IT kutak - IT ćoše jednog informatičara

U petak (17.4.2015) nas je sačekala vest da je sajt Teleprompter.rs oboren. Imajući u vidu sve češće napade na ovaj, ali i druge, po mom mišljenju mnogo relevantnije sajtove - to i nije neka vest. Međutim, ono što je "podiglo obrve" svima koji su iole upućeni u oblast bezbednosti informacija jeste činjenica da je pored obaranja sajta - obrisano sve što je bilo povezano sa tim sajtom. Podaci, mail adrese, nalozi i stranice na društvenim mrežama. Sve. Dok se drugi bave pitanjem "Zašto?", meni puls ubrza kad razmislim na temu "Kako?"

Uvek prva pretpostavka - ljudski faktor

Na ovom blogu ste u više navrata mogli da pročitate da je čovek često najslabija karika u lancu sigurnosnih faktora i da se oblast bezbednosti informacija u tome ne razlikuje od drugih oblasti. Na ovoj činjenici se bazira i čitava "nauka" pod imenom Social Engineering čiji je cilj da, uz korišćenje tehnika obmane i ljudskih "slabosti", dođe do privilegovanih podataka, položaja, ili neke druge koristi. Šta to u slučaju Teleprompter.rs može da znači?

Kada čujem da je nekome "OBRISANO SVE" to obično znači jednu od dve stvari:

1) SVE je bilo registrovano na jednu centralnu mail adresu koja nije bila adekvatno obezbeđena pa je u tom slučaju potrebno doći samo do šifre te mail adrese a onda (najčešće) kroz proces resetovanja šifre doći do pristupa i ostalim mail adresama, nalozima, stranicama.

2) SVE je bilo registrovano na niz različitih mail adresa, ali je za sve naloge, stranice, adrese korišćena JEDNA ŠIFRA ili neke jednostavne (lako predvidive) varijacije iste šifre. Pitanje za vas: Koliko različitih šifri imate? Da li vam je ista šifra za mail i Facebook? Da li vaše šifre sadrže imena ili datume koji su vam bitni?

Ukratko, najsigurnija brava na svetu je apsolutno beskorisna ako ključ ostavljate ispod otirača. I kao što možete sami zaključiti, u jednom takvom hakovanju skoro da nema ničeg spektakularnog. Ako zanemarimo onaj deo da ipak treba doći do te jedne šifre koja je potrebna da se ceo lanac sigurnosnih zaštita raspadne. Međutim, jedna stvar je bila dovoljna da odbacim prethodne dve tačke.

2-factor autentifikacija

U tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvršio hakovanje" koji potpisuje glavni i odgovorni urednik sajta Teleprompter.rs se sa malo više detalja opisuje način registrovanja i zaštite naloga. Ono što je interesantno za ovu priču, nalozi su bili registrovani na više mail adresa, dakle to isključuje tačku 1. Šifre na tim nalozima su se razlikovale. I najinteresantniji detalj - korišćena je 2-factor autentifikacija. Šta to znači?

Većina korisnika za logovanje na sajtove, mail adrese i društvene mreže još uvek koristi samo username/password kombinaciju. Primer:

• 1) korisnici Gmaila unose samo korisničko ime i šifru za logovanje.
• 2) nakon potvrde da su uneti podaci ispravni, korisnik dobija pristup svom mailu

2-factor autentifikacija uvodi još jedan uslov koji je potrebno ispuniti za logovanje. Kod pomenutog Gmaila (ali i većine drugih servisa) to sad izgleda ovako:

• 1) korisnik unosi korisničko ime i šifru,
• 2) nakon potvrde da su uneti podaci ispravni Gmail šalje nasumično generisan i vremenski ograničen kod putem SMS-a ili telefonskog poziva
• 3) korisnik unosi kod iz SMS-a ili telefonskog poziva u polje koje se prikazalo na sajtu
• 4) nakon potvrde da je i ovaj  podatak ispravan korisnik dobija pristup svom mail nalogu.

