VDORI
Zakaj se ne učimo na napakah drugih
Bela knjiga o kibernetski varnosti opozarja, kje so bila slovenska podjetja v letu 2018 najbolj ranljiva.
Odpri galerijo
FOTO: Guliver/GETTY IMAGES
Vdori v baze podatkov, kraja identitete, izsiljevalski virusi, zlonamerne kode – vse to smo včasih gledali v znanstvenofantastičnih filmih, zdaj pa so del vsakdana. V časopisih redno prebiramo, kako je hekerjem uspelo vdreti v računalniške sisteme in pobrati osebne podatke več deset ali sto milijonov uporabnikov, vsake toliko časa se na spletu pojavi virus, ki naredi precej gmotne in psihološke škode, kakršen je bil zloglasni WannaCry leta 2017, ki je ustavljal proizvodnjo in delovne procese po vsem svetu in tudi pri nas.
Pri kiberkriminalu ni več zemljepisnih omejitev, do vsega se lahko pride prek interneta. Skoraj vsi smo že kdaj prejeli elektronsko pošto, v kateri nas »sistemski administrator« opozarja, da moramo osvežiti geslo, ali nas poziva, naj kliknemo na povezavo oziroma odpremo kakšno priponko. In čeprav zadeva že od daleč smrdi, v naslovu pošiljatelja so malenkostne razlike, da o čudni slovenščini niti ne govorimo, marsikdo med nami to naredi. In hekerjem se začne odpirati pot.
Kakor je povedal Vladimir Ban, glavni avtor bele knjige, sicer pa strokovnjak za kibernetsko varnost, gre za povzetek njihovih izkušenj. Samo lani so izvedli okoli 30 varnostnih pregledov pri zelo različnih podjetjih. »Včasih so bile te storitve bolj vezane na finančna podjetja, zdaj pa na naša vrata trkajo zelo različna podjetja, od trgovskih, storitvenih in proizvodnih do državne uprave. Stvari so še daleč od tega, da bi bile urejene, a občutek in statistika kažeta, da se izboljšujejo. Seveda pa se povečujejo tudi grožnje. Pred nekaj leti se je pri nas še razmišljalo, češ, kdo pa sploh ve, kje je Slovenija. Danes je drugače: grožnje se povečujejo, a viša se tudi varnost.«
»Dober način, kako preveriti kibernetsko varnost v podjetju, je preprost: najameš podjetje, ki vdre v tvoj sistem, v tvoje aplikacije, v tvoje omrežje. Tako najbolje spoznaš, kaj je narobe. Slabo je, da skoraj ni bilo podjetja, v katero ne bi mogli vdreti, če je bil to predmet pregleda. Dobro pa je to, da se je pri večini podjetij stvar zalomila pri nekih osnovnih stvareh, kar pomeni, da odprava težav ni problematična. K nam prihajajo podjetja, pri katerih smo že drugič ali tretjič izvedli pregled, in tam se vidi napredek. Če smo pri prvem pregledu zlahka vdrli v sistem, smo se morali pri drugem ali tretjem že precej bolj potruditi. In to je dobra novica,« poudarja Vladimir Ban.
