Pod slovem hacker si lidé často představí zločince, který využívá svých znalostí počítačových systémů ke kybernetickým útokům a krádeži dat. Samotná znalost těchto metod však nutně neznamená, že se takový člověk přidá na „temnou stranu Síly“.
Existují také etičtí hackeři (tzv. white-hat hackers), jejichž činnost je na první pohled stejná. Rozesílají phishingové e-maily. V převleku za kurýra pronikají do cizích budov, kde instalují špionážní zařízení. Zkrátka dělají (skoro) vše pro to, aby se nabourali do cizí sítě. Místo toho, aby ukradená data zpeněžili na černém trhu, ale pošlou podrobnou zprávu o útoku firmě, jejíž zabezpečení právě pokořili.
S etickým hackerem Chrisem Cowlingem, penetračním testerem z firmy Unicorn, jsme si povídali o jeho dobrodružné práci a vtipných historkách z útočení. Jeho doporučení vám mohou být užitečná, i když zrovna nespravujete velkou firemní síť. Cílem kybernetických útoků jsou totiž čím dá častěji i jednotlivci. A kdo lépe zná jejich taktiky než ten, který je umí uplatnit v praxi?
Je úkolem etického hackera také navrhnout záplaty na ty zranitelnosti, které odhalí?
Obecně se etičtí hackeři zabývají nejčastěji penetračním testováním. Tedy nalezením děr v zabezpečení konkrétního systému a jejich přesným popsáním, včetně navržení vhodného způsobu nápravy nebo zmírnění rizika. Opravy ale musí zajistit někdo jiný, obvykle výrobce toho děravého programu.
Určité systémy jsou však proniknutelné spíše z důvodu špatného nastavení na straně firmy. V horším případě z důvodu slabého nebo výchozího hesla a neexistence vícefaktorového ověření.
Můžete nám dát konkrétní – byť hypotetický – příklad úspěšné sekvence útoku červeného týmu? Jak se prolomíte do firmy XYZ?
Dobře, spojím několik příběhů dohromady, takže se to netýká žádného konkrétního klienta, ale vše je reálné. Řekněme, máme za úkol prolomit se do firmy XYZ. Tato firma měla velmi dobré zabezpečení on-line systémů, takže průnik jen přes internet by byl složitý. Vedle jejich budovy ale byla kavárna a v té se nám podařilo okopírovat nepozorovaně zaměstnanecké karty několika zaměstnanců.
To pak našemu agentovi pomohlo k průniku přímo do budovy. Tam pak nainstaloval hardwarové zařízení zvané keylogger, díky čemuž jsme se dostali k platnému uživatelskému jménu a heslu. Tím jsme dostali možnost připojit se do firemní sítě vzdáleně.
Na sociálních sítích jsme si udělali průzkum a ten jsme využili k sepsání velmi důvěryhodného phishingového e-mailu, který jsme poslali už skrze firemní poštu s použitím získaného uživatelského jména a hesla. Odkaz v e-mailu vedl na program zneužívající známou zranitelnost v softwaru, který firma používala. Tak jsme získali přístupy několika dalších uživatelů a mezi nimi i člověka se správcovským účtem.
Skrze jeho login jsme se dostali do správcovského rozhraní Active Directory, kde jsme přidali vlastního nového uživatele. Tomu jsme už mohli dát práva, jaká jsme chtěli. Dostali jsme se tak k jakýmkoli údajům ve firemní síti, včetně těch, které byly dle dohody s klientem naším hlavním cílem.
Jak dlouho takový útok trval?
Celý proces trval několik týdnů a snažili jsme se být velmi nenápadní. Když si ale ani po týdnu firma nevšimne, že jsme v jejich síti, začneme být naschvál trochu hlasitější, abychom ověřili, zda vůbec dávají pozor. No pak to stupňujeme, dokud si nás nevšimnou.
Mohli byste třeba šéfovi nechat na ploše PDF s fakturou…
Třeba tak. Nebo začneme pomocí skriptu zkoušet stovky hesel za minutu. Nebo deaktivujeme účet některým klíčovým manažerům.
To zní jako ta nejzábavnější část práce.
Z našeho pohledu už v téhle fázi máme splněno. Tohle jsou spíš takové vedlejší kroky. Pro firmu je samozřejmě důležité vědět, co je schopna zachytit a co ne. Proto to děláme. Dává nám to možnost pomoci jim zlepšit se.
Když si firma objedná simulovaný útok, kdo o tom ví? Dokážu si představit hodně ošklivá nedorozumění, kdyby o tom nikdo nevěděl…
Obvykle o tom, že simulovaný útok někdy v blízké době proběhne, ví velmi malý tým v rámci organizace, která si jej objednala. Máme obvykle jedinou kontaktní osobu, kterou udržujeme v obraze. A několik dalších lidí, řekněme v představenstvu, o objednávce ví.
