Kibernetička sigurnost

Tko su zapravo hakeri? Stručnjak nam je pojasnio što je to etičko hakiranje

25.09.2023 u 11:36

Bionic
Reading

Može li etičko hakiranje biti snaga te podloga za promicanje sigurnijeg digitalnog okoliša i kibernetičke sigurnosti?

Time se vodi Filipi Zanoello Pires, etablirani stručnjak za kibernetičku sigurnost, osnivač Black&White Technologyja te jedan od keynote speakera na Adriatic MSP Summitu, a koji se održava u Wespi u Zagrebu 25. rujna na temu kibernetičke sigurnosti te strategija za uspješan razvoj i unaprjeđenje usluga kibernetičke sigurnosti.

Ondje je prikazao analizu zlonamjernog softvera te istaknuo 'kako trenutno svi koriste neki od poslužitelja u oblaku (Cloud providers), a to je u posljednje vrijeme značajno utjecalo na povećanje napada. 'Također, kada govorimo o Internetu stvari (IoT), proizvođači proizvode okruženja sa slabim lozinkama i programima koji imaju mnogo ranjivosti. Uz to, već sada bilježimo i napade koji koriste umjetnu inteligenciju i to jedan od sve većih izazova s kojima se suočavamo', ustvrdio je.

Pires je u razgovoru za tportal objasnio, kako on to zove, 'pravi koncept hakiranja' - kaže, naime, da postoji konceptualna pogreška u vezi s riječi 'haker'. Kroz projekt i neprofitnu organizaciju 'Hakiranje NIJE zločin' stoga zagovara globalnu reformu politike da bi se, kaže, dekriminaliziralo hakiranje.

'Desetljećima su mediji, popularna kultura i donositelji politika koristili izraz 'haker' u vezi s neetičkim entuzijastima koji su prijetnja za privatnost i sigurnost. Zbog prirode privatnosti i sigurnosti, podataka te njihova dubokog utjecaja na naše živote, jasno je zašto se hakere pogrešno prikazuje. Strah, razne taktike, nesigurnost i sumnje stvaraju senzacionalističke novinarske priče, unosne filmske zaplete i represivne zakone.

Suprotno tomu, biti haker je identitet, način života i mentalni sklop. To nije modna izjava ni filmski lik. Haker je znatiželjni kritički mislilac koji rješava kompleksne probleme na nekonvencionalan način. Način na koji se ti problemi rješavaju - bilo da se radi o socijalnim, financijskim, ekonomskim, političkim, tehnološkim ili nekim drugim problemima - naziva se hakiranje. Zapravo, hakiranje me izabralo! Mislim da imam glavnu karakteristiku za hakiranje - kreativnost', kaže nam Pires.

'Hakiranje i sigurnost informacija su dva različita pojma'

Stoga se vrlo često susretao sa zabludama društva o etičkom hakiranju. 'Vlada nedostatak osnovnog znanja o informacijskoj tehnologiji, odnosno poznavanja operacijskih sustava, mreža, programskih jezika i oblaka. Mnogi žele raditi u području sigurnosti informacija i misle da se bave hakiranjem, ali to nije istina. Hakiranje je jedno, a sigurnost informacija nešto drugo', ističe Pires.

U posljednjih nekoliko godina puno je, kaže, istraživao sigurnosne sustave i prijetnje tvrtki kroz simulaciju napada. 'Imao sam priliku raditi s rješenjima sigurnosnih dobavljača te sam trebao simulirati napade kako bih zaobišao ta rješenja bez svog otkivanja. Postigao sam vrlo pozitivne rezultate, što je generiralo poboljšanja u testiranim rješenjima, poboljšanja u sustavima za otkrivanje i poboljšanja u tehnologiji', kaže naš sugovornik.

Penetracijsko testiranje ili procjena ranjivosti?

Upitali smo ga može li nam opisati korake koje obično poduzima prilikom provođenja penetracijskog testiranja i/ili procjene ranjivosti.

'Ovo je odlično pitanje, zapravo su to dvije potpuno različite teme. Imate procjenu ranjivosti, koja se može primijeniti na nekoliko načina, tako može koristiti alate koji pružaju rezultate analize ranjivosti u softveru, prikazujući ih putem skeniranja. Ili to može biti metodologija za traženje ranjivosti u okruženju i, kao dio ove makrometodologije, moguće je primijeniti penetracijsko testiranje, ovisno o tome tko ga primjenjuje.

