Objavljeno: 13.6.2017 | Avtor: Matej Huš | Monitor Posebna 2017

Največji hekerski vdori v zgodovini

Včasih se je o računalniških vdorih, vsaj v tehnoloških krogih, poročalo na prvih straneh, hekerji, kot je bil Kevin Mitnick, pa so bili velike zvezde. Danes se vdori dogajajo skorajda vsak dan, interes za njihovo prikrivanje pa imajo tako storilci kot žrtve. Seznam največjih vdorov je zato bolj seznam razkritih vdorov, ki so vplivali na največ ljudi, kot pa absolutna resnica.

Pri sestavljanju seznama velikih vdorov smo v precepu, kako jih sploh razvrstiti. Če vzamemo za merilo število zapisov, ki so tako ali drugače ušli v internet, dobimo seznam v sosednji preglednici. Pri celostnem pregledu pa smo upoštevali še takšne, ki morda res niso neposredno vplivali na varnost osebnih podatkov ljudi, so pa kako drugače odjeknili po svetu.

Yahooju se je najhujši napad pripetil že avgusta 2013, v njem pa je bila prizadeta milijarda uporabnikov, ki so jim ukradli prijavne podatke.

Nekateri vdori so pomembni zaradi same velikosti, na primer kraja milijarde osebnih podatkov iz Yahooja. Drugi so pomembni zaradi političnih posledic, kot je bil lanski vdor v strežnike ameriške demokratske stranke, od koder so v občutljivem času predvolilne kampanje pricurljala v internet številna elektronska sporočila. Tretji nam odprejo oči, ko pokažejo na ranljivosti, ki smo jih gledali le v filmih in v resničnosti potiskali vstran, denimo predlanski napad na razdelilne transformatorske postaje v Ukrajini, zaradi česar je bilo več deset tisoč gospodinjstev nekaj ur brez električne energije. Nekateri drugi napadi so bili še bolj specializirani, denimo kraja ključev za podpisovanje certifikatov iz Comoda ali vdor v bančni sistem SWIFT in kraja 80 milijonov dolarjev. Vdorov je bilo na tisoče, zato si bomo ogledali le nekaj najzanimivejših ali najodmevnejših.

Banke so pogosto tarča, a praviloma so žrtev komitenti, ki jim ukradejo prijavne podatke in potem izpraznijo račune.

Yahoo. Seveda začenjamo pri vdorih v Yahooju, ki sta se zgodila v letih 2013 in 2014, a ju je Yahoo razkril šele v drugi polovici minulega leta. Gre za vdora, ki sta vplivala na največje število ljudi doslej in sta imela tudi zelo otipljive finančne posledice. Zaradi njiju je namreč Verizon kupnino za Yahoo znižal za 350 milijonov dolarjev, nekaj časa pa se je celo glasno govorilo o razdoru pogodbe.

Na tržnici The Real Deal so za tri bitcoine prodajali 200 milijonov računov, ki so jih dobili pri vdoru v Yahoo.

Največji spodrsljaji

Postaviti seznam največjih vdorov je nehvaležno opravilo, ker je težko objektivno izmeriti velikost vdora. Je bil vdor v iranski jedrski program, ki je prizadel sorazmerno malo sistemov in ljudi, večji kakor vdor v Yahoo, kjer so odnesli osebne podatke milijarde ljudi? Kaj pa vdor v ukrajinske razdelilne transformatorske postaje, zaradi katerega je nekaj deset tisoč gospodinjstev ostalo brez električne energije? Šteje samo hekerski vdor ali tudi napačna konfiguracija baze, zaradi katere so bili podatki dostopni na internetu?

V spodnji tabeli so zato nanizani največji razkriti spodrsljaji od leta 2004, če jih merimo po številu zapisov, ki so bili dostopni nepooblaščenim osebam. Vidimo, da so na njem različna podjetja in celo vojska, razlogi pa segajo od napačnih konfiguracij, sabotaž in izgubljenih diskov do najpogostejšega razloga, ki je seveda vdor. Včasih so ukradli zgolj osebne podatke, spet drugič številne kreditne kartice ali vse bančne podatke. Celoten seznam pa je seveda še neprimerno daljši.