Protože náš test je na objednávku, jedna z nejdůležitějších věcí je pečlivá právní příprava. Máme s sebou doklad o tom, že naše služby jsou objednané, třeba pro případ, že by nás ochranka nebo policie přistihla při neoprávněném vstupu řekněme do banky. Říká se tomu „propustka z vězení“ (anglicky get-out-of-jail letter). Je to svolení k tomu, co děláme, a kontakt na osobu, u které je možné ověřit pravdivost toho, co říkáme.
U fyzického prolamování se do budov to asi může být dost nebezpečné, ne? Stačí, když má ochranka revolver…
Tohle je velký rozdíl mezi Evropou a USA. Třeba zámky jsou v Americe mnohem méně bezpečné, je tam jenom pár výrobců zámků. Na druhou stranu je v USA velké procento lidí se střelnou zbraní. Takže je pak jedno, že umíte šperhákem otevřít jejich zámek, protože oni mají za pasem bouchačku.
U firem z toho strach úplně nemáme. Jasně, může si na nás došlápnout pár namakaných chlapů z ochranky, ale obvykle musejí dodržovat určité procedury. To nám, když nás chytí při pokusu o průnik, umožňuje dát ruce nad hlavu a vysvětlit jim, že je to součástí simulovaného útoku. Dát jim jméno člověka, u koho to můžou ověřit. Je to důležité pro naši bezpečnost, a vlastně pro bezpečnost všech.
Tahle práce je určitě hodně pestrá. Skoro jako být špion. Lidé si většinou pod pojmem hacker představují útoky přes internet…
Dá se říci, že jakmile máme fyzický přístup k počítači té firmy, tak je jen otázka času, než toho dokážeme využít. Pokud pronikneme do budovy, dostaneme se k počítači, nainstalujeme tam malé zařízení mezi klávesnici a počítač. Tak získáme hesla uživatelů, a to nám zase umožní dostat se dále.
V některých firmách se dostanete kamkoli, když máte na zádech batoh s nápisem Kurýr. Jaké další převleky fungují?
Sociální inženýrství je velká část naší práce. Do budovy se dostaneme v převleku za poslíčka s náručí plnou krabic od pizzy. „Podržíte mi dveře, prosím?“ A je uvnitř. Jindy se náš člověk dá do řeči s lidmi, kteří šli ven na cigaretu, a pak se skupinkou vejde dovnitř, aniž by potřeboval kartu.
Používáme převleky za opraváře telefonů, za uklízeče… Jde o to, abychom oklamali ochranku, recepci a další pracovníky firmy. Abychom měli evidentní záminku, proč tam jsme.
Firmy dnes mají plný instagram informací o tom, jak fungují. Pomáhá vám to?
Říkáme tomu open-source intelligence, práce s veřejně dostupnými zdroji. Když si někdo na svůj profil dá fotku se svou kartičkou do práce a napíše: „dnes jsem nastoupil u firmy XYZ“, je to pro nás nesmírně cenná informace.
Na kartičce vidíme číslo. Na pozadí vidíme obrazovku počítače a poznáme, jaký používají antivirus. To nám samozřejmě pomůže při útoku.
Lidé prostě chtějí žít své životy, nechtějí neustále přemýšlet o možném útoku.
Ano, v podstatě zneužíváme lidské nátury. Lidé chtějí být nápomocní. Třeba taková maličkost, že vám podrží dveře, když máte plné ruce. A toho zneužijeme, abychom proklouzli dovnitř.
Velmi úspěšné jsou telefonáty. Zavoláme někomu z firmy a představíme se jako Honza z IT podpory: „Jsem tu teprve týden a dostal jsem za úkol aktualizovat váš software, pomůžete mi s tím?“ Tak jednoduché to někdy je.
Už se vám stalo, že jste se do nějaké firmy prostě neprobourali? Že měli všechno tak dobře zabezpečené a personál tak vycvičený, že to prostě nešlo?
Vždycky existuje cesta dovnitř. Firmě pak ale prezentujeme kompletní dokumentaci. Ukážeme, co všechno jsme zkusili. Takže je pochválíme za to, co nám nevyšlo. Snažíme se z toho udělat srozumitelný příběh, hlavně pro výše postavené manažery, kteří třeba nejsou zběhlí v bezpečnostních detailech.
Důležité je, aby firma měla z našich závěrů užitek. Aby viděli, že ty peníze utratili za něco, co jim pomůže v budoucnu.
