Chappeho telegraf

V roce 1794 přišel francouzský vynálezce Claude Chappe se systémem vizuálních semaforových telegrafů. Pomocí nastavení ohebných ramen umístěných na věži (stožáru) bylo možno zobrazit písmena, čísla i některé speciální znaky, jako například začátek a konec komunikace nebo vymazání posledního znaku při překlepu. V tomto případě spíše „přeohnutí“.

Jednotlivé věže byly od sebe vzdáleny tak, aby bylo z jedné vidět na další. A tak se zpráva mohla šířit z jedné věže na druhou až do cílové destinace. Uvádí se, že rychlost přenosu zprávy byla až 500 km za hodinu.

Ve Francii byla během 19. století vybudována síť Chappeho vizuálních telegrafů pro potřeby státu (a hlavně armády). Například mezi Paříží a Brestem bylo na trase 58 stanic. Běžní občané služby této komunikační sítě ale využít nemohli.

V komunikaci se dokonce používalo end-to-end šifrování. Vzhledem k tomu, že pomocí sítě telegrafů byla přenášena vojenská tajemství, nebylo příliš vhodné, aby si komunikaci mohl číst kdokoliv, kdo měl výhled na telegrafní věž. Odesílatel a příjemce tak měli dohodnutý klíč, pomocí kterého šifrovali své zprávy. Operátoři věží po cestě jen šifrovanou zprávu opakovali znak za znakem aniž by dokázali rozluštit, co je obsahem zprávy. Odesílatel a příjemce zprávy tak měli v roce 1800 více soukromí než uživatelé Facebook Messengeru v roce 2021 (o šifrování messengerů více zde).

François a Louis Blanc

Bratři Blancové obchodovali se státními dluhopisy na burze v Bordeaux. Při takovém obchodování je rychlost informací stěžejní – kdo má rychlejší zprávy z centrálního bodu dění (v tomto případě Paříž), má nad ostatními obchodníky výhodu, protože může lépe předvídat pohyby na burze.

Zprávy z Paříže do Bordeaux byly tradičně posílány dostavníkem, což trvalo pět dní. Někteří obchodníci se snažili zkrátit tuto dobu používáním poštovních holubů nebo najímáním poslů. To bylo sice rychlejší, ale ne nijak výrazně. Bratrům Blancovým to rozhodně nestačilo. Věděli, že existuje výrazně rychlejší způsob komunikace na dlouhé vzdálenosti. Ten byl ale vyhrazen armádě, obchodníci jej využít nemohli. A tak většina obchodníků nadále přemýšlela nad zlepšováním aerodynamiky holuba. Ale bratři Blancové byli hackeři (i když to o sobě na Twitteru podle dostupných zdrojů netvrdili). Takže se myšlenky na využití Chappeho telegrafní sítě nevzdali.

Plán

Operátoři telegrafů nebyli asi nejlépe placení zaměstnanci ve Francii. Takže řešením by mohla být stará dobrá a osvědčená korupce.
Pokud by ale chtěli bratři Blancové posílat zprávy standardním způsobem, museli by podplatit všechny operátory po cestě z Paříže do Bordeaux. Což už by se mohlo prodražit.
Museli tedy přijít na to, jak tuto drahou nepříjemnost vyřešit.
Jak bylo zmíněno výše, systém obsahoval symbol pro vymazání posledního znaku – operátor zapisuje znaky tak, jak je vidí na semaforu a pokud uvidí symbol pro vymazání, prostě poslední znak smaže a pokračuje dál.
Právě toho se rozhodli hackeři využít. Budou posílat tajné zprávy tak, že po „jejich“ znaku vloženém do běžné armádní zprávy pošlou znak pro vymazání. Kdokoliv, kdo vidí semafor tento znak může vidět, ale operátor koncové věže ho z papíru vymaže (případně vůbec nenapíše). Tak bude zpráva předána a zároveň po ní nezůstane písemný důkaz.