Yahoo je prvi napad razkril javnosti 22. septembra 2016. Sporočil je, da so neznani napadalci, ki so po prepričanju Yahoojevih strokovnjakov delovali po naročilu ali celo pod okriljem druge države (omenjajo Rusijo in Kitajsko, a številni strokovnjaki o tem dvomijo), v drugi polovici leta 2014 ukradli osebne podatke 500 milijonov uporabnikov. Odtujili so uporabniška imena, elektronske naslove, telefonske številke, rojstne podatke, šifrirana gesla (bcrypt, nekaj tudi MD5) in varnostna vprašanja z odgovori.

Yahoo je kasneje priznal, da so za vdor vedeli že leta 2014, a se niso zavedali njegovega obsega. Za velikost vdora so izvedeli šele, ko so začeli preiskovati nepovezan incident iz julija 2016. Napad je bil problematičen zato, ker so imeli številni uporabniki stare račune pri Yahooju, ki so jih pridobili zaradi različnega združevanja in prevzemanja podjetij s strani Yahooja, na kar številni sploh niso bili pozorni. Če so iste prijavne podatke uporabljali še drugod, je bilo resno tveganje za krajo identitete.

Le nekaj mesecev pozneje, 14. decembra 2016, je Yahoo priznal, da to ni bil prvi napad, niti največji. Podoben napad se jim je pripetil že avgusta 2013, v njem pa je bila prizadeta milijarda uporabnikov, ki so jim ukradli enake podatke kot v napadu iz leta 2014. Ta napad se je zgodil zaradi ponarejenih piškotkov, s katerimi je napadalcem uspelo vstopiti v profile uporabnikov. Ukradeni podatki so se hitro znašli v temnem delu interneta (darknet), kjer so bili že leta 2015 naprodaj za 300.000 dolarjev. To govori proti teoriji, da gre za delo kakšnih državnih hekerjev.

River Media City. Imena tega podjetja (RMC) mnogi sicer ne poznajo, je pa zelo znano skrbnikom računalniških omrežij. V javnosti se izdaja za oglaševalsko podjetje, v resnici pa gre za največji imperij smetja, ki ga vodita Alvin Slocombe in Matt Ferris. Marca je raziskovalec Chris Vickery odkril, da so vse varnostne kopije RCM dostopne v internetu. Da je nekaj narobe, je Slocombe sumil že februarja, ko je vse sodelavce pozval k menjavi gesel, saj je sumil na vdor. Toda v resnici so bile vsaj od januarja letos v internetu dostopne njihove celotne varnostne kopije, ki so vsebovale vse – od 1,34 milijarde elektronskih naslovov (ključna spamerska dragocenost) do dnevnikov komunikacije prek Hipchata, bančnih podatkov, naslovov IP in različnih skript. Čeprav je načelno delovanje spamerjev znano, gre za največji vpogled v delovanje resnične spamerske organizacije.

Še bizarnejši pa je razlog za dostopnost do podatkov. Nekdo v RCM je malomarno nastavil rsync za izdelavo varnostnih kopij, zato so bile nezaščitene in dostopne vsakomur. A kot smo pojasnili v okviru, je v očeh zakona dostop do take zbirke še vedno vdor.

Francoske predsedniške volitve. Na njih je 7. maja v drugem krogu prepričljivo slavil Emmanuel Macron, ki so mu ankete javnega mnenja ves čas napovedovale zanesljivo zmago. Toda v petek, 5. maja, okrog 20. ure, le nekaj ur pred začetkom volilnega molka, se je na Pastebinu znašel dokument z naslovom EMLEAKS, nekaj minut pozneje pa v podforumu /pol/ na strani 4chan še povezava nanj.

