IT kutak - IT ćoše jednog informatičara

U petak (17.4.2015) nas je sa?�ekala vest da je sajt Teleprompter.rs oboren. Imaju?i u vidu sve ?�e�?e napade na ovaj, ali i druge, po mom mi�ljenju mnogo relevantnije sajtove - to i nije neka vest. Me?utim, ono �to je "podiglo obrve" svima koji su iole upu?eni u oblast bezbednosti informacija jeste ?�injenica da je pored obaranja sajta - obrisano sve �to je bilo povezano sa tim sajtom. Podaci, mail adrese, nalozi i stranice na dru�tvenim mre�ama. Sve. Dok se drugi bave pitanjem "Za�to?", meni puls ubrza kad razmislim na temu "Kako?"

Uvek prva pretpostavka - ljudski faktor

Na ovom blogu ste u vi�e navrata mogli da pro?�itate da je ?�ovek ?�esto najslabija karika u lancu sigurnosnih faktora i da se oblast bezbednosti informacija u tome ne razlikuje od drugih oblasti. Na ovoj ?�injenici se bazira i ?�itava "nauka" pod imenom Social Engineering ?�iji je cilj da, uz kori�?enje tehnika obmane i ljudskih "slabosti", do?e do privilegovanih podataka, polo�aja, ili neke druge koristi. Šta to u slu?�aju Teleprompter.rs mo�e da zna?�i?

Kada ?�ujem da je nekome "OBRISANO SVE" to obi?�no zna?�i jednu od dve stvari:

1) SVE je bilo registrovano na jednu centralnu mail adresu koja nije bila adekvatno obezbe?ena pa je u tom slu?�aju potrebno do?i samo do �ifre te mail adrese a onda (naj?�e�?e) kroz proces resetovanja �ifre do?i do pristupa i ostalim mail adresama, nalozima, stranicama.

2) SVE je bilo registrovano na niz razli?�itih mail adresa, ali je za sve naloge, stranice, adrese kori�?ena JEDNA ŠIFRA ili neke jednostavne (lako predvidive) varijacije iste �ifre. Pitanje za vas: Koliko razli?�itih �ifri imate? Da li vam je ista �ifra za mail i Facebook? Da li va�e �ifre sadr�e imena ili datume koji su vam bitni?

Ukratko, najsigurnija brava na svetu je apsolutno beskorisna ako klju?� ostavljate ispod otira?�a. I kao �to mo�ete sami zaklju?�iti, u jednom takvom hakovanju skoro da nema ni?�eg spektakularnog. Ako zanemarimo onaj deo da ipak treba do?i do te jedne �ifre koja je potrebna da se ceo lanac sigurnosnih za�tita raspadne. Me?utim, jedna stvar je bila dovoljna da odbacim prethodne dve ta?�ke.

2-factor autentifikacija

U tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvr�io hakovanje" koji potpisuje glavni i odgovorni urednik sajta Teleprompter.rs se sa malo vi�e detalja opisuje na?�in registrovanja i za�tite naloga. Ono �to je interesantno za ovu pri?�u, nalozi su bili registrovani na vi�e mail adresa, dakle to isklju?�uje ta?�ku 1. Šifre na tim nalozima su se razlikovale. I najinteresantniji detalj - kori�?ena je 2-factor autentifikacija. Šta to zna?�i?

Ve?ina korisnika za logovanje na sajtove, mail adrese i dru�tvene mre�e jo� uvek koristi samo username/password kombinaciju. Primer:

• 1) korisnici Gmaila unose samo korisni?�ko ime i �ifru za logovanje.
• 2) nakon potvrde da su uneti podaci ispravni, korisnik dobija pristup svom mailu

2-factor autentifikacija uvodi jo� jedan uslov koji je potrebno ispuniti za logovanje. Kod pomenutog Gmaila (ali i ve?ine drugih servisa) to sad izgleda ovako:

• 1) korisnik unosi korisni?�ko ime i �ifru,
• 2) nakon potvrde da su uneti podaci ispravni Gmail �alje nasumi?�no generisan i vremenski ograni?�en kod putem SMS-a ili telefonskog poziva
• 3) korisnik unosi kod iz SMS-a ili telefonskog poziva u polje koje se prikazalo na sajtu
• 4) nakon potvrde da je i ovaj  podatak ispravan korisnik dobija pristup svom mail nalogu.

