Hack Twitteru byl velmi jednoduchý, nešlo o nic sofistikovaného. Stát se to může každé firmě, říká expert Michal Špaček

Jiří SvobodaJiří Svoboda

michal-spacekRozhovor

Foto: Josef Havlín

Michal Špaček, expert na internetovou bezpečnost

0Zobrazit komentáře

Předminulá středa byla pro sociální síť Twitter krušným dnem. Stala se terčem největšího hackerského útoku ve své historii a podvodným tweetům byly vystaveny jedny z nejprominentnějších účtů na síti. Přes Elona Muska, Jeffa Bezose či amerického prezidentského kandidáta Joea Bidena se útočníkům podařilo vylákat zhruba 13 bitcoinů.

V přepočtu podle aktuálního kurzu se tak útočníkům podařilo podvodnými převody získat zhruba 2,7 milionu korun. Další miliony byly zablokovány jen díky včasné reakci kryptoměnové směnárny Coinbase. Postupně se však ukazuje, že za útokem nestojí žádné těžké hackování, ale spíše prostá lidská chyba.

Twitter později přiznal, že útočníci byli schopni zresetovat heslo u 45 účtů, u 36 z nich se dostali i k soukromým zprávám, a to včetně jednoho zvoleného nizozemského politika. Případ začala vyšetřovat také FBI a investigace deníku The New York Times ukázala, že za útokem pravděpodobně nestojí žádní zkušení hackeři.

dorsey-twhack

Šéf Twitteru Jack Dorsey se omlouvá za napadení účtů známých osobností

Český vývojář a expert na internetovou bezpečnost Michal Špaček tak v rozhovoru pro CzechCrunch klidní vášně, které se okolo útoku za poslední týden vynořily. Tvrdí, že z technického pohledu v podstatě na hacku nebylo tolik zajímavého a Twitter by neměl být za svou chybu pranýřován.

Aktualizace: V pátek Twitter zveřejnil další informace týkající se útoku. V aktualizovaném vyjádření tvrdí, že útočníci ho hack provedli přes takzvaný spear phishing, tedy podvodem získali přihlašovací údaje u konkrétně vytipovaných jedinců. Deník The New York Times přišel ve stejný den se zprávou, že policie zatkla jako hlanvího podezřelého z hackeru sedmnáctiletého mladíka z Floridy.

Michale, co je na současném útoku tak zvláštní, například oproti podobným případům z minulosti?
Několik věcí, ale v první řadě jeho rozsah. Stává se poměrně často, že někdo hackne účet větší či menší osobnosti, ale toto byl útok na Twitter jako platformu a tím pádem se i násobně zvětšovaly možnosti, které útočníci měli. Zadruhé pak jeho provedení. Nebyl to žádný sofistikovaný útok, jak naznačovala některá média. Snažím se lidi učit, že k hackování někdy stačí docela jednoduché nástroje, a vypadá to, že takové nástroje stačily i v tomto případě.

Co je k takovému útoku potřeba? Jde ho udělat zcela zvenčí, bez pomoci někoho „zevnitř?“
Asi by to šlo i zvenčí, ale nejspíš by byl takový hack hodně náročný. Znamenalo by to zjišťovat, jak přesně daná firma funguje, a podobně. Ale pokud útočníci mají insidera, je to pro ně o dost jednodušší.

Nastartujte svou kariéru

Více na CzechCrunch Jobs

Jakou roli takový insider mohl v útoku mít?
Záleží, kdo přesně ve firmě to je a jak má firma dané procesy nastavené. Už třeba jen řadový pracovník zákaznické podpory má v Twitteru patrně možnost dělat spousty základních požadavků s účty. A on se může „omylem“ někde ukliknout, změnit e-mail určitému účtu. Útočníkům v podstatě umožňuje, jako by se sami zaměstnali v Twitteru.

Způsob, kterým byl hack provedený, Twitter označil jako social engineering. Co to znamená v praxi?
V případě hacku Twitter to zatím úplně přesně nevíme, protože pod tento pojem se skryje spousta věcí. Magazín Vice nejdříve vyšel se zprávou, že útočníci si jednoduše insidera v Twitteru zaplatili. Na The New York Times následně vyšla informace o jakémsi Kirkovi, který měl mít přístup do firemního Slacku, kde byly přihlašovací údaje do administrátorského systému.

