Vzpon etičnega hekanja

Na eni izmed Microsoftovih konferenc NTK je podjetje Viris, ki se ukvarja z različnimi vidiki računalniške varnosti, predstavilo primer večjega slovenskega podjetja, ki je imelo pomanjkljivo konfiguracijo sistema, tako da je bilo mogoče z iskalnikom google brez napora in brez hekanja najti dostop do njihovega intraneta. Predstavniki tega podjetja so bili navzoči na konferenci. Ob videni ranljivosti svojega sistema bi jih morala zajeti panika. Podatki in druge občutljive informacije lahko namreč ob hekerskem napadu pristanejo v napačnih rokah.

Če bi varnost sistema dali v preverjanje etičnim hekerjem, kot je to leta 1974 storilo Vojno letalstvo ZDA (s čimer so izvedli prvi etični hekerski test varnosti operacijskega sistema Multics), bi jih ti že med analizo opomnili na slabosti informacijskega sistema in omrežja, pomanjkljivosti pa bi pravočasno odpravili. V svetu tuja podjetja – tudi Google in Facebook – javno vabijo hekerje (prirejajo tudi hekatone), da poskušajo vdreti v njihov sistem, saj se želijo prepričati, da je ta varen, oziroma želijo čim prej odpraviti morebitne pomanjkljivosti. »Slovenska podjetja smo lani na konferenci NTK vprašali oziroma izzvali, ali bi dovolila kaj takega, a je bil odgovor ne,« pravi Milan Gabor, ustanovitelj podjetja Viris. Opaža pa, da je v zadnjih dveh letih tudi pri nas zaznati povečanje povpraševanja po preverjanju tovrstnih sistemov: »Povpraševanje se poveča predvsem ob pojavu incidentov na lokalni in globalni ravni.«

Marcin Milewski

Mojstri binarne revolucije

Podjetja, ki želijo preveriti, kako varna so v svetu interneta, poiščejo strokovnjaka, ki ima v lasti certifikat CEH (Certified Ethical Hacker). Ta sicer zagotavlja, da je človek usposobljen in da je etični heker, ni pa nujno vedno tako. Poleg certifikata so pomembni tudi izkušnje, dobro poznavanje različnih platform, sistemov, tehnologij … Etični heker v podjetjih opravi varnostni pregled, ki vključuje zbiranje informacij o omrežju, skeniranje omrežja za ugotovitev uporabljenih aplikacij, napad na aplikacije in ohranitev dostopa do sistema, ter na koncu napiše poročilo. Podjetju etični hekerji povedo, kako so dobili podatke, sporočijo šibke točke, ki so jih našli, in mu svetujejo, kako jih odpraviti.

»Etični hekerji in black hat hekerji se razlikujejo le po tem, da etični hekerji hekajo z dovoljenjem naročnika.«

A kdo so etični hekerji? So bili tovrstni hekerji, preden so postali etični, neetični? »Etični heker ali white hat, kot mu tudi pravijo, je strokovnjak za računalnike in omrežja, ki s svojim znanjem poskuša odkriti pomanjkljivosti v sistemu, preden jih zlorabi t. i. black hat heker,« razloži Gabor. Termin etični heker je leta 1995 skoval podpredsednik IBM John Patrick, s čimer je opomnil, da ga ni treba nujno razumeti v slabšalnem pomenu. Sicer pa razlike med tehnologijami in tehnikami, ki jih uporabljajo etični hekerji in black hat hekerji, ni, pravi Gabor: »Razlikujejo se le po tem, da etični hekerji hekajo z dovoljenjem naročnika.«

Da vedno delajo po naročilu, pritrjuje tudi etični heker Grega Prešeren iz podjetja S&T: »V nasprotnem primeru je to kaznivo dejanje.« Wikileaks in Edward Snowden, ki sta svet opremila s številnimi informacijami, ne sodita v kategorijo etičnih hekerjev, kajti čeprav sta imela najboljši namen, da bi ljudi ozavestila, sta v informacijski sistem vdrla brez dovoljenja.

