Bi filmski studio Sony lahko preprečil vdor v svoje strežnike, pri katerem so jim hekerji odtujili pomembne podatke in jih objavili, ali si proti takšnim skupinam organiziranih hekerjev nemočen?
Glede tega se krešejo mnenja, saj trenutno še niso znane vse podrobnosti napada. To sicer ni bil prvi napad na Sony, saj so hekerji uspešen napad na Playstation Network izvedli že leta 2011, ko so ukradli podatke o 77 milijonih uporabnikov. Kot kaže, pa se iz teh napadov niso naučili veliko, saj je bil ta zadnji napad precej hujši. Iz trenutno znanih podatkov naj bi napadalci odtujili ogromno podatkov in osebno sem mnenja, da bi odtekanje tako velike količine podatkov nekdo moral opaziti in se na to tudi ustrezno odzvati.
Obstaja stoodstotna zaščita pred hekerji?
Stoodstotne zaščite sistemov ni. Mogoče je edini način, da sisteme odklopimo z interneta in jih zaklenemo v trezorje, vendar bodo potem neuporabni. V strokovnih debatah vedno rečem, da je vse stvar denarja, časa in motivacije. Je pa res, da je mogoče s določenimi preventivnimi ukrepi minimizirati potencialno škodo in takšne napade hitreje opaziti ter ustrezno ukrepati.
Pravijo, da smo priča novi vrsti vojne in terorizmu (kibernetska vojni oz. kibernetski terorizem), ki naj bi bila še nevarnejša od tradicionalnih vojn in terorizma. Se strinjate?
Seveda vlada vojna tudi na internetu. Nekatera spletna mesta kot na primer http://map.ipviking.com/ to lepo prikažejo. Čeprav ni klasičnih nabojev, topovskih granat ali raket, lahko tudi te bitke poškodujejo ali celo ubijejo ljudi. Obstajajo namreč informacijski sistemi, ki so kritičnega pomena, na primer električna omrežja, vodovodni sistemi itd. Če nekdo vdre v te sisteme, lahko povzroči kaos in posledično tudi smrt. Na Internetu je mogoče najti dostope do teh krmilnih sistemov, ki v določenih primerih ne nudijo dovolj dobre zaščite ali pa jo je lahko obiti. Napadalci so lahko na tisoče kilometrov stran ali pa to počne naš sosed v bloku. To, da sistemi hranijo ogromne količine podatkov, skrbijo za določene avtomatske procese ali nas celo ohranjajo pri življenju, je posledica informatizacije, ki kot vsaka druga stvar s sabo prinaša dobre in slabe strani. Dodatno še velja omeniti, da pri vojni na internetu ni klasičnih meja. Glede na definicijo in zasnovo interneta za omrežne pakete ni mejnih kontrol, skenerjev teles ali kaj drugega.
Katere države so v kibernetski vojni najbolj napredne?
Definitivno prednjačijo ZDA. Razkritja Edwarda Snowdna so pokazala orodja in tehnike, ki so jih ZDA dejansko uporabljale in se je o njih govorilo samo v kuloarjih, potrditve pa nekako ni bilo, dokler Snowden ni objavil skrivnih dokumentov. Poleg ZDA je velesila na tem področju tudi Kitajska s svojo množično in dobro podkovano enoto 61398, ki je sposobna izvesti tudi najbolj zahtevne tipe napadov. Omeniti je treba tudi Rusijo s svojim močnim podzemljem in Izraelce. Se pa ob različnih napadih tudi na tem področju tvorijo različne koalicije, tako kot na primer pri napadu Stuxnet, ker naj bi aktivno sodelovali ZDA in Izrael.
Kot prvo kibernetsko vojno omenjajo vojno na Kosovu. Kakšno vlogo igrajo hekerji pri vojnah tega časa in gospodarskem vohunjenju?
Hekerji igrajo v zadnjem času pomembno vlogo, saj skoraj ni države, ki ne bi imela elitne skupine hekerjev, ki skrbi za tako imenovan "state hacking“. Ideje kot na primer državni trojanec so bile v Nemčiji aktivne že pred leti, pri nas pa se ta ideja na srečo ni uresničila, zato me ne čudijo visoko sofisticirani napadi in ciljanje točno določene tarče. V gospodarskih sferah pa je hekanje konkurence ali drugih ciljev prisotno že od samega začetka. Tako najdemo namreč tudi med Slovenci kakšnega hekerja, ki ga lovi ameriški FBI.