Pod social engineering by se daly zařadit obě verze. Typicky je to ale například podvod ve stylu falešného e-mailu, tvářící se jako od šéfa a nakazující danému pracovníkovi, že má například změnit adresu konkrétnímu účtu, nebo jakkoliv jinak manipulující. Na každého člověka funguje něco jiného.

Takže na takový útok musí být hacker i trochu psycholog.
V podstatě ano, každá dovednost navíc se hodí, někdy je to ale docela jednoduché. Jsou třeba popsané případy s vyměňováním SIM karet jako způsobu, jak někomu unést telefonní číslo, a tím se dostat například přes dvoufázové ověření. Prý stačilo například na Instagramu najít zaměstnance operátora a tomu napsat „Čau, chceš si vydělat nějaké peníze?“. Ten následně přeřadil číslo od skutečného majitele k SIM kartě podvodníka.


Jinými slovy tedy v tuto chvíli nemůžeme říct, jak přesně útok na Twitter probíhal?
Je to tak, víme, jen, že to byl phishing mířený na konkrétní jedince. Jak to přesně bylo, ví jen Twitter. Tedy snad už to ví. Je potřeba si uvědomit, že dosavadní informace o tom, jak útok probíhal, pocházejí hla ně od útočníků a ti se někdy rádi vytahují a kecají. Pokud bychom brali v potaz verzi onoho Kirka, tak se třeba nedovíme, jak se dostal na firemní Slack. To mě osobně hodně zajímá, protože to už je počáteční problém celého zabezpečení.

Na útoku byl také zajímavý detail, že u 45 účtů se útočníkům povedlo i změnit heslo. Jak se to stalo?
Dostáváme se opět k nástrojům, které mají pracovníci zákaznické podpory k dispozici. S velkou pravděpodobností jednoduše mají nástroj na to, aby mohli vypnout dvoufázové ověření, a tím pádem usnadnit změnu hesla pomocí odeslání odkazu na reset zapomenutého hesla na změněný e-mail.

V případě Twitteru je v nápovědě přímo uvedeno, pakliže se nemůžete dostat na svůj účet a z nějakého důvodu vám (například kvůli ztracenému mobilu) nefunguje dvoufázové ověření, tak máte kontaktovat podporu. Dvoufaktorové ověření není ochrana proti kompromitované službě jako takové. Vstupuje tedy do toho znovu lidský faktor. Celkem útočníci cílili podle Twitteru na 130 účtů. Já si upřímně myslím, že u toho zbytku ten proces změny hesla jen nestihli, než Twitter začal reagovat. Je to nejspíš čistě manuální práce.

„Nemyslím si, že zabezpečení v Twitteru nějak podcenili, nevidím v tom žádné jejich velké pochybení.“

Na internetu se také objevily screenshoty z administrátorského systému a způsobily poprask, protože nástroje, které na nich byly zobrazené, v podstatě umožňovaly plnou kontrolu nad účtem. Byly tyto nástroje nějak neobvyklé?
Upřímně se divím, že se někdo diví. Jsou to běžné nástroje nejen na sociálních sítích, ale i v různých e-shopech. Plnou kontrolu ale neumožňují, nelze z nich například tweetovat pod cizím účtem. Umí jen to, co zákaznická podpora obvykle potřebuje k řešení nastalých problémů. Tam je pak akorát otázka, zda třeba lze smazat účet opravdu jedním kliknutím, nebo existuje další vrstva ověření, například přes dalšího člověka na zákaznické podpoře, nebo přes e-mailový odkaz pro uživatele.

