A múlt héten számoltunk arról a nagy port felvert ügyről, amelynek lényege, hogy egy hacker megszerzett a Twitter egyik alapítójának Google Apps-fiókjából több száz bizalmas természetű, a vállalkozás gazdasági ügyeit, terveit tartalmazó dokumentumot. Ilyen támadások mindennaposak, ám ez az ügy több szempontból is különösen érdekes. Egyrészt, mert napjaink egyik legdinamikusabban fejlődő IT-cégéről van szó. Másrészt pedig azért, mert a megszerzett fájlokat a hacker elküldte a TechCrunch nevű lapnak, akik ezek közül többet nyilvánosságra hoztak – arról még most is folyik a vita és birkózás, hogy vajon mennyire volt jogszerű az újságírók lépése.
De a legizgalmasabb mégis az a módszer, amellyel „Hacker Croll” megszerezte a jelszavakat és az azonosítókat, mivel iskolapéldaként mutatja be az internetes munkában, az online adattárolásban fellelhető biztonsági kockázatokat. A múlt héten még keveset lehetett erről tudni, de a hét végén a TechCrunch (némiképp talán a figyelmet elterelendő az etikailag megkérdőjelezhető dokumentumközlésről) a Hacker Crolltól kapott információk alapján részletesen bemutatta a történet hátterét, a hacker által alkalmazott módszereket. (A hét második felére ígérik a folytatást, amelyben azt kívánják elemezni, hogy a Twitter a színfalak mögött hogyan reagált a történtekre.)
Hacker Croll
A huszonéves, jelenleg munkanélküli francia hacker sikerének hátterében semmiféle csoda, zsenialitás nem áll; azt csinálta, amit egy jó hacker szokott: türelmes volt, szánt rá bőven időt, eltökélt volt, s ehhez csak néhány alapvető, rég ismert technikát választott, melyek korántsem titkosak. A nagy trükk az volt az akció során, hogy felismert egy rendszerbeli gyöngeséget: míg a mai népszerű internetes szolgáltatások – az amerikai példát véve: Gmail, Google Apps, GoDaddy, MobileMe, AT&T, Amazon, Hotmail, Paypal és iTunes – önmagukban komoly védelemmel rendelkeznek a támadásokkal szemben, ám ha e szolgáltatásokat rendszernek tekintjük, kapcsolataikat elemezve hirtelen feltárul egy védtelen mező.
Hacker Croll első lépésként egy olyan módszert választott, amelytől – a biztonsági ügyekről szóló topikok tanulságai alapján – sajnos még az IT café hozzáértő olvasóinak egy része sem tart: miután célba vette a Twittert, az interneten teljesen nyilvános oldalak segítségével elkezdett profilokat készíteni a vállalat alkalmazottairól. Gond nélkül össze tudta gyűjteni az ilyen információkat: az illető neve, vállalati e-mail címe, beosztása, születési dátuma, háziállatainak neve és egyéb személyes adatokat. Majd ezeket rendszerezte a későbbi felhasználás céljából.
Ezek után jött a következő lépés, amikor megkereste azokat a belépési pontokat, ahol a már számba vett alkalmazottak használhatják a netet – nagy valószínűséggel az általa összegyűjtött adatokat alkalmazva. Két dolgot használt ki ezek után: a felhasználóktól a webes alkalmazások azonosítóként egy e-mail címet követelnek meg, illetve, hogy ehhez egy jelszót kell választani; s ezzel már meg is van a kulcs, hiszen az emberek hajlamosak arra, hogy azonos adatokkal dolgozzanak – még a professzionális IT-szakemberek egy része is. Az internet hőskorából származó „bizalmi tényező” pedig a legtöbb webes alkalmazásnál, szolgáltatásnál jelen van: szinte mindenütt megtalálhatóak az „elfelejtettem a jelszavam”-típusú opciók.
A Twitter sem kivétel, sőt. Ha a működését tekintjük, az egész cég online módon üzemel, ami azt jelenti, hogy az alkalmazottak munkájuk döntő részét, az adatmegosztást online, a hálózaton keresztül végzik, leginkább e-mailek segítségével. Ez a rendszer így egy lánccá épül fel, amelynek szilárdságát – ahogy a közhely tartja – a leggyengébb láncszem határozza meg. Hacker Croll dolga csak annyi volt, hogy megtalálja ezt a gyenge láncszemet.
Hogyan csinálta?
Találgatással rájött, hogy ki az, akinek az online viselkedése tipikus, nem tér el a felhasználók 98 százaléka által produkálttól. Az egyik alkalmazott esetében küldött a Gmailnek egy üzenetet, melyben élt a felkínált lehetőséggel, és új jelszót szeretett volna kérni. Ezt többször megpróbálta másoknál is, ám az áttörés mégis itt következett be. A fent említett esetben a Gmail honlapja arról értesítette, hogy új jelszavát elküldték a másodlagos („secondary”) e-mail címre, melyet így jelenített meg a szolgáltatás: ******@h******.com. Nem volt nehéz kitalálni, hogy ez egy hotmail-cím.
A hotmail esetében Croll újra az elfelejtett jelszó menühöz folyamodott – feltételezte, hogy az azonosító ugyanaz, amit már ismert. És ekkor borult a dominó. Az adott alkalmazott már rég nem használta ezt az e-mailt, ezért a hotmail – szabályzatának megfelelően – törölte a fiókot. Innen már egyszerű volt. Az azonosító alapján létrehozott egy új fiókot, majd újra lekérte a Gmailtől az elfelejtett jelszót, amit szépen meg is kapott az újonnan létrehozott hotmail-fiókba.
Tehát megvolt a hozzáférése az illető Gmail-fiókjához.
Ám az volt a gond (ez volt a legnagyobb kockázat, itt bukhatott volna le), hogy a fiók most új jelszóval működött, vagyis a tulajdonos nem tudta használni, de erre is talált egy ízlés szerint pofátlannak vagy szellemesnek nevezhető megoldást. Nem sokat kellett keresnie a levelek között, amikor ráakadt egy olyanra, melyben az alkalmazott egy másik webes szolgáltatásnál egy általa elfelejtett jelszó után érdeklődött, s kapott egy olyan levelet, amilyet már mindannyian: „Az ön azonosítója: Malacka, jelszava: Farkas1”. Ezek után jött a próba: a hacker kicserélte az új Gmail jelszót erre, amelyet a felhasználó más szolgáltatásoknál használt, hogy ellenőrizze, majd figyelt, hogy működik-e még tovább a fiók – s működött, a felhasználó nem vett észre semmit, tehát ugyanazt a jelszót használta, ahogy a hacker feltételezte.
Ezek után a megismert azonosítóval és jelszóval próbálkozott a nyilvánvaló, illetve feltételezett szolgáltatásoknál, amelyeket az illető igénybe vett. A legtöbb esetben azt tapasztalta, hogy be tud lépni, de ha a már ismert jelszó nem működött, újra bedobta az „elfelejtett jelszó”-módszert, és már meg is volt a keresett adat. És itt már nem is borult, hanem omlott a dominósor: hozzáfért az illető telefonos adataihoz, az amazonos vásárlástörténetéhez stb.
A TechCrunchnak írott levelében Hacker Croll igazi hackerként mutatkozott meg. Mint írta, semmiféle haszonszerzés nem motiválta, a lehetséges veszélyforrásokra kívánta felhívni a figyelmet.