Zakaj so hekerji tako nevarni? Kako lahko napad na neko državo/ustanovo vpliva na posameznika? Katerih nevarnosti se ne zavedamo?
Vsi hekerji niso nujno nevarni. Veliko lukenj v programski ali strojni opremi je bilo odkritih s strani različnih hekerjev in s tem se je posredno povečala tudi varnost aplikacij ali sistemov, ki jih uporabljamo vsak dan. Poznamo namreč več vrst hekerjev (white, gray, black), ki zasledujejo različne cilje in na različne načine opozarjajo na odkrite pomanjkljivosti v sistemih, programih ali tudi napravah. Na različnih primerih lahko vidimo, kakšne banalne napake lahko povzročijo nestabilnost na borzi. Zapis hekerjev, ki so prišli do dostopa v Twitter računa tiskovne agencije AP in objavili novico, da je prišlo do eksplozije v Beli hiši in da je bil Obama ranjen, je povzročil padec tečajev in za trenutek se je ustavilo tudi trgovanje. Poleg teh napadov so zadnje čase precej popularne različne analize naprav, ki se vedno pogosteje povezana v omrežja in lahko odločajo tudi o življenju in smrti. To je lansko leto na lastni koži občutil tudi varnostni zanesenjak Jack Barnaby, ki je hotel demonstrirati, kako lahko prevzame popoln nadzor na srčnim spodbujevalnikom. Vendar do njegovega razkritja ni prišlo, ker so ga nekaj dni prej našli mrtvega v njegovem stanovanju. Omenim lahko še inzulinske črpalke, v katerih so našli pomanjkljivosti, s pomočjo katerih bi lahko škodili ali celo ubili bolnike s sladkorno boleznijo. Možno je najti še kitajske USB-polnilnike, ki vsebujejo škodljivo kodo in lahko povzročijo težave, če se jih priklopi na računalnik. Pa seveda vedno bolj pametni avtomobili, ki omogočajo različne tipe brezžične povezljivosti. Raziskovalci so pokazali, da je z uporabo teh funkcionalnosti možno na daljavo krmiliti volan in zavore in tako prevzeti nadzor nad vozilom.
Kako se etični heker razlikuje od drugih hekerjev?
Vsi uporabljamo iste metode, tehnike in principe. Razlika je v tem, da mi delujemo z vednostjo naročnika, kar pomeni, da delamo nezakonite stvari na zakonit način. Smo v poslu, v katerem ves čas hodimo po robu.
Kako nevaren je Internet of things, ki se uveljavlja v vsakdanjem življenju?
Internet of things je nevaren toliko, kolikor so nevarne naprave, ki so preko različnih povezav povezane v naših domovih. Tako bo postalo hekanje še toliko bolj zanimivo, saj bodo na primer naše ure ali oblačila povezana neposredno z internetom. Je pa res, da Internet of things ponuja veliko možnosti, vendar se po drugi strani plazi v vse pore našega življenja, kjer pred leti povezljivosti ni bilo. Velikokrat naprave, ki jih uporabljamo, vsebujejo kritične varnostne pomanjkljivosti in s tem ogrožajo celoten ekosistem.
Tudi v Sloveniji kradejo identitete
Je kraja identitete – kot jo vidimo v filmih – v današnjem času realno izvedljiva?
To se tudi v Sloveniji že dogaja, vendar je bolj redko. V tujini, sploh pa v ZDA, pa se takšne kraje identitete dogajajo bolj pogosto. Slovence rešuje to, da nas je malo.
Kako je Slovenija oziroma kako so naše državne ustanove/banke pripravljene na hekerske napade? Kje so največje luknje?
V povprečju so naši sistemi kar dobro pripravljeni na napade. Če pogledamo tehnološko plat, torej uporabljene tehnologije, večina uporablja precej napredne naprave, ki onesposobijo velik odstotek različnih napadov. Ciljnih napadov pa tudi najbolj napredna tehnologija ne more popolnoma odpraviti. Kot primer navajam napade skupine Anonymous pred dvema letoma, kjer so hekerji opozorili na nekaj pomanjkljivosti in izvedli napad na NLB. Takrat so uporabili napad DDOS in za nekaj časa onesposobili delovanje spletnih storitev naše največje banke.
