Najemite hekerja

Etičnega, seveda. Ta preverja ranljivost podatkovnih  sistemov, ki so priključeni neposredno na internet in so s tem izpostavljeni napadom. Razmišlja enako kot pravi hekerji, pozna njihove metode in tehnike, le da pomanjkljivosti pove podjetju.

Facebook
Twitter
Google Plus
LinkedIn

Poleg vseh novosti na IT področju smo priča tudi precej odmevnim zgodbam o različnih vdorih, kraji ali celo izgubi podatkov in različnim napadom na informacijske storitve. Danes, ko je informacijska tehnologija postala eden izmed ključnih dejavnikov poslovanja, je zato skrb za informacijsko varnost velikega pomena. Ne bi radi bili v koži nekoga, ki so mu ukradli podatke in jih potem na primer javno objavili ali jih zlorabili v kakšen drugi namen. Res sicer je, da tovrstne grožnje poslovanju niso nič novega. Industrijska špijonaža se je dogajala dosti prej, predeno se je informacijska tehnologija tako zelo razvila. Kraje podatkov so se dogajale, bile so le malo manj sofisticirane, manj pa se je o njih tudi govorilo. V današnjem času, ko ne moremo brez internetne povezave, saj je naše odločanje tesno povezano z različnimi informacijskimi viri, pa so stvari še toliko bolj zanimive za različne vrste ljudi. In tisti, ki se poskušajo dokopati do različnih informacij niso vedno prijazni. Velikokrat slišimo različne izgovore, češ mi pa res nimamo ničesar, kar bi nam lahko kdo ukradel. Vendar pa, ko se postavijo konkretna vprašanja o tem, če so potemtakem pripravljeni objaviti vse podatke kot javno dostopne, se le ugotovi, da so vseeno določeni podatki takšni, ki jih je potrebno ustrezno varovati in ščititi.

Napad na Facebook

Letos sta hekerski skupini Anonymous in LulSec pokazali, kako lahko je v nekaterih primerih priti do podatkov zanimivih organizacij. Na njihove napade niso bile imune niti policije držav, renomirana podjetja in druge organizacije, ki varujejo naše podatke. Skupina Anonymous je recimo vdrla v podjetje HB Gary, ki se je ukvarjalo s področjem informacijske varnosti in med njihovimi strankami so bile večja ameriška podjetja kot tudi državne ustanove. Skupina je internetu objavila celotno korespondenco nekaterih zaposlenih, kjer si jo lahko ogleda vsakdo. Ne moremo seveda tudi mimo njihove napovedi, da bodo v novembru napadli Facebook in ga onesposobili, vendar se to (še) ni zgodilo. LulzSec so ubrali svoj način dela in se lotili različnih skupin kot na primer pornografskih strani, pedofilskih skupin, posebnih enot policije, britanskega zavoda za zdravstveno zavarovanje, FBI-jevega projekta Infragard. Vdrli so tudi v sistem podjetja Sony.

Pred vdorom pravih hekerjev niso varni niti velikani, kot je denimo podjetje Sony. V njihov informacijski sistem je letos vdrla hekerska skupina LulzSec.

Foto: Dreamstime

Pri tem ne gre odobravati načina, s katerim so se lotili zadev, dokazali pa so eno: informacijska varnost se obravnava na prenostaven način in se ji v določenih primerih ne posveča dovolj pozornosti. In tisti, ki se ukvarjamo z informacijsko varnostjo, lahko to potrdimo. Ugotavljamo pa tudi, kako težko je preventivno delovati na tem področju. Vloga informacijske varnosti se minimalizira le trenutka, ko se nekaj ne zgodi.

Etični heking

In tu nastopi etični heking. Kaj torej pojmujemo pod tem izrazom? Etični hekerji poskušajo preveriti varnost informacijskih sistemov, vdreti v te sisteme in izvesti simulacijo resničnega vdora. Njihovo vodilo so visoka etična merila in veliko znanja z različnih področjih informacijske varnosti. In to ne s samo področja tehnologije, ampak tudi sociologije in psihologije, kar je potrebno pri socialnih napadih. Seveda je pri tem potrebno nenehno usposabljanje in spremljanje vseh trendov na povezanih področjih. Pri preverjanju informacijske varnosti in simulacijah vdora, etični hekerji v veliki meri uporabljajo enake metode, kot jih uporabljajo pravi hekerji, le da se to vrši v kontroliranem procesu in z vednostjo uprav, varnostnih inženirjev in tudi administratorjev sistema. Pri takšnih simulacijah se etični hekerji postavijo v vlogo pravega napadalca in tudi razmišljajo podobno.

Etični hekerji so vrhunsko usposobljeni in
certificirani strokovnjaki, ki prikažejo potencialno
ogroženost poslovnih podatkov.

