Czym różnią się pentesterzy od Anonymous? Świat hakerstwa to zmagania różnych frakcji – tych, którzy robią to dla pieniędzy oraz tych, którymi kierują wyższe pobudki.
Jeśli korzystaliście z pecetów, to jest duże prawdopodobieństwo, że co jakiś czas wyskakiwał wam pop-up reklamujący usługi antywirusowe jednej z wiodących firm. Dziś z kolei, co rusz jesteśmy bombardowani ofertami usług VPN-ów, które w świecie mobilnego internetu zapewniają ochronę w kontakcie m.in. z hotspotami, które nie są tym, czym się wydają. To wszystko personalne zabepieczenia. Współczesne cyberbezpieczeństwo, czyli cyber sec, działa przede wszystkim w interesie serwisów, aplikacji i innych internetowych usług, za którymi stoją różnej wielkości firmy. W momencie gdy posiadają nasze dane, które w wyniku ataku mogą zostać przejęte, działania cyber sec stają także w obronie naszych interesów.
W jednym z odcinków podcastu Coś osobliwego, Aleksandra Przegalińska rozmawiała z Paulą Januszkiewicz – ekspertką w dziedzinie cyberbezpieczeństwa, która swoim doświadczeniem w tej branży wspomaga najróżniejsze biznesy. Specjalistka IT podkreśla, że jej praca przynosi kolejne wyzwania – hakerskie metody ewoluują w poszukiwaniu nowych luk w zabepieczeniach. To z kolei sprawia, że niemal każdy indywidualny przypadek jest swoistą zagadką, którą trzeba rozwikłać:
Zawsze trzeba do czegoś dociec. Rozwiązać jakąś zagadkę. To jest działka, która nie przeminie. Przeciwnie, cały czas widzimy tendencje wzrostowe. Staje się coraz bardziej interesująca, bo przede wszystkim jest ważniejsza dla coraz większej ilości firm. Wpływa bezpośrednio na nasz biznes. Sam management, gdy występuje problem z bezpieczeństwem IT w danej organizacji, zwraca się właśnie do działu bezpieczeństwa o pomoc w utrzymaniu ciągłości biznesowej. Ta zależność jest bezpośrednia.
Laickie spojrzenie może podpowiadać, że wszystkie działania Pauli Januszkiewicz oraz innych osób zajmujących się cyber seciem to kompleksowa robota polegająca na analizowaniu danych i kodu. Owszem, to bardzo ważny aspekt całości, ale ekspertka podkreśla, że pierwszym celem hakerów najczęściej jest najsłabsze ogniwo całej architektury – poruszający się w niej człowiek:
Nasze ruchy są sprawdzaniem bądź pomocą w zależności od tego, z której strony wchodzimy do danej architektury. Ale w kontekście pen testów [penetration tests – symulowane ataki hakerskie testujące dany serwis – przyp. red.], weryfikujemy bezpieczeństwo danej organizacji pod różnymi kątami. Można to zrobić z perspektywy social engeneering, czyli przetestowania w jaki sposób pracownicy reagują na informacje, które do nich docierają. Mowa na przykład o typowym phishingu, czyli wiadomościach zawierających złośliwe linki lub oprogramowanie – jest to nota bene numerem jeden wśród mechanizmów wykorzystywanych w atakach na tak zwany czynnik ludzki.
Teraz występuje on często pod postacią spear phishingu – dedykowanego, dobrze napisanego komunikatu, który przechodzi przez różnego rodzaju filtry, które w sposób zautomatyzowany i inteligentny mogłyby dowiedzieć się, że e-mail ten jest faktycznie pozbawiony kontekstu. Ale my, w swoich testach, staramy się pisać e-maile, które będą trafiały do użytkownika i będą w stanie sprawić, że w nie uwierzy. Jest to też więc gra na emocjach.
Podejście Anonymous oraz podejście pentestera, z punktu widzenia stricte technicznego, nie różnią się bardzo od siebie. Ale różnicą jest papier – dokument, który klient podpisuje upoważniając nas do przeprowadzania kontrolowanych ataków hakerskich.Ekspertka w dziedzinie cyberbezpieczeństwa
Owszem, nigeryjscy książęta oraz arabscy bankierzy, którzy informują mailami o bajońskich sumach przekazywanych w spadku przez nieznanego wcześniej dalekiego krewnego to najbardziej znana forma phishingu, z którą zapewne każdy z nas zetknął się w jakimś momencie. Opisane motywy są jednak dobrze znane i w oczywisty sposób sygnalizują potencjalne zagrożenie. Spear phishing to dużo bardziej wysublimowana wersja tego scamu. W jego ramach, hakerzy mogą np. w możliwie najbardziej wiarygodny sposób podszywać się pod osobę z danej organizacji. Stworzyć bliźniaczo podobny adres mailowy i starać się nadać komunikat, w który łatwo będzie można uwierzyć. W swoich pen testach, oprócz sprawdzania kompetencji osób pracujących w danej firmie, Januszkiewicz zakładają więc scenariusze, w których ktoś się nabierze i niechcący pozwoli atakującym na destabilizację całej architektury informacyjnej.
Potem przechodzimy więc do części elektronicznej. Gdy odbiorca coś kliknie lub otworzy, coś się uruchamia. Pytanie brzmi jak wygląda bezpieczeństwo całej organizacji, aby taki ewentualny atak powstrzymać. W odpowiedzi pomagają testy wewnętrzne i zewnętrzne. Te drugie to po prostu ogląd z zewnątrz dotyczący informacji o danych kliencie, które można znaleźć z poziomu użytkownika serwisu czy aplikacji – czasami tych informacji jest po prostu za dużo.
