Nedelja, 24. 4. 2016, 17.32
7 let, 2 meseca
Niso vsi hekerji “slabi fantje”
Hekerski strokovnjak Milan Gabor pravi: "Če ne posodabljate programske opreme in uporabljate protivirusnih programov, je to tako, kot če bi se odpravili na počitnice, v domači hiši pa pustili odprta vsa vrata in okna."
Milan Gabor je Prekmurec in strokovnjak za računalniško varnost. Pred leti je, po večletnem delu kot razvijalec programske opreme v enem izmed slovenskih računalniških podjetij, ustanovil podjetje Viris, ki se ukvarja z različnimi vidiki računalniške varnosti ter obsega razvoj, svetovanje in izboljšave informacijskih sistemov in varnostnih rešitev na sodobnih tehnoloških platformah.
Leta razvoja programske opreme koristno uporablja pri analizah različnih tipov aplikacij, ima številne certifikate s področja varnostnih produktov in je certificiran etični heker. Ob nedavnem hekerskem srečanju v Ljubljani smo se z njim pogovarjali o tem, kaj je etični heking, kako so naši digitalni podatki izpostavljeni nevarnostim in kako jih lahko zaščitimo.
Povejte, kaj sploh je etični heker in kako se razlikuje od običajnega hekerja?
Etični heker uporablja iste metode, programe in tehnike kot klasični heker, samo da to počne z vednostjo naročnika oziroma stranke, ki je naročila te storitve za odkrivanje varnostnih lukenj v svojem sistemu. Etični heker je torej heker, ki ima legalno podlago, medtem ko klasični hekerji navadno tega nimajo. Naročnik tudi določi rok, do kdaj mora biti storitev opravljena, kakšen je obseg vdora, kaj je dovoljeno početi in kdaj lahko heker svoje delo opravlja oziroma kdaj ga ne sme.
Kakšne vdore opravlja etični heker?
Simulacije vdorov so različnih tipov. Najbolj tipičen je primer črne škatle, kjer naročnik napadalcu ne poda praktično nobene informacije, tako da mora heker sam odkriti ranljivosti. Pogost primer je tudi kombinacija, kjer naročnik hekerju poda nekaj informacij, na primer, katere storitve uporablja, katere programe, katere baze in na katerih strežnikih se podatki nahajajo. Tehnologija, ki jo etični heker pri svojem delu uporablja, pa je ista kot pri klasičnih hekerjih.
Milan Gabor je certificiran etični heker. Etični heker sicer uporablja iste metode kot klasični heker, samo da to počne z vednostjo stranke, ki je naročila odkrivanje varnostnih lukenj v svojem sistemu.
Torej nikoli ne vdirate na lastno pest?
Večjih stvari in sistemov, na primer kakšne banke, nikoli ne gremo preverjat sami od sebe. Se pa najdejo kakšne manjše stvari, sploh ko pripravljamo referenčno gradivo in primere za kakšno konferenco.
V naši ekipi smo na ta način našli že kar precejšnje število varnostnih lukenj, vendar te stranke ne bodo nikoli izvedele, kdo jih je našel, saj smo jih našli čisto po naključju, ne da bi one to zahtevale. To tudi pomeni, da mi od tega nimamo ničesar. Včasih smo jih sicer obveščali tudi sami, ko smo kaj našli, vendar velikokrat od njih nismo prejeli nobenega odziva, kaj šele zahvale.
Tukaj bi še poudaril, da mi sami ne vdiramo naključno, ampak samo pogledamo, tudi s pomočjo Googla, katere strani so bile "shekane" v zadnjem času in kateri podatki so bili ogroženi.
Kakšen zanimiv primer?
Nedavni primer se dotika okrožnega sodišča v Ljubljani. Ta ima svoj intranet, torej bazo svojih podatkov zunaj javne uprave, na strežniku v Celju, za vstop pa potrebujete le eno kodo. In nedavno je bila na tem strežniku odkrita varnostna luknja. Glede na to, da gre za intranet okrožnega sodišča, je velika verjetnost, da se na njem skrivajo tudi kakšne zelo zanimive stvari občutljive narave.
Ampak če etični hekerji najdemo nekaj takšnega, ne razkrinkamo podatkov javnosti, temveč obvestimo nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (Cert), oni pa potem ukrepajo dalje in obvestijo naročnika.
Tudi nekatere državne institucije hranijo svoje podatke na zunanjih strežniških sistemih. Če hekerju uspe vdreti v ta strežnik, so lahko ogrožene izjemno pomembne in občutljive informacije.