Sogovornika poudarjata, da imajo etični hekerji vedno sklenjeno pogodbo o poslu in dovoljenje za izvedbo natanko določenih del. Zaveza etičnega hekerja je tudi, da o razkritjih ne spregovori javno in da nikoli ne razkriva informacij. »Vedno podpišemo pogodbo o nerazkrivanju podatkov (non disclosure agreement), saj naročnik plačanim hekerjem zaupa vpogled v delovanje svojega sistema. Če bi o tem govorili, ko najdemo 'luknje', ki v tistem trenutku še niso odpravljene, bi naročnika še bolj izpostavili tveganju za vdor,« doda Prešeren. Nekatere stranke, zlasti iz finančnega in državnega sektorja, od njih zahtevajo tudi potrdilo o nekaznovanosti.

Glavni raziskovalec v podjetju F-Secure, Finec Mikko Hypponen, ki slovi kot eden največjih strokovnjakov za kibernetsko varnost, je v pogovoru za spletni pop kulturni tednik Pop Orange dejal, da mora biti etični heker vreden zaupanja: »Etični hekerji znajo vdreti v sistem, a so se odločili, da bodo to svoje znanje uporabili v družbeno koristne namene. Pri nas jih dela veliko, a jim zaupamo, da ne bodo zlorabili svojih znanj. Velike sposobnosti namreč prinesejo tudi veliko odgovornosti.«

Marcin Milewski

Skrivnostni jezik kod

Hekanje si predstavljam zelo filmsko: računalniški »geek« sedi v svojem stanovanju, sodeč po prizorih iz hollywoodskih filmov, najraje v kleti, in bulji v več ekranov hkrati, na katerih se v vrstah izpisujejo podatki. Pa res poteka tako? Gabor v smehu pravi, da ni vse tako filmsko, da pa imajo obvezno dva monitorja, saj z enim ne morejo vsega spremljati. Tudi konec ni vedno srečen: »Včasih varnostni pregled vodi v slepo ulico, včasih pa kaj najdemo.« Ko najdejo kakšno nevarnost zunaj izvajanja varnostnega pregleda, obvestijo SI CERT, včasih pa tudi upravljavce sistemov. Vendar tega ne obešajo na veliki zvon, saj se zavedajo, da bi lahko bile takšne informacije v določenih trenutkih za koga zelo koristne.

»Vedno podpišemo pogodbo o nerazkrivanju podatkov. Če bi o tem govorili, ko najdemo 'luknje', ki v tistem trenutku še niso odpravljene, bi naročnika še bolj izpostavili tveganju za vdor.«

Ker je informacijski sistem zelo širok, etični hekerji običajno pregledujejo le en njegov del. Zaradi obsežnosti sistema je tudi težko izbrati, kaj je najpomembnejše, zato največkrat uporabijo pristop modeliranja groženj – kaj je najbolj verjetno, da bi se naročniku zgodilo. »Potem se določi obseg vdornega testa oziroma varnostnega pregleda,« Prešeren niza nekaj podrobnosti. Naročnika tudi ves čas obveščajo, kaj testirajo.

V tako obširnih sistemih pa je tudi veliko podatkov, t. i. big data. Med temi sicer lahko ugotavljajo različna razmerja in zakonitosti, vendar Gabor pravi, da nimajo želje kopati po njih. Lani so sicer takšno bazo našli pri enem ameriškem podjetju. Ker je bilo v igri veliko podatkov, so se morali pogovarjati tudi z njihovimi odvetniki. »Podpisali smo izjave o varovanju podatkov, se zavezali, da bomo vse izbrisali, itd.,« razlaga Gabor.

