Szukanie wydruków maili w śmietniku, podrzucanie zainfekowanego dysku na parkingu firmowym czy próba zdobycia hasła do Wi-Fi od recepcjonistki, podając się za nowego pracownika – to tylko kilka przykładów zadań, które wykonują na co dzień w pracy.
Pentesterzy, bo o nich mowa, to - w uproszczeniu - hakerzy działający „po jasnej stronie mocy”. Ich zadaniem jest wyszukiwanie luk i błędów w zabezpieczeniach systemów informatycznych firm. Muszą je zidentyfikować, zanim zrobią to cyberprzestępcy.
Leszek Tasiemski, szef poznańskiego oddziału Cyber Security Service F-Secure fot. F-Secure
Włamanie na życzenie
Miałem okazję odwiedzić jedną z „jaskiń" etycznych hakerów, czyli poznański oddział Cyber Security Services firmy F-Secure. To grupa specjalistów, która świadczy usługi doradztwa w zakresie cyberbezpieczeństwa i przeprowadza testy penetracyjne, czyli kontrolowane ataki mające na celu poprawienie poziomu zabezpieczeń w firmach.
Jak wyglądają takie testy? – Próbujemy zdalnie włamać się do systemu, a wielokrotnie nawet fizycznie dostać się do budynku – to wszystko w celu wykazania braków w zabezpieczeniach – mówi Leszek Tasiemski, lider poznańskiej jednostki F-Secure.
Pierwszy etap testu penetracyjnego to tzw. rozpoznanie. Pentesterzy starają się zdobyć informacje, które pozwolą im stworzyć alibi i fizycznie lub zdalenie włamać się do firmowej sieci. W tym celu korzystają z wszelkich publicznie dostępnych źródeł informacji, takich jak portale społecznościowe, wyszukiwarki czy plany budynku.
Następnie przechodzą do drugiego etapu, którym jest identyfikacja celu. To już bardziej aktywne działania,, takie jak skanowanie portów sieciowych, telefon do pracownika firmy, czy też zastawienie przynęty w postaci e-maila ze złośliwym oprogramowaniem
Zadzwoniliśmy do oddziału firmy "X" w jednym mieście. Poprosiliśmy o numer telefonu do działu wsparcia. Następnie – korzystając ze specjalnego oprogramowania – podszyliśmy się pod ten numer i zadzwoniliśmy do innego oddziału tej samej firmy. W czasie rozmowy telefonicznej powiedzieliśmy, że otrzymujemy jakieś alerty dotyczące nieprawidłowego działania drukarki. Poinformowaliśmy, że wysyłamy na miejsce naszego serwisanta. Dzięki temu, nasz konsultant bez problemu dostał się do budynku firmy i otrzymał fizyczny dostęp do wszystkich znajdujących się tam urządzeń.
- wspomina Jarosław Kamiński, Principal Security Consultant w poznańskim oddziale F-Secure Cyber Security Services.
Kolejne etapy klasycznego testu penteracyjnego to tzw. exploitacja, czyli przeniknięcie do wewnętrznej sieci firmy, próba zdobycia dostępu do kolejnych systemów (tzw. post-exploitacja) oraz wydobycie poszukiwanych informacji (ekstrakcja).
Ostatnim, a zarazem kluczowym etapem, jest raportowanie. Pentesterzy przekazują swojemu klientowi informacje na temat luk i innych problemów w zabezpieczeniach, które w konsekwencji doprowadziły do skutecznego ataku i wydobycia danych.
Niektórzy reagują zaskoczeniem, inni niedowierzaniem, a pewna grupa nie jest zdziwiona, bo poddaje się kontrolowanemu atakowi kolejny raz. Takie testy warto ponawiać, bo bezpieczeństwo nie jest dane raz na zawsze.
– podkreśla Leszek Tasiemski.
Cyber Security Service F-Secure fot. Daniel Maikowski
Czuły punkt
Jak się okazuje, w przypadku wielu firm, z którymi współpracują pentesterzy, największym problemem nie są swcale kiepskie zabezpieczenia, ale ludzie.