Izolirani dokumenti so se na podforumu /pol/ pojavili že 3. maja in domnevno dokazovali, da ima Macron tajni bančni račun na Kajmanskih otokih. Macron je njihovo avtentičnost hitro zanikal in zadevo so mediji prezrli. Petkovi dokumenti pa so precej bolj odmevali, ker so se hitro razširili. S širši javnosti malo znanega foruma so jih v soj žarometov pritegnili tviti številnih botov, skrajnih desničarjev (npr. Jacka Posobieca iz kanadskega Rebel Media) in celo Wikileaks, nato so okrog 21. ure začeli tvitati tudi Francozi.

Ker je ob polnoči v Franciji nastopil volilni molk, je Macronov tabor nekaj minut pred polnočjo izdal izjavo za javnost, da so bili žrtev velikega hekerskega napada in da so med dokumenti tudi številni ponarejeni. Afera zaradi tega ni dobila pomembnega mesta v medijih, Macron pa je bil v nedeljo izvoljen. Način in izvajalec vdora še nista znana, nekateri strokovnjaki (denimo podjetje Flashpoint) špekulirajo, da je napad izvedla ruska hekerska skupina APT28, ki je povezana s Kremljem, a to tam ostro zavračajo. NSA medtem celo trdi, da so Rusi vdrli kar v volilno infrastrukturo.

Bančno omrežje SWIFT. Navadno si predstavljamo bančne sisteme kot nekoliko zastarele, a dobro zaščitene, da je nemogoče vdreti vanje, kaj šele krasti denar. Pa ni čisto tako. Z računa bangladeške centralne banke pri newyorškem Fedu je v četrtek, 4. februarja 2016, odteklo 101 milijon dolarjev na račune pri filipinski Rizal Commercial Banking Corporation in šrilanški Pan Asia Banking. Hekerji so si poizkusili nakazati skoraj milijardo dolarjev, a jim je v bangladeški banki uspelo ustaviti za 850 milijonov dolarjev nakazil, 20 milijonov iz Pan Asia Banking pa dobiti nazaj. Škoda je bila tako le 81 milijonov dolarjev.

Napadov na SWIFT je bilo več. Vir: Simon Chai.

Napadalcem je uspelo prikriti sledove tako, da so v računalnike bangladeške banke namestili malware, ki je onesposobil avtomatično tiskanje vseh transakcij, ki so se zgodile čez noč. Ko so v petek zjutraj prišli v službo, jih je pričakal nedelujoč tiskalnik, ki so ga usposobili šele v soboto in ugotovili, kaj se je zgodilo. Šele v ponedeljek je tako SWIFTu in Fedu postalo jasno, kaj se je zgodilo, a za 81 milijonov dolarjev je bilo že prepozno.

Ta vdor je velik zaradi škode, ki so jo povzročili napadalci, in žrtve. Banke so pogosto tarča, a praviloma so žrtev komitenti, ki jim ukradejo prijavne podatke in potem izpraznijo račune. Napadalci so to pot kradli neposredno banki, in sicer jim je nekako uspelo pridobiti njene prijavne podatke za SWIFT. Slednji upravlja mednarodno bančno omrežje, v katerem sodeluje na tisoče bank, ki si pošiljajo zaupanja vredna navodila za prenos denarja. Bangladeška centralna banka si je kriva tudi sama, ker je imela zanikrno poskrbljeno za varnost svojega sistema, tako da je napadalcem poleg kraje prijavnih podatkov uspelo namestiti še malware.

To ni bil prvi vdor v SWIFT ali napad na banke. V zadnjih treh mesecih leta 2015 se je nekaj podobnega zgodilo tudi neimenovani vietnamski banki, le da jim je tam uspelo vseh 1,1 milijona dolarjev zadržati. Tehnično niso strli SWIFTa, ker so imeli legitimne prijavne podatke, gre pa seveda kljub temu za vdor. So pa zlomili varnostni sistem prizadetih bank, za katere se je izkazalo, da niso uporabljale niti osnovnih zaščitnih sistemov, kot so požarni zidovi.