Ali slovenska podjetja kažejo kaj zanimanja za odkrivanje varnostnih lukenj in najemanje hekerjev?
Zadnja leta je precej povpraševanja, ne samo o storitvah, ampak tudi na temo ozaveščanja. Podjetja se zavedajo, da upravljajo občutljive podatke in da s poplavo različnih pametnih naprav in novih tehnologij prihajajo tudi nove grožnje ter novi vektorji napada.
Nas navadno najamejo za izvajanje treningov na temo ozaveščanja o digitalni varnosti, na primer, da razložimo, kje vse so zlonamerni napadi mogoči, zakaj ni dobro vsega objavljati na družbenih omrežjih, zakaj je vsake toliko dobro zamenjati geslo, kateri certifikati so boljši in bolj varni za uporabo ter podobno. Mi jim posledice pokažemo na praktičnih primerih in s tem dvigujemo njihovo ozaveščenost ter previdnost na tem področju.
Kakšen pa je odziv?
Ljudem je to zanimivo tako na profesionalni kot tudi zasebni ravni, sploh za storitve, ki jih uporabljajo vsak dan, na primer Google in Facebook, kjer ima praktično vsak že svoj digitalni profil.
Sam se na takšnih predavanjih včasih malo poigram in kakšnega od slušateljev poslikam in ga vprašam za ime. S tem hočem pokazati, kako preprosto je prevzeti od nekoga identiteto. Imam sliko in ime, v minuti lahko naredim na Facebooku njegov profil, dodam njegove prijatelje in ga spravim v zadrego s spornimi objavami ali čim podobnim.
Povpraševanje za naše storitve tudi raste, ker ljudje marsikaj preberejo o novih načinih digitalnega vdiranja. Svet je namreč vedno bolj povezan, kar pomeni, da je vedno več potencialnih dostopnih točk do podatkov. Do wi-fija se da priti prek hišnih zvoncev, prek pametnih žarnic do gesel za brezžična omrežja, potem so tu še pametni gospodinjski aparati, na primer opekači, pečice in pralni stroji. Če nepridipravu uspe priti v domače omrežje, so posledice lahko precej katastrofalne. Internet stvari bo postal še veliko bolj nevaren.
Ko ste ravno omenili internet stvari, kakšne grožnje pretijo na tem področju?
Trenutni trend so pametne hiše, ki se jih da krmiliti s telefonom. Nekoč je bilo upravljanje peči in klimatskih naprav ločeno in sploh ni potekalo prek interneta, danes pa v imenu preprostosti vse prihaja na telefon.
Poblem nastane, če te aplikacije za upravljanje niso dobro zasnovane in nimajo pokrpanih vseh hroščev. To je žal vse prepogost pojav, saj bi vsi radi naredili na hitro, hitro prodali in hitro obogateli, ob tem pa hitro tudi kaj izostane, na primer komponenta varnosti. Nemalo je primerov, ko prek teh aplikacij lahko pogledamo ne samo svojih števcev porabe, ampak tudi števce soseda, ki uporablja ta sistem. Te storitve se tudi hitro cenijo, kar pomeni, da svet interneta stvari hitro raste in vključuje vedno več različnih naprav, od domačih diskov do telefonov in kamer.
Svet interneta stvari hitro raste in vključuje vedno več različnih naprav, ki so lahko tarča napadov.
Do česa vse lahko dostopa napadalec?
Lahko dobi gesla za brezžično omrežje, dostop do upravljanja naprav, lahko upravlja celotno pametno hišo in krmili stvari, lahko zakuri peč. Prihajajo hladilniki, ki bodo vedeli, da ti zmanjkuje mleka in bodo samodejno poslali naročilo v trgovino, mleko pa te bo pričakalo pred vrati. Vse stvari, vsi sistemi bodo medsebojno povezani.
Kako daleč je ta prihodnost popolnoma povezanega sveta?
Razni proizvajalci, na primer Gorenje, so že začeli v svojo belo tehniko vgrajevati module, ki se povezujejo v oblak in kmalu bo verjetno resničnost, da bo pralni stroj sam javil, ko bo potreboval popravilo ali menjavo določenega dela. Nič hudega sluteči bomo prišli domov, kjer nas bo pričakal serviser z besedami "pralni stroj mi je javil …", mi bomo pa samo debelo gledali. To je realnost v roku dveh, treh, petih let in velja za vse proizvajalce.