Dakle, nije dovoljno samo uneti dobar kod, ve? uneti ga na vreme. Naj?�e�?e su vremenska ograni?�enja kodova 10 ili 15 minuta, ali ima i onih koji su validni 24h (zavisi od servisa). Jednom iskori�?en kod vi�e nije validan. U svetlu ovih informacija, da se vratimo na pitanje �ta to u slu?�aju Teleprompter.rs mo�e da zna?�i?

Da bi se uspe�no preuzeo nalog koji je za�ti?en 2-factor autentifikacijom, napada?� bi najpre morao da na neki od na?�ina pribavi korisni?�ko ime i �ifru tog naloga. Me?utim, kako mu to nije dovoljno za logovanje, napada?� bi najpre morao da sazna broj telefona koji je vezan za taj nalog, a zatim "presretne" SMS poruku ili poziv u kojem se nalazi kod. Me?utim, najsofisticiraniji deo ovog napada se odnosi na "hakovanje" telefona. Za�to?

Ko je ?�ovek u sredini?

Da bi se presrela komunikacija izme?u va�eg telefona i bazne stanice mobilne telefonije, naj?�e�?e se koristi "man in the middle" ("?�ovek u sredini", "posrednik") tehnika. Za ovu tehniku potreban vam je ure?aj kojeg bazna stanica mobilne telefonije "vidi" kao va� mobilni telefon. A sa druge strane, va� mobilni telefon taj ure?aj vidi kao baznu stanicu mobilne telefonije. Na ovaj na?�in, ure?aj se postavlja izme?u vas i bazne stanice pa na taj na?�in hvata sve �to vi �aljete baznoj stanici i sve �to bazna stanica �alje vama.

Taj ure?aj se mo�e podesiti tako da samo prosle?uje komunikaciju pa vlasnik mobilnog nije ni svestan presretanja, ali se mo�e i podesiti tako da odre?ene pozive i poruke prosle?uje na potpuno drugi ure?aj, npr. laptop ili drugi mobilni telefon. Me?utim, za ovako ciljano presretanje, pri?�a je mnogo komplikovanija za sprovo?enje u praksi. Za�to?

Oprema

Pre svega, oprema za jedan ovakav poduhvat je lako dostupna, legalna ali nije jeftina, tj. u opremu ?e ulo�iti samo oni koji se bave oblastima u kojima se ona koristi. U praksi se naj?�e�?e koristi slobodan OpenBTS softver na nekoj od hardverskih SDR re�enja (Software defined radio). Gotova re�enja prelaze cifru od 2500€, ne ra?�unaju?i dodatne komponente (laptop, antene, druga softverska re�enja,...). Na Internetu se mogu na?i i �eme za samostalno sklapanje ovakvih ure?aja, �to bi u na�em slu?�aju dodatno svedo?�ilo o re�enosti ali i stru?�nosti napada?�a (tj. elektronika, pravljenje i povezivanje integrisanih plo?�a nije hobi za koji se odlu?�uje veliki broj ljudi).

Na?�in funkcionisanja mobilnog telefona

Po?�ev�i od uklju?�ivanja telefona, bez obzira da li je u njemu SIM kartica ili ne, on komunicira sa okolnim baznim stanicama. Odluku na koju ?e se stanicu povezati, va� mobilni telefon donosi na osnovu ja?�ine signala i vlasnika bazne stanice, tj. ako ste Telenor korisnik - ne?e se povezati na baznu stanicu drugog operatera. Ali to nije sve.

Zamislite da ste u autobusu koji se kre?e autoputem i neprestano razgovarate telefonom. U toku razgovora, va� telefon se sa jedne bazne stanice povezuje na drugu i tako redom, jer jedna bazna stanica pokriva nekih 10km (ovo varira u zavisnosti od tipa stanice, terena kojeg pokriva, prepreka, materijala...).