Kritična državna infrastruktura bi morala na pregled

V Sloveniji je že kar nekaj podjetij, ki se ukvarjajo z etičnim hekanjem, saj je tudi klientov vedno več. Kdo so tarče hekerjev? »Tarča avtomatskih napadov so vsa spletišča. Bolj usmerjeni napadi pa se izvajajo na določene ljudi in podjetja z nekim ciljem ter potekajo po skrbno načrtovanih scenarijih. Ali se bo neki kibernetski napad zgodil, pa je odvisno od treh stvari: časa (koliko ga je na voljo, npr. nekaj mesecev), denarja (kdo to plača) in motivacije,« razlaga Gabor. Doda, da si hekerji navadnih državljanov namerno ne bi izbrali za tarčo, kakšnega ministra ali druge mogotce pa že bolj verjetno. »In takšnega napada ne bodo uspešno ustavili niti protivirusni programi,« opozori. Med tarčami skrbno pripravljenih napadov so ponavadi vladni uradi, energetska podjetja, banke … Zato je v določenih sektorjih testiranje varnosti sistema določeno z regulativo in je obvezno. To velja za bančništvo. Področje, ki trenutno še nima regulative o preverjanju kibernetske varnosti, a bi jo po mnenju obeh sogovornikov moralo imeti, je kritična državna infrastruktura, kamor sodita tudi energetika in druga infrastruktura. Ampak EU na tem področju že pripravlja zakonodajo, pravi Prešeren.

Marcin Milewski

Kibernetski napad na navadne smrtnike pa je največkrat v obliki priponke v elektronski pošti. Svoj računalnik in s tem svojo spletno varnost lahko ogrozimo, če takšno priponko odpremo. »To je klasičen pristop,« pravi Gabor. »Če so napadi pripravljeni zelo natančno in temeljito, potem tudi posodobljen sistem ali protivirusni program tega ne zazna in je velikokrat samo od uporabnika odvisno, ali bo preskočil obvestilo o potencialni nevarnosti ali ne,« doda.

So podjetja pripravljena?

V hekanju pa je tudi denar. Sektor informacijske tehnologije namreč še vedno raste. Raziskovalno podjetje Gartner je ocenilo, da bodo investicije v informacijske tehnologije in programsko opremo letos znašale 3500 milijard dolarjev, kar je 2,9 odstotka več kot lani. Sočasno pa postaja vse pomembnejša tudi skrb za varnost. Leta 2015 so podjetja, ki ponujajo spletno varnost, ustvarila 77 milijard dolarjev prihodkov na svetovnem trgu. Poročilo Cybersecurity Ventures ocenjuje, da naj bi se izdatki za spletno varnost med letoma 2017 in 2021 povečali na 1000 milijard dolarjev. Morda se prav zaradi razmaha tega sektorja po spletu vrstijo oglasi, kot »za nekaj dolarjev boš etični heker« ali pa »postani etični heker«.

Podjetje Udemy, pod katero je podpisan Ermin Kreponic, za 195 evrov ponuja 113 spletnih predavanj, dolgih 25 ur, pri čemer trdi, da je zahtevnost tečaja primerna za vse – tudi za začetnike. Tako trdi v oglasu, ki se pogosto pojavi na facebooku. Na koncu dobiš tudi certifikat. Gabor, ki je med etične hekerje prišel iz vrst razvijalcev in nikoli ni bil nezakonit heker ter tudi sam vodi tečaje hekanja, meni, da se je te veščine težko naučiti v 25 urah. »Program, ki ga vodim, traja 40 ur in v tem času osvetlimo nekatere stvari in tudi nekaj naučimo. Toda če želiš postati dober na tem področju, moraš delati več let. Poleg tega mora biti hekanje tvoja strast,« je prepričan. Opaža, da je tudi pri nas kar nekaj ljudi, ki si želijo biti hekerji in gredo na tečaj in potem ugotovijo, da jim do cilja manjka še veliko. »Pravo hekanje je daleč od tega, kar si nekateri predstavljajo. Res se mogoče sliši privlačno, toda v resnici ni vedno tako. Poznati je treba kopico tehnologij, spremljati novosti, se neprestano izobraževati in tudi raziskovati. Pri simulacijah vdorov je treba spremeniti tudi miselnost, saj se je treba vživeti v vlogo pravega napadalca,« pravi Gabor in doda, da je statistično gledano največ uspešnih etičnih hekerjev iz vrst administratorjev, ki so vzdrževali omrežja. Fazo neetičnega hekanja je preskočil tudi etični heker Prešeren. Za etičnega hekerja se je izobrazil na podlagi predhodnih tehničnih znanj: »Prej sem programiral in konfiguriral sisteme, zdaj pa odkrivam ranljivosti sistemov, ki jih programirajo in konfigurirajo drugi.«

