Ljudi koriste isto korisničko ime i lozinku na različitim internet stranicama...
Šteta zbog računarskog kriminala, samo u Njemačkoj, procjenjuje se na više od 20 milijardi evra, a u svijetu na gotovo 300 milijardi. Sa druge strane, većina neovlašćenih upada u tuđe računare mogla bi da se spriječi.
Kod većine korisnika postoji svijest o opasnosti od hakerskog upada u njihov računar. Sumnjičavi su ako elektronskom poštom dobiju neku spam poruku. Znaju da bi u dodatku mogao da bude neki virus ili trojanac. Ali, zaista opasni napadi na tuđe računare danas se događaju na drugi način, kaže stručnjak za računarsku informatičku Ben Vilijams. On za firmu NCC-Group sprovodi takozvane penetracione testove na programima najpoznatijih proizvođača. Pokušava, dakle, da kao haker „upadne" u programe. I to mu gotovo uvijek uspijeva. Na primjer na servere elektronske pošte.
„Kao haker moram tačno da znam koji je proizvod instaliran na serveru i koju internet-adresu ima taj proizvod. Do tih informacija mogu da dođem tako što pošaljem elektronsku poruku korisnicima koji uopšte ne postoje. Kad ona dođe do firme, prolazi kroz zaštitne filtere, ukoliko ne bude prepoznata kao opasnost", kaže Vilijam.
Poruka upućena nepostojećem korisniku tako prolazi do internog mejl-servera, a onda je on šalje nazad pošiljaocu jer ne može da pronađe primaoca. „Kad se elektronsnska poruka vrati, pogledam podatke koji su u njoj". Trik se sastoji u tome što je poruka poslata unutar sistema, od servera do servera. I svaki je server u naslovu (headeru) ostavio svoje informacije. „Tako mogu da otkrijem adrese pojedinih firewallova, e-mail-filtera i tako dalje, o kakvim se proizvodima radi i koja je verzija instalirana. Sve to mi pomaže u planiranju napada", kaže Vilijams.
Za ugrožene firme postoji rješenje: elektronska poruka upućena nepostojećem korisniku ne bi smjela da prođe kroz spoljnu granicu računarske mreže tog preduzeća. A to je moguće samo ako je tamo već instaliran filter koji prepoznaje koji korisnici zaista postoje i koji ne propušta poruke upućene nepostojećim korisnicima.
Ali to najčešće nije slučaj pa Vilijams dolazi do željenih informacija. Tako može da nastavi napad. Sljedeći korak je phishing-napad. Za to koristi činjenicu da administratori elektronske pošte svoje servere po pravilu opslužuju preko jedne internet-stranice. Zato mora da ih vešto zavara. „Moram da navedem nekog internog korisnika da klikne na link u elektronskoj poruci. Njega sam posebno napravio za tog korisnika. On bi trebalo da posjeti internet-stranicu koju sam tako programirao da pomaže u napadu na određeni proizvod."
Iza lažne internet-stranice krije se mali nevidljivi program – takozvani skript. Ako je administrator slučajno u isto vrijeme ulogovan na mejl-server, taj skript napravi poseban ulaz za hakera. Ali, kako Vilijams navede načelno vrlo sumnjičavog administratora da klikne na neki link?
„Mogu na primjer da se žalim da mi njegov sistem šalje previše spema", objašnjava taj haker po dužnosti svoju taktiku. „Ili mogu da tvrdim da pokušavam da pošaljem elektronsku poruku njegovom odjeljenju za marketing koje nikako ne stižu. I onda napišem: 'Ovde su dodatne informacije'. Ako administrator klikne na taj link, ja preuzimam kontrolu nad njegovim filterom za elektronsku poštu."
Još jednostavnije je uradila grupa hakera „LulzSec", bliska anarhističkoj grupi „Anonymous". „LulzSec" je 2011. godine upala u računare brojnih finansijskih i vladinih institucija, među kojima su bili i američki Senat i tajna služba CIA.
„U gotovo svim slučajevima koje sam vidio, radilo se o višestrukom korišćenju istih šifara. Ljudi koriste isto korisničko ime i šifru na različitim internet-stranicama", kaže Majkl Mekendrjus, danas privatni savjetnik za bezbjednost. On je svojevremeno, kao specijalni agent FBI, gonio hakere iz grupe „LulzSec". Iznenadilo ga je to koliko korisnici različitih računarskih sistema olakšavaju hakerima posao, piše DW portal.
Ako na primjer neki policajac istu šifru koristi za forum svog sportskog društva, koji je slabo zaštićen, kao i za pristup osjetljivim podacima o nekoj istrazi, on hakerima olakšava posao. „Nažalost, globalni problem je to što su ljudi pomalo lijeni", kaže Mekendrjus. „Lakše je da se zapamti jedna nego 12 šifara. Ako za sve stranice koristim samo jednu, to je, istina, meni laške, ali isto tako i kriminalcima."
Tako je bilo i sa hakerima „LulzSec: „čim su prodrli u jedan server elektronske pošte, iskoristili su još jednu slabu tačku. „Napadači su nalogu elektronske pošte izdali komandu: 'Sve što dođe na ovu adresu pošalji dalje'. Oni uopšte više nisu morali da budu unutra u sistemu." Tako su hakeri automatski dobijali kopije svih elektronskih poruka koje su slate dotičnom korisniku na bilo koji nalog.
I tako su lako došli do novih šifara. Na mnogim stranicama, naime, šifra može da se promijeni samo ako se navede elektronska adresa. „Mnoge firme zato zahtijevaju da se odgovori na još neka pitanja", napominje stručnjak za bezbjednost Mekendrjus. „Ali, odgovore na mnoga od tih pitanja hakeri lako mogu da pronađu. Gdje ste odrasli? Koje je djevojačko ime vaše majke? Ime kućnog ljubimca? Sve to može da se pronađe ako je to korisnik objavio na internetu."
To je razlog zašto takve informacije ne bi trebalo objavljivati na „Fejsbuku" ili na porodičnom blogu. Oprez je glavna stvar na internetu, kaže Ben Vilijams. Ali, on nema iluzija, jer, ljudi su ipak samo ljudi. „Kod phishing-napada koje sam sproveo, uvijek mi je uspijevalo da navedem članove IT-odjeljenja da izvedu kodove ili da čak otkriju šifre. To što neko radi u informatičkom odjeljenju ne znači da ne može da se nasamari".
(MONDO, Foto: Guliver/Getty Images/Thinkstock)