W dużym uproszczeniu, łącząc wszystkie kropki, można więc stwierdzić, że osoby pracujące w branży cyberbezpieczeństwa zajmują się etycznym hackingiem. Wykorzystują bardzo podobne metody, co potencjalni atakujący, ale zdobytą w ten sposób wiedzę wykorzystują do łatania luk w wirtualnych murach, które chronią niezliczoną ilość danych oraz podstawy danego biznesu. O podstawowych założeniach tej profesji opowiadał z kolei – w odcinku Coś osobliwego poświęconym w całości etycznemu hackingowi – Maxim Balin, Edge Cybersecurity Product Manager w Dell Technologies:
O tym kim są etyczni hakerzy możemy rozmawiać kilka godzin, ale spróbuję zmieścić się w kilku minutach. Mówimy o osobach, które używają swojej wiedzy, by wzmacniać istniejące systemy zabezpieczeń. Spełniają bardzo ważne zadanie dla architektury sieciowej każdej firmy – szukają najsłabszych punktów w danym systemie, by można było je załatać zanim zidentyfikuje je haker, który ma jednoznacznie złe intencje. Etyczni hakerzy zwani są też białymi kapeluszami [eng. white hat hackers, white hats – red.]. Przeprowadzają te same działania, co złośliwi hakerzy, ale efekty ich pracy mają się przysłużyć dobrej sprawie.
W filmach i innych dziełach kultury hacking jest przedstawiany jako fajna aktywność – klepanie w klawiaturę, które skutkuje włamaniem się do danego systemu. To bardzo mozolna praca. Białe kapelusze działają zawsze po otrzymaniu odpowiedniej zgody i trzymają się ścisłego kodu etycznego. Nigdy nie robimy czegokolwiek, co byłoby nielegalne. Dla przykładu, w wypadku wejścia do danego systemu, nie mamy styczności z chronionymi dokumentami czy informacjami będącymi podstawą działalności danej firmy – działamy z poszanowaniem wrażliwości i tajności danych, które ostatecznie mamy chronić. Wszystkie dane, do których zyskaliśmy dostęp są ewidencjonowane, a informacje te są przekazywane klientowi, aby zachować całkowitą transparentność w naszej współpracy. Są linie, których nie przekraczamy, nawet gdy – a w zasadzie zwłaszcza – możemy to zrobić.
Wybierając stronę, po której chce się stanąć – etyczną lub nie – każdy haker dokonuje więc rachunku potencjalnych zysków oraz strat i na tej podstawie wybiera swoją drogę.Edge Cybersecurity Product Manager w Dell Technologies
Po zapoznaniu się z podstawami założeń tej profesji, można się zastanawiać jak w zasadzie ktoś przywdziewa rzeczony biały kapelusz. Balin nie ukrywa, że wiele osób w tej profesji zmieniło barwy swojego nakrycia głowy. Jako przykład podaje Kevina Mitnicka – jednego z najsłynniejszych hakerów na świecie, który po latach wyłudzeń i włamaniach do krajowej infrastruktury sieciowej został złapany i skazany na 5 lat więzienia. Po wyjściu z zakładu karnego, Mitnick niemal od razu zaczął wykorzystywać swoje umiejętności w branży consultingowej i pomaganiu w budowie skutecznych systemów zabezpieczeń. Podstawą jest bowiem rozumienie jak myślą złośliwi hakerzy. To niezbędna wiedza, która jest bezcenna we wskazywaniu słabych punktów. To tylko moja opinia, ale black hat hacking poza możliwością zarobienia sporych pieniędzy i satysfakcji z dobrze przeprowadzonej operacji, jest obciążony w większości krajów ogromnym ryzykiem w postaci wieloletnich kar więzienia. Wybierając więc stronę, po której chce się stanąć – etyczną lub nie – każdy haker dokonuje więc rachunku potencjalnych zysków oraz strat i na tej podstawie odbiera daną drogę.
Czy w takim binarnym podziale, na etyczne i nieetyczne grupy hakerskie, mieści się np. Anonymous, które wykorzystuje te same metody do pozyskiwania ważnych społecznie informacji lub duszenia w zarodku szkodliwych cyfrowych działań? Jest to oczywiście haktywizm i jak każdy aktywizm może być różnie oceniany. Podoba nam się to, gdy widzimy, że działają w dobrej sprawie. Ludzie przyklaskują takiemu podejściu i nie ma co się dziwić. Trzeba mieć z tyłu głowy jednak to, że te działania bazują na nielegalnych komponentach. Ale gdy chodzi o sprawę wyższą, pewne rzeczy przestają mieć takie znaczenie. Podejście Anonymous oraz podejście pentestera, z punktu widzenia stricte technicznego, nie różnią się bardzo od siebie. Ale różnicą jest papier – dokument, który klient podpisuje upoważniając nas do przeprowadzania kontrolowanych ataków hakerskich.
Audycji Coś osobliwego Aleksandry Przegalińskiej, w której poruszane są tematy nowoczesnych technologii i sztucznej inteligencji, posłuchacie na antenie newonce.radio oraz w aplikacji newonce. Najbliższy odcinek zostanie wyemitowany w czwartek 4 sierpnia o godzinie 19:00.
Partnerem cyklu jest Dell Technologies
Komentarze 0