Ponožky jako datový nosič

Bylo potřeba ještě vyřešit jeden problém. Po cestě z Paříže do Bordeaux byla ještě věž v Tours (přibližně 200 km od Paříže), kde byly zprávy dekódovány a přeposílány dál bez chyb. Takže zprávy musely být posílány odsud. A musely se do Tours dostat nějak nenápadně.
Naštěstí nebylo potřeba posílat nějaké rozsáhlé romány (to by při tomto scénáři ani nebylo možné), stačilo pár domluvených signálů. A tak byly do Tours z Paříže posílány poštovní balíčky, které obsahovaly oblečení. Druh oblečení (rukavice, ponožky, kravaty), který byl označen v průvodním dopise označoval, zda nějaký titul na burze klesá nebo roste a barva zase výši změny.

Hack

Hackování mohlo začít. Komplic v Paříži podle změn na burze poskládal oblečení do balíku a odeslal do Tours. Tam podplacený operátor telegrafu (dostal jednorázově 1500 franků za zapojení do konspirace, poté každý měsíc 150 franků a navíc ještě bonus 20 franků za každou předanou zprávu) odeslal zprávu s vloženými „chybami“.
U věže poblíž Bordeaux čekal další komplic s dalekohledem, sledoval telegraf a zapisoval znaky, které byly označeny jako chybné. A tím se dostaly zprávy k našim obchodníkům, kteří tak měli před ostatními několik dní náskok.

Odhalení

Systém perfektně fungoval dva roky. Odesláno bylo takto celkem 121 zpráv (a balíků s oblečením). Podezření kupodivu nevzbudilo ani náhlé zbohatnutí operátorů telegrafu (běžná denní mzda operátora činila 1,50 franku).
Pravda vyšla najevo až ve chvíli, kdy jeden z operátorů onemocněl a před smrtí se s celou záležitostí svěřil příteli.
Bratři Blancové ale překvapivě nenesli žádné následky. Francouzská legislativa jednoduše nezakazovala vkládání vlastních zpráv do telegrafního systému. Tehdejší zákonodárce to vůbec nenapadlo.
A tak se z nich později mohli stát úspěšní provozovatelé kasin (včetně kasina Monte Carlo v Monaku).

Jak je vidět už z prvního zdokumentovaného hackerského útoku, nejslabším článkem zabezpečení bývá člověk.

Zdroje:

https://fr.wikipedia.org/wiki/T%C3%A9l%C3%A9graphe_Chappe
https://en.wikipedia.org/wiki/Fran%C3%A7ois_Blanc
https://www.schneier.com/blog/archives/2018/05/1834_the_first_.html
https://gallica.bnf.fr/ark:/12148/bpt6k4393846/f1.item

The post O původu hackerů appeared first on DIGITÁLNÍ SEBEOBRANA.

Kdo jsou tedy ti obávaní hackeři, můžu je nějak poznat a co mají společného?

Hackeři pocházejí z různých prostředí, z různých částí světa a z různých sociálních vrstev. Nedá se obecně říct, že typický hacker je pětadvacetiletý běloch, závislý na kofeinu z energy drinků, který si nerozumí se svými vrstevníky a veškerý svůj volný čas tráví v tmavém sklepě obklopen počítači.
Co ale má většina hackerů společného je schopnost používat věci jiným způsobem, než jak bylo zamýšleno a obcházet překážky. Ať jde o fyzické, technologické nebo psychologické.
Na začátku bývá zvědavost. Jak funguje svět okolo nás, jak fungují různé nástroje a jak funguje lidská mysl. A jestli má daný předmět zájmu ve svém designu nějaké slabiny, které se dají využít nebo zneužít (to je často spíše subjektivní hodnocení).

Otevíráme zámek

Když chcete otevřít klasický zámek, je dobré nejdříve vědět, jak funguje jeho mechanismus. Poté můžete použít nástroje a techniky, jak ho otevřít bez klíče. Nebo prostě použijete trhavinu. To sice může být efektní, ale má to několik menších nevýhod. Někdo si toho může všimnout a mít zvláštní otázky jako jestli jsou ty dveře vaše, proč si normálně neodemknete a kde jste vzali tu nezdaněnou výbušninu. Někdy se může hodit i to, aby majitel zámku ani v budoucnu nezjistil, že byl odemčen (po použití výbušniny se celkem špatně zamyká). No a také se může stát, že výbuchem zničíte to, co je za tím zámkem a kvůli čemu to vlastně celé děláte. Nemluvě o tom, že při neopatrném zacházení se může radikálně snížit počet vašich oblíbených končetin.
Proto je celkem výhodné vědět, že v zámku je mechanismus, který se dá otevřít poměrně rychle, tiše a bez dalších následků. Proto hackeři obvykle velmi dobře znají systémy, na které útočí. Jak si ukážeme později, neznamená to, že hacker musí být počítačový génius. Skoro v každé oblasti se dá najít prostor pro hackery.
Hacking totiž není jen to, že se dostáváme někam, kam bychom se dostat neměli. Může jít i o schopnost používat věci jinak. Např. v poslední době oblíbený biohacking není o tom, že se vkrademe do (nejlépe) vlastního těla a něco si tam vezmeme. Spíše se snažíme vylepšit procesy, které se tam dějí.
Já se budu držet popisu hackerství v tom nejznámějším IT sektoru, ale v podstatě cokoliv se dá nějakým způsobem aplikovat i jinde.

