Špionáž začíná v odpadkovém koši
Neděle, 13 Červen 2010 20:41
Autor: Tomáš Přibyl, externí redaktor ICT SECURITY
Informační a komunikační bezpečnost není jen o ochraně elektronických dokumentů a dat: tyto jsou zpravidla vytváření z papírových předloh, nebo se naopak záznamy v papírové podobě z nich vytvářejí.
Absurdní přitom je, že se dostáváme do přesně opačného extrému, než v jakém jsme byli před nějakými deseti lety. Zatímco tehdy byla poměrně solidně propracovaná fyzická bezpečnost papírových dokumentů – od jejich pohybu, přes skladování až po likvidaci – a jejich elektronické předlohy se „povalovaly“ všude možně (od vyřazených disků přes diskety v odpadkovém koši až po naprosto nezabezpečené počítače a sítě), dnes je tomu přesně naopak.
Zatímco bezpečnost elektronických dokumentů chrání více či méně sofistikované systémy, papírové velkoryse přehlížíme. Ostatně, společnost DeviceLock nedávno zveřejnila průzkum, že tři ze čtyř systémů DLP (Data Loss Prevention) neumí ošetřit únik dat právě skrze tiskárny!
A tak znovu přichází do módy stará dobrá metoda prvních hackerů: tzv. dumpster diving (což můžeme přeložit jako „prolézání smetí“). Lze se ovšem setkat i s dalšími názvy, jakými jsou např. binning, d-mart, dumpstering, garbaging, garbage picking, garbage gleaning, skip-radiding, skipping nebo trashing. Podstata metody je ale vždy stejná: prozkoumat kancelářský nebo domácí odpad s cílem najít něco užitečného. V obecné rovině je to pod pojmem „užitečného“ míněno absolutně cokoliv – jídlo, oblečení, předměty denní potřeby, spotřební elektronika… My se ale zaměříme na informace, které mohou ohrozit bezpečnost počítačových systémů.
Proč vůbec „jít“ do odpadkových košů? Co k tomu hackery vede? „Největší hacker světa“ Kevin Mitnick na svých školeních o informační bezpečnosti pravidelně provádí následující úkon. Nechá si přinést z několika kanceláří odpadkové koše, vysype jejich obsah na stůl a přebere jej. A to před zraky všech přítomných. Tvrdí, že se mu ještě nikdy nestalo, že by nenašel nějakou zajímavou a neveřejnou informaci.
A přesně o tom to je: hackery do odpadků neženou fyzické věci (i když i ty se zde občas najdou a jsou vlastně jakousi mimořádnou prémií), nýbrž právě informace. Kritikové této metody namítají, že příliš spoléhá na prvek náhody a že není cílená. Že většina informací potřebných pro provedení útoku se dá získat mnohem pohodlněji a jednodušeji pomocí metod sociálního inženýrství.
Zastánci se naopak brání poměrně logickým argumentem, že „vytěžování“ odpadků jim umožňuje o útoku uvažovat v mnohem širších souvislostech. Jinými slovy: nejsou odkázáni na nějaké osobní domněnky nebo kusé informace, ale mohou získat další informace, které je jednak mohou navést a jednak jim mohou hodně napovědět o možných směrech vedení útoků. Ostatně, dumpster diving běžně používá třeba i policie nebo tajné služby.
Mohl by o tom vyprávět třeba Microsoft, který se před několika lety stal terčem podobného útoku. Jistá detektivní kancelář prý nabídla 1200 dolarů uklízečům ve firmě Association for Competitive Technology za odpadky z kanceláří Microsoftu! Tato cena napovídá, že opravdu nejde o poslední metodu zoufalců, ale o regulérně využívaný způsob získávání informací.
Co vlastně lze všechno v popelnicích najít a co z toho lze získat? Nejzajímavější věcí, kterou odpadky obsahují, jsou podle všech „prolézačů košů“ žluté poznámkové papírky PostIt. Na ně si v rychlosti píšeme vzkazy nebo podstatné informace před tím, než je přepíšeme do počítače, diáře, do kalendáře… Ostatně, je to taková přirozená lidská vlastnost: když máme nové heslo (do počítačové sítě nebo třeba i k alarmu), nové prostředí, nové informace, tak si je nejprve rychle někam a nějak poznačíme, abychom nezapomněli. Až následně se věnujeme jejich třídění, přičemž původní záznam se stává nepotřebným a končí právě v odpadkovém koši.
Kromě rukou psaných poznámek majících hodnotu zlata najdeme v odpadcích také CD nebo DVD nosiče (i ze špatně vypálených může útočník získat určité informace!), manuály, návrhy smluv, špatně vytištěné dokumenty, nepotřebné vytištěné dokumenty (podívejte se, kolik informací může někdy o komunikujících stranách prozradit běžná e-mailová zpráva!), účetní svodky, výpisy, navštívenky…
Zlatá éra prolézání odpadků je sice nejspíše za námi: je to dáno mnoha okolnostmi. Dnešní firmy jsou více uzavřené, než byly před několika lety. I popelnice se nachází uvnitř jejich soukromých areálů, kde je fyzický přístup pochopitelně obtížný. Firmy se chovají ekologičtěji, takže odpadky třídí a všechno nekončí v popelnicích.
Na druhou stranu: dumpster diving zde stále představuje zcela reálné nebezpečí. A podle toho k němu musíme přistupovat.