Tu so tudi pametni televizorji, ki imajo prav tako varnostne luknje. Če nekomu uspe dobiti dostop do pametnega televizorja, lahko vklaplja mikrofon na televiziji, ali pa snema in gleda vašo dnevno sobo. Vdiralec tako posega v vašo intimo, spremlja vaše delovne navade in ugotovi marsikaj o vas.
Heker lahko na manj zavarovanih domačih omrežjih pride do zasebnih fotografij, elektronskega bančništva, osebnih podatkov in potencialno tudi do zaupnih službenih dokumentov.
Kako se lahko zlonamerni heker okoristi s tem?
V takšnih domačih sistemih so lahko shranjeni pomembni osebni dokumenti in tudi službene stvari. Recimo, da ta heker ve, da njegova "žrtev" dela na ministrstvu in upravlja zaupne dokumente. Potem obstaja velika verjetnost, da do teh dokumentov dostopa tudi od doma. Kaj je torej lažje napasti, če želi dobiti dostop do njih? Ministrstvo ali domači wi-fi?
Heker lahko na ta način pride do zasebnih fotografij, elektronskega bančništva in kraje osebnih podatkov. Danes je skoraj v vsakem gospodinjstvu kakšen zunanji disk, ki je priklopljen v omrežje. Heker lahko ukrade vse podatke s tega diska. Ali pa to manj zavarovano domače omrežje izkoristi le za vdiralski napad nekam drugam. S tem zakrije svoje sledi in policijo usmeri na vaša vrata. V tem primeru dejansko ukrade vašo digitalno identiteto, saj informacijski pooblaščenec v Sloveniji ima IP-naslov za osebni podatek.
V Sloveniji so bili tudi primeri, ko je nekdo s krajo identitete nekomu prodal hišo. Tu so tudi pametni certifikati, ali pa konec koncev deljenje pornografije. Nepridiprav na primer vdre v omrežje in postavi strežnik, prek katerega potem deli nedovoljeno vsebino. Ko na vrata potrka policija, pa strežnik zbriše in zakrije svoje sledi, tako da vsi indici kažejo, da ste storilec vi.
Kako se posameznik lahko sploh zaščiti pred takšnimi napadi? Deluje namreč, da je precej (ne)močen in izpostavljen nemilosti napadalcev …
V prvi vrsti sta ozaveščenost in poznavanje, kakšni napadi so sploh mogoči. Obvezno je tudi posodabljanje sistemov na najnovejše različice. Potem so tu raznorazni protivirusni programi, ki so sposobni odkriti in preprečiti splošne napade, ki ciljajo na večino ljudi.
Ključna vodila za varnost: posodabljanje programske opreme, sledenje trendom in razmislek, kaj je pametno objaviti na družbenih omrežjih oziroma spletnih portalih.
Ti sicer ne nudijo dobre obrambe pred targetiranimi napadi, ki jih na primer izvaja kitajska vlada, ki za napade na določene posameznike najema specialiste. Vendar se takšni napadi navadno ne izvajajo na običajnih ljudeh, ampak na kakšnih visokoprofilnih vladnih uslužbencih.
Ključna vodila?
Ključna vodila za varnost naj bodo torej posodabljanje programske opreme, sledenje trendom in mogoče razmislek, kaj je pametno objaviti na družbenih omrežjih oziroma spletnih portalih. Za vodilo pri objavah: ali se upate stvari, ki jih nameravate objaviti, reči tudi v živo v javnosti, na primer na ulici, ali pred 100 ljudmi.
Varnostne ukrepe lahko razdelimo na tehnične rešitve (protivirusni programi, požarni zidovi) in človeški faktor. Na zadnjega dostikrat pozabimo. Vedno posodabljamo le programsko in strojno opremo, ljudi pa ne. Človeku res ne moremo zamenjati BIOS-a (zagonski sistem računalnika, op. a.) ali čipa, lahko pa ga izobrazimo. Tudi zato so treningi ozaveščanja in simulacije različnih realnih situacij kraje podatkov lahko zelo koristni.
Za uporabnike okolja Windows je na primer zelo priročen varnostni trik, da si na računalniku odvzamejo administratorske pravice, kadar jih ne potrebujejo. To lahko stori vsak, ko pa namešča kakšno programsko opremo, pa preprosto vnese potrebno administratorsko geslo. Odvzem administratorskih pravic namreč prepreči samodejno nameščanje kakšnih zlonamernih programov, brez naše vednosti.
Za uporabnike okolja Windows je na primer zelo priročen varnostni trik, da si na računalniku odvzamejo administratorske pravice, kadar jih ne potrebujejo. Na ta način preprečijo, da bi se škodljivi programi na skrivaj namestili sami, brez potrditve uporabnika.
