Hacka system idag är superlättt, rent patetiskt lätt egentligen. För den som är lite nyfiken rekommenderat jag
Bruce Schneiers blogg. Han är en av världens främsta säkerhetsexperter och skriver mycket lättillgängligt, om jag inte minns fel var han var en av dem som The Guardian kontaktade för att kontrollera autenticiteten på Snowdens material.
De enklaste är som sagt att försöka logga in och testa de vanligaste lösenorden med lite variationer. Alternativt så köper du en lista på användarnamn och lösenord från någon som hackat någon webbsida, förhoppningsvis finns det någon i den listan som också har konto på ditt målsystem, sedan försöker du logga in på ditt målsystem med samma konto och lösenord – 99 % av alla återanvänder lösenord. När du är inne kan du se vad den personen ser. Om det är ett mailkonto används det säkert för lösenordsåterställning till nya system, inte bara netflix utan facebook osv. Du traskar nu vidare i kedjan. Eller så har du (skapat själv eller köpt på nätet) ett program som du dumpar i maillådan, eller vad som nu passar, med uppmaning ifrån mamma att kolla bilderna på hennes systers barnbarn. När programmet körs visas en bild på någon generisk unge och programmet försöker använda sig av allsköns trick till att hitta ett säkerhetshål i datorn (antivirusprogram, brandväggar och ständiga uppdateringar av OS och program är motmedlen). När programmet är inne ger det dig möjlighet att fjärrstyra datorn och låta det snirkla sig vidare i nätverket (förhoppningsvis är det en jobbdator, och i dessa dagar med apokalypsvirus och mycket jobb ifrån hemma är det rätt sannolikt).
Ett annat sätt att få in programmet är att maila personen och låtsas att mailet är ifrån "Mamma". Min chef på mitt förra jobb fick ett mail som uppmanade honom att klicka på en länk för att byta lösenord – det såg
exakt ut som mailen ifrån IT inklusive deras ordval och ton. Den som skrev mailet måste haft flera förlagor att utgå ifrån! Det var på samma jobb som någon hade "tappat" färgglada USB-minnen lite här och där och som innehöll ovan nämnda program. Efter det stängdes möjligheten att ansluta USB-minnen av (vilket var ett problem för dem av mina kollegor som behövde flytta ett par GB data mellan olika system på daglig basis). Jag
begriper inte varför så många IT-avdelningar envisas med att skicka ut viktig info med mail, det är så lätt att spoofa. Det tränar folk till att lita på mail "från IT", det som räddade min chef ovan var att han såg att länken ledde utanför företaget innan han klickade på den.
Men det ännu enklare är helt enkelt att fråga någon som jobbar på företaget. En brittisk undersökning får ganska många år sedan visade att – om jag minns rätt – knappa hälften av alla tillfrågade kunde tänka sig att berätta sitt lösenord för ett par hundra pund.
Är det ett hemligt regeringsdokument du vill komma åt? Begär ut det enligt motsvarigheten till offentlighetsprincipen. I USA finns det flera fall där dokumentet skickas men med svarta streck över det hemliga. Tyvärr är det inte alla som begriper att göra en svart rektangel över något i en PDF inte tar bort texten – markera texten och kopiera den till ett Word-dokument. Eller begär ut dokumentet fler gånger – inte ovanligt att olika delar stryks över respektive gång.
Fysisk säkerhet är inte alltid bättre. Hörde om något ställe i Sverige, minns inte när och var nu, som var nedlåst med passerkort och dörrar till förbannelse. Städerskorna måste ju komma in överallt och eftersom städfirman var den som bjöd lägst var det hög rotation på städerskor, därför hade dessa generiska passerkort som öppnade
alla dörrar. Passerkorten låg i en skål i städskåpet så att dagens (nattens?) skift enkelt kunde hitta dem. Det vanligaste sättet att bli insläppt på ett bolag är att komma med en stor låda och be någon som går in eller ut att hålla upp dörren. Funkar finfint. På ett tidigare ställe jag jobbade hade deras huvudkontor blivit av med en massa bärbara datorer. De kunde se på övervakningskameran ifrån receptionen hur tjuven hade bara gått in tillsammans med ett gäng andra anställda och lugnt gått in i byggnaden. Skjorta, chinos, solglasögon och en rymlig axelremsväska är uniform på många kontor.
Jag vet att andra redan har nämnt fler av dessa saker men jag ville ge något praktiska exempel. Hur omsätta det här i spel då?
Jag skulle dela upp det i flera olika steg och låta olika färdighetsslag täcka dessa. Är det "social engineering" som gäller? Av en chef eller en städerska? Skall de själva skriva programmet (tar jättelång tid och är jättesvårt, finns kriminella nätverk som lever på detta och utnyttjar "zero day vulnerabilities" – säkerhetshål som är helt nyupptäckta och därmed inte tilltäppta – det finns en hel marknad "där ute" för det som är värd miljarder varje år) eller skall de köpa? Har de kontakterna för att få fatt i något bra – och som
bara gör vad de påstår sig göra – eller blir det till att köpa något på under världens motsvarighet till Biltema eller Jula?
Fördelen med det här är att de andra rollpersonerna kan engageras och så blir inte hackandet som en enda lång egotripp.