Pridružil se nam je Boris Krajnc, etični heker in strokovnjak za kibernetsko varnost, ki je dodal, da v poročilu opravljenega varnostnega pregleda vedno podajo predloge, kako lahko stranka odpravi napake. »Če jim dokažeš, da so ranljivi, so pripravljeni sodelovati. O konkretnih primerih seveda ne morem govoriti, a pozna se, da so podjetja že precej napredovala.«
In kako je videti takšen napad? V sodelovanju z naročnikom pripravijo lažni portal za elektronsko pošto. Naslednji dan v imenu sistemskega administratorja pošljejo email vsem zaposlenim in jih obvestijo, da so bili tarča hekerjev, zaradi česar so morali resetirati vse račune, in jih prosijo, naj preverijo, ali njihov račun deluje. Dajo povezavo na lažni portal, ki ima malenkostno drugačno ime in kamor uporabnik vnese uporabniško ime in geslo. Ko to stori, se poveže še na pravi portal, kjer se mora uporabnik še enkrat prijaviti. »Mi pa smo medtem že dobili njihove podatke. Ko imaš enkrat nadzor nad poštnim predalom uporabnika, lahko v njegovem imenu pošiljaš pošto drugim uporabnikom. Zgodi se celo, da začno uporabniki komunicirati z nami, s tem pa lahko dobimo še več podatkov.«
Med varnostnimi pregledi gredo dostikrat tudi na »obisk« k stranki. »Z Vladimirjem sva, denimo, čakala pred vrati podjetja, se delala, da telefonirava, in ko so prišli delavci z malice, sva jih preprosto pospremila v podjetje, ne da bi naju kdor koli vprašal, kdo sva in kaj želiva. Nekje so Vlada sicer ustavili na stopnišču in ga vprašali, kam gre, jaz pa sem bil medtem že v skladišču. In če prideš v oblačilih kakega telekomunikacijskega operaterja, se lahko zgodi, da te spustijo tudi do samega vozlišča ali strežnika, kjer lahko enostavno nastaviš kakšno napravico – dovolj je že usb-ključek,« fizični vdor opiše Boris Krajnc. »Zanimiv je bil primer phishinga z usb-ključki. Na predavanju smo razmetali dvajset usb-ključkov, na katerih so bili sicer le nedolžni podatki, a na koncu sta le dva udeleženca prišla povedat, da sta ga našla,« doda.
»Vidiš, da se stvari ponavljajo. V beli knjigi smo na prvem mestu izpostavili rakavo rano vseh podjetij: nezmožnost zaznavanja napadov. Vdor v sistem je lahko izvesti, nemogoče pa je izvesti vdor, pri katerem za seboj ne bi pustil sledi. Če bi nekdo res spremljal promet v omrežju, je skoraj nemogoče, da te ne opazijo. V naslednjih letih bo pri kibernetski varnosti veliko več pozornosti namenjene zaznavanju vdorov kakor njihovemu preprečevanju. In če kdo vsaj poskuša nasloviti deset točk bele knjige, je na poti, da zmaga,« skleneta sogovornika.
Hekerji s phishing napadi enostavno dobijo prijavne podatke. FOTO: Guliver/GETTY IMAGES
Kje smo najbolj ranljivi
V slovenskem podjetju Smart Com se že skoraj tri desetletja ukvarjajo z informacijsko tehnologijo, natančneje, vzpostavljajo napredna in zanesljiva komunikacijska omrežja ter varnostne rešitve za zaščito pred kibernetskimi grožnjami. Njihove storitve in rešitve uporabljajo javne, finančne, industrijske, elektro- in poslovne institucije. Lani so izdali Belo knjigo o kibernetski varnosti, v kateri so izpostavili deset področij, kjer so bili informacijski sistemi slovenskih podjetij v letu 2018 najbolj ranljivi.Spletno ribarjenje
Phishing (spletno ribarjenje) je spletna prevara, pri kateri želi goljuf pridobiti občutljive podatke spletnih uporabnikov. Phishing napad po navadi poteka tako, da oseba na elektronski naslov prejme e-sporočilo, katere pošiljatelj naj bi bila, denimo, banka, pri kateri ima oseba urejeno spletno bančništvo. Goljuf se predstavlja v imenu spletne banke in želi uporabnika prepričati, da mora nujno posredovati uporabniško ime ter geslo za prijavo, češ da prihaja do nepooblaščenih vstopov. Včasih je v elektronskem sporočilu tudi povezava do lažne spletne strani, zelo podobne originalni. Tam je, denimo, obrazec, kamor uporabnik vtipka staro in »novo« geslo, s čimer goljufu sam preda prijavne podatke.
