hackeři nechcete všechny informace přepisovat manuálně. Některé zajímavé kurzy poskytují společnosti SANS Institute nebo McAfee Institute, jejich cena však sahá k řádům tisíců dolarů na osobu.

Obr. 10: DNSDumpster a získání informací o infrastruktuře

Ve chvíli, kdy se vám povede tento přenos provést, máte všechna jména, zástupná jména a další záznamy na zlatém podnose.

Abyste mohli toto všechno identifikovat, budete potřebovat čas, kterého mají hackeři neomezené množství, zejména pokud se jedná o přípravu kybernetického útoku. Jako ochránci našich systémů máme času omezeně a vždy bude existovat místo, které jsme neidentifikovali, přehlédli nebo mu nedali dostatečnou pozornost. Množství organizací si myslí, že chyba nastává v důsledku zanedbání nějaké oblasti kontroly. Já si však myslím, že to je omezením lidské kapacity mozku. Platí zde totiž obecné pravidlo, že IT správce, který se stará o spousty systémů a zajišťuje podporu kolegům, nemůže nikdy pojmout celkovou oblast bezpečnosti, a tedy zabezpečuje organizaci jen vůči hrozbám, které je schopen si uvědomit. Domnívám se, že z důvodu neznalosti nějaké konkrétní hrozby či zranitelnosti není schopen dohlédnout, co jeho činnost může pro organizaci představovat. Příkladem mohou být publikované vzdálené přístupy do prostředí, špatně publikované webové aplikace či ponechané chyby v kódu webových aplikací. Další chybou mohou být i procesy mimo IT oddělení, kdy se nedává dostatečná priorita školení v oblasti kybernetických hrozeb.

Je nutné si uvědomit, že útočník nikdy nepřijde ze stejného místa, nikdy nepoužije stejnou techniku a nikdy nám nedá možnost mu zabránit.

Dnes jsou k dispozici tisíce nástrojů, které může hacker použít pro plánování útoku, a většina jich je dostupných ve specializovaných linuxových distribucích, např. KALI Linux a Buscador OS, nebo je najdete v různých částech internetu. Částečně může pomoci to, že útočník má ještě jeden problém – anonymitu veškerých aktivit, které provádí. Být anonymní v těchto činnostech je velice obtížné a často se využívají různé metody skrývání, aby policie neměla možnost přesné identifikace pachatele trestného činu. Je tedy nutné si uvědomit, že útočník nikdy nepřijde ze stejného místa, nikdy nepoužije stejnou techniku a nikdy nám nedá možnost mu zabránit. Co lze udělat pro svou ochranu? Budeme mu komplikovat cestu k cíli až do chvíle, kdy svou aktivitu vzdá, nebo jej odhalíme a jeho cílem se stane jiná společnost.

[ 1 ] „Open Source Intelligence Techniques: Resources for Searching and Analyzing Online Information“ by Michael Bazzell, dostupné z: https://inteltechniques.com/book1.html
[ 2 ] Prezentace: „OSINT NSA surveillance for hipsters“, dostupné z: https://crocs.fi.muni.cz/_media/public/openlab/osint.pdf

[ 3 ] Školení: „SEC487: Open-Source Intelligence (OSINT) Gathering and Analysis“, dostupné z: https://www.sans.org/course/open-source-intelligence-gathering

[ 4 ] Konference: „OSINT Summit“, dostupné z: https://www.sans.org/event/osint-summit-2020

[ 5 ] Blog: „OSINT Techniques“, dostupné z: https://www.osinttechniques.com/