Alen Delić, viši konzultant za informacijsku sigurnost iz tvrtke Diverto, održao je na WinDaysima veoma zanimljivo predavanje s još zanimljivijim naslovom – "7 savjeta za penetriranje".
Iako bi naslov mogao sugerirati svašta, zapravo se radilo o predavanju o socijalnom inženjeringu, odnosno načinima na koje kriminalci i hakeri iskorištavaju slabosti u sustavu i sigurnosti tvrtki i pojedinaca ne bi li došli do ključnih i osjetljivih podataka.
Delić je u nekoliko koraka pokazao kako "penetriranje" rade sigurnosni stručnjaci koji testiraju računalnu, ali i fizičku sigurnost neke tvrtke. No tehnike koje je prezentirao također koriste i hakeri odnosno kriminalci.
Prije svega, određuje se koga će se penetrirati – tko je žrtva, a potom i koji su ciljevi koji se penetracijom žele ostvariti.
Najčešće se radi o pribavljanju novca, strateške prednosti, stvaranju reputacijske štete, hakivizmu i slično. Bez obzira postavljeni cilj, on je najvažniji dio pripreme jer o njemu ujedno i ovisi što će se i kako raditi da bi se taj cilj ostvario.
Delić je pokazao i koliko je jednostavno saznati sve o nekoj tvrtki – od toga tko radi u njoj, na kojim pozicijama, pa do toga koju infrastrukturu koriste i kakva im je zaštita.
U većini slučajeva informacije možete jednostavno pronaći korištenjem internetske tražilice, odnosno Googlea ili Binga. Pronađete kartu područja na kojem se tvrtka nalazi, možda možete i prošetati samom zgradom virtualno, vidite kakva je infrastruktura, ali i koriste li kakve zaštitne mjere, rekao je Delić te dodao: Znate li gdje možete najjednostavnije saznati sve o infrastrukturi državnih institucija? U registru javne nabave, ali i oglasima za posao. Tamo sve piše.
Naglasio je kako je sigurnost jaka samo koliko i najslabija karika, pa hakeri (ali i stručnjaci za sigurnost) uvijek traže upravo tu točku ne bi li lakše upali u sustav.
Iako se često kaže kako su ljudi najslabija karika, zapravo je važno provjeriti i fizički segment, odnosno kako ući u samu zgradu u kojoj se "žrtva" nalazi.
Ponekad je veoma lako doći do informacija. Dovoljno je samo znati kako. Često je dovoljno nazvati telefonom i pitati prava pitanja, rekao je Delić te pojasnio kako nisu samo ljudi najslabija karika, već zbog brzine i pritiska slaba točka znaju biti i internetske odnosno mobilne aplikacije za koje je bilo bitno da budu funkcionalne, a na sigurnost se nije obraćala pozornost.
Internet of Things omogućio je još jedan smjer ulaska jer se radi o gomili senzora i uređaja koji stalno komuniciraju i šalju signale, a često nemaju nikakvu zaštitu, upozorio je Delić.
Opisao je i nekoliko tehnika socijalnog inženjeringa koje se koriste kako bi se došlo do ključnih informacija za penetriranje.
Gotovo nevjerojatno zvuči informacija da se u jednostavnom razgovoru iz ljudi, koji uopće toga nisu svjesni, mogu izvući informacije koje bi hakeru mogle pomoći da upadne u neki sustav. Osobne informacije ljudi, lozinke i druge informacije koje bi trebale biti povjerljive u razgovoru se mogu veoma lako "izvući" iz ljudi, a da oni nisu ni svjesni koliko otkrivaju o sebi i tvrtki u kojoj rade.
Ne mogu li osobno kontaktirati s kime, hakeri (i stručnjaci za sigurnost) okreću se drugim tehnikama poput phishinga, vishinga i lažnog predstavljanja.
Phishing svi znamo što je – navlačenje ljudi da kliknu na link u e-mailu kako bi hakeri saznali lozinke ili dobili pristup njihovim računalima. Vishing je to isto, prikupljanje informacija i dobivanje pristupa, ali preko telefona. Najranjivije su u tom području tajnice jer one otvaraju gomilu e-mailova, ali i, začuđujuće, IT-jevci, koji često ne obraćaju pozornost. Pozivni centri, kojima je glavna zadaća da nam pomognu riješiti neki problem ili pružiti infromaciju, izvrstni su izvori podataka. A onda imamo i lažno predstavljanje, kojim dolazite do podataka ili pristupa prostoru u koji inače ne biste mogli ući, ispričao je Delić te dodao kako je koji put dovoljno dogovoriti lažni poslovni sastanak da dobijete pristup u tvrtku i vidite kako ona izgleda iznutra i tko bi mogao biti "slaba točka".
Kad su jednom podaci prikupljeni, samo je pitanje odabira prave tehnike za ulazak u neki sustav. Ovisno o postavljenom cilju, ponekad je dovoljno pristupiti podacima putem računala, dok u drugim slučajevima hakeri ili kriminalci zaista fizički ulaze u tvrtku i uzimaju ono što im je potrebno.
Iako je Delić pokazao kako se sve može ući, iz perspektive osobe koja se bavi sigurnošću, činjenica je da takve tehnike koriste i osobe koje nemaju baš čiste i poštene namjere.
Pokazao je koliko je jednostavno uz gomilu informacija koje su dostupne na internetu pronaći one ključne, koje mogu osigurati ulazak u neki sustav i ostvarivanje cilja – krađe podataka, ucjene, zarade...
Možda je vrijeme da svi malo bolje razmislimo o jačanju vlastite, ali i sigurnosti tvrtki u kojima radimo. Jer, bolje biti oprezan, nego hakiran, zar ne?