Hackeři, móda a stát

Protože svět potřebuje škatulky, začali se i hackeři dělit na skupiny: black hat, white hat a grey hat. Toto označení bylo převzato z Hollywoodských westernů dvacátých let 20. století, kde byla nepsaná konvence, že hrdinové nosí bílé a padouši černé klobouky. Aspoň to tedy tak píší na Wikipedii.

Black hat hackeři jsou ekvivalent záporných hrdinů divokého západu. Využívají své znalosti ke svému obohacení případně k poškození své oběti. Black Hat hacker se nabourá do vašeho bankovního účtu a sebere peníze, nainstaluje do vašeho počítače program pro sledování webkamery nebo shodí webové stránky vaší firmy.

Zvláštní podskupinou black hat hackerů jsou státem organizovaní hackeři. Většinou jsou to zaměstnanci nebo kontraktoři tajných služeb nebo armády, kteří mají za úkol cyber útoky na cíle mimo území daného státu. Oproti samostatným hackerům mají velkou výhodu v tom, že mají přístup k nejlepší technice či dalším zdrojům a můžou si tak dovolit útoky, které jsou pro ostatní nedostupné. Toto téma si ale zaslouží vlastní článek. Tak o tom víc někdy příště.

White hat hacker se do webových stránek vaší firmy nabourá také. Ale je tu jeden podstatný rozdíl. On to udělá jen s vaším souhlasem. Proto se jim také říká etičtí hackeři. Proč byste ten souhlas dávali? Právě proto, že chcete vědět, jestli je vaše firma proti takovému útoku zabezpečena. Pokud se white hat hackerovi takový průnik podaří, nic zlého vám neprovede. Naopak, dostanete od něj přesný popis toho, co je potřeba opravit, aby se tam nikdo jiný už nedostal. A vy mu za to zaplatíte. Takovému hackingu se říká penetrační testování. White hat hackeři často zakládají firmy, které pomáhají svým zákazníkům zvyšovat bezpečnost jejich systémů.

Grey Hat hacker – často se tvrdí, že jsou něco mezi. Málokde se ale dozvíte, co to znamená být něco mezi. Může být někdo jenom trochu zloděj? Spíše je to tak, že je ta hranice mezi white hat a black hat nejasná. Hacker se sice tváří jako white hat, ale existuje podezření, že svoje znalosti a um používá i neeticky. Případně útočí na firmy, organizace nebo třeba státy bez jejich souhlasu a vědomí, ale vedou ho k tomu (někdy subjektivně) dobré důvody. Může to být ekologický aktivista, bojovník za lidská práva nebo třeba náboženský fanatik.

Legálnost versus etičnost

Zároveň je potřeba rozlišovat mezi legalitou a etikou. Zákony jsou různé v různých částech světa. Například zde v Evropě platí téměř každých 500km jiná pravidla. Co je legální v Praze, může být trestné ve Vídni. A protože Internet hranice nemá, je to pro posuzování ještě složitější. V zemích, jako je třeba Severní Korea je například ve většině případů ilegální jakékoliv použití počítače. Proto není možné posuzovat hackery podle lokálního národního práva. Zvláště v době, kdy národní státy začínají ztrácet smysl.