Proč takové nástroje vůbec podpora má k dispozici?
Jedny z nejčastějších požadavků, které zákaznická podpora jakékoliv služby řeší, jsou věci typu: ztratil jsem telefon a nemám jak udělat dvoufázové ověření, založil jsem si účet přes pracovní e-mail, ale už tam nepracuji. Lidé hodně zapomínají hesla, takže je i hodně zaměstnanců v Twitteru i jinde, kteří k takový nástrojům mají přístup. Fakt, že k těm nástrojům prý mělo přístup tisíc lidí v Twitteru, je naprosto reálně představitelný a v podstatě mě to nepřekvapuje. Však si zkuste někdy ztratit telefon a obnovovat přístupy k různým účtům.

bezos-hack

Foto: CzechCrunch

Příklad podvodného tweetu na účtu Jeffa Bezose

Lze hack Twitteru srovnat s něčím podobným z minulosti?
Srovnával bych ho se zmíněnými podvody se záměnou SIM karet. Ostatně jedna z analýz útoku naznačovala, že pachatelé jsou ze stejné komunity, která se právě tímto typem útoku zabývala. Je ale důležité říct, že opravdu nejde o nějaký sofistikovaný hack. Nejen, že by ta technická stránka nebyla zajímavá, ona tam spíš žádná není. Útočníkům se skutečně nejspíš stačilo přihlásit do adminu a změnit e-mail, když to trochu zjednoduším.

Jak by se firmy mohly proti podobným útokům bránit?
Nejlépe podle mě tak, že budou počítat s možností podobného útoku a vymodelují si riziko. Mohou tak začít zvažovat, co dělat například v situaci, kdy se někdo zvenčí dostane do jejich administrátorského systému. Konkrétní změny v případě Twitteru bych si dokázal představit tak, že aby byla možná změna e-mailu u verifikovaných účtů, tak musí schválit nadřízený toho pracovní zákaznické podpory. Nebo třeba, aby po změně e-mailu nebo hesla nešlo 48 hodin stahovat z Twitteru vlastní data, včetně soukromých zpráv. U e-shopu například, aby se po změně e-mailů zapomněly uložené platební karty.

lukas-hurych

Přečtěte si takéLukáš Hurych z Twista: Jak jsem pomocí hackingu a sociálního inženýrství získal hesla 70 % mých kolegůLukáš Hurych z Twista: Jak jsem pomocí hackingu a sociálního inženýrství získal hesla 70 % mých kolegů

Nebude to ovšem pak nepohodlné, pro zákazníky i firmu?
Samozřejmě, vždycky bude výsledkem nějaký kompromis mezi pohodlností a bezpečností. To, že se hacker do systému nalogoval, je jedna věc. Ale horší už je, že poté byl schopný stáhnout osobní data a podívat se na soukromé zprávy. Jsou tu však mechanismy, které tomu mohou zabránit, jak navrhuji. Je pochopitelné, že budou lidé, kterým se to líbit nebude, ale těm se to snad bude dát vysvětlit například v nápovědě.

Jak bys na závěr zhodnotil reakci Twitteru na celý incident?
Co by se bývalo dalo udělat lépe, už teď v Twitteru vědí také. Vídal jsem hodně výtky na použití Slacku pro přeposlání hesel, pokud se to tak skutečně stalo. Ano, Slack není žádný správce hesel, ale pokud je to třeba nějaké krátkodobé nebo jednorázové heslo, nevidím důvod, proč by si ho dva kolegové nemohli poslat přes službu, kam věří, že nikdo zvenčí nevidí.

Nicméně si nemyslím, že zabezpečení v Twitteru nějak podcenili, nevidím v tom žádné jejich velké pochybení. Snažím se právě vysvětlit, že situace není vůbec jednoduchá, když jsou spousty uživatelů, kteří běžně mění e-maily a zapomínají hesla, a podobné nástroje tedy proto musí existovat. Může se to stát naprosto každé firmě, která má pro někoho zajímavé uživatele, třeba i v Česku.

CzechCrunch Jobs

CzechCrunch Weekly

V newsletteru Weekly vám každou neděli naservírujeme porci těch nejdůležitějších zpráv, které by vám neměly uniknout.

Facebook koupil Instagram, protože se ho bál. Jak se šéfové technologických obrů zpovídali z monopolních praktik

Jiří SvobodaJiří Svoboda

Cook, Zuckerberg, Bezos a Pichai. Čtyři šéfové byli vyslýcháni kongresem o monopolech

0Zobrazit komentáře

Američtí zákonodárci si pozvali na kobereček jedny z nejvlivnějších osobností současnosti – šéfy Googlu, Facebooku, Applu a Amazonu. Slyšení antimonopolního podvýboru americké Sněmovny reprezentantů se zabývalo hlavně postavením zmíněných čtyř gigantů na trhu a kongresmani přednesli nové důkazy i příběhy, kdy údajně zneužívali své dominantní postavení na trhu.