Jak zajistíte, že se někdo z vašeho týmu nedá na dráhu zločinu? Co kdyby si někdo z vašeho týmu nějakou zranitelnost nechal pro sebe, nenapsal ji do závěrečné zprávy a pak použil k okradení společnosti?
Máme velmi složitý proces, spolupracovníky si pečlivě vybíráme. A na ty důležité zakázky bereme jen ty, kteří jsou osvědčení a důvěryhodní. Nevezmeme do červeného týmu nějakého nováčka, ať by byl sebeschopnější.
Obvykle také nepracujeme izolovaně, ale v týmu. Nestane se tak, že bych objevil díru, o které nikdo z kolegů neví. A samozřejmě firmy mají ošetřené i legálně, takže za únik informací bychom pořádně zaplatili.
Vaše práce vyžaduje, abyste se na lidi díval poměrně cynicky. Změnilo to váš pohled na svět?
Samozřejmě, že lidé jsou v jádru stejní. Kromě toho je tady i ta korporátní složka. Vidíme samozřejmě, že firmy se často navenek tváří profesionálně, zatímco my vidíme, jaký mají uvnitř nepořádek.
V posledních letech se cílem hackerů stávají stále častěji i jednotlivci. Jsou celá callcentra, která se zaměřují na útoky na jednotlivce. Jak se mohou bránit?
Jednotlivci o sobě nechávají ohromné množství informací na sociálních sítích. Útočník může různých detailů využít k tomu, aby útok přizpůsobil konkrétnímu jednotlivci. Obvykle se jim asi nevyplatí vyrábět útok na míru právě vám, pokud nemají nějaký důvod. Používají phishing, který rozesílají na velké množství adresátů.
Setkáváme se ale s tím, že u útoků se stírá hranice mezi pracovním a soukromým životem. Takže když se snažím proniknout do firemní sítě, mohu si najít soukromé kontakty na lidi, kteří ve firmě pracují. Najdu si na jejich sociálních sítích, co je zajímá, a pak to využiju k získání pozornosti.
Nesmíme zapomínat, že naším cílem je poskytnout té firmě užitečnou službu. Nechceme se tam probourat nějakou destruktivní metodou. Jistě, skoro každý zámek lze zničit nebo provrtat, často za pár sekund. Ale takové věci neděláme. Najdeme jinou cestu, nenápadnější. Což ostatně dělají i ti zločinci, jejichž chování simulujeme.
Jaká je vaše rada pro běžné uživatele, aby zločincům a podvodníkům jejich jednání co nejvíce zkomplikovali? Kdy by se nám měly v hlavě rozsvítit varovné kontrolky?
V tom se on-line podvodníci moc neliší od obchodníků a marketérů. Když dostanete e-mail, který se vás snaží dostat do časové tísně, když se někdo snaží navázat s vámi úzký kontakt, aniž byste jej znali… je to vlastně stejná psychologie. Používají techniky z neurolongvistického programování, jednají sebevědomě a lež jim tak projde.
Jaká lákadla a vějičky na lidi v e-mailu nejvíce zabírají?
Už jsem zmínil drby nebo informace o dalších lidech, to vždy upoutá pozornost. Nebo také nabídka dárku zdarma, kupóny na slevy. Padesátiprocentní sleva na nějaký drahý a žádaný výrobek. Takových lákadel je hodně.
Obecně se dá říci, že využíváme lidské emoce, abychom motivovali k nějakému chování. Motivovat můžete třeba příslibem peněz nebo různými emocemi. Třeba soucitem: sirotci potřebují vaši pomoc.
Bývá to také závislé na sezoně. Třeba před Vánocemi mohou lidé dostávat balíčky s dárky od korporátních partnerů. Šílené věci jako blikající vánoční stromeček, který musíte zapojit do USB konektoru, aby se rozsvítil. A tím posbíráme spoustu informací. Podobné věci můžeme lidem poslat i k narozeninám.
Vzhledem k vaší práci předpokládám, že se v soukromí chováte celkem opatrně a svá data máte pečlivě zabezpečená?
Určitě máme domácnost nadprůměrně zabezpečenou. Práce v IT a penetrační testování mne naučily, jak důležité je zabezpečit účty, takže obvykle používám hardwarový klíč Yubikey a podobné věci.
Takové zabezpečení doporučuji i všem ostatním, rodině i přátelům často dávám jako dárek hardwarové klíče k zabezpečení účtů.
Ale my teď už víme, že dárky od vás jsou ve skutečnosti odposlouchávací zařízení.
Proto asi manželka dárky ode mne po Vánocích chodí vracet…
etický hacker Chris Cowling, penetrační tester z firmy Unicorn
Udělej mi radost a pozvi mě na kávu. Opravdu mě potěší, když jsi ji jednou nebudu muset koupit sama.
COOLna 
Napsat komentář