V takšni simulaciji se izvajajo podobni napadi, kot bi jih izvajali pravi napadalci, če bi si za tarčo izbrali vas ali vaše podjetje. Pri tem je treba predhodno določiti tiste ključne podatke, ki bi jih bilo vredno pridobiti, izbrati načine, kako se lotiti napada in na koncu to narediti čim bolj po tiho, da ne bi sprožili alarmov na varnostnih sistemih. Cilj je delovati tiho in simulirati delovanje hekerjev, ki poskušajo zaobiti različne varnostne mehanizme in izvesti bodisi krajo podatkov ali onesposobitev storitev. Drži pa tudi, da ti prizori vdiranja v informacijske sisteme niso tako filmsko spektakularni kot jih je mogoče zaslediti v filmih.

Plačali so, varni pa niso

V praksi se dostikrat izkaže, da so najbolj učinkovitejši napadi tisti najpreprostejši. Tako se denimo izkaže, da ustrezna zaščita ni bila pravilno nastavljena ali nameščena, pogosto je kriva le površnost. Pomemben del pri samem etičnem hekingu je tudi preverjanje izvajanja storitev na področju informacijske varnosti, ki jih izvajajo zunanji izvajalci. Povpraševanja je vedno več, saj je v času krize pomembno, da se storitve ocenijo in preverijo, če so vredne in upravičene stroškov, ki se za njih namenjajo. V določenih primerih se namreč lahko izkaže, da so storitve samo plačane, a niso opravljene v skladu z dobrimi praksami in standardi. To za naročnika pomeni dodana tveganja na področju informacijske varnosti. Poleg vsega tega, pa velikokrat naletimo tudi na precejšen odpor saj nihče nima rad, če nekdo stika po njihovih sistemih, aplikacijah ali poskuša krasti podatke. Poleg tega uspešni vdori s strani etičnih hekerjev niso preveč cenjeni, saj dostikrat pokažejo da naročnikovi sistemi niso ustrezno varovani in na koncu morajo še plačati za to. Vendar hkrati ugotavljamo, da se klima na tem področju izboljšuje, saj se veliko oseb zadolženih za to področje začenja zavedati nevarnosti. In veliko boljše je, da te pomanjkljivosti odkrijejo etičnih hekerji kot pa pravi.

Socialno inženirstvo

Poleg napadov na samo tehnologijo in informacijske sisteme, poznamo tudi napade na ljudi oziroma tako imenovano socialno inženirstvo. Ugotavljamo, da so napadi na ljudi dosti bolj učinkoviti. Rezultati teh napadov, pa so informacijsko gledano bogati. Za takšne 'uspehe' je poskrbel tudi razmah družbenih omrežij. Tako so bile na začetku pravice do tega, kaj je komu dostopno, precej zrahljane in velikokrat je to omogočalo vpogled v zasebnost drugih ljudi. In prav to je postalo prava zlata jama za izvedbo socialnih napadov.

Objava podatkov o dopustu na družbenih
omrežjih se lahko spremeni v pravo nočno moro: pričaka nas lahko prazno stanovanje.

Če bi se vsi uporabniki zavedali, koliko informacij o sebi, svojih aktivnosti, prijateljih in zanimanjih delijo na družbenih omrežjih in koliko so te informacije pomembne za določene zainteresirane kroge ljudi, jih zagotovo ne bi delili na spletnih straneh. Ti podatki pridejo zelo prav napadalcem, z njimi si lahko zgradijo približno sliko o potencialnih tarčah, njihovih navadah, prijateljih itd. O konkretnih primerih uspešnih napadov ni lahko pisati še težje jih je nazorno predstaviti, kljub temu, da so prisotni. Ljudje so vedno presenečeni, ko se jih sooči s kopico podatkov o njih, še bolj pa z dejstvom, s kakšno lahkoto se do teh podatkov pride. Tako lahko dobri socialni inženirji na enostaven način izvedo kakšno so cilji osebe, kakšne družabne veze ima, seznanijo se z mrežo njihovih prijateljev. In vse te podatke lahko izkoristijo pri napadu. Prav zato je pomembno, da se preden objavljamo informacijo na družbenih omrežjih pred samo objavo ustavimo in premislimo, ali nam lahko objavljene informacije bolj škodujejo kot koristijo. Ni prav redko, da se evforija nad dopustom in objavo podatkov o dopustu, spremeni v nočno moro, ko se po njem vrnemo v prazno stanovanje, ki ga je kakšen od naših »družbenih prijateljev« izpraznil, medtem ko nas ni bilo.

Vloga etičnih hekerjev je zato v določenih primerih kritična komponenta za varnost sistemov. Da ideja, da bi najeli etičnega hekerja ni tako nezanimiva kot se mogoče zdi na prvi pogled, priča tudi dejstvo, da so jo obiskovalci Poslovne arene 2011 potrdili in rešitev »Najamete hekerja« izbrali kot najboljšo. Bolj pametno je namreč, da se varnost sistemov preveri s strani etičnih hekerjev, kot pa da bi rezultate zvedeli od pravih hekerjev. Etičnih hekerji vam bodo namreč povedali, kje so vaše pomanjkljivosti, pravi hekerji žal ne.

Milan Gabor je direktor in lastnik podjetja ViRIS, katerega primarna dejavnost je razvoj in varnost informacijskih sistemov. Je tudi certificiran etični heker.

Članek je bil objavljen v MQ reviji št. 20, aprila 2012