Kje delajo arhitekti varnosti

Koristnost etičnih hekerjev prepoznavajo tudi vlade in podjetja. Živimo namreč v času kraje denarja, identitet ali pa zgolj vdorov zaradi ustvarjanja panike. Ampak panika je lahko draga. Sony Pictures je hekerski vdor stal 15 milijonov dolarjev, zaradi očitno pomanjkljive varnosti pa so razjezili tudi Hollywood – med podatki, ki so jih pridobili hekerji, so bili zasebni elektronski naslovi slavnih, kopije potnih listov, osebni podatki zaposlenih ... Da bi se ognili napadom, so torej začeli sami rekrutirati hekerje, tovrstno delo pa v tujini oglašujejo tudi kot »arhitekt varnosti«. PCMag in TechRepublic pišeta, da največ etičnih hekerjev dela v telekomunikacijah, po ocenah poznavalcev približno 30 odstotkov. Okoli 19 odstotkov naj bi bilo zaposlenih v sektorju financ, saj so finančne institucije in finančna podjetja največkrat tarče hekerjev. Zaposlujejo jih tudi v pravosodju – okoli sedem odstotkov. Bančništvo zaposluje okoli šest odstotkov etičnih hekerjev, sektor elektronike pa dva odstotka.

Marcin Milewski

Novi junak televizijskih zaslonov

Etični hekerji so dobili tudi svojega televizijskega junaka. V seriji Mr. Robot follows Elliot (G. Robot sledi Elliotu) etični heker čez dan dela v podjetju kibernetske varnosti, ponoči pa hekerske veščine uporablja v boju proti spletnim kriminalcem. Prve sezone nanizanke kritiki in gledalci niso mogli prehvaliti, priznana revija Tech Insider je celo zapisala, da je Mr. Robot prva nanizanka, ki dejansko razume hekanje. Nanizanka je prejela tudi nagrado Critics Choice Award in Golden Globe za najboljšo dramsko nanizanko.

Kraja informacij 
s sporočilom SMS

Hekerji lahko podatke ukradejo tudi s sporočilom SMS, je pred kratkim pisal New York Times. V Mehiki, kjer so leta 2014 uvedli davek na sladke pijače, je bilo nekaj vidnih uradnikov iz javnega zdravstva, ki so podpirali davek, lani poleti tarča zlonamerne vohunske opreme NSO Group – izraelskega trgovca kibernetskega orožja, ki trdi, da digitalna vohunska orodja »prodaja izključno vladam«, pogodbe pa ima sklenjene tudi z več agencijami v Mehiki. Napad je bil izveden s sporočilom SMS; to je bilo na telefon dostavljeno z neznane številke, opremljeno z besedilom »vaša hči je bila udeležena v nesreči«, z lažno povezavo do spletne strani bolnišnice. S klikom na povezavo so hekerji prišli v podatkovno bazo telefona, kjer so z vohunsko opremo dobili dostop do klicev, sporočil, spletne pošte, lokacije, zvoka … Lahko so sledili vsakemu koraku tarče napada, tudi s kamero. Strokovnjaki so bili tarče prav v času kampanje o podvojitvi davka na gazirane pijače, ki so mu že od začetka ostro nasprotovali Big Soda, Coca-Cola in Pepsi, ki imajo 60-odstotni tržni delež. Podjetje ConMexico, ki trguje z Big Sodo, je za New York Times dejalo, da industrija o napadu ni vedela nič, jih pa to plaši. NSO Group trdi, da vohunsko programsko opremo prodaja vladam za boj proti terorizmu, kriminalcem in narkokartelom, a ni prvič, da se je znašla na telefonih drugih tarč, piše New York Times. Opremo so avgusta lani našli na telefonu aktivista za človekove pravice v Združenih arabskih emiratih in priznanega mehiškega raziskovalnega novinarja Rafaela Cabrera. V Mehiki se je torej politiki za zmanjševanje porabe gaziranih pijač pridružilo tudi nekaj zelo inovativnih orodij, ki so ljudi opomnila, naj bodo v prihodnje previdni pri odpiranju povezav iz sporočil na telefonu, sploh če so ta poslana z neznane številke.