Dakle, nije dovoljno samo uneti dobar kod, već uneti ga na vreme. Najčešće su vremenska ograničenja kodova 10 ili 15 minuta, ali ima i onih koji su validni 24h (zavisi od servisa). Jednom iskorišćen kod više nije validan. U svetlu ovih informacija, da se vratimo na pitanje šta to u slučaju Teleprompter.rs može da znači?

Da bi se uspešno preuzeo nalog koji je zaštićen 2-factor autentifikacijom, napadač bi najpre morao da na neki od načina pribavi korisničko ime i šifru tog naloga. Međutim, kako mu to nije dovoljno za logovanje, napadač bi najpre morao da sazna broj telefona koji je vezan za taj nalog, a zatim "presretne" SMS poruku ili poziv u kojem se nalazi kod. Međutim, najsofisticiraniji deo ovog napada se odnosi na "hakovanje" telefona. Zašto?

Ko je čovek u sredini?

Da bi se presrela komunikacija između vašeg telefona i bazne stanice mobilne telefonije, najčešće se koristi "man in the middle" ("čovek u sredini", "posrednik") tehnika. Za ovu tehniku potreban vam je uređaj kojeg bazna stanica mobilne telefonije "vidi" kao vaš mobilni telefon. A sa druge strane, vaš mobilni telefon taj uređaj vidi kao baznu stanicu mobilne telefonije. Na ovaj način, uređaj se postavlja između vas i bazne stanice pa na taj način hvata sve što vi šaljete baznoj stanici i sve što bazna stanica šalje vama.

Taj uređaj se može podesiti tako da samo prosleđuje komunikaciju pa vlasnik mobilnog nije ni svestan presretanja, ali se može i podesiti tako da određene pozive i poruke prosleđuje na potpuno drugi uređaj, npr. laptop ili drugi mobilni telefon. Međutim, za ovako ciljano presretanje, priča je mnogo komplikovanija za sprovođenje u praksi. Zašto?

Oprema

Pre svega, oprema za jedan ovakav poduhvat je lako dostupna, legalna ali nije jeftina, tj. u opremu će uložiti samo oni koji se bave oblastima u kojima se ona koristi. U praksi se najčešće koristi slobodan OpenBTS softver na nekoj od hardverskih SDR rešenja (Software defined radio). Gotova rešenja prelaze cifru od 2500€, ne računajući dodatne komponente (laptop, antene, druga softverska rešenja,...). Na Internetu se mogu naći i šeme za samostalno sklapanje ovakvih uređaja, što bi u našem slučaju dodatno svedočilo o rešenosti ali i stručnosti napadača (tj. elektronika, pravljenje i povezivanje integrisanih ploča nije hobi za koji se odlučuje veliki broj ljudi).

Način funkcionisanja mobilnog telefona

Počevši od uključivanja telefona, bez obzira da li je u njemu SIM kartica ili ne, on komunicira sa okolnim baznim stanicama. Odluku na koju će se stanicu povezati, vaš mobilni telefon donosi na osnovu jačine signala i vlasnika bazne stanice, tj. ako ste Telenor korisnik - neće se povezati na baznu stanicu drugog operatera. Ali to nije sve.

Zamislite da ste u autobusu koji se kreće autoputem i neprestano razgovarate telefonom. U toku razgovora, vaš telefon se sa jedne bazne stanice povezuje na drugu i tako redom, jer jedna bazna stanica pokriva nekih 10km (ovo varira u zavisnosti od tipa stanice, terena kojeg pokriva, prepreka, materijala...).

Kako vam razgovor ne bi "pucao" kad god se telefon poveže sa jedne stanice na drugu, vaš telefon konstantno ima listu od bar 3 bazne stanice kojima je okružen. Kada primeti da signal sa jedne stanice slabi a sa druge jača, telefon pripremi konekciju za povezivanje na tu stanicu (tzv. Handover). Šta nam sve to govori?