In zakaj so hekerji ukradli le 81 milijonov dolarjev? Ker so v transakcijah za prejemnika napisali Shalika Fandation (namesto Foundation), kar je vzbudilo pozornost nemške posredniške banke, ki je zato preventivno zaustavila nakazila.

Ameriška Demokratska stranka. Še en vdor, ki bi lahko imel hude politične posledice, je bil vdor v strežnik vodstva ameriške Demokratske stranke (DNC), za katerega ZDA danes prepričljivo obtožujejo Ruse, zanesljivo pa verjetno ne bomo vedeli nikdar. Odgovornost za vdor je prevzel neznani heker z vzdevkom Guccifer 2.0, ki zase pravi, da je Romun brez povezav z Rusijo, a analize ameriških obveščevalnih služb in neodvisnih strokovnjakov trdijo, da gre za delo ruske obveščevalne službe.

Kakorkoli že, 22. julija 2016 je Wikileaks objavil velikansko zbirko podatkov, ki je vsebovala tudi 19.252 elektronskih sporočil in 8034 datotek vodstva Demokratske stranke. Za sam vdor pa smo izvedeli že junija. The New York Times je decembra lani objavil, da je istim napadalcem uspelo vdreti tudi v vodstvo Republikanske stranske, a njenih dokumentov niso javno objavili, kar namiguje na njihovo politično opredeljenost.

V sistem je uspelo vdreti kar dvema ruskima skupinama, trdijo pri CrowdStriku. APT 29 ali CozyBear je vdrl že poleti 2015, APT 28 ali FancyBear pa ločeno še aprila 2016. Kot kaže, si pri tem nista pomagali niti nista vedeli druga za drugo. Za zahodne službe to ni običajno, saj si načeloma ne skačejo v zelje, v Rusiji pa ni to nič nenavadnega.

Vdor je povzročil odstop izvršne direktorice DNC, finančnega direktorja Brada Marshalla in vodje odnosov z javnostmi.

Ashley Madison. Pogosto je ljudi bolj sram tega, kar počno zvečer v zasebnem življenju, kakor pa razkritih bančnih podatkov in gesel. Zato ni presenetljivo, da je bil vdor v spletno stran Ashley Madison julija 2015 velika novica. Omenjena spletna stran je namenjena vezanim ljudem, da laže diskretno varajo svoje partnerje. Zato je završalo, ko so hekerji vdrli na stran in zagrozili, da bodo objavili celotno zbirko podatkov 37 milijonov uporabnikov, če stran ne neha obratovati.

Vdor v Ashley Madison je povzročil precej sramu, vsaj dva samomora in skupinsko tožbo oškodovancev, ki pa morajo razkriti svojo identitete, zato so nekateri od tožbe odstopili.

Stran Ashley Madison je namenjena vezanim ljudem, da laže diskretno varajo svoje partnerje. Ko so vanjo vdrli hekerji, je zato završalo.

Ker ni, je afera prerasla vse okvirje in odstopil je izvršni direktor. Razkrita identiteta uporabnikov je številnim povzročila hude težave v zasebnem življenju, izgovori, da so se na stran zgolj prijavili iz radovednosti, pa niso vedno prepričali. Čeprav je bilo že razkritje identitete dovolj škodljivo, se je izkazalo, da je Ashley Madison uporabniška imena in gesla v predvidljivem formatu (ime::geslo) hranil tudi v zgoščeni vrednosti MD5 in ne zgolj bcryptu, zato so jih v nekaj tednih razbili kar 90 odstotkov. MD5 je znano šibek in popolnoma neprimeren za ta namen, zato ni jasno, kako so si lahko privoščili takšno malomarnost.

Ob tem se je na koncu razkrilo še, da je na strani zgolj prgišče ženskih uporabnic. Ashley Madison je bil znan tudi po spornih praksah, kot je na primer zahtevanje plačila za popoln izbris podatkov iz zbirke (le da, kot se je izkazalo, ni bil tako popoln), in grožnje s pošiljanjem vse dokumentacije ob morebitnih sporih glede plačila na domači naslov. Za prijavo elektronskega naslova ni bilo treba potrditi, zato je ljudi lahko tja prijavil tudi kdo drug!