Kako pogosti so napadi na naše javne institucije in banke?
Slovenija žal nima zakona, kot ga poznajo v nekaterih drugih delih sveta, kjer morajo upravljavci sistemov javno obelodaniti napade ali celo poskuse napadov. Glede same statistike je v Sloveniji še najbolj kredibilen vir slovenski CERT, ki vsako leto beleži porast obravnavanih incidentov.
https://www.cert.si/porocilo-o-omrezni-varnosti-za-leto-2013/
Trg škodljive programske opreme hitro raste
V članku iz leta 2011 sem zasledila podatek, da na dan nastane več kot 60 tisoč novih škodljivih programov in 20 tisoč okuženih spletnih strani. Je ta številka še vedno aktualna?
Takšne statistike je treba jemati z rezervo, saj o samem merjenju nimamo podatkov. Vendar pa določeni indikatorji kažejo na to, da so številke še vedno aktualne. V zadnjem času je eksponentno eksplodirala številka škodljivih programov za mobilne naprave, ki so v zadnjem času zelo priljubljena tarča napadalcev, saj so postali naš nepogrešljiv spremljevalec.
Kako nevarne so mobilne aplikacije in posodobitve le-teh?
Mobilniki so postali zelo priljubljena tarča napadalcev, saj nosijo našo digitalno identiteto in vsebujejo ogromno količino osebnih podatkov. Poleg tega na njih najdemo tudi omrežja in ljudi, s katerimi komuniciramo. Mobilnik je lahko zelo dobra sledilna in tudi prisluškovalna naprava. Trenutno so največji problem različne posodobitve. Večina aplikacij na primer zahteva več pravic, kot jih dejansko potrebuje za svoje delovanje - tako shranjujejo na primer lokacijske podatke uporabnika ali pa vse njegove vnose in jih po potrebi pošiljajo v oblak. Glede na hiter razvoj je prisotno precej programskih hroščev in nove verzije tako programske opreme kot tudi strojne opreme terjajo svoj davek. Tako je na svetu na milijone mobilnih naprav, ki vsebujejo različne varnostne pomanjkljivosti in jih lahko potencialni napadalci izkoristijo. Trg škodljive programske opreme v zadnjih letih raste bistveno hitreje od škodljive kode za navadne računalnike in na različnih spletnih straneh je mogoče najti precej škodljivih kod, ki lahko popolnoma prevzamejo kontrolo nad našimi mobilniki. Zlonamerne aplikacije se sicer zelo hitro odkrijejo a predstavljajo veliko grožnjo našim napravam. Težavo predstavljajo tudi brezžična omrežja, ki jih je prav tako možno napadati, in na katera se priklapljamo povsod, kjer je mogoče. Iz podatkov, na katera omrežja se je uporabnik povezal, lahko razberemo, kje se je gibal, ali ima zdravstvene težave, ali še kaj drugega …
Kakšne napake delajo fizične osebe? Na kaj bi morali paziti, ko uporabljamo splet?
Za fizične osebe obstaja zelo enostavna rešitev, ki lahko reši marsikaj. To je, da na naših Windows sistemih uporabnik, s katerim smo prijavljeni, nima skrbniških pravic. To pomeni, da tudi če že obiščemo kakšno zlonamerno spletno stran, obstaja velika verjetnost, da se potencialna škodljiva koda ne bo uspela namestiti na naš računalnik. Nevarnost predstavlja tudi piratska programska oprema, ki velikokrat vsebujejo dodatke škodljive programske opreme. Pri brskanju po spletu pa se je priporočljivo izogibati sumljivim spletnih stranem. Še posebej veliko zlonamerne kode je na straneh s pornografsko vsebino in na straneh, kjer je mogoče sneti kakšno brezplačno programsko opremo. So pa v zadnjih letih brskalniki naredili velik preskok in nas na strani s sumljivo vsebino dodatno opozorijo. Mogoče se splača dobro izbrati tudi spletni brskalnik, saj nekateri pri uporabi spleta omogočajo dodatne varnostne načine.
