IT saugumo specialistas - pasaulis patyrė beprecedentę, bet labai juokingą ataką (1)

2020-07-17

„Sunki diena mums tviteryje“, – „Twitter“ žinutėje parašė generalinis direktorius Jackas Dorsey. Ir iš tiesų, liepos 16 d. įeis į interneto istoriją – nes juk ne kasdien įsilaužiama į Elono Musko, Billo Gateso, Joe Bideno, Baracko Obamos ir kitų garsenybių – o taip pat ir tokių įmonių kaip „Apple“ ar „Uber“ paskyras.

Apie tai, kas ir kodėl nutiko, Lrytas.lt kalbasi su IT saugumo specialistu Mantu Sasnausku.

– Ar galėtumėte papasakoti, kas tiksliai įvyko?

– Trečiadienio vakarą (Lietuvos laiku) įvyko masinis „Twitter“ paskyrų „nulaužimas“ ir masiškai išplatinta melaginga žinutė apie bitcoino kriptovaliutą: jei atsiųsi 1000 dolerių bitkoinais, tau atgal parsiųs 2000 dolerių bitkoinais.

Pirmiausia buvo įsilaužta į Elono Musko paskyrą, ir internautai ėmė juokauti, kad E.Muskas matyt nenaudoja dviejų faktorių autentifikacijos (prisijungimo būdo, kai reikia ne tik įvesti slaptažodį, bet ir el.paštu ar žinute atsiunčiamą kodą, lrytas.lt past.). Bet paskui paplūdo melagingos žinutės (angl. scam, lrytas.lt past.) apie bitkoinus ir iš kitų paskyrų – iš Baracko Obamos, Joe Bideno, Kanye Westo, Billo Gateso, „Uber“ kompanijos ir begalės kitų. Tad pasidarė aišku, kad čia vis dėlto ne autentifikacijos sukeltas incidentas.

„Twitter“ iš pradžių nesusigaudė, kas vyksta, ir suspendavo visas vadinamąsias „mėlynojo ženklelio“ paskyras (angl. blue badge, kas žymi, kad vartotojo autentiškumas yra patvirtintas paties „Twitter“, lrytas.lt past.), kurių yra labai, labai daug – nes ir melagingų žinučių antplūdis buvo milžiniškas.

Esmė ta, kad visa tai – ne vartotojų kaltė, informacija apie paskyras apgaulingu būdu (angl. phishing, lrytas.lt past.) nebuvo išgauta iš jų asmeniškai. Greičiausiai kas įvyko – ir ką sako „Twitteris“ – koordinuota socialinės inžinerijos ataka, nukreipta į paties „Twitter“ sistemų administratorius ar vartotojų aptarnavimo darbuotojus ir buvo gauta prieiga prie „Twitter“ valdymo konsolės.

O toliau viskas vyko taip: iš konsolės vartotojo paskyros el. paštas buvo pakeičiamas įsilaužėlio el. paštu ir išjungiama dviejų faktorių paskyra – o tada paprastuoju būdu buvo pakeičiamas paskyros prisijungimo slaptažodis, prisijungiama prie paskyros ir išsiunčiamos melagingos žinutės apie bitkoiną.

Greičiausiai ataka buvo daroma automatizuotai, pasitelkus vadinamąjį botą ar skriptus – nes tų melagingos žinutės pasipylė masiškai.

Tai – greičiausiai, kas galėjo įvykti. Bet viskas dar iki galo nėra aišku.

– Kokie galėjo būti įsilaužėlių tikslai? Nes nejaugi atsirastų tikrai daug patikėjusiųjų, kad jei per artimiausią pusvalandį bitkoinais sumokėjęs B.Obamai 1000 dolerių, atgal tikrai gausi 2000?

– Tikslą sunku pasakyti, bet žinutėje nurodytas bitkoino adresas per kelias valandas susirinko daugiau nei 110 000 JAV dolerių.

Bet faktas, kad dabar jie tų pinigų negalės liesti – ir turės laukti, kol viskas nurims, ir bus galima keistis į kitas kriptovaliutas ir galbūt ateityje į tradicinę valiutą. Nes faktas, kad dabar policija tą adresą tikrai stebės.