Comodo. V modernem internetu lahko opravljamo velike posle, zato je zelo pomembno, da je stran, s katero komuniciramo, resnično stran, za katero se predstavlja. To nam jamčijo certifikati, ki jih stranem izdajajo overitelji. Največji je Comodo, ki je izdal certifikate za 14 odstotkov vseh aktivnih domen, ki ustvarijo 44 odstotkov vsega prometa. Overitelju zaupamo zato, ker mu zaupamo, zato predstavlja potencialno šibko točko sistema, če bi ga hekerjem uspelo napasti.

Leta 2011 se je Comodu to tudi zgodilo, saj je napadalcem iz Irana uspelo vdreti vanj in izdati devet certifikatov za sedem lažnih domen, denimo google.com, login.skype.com in login.live.com. Veliki brskalniki so začasno blokirali (blacklist) Comodove certifikate, slednji pa je brž preklical lažne. Omenjeni vdor ni bil edini te vrste, bil je zgolj prvi, ki se je zgodil velikemu overitelju. Pomemben pa je zato, ker je opozoril na inherentne slabosti trenutnega sistema infrastrukture javnih in zasebnih ključev (PKI). Po eni strani slepo zaupamo overiteljem, ki jih lahko hekerji napadejo zaradi ranljivosti v dostopu do njihovih sistemov in ne, ker bi zlomili matematiko za generiranjem ključev. Po drugi strani pa končni uporabniki opozoril glede preklicanih in neveljavnih certifikatov pogosto sploh ne berejo, temveč zgolj klikajo V redu in Razumem, dokler se stran ne prikaže. K temu nas sicer navajajo tudi državne ustanove, ki imajo na nekaterih domenah samopodpisane certifikate.

Ukrajinsko elektroenergetsko omrežje. Hekerski napadi na infrastrukturo, torej na elektrarne, železnice, plinovode, letališča in podobno, so bili dolgo predmet znanstvene fantastike. Čeprav so strokovnjaki opozarjali, da so povsem realna možnost, smo bili kljub temu presenečeni, ko je 23. decembra 2015 v Ukrajini okrog 80.000 gospodinjstev za okoli tri ure ostalo brez električne energije – zaradi hekerskega napada.

Ukrajina in ZDA za napad obtožujeta Rusijo in Severno Korejo, ti pa seveda to zanikata. Podrobnosti o napadu so le počasi kapljale na dan, a zdaj nekaj vendarle že vemo. Napadalci so vdrli v razdelilne transformatorske postaje, obenem pa onesposobili nadzorne postaje in preobremenili telefonske linije za prijavo napak. Ko je napad stekel, so z malwarom okužene računalnike in strežnike onesposobili še na sedežu elektrodistribucijskega podjetja za regijo Ivano-Frankivsk. Izkazalo se je, da je bilo napadenih kar šest podjetij, napad so začeli izvajati že marca 2015.

Kaj je računalniški vdor

Pod vdor si navadno predstavljamo hekerja, ki je izrabil nezakrpano ranljivost v programski opremi in pridobil dostop do sicer zaščitenega sistema. A v resnici gre za širši pojem.

V Kazenskem zakoniku (KZ-1) je v 143. členu prepovedano javno objaviti osebne podatke in vdirati v računalniške zbirke podatke z namenom njihovega pridobivanja. Prepoveduje tudi krajo identitete. V 221. členu je kriminaliziran že neupravičen vstop ali vdor v informacijski sistem ali prestrezanje podatkov ob nejavnem prenosu, kaj šele kakršnokoli vplivanje na informacijski sistem. Kazniv je tudi poizkus. Podobno, a strožje se kaznuje vstop ali vdor v poslovni informacijski sistem (237. člen). Zanimiv je tudi 306. člen, po katerem se kaznuje že posedovanje pripomočkov za vdor ali neupravičen vstop v informacijski sistem.