Alespoň taková byla hlavní myšlenka téměř šestihodinového procesu, při němž se s členy Kongresu prostřednictvím videohovoru bavili právě Sundar Pichai z Googlu, Mark Zuckerberg z Facebooku, Tim Cook z Applu a Jeff Bezos z Amazonu. Velká šíře témat a formát výslechu všech čtyřech aktérů najednou však nedovolil zabíhat do velkých detailů.

Zástupci takzvané velké čtyřky často nedostali možnost vysvětlit věci v úplnosti, jejich odpovědi zákonodárci přerušovali a zejména ze strany republikánkých kongresmanů přicházely dotazy nemající nic společného s ústředním tématem. Přesto se ale naštěstí neopakoval scénář z předchozích slyšení Marka ZuckerbergaSundara Pichaie před dvěma lety, kdy kongresmani měli problémy pochopit základní mechanismy fungování obou gigantů.

Naopak přišli volení zástupci lidu vybaveni množstvím důkazů a příběhů, které dostávaly velkou čtyřku do úzkých pozic. Právě některé z nově zveřejněných dokumentů (dostupné na stránkách výboru) ukazují detaily příběhů, které doposud pokrývali spíše novináři. V jednom z klíčových momentů slyšení se dostal do úzkých Mark Zuckerberg kvůli akvizici Instagramu v roce 2012.

Série nově zveřejněných e-mailů a textové komunikace totiž více dokresluje to, co je technologické komunitě jasné de facto od začátku. A to sice skutečnost, že strategií Facebooku pro neutuchající růst bylo vždy svou konkurenci buď koupit, nebo alespoň okopírovat. Šéf největší sociální sítě Mark Zuckerberg například v jednom z nově zveřejněných e-mailů před akvizicí napsal, že „Instagram nás může poškodit“.

Tehdejší finanční šéf Facebooku navíc tehdy v konverzacích otevřeně psal o „neutralizování konkurence“. Zuckerberg v e-mailech také tvrdil, že více než cokoliv jiného si kupuje čas, než dokáže konkurenční funkce sám integrovat do služeb Facebooku. To vše jsou predátorské taktiky, jimiž by podvýbor rád zabránil.

Nastartujte svou kariéru

Více na CzechCrunch Jobs

Před Kongresem se Zuckerberg snažil svá osm let stará slova redukovat na tvrzení, že Instagram byl konkurentem jakožto aplikace směřující nikoliv k sociální síti, ale k fotoaparátu. Oponoval ale a stál si za tím, že primární důvod akvizice byly vzájemné benefity a pomoc s dalším růstem a získáním většího množství uživatelů.

Když zakladatele Facebooku konfrontovala kongresmanka Pramila Jayapalová s podobným problémem v případě Snapchatu (jehož se Facebook pokoušel neúspěšně koupit a posléze okopíroval funkci Stories do Instagramu), Zuckerberg se snažil stočit problém na prosté úsilí dělat to, co chtějí uživatelé a zákazníci. Stejný, poměrně univerzální argument, používali během slyšení všichni čtyři aktéři.

Boj o recenze mezi Googlem a Yelpem

Zuckerberg dostal nejvíce dotazů, zhruba ve stejném množství se zákonodárci ptali také šéfa Googlu Sundara Pichaie. Co se antimonopolních obvinění týče, má před sebou vyhledávací a reklamní gigant řadu soudních procesů jak v USA, tak v Evropské unii a z velké čtyřky bývá považován za entitu s největší mírou monopolu.

Zákonodárce nejčastěji zajímala dominance Googlu na poli vyhledávání, softwaru chytrých telefonů a reklamním trhu. Google, jenž patří pod mateřskou společnost Alphabet, má ostatně jen v USA na svědomí 90 % veškerého vyhledávání na internetu, díky čemuž má k dispozici reklamní platformu, která ročně vygeneruje 160 miliard dolarů.