Střelci naslepo a nestátní armády

Existuje ještě jedna skupina. Nejsou to hackeři v pravém slova smyslu. Spíše rádoby hackeři. Vžilo se pro ně označení „Script kiddies“. Dnes je totiž na Internetu velké množství hackerských nástrojů, které jsou volně ke stažení. A vypadat před kámošem jako hacker může být lákavé. Stáhnout nějaký prográmek, stisknout pomyslné tlačítko „Hackni to!“ není složité. Útočník ale většinou nic nezíská. Protože i s těmito nástroji je potřeba pracovat cíleně a s přesným nastavením. Na druhou stranu, i když nic nezíská, může přeci jen napáchat nějaké škody (poškodit databázi, smazat důležité soubory, zahltit síť atd.). Proto je důležité chránit systémy i před takovýmito amatérskými útoky.

V cyber světě můžeme najít i nestátní organizované hackerské skupiny. Jsou to vlastně takové malé armády hackerů, kteří mají nějaký společný cíl a kterého se snaží dosáhnout spojením svých sil. Neznamená to ale nutně, že se tyto skupiny scházejí někde na tajných místech a odtud provádějí své útoky (etické či neetické). Jednotlivý členové se mezi sebou často osobně vůbec neznají. Můžou být rozeseti po celém světě, operují pod přezdívkami a vše, co o sobě navzájem potřebují vědět jsou jejich schopnosti. To mj. zajišťuje i jejich fyzickou bezpečnost. Když je nějaký člen skupiny odhalen, nemůže o svých kolezích prozradit nic důležitého.

Chci se stát hackerem

Častá otázka je, jak se člověk může stát hackerem. Odpověď na ni není jednoduchá a rozhodně ne univerzální. Hackerství je o každodenním učení a prohlubování svých znalostí. V podstatě každý, kdo je expertem ve svém oboru a má touhu se dál zlepšovat a pronikat do každého detailu, se může stát hackerem. Neexistuje ani jasná hranice, kdy o sobě (nebo o někom jiném) můžeme říci, že je hacker. Existují sice různé kurzy a certifikáty, ale ani to není nutná podmínka. Certifikát z vás nutně hackera neudělá, pokud se tomu dál nevěnujete a na druhou stranu jeho absence (stojí to čas a peníze) neznamená, že hackerem nejste.

No a jak tedy otevřu ten zámek?

Není to těžké a po natrénování to může jít poměrně rychle. Toto je ovšem jen taková základní technika, víceméně je to svým způsobem sport (ano, pořádají se v tom soutěže). Profesionální zloději ji téměř nevyužívají.

Návod naleznete ve videu, jak ubránit vaše digitální zámky vám řeknu já

The post Hackeři – proti komu se bráníme? appeared first on DIGITÁLNÍ SEBEOBRANA.

Video sérii naleznete na tomto odkazu

Jednotlivé díly:

The post Videosérie Digitální Sebeobrany appeared first on DIGITÁLNÍ SEBEOBRANA.

Útočník navíc nemusel spoléhat na nějaký chybný krok uživatele (například kliknutí na odkaz nebo otevření přílohy), instalace software proběhla poté, co útočník své oběti na WhatsApp zavolal. Uživatel hovor ani nemusel přijmout, škodlivý kód obsahovalo již ono zavolání. Záznam o volání mohl být poté vymazán, takže uživatel zpětně nemá běžným způsobem možnost zjistit, zda se stal obětí takového útoku.

Jak bylo zmíněno výše, chyba je již opravena, proto neváhejte s aktualizací WhatsAppu na nejnovější verzi.
Nebo prostě přejděte na bezpečnejší Signal Messenger

Verze, kterých se zranitelnost týká:

Android: v2.19.134 a nižší, WhatsApp Bussines v2.19.44 a nižší
iOS: v2.19.51 a nižší, WhatsApp Business v2.19.51 a nižší
Windows Phone: v2.18.348 a nižší
Tizen: v2.18.15 a nižší

Jak aktualizovat WhatsApp?

Android:

• Otevřete Google Play
• Otevřete menu v levém horním menu
• Otevřete Moje aplikace a hry
• Pokud nebyl WhatsApp automaticky aktualizován, je u něj tlačítko „Aktualizovat“. V opačném případě nabídka aktualizace chybí, místo něj je pouze tlačítko k otevření.

iOS:

• Otevřete App Store
• Ve spodní části displeje klepněte na „Aktualizace“
• Pokud nebyl WhatsApp automaticky aktualizován, je u něj tlačítko „Aktualizovat“. V opačném případě nabídka aktualizace chybí, místo něj je pouze tlačítko k otevření

The post 0-day zranitelnost ve WhatsApp appeared first on DIGITÁLNÍ SEBEOBRANA.