Ko je čovek pred prozorom?

Kako bi se vaš mobilni telefon povezao na napadačev uređaj, potrebno je da "pomisli" da je taj uređaj zapravo legitimna bazna stanica. Da bi se to desilo:

• 1) Napadačev uređaj mora da preuzme identitet (identifikacione kodove) neke od stanica koje se nalaze u okolini vašeg mobilnog telefona (setite se, mobilni telefon ima listu)
• 2) Zatim, signal sa napadačevog uređaja mora da bude jači od signala legitimne bazne stanice. Da bi se to desilo, napadač mora da vam bude prilično blizu ili da ima ogromnu antenu. Ogromne antene su pre svega vrlo uočljive a u ovom slučaju zahtevaju i prilično jako napajanje pa je izbor napadača u praksi najčešće - fizička blizina vašem telefonu.

Međutim, da bi napadačev uređaj bio predstavljen baznoj stanici kao vaš telefon, uređaj mora da preuzme identitet vašeg telefona. To je lakše reći nego uraditi. Pomenuo sam da vaš telefon konstantno komunicira sa baznom stanicom. Deo komunikacije je provera identiteta, tj. bazna stanica postavi pitanje telefonu na koje samo telefon može da zna odgovor. Da stvar bude komplikovanija - ta komunikacija je kriptovana (zaštićena). Šta se desi kada bazna stanica postavi pitanje telefonu a dobije pogrešan odgovor, ne dobije odgovor uopšte, ili ne dobije odgovor u roku od sekunde? Razgovor "pukne", a vaš telefon postane "nedostupan".

"Trik" koji napadači koriste kako bi došli do tog kriptovanog koda se sastoji u sledećem: napadačev uređaj se predstavlja kao 2G bazna stanica, što automatski primenjuje 2G nivo enkripcije. Ovaj nivo je vrlo ranjiv i dobar računar može na vreme da je "razbije", dođe do zaštićenog koda i prosledi ga pravoj baznoj stanici. Ovaj postupak se ponavlja kad god prava bazna stanica uputi zahtev mobilnom telefonu. A ipak...

Možda nema čoveka u sredini

U ranije pomenutom tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvršio hakovanje", pominje se da je originalni broj telefona koji je bio vezan za nalog zamenjen brojem +381 64 000 2232. To mi se učinilo odmah zanimljivim jer - koliko ljudi znate sa brojem telefona koji počinje sa tri nule? A opet, da li bi ga neko koristio u nekom hakovanju umesto da kupi neki prepaid? (ja sam od onih što se sentimentalno vežu za broj telefona).

Ako još malo razmislimo o formatu broja - on jeste zanimljiv. Da li je moguće da se broj koristi za rad sa baznim stanicama? Često ekipe mobilnih operatera na terenu imaju posebne uređaje koji im služe za dijagnostiku, testiranja, merenja. Ti uređaji neretko imaju zanimljive "brojeve telefona". Da li je moguće da je napadač nekako došao do jednog od tih brojeva/uređaja i iskoristio ih da direktno pristupi baznoj stanici? U tom slučaju ne bi bilo potrebe za  klasičnim "man in the middle" napadom. Pitanje o broju telefona sam postavio Telekomu ali za sada nema potvrde (ni negiranja) ovog scenarija. Kada odgovor bude stigao, uključiću ga u tekst. (odgovor se nalazi na kraju teksta)

Možda nema čoveka uopšte

Ne baveći se pitanjem "Zašto?", dotaknuću malo pitanje "Ko?". Nije moguće ignorisati "slučajnosti" da su se napadi na sajtove uvek dešavali nakon objavljivanja kritičkog sadržaja na račun vladajućih struktura i garnitura. U skladu sa tim, uvek postoji polemika:

1) Da li su sajtovi zaista napadani? A ukoliko jesu princip Okamove oštrice u tom slučaju direktno optužuje vlast. Procureli podaci o programima koje koriste IT timovi stranaka dodatno podržavaju ovaj tabor. Međutim, dosadašnji napadi nisu bili mnogo sofisticiraniji od klasičnog DDoS napada (kad 5000 pokuša u istom trenutku da uđe u klub kroz jedna vrata, pa na kraju niko ne može ni da uđe ni da izađe) pa nije bilo ni neke ozbiljnije analize i potrage za napadačima.