Phishing (spletno ribarjenje) je spletna prevara, pri kateri želi goljuf pridobiti občutljive podatke spletnih uporabnikov. Phishing napad po navadi poteka tako, da oseba na elektronski naslov prejme e-sporočilo, katere pošiljatelj naj bi bila, denimo, banka, pri kateri ima oseba urejeno spletno bančništvo. Goljuf se predstavlja v imenu spletne banke in želi uporabnika prepričati, da mora nujno posredovati uporabniško ime ter geslo za prijavo, češ da prihaja do nepooblaščenih vstopov. Včasih je v elektronskem sporočilu tudi povezava do lažne spletne strani, zelo podobne originalni. Tam je, denimo, obrazec, kamor uporabnik vtipka staro in »novo« geslo, s čimer goljufu sam preda prijavne podatke.
Kakor je povedal Vladimir Ban, glavni avtor bele knjige, sicer pa strokovnjak za kibernetsko varnost, gre za povzetek njihovih izkušenj. Samo lani so izvedli okoli 30 varnostnih pregledov pri zelo različnih podjetjih. »Včasih so bile te storitve bolj vezane na finančna podjetja, zdaj pa na naša vrata trkajo zelo različna podjetja, od trgovskih, storitvenih in proizvodnih do državne uprave. Stvari so še daleč od tega, da bi bile urejene, a občutek in statistika kažeta, da se izboljšujejo. Seveda pa se povečujejo tudi grožnje. Pred nekaj leti se je pri nas še razmišljalo, češ, kdo pa sploh ve, kje je Slovenija. Danes je drugače: grožnje se povečujejo, a viša se tudi varnost.«
Slaba varnost podjetij
Boris Krajnc, etični heker FOTO: Smart.com
Pridružil se nam je Boris Krajnc, etični heker in strokovnjak za kibernetsko varnost, ki je dodal, da v poročilu opravljenega varnostnega pregleda vedno podajo predloge, kako lahko stranka odpravi napake. »Če jim dokažeš, da so ranljivi, so pripravljeni sodelovati. O konkretnih primerih seveda ne morem govoriti, a pozna se, da so podjetja že precej napredovala.«
Dovolj je, da nasede eden
Pomemben dejavnik je socialni inženiring, poudarja Krajnc. »Če tehnika naredi svoje, ljudje po navadi padejo na socialnem inženiringu. Recimo, ko izvedemo phishing napad prek elektronske pošte ali podtikamo usb-ključke, žal ugotavljamo, da 15–25 odstotkov ljudi nasede takšnim poskusom. Za hekerja je dovolj, da nasede eden. Nedavno smo izvajali masovni phishing test v podjetju, v katerem je več kot 80 uporabnikov nasedlo phishing emailu. Ljudje še vedno nasedajo, ker niso ozaveščeni. Veliko jih odgovori na lažni poziv hekerja, ki se izdaja za administratorja, in vnese uporabniško ime in geslo.«Dekalog napak
1. Nezmožnost zaznavanja napadov
2. Dostopnost aplikacij z interneta brez močne avtentikacije
3. Visoka varnostna ranljivost industrijskih okolij
4. Nizka raven varnosti spletnih strani in aplikacij
5. Prevelika občutljivost za phishing e-mail napade
6. Prevelika odprtost VPN-dostopov
7. Nezadostno varovanje pri napadih z zlonamerno kodo
8. Nezadostno izvajanje varnostnih popravkov notranjih strežnikov
9. Nezadostna omejitev prometa v notranjosti omrežja
10. Slaba varnostna ozaveščenost uporabnikov (in skrbnikov)
1. Nezmožnost zaznavanja napadov
2. Dostopnost aplikacij z interneta brez močne avtentikacije
3. Visoka varnostna ranljivost industrijskih okolij
4. Nizka raven varnosti spletnih strani in aplikacij
5. Prevelika občutljivost za phishing e-mail napade
6. Prevelika odprtost VPN-dostopov
7. Nezadostno varovanje pri napadih z zlonamerno kodo
8. Nezadostno izvajanje varnostnih popravkov notranjih strežnikov
9. Nezadostna omejitev prometa v notranjosti omrežja
10. Slaba varnostna ozaveščenost uporabnikov (in skrbnikov)
In kako je videti takšen napad? V sodelovanju z naročnikom pripravijo lažni portal za elektronsko pošto. Naslednji dan v imenu sistemskega administratorja pošljejo email vsem zaposlenim in jih obvestijo, da so bili tarča hekerjev, zaradi česar so morali resetirati vse račune, in jih prosijo, naj preverijo, ali njihov račun deluje. Dajo povezavo na lažni portal, ki ima malenkostno drugačno ime in kamor uporabnik vnese uporabniško ime in geslo. Ko to stori, se poveže še na pravi portal, kjer se mora uporabnik še enkrat prijaviti. »Mi pa smo medtem že dobili njihove podatke. Ko imaš enkrat nadzor nad poštnim predalom uporabnika, lahko v njegovem imenu pošiljaš pošto drugim uporabnikom. Zgodi se celo, da začno uporabniki komunicirati z nami, s tem pa lahko dobimo še več podatkov.«
Kako lahko je vdreti ...
