Kad se na jednom mjestu okupi više od 100 stručnjaka za različite aspekte kibernetičke sigurnosti, znate da će predavanja biti i više nego zanimljiva. Upravo se to dogodilo početkom ožujka u Sveučilišnom računskom centru Sveučilišta u Zagrebu (Srce), gdje je bila održana konferencija BSidesZagreb. Radi se o konferenciji koja je predložak za održavanje konferencija na temu IKT sigurnosti koje se održavaju na globalnoj razini, a ovo je prvi put da je održana u Zagrebu.
Stručnjaci iz područja računalne sigurnosti imali su priliku u opuštenoj atmosferi saznati nešto novo i razmijeniti iskustva o temama kao što su vektori napada i uobičajene tehnike koje napadači koriste za iskorištavanje najnovijih sigurnosnih propusta, način izrade malicioznih programa i iskorištavanje Web3 tehnologija. Također bilo je govora i o mnogim drugim temama iz područja obrambene i ofenzivne sigurnosti, sigurnosti aplikacija i weba te reakcije na incidente.
Iskoristili smo ovu priliku i o računalnoj sigurnosti, ali i sigurnosti na internetu općenito, porazgovarali s Matkom Antunom Bekavcem. Iako mu je glavni fokus e-trgovina, ovaj programer bavi se i kibernetičkom sigurnošću. Kako sam kaže, uvijek pazi na potencijalne prijetnje i traži načine da ih odvrati. Prvi dodir s kibernetičkom sigurnošću imao je dok je radio kao vojni obavještajni časnik, a "ljubav" se nastavila i nakon povratka u civilni život.
Možete li nam ukratko reći koje su najveće sigurnosne prijetnje u internetskoj trgovini - kako za trgovce tako i za kupce?
Za korisnike su trenutno najveći problem krađe identiteta. I sam sam bio žrtva jedne takve krađe, nije mi počinjena velika šteta jer često koristim jednokratne kartice za online plaćanja. To je ujedno i moj savjet (jedan od) kako se zaštititi. Do krađe identiteta, brojeva kartica i ostalih osobnih podataka se obično dolazi preko phishing mailova koji onda vode na neku stranicu gdje upišete svoje podatke. Napomenuo bih da su phishing mailovi sve bolji i da neki izgledaju jako uvjerljivo. Izdvojio bih jedan mail koji je nedavno išao, a taj se predstavljao kao da dolazi iz Ministarstva gospodarstva i održivog razvoja i da Ministarstvo dijeli vaučere kao jednokratnu pomoć zbog povećanja cijene energenata.
Tu je bilo nekoliko stvari koje signaliziraju da nešto ne valja:
1) Za vaučere se morate prijaviti, nikad ne ide automatizmom
2) Ministarstva moraju imati .hr domenu, ovaj je imao .com
3) Gramatičke greške
Na sami link nisam klikao, ali pretpostavljam da bi me tražio CVV broj, kao što ih većina traži.
Što se tiče vlasnika webshopova, tu ima više prijetnji jer su "isplativija" meta.
Krađe podataka - baze kupaca, brojevi kartica, DDoS napadi, korištenje mailova webshopa za phishing kampanje, ...
Moja preporuka za trgovce je uvijek: Redovita ažuriranja, redoviti backup i redovit malware scan rješava preko 90 % problema. Nikada nećete biti na 100 % ali uz kvalitetnog partnera iz područja developmenta ćete se jako približiti tome.
Imate li kakve praktične savjete kako da se kupci zaštite? Mogu li se uopće zaštititi?
Nikad ne možemo biti 100 % sigurni, no možemo poduzeti korake kako bismo bili sigurniji. Stvari koje su najčešće signali nečega sumnjivog su:
1. na webu nema podataka o tvrtki - ili su ispisani lažni podaci (proguglajte tvrtku prije kupovine).
2. ne postoji nikakav social proof (društveni profili, autentične recenzije, online spomeni i slično).
3. ne postoji nikakav trustmark - udruga eCommerce Hrvatska izdaje Trusted Shop certifikat svim trgovcima koji su zadovoljili kodeks od 10 pravila po kojem se provjerava svaki shop koji zatraži certifikaciju.
4. cijena je sumnjivo niska - na ovo se navuče najviše ljudi, pogotovo u periodu prije Božića kada počinju Black Friday i ostali popusti.
5. web ima puno gramatičkih grešaka (najčešće automatski prijevod koji služi za phishing odnosno "pecanje" podataka tuđih kreditnih kartica).
Udruga eCommerce Hrvatska je jako dobar partner pri edukaciji i trgovaca i kupaca. Svakako provjerite shopove i kroz https://check.ecommerce.hr/
I zadnje - vjerujte svom instinktu. Ako ima četiri noge, maše repom i laje - vjerojatno je pas. Ista stvar je s nepouzdanim mailovima i stranicama. Ukoliko vam je prvi instinkt da je sumnjivo - šanse su 99 % da je.