Kako pa lahko poskrbimo za varnostne ukrepe na pametnih telefonih in do kakšne mere so ti sploh potrebni?
Telefon je obvezno vsaj zakleniti s šifro ali varnostnim vzorcem, zadnje čase tudi s prstnim odtisom. Priporočljivo je uporabiti kar vse ukrepe, saj je tako težje vdreti vanj, če ga ukradejo. Danes pa imamo na telefonu naša celotna digitalna življenja in številne pomembne podatke.
Čeprav so bolj redki, je vseeno priporočljivo uporabljati tudi protivirusne programe oziroma aplikacije. Za nekoga, ki ima na telefonu shranjene bolj občutljive stvari, mogoče pride v poštev tudi kriptiranje vsebine. To pomeni, da so vsi podatki zaklenjeni in je za dostop potrebno geslo. Tako da če ga že kdo dobi, da ne more priti do tistih podatkov.
Kakšne pa so varnostne grožnje telefonom?
Eno večjih varnostnih groženj sicer predstavlja nalaganje aplikcaij iz nepreverjenih in sumljivih virov. Najboljša rešitev pri tem je, da uporabnik tega ne počne in vedno nalaga samo preverjene vire. Targetiranih napadov, tako na računalnikih, na telefonih praktično ni. Obstajajo, ampak niso še prav pogosti, se bo pa prej ali slej tudi to spremenilo.
Varnostni ukrepi so sicer podobni kot pri računalnikih, torej protivirusni programi in posodabljanje programske opreme. Veliko naredi že dober PIN. Drugače pa so telefoni še precej izolirani. Četudi so telefoni priklopljeni na internet, do njih še vedno ne more dostopati nekdo od zunaj, tako kot na strežnike. Za dostop nujno potrebuje interakcijo uporabnika. Bodisi mu pošlje SMS, e-pošto ali kaj podobnega.
Čeprav so telefoni priklopljeni na internet, do njih še vedno ne more dostopati nekdo od zunaj, tako kot na strežnike. Za dostop nujno potrebuje interakcijo uporabnika.
Tehnologija na telefonih je namreč nekoliko drugačna. Vse poteka v nekakšnem omejenem peskovniku, kjer so aplikacije ločene druga od druge, tako da če nekdo "poheka" eno aplikacijo, nima nujno dostopa do druge, ali do celotnega sistema. Se bo pa to spremenilo, ko bodo telefoni odprti na internet in slej kot prej bodo napadi enaki kot na računalnikih.
Za konec morda še beseda o operacijskih sistemih. Kateri so najbolj varni za uporabo?
Statistično je imel Applov operacijski sistem MacOS v zadnjem letu večje število ranljivosti kot Microsoftova Okna. Drugače pa drži, da starejši kot je sistem, bolj je ranljiv in izpostavljen nevarnostim. Pri Oknih se je število ranljivosti v zadnjem desetletju občutno zmanjšalo, saj se Microsoft vedno bolj posveča varnosti. Se pa te vseeno še vedno pojavljajo.
Če je sistem posodobljen na zadnjo različico, potem je težko govoriti, kateri je bolj varen in kateri manj. Je pa tako kot pri stanovanju. Če odprete vsa okna in vrata, potem že sami prosite nepridiprave, naj vstopijo. Vsaj bolj kot nekdo, ki ima na vratih dva zapaha.
Applov operacijski sistem MacOS je imel v zadnjem letu večje število ranljivosti kot Microsoftova Okna. Sicer pa velja, da starejši kot je sistem, bolj je ranljiv in izpostavljen nevarnostim.
Kaj pa operacijski sistemi na telefonih?
Android je najbolj razširjen in najbolj odprt. V lanskem letu je imel precej več ranljivosti kot Applov iOS, ampak to je tudi posledica te razširjenosti in modifikacij. Na svojih napravah ga namreč uporabljajo različni proizvajalci, ki ga po svojih potrebah tudi nekoliko spreminjajo in prilagajajo. Res pa je, da po drugi strani nudi več fleksibilnosti kot iOS. Vseeno, če ga posodabljate in ne nalagate aplikacij iz nepreverjenih virov, potem ne bi smelo biti preveč skrbi glede varnosti.
Še bolj kot iOS je sicer trenutno varen Windows Phone, ampak to je predvsem posledica tega, da ni toliko razširjen oziroma še nima tako obširne baze aplikacij. Ko jo bo enkrat dobil, pa se bo prav tako znašel pod raznimi udari.