– Technologia nie zawsze jest w stanie ustrzec nas przed niebezpieczeństwem i powinna raczej pełnić funkcję wspomagającą ochronę – podkreśla Tasiemski. Cyberprzestępcy ciągle doskonalą umiejętności socjotechniczne, aby przechytrzyć osoby zatrudnione w firmach – dodaje.
Popularnym przykładem zastosowania socjotechniki w atakch hakerskich jest phishing, czyli wysyłanie sfałszowanych wiadomości i podszywanie się pod osobę lub instytucję, w celu wyłudzenia określonych informacji - np. danych osobowych czy haseł.
W czasie jednego z testów, eksperci rozesłali sfałszowany e-mail udający wiadomość z serwisu LinkedIn, żeby sprawdzić, ilu pracowników kliknie w link podany w mailu. Wynik był zatrważający: w link kliknęło aż 52 proc. osób. W innym teście pentesterzy wysłali e-mail prowadzący do sfałszowanego portalu. W tym przypadku w link kliknęło 26 proc. pracowników, a 13 proc. zalogowało się na sfałszowanej stronie, podając swoje hasło.
Phishing cieszy się bardzo wysoką skutecznością podczas kontrolowanych ataków, które przeprowadzamy w przedsiębiorstwach. Pracownicy najczęściej nie spodziewają się, że e-mail, który dostają lub witryna, z której powszechnie korzystają, mogą być sfałszowane.
– mówi Leszek Tasiemski.
Cyber Security Service F-Secure fot. F-Secure
Czysta kartoteka
Choć mogłoby się wydawać, że idealnym kandydatem na pentestera jest osoba z hakerską przeszłością i doświadczeniem, to jednak większość firm zajmujących się tą działalnością podchodzi do tego tematu bardzo rygorystycznie.
Wszyscy pracownicy mają „czystą przeszłość” i niezmiernie twardy kręgosłup moralny – jest to dla nas bardzo istotne, ponieważ musimy ufać ludziom, którzy mają dostęp do bardzo wartościowych informacji. Nie akceptujemy nawet najlepszych hakerów, którzy mieli w przeszłości coś na sumieniu
– tłumaczy Leszek Tasiemski.
Obecnie w poznańskim oddziale F-Secure pracuje już ponad 50 osób. Są to zarówno etyczni hakerzy, programiści bezpieczeństwa, jak również analitycy.
W swojej pracy korzystają z wielu zaawansowanych narzędzi, którym miałem okazję przyjrzeć się z bliska. Podstawowym narzędziem pracy pentesterów jest Radar, czyli skaner systemów informatycznych, który znajduje czułe punkty w zabezpieczeniach serwerów, domen czy też urządzeń sieciowych.
Równie interesujący jest Riddler, czyli "Google na sterydach". Riddler działa na podobnej zasadzie, co wyszukiwarka, ale różni się od niej w dwóch kwestiach. Przede wszystkim, pozwala nam zaglądac w miejsca, do których Google nie dociera. Po drugie - umożliwia odnalezienie powiązanych ze sobą adresów IP i domen internetowych.
Źródła ataków hakerskich na Polskę fot. F-Secure
Wykrycie ataku w 30 sekund
Poznański zespół Cyber Security Service zajmuje się jednak nie tylko kontrolowanymi atakami hakerskimi, ale również aktywną ochroną swoich klientów.
Gdy u naszego klienta wydarzy się incydent, staramy się dociec, w jaki sposób atakujący dostali się do systemu, co zrobili i od jak dawna mają dostęp. W niektórych przypadkach udaje się wytropić cyberprzestępców i postawić ich przed sądem
– podkreśla Leszek Tasiemski.
Do ochrony wykorzystywany jest system Rapid Detection Center, działający w oparciu o elementy sztucznej inteligencji. Dzięki niemu, czas powiadomienia klienta o ataku został skrócony do zaledwie 30 minut. RDC działa na podobnych zasadach, co system alarmowy w budynku, w którym czujniki powiadamiają o pożarze. Grupa analityków nadzoruje sieć przez całą dobę i w razie próby ataku, natychmiast alarmuje klienta.