2) Ili su vlasnici sajtova (radi marketinga) sami obarali svoje sajtove? Iako je ovo nelogičan korak, ne može se isključiti takav scenario. U taj scenario naravno spadaju i tehničke karakteristike sajtova/servera jer se dešavalo da sajtovi budu nedostupni zbog toga što njihovi serveri ne mogu da izdrže znatno veću posetu. Detalj koji u slučaju Teleprompter.rs podržava ovaj tabor jeste lokacija napadača, tj. Google nalog je identifikovao tip računara i lokaciju na osnovu IP adrese što je redovna stvar kada redovno pristupate svom GMail nalogu. Međutim, zašto bi se neko pomučio da koristi vrlo naprednu tehniku i tehnologiju za presretanje komunikacije, a onda "zaboravio" da koristi neki od proxy servera koji mu maskiraju fizičku i IP adresu (što sada koriste i obični korisnici kada žele da pristupe Spotify servisu)?

Nakon svega - nekoliko dodatnih pojašnjenja

Sajt Teleprompter.rs je dospeo u moj "vidokrug" nakon teksta o "Culture Exchange" klubu koji je po mom mišljenju sadržao i elemente poziva na linč - što je na kraju rezultiralo i višestrukim napadima na prostorije kluba. Gledano iz tog ugla ali i kvalitativnog, sajt Teleprompter.rs nije imao neki značajan doprinos za onaj misleći deo populacije. Međutim, duboko držim do toga da svako ima pravo na reč uz odgovornosti koje idu uz to pravo.

Kao osnova za ovaj tekst su poslužili podaci koje je izneo glavni i odgovorni urednik sajta Teleprompter.rs. Nisam imao pristupa nalozima, logovima, serverima pa je moja analiza zasnovana samo na javno dostupnim podacima, znanju i iskustvu koje sam do sada stekao kroz obrazovanje i praksu. (educated guess)

Ukoliko je sve ili bar veći deo podataka iz teksta glavnog i odgovornog urednika sajta Teleprompter.rs istinit, hakovanje tog sajta je vrlo ozbiljna stvar koju bi pored organa za borbu protiv visokotehnološkog kriminala morali da ispitaju i mobilni operateri (jer se neko petlja sa njihovim baznim stanicama i uređajima njihovih korisnika). Radi objektivnosti, želim i da dodam da ceo ovaj tekst "pada u vodu" ukoliko je ključni korak u napadu obavljen preko naloga koji nije bio zaštićen 2-factor autentifikacijom. U tom slučaju bi napad svejedno bio vrlo ozbiljan i složen ali daleko jednostavniji od gore opisane manipulacije 2-factor zaštite.

UPDATE: Na upućeno pitanje Telekomu preko Twittera, stigao je odgovor da Telekom Srbija ne raspolaže traženim informacijama. Na pitanje da li zahtev mogu proslediti nekome ko tim informacijama raspolaže - nije bilo odgovora. Na pitanje da li je infrastruktura kompanije Telekom Srbija zloupotrebljena u nezakonitom presretanju komunikacija i ukazivanje na ozbiljnost tih implikacija dobili smo savet da se obratimo najbližoj poslovnici sa žalbom. Screenshot komunikacije je dat ispod ovog teksta. 

**slike preuzete sa portala Teleprompter.rs i Owasp.org