Sundar Pichai, šéf Googlu a jeho mateřské firmy Alphabet

Jedním z příběhů, které ohledně Googlu kongresmani zmiňovali, byla například taktika, kdy Google vydával recenze z platformy Yelp za své a ve vyhledávání konkrétních podniků tak uživatelé neměli motivaci jít na jinak poměrně populární stránku s hodnocením podniků. S Googlem tehdy Yelp sváděl dlouholeté boje.

Yelp si před lety pochopitelně Googlu stěžoval, ale gigant mu podle demokratického předsedy podvýboru Davida Cicillineho vyhrožoval, že pokud bude pokračovat, bude z vyhledávání na Googlu úplně vyňat. Na jeho otázku, proč Google krade obsah legitimním firmám, Pichai přímo neodpověděl a použil onen univerzální argument, že pouze dělá to, co chtějí zákazníci.

karin-fuentes

Přečtěte si takéVe světě čísel. Karin Fuentesová chce digitalizovat účetnictví a nepřepočítala se, investoři již klepou na dveřeVe světě čísel. Karin Fuentesová chce digitalizovat účetnictví a nepřepočítala se, investoři již klepou na dveře

Cicilline mimo jiné také citoval ze svědectví majitelů malých firem a byznysů, jimž měl Google v podstatě sebrat živobytí. Pichai oponoval, že firma pod jeho vedením naopak byznysy vytváří.

Podobné otázce čelil i Jeff Bezos v případě Amazonu. Jedna z nejhodnotnějších firem světa, kterou vede nejbohatší muž planety, totiž měla vytvářet vlastní produkty na základě dat o prodejích produktů třetích stran na své obchodní platformě. Tím de facto malé byznysy třetích stran poslala k ledu, protože lidé postupně začali vlastní produkty Amazonu kupovat více.

Dominance na App Storu

Zatímco na šéfy Facebooku, Googlu i Amazonu mířilo kolem šedesáti dotazů, šéf Applu Tim Cook čelil co do počtu otázek zhruba polovičnímu tlaku. Zpovídal se především z kontroly Applu nad obchodem s aplikacemi App Store a údajně nerovnými podmínkami pro akceptování nových aplikací.

Zároveň má Apple zhruba šedesát nativních aplikací, s nimiž developeři třetích stran mohou svádět jen nerovný boj. Cook ale nařčení odmítl a opakovaně během slyšení tvrdil, že každý vývojář má stejné podmínky. Důkazy podvýboru a prezentované příběhy ovšem opět naznačovaly opak.

Středeční slyšení bylo součástí vyšetřování, s nímž antimonopolní podvýbor začal už přibližně před rokem. Za tu dobu vyslechl desítky svědků a shromáždil 1,3 milionu různých kusů dokumentů.

tim-cook-apple

Foto: Apple

Tim Cook, výkonný ředitel Applu

Případ je to tedy vskutku obrovský a bude trvat ještě několik týdnů, než podvýbor zveřejní zprávu ze slyšení. Na konci celého procesu by měla vzniknout nová legislativa, která bude velké firmy na digitálních trzích efektivně regulovat. I po více než rok trvajícím procesu ale stojíme v podstatě na začátku snah, které mohou technologický sektor navždy proměnit.

„Tak, jak dnes firmy existují, mají monopol. Některé musí být rozděleny, ale všechny musí být správně regulovány,“ ukončil téměř šestihodinový maraton otázek předseda podvýboru Cicilline. Jinak často zmiňovanou tematiku rozdělení velkých firem, včetně Facebooku, kongresmani tentokrát příliš neartikulovali.

„Středa nám ukázala začátek odpovědnosti technologických CEOs v době, kdy se jinak cítí nedotknutelní. Technologičtí giganti byli předvoláni na kobereček a vyslýcháni. Bylo to pozdě, bylo to zmatené a neuspokojivé. Jinými slovy, byla to demokracie, ale já jsem byl za sebe rád, že tam tentokrát skutečně byla,“ okomentoval situaci americký novinář Casey Newton z magazínu The Verge.