Katerega uporabljate vi?
Chrome.
Kakšni elektronski pošti naj se posameznik izogiba?
Pri elektronski pošti največje tveganje predstavlja odpiranje sumljivih priponk in povezav na različne lažne spletne strani. Res je, da različni filtri prestrežejo preko 99 odstotkov lažne elektronske pošte, vendar je dobro vedeti, da tudi napadalci na počivajo in veliko energije vlagajo v to, kako te filtre obiti. Zato ni odveč, če sumljivih priponk ne odpiramo ali pa vprašamo koga za nasvet.
Kako pomembno je, da se iz različnih računov in programov odjavimo?
Odjava je predvsem pomembna na javnih računalnikih (v hotelih, na letališčih, v knjižnicah in podobnih lokacijah). Ali je bila naša odjava uspešna, lahko enostavno preverimo tako, da kliknemo odjavi in potem poskušamo priti nazaj na prejšnjo stran. Če smo še vedno prijavljeni, potem odjava ne deluje tako, kot bi morala.
Kako pomembna je menjava gesel? Kako pogosto bi jih bilo treba zamenjati in kakšno je idealno geslo?
Glede gesel pa je najpomembnejše, da se zavedamo, da geslo ni samo kopica črk, ampak je dejansko ključ do naše digitalne identitete. Zato sta kakovost in dolžina gesla zelo pomembna dejavnika. Določeni sistemi nas prisilijo, da gesla redno zamenjamo, kar je dobro, večina sistemov pa ne. Bolj pomembna kot redna menjava gesla je uporaba še kakšnega drugega varnostnega mehanizma, kot na primer dodatno geslo na mobilnem telefonu. Večina ponudnikov (gmail, facebook) to že omogoča. V tem primeru mora napadalec, če želi priti do elektronskega predala, ukrasti vaše geslo in še vaš telefon. Kraja gesla je precej enostavna, kraja telefona pa ni več tako enostavno dejanje, zato z vklopom t.i. dvonivojske avtentikacije pridobimo veliko. Gesla morajo biti ustrezne dolžine in kompleksnosti, za vsak sistem predlagam svoje geslo, gesel tudi ne posojamo. Primer dobrega gesla bi recimo bil: TudiV2015BomBralZurnal24! Za uspešno razbijanje tega gesla bi napadalci potrebovali tisoče let. Priporočljiva je tudi uporaba šumnikov.
Zaposljujejo po priporočilih
S kakšno dejavnostjo se ukvarjajo vaše stranke? Kakšne preglede izvajate?
Paleta naših strank je raznovrstna. Od finančnih institucij, državnih organov, izobraževalnih ustanov pa do podjetij, ki skrbijo za kritično infrastrukturo. Najemajo pa nas v večini primerov za preverjanje varnosti sistemov in aplikacij, simulacijo vdorov v sisteme in tudi v njihove stavbe. To je velika večina naših storitev. Izvajamo tudi različna izobraževanja s področja informacijske varnosti in predavamo na različnih konferencah širom sveta. Omeniti velja, da smo v letu 2014 predavali na velikem številu varnostnih konferencah od Kitajske pa vse do Las Vegasa, kjer smo bili prisotni z našim prispevkom tudi na največji hekerski konferenci na svetu DEF CON. Te izkušnje s svetovnih prizorišč delimo z našimi strankami in s tem delamo tudi njihove sisteme in postopke še bolj varne.
Kako poteka preverjanje sistemske varnosti?
Če govoriva o preverjanju tipa "brez omejitev“, kar pomeni, da imamo s privoljenjem stranke takorekoč proste roke, se včasih, na primer za finančne ustanove, pretvarjamo, da smo nekdo drug, s ciljem, da vdremo v njihovo omrežje. Pri tem preverjamo predvsem ozaveščenost zaposlenih neke ustanove. Bo v svoj računalnik vstavil tuj USB ključek, čeprav mu to varnostna politika podjetja prepoveduje? Največje varnostne luknje namreč ustvarjajo ljudje in ne tehnologija. Ta ponavadi deluje brezhibno. Drugo največjo nevarnost predstavljajo aplikacije, recimo e-bančništvo, preko katerih lahko pride do vdorov.