Imate bogato iskustvo u kibernetičkoj sigurnosti. Što je po vama trenutno najveći problem u kibernetičkom svijetu? Vidjeli smo da je s dolaskom pandemije porastao broj phishing prijevara, e-mail scamova, krađa osobnih podataka, ali i ransomware kampanji. Što nas čeka u budućnosti?
Privatnost i sigurnost podataka je po meni najveći problem. I tu ne mislim na cookies. Istina je da su se internetske prijevare udvostručile od početka 2020, što je i logično s obzirom da nas je pandemijski period zalijepio više za ekrane, a tih se navika teško riješiti. Što nas čeka, nitko ne zna zasigurno. Statistički gledano, čeka nas još veći rast prijetnji ali isto tako nas čeka i razvoj naprednijih sustava zaštite. AI je buzzword godine, tako da očekujem puno ugroza izrađenih uz pomoć istog ali isto tako i sustava zaštite.
Matko Antun Bekavac (Foto: BSidesZagreb/Srce)
Na BSidesZagreb govorili ste o fileless malwareu, odnosno zlonamjernim programima koji inficiraju uređaje bez instalacije dodatnih datoteka. Možete li nam reći nešto više o ovakvim napadima i kako ih na vrijeme prepoznati?
Ovakav tip napada se izvršava bez instalacije i zbog toga ga tradicionalni sustavi slabo detektiraju. Ovakav tip malwarea se "zakači" za postojeće programe i procese i izvršava se u pozadini maskiran kao legitiman proces.
Najčešće se ovi napadi ciljano šalju visokoprofilnim metama no, danas su informacije o tome kako izraditi ovakav tip malwarea lako dostupne svima koji imaju dovoljno motivacije da provedu takav napad.
Prepoznavanje ovog tipa napada se svodi na praćenje mrežne aktivnosti, praćenje ponašanja sustava, analize memorije i korištenje EDR (endpoint detection and response) rješenja. U osnovi - sve se svodi na analizu procesa i primjećivanje anomalija u istima.
Dobra rješenja za prevenciju ovakvih napada su:
1) Korištenje korisničkih računa bez admin prava
2) Segmentacija mreže
3) Edukacija korisnika
4) Redovna ažuriranja sustava
Posljednjih se godina sve veća sredstva ulažu u kibernetičku sigurnost. Čini se kao da su i tvrtke, ali i privatni korisnici shvatili da se bez toga ne može. Što je po vašem mišljenju, najvažnija komponenta kibernetičke sigurnosti u nekoj tvrtki odnosno na što bi prosječan građanin trebao obratiti pozornost da poboljša svoju kibernetičku sigurnost?
Najvažniji faktor je edukacija korisnika, makar i osnovna.
Upravo zato sam se priključio startupu u sklopu Nuqleus-a, FER-ovog Deep-Tech Venture Builder-a. Startup vodi kolega Ivan Kovačević, doktorand na Fakultetu elektrotehnike i računarstva. Ostatak tima je sastavljen od stručnjaka i entuzijasta za cyber sigurnost te zajedno radimo na rješenju koje će poboljšati provođenje edukacija za djelovanje u području cyber sigurnosti. Compliance nije dovoljan, potrebna je proaktivnost i tu vidimo prostor za ponuditi kvalitetne obuke redovitom provedbom kibernetičkih vježbi, u kojima uprava i zaposlenici doživljavaju kako je to biti pod napadom, slično kao što se u protupožarnim vježbama vježba reakciju u slučaju požara. Uspijevamo značajno smanjiti cijenu pripreme takvih vježbi pa se nadamo da će se u tom slučaju i češće provoditi.
Uz to, u suradnji s FER-om smo se prijavili za pružanje usluga u sferi sigurnosti u cyber prostoru u sklopu Poziva „Vaučeri za digitalizaciju“ te pozivamo sve zainteresirane tvrtke da se prijave za dobivanje vaučera kako bi si osigurali kvalitetnu analizu, edukaciju ali i uslugu poboljšanja sigurnosti.
Za kraj, iz vašeg iskustva - koje su najveće pogreške u kibernetičkoj sigurnosti koje ljudi rade?
Puno ih je, ali najveća greška je imati stav: "Ma neće mene" ili "Kad se dogodi, onda ćemo se sekirat' ".
Većina ljudi nikad u životu neće doživjeti neku veliku neugodnost isto kao ni tešku prometnu nesreću. No, kad ulazimo u automobil najčešće prvo vežemo pojas. Isto bi trebalo biti i sa ovim tipom sigurnosti.