Kako vam razgovor ne bi "pucao" kad god se telefon pove�e sa jedne stanice na drugu, va� telefon konstantno ima listu od bar 3 bazne stanice kojima je okru�en. Kada primeti da signal sa jedne stanice slabi a sa druge ja?�a, telefon pripremi konekciju za povezivanje na tu stanicu (tzv. Handover). Šta nam sve to govori?

Ko je ?�ovek pred prozorom?

Kako bi se va� mobilni telefon povezao na napada?�ev ure?aj, potrebno je da "pomisli" da je taj ure?aj zapravo legitimna bazna stanica. Da bi se to desilo:

• 1) Napada?�ev ure?aj mora da preuzme identitet (identifikacione kodove) neke od stanica koje se nalaze u okolini va�eg mobilnog telefona (setite se, mobilni telefon ima listu)
• 2) Zatim, signal sa napada?�evog ure?aja mora da bude ja?�i od signala legitimne bazne stanice. Da bi se to desilo, napada?� mora da vam bude prili?�no blizu ili da ima ogromnu antenu. Ogromne antene su pre svega vrlo uo?�ljive a u ovom slu?�aju zahtevaju i prili?�no jako napajanje pa je izbor napada?�a u praksi naj?�e�?e - fizi?�ka blizina va�em telefonu.

Me?utim, da bi napada?�ev ure?aj bio predstavljen baznoj stanici kao va� telefon, ure?aj mora da preuzme identitet va�eg telefona. To je lak�e re?i nego uraditi. Pomenuo sam da va� telefon konstantno komunicira sa baznom stanicom. Deo komunikacije je provera identiteta, tj. bazna stanica postavi pitanje telefonu na koje samo telefon mo�e da zna odgovor. Da stvar bude komplikovanija - ta komunikacija je kriptovana (za�ti?ena). Šta se desi kada bazna stanica postavi pitanje telefonu a dobije pogre�an odgovor, ne dobije odgovor uop�te, ili ne dobije odgovor u roku od sekunde? Razgovor "pukne", a va� telefon postane "nedostupan".

"Trik" koji napada?�i koriste kako bi do�li do tog kriptovanog koda se sastoji u slede?em: napada?�ev ure?aj se predstavlja kao 2G bazna stanica, �to automatski primenjuje 2G nivo enkripcije. Ovaj nivo je vrlo ranjiv i dobar ra?�unar mo�e na vreme da je "razbije", do?e do za�ti?enog koda i prosledi ga pravoj baznoj stanici. Ovaj postupak se ponavlja kad god prava bazna stanica uputi zahtev mobilnom telefonu. A ipak...

Mo�da nema ?�oveka u sredini

U ranije pomenutom tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvr�io hakovanje", pominje se da je originalni broj telefona koji je bio vezan za nalog zamenjen brojem +381 64 000 2232. To mi se u?�inilo odmah zanimljivim jer - koliko ljudi znate sa brojem telefona koji po?�inje sa tri nule? A opet, da li bi ga neko koristio u nekom hakovanju umesto da kupi neki prepaid? (ja sam od onih �to se sentimentalno ve�u za broj telefona).

Ako jo� malo razmislimo o formatu broja - on jeste zanimljiv. Da li je mogu?e da se broj koristi za rad sa baznim stanicama? ?esto ekipe mobilnih operatera na terenu imaju posebne ure?aje koji im slu�e za dijagnostiku, testiranja, merenja. Ti ure?aji neretko imaju zanimljive "brojeve telefona". Da li je mogu?e da je napada?� nekako do�ao do jednog od tih brojeva/ure?aja i iskoristio ih da direktno pristupi baznoj stanici? U tom slu?�aju ne bi bilo potrebe za  klasi?�nim "man in the middle" napadom. Pitanje o broju telefona sam postavio Telekomu ali za sada nema potvrde (ni negiranja) ovog scenarija. Kada odgovor bude stigao, uklju?�i?u ga u tekst. (odgovor se nalazi na kraju teksta)

Mo�da nema ?�oveka uop�te

Ne bave?i se pitanjem "Za�to?", dotaknu?u malo pitanje "Ko?". Nije mogu?e ignorisati "slu?�ajnosti" da su se napadi na sajtove uvek de�avali nakon objavljivanja kriti?�kog sadr�aja na ra?�un vladaju?ih struktura i garnitura. U skladu sa tim, uvek postoji polemika:

