ROZHOVOR: Únik tajných dokumentov USA nie je výnimočný, zlyhal ľudský faktor, hovorí etický hacker
Mnohí si pod pojmom hacker predstavia človeka, ktorý nelegálne preniká do informačných systémov za vidinou finančného zisku. Martin Orem, ktorý je spoluzakladateľom firmy Binary House, je však penetračným testerom - etickým hackerom. Čo je náplňou jeho práce a aké pravidla musí nasledovať? Pýtali sme sa tiež, aké firmy zvyknú vyhľadávať jeho služby a čo si myslí o uniknutých amerických tajných dokumentoch.
V rozhovore sa dozviete:
- čo je úlohou etického hackera,
- akými pravidlami sa musí riadiť,
- aké firmy zvyknú vyhľadávať túto službu,
- či sa dalo predísť úniku tajných amerických dokumentov.
Ako etický hacker nemusíte počas penetračných testov zakrývať za sebou stopy, keďže je to legálne. Dá sa to však robiť rafinovanejšie. Ako si máme predstaviť tzv. mazanie dôkazov?
Väčšina projektov, na ktorých pracujem, sa skladá z penetračných testov, ktoré majú za úlohu odhaliť slabé miesta alebo zraniteľnosti v testovaných systémoch a aplikáciách. Nie je preto dôležité dbať na takzvanú operatívnu bezpečnosť (OPSEC). Ultimátnym cieľom nie je detegovať útok, ale opraviť identifikované slabé miesta a zraniteľnosti. Venujem sa tiež tzv. red teamingu, kde etický hacker simuluje schopnosti útočníka, ktorý sa snaží dostať k zadaným cieľom, napr. tajným dokumentom - pomocou rôznych taktík a postupov. Vtedy je dôležité zanechávať podobné stopy ako simulovaný útočník alebo alternatívne stopy, ktoré by neboli odhaliteľné bezpečnostnými mechanizmami a ľuďmi brániacej sa spoločnosti. Cieľom red teamingu je komplexne odhaliť efektivitu ľudí, procesov a technológií použitých na ochranu danej spoločnosti.
Medzi stopy patria udalosti a rôzne formy dát a metadát, ktoré po útoku zostanú v testovaných systémoch, napríklad vytvorenie škodlivého súboru. Niektoré z nich je náročné zakryť, iné sa stratia v mnohopočetnosti benígnych udalostí. Dokumentovaniu týchto stôp po útoku sa venuje odbor nazývaný digitálna forenzná analýza. Môžete si to predstaviť tak, že každá útočníkova akcia zanecháva v systéme určité artefakty, z ktorých je možné určiť, že daný systém je kompromitovaný. Úlohou brániacej spoločnosti je identifikovať útok a zabrániť ďalšiemu šíreniu.
Spal hneď vedľa počítača
A aké náročné je zakrývanie stôp? O koľko to predĺži proces daného výkonu?
V prípade, že kompletne skompromitujete systém a získate najvyššie oprávnenia, ktoré vám umožnia mazať stopy, bez toho, aby sa posielali na externý systém a brániaca spoločnosť nepoužíva pokročilé mechanizmy na detekciu a zabránenie útoku, tak vykonanie a príprava takéhoto útoku nie je ovplyvnená. Ak však zistíte, že brániaca spoločnosť je na vysokej úrovni, potrebujete proporčne meniť vaše útoky a ich payloady (pozn. časť útoku, ktorá vykonáva škodlivé činnosti), čo predĺži najmä prípravu pred útokom o niekoľko dní až týždňov či mesiacov.
Ak chcete byť ako útočník úspešný, tak v dnešnej dobe potrebujete obchádzať minimálne antivírusové systémy, prípadne rôzne EDR systémy, obranné mechanizmy operačného systému a rôzne bezpečnostné zariadenia na sieťovej či aplikačnej úrovni. Ako útočník môžete odstraňovať záznamy zo systémových logov (pokiaľ máte dostatočné práva), vytvárať falošné identifikátory alebo vykonávať útok z rôznych zdrojov. V takom prípade by to predĺžilo proces odhaľovania útoku a identifikáciu útočníka.
Čo vás viedlo k tomu stať sa etickým hackerom?
Aj napriek moju relatívne mladému veku som s počítačmi začínal v dobách, keď vlastniť ho bolo niečo výnimočné. Pamätám si na časy MS-DOSu, pričom táto skratka je v dnešnej dobe pre mladých ľudí neznámym pojmom. Keď som mal asi päť rokov, rodičia mi zadovážili Commodore 64 a bol som z neho tak nadšený, že niekoľko nocí som nespal a ďalšie noci som spal hneď vedľa počítača. Po čase ma prestalo baviť hranie hier a tak som začal vytvárať rôzne skripty a prvé malé programy. Fascinovalo ma, že počítač vykonáva to, čo od neho chcem, aj keď nie vždy deterministicky. Bavilo ma "hranie sa" s technológiami a objavovanie toho, ako veci fungujú, ako sa dajú rozobrať - poskladať ich však bola pre mňa náročnejšia časť. Rozhodol som sa preto študovať informačnú bezpečnosť, popri ktorej som už vykonával prácu penetračného testera (etického hackera) na čiastočný úväzok. Táto práca pre mňa spája mnoho aspektov, od zvedavosti až po kreativitu.
Ako vyzerá váš bežný pracovný deň?
Úlohou etického hackera je testovať a hodnotiť bezpečnosť informačných technológií, s cieľom identifikovať zraniteľnosti a poskytnúť odporúčania na zlepšenie bezpečnosti a ochranu súkromia. Týmto spôsobom pomáha organizáciám a spoločnostiam ochrániť sa pred útokmi, ktoré by mohli narušiť ich prevádzku alebo ohroziť citlivé informácie. Bežný deň etického hackera môže závisieť od toho či pracuje ako súčasť tímu, alebo sám. Ak je súčasťou tímu, môže stráviť čas koordináciou s ostatnými členmi tímu a manažmentom, ako aj plánovaním testovania.
Medzi typické aktivity patria identifikácia zraniteľností, dokumentovanie výsledkov testovania, príprava odporúčaní na zlepšenie bezpečnosti, vývoj nových nástrojov a techník a v neposlednom rade sem patrí aj vzdelávanie, nakoľko informačná bezpečnosť sa každým dňom vyvíja.