Útočník může tuto vlastnost zneužít a přinutit prohlížeč schovat originální adresní řádek a místo toho zobrazit vlastní, zfalšovaný.

Pokud tedy například v emailu, který vypadá jako zpráva z vaší banky, kliknete na odkaz, můžete se dostat na takto upravenou stránku útočníka, která bude vypadat jako web banky a i adresní řádek tomu bude odpovídat (viz video Jamese Fishera, který útok odhalil, níže). Pokud zadáte na stránce vaše přihlašovací údaje, pošlete je přímo útočníkovi.

Jak se bránit? Jedná se o využití vlastnosti Chrome a není (zatím) vydána žádná aktualizace, která by toto chování změnila. Proto si dávejte pozor na odkazy, které otevíráte z emailu.

Dobrá praxe je neklikat na odkazy, které mají vést na stránky, na kterých máte zadávat nějaké své údaje. Pokud vám například přijde zpráva, že je potřeba vyřešit něco ve vašem internetovém bankovnictví, otevřete prohlížeč a adresu jednoduše zadejte ručně, případně použijte uložené (a ověřené) záložky (bookmark).

The post Pozor na Chrome v Android telefonu appeared first on DIGITÁLNÍ SEBEOBRANA.

1. Zvolíte si uživatelské jméno a heslo (pouze malá písmena a délka max. tři znaky), poté kliknete na tlačítko „Registrovat“. Tím se nasimuluje registrace na nějakém serveru (jméno a heslo jsou uloženy v databázi).
2. Kliknete na tlačítko „Run“: Tím se spustí útok – program zkouší kombinace znaků v poli „Heslo“ v sekci „Přihlášení“ (simulace přihlašovacího formuláře).
3. Po nalezení kombinace se můžete zkusit přihlásit tlačítkem „Přihlásit“.

Základní informace o tvorbě hesel naleznete níže.

Registrace

Zvolte uživatelské jméno:

Heslo (max. 3 malá písmena*)

* Brute-force útok je náročný na čas a výpočetní výkon, v prohlížeči by trval příliš dlouho

Registrovat

Přihlášení

Uživatelské jméno

Heslo

Přihlásit

Brute-force

Run
Stop

Server database

Username

Password

 

 

The post Brute-force útok – demo appeared first on DIGITÁLNÍ SEBEOBRANA.

Jednou z technik, kterou si můžete i sami vyzkoušet, je obrácení směru písma uprostřed názvu souboru. Výsledný název pak vypadá jako neškodný obrázek (např. s příponou jpg), ve skutečnosti se stále jmenuje xxxx.exe, jen váš počítač vám ho zobrazí s částí názvu obráceně.

Jak na to? Jste pro tuto chvíli hacker a svůj škodlivý program pojmenujete např. „foto_velorgpj.exe“.

Upozornění: Nemusí fungovat na některých iOs/Safari

Klikněte na tlačítko „Kopírovat u202e“
Kopírovat u202e
Kurzor umístěte mezi písmena „r“ a „g“ a stiskněte Ctrl+v.
Vyzkoušejte zde: 

Hotovo, máte svůj zamaskovaný program.

Většina nejpoužívanějších messengerů a emailových programů vás dnes již před takovým zamaskovaným souborem varuje, ale můžou se objevit i takové, které si změny směru písma „nevšimnou“. Proto si dejte pozor při otevírání i zdánlivě neškodných typů souborů.

Povedl se vám vymyslet nějaký zajímavý název souboru, který se dá takto „obrátit“? Dejte vědět 🙂

Na Linuxu nemusíte použít tlačítko pro kopírování:
Kurzor umístěte mezi písmena „r“ a „g“ a stiskněte kombinaci kláves levý Shift+Ctrl+u (objeví se podtržené „u“). Zadejte kód znaku pro změnu směru písma (už bez držení Shift+Ctrl+u): 202e a stiskněte mezerník.

The post Vyzkoušejte si jednoduchý trik hackerů appeared first on DIGITÁLNÍ SEBEOBRANA.