Če zelo poenostavimo: kazniva je že običajna prijava v Gmail s sosedovim geslom, četudi je bilo to 123456 ali password. Kakor ne smemo ukrasti avtomobila, v katerem je lastnik pozabil ključe, ne smemo vdreti v nezaščiten računalnik. In prav tako ne smemo z interneta sneti orodij za vdiranje.

Najprej so pridobili dostop do splošnega službenega omrežja in prestregli prijavne podatke za povezave VPN v sisteme SCADA. Tam so si najprej pokorili sisteme za brezprekinitveno napajanje v nadzornih centrih, da ob napadu upravljavci niso mogli videti, kaj točno se dogaja. Potem so preprogramirali še RTU, ki ukaze iz sistema SCADA pošiljajo v izvedbo. Ko je bilo vse nared, so preobremenili linijo za pomoč uporabnikom in sprožili napad, hkrati pa onemogočili krmiljenje na daljavo, tako da so morali vzdrževalci priti v vsako postajo posebej in jo priključiti nazaj.

Napad se je ponovil tudi 17. decembra 2016, ko je ponoči za dve uri zmanjkalo električne energije. Leta 2015 so onesposobili sedem 110 kV postaj in triindvajset 35 kV, leta 2016 pa zgolj eno. Leta 2016 tudi niso preprečili vnovične vzpostavitve normalnega delovanja na daljavo, čeprav so obakrat napadli RTU (remote terminal unit), ki povezujejo SCADA in fizični sistem.

Konec romantike ali kdo je Kevin Mitnick

Današnji hekerski napadi so plod brezimnih sil, ki jih včasih označimo kot od držav podprti napadalci, drugič pa gre za običajne poslovno orientirane kriminalce. Predvsem pa so anonimni, saj razen špekulacij praktično nikoli ne slišimo identitete napadalcev.

Kevin Mitnick je bil eden izmed zadnjih hekerjev v obdobju računalniške romantike, zagotovo pa najbolj razvpiti heker in nekakšen računalniški Frank Abagnale. Mitnick je bil spektakularno aretiran 15. februarja 1995 in je v zaporu presedel pet let, potem pa še tri leta ni smel uporabljati nobenih drugih tehnoloških komunikacijskih metod razen običajnega telefona.

O Mitnickovih sposobnostih so mnenja deljena. Čeprav si je pogosto pomagal s socialnim inženiringom, je dejstvo, da je v računalniške sisteme vdiral že kot najstnik, denimo leta 1979 v DEC-ov računalnik. V 80. in 90. letih je vdrl v številne računalniške sisteme. Leta 1999 je v zaporu moral osem mesecev preživeti v samici, ker so sodnika uspeli prepričati, da lahko Mitnick prek telefona sproži izstrelitev jedrskih raket. Po njegovi zgodbi so posneli filme in pisali knjige, danes pa dela kot strokovnjak za računalniško varnost.

Častne omembe. Hekerskih napadov je dandanes vsak dan na tisoče, velikih pa je vsako leto še vedno nekaj deset ali sto. Zato si oglejmo še častne omembe. V LinkedIn so vdrli lani in odnesli podatke skoraj 167 milijonov uporabnikov. Konec decembra 2015 so v internetu odkrili javno dostopno zbirko s podatki 191 milijonov ameriških volilnih upravičencev. Razlog ni bil vdor, temveč napačna sestava. Junija 2015 je bila tarča vdora kadrovska agencija ameriške zvezne vlade (Office of Personnel Management), ki so ji odtujili podatke o 21 milijonih uslužbencev. Decembra 2013 so hekerji vdrli v sistem ameriške trgovske verige Target in ukradli podatke o plačilnih karticah 40 milijonov strank. Daljšo brado ima vdor v PlayStation Network leta 2011, kjer so dobili osebne podatke 77 milijonov strank, zaradi česar je bila storitev tri tedne izključena. Podobnih napadov je še malo morje, a nekje je pač treba narediti piko.

Tabela [PDF]

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji