Novice

Etični heker o kibernetskih napadih

1.9.2022

Etični heker o kibernetskih napadih

Davida Kavčnika je ameriška organizacija EC-Council uvrstila med najboljših deset certificiranih etičnih hekerjev na svetu. Intervju.

Intervju v originalu objavljen na spletni strani Finance Manager.

Število napadov z izsiljevalsko programsko opremo se je v prvi polovici leta 2021 po vsem svetu povečalo za 151 odstotkov, v povprečju pa je škoda, ki jo je podjetje imelo ob kibernetskem napadu, znašala 3,6 milijona dolarjev, so zapisali v januarskem poročilu Svetovnega gospodarskega foruma. Najnovejši obsežni kibernetski incident se je zgodil februarja, ko je Google objavil opozorilo o 27 hekerskih vdorih v brskalnik Chrome, ki ga uporabljajo tri milijarde ljudi. V zadnjih dneh so se zgodili še trije odmevni kibernetski napadi: pri nas na medijsko hišo Pro Plus (POP tv), na Hrvaškem so hekerji vdrli v bazo podatkov o uporabnikih telekomunikacijskega ponudnika A1, na Portugalskem pa so napadli omrežje telekomunikacijskega podjetja Vodafone.

O boju proti hekerskim zlorabam smo se pogovarjali z Davidom Kavčnikom, ki v ljubljanskem podjetju Telprom skrbi za izvedbo varnostnih rešitev v komunikacijskih omrežjih in vodi ekipo za varnostna preverjanja IKT-okolij. Lansko jesen je EC-Council, ameriška organizacija, ki podeljuje certifikate s področja kibernetske varnosti, Kavčnika uvrstila med najboljših deset certificiranih etičnih hekerjev na svetu.

Kaj pomeni priznanje EC-Council?

Pokaže, da ima oseba potrebno znanje za preverjanje ranljivosti informacijskega sistema. Certifikat etičnega hekerja EC-Council oziroma uvrstitev na lestvico TOP10 pridobiš z opravljanjem pisnega izpita in praktičnim delom, kjer moraš rešiti konkretne naloge oziroma izvesti usmerjena testiranja ranljivosti različnih aplikacij in storitev. Najboljše ocenjeni in najhitrejši so uvrščeni na lestvico TOP10.

Ali ta certifikat omogoča tudi pridobitev bolje plačanega dela?

Menim, da so takšni certifikati potrebni za dobro opravljanje dela, hkrati pa so nujni, da lahko stranki dokažeš svojo kompetentnost. V Telpromu delam sedmo leto, z mojo pomočjo smo v podjetju, ki je bilo najprej predvsem integrator IKT-sistemov, prišli do ravni, da lahko ponujamo tako storitve varnostnega preverjanja informacijskih sistemov kot implementacijo različnih varnostnih rešitev, kar je nujno za nadaljnjo rast organizacije.

Je pri nas že dovolj konkurenčnih podjetij in kadrov, specializiranih za storitve zaščite pred kibernetskimi napadi?

V Sloveniji je zelo malo podjetij, še manj pa strokovnjakov, ki obvladajo varnostne preglede in penetracijske teste, s katerimi preverimo ustreznost varnostnih zaščit v podjetju. To področje terja ogromno posvečanja, če se želiš s tem ukvarjati, je najpomembneje, da te to res zanima; ta poklic je prezahteven, da bi ga opravljal le zaradi plačila. Oseba, ki se ukvarja z varnostnimi pregledi in penetracijskimi testi, mora zelo dobro poznati osnove upravljanja informacijskega sistema, zagotavljanje njegove varnosti pa je še za stopnjo zahtevnejše.

Hkrati so pri varnostnih pregledih v Sloveniji žal uveljavljena zelo ohlapna merila glede tega, kdo jih lahko izvaja, še posebej v zadnjih letih, ko se temu namenjajo evropska sredstva. Nekatera podjetja denimo naročijo izvedbo varnostnega pregleda pri nekakovostnem izvajalcu le zato, da izpolnijo pogoj na razpisu, na katerem poskušajo pridobiti sredstva. V Telpromu za stranke izvajamo varnostne preglede z elementi penetracijskega testa tako, da poskušamo izkoristiti ranljivost v njihovem informacijskem sistemu in iz njega na neželen način pridobiti dostop do sistema in podatkov.

Katera podjetja najemajo vaše storitve?

Močni smo v segmentu logistike, ena od naših najpomembnejših strank je BTC, v tem segmentu sta naši stranki tudi Prigo in Sigr, med večjimi strankami je tudi Big Bang, sodelujemo pa s podjetji v praktično vseh panogah.


Se v Sloveniji v srednje velikih in večjih podjetjih že več vlaga v kibernetsko varnost in zaščito?

Vlaga se več, a še vedno premalo. V marsikaterem podjetju je prioriteta zagotavljanje kakovosti storitev, povezanih z informacijsko tehnologijo, za njihove stranke, kibernetska varnost pa je v najboljšem primeru na drugem mestu. Pogosto se nujnosti vlaganja začnejo zavedati šele, ko je že prepozno, torej ko se že zgodi vdor in nastane škoda, ki je lahko tudi nekajkrat višja od vložka, potrebnega za zagotovitev ustrezne varnosti sistema.

Kateri varnostni incidenti so najpogostejši?

Napadi kriptiranja podatkov in množično pošiljanje elektronskih sporočil, kjer napadalci želijo uporabnikom ukrasti gesla, podatke o kreditnih karticah in podobno.

Je razvoj skozi delo v specializiranem podjetju tudi pot, kako postaneš etični heker?

Zagotovo, saj kot administrator, inženir ali pa načrtovalec informacijskih sistemov v drobovje spoznaš njegovo delovanje. Lahko pa začneš tudi z neposrednim učenjem etičnega "hekanja".

Z učenjem na Youtubu in drugih spletnih kanalih?

Da. Na spletu je na razpolago ogromno virov, iz katerih je mogoče črpati znanje. Ta pristop postaja z uvedbo brezplačnih in poceni tečajev ter učnih platform vse bolj preprost. Lahko si denimo preneseš ranljiv virtualni strežnik, si na YouTubu pogledaš, kako ga je testiral nekdo drug, ponoviš, naslednjega pa poskušaš testirati že samostojneje.

Menda veliko vadite na hekerskih simulacijskih platformah. 

Gre za virtualne platforme, ki simulirajo denimo strežnik ali pa informacijsko okolje, nekatere kar konkretno podjetje. Na njih poskušaš priti čim dlje v sistem, do podatkov podjetja, in pridobiti popoln nadzor nad vsemi sistemi. Tako se lahko veliko naučiš, še vedno pa je to drugače kot v resničnem svetu, kjer imaš interakcijo z uporabniki in sistemi, ki jih ni mogoče simulirati. Včasih se pri varnostnem pregledu testira tudi ustreznost varovanja pristopa do določenega prostora, česar prav tako ni mogoče simulirati.


Kje je ločnica med etičnimi in ilegalnimi hekerji, so etični kdaj v skušnjavi, da bi prestopili na nezakonito stran?

Vsak dober izvajalec penetracijskih testov oziroma etični heker ima znanje, ki bi ga lahko uporabil na drugi strani. Ključno je osebnostno prepričanje oziroma etičnost.

Zdaj na drugi, na ilegalni strani niso več le posamezniki, ampak podjetja z zaposlenimi, ki dnevno skenirajo množico informacijskih sistemov in iščejo njihove ranljivosti ali pa izvajajo množično pošiljanje zlonamernih elektronskih sporočil, in od tod izhaja večina vdorov v računalniške sisteme podjetij s praviloma slabo zaščito informacijskih sistemov. Najpogosteje gre za izsiljevalske viruse (ransomware), ki prek ranljivosti ali pa prek datoteke v zlonamernem elektronskem sporočilu, ki jo uporabnik odpre, zakriptirajo čim več podatkov. Kriminalne skupine so tudi tako dobro organizirane, da preverijo finančno stanje napadenega podjetja in glede na to določijo višino zahtevane odkupnine.

In na tej točki vstopite vi?

Da, temu pravimo odziv na incident ("incident response"). Čim prej poskušamo ugotoviti, kje je prišlo do vdora, in napad zajeziti, popraviti ali onemogočiti ranljivosti ter rešiti, kar je le mogoče. V nekaterih primerih, ko stranka nima ustrezno urejenega varnostnega kopiranja podatkov, pride do pogajanja z izsiljevalci; če ima napadeno podjetje že na voljo znesek v kriptovaluti, transakcije s to valuto so zelo težko izsledljive, lahko opravi takojšnje plačilo in s tem skrajša čas povrnitve informacijskega sistema v operativno stanje.

Vedno pa je tveganje, da napadalec ne bo odkriptiral podatkov. Večina teh kriminalnih združb sicer želi obdržati svoj "ugled", in če bodo prevarali eno podjetje, jim naslednja podjetja ne bodo več pripravljena plačati. Ob takem incidentu po navadi oškodovano podjetje spozna, da bi lahko znesek odkupnine veliko koristneje uporabilo za zaščito informacijskega sistema, za nameček pogosto tudi občutno manjši znesek.


Splošna usmeritev je, da se z izsiljevalci ne pogaja in se jim ne plačuje, več ameriških zveznih držav že pripravlja zakonodajo, ki bi, tako kot v primeru ugrabitev, prepovedala plačilo odkupnine kibernetskim izsiljevalcem.

Seveda je napačno privoliti v financiranje kriminalnih združb in tega načela se je treba držati, če je le mogoče. A če podjetje ostane brez vseh operativnih in finančnih podatkov, je škoda zaradi plačila odkupnine v primerjavi z gospodarsko izgubo praviloma znatno manjša.

Kaj ste kot vodja operativne ekipe pri vdoru in varnostnem incidentu na področju IKT že doživeli?

V večini primerov je podobno. Pri odzivu na incident se že vnaprej seznanimo s stanjem, potem gre ekipa na lokacijo podjetja. Če ima napadeno podjetje sistemskega integratorja, poskušamo v sodelovanju z njim izolirati napad, da ne pride do dodatne škode, ter čim prej najti in onesposobiti točko vdora, nato pa v najkrajšem možnem času začnemo izvajati povrnitev delovanja informacijskega sistema.

Vedno je tveganje, da napadalec ne bo odkriptiral podatkov. Večina teh kriminalnih združb sicer želi obdržati svoj »ugled«, in če bodo prevarali eno podjetje, jim naslednja podjetja ne bodo več pripravljena plačati. David Kavčnik
Če gre za kritično infrastrukturo, je treba incident prijaviti tudi nacionalnemu odzivnemu centru za kibernetsko varnost SI-CERT. Ker gre v večini primerov za dobro organizirane kriminalne družbe, napadalcev ni mogoče izslediti.

S hekerji komunicirate po temnem spletu, tako imenovanem darkwebu?

Med pogajanji za morebitno dekripcijo podatkov ta komunikacija poteka po varnih neizsledljivih kanalih. S temnim spletom se srečamo tudi med izvajanjem varnostnega pregleda podjetja, ko preverjamo, ali so njihovi podatki (domena, elektronski naslovi in gesla) mogoče v kakšni bazi ukradenih podatkov.

Menda tako etični kot kriminalni hekerji spremljate iste vire, sodelujete na istih forumih in uporabljate ista orodja. Ste že neposredno komunicirali s kiberkriminalcem?

Ne da bi vedel, nihče od njih se noče neposredno razkriti, saj seveda želijo svoje kriminalne dejavnosti skriti.


Ali drži stereotip, da velika podjetja in državne ustanove zaposlujejo ilegalne hekerje?

Verjamem, da se to dogaja, vendar prikrito, saj imajo države in njihove institucije tolikšna finančna in druga sredstva, da lahko plačajo, pridobijo in izsledijo najboljše in najsposobnejše kriminalne hekerje.


Od leta 2015 izrazito narašča število kibernetskih napadov na izvajalce kritične infrastrukture, predvsem na bančne sisteme in elektroomrežje ter vodovodne sisteme, z izbruhom koronavirusa pa so se intenzivno razširili še na zdravstvene, farmacevtske in raziskovalne ustanove. Kako vidite to situacijo?

V zdravstveni krizi so kiberkriminalci s pridom izkoristili povečanje obsega dela od doma in pomanjkanje neposredne komunikacije med sodelavci v podjetjih. Na pogostejše napade na kritično infrastrukturo pa zagotovo močno vpliva tudi intenzivna digitalizacija, saj želimo imeti vse sisteme povezane. S tem se kritični deli infrastrukture še bolj izpostavljajo in se povečuje obseg sistemov, v katerih obstaja potencialna ranljivost, ki jo je mogoče izkoristiti, tako upravljalci kritične infrastrukture niso bolj odporni, ampak so kvečjemu še bolj izpostavljeni.


Američani pogosto izvajajo vaje z virtualnimi kibernetskimi napadi na kritično infrastrukturo, ali jih opravljajo tudi izvajalci bistvenih storitev pri nas?

To se dogaja tudi že v Evropi in Sloveniji – takšna je bila na primer Natova vaja Locked Shields. Posamezni nacionalni odzivni centri za kibernetsko varnost se med seboj povezujejo in izvajajo vaje. Na eni strani so rdeče ekipe, na drugi modre, rdeči morajo prodreti v informacijski sistem, modri ga morajo varovati. Pri tem vadijo tudi koordinacijo med nacionalnimi odzivnimi centri ob morebitnem obsežnejšem napadu. Vidi se napredek, saj se za kibernetsko varnost namenja vse več evropskih sredstev in nič ne kaže, da bi jih v prihodnosti zmanjševali.


Je slovenski SI-CERT dobro usposobljen?

Imajo dobre strokovnjake, a predvidevam, da s plačilnimi pogoji v javni upravi težko pritegnejo zadostno število takih ljudi, saj imamo s pridobivanjem strokovnjakov težave že v gospodarstvu, kjer s sredstvi nismo tako omejeni. V omenjene vaje pa se vključujejo tudi strokovnjaki iz nekaterih slovenskih podjetij.


V ZDA so se na primer manjši elektrodistributerji povezali v zadrugo in skupaj vložili v kakovostno kibernetsko zaščito. Bi bil to uporaben model pri nas za denimo manjša podjetja v neki panogi?

Zelo težko, saj se poslovni procesi, povezani z informacijskimi sistemi, lahko zelo razlikujejo, s tem pa tudi potreba po različnih varnostnih rešitvah.

Primernejši model povezovanja organizacij v sklopu kibernetske varnosti je evropski projekt izboljšanja varnosti v elektroenergetskih sistemih Phoenix, pri katerem sodeluje naše podjetje. V konzorciju 24 podjetij iz EU so tudi Elektro Ljubljana, Iskra Emeco, BTC in Comsensus. Nekateri člani konzorcija skrbijo za razvoj storitev in produktov, drugi omogočajo testiranja na svoji infrastrukturi. Izvajajo se tudi penetracijski testi in rezultati bodo na voljo vsem članom konzorcija.


Pri kibernetskih napadih pod okriljem držav veljajo za vodilne ZDA (Stuxnet, napad na iranske jedrske zmogljivosti), Rusija (Solarwinds, vdor v 18 tisoč ameriških organizacij), Kitajska (napad na Microsoft Exchange Server), Ukrajina, Pakistan, Indija … Rusija naj bi pred kratkim izvedla kibernetski napad na ukrajinske vladne službe, Kitajska naj bi napadala elektroomrežja v ZDA zaradi Tajvana. Kakšna je prihodnost permanentne kibervojne med velikimi državami?

Če je na voljo dovolj sredstev, je mogoče vse. Pri Stuxnetu je šlo za napad na izolirane sisteme, računalnike, povezane s centrifugami za bogatenje urana v Iranu, vpletene so bile tudi tajne službe. Ekipe z neomejenimi sredstvi lahko dosežejo karkoli, kibernetski napadi pa lahko povzročijo veliko škode na več koncih, veliko več kot denimo geografsko omejena tankovska ofenziva. Tako rekoč iz domače pisarne lahko povzročijo škodo v gospodarstvu in v kritični infrastrukturi ter s tem praktično ohromijo državo. V tej veliki grožnji male države, kot je Slovenija, niso zanimive, lahko smo le kolateralna škoda.


Vendar pa države nikoli uradno ne priznajo "avtorstva" napada. Solarwinds so zahodni mediji denimo pripisali ruskim kibernetskim silam, a brez prepričljivega forenzičnega dokaza.

Pri teh obtožbah gre predvsem za propagandno vojno, saj je težko vedeti, kdo je izvajalec posameznega napada in kakšni so resnični interesi v ozadju. Napadalci lahko s praktično neomejenimi sredstvi učinkovito prikrijejo izvor in interes napadov. Napad se lahko zgodi iz Kitajske, napadalec pa sedi zraven tebe.

Hipotetično bi lahko tudi "ruski" napad izvedli Američani in napadli še svoja podjetja, da bi zadevo prikrili. Pri množičnih vdorih, kot je bil SolarWinds, bi bil lahko cilj natančno določen in so ga prikrili tako, da so vdrli v tisoče organizacij. Mogoče pa je šlo za državno podtaknjena »stranska vrata«. Nikoli ne bomo vedeli zagotovo.


A na lanskem ameriško-ruskem vrhu v Ženevi je bilo eno od bolj poudarjenih sporočil Joeja Bidna Vladimirju Putinu, naj Rusija preneha s kibernetskimi napadi.

Lahko je to le ena od zgodb, s katero bi upravičili načrtovane in že pripravljene ukrepe proti Rusiji. Čeprav se s tem področjem tehnično ukvarjam, je nemogoče, da bi karkoli zanesljivo vedel. Mediji objavljajo eno stran, na temnem spletu lahko prebereš drugo plat, nemogoče pa je vedeti resnico, saj so informacije praktično nepreverljive. Zanesljivo je le to, da lahko vsaka od vpletenih strani glede na višino sredstev, s katerimi razpolagajo, prikriva svoje konkretne interese.


V raziskovalni organizaciji Cybersecurity Ventures so lani spomladi napovedali, da bo kibernetski kriminal v celoti v letu 2021 povzročil za šest tisoč milijard dolarjev gospodarske škode, do leta 2025 pa bo ta škoda že presegla vrednost 10 tisoč milijard dolarjev.

Pri svojem delu se s kibernetskimi vdori zelo pogosto srečujemo. Če bi to pomnožili s številom in velikostjo organizacij ter s potencialnim izplenom kriminalcev in povzročeno gospodarsko škodo, se zdi to realen podatek.


V podjetju Intrusion, ponudniku rešitev za omrežno varnost, pravijo, da organizirani subjekti kibernetske kriminalitete združujejo moči, verjetnost njihovega odkritja in pregona pa naj bi bila zgolj 0,05-odstotna. Se bo kibernetski kriminal torej le še stopnjeval?

Zagotovo, predvsem pa bo stopnja odkrivanja kibernetskega kriminala odvisna tudi od zakonodaje posameznih držav, ki bi lahko s pravim pristopom vsaj delno zajezile določene segmente kibernetskega kriminala. Kriminalnih skupin zakoni ne omejujejo in imajo dovolj finančnih virov za izvajanje svojih operacij. Svoje ljudi lahko tudi vrhunsko izobražujejo.


Kako je z izobraževanjem zaposlenih v vašem podjetju?

Izobraževanja intenzivno spodbujamo in jih tudi načrtujemo v letnih ciljih zaposlenih. Nenehno je treba biti v koraku z najnovejšimi tehnologijami in rešitvami, saj lahko le tako konkuriramo kibernetskim kriminalcem.

Partnerji

Podpornik dogodka

Prijava na e-novice

Prijavite se

S prijavo na e-obvestila se strinjate, da Slovensko logistično združenje v skladu s svojo politiko zasebnosti do preklica hrani in obdeluje vaše osebne podatke za namen pošiljanja obvestil, ki jih boste prejeli enkrat do dvakrat tedensko, nanašajo pa se na SLZ dogodke in aktivnosti, dogodke drugih partnerskih organizacij in druge koristne vsebine s področja logistike in transporta.