Kakor poudarja Ban, je glavna napaka, ki jo delajo podjetja, ta, da njihov sistem s stališča varnosti ne predpostavlja tega, da bodo uporabniki izdajali svoja gesla. In kaj lahko heker stori z uporabniškim imenom in geslom elektronske pošte? Dostikrat se izkaže, da lahko z istim geslom dostopa tudi do drugih podatkov in sistemov v nekem podjetju, opozarja Ban. Testi iz socialnega inženiringa so namenjeni temu, da se podjetja prepriča, da začno bolje varovati svoje podatke. Se pravi, da vse le ne more biti dostopno samo z uporabniškim imenom in geslom; treba je uvajati dodatne mehanizme avtentikacije.Podjetja ne pričakujejo, da bodo uporabniki sami izdajali uporabniška imena in gesla. FOTO: Guliver/GETTY IMAGES
Napake se ponavljajo
Seveda nismo mogli mimo razvpitega izsiljevalskega virusa WannaCry, ki je predlani divjal tudi po slovenskih računalnikih in za kratek čas ustavil celo proizvodnjo avtomobilov v novomeškem Revozu. »Po Revozu smo delali teste s tovrstno skripto in brez težav vdirali v sisteme. Podjetja se, žal, ne učijo na napakah drugih, vedno se učijo na lastnih napakah. Imeli smo debate s podjetji, ki so bila ranljiva na WannaCry, vdrli v njihove strežnike, dobili administratorska gesla, naredili posnetek zaslona, ki je dokazoval, da smo res administratorji, in vse to dali v poročilo. In na začetku smo si naivno predstavljali, da je to to, da bodo šli takoj odpravljat napake. A imeli so kup nekih izgovorov. Češ da vse to vedo, a da ne morejo namestiti popravkov, ker da ne delajo na določenih strežnikih ali pa posledično ne delajo druge aplikacije. Škoda je, da se bolj ne učimo na napakah drugih. Zato poskušamo biti pri pregledih tudi malce provokativni, da se še bolj zavedajo pomembnosti zagotavljanja kibernetske varnosti,« pojasnjuje Ban.»Vidiš, da se stvari ponavljajo. V beli knjigi smo na prvem mestu izpostavili rakavo rano vseh podjetij: nezmožnost zaznavanja napadov. Vdor v sistem je lahko izvesti, nemogoče pa je izvesti vdor, pri katerem za seboj ne bi pustil sledi. Če bi nekdo res spremljal promet v omrežju, je skoraj nemogoče, da te ne opazijo. V naslednjih letih bo pri kibernetski varnosti veliko več pozornosti namenjene zaznavanju vdorov kakor njihovemu preprečevanju. In če kdo vsaj poskuša nasloviti deset točk bele knjige, je na poti, da zmaga,« skleneta sogovornika.