Kako se izvajajo napadi na ljudi oziroma preverjanje zaposlenih (družbeni inženiring)?
Zaposlene ne preverjamo klasično, kot to počno detektivi ali kriminalisti. Seveda pa, če jih ciljamo v kakšni simulaciji napada, preverimo, kaj o njih pravi internet. Ti podatki so lahko namreč zelo koristni pri izvedbi različnih napadov na ljudi. Družbenega inženiringa je v primerjavi z drugimi preverjanji malo, saj se stranke že same zavedajo, da bodo na tem testu padle. Tisti, ki pa se odločijo za to preverjanje, imajo za to zelo dober razlog. Družbeni inženiring se lahko izvaja fizično, se pravi, da pridemo z okuženim ključkom v pisarno, lahko pa preko spleta. Pošljemo vam elektronsko pošto, na primer voščilnico, in ko datoteko odprete, smo vdrli v vaš računalnik. Zaposlenih pred naročnikom sicer ne izpostavljamo poimensko. Povemo, da smo razposlali 100 voščilnic in da je 50 prejemnikov datoteko odprlo. Rezultate nato predstavimo tudi zaposlenim in jih podučimo o tem, kakšne pošte naj ne odpirajo, zakaj je pomembno, da je geslo dolgo in da se pogosto menjava itd.
Preverjate osebe, preden jih zaposlite?
Večinoma zaposlujemo po priporočilih. Definitivno pa ne bi vzeli vsakega v službo. Ko so priprli mariborskega hekerja Matjaža Škorjanca, sem izjavil, da bi ga zaposlil. Nato sem eno leto hodil na sodišče poslušat obravnave, kjer so mu sodili za njegova dejanja. Po teh obiskih bi o moji izjavi najbrž še enkrat konkretno razmislil in se najbrž odločil drugače.
Spletne banke so priljubljena tarča napadalcev
Kako pogosto bi morale institucije, podjetja in fizične osebe preveriti ranljivost svojih naprav oz. mreže?
Zakonske osnove glede preverjanja ranljivosti pri nas ni. Edini, ki so k temu zavezani zaradi regulative, so banke, ki morajo enkrat letno narediti zunanji varnostni preizkus. Informacijska varnost je mnogokrat aktualna šele takrat, ko se zgodi kakšen incident a je takrat mogoče že prepozno.
Kako ogrožene so spletne banke?
Spletne banke so priljubljena tarča napadalcev, saj je tam denar, ki ga je možno ukrasti. Je pa po drugi strani res, da imajo spletne banke dodatne varnostne mehanizme, s katerimi skrbijo za varnost, saj se banke zavedajo groženj in posledično tudi odškodnin, ki bi jih v primeru zanemarjanja informacijske varnosti morale plačati zlorabljenim uporabnikom njihovih storitev.
Se splača omeniti še kakšne težave?
Groženj je vedno več, saj smo vedno bolj informatizirani in tudi vedno več naprav, ki so povezane z našim življenjem je povezanih v splet. Hude težave lahko imate, če nekdo vdre v vaš poštni nabiralnik. Naši poštni nabiralniki vsebujejo namreč kopico koristnih podatkov in so v veliki meri zavarovani samo s kombinacijo uporabniškega imena in gesla. In če to geslo uporabljamo še kje drugje, lahko napadalci to izkoristijo in v celoti prevzamejo dejansko digitalno identiteto nekoga drugega in potem v našem imenu počne stvari, za katere bomo mi odgovarjali. Podobno velja za posojanje dostopa do lastnega računalnika. Tudi s tem dejansko pridobimo digitalno identiteto lastnika računalnika in na primer, če na hitro prebrskamo strani recimo z otroško pornografijo, lahko s tem spravimo lastnika računalnika v kočljivo situacijo. In tega problema digitalne identitete se ljudje ne zavedajo.
Kakšno je vaše mnenje o programih kot so "LastPass"?
Ne uporabljam jih.
Imate na mobilniku aplikacijo za spletno bančništvo?
Ne. Prihajajo sicer novi načini plačevanja, pri katerih bodo certifikati varno shranjeni na napravah, vendar po moje čas za vse te novosti še ni pravi.