Međutim, po mom mišljenju, penetracijsko testiranje ima cilj simulirati mogući napad, odnosno možete primijeniti koncept hakiranja, a pritom koristite svoju kreativnost da biste istražili slabosti. Postoji nekoliko tehnika koje se mogu primijeniti pri toj aktivnosti. Penetracijsko testiranje provjerit će može li se ranjivost iskoristiti. Za takvo testiranje trebali biste odabrati odgovarajuću metodologiju i standarde, poput PTES-a, OWASP-a, NIST-a ili OSSTMM-a', navodi Pires.

Kaže da je glavni krivac za sigurnosne propuste nedostatak vidljivosti kibernetičkog prostora, kao i to da gotovo svatko na neki način koristi pružatelja usluga u oblaku, što je uzrokovalo značajan porast napada. 'Imati vidljivost nad tim je izuzetno važno. Izuzetno je važno da postoje inicijative za osvješćivanje i obuku za sigurnost među zaposlenicima. Alati pomažu u procesu obrane, ali korisnici bez tehničkog znanja moraju razumjeti posljedice mogućeg napada i, prije svega, kako ne otvarati vrata prijetnjama', naglašava naš sugovornik.

Posljedice mogu biti različite, ali ovise o svakoj poslovnoj vertikali. Neke od njih su:

  • šteta imidžu tvrtke
  • financijski gubitak
  • gubitak operacija
  • krađa intelektualnog vlasništva.

Socijalno inženjerstvo jedna je od tehnika koje koriste prijetnje za iskorištavanje tvrtki. 'Nažalost, broj pogrešnih konfiguracija je tako velik da socijalno inženjerstvo često postaje sekundarna tehnika. Obično se više koristi u inicijativama Red Team (simulacija stvarnog napada) kako bi se iskušali korisnici tvrtke. Tvrtke trebaju ulagati u osvještavanje zaposlenika i obuku za obranu od socijalnog inženjeringa', ističe Pires.

Upitali smo ga uvode li nove tehnologije poput interneta stvari (IoT) i umjetne inteligencije (AI) nove opasnosti u području kibernetičke sigurnosti.

'Ovo je još jedna velika prednost za stranu koja napada, posebno kada govorimo o IoT-u, jer proizvođači stvaraju okoline sa slabim lozinkama, s četiri ili pet brojeva, te još uvijek postoje mnoge zastarjele verzije softvera koje su lako implementirane, ali s mnogim ranjivostima. AI je nešto drugačiji slučaj. Već postoje neki napadi koji koriste AI, ali AI je došao kako bi pomogao i olakšao tehnologiju, a ljudski faktor i dalje je potreban za upravljanje i implementaciju poboljšanja, posebno za kreativnost', ustvrdio je Pires.

Zanimalo nas je stoga koriste li stručnjaci za kibernetičku sigurnost AI u svome radu. Pires vjeruje da je već koriste, pogotovo za koncepte, no kad je riječ o tehničkim zadacima, kao što su izrada složenijeg koda u Golangu, C, C# ili nekom drugom programskom jeziku, potrebne su, kaže, brojne prilagodbe. 'Nažalost, u našem području postoji mnogo script kiddieja koji žele koristiti AI kao prednost da bi 'prodavali svoj rad'', naglašava.

Upitali smo Piresa i trebamo li se bojati AI alata kao što je WormGPT, a koji koriste kibernetički kriminalci? 'Ne mislim tako, to je samo još jedan alat koji se može koristiti kao napad, kao i mnogi drugi alati što se koriste u distribucijama Linuxa za napade, kao što su Kali Linux i ParrotOs', odgovorio je Pires.

'Ključna je edukacija'

'Važno je imati pregled nad svim okruženjima koja treba zaštititi, a još su važnije pristupne privilegije koje svaki korisnik dobiva u organizaciji. Napadi se događaju samo zato što ti korisnici imaju privilegirane ovlasti za pristup svojim uređajima, pa je granularnost pristupa vrlo važna.

Kako biste znali što trebate obraniti, morate imati vidljivost i pronaći ranjive točke; tako možete povećati razinu sigurnosti. Što se tiče edukacije ljudi, to je izuzetno važno. Moja preporuka bila bi mjesečna akcija i razgovori pomoću raznih aktivnosti i stručnjaka iz industrije koji mogu pomoći u tom poslu', zaključuje Pires.