Beli klobuk
V preteklem stoletju smo zgradili svet, ki je odvisen od električne energije, v tem stoletju pa smo se znašli v svetu, ki je odvisen od delujočih računalnikov in informacijskih sistemov. S tem postaja čedalje pomembnejši poklic hekerjev z belimi klobuki ('white-hat') oziroma etičnih hekerjev. Govorili smo z enim slovenskih pionirjev na tem področju.
V slovenski javnosti ste verjetno najbolj znani etični heker, ki ga pogosto pokličejo za komentar ob odmevnih vdorih in napadih. Kako nekdo postane strokovnjak za varnost in etični heker? Študirali ste računalništvo, začeli pa ste kot razvijalec v Hermes Softlabu.
To se ne zgodi čez noč. Postati strokovnjak za varnost in etični heker je pot, ki zahteva veliko radovednosti, učenja, praktičnega dela in tudi izkušenj v resničnem življenju. Prvi korak je razumevanje osnov delovanja računalniških sistemov in omrežij, strežnikov, protokolov, aplikacij in zlasti tudi ranljivosti.
Pomemben del poti so tudi lastne raziskave in skupnost. Tak primer so tekmovanja CTF (capture the flag), sodelovanje na hekerskih dogodkih in organizacija dogodkov ter tudi celo samostojno raziskovanje ranljivosti v aplikacijah in sistemih. To je področje, kjer se učiš vse življenje. Grožnje se nenehno razvijajo, tehnologije se spreminjajo, napadalci napredujejo. Pri tem delu me najbolj navdušuje, da je vsaka nova ranljivost nova uganka in izziv, s katerim se je treba spopasti. Dokler ga ne rešiš, ti ne da miru.
Etične hekerje od preostalih loči torej – etika.
Seveda, pomembna je jasna etična drža, zavedanje, kaj je prav in kaj ne, kje so meje, prek katerih ne smeš. Etika loči strokovnjaka za varnost od napadalca. Etični hekerji si prizadevamo pomagati organizacijam odkriti in odpraviti ranljivosti, preden jih izkoristijo zlonamerni napadalci. Pogosto pravim, da delamo nezakonite stvari na zakonit način, pa še plačajo nas.
Z ustanovitvijo Virisa ste se osredotočili na računalniško varnost.
Nismo se takoj 'vrgli' na računalniško varnost, saj je podjetje Viris sprva delovalo na področju virtualizacije, požarnih pregrad in monitoringa sistemov, torej bolj sistemska integracija in nekaj varnosti, potem pa smo se osredotočili na varnost.
Kaj vse počnete kot etični heker danes? Ali če vprašam drugače, je naziv 'heker' preozek, saj tudi izobražujete, svetujete, predavate?
Izraz heker res zveni nekoliko ozko, saj si ga ljudje pogosto predstavljajo kot nekoga, ki vstopa v sisteme. V resnici je delo etičnega hekerja veliko širše. Ne gre le za tehnično iskanje ranljivosti, ampak za razumevanje, kako zaščititi sisteme, ljudi in podatke. Torej za dobrega etičnega hekerja je pomembna širina, saj tudi svetuje.
Delo je torej zelo raznoliko. En dan rešujemo tehnični problem, kot je analiza ranljivosti, naslednji dan vodimo delavnico za zaposlene, nato pa z vodstvom podjetja snujemo varnostno strategijo.
In katerega dela je več?
Tehničnega dela, torej penetracijskih testov in analize ranljivosti, je še vedno precej, a čedalje več je tudi izobraževanj, svetovanj in dela z ljudmi. Varovanje informacij danes ni več le tehnični problem, temveč vedno bolj vprašanje kulture in zavedanja. Res pa je, da tudi zelo uživam v izobraževanju novih etičnih hekerjev in tistih, ki bodo ščitili naše sisteme v prihodnje, kar mi predstavlja še poseben izziv.
Kdo so torej vaše stranke? Velika ali majhna podjetja?
Zelo različno. Delamo tako za velika kot tudi za manjša podjetja. Pri varnosti ni pomembno samo, kako veliko je podjetje, ampak to, kako pomembne podatke in sisteme želi zaščititi. Naši naročniki prihajajo z različnih področij, od finančnih institucij, javnega sektorja, proizvodnih podjetij, zdravstva do tehnoloških startupov. Varnost je postala univerzalna potreba, zato je treba pristop prilagoditi vsaki stranki posebej ne glede na velikost ali panogo. Ravno ta raznolikost nas dodatno motivira, saj lahko prenašamo dobre prakse med panogami in držimo korak z globalnimi trendi.
Ste omejeni na Slovenijo ali delate tudi za tuja podjetja?
Poleg slovenskih podjetij imamo tudi že lepo število zadovoljnih strank v tujini, na kar smo posebej ponosni, saj to potrjuje, da je naše delo prepoznano tudi zunaj meja Slovenije. Prek meja je seveda še dosti težje uspeti, saj je konkurenca večja, zato smo vsake nove stranke ter njene pohvale še posebej veseli.
Če pogledava tipičen varnostni pregled podjetja oziroma pen testing. Kaj obsega?
Tipičen penetracijski test ali varnostni pregled v resnici obsega več kot le tehnični pregled sistema in iskanje ranljivosti. Drži, jedro testa predstavlja tehnična analiza. Z njo preverimo, kako varni so aplikacije, omrežja in infrastruktura, preverimo konfiguracije, dostopne storitve, ranljivosti v programski opremi, zaščito podatkov, možnosti zlorab in še veliko drugega. S tem pripravimo podrobno poročilo z ugotovitvami, ocenami tveganj in s priporočili.
A to je šele začetek, saj mnogo podjetij danes pričakuje celostno pomoč. Poleg tehničnega pregleda pogosto pripravljamo tudi delavnice in usposabljanja za zaposlene, pomagamo pri vzpostavitvi varnostnih politik, incidentnih načrtov in celo sodelujemo pri načrtovanju varnih informacijskih sistemov že v fazi razvoja.
Morate kdaj popravljati za drugimi?
Dober in kakovosten penetracijski test lahko pokaže tudi to. Včasih odkrijemo, da je bil prejšnji varnostni pregled drugega izvajalca pomanjkljiv ali površno opravljen. Morda je šlo samo za rezultat kakšnega orodja. To je problematično, ker podjetja pogosto menijo, da so z enim pregledom varna, a v resnici šele poglobljen in strokovno opravljen pregled pokaže pravo sliko in izpostavi skrite težave.
Niso pa ranljivosti zgolj varnostne luknje, kajne? Pogosto beremo o napačnih nastavitvah, prelahkih geslih, nepravilnih pravicah dostopov.
Res je, ranljivosti niso vedno samo tehnične luknje v programski opremi, ki jih odkrijemo s skenerji ali testi. Pogosto gre za čisto človeške napake: napačne nastavitve, prelahka gesla, neustrezno dodeljene pravice, manjkajoče posodobitve. Vsak razvijalec ali sistemski skrbnik ima kdaj slab dan ali pa zaradi zahtev in kratkih rokov stori napako.
Kako se zaščititi pred prvimi in kako pred drugimi?
Pred klasičnimi ranljivostmi, torej varnostnimi luknjami v aplikacijah ali sistemih, se zaščitimo s tehničnimi ukrepi. To so posodobitve, popravki in varnostne rešitve. Pred napačnimi nastavitvami, šibkimi gesli in neustreznimi dostopi pa se zaščitimo z vzpostavitvijo dobrih varnostnih praks. Takšni primeri so močna politika gesel, dvostopenjska avtentikacija, redni pregledi pravic in ozaveščanje o varnostnih tveganjih. Zaščita ni zgolj tehnični problem, temveč kombinacija tehnologije, pravilnih postopkov in predvsem zavedanja ljudi, da so varnostna pravila del vsakodnevnega dela.
S tem se lahko zaščitimo pred večino, reciva temu, naključnih vdorov, ki prizadenejo tarče z naivnimi pomanjkljivostmi. Kaj pa lahko storijo tarče, ki si jih izrecno izberejo državni hekerji z dostopom do opreme NSO Groupa ali Cellebrita? Se sploh da zaščititi pred temi?
Res je, z upoštevanjem dobrih praks lahko preprečimo veliko večino naključnih vdorov, za katere napadalci iščejo najšibkejše tarče. A ko govorimo o naprednih grožnjah, kot so napadi državnih hekerjev z orodji NSO Group ali Cellebrite, je slika precej bolj kompleksna.
Sam rad citiram Mika Hyppönena, priznanega strokovnjaka za kibernetsko varnost, ki pravi: »Če je naprava pametna, je ranljiva.« To pomeni, če je nekaj povezano z omrežjem, če je pametno in kompleksno, ima tudi ranljivosti, včasih takšne, ki jih ni mogoče enostavno odpraviti ali se jim izogniti.
Kar se sliši precej pesimistično.
Pred takšnimi ciljanimi napadi, kjer te nekdo namerno in usmerjeno napade, popolne zaščite preprosto ni. Lahko pa zmanjšamo tveganja z uvedbo večplastne varnosti: omejitvami dostopa, s šifriranjem, z zmanjšanjem napadalne površine, rednimi varnostnimi pregledi in predvsem z zavedanjem, da stoodstotna varnost ne obstaja.
Torej bi se morali pripraviti na scenarij, kaj storiti po napadu?
Če te izrecno napade nekdo z dostopom do vrhunskih vohunskih orodij, so cilj predvsem zgodnje odkrivanje napada, odziv in omejitev škode, ne pa iluzija popolne zaščite. Razumeti moramo razliko. Osnovna zaščita varuje pred množičnimi napadi, a ko postaneš tarča državnega napadalca, je igra drugačna. Takrat moraš imeti strategijo, postopke in znanje, kako se odzvati, ko se napad zgodi.
V pogovoru za platformo Ogrodje ste lani dejali, da ste že pred leti na konferenci NTK pokazali, da lahko zgolj z googlanjem pridete do glavnega sistema (main frame) večjega slovenskega podjetja.
Tisti primer na konferenci NTK je bil zelo zgovoren. Samo z nekaj iskanja po spletu in z uporabo javno dostopnih virov smo pokazali, kako ranljiva so lahko tudi velika podjetja. Od takrat je minilo že kar nekaj let in v tem času smo tudi sami vložili veliko energije v izobraževanja, predavanja in ozaveščanje. Prav s takimi primeri smo želeli pokazati, kako enostavno je včasih priti do občutljivih podatkov ali sistemov, če niso ustrezno zaščiteni.
Je danes stanje boljše?
Stanje se je vsekakor izboljšalo. Podjetja so pozornejša, več vlagajo v varnost, več se govori o zaščiti podatkov in sistemov, vendar pa je treba biti realen, popolne varnosti še vedno ni in tudi napadalci ne stojijo na mestu. Razvijajo nove načine, iščejo nove poti, vdirajo prek verige dobaviteljev, izkoriščajo socialni inženiring, ciljne napade ...
Za izvedbo napadov so tudi umetno inteligenco takoj uporabili. Čeprav je varnost danes boljša kot pred leti, te tekme nihče ne more dobiti. Varnost ni cilj, ampak proces, ki ga je treba neprestano spremljati, prilagajati in izboljševati.
Na kar včasih malo pozabimo.
Žal še vedno pogosto vidimo, da ravno incidenti najbolj spodbudijo vlaganja v varnost. Ko se zgodi vdor ali uhajanje podatkov, podjetja spoznajo, kako pomembna je varnost. Pogosto tedaj pride do premikov in izboljšav. Želeli pa bi si, da bi bilo več proaktivnega razmišljanja, ne šele reaktivnega ukrepanja po incidentu.
Lahko podjetja k večji varnosti prisili zakonodaja?
Če primerjamo stanje danes z obdobjem pred desetimi ali dvajsetimi leti, je razlika zelo očitna. Takrat je regulativa močno zaostajala za dejanskimi tveganji, danes pa imamo veliko jasneje določene okvire, standardi so višji in tudi na zakonodajni ravni se stvari premikajo v pravo smer. Imamo nov Zakon o informacijski varnosti in tudi nove evropske predpise, kot je direktiva NIS2, ki uvaja še strožje zahteve in obveznosti za številne subjekte.
Pa se v praksi regulativa spoštuje in kdo to preverja? So inšpekcijski nadzori realnost?
Stanje se izboljšuje, a še vedno ni idealno. Mnoge organizacije se trudijo vzpostaviti skladnost, a pogosto so ukrepi še vedno površinski, saj nekatere žene predvsem 'kljukica na obrazcu' in ne dejanska želja po izboljšanju varnosti.
Inšpekcijski nadzori pa so realnost. Pristojni organi jih izvajajo, predvsem za zavezance po zakonodaji, in tudi nekatere druge je to začelo že malo skrbeti. V praksi pa je še vedno precej prostora za izboljšave, tako pri obsegu nadzorov kot pri globini preverjanja. Žal pogosto vidimo, da se podjetja začnejo resno ukvarjati s skladnostjo in z varnostjo šele, ko pride do inšpekcijskega nadzora ali celo po kakšnem incidentu.
Regulativa je torej boljša, a varnosti ne smemo jemati zgolj kot formalnosti. Organizacije morajo varnost razumeti kot poslovno nujnost in del digitalnega sveta.
Razlike med sektorji, na primer bankami na eni strani in malimi družinskimi podjetji na drugi strani, verjetno niso majhne.
Razlike so precejšnje. Banke in mala družinska podjetja so povsem različni svetovi: tako po zahtevah kot zmožnostih. Banke in finančne ustanove so pod strogim regulatornim nadzorom, imajo zahtevne standarde, kot so PCI DSS, ISO 27001, in zdaj tudi direktivo NIS2, zato v varnost pogosto vlagajo precej sredstev, tako v tehnologijo kot kadre. Imajo ločene varnostne oddelke, notranje varnostne preglede, sodelujejo z zunanjimi izvajalci za penetracijske teste in podobno.
Na drugi strani pa imamo mala podjetja, ki pogosto nimajo časa, sredstev ali kadrov za kompleksne varnostne rešitve. Tam je pogosto izziv že to, da imajo redno posodobljen sistem, močna gesla in osnovne varnostne ukrepe. Zanje je ključno, da se osredotočijo na osnovne varnostne ukrepe, ki so primerni za njihovo velikost in tveganja. Niso premajhni, da bi bili tarča. Nasprotno, napadalci jih pogosto vidijo kot 'šibki člen' v dobavni verigi večjih podjetij.
To sta dva ekstrema, obstaja pa še vse vmes. Varnost mora biti prilagojena, vsi si ne morejo privoščiti varnostnega centra s stalnim nadzorom, lahko pa vsi naredijo osnovne korake. Varnostne kopije, močna gesla, osnovno zavedanje o varnostnih tveganjih in redne posodobitve so železni repertoar.
Pa vendarle, ko je lani Crowdstrike onesposobil več kot osem milijonov računalnikov z Windows, je bila vzrok prav varnostna posodobitev. Programski opremi velikih proizvajalcev implicitno zaupamo, ko klikamo Posodobi.
To je bil jasen znak, da tudi veliki proizvajalci in priznani ponudniki varnostnih rešitev niso imuni na napake. To je bil globalni dogodek, ki je prizadel številna podjetja in organizacije po vsem svetu, in to ne zaradi napada, ampak zaradi programske napake v varnostni rešitvi. Moj sodelavec, denimo, zaradi tega incidenta ni mogel leteti na izbrano destinacijo.
Zanašanje na varnost zgolj prek velikih imen je lahko tvegano, saj tudi največji sistemi niso brezhibni. Teoretiki zarote bi lahko rekli, da je šlo za preizkus, kaj se zgodi, ko takšna ključna komponenta odpove, in kakšne so posledice na globalni ravni. A realno je incident pokazal, da je tudi v svetu varnosti programska oprema le skupek kode, ki jo pišejo ljudje, zato so napake neizogibne in testiranje zelo pomembno.
Ravno zato je pomembno, da gradimo odpornost sistemov. Razmišljati moramo o failover mehanizmih in se ne zanašati na en sam varnostni sloj, potrebujemo načrte odzivanja na nepredvidene dogodke. Varnost ni le zaščita pred napadi, ampak tudi sposobnost, da se hitro in učinkovito odzovemo, ko nekaj odpove.
Danes najbolj odmevajo vdori z izsiljevalskimi virusi, kot sta bila napada na Univerzo v Mariboru in HSE. Gre v takih primerih za skrbno izbrane tarče, za naključje oziroma smolo ali za pa nezaščitene sisteme, ki bi jih prej ali slej nekaj napadlo?
O vseh podrobnostih teh primerov žal ne morem govoriti, vendar pa lahko rečem, da je uspešnost napada skoraj vedno povezana z več vzroki. Redko samo en dejavnik omogoči napad. Pogosto gre za kombinacijo ranljivosti v sistemu, neustrezno zaščitenih podatkov, pomanjkljivega varnostnega nadzora in včasih tudi čisto človeških napak.
Pri napadih z izsiljevalskimi virusi gre pogosto za kombinacijo. Nekateri napadi so ciljno usmerjeni, drugi pa so 'naključni', kjer napadalci iščejo ranljive sisteme po vsem svetu, nato pa se odločijo, koga bodo izsiljevali glede na to, kaj najdejo. Napadalci pogosto delujejo po načelu šibke tarče, vdirajo tam, kjer je zaščita najslabša ali kjer lahko z najmanj truda povzročijo največ škode. Ključno je zato, da podjetja in organizacije ne čakajo, da bodo na vrsti, ampak proaktivno izboljšujejo varnost. Ni vprašanje, ali bo napad, ampak, kdaj. Tako da je hitra zaznava čudnega obnašanja ali aktivnosti, ki niso običajne, danes bistvenega pomena za uspešen boj proti hekerjem.
Takoj po vdoru zanimanje javnosti močno naraste, a o epilogih običajno ne beremo v medijih. Kakšni so epilogi velikih napadov pri nas?
Ob izbruhu incidenta se o tem veliko govori, potem pa, ko mine nekaj časa, se zadeva umiri in se gre naprej, kot da se ni nič zgodilo. Iz prakse pa vemo, da epilog takšnih incidentov pogosto vključuje dolgotrajno sanacijo, tehnične preglede, včasih tudi spremembo strategij in pristopov k varnosti. V določenih primerih so posledice tudi poslovne, izguba zaupanja, finančne škode, včasih pa tudi odškodninski zahtevki ali celo kazenski postopki.
In za zaključek, česa se mora bati domači uporabnik in kaj lahko stori za svojo varnost? V Srbiji so lani in letos odmevali primeri, ko je policija vdrla v telefone novinarjev z orodjem Pegasus.
Domači uporabnik se mora zavedati, da na kibernetske grožnje ni imun. To ni filmski scenarij, napadi na posameznike so realnost, pa naj bodo to kraja osebnih podatkov, bančne goljufije, zloraba gesel, vdori v elektronsko pošto ali celo vdori v telefone z orodji, kot je Pegasus. Velikokrat pa se zgodi, da se prek domačih uporabnikov pridobi dostop do pravih poslovnih tarč, zato jih ne smemo zanemarjati.
Povprečen uporabnik verjetno ne bo tarča državnega akterja z orodji, kot jih imajo obveščevalne službe. Mora pa se zavedati, da so prav domači uporabniki pogosto najranljivejši, ker pogosto nimajo vzpostavljenih osnovnih varnostnih ukrepov. Pomembno je zato, da vsak posameznik poskrbi za osnovno digitalno higieno: uporablja močna in unikatna gesla, omogoči dvostopenjsko avtentikacijo, redno posodablja naprave in aplikacije, varnostno kopira pomembne podatke ter je previden pri odpiranju povezav ali priponk, ki jih prejme.
Zdi se, da venomer pridigamo o istih ukrepih, učinki pa so skromni.
Resnici na ljubo bi morali nekateri uporabniki na tečaj osnov kibernetske higiene. Prevečkrat vidimo, da osnovnih varnostnih ukrepov ne poznajo ali pa jih preprosto ne uporabljajo. Morda pa bi morali o tem začeti razmišljati že prej. Recimo, da bi osnove digitalne varnosti in kibernetske higiene uvedli v izobraževalni sistem. Tako kot vsak zna zakleniti vrata svojega stanovanja, bi moral znati zakleniti tudi svoja digitalna vrata. To znanje bi moralo biti osnovna veščina, ne nekaj, česar se naučimo šele po prvem incidentu.
