Wykorzystanie ludzkich słabości

Od lekceważenia procedur i braku komunikacji w firmie do udanego ataku jest zazwyczaj krótka droga. Do przejęcia zasobów firmy HB hakerzy użyli bardzo prostych metod.

Niebezpieczni ludzie

Gil Shwed, CEO firmy Check Point Software

"Należy pamiętać, że przyczyną problemów jest nie tylko podatność oprogramowania, ale także czynnik ludzki. Gdyby w omawianym ataku CEO HBGary miał bardziej skomplikowane hasło, a COO nie wykorzystywał ponownie tego samego hasła do różnych zasobów, skutki ataków byłyby znacznie mniej dotkliwe. Stosowanie zrozumiałych dla ludzi procedur na pewno zmniejszyłoby ryzyko przejęcia kontroli nad zasobami firmy przez napastników. Wykorzystali oni przecież szeroko znane techniki włamań: podatność stron na SQL Injection, ponowne użycie słabych haseł, nieaktualne systemy oraz zadziwiająca chęć podawania hasła pocztą elektroniczną".

Wypowiedź pochodzi z prezentacji na konferencji Check Point Experience 2012.

Każde przedsiębiorstwo prowadzące działalność w powiązaniu z internetem, choćby posiadające pocztę elektroniczną i stronę WWW, może być zagrożone atakiem. Jego prawdopodobieństwo bardzo wzrasta, gdy w organizacji popełnia się radykalne błędy, a jednocześnie zewnętrzny podmiot jest zainteresowany uzyskaniem dostępu do jej zasobów.

Oba te warunki były spełnione w przypadku firmy HB Gary, sprzedającej produkty i usługi z dziedziny bezpieczeństwa informacji dla podmiotów rządowych (spółka HBGary Federal) oraz komercyjnych (HBGary Inc). Hakerzy od dawna interesowali się działaniami obu spółek, ale oliwy do ognia dolał wywiad przeprowadzony z prezesem Aaronem Barrem, opublikowany na łamach Financial Times. W wywiadzie tym Barr informował, że dysponuje informacjami na temat liderów grupy Anonymous, włącznie z nazwiskami i "gdyby organy ścigania posiadały te same informacje, mogłyby ich aresztować".

Współpracujący z Anonimowymi hakerzy wybrali trzy najważniejsze cele - obie spółki HBGary oraz forum dyskusyjne rootkit.com. Stosowane przez te podmioty niestandardowe rozwiązania zawierały standardowe błędy, które szybko wykorzystano.

Pospolita podatność w systemie CMS

Hakerzy przyjrzeli się systemowi zarządzania treścią hbgaryfederal.com. Okazało się, że jest to nieznane im dotąd oprogramowanie, które zawiera dobrze znaną podatność. Luka dotyczyła niesprawdzanej wartości granicznej dwóch parametrów. Wystarczyło wybrać wartości wykraczające poza normalny zakres, by móc dodatkowo zastosować wstrzyknięcie kodu. W ten sposób pozyskano najważniejsze elementy bazy danych , w tym loginy, hasła i adresy e-mail. Hasła były jednak zaszyfrowane.

Słabe hasła

Pozyskane z ataku na CMS skróty kryptograficzne haseł zostały przetworzone za pomocą dostępnych w internecie narzędzi. Hasła okazały się proste, szczególnie w przypadku dyrektora operacyjnego (COO) firmy HBGary. Pozyskanie haseł do systemu CMS umożliwiło łatwy dostęp do interesujących informacji. Dawało ponadto szansę na kontynuowanie ataku, jeśli przynajmniej jeden z użytkowników wykazał się niefrasobliwością przy korzystaniu z systemu.

To samo hasło do różnych serwisów

Dyrektor operacyjny popełnił ten sam pospolity błąd, co wielu domowych użytkowników. Posiadał to samo hasło do kilku serwisów, wliczając profil na portalu LinkedIn, pocztę Gmail i profil w sieci społecznościowej Twitter. Przejęcie bardzo prostego hasła COO Teda Very (brzmiało ono: sesamy1) oraz CEO Aarona Barra (pw123) umożliwiło przeprowadzenie skoordynowanego ataku obejmującego większość zasobów online w firmie, a także umożliwiającego eksport poczty elektronicznej obu dyrektorów. Ułatwiło także przełamanie zabezpieczeń portalu wsparcia support.hbgary.com, który zawierał niezałataną od ponad 5 miesięcy podatność.

Socjotechnika pomaga we włamaniu

Aby włamać się do portalu rootkit.com, wykorzystano informację, że pewien specjalista do spraw bezpieczeństwa w firmie Nokia posiada dostęp z uprawnieniami systemowymi. Sporządzono zatem fałszywy e-mail o treści: "jestem w Europie i potrzebuję zalogować się na serwer za pomocą SSH, czy możesz otworzyć mi połączenie na porcie 59022 lub podobnym? Czy hasło roota nadal jest 88j4bb3rw0cky88? Czy zmieniliśmy je już na 88Scr3am3r88? Dziękuję".

Odpowiedź przyszła szybko. Specjalista Jussi Jaakonaho spytał się o publiczne IP i poinformował, że polityka bezpieczeństwa zabrania zdalnego dostępu. W odpowiedzi hakerzy wysłali wiadomość: "nie znam mojego publicznego IP, spieszę się bardzo na spotkanie, ustaw mi hasło na changeme123, a ja się zaloguję i sam je zmienię". Co też nastąpiło. Jussi Jaakonaho ustawił połączenie i hasło dostępu zgodnie z życzeniem w wiadomości. Od tego momentu Anonimowi mieli dostęp do wielu zasobów naraz.

7 lutego: dzień ataku

Tego dnia w serwisie Twitter pojawiła się wiadomość opublikowana przez Anonimowych w imieniu Aarona Barra, na jego koncie: "dziś nadeszła dla was nauczka. Gdy ostatecznie decydujemy się na kontratak przeciw tym, którzy nas chcą nas obalić, atakujemy twardo. #koniecgry". Równocześnie umieszczono kompromitujące wpisy na stronach korporacji i portalu rootkit.com, a także opublikowano wiele poufnych wiadomość e-mail, pochodzących z HBGary. Prezes HBGary zrezygnował ze stanowiska, firma wycofała swoje stoisko z najważniejszej konferencji zajmującej się bezpieczeństwem w USA (RSA Conference 2011) i odwołała wszelkie rozmowy biznesowe oraz wywiady. Agencje rządowe rozpoczęły śledztwo związane z analizą wszystkich kontraktów podpisywanych z HBGary.