1) Da li su sajtovi zaista napadani? A ukoliko jesu princip Okamove o�trice u tom slu?�aju direktno optu�uje vlast. Procureli podaci o programima koje koriste IT timovi stranaka dodatno podr�avaju ovaj tabor. Me?utim, dosada�nji napadi nisu bili mnogo sofisticiraniji od klasi?�nog DDoS napada (kad 5000 poku�a u istom trenutku da u?e u klub kroz jedna vrata, pa na kraju niko ne mo�e ni da u?e ni da iza?e) pa nije bilo ni neke ozbiljnije analize i potrage za napada?�ima.

2) Ili su vlasnici sajtova (radi marketinga) sami obarali svoje sajtove? Iako je ovo nelogi?�an korak, ne mo�e se isklju?�iti takav scenario. U taj scenario naravno spadaju i tehni?�ke karakteristike sajtova/servera jer se de�avalo da sajtovi budu nedostupni zbog toga �to njihovi serveri ne mogu da izdr�e znatno ve?u posetu. Detalj koji u slu?�aju Teleprompter.rs podr�ava ovaj tabor jeste lokacija napada?�a, tj. Google nalog je identifikovao tip ra?�unara i lokaciju na osnovu IP adrese �to je redovna stvar kada redovno pristupate svom GMail nalogu. Me?utim, za�to bi se neko pomu?�io da koristi vrlo naprednu tehniku i tehnologiju za presretanje komunikacije, a onda "zaboravio" da koristi neki od proxy servera koji mu maskiraju fizi?�ku i IP adresu (�to sada koriste i obi?�ni korisnici kada �ele da pristupe Spotify servisu)?

Nakon svega - nekoliko dodatnih poja�njenja

Sajt Teleprompter.rs je dospeo u moj "vidokrug" nakon teksta o "Culture Exchange" klubu koji je po mom mi�ljenju sadr�ao i elemente poziva na lin?� - �to je na kraju rezultiralo i vi�estrukim napadima na prostorije kluba. Gledano iz tog ugla ali i kvalitativnog, sajt Teleprompter.rs nije imao neki zna?�ajan doprinos za onaj misle?i deo populacije. Me?utim, duboko dr�im do toga da svako ima pravo na re?� uz odgovornosti koje idu uz to pravo.

Kao osnova za ovaj tekst su poslu�ili podaci koje je izneo glavni i odgovorni urednik sajta Teleprompter.rs. Nisam imao pristupa nalozima, logovima, serverima pa je moja analiza zasnovana samo na javno dostupnim podacima, znanju i iskustvu koje sam do sada stekao kroz obrazovanje i praksu. (educated guess)

Ukoliko je sve ili bar ve?i deo podataka iz teksta glavnog i odgovornog urednika sajta Teleprompter.rs istinit, hakovanje tog sajta je vrlo ozbiljna stvar koju bi pored organa za borbu protiv visokotehnolo�kog kriminala morali da ispitaju i mobilni operateri (jer se neko petlja sa njihovim baznim stanicama i ure?ajima njihovih korisnika). Radi objektivnosti, �elim i da dodam da ceo ovaj tekst "pada u vodu" ukoliko je klju?�ni korak u napadu obavljen preko naloga koji nije bio za�ti?en 2-factor autentifikacijom. U tom slu?�aju bi napad svejedno bio vrlo ozbiljan i slo�en ali daleko jednostavniji od gore opisane manipulacije 2-factor za�tite.

UPDATE: Na upu?eno pitanje Telekomu preko Twittera, stigao je odgovor da Telekom Srbija ne raspola�e tra�enim informacijama. Na pitanje da li zahtev mogu proslediti nekome ko tim informacijama raspola�e - nije bilo odgovora. Na pitanje da li je infrastruktura kompanije Telekom Srbija zloupotrebljena u nezakonitom presretanju komunikacija i ukazivanje na ozbiljnost tih implikacija dobili smo savet da se obratimo najbli�oj poslovnici sa �albom. Screenshot komunikacije je dat ispod ovog teksta. 

**slike preuzete sa portala Teleprompter.rs i Owasp.org