Faktas, kad šios atakos vykdytojai turėjo būti arba itin kvaili, arba labai protingi. Nes jei turi prieigą prie „Twitter“ administratoriaus rolės, tu gali padaryti žymiai didesnius dalykus nei susirinkti 110 000 dolerių per melagingas žinutes.

Tad arba įsilaužėliams pritrūko fantazijos, ką galima su tokia prieiga padaryti – arba buvo kažkoks kitas tikslas, kurio mes nežinome.

Tiesa, internete sklando kalbos ir ekrano nuotraukos, kurios tarsi įrodo, kad visa tai buvo padaryta ne socialinės inžinerijos būdu įsigavus į „Twitter“ valdymo konsolę, o tai leidžiančius padaryti duomenis įsilaužėliams pardavė pats „Twitter“ darbuotojas. Jei čia tikrai viskas per darbuotoją, reiškia, jis tikrai labai kvailas – nes dėl tokio dalyko dabar ilgus metus leis kalėjime. Tokiu atveju surasti kaltininką yra labai lengva.

Na ką dabar dar daro „Twitter“ – bando išsiaiškinti, ką dar įsilaužėliai galėjo pasiekti. Pavyzdžiui, ar galėjo pasiekti ar nusikopijuoti asmeninio susirašinėjimo žinutes – o juk „Twitter“ turi „aukšto kalibro“ asmenų, tad čia jau būtų šis tas.

– Kokius padarinius turės visas šis incidentas?

– Kai kurie sako, kad čia svarbu yra tai, kad esą „Twitter“ darbuotojai galėjo vartotojų vardu rašyti žinutes. Bet tai nėra visiška tiesa – jie negali to. Ką jie gali, tai administruoti paskyras – pavyzdžiui keisti vartotojo paskyros elektroninio pašto adresus. Kas yra visiškai normalu.

Tad realiai nuo šito apsisaugoti įmanoma tik mokant darbuotojo atsargumo, kad jie nepasimautų ant socialinės inžinerijos atakų – o jos šiais laikais būna labai, labai įtikinamos.

– Ar galima tokio masto atakos tikėtis ir kituose socialiniuose tinkluose – pavyzdžiui, „Facebook“?

– Tikrai taip. Bet ar toks dalykas būtų suveikęs „Facebook“ – klausimas. Gal ir taip, bet „Twitter“ tokio tipo apgaulei dėkingesnis: čia žinutės plinta greičiau, nereikia turėti „draugų“ ar sekėjų.

Beje, šita apgaulė – pervesk man, ir aš tau pervesiu dvigubai – yra labai senas, senesnis ir už bitkoinus, ir už patį internetą.

Tad atsakant į klausimą – taip, įmanoma tiek „Facebook“ tiek „Instagram“ tinkle, o „Twitter“ dabar ėmėsi papildomų saugumo žingsnių, kad ateityje tokių įsilaužimų būtų išvengta.

Tačiau vienas svarbus dalykas: daugelis įsivaizduoja, kad kibernetinės atakos dažniausiai būna labai sofistikuotos, tačiau berods IT saugumo ir analizės kompanija „Varonis“ yra paskelbę tyrimą, kad apie 62 proc. atakų prasideda nuo socialinės inžinerijos.

– Ar esama kokių priemonių, kurių prieš tokį įsilaužimą galėtų imtis vartotojas?

– Ne, nėra.

Nes jei įsilaužėlis yra „Twitter“ ar kokio kito socialinio tinklo konsolėje, pats vartotojas negali padaryti absoliučiai nieko. Gali turėti dviejų faktorių autentifikaciją, gali turėti kelių faktorių autentifikaciją, trisdešimties simbolių ilgio slaptažodį – jokio skirtumo nebus.

– Kokias emocijas jums pačiam sukėlė šis įsilaužimas?

Tai – labai juokingas įsilaužimas. Ir turbūt juokingiausias momentas buvo, kai „Twitter“ žinute paskelbė, kad žino ir sprendžia problemą, o po kažkur valandos iš „Twitter“ pagalbos klientams paskyros atėjo žinutė „atsiųsk tūkstantį dolerių, aš tau atsiųsiu du“.

O keisčiausia, kai žmonės apsigauna tokia naivia apgavyste.

Aut. teisės: Lrytas.lt
Autoriai: Adomas Rutkauskas

(34)
(4)
(30)

Komentarai (1)