Nedavno smo imali priliku porazgovarati s hakerom koji je svoje vještine i znanje odlučio usmjeriti u pozitivne, a ne negativne strane računalne sigurnosti. Takve hakere obično se naziva "bijelim hakerima" jer je njihov glavni cilj ukazati na slabosti u računalnim sustavima i pomoći u njihovu ojačavanju.
Charles Henderson simpatični je Amerikanac koji, kad ne hakira automate za kavu u uredu u Teksasu, putuje svijetom i sa svojim timom hakera iz IBM-ova X-Force Red testira računalnu sigurnost IBM-ovih klijenata.
Kako sam kaže, nikad nije bio u napasti da "prijeđe na tamnu stranu" i svoje sposobnosti iskoristi u kriminalne svrhe. Veći mu je užitak (a i prilično je dobro plaćen za to) ukazivati na potencijalne probleme.
Kad pogledate što moj tim radi, mi smo đavolji odvjetnici za računalnu sigurnost. Svi žele poboljšati svoju računalnu i kibernetičku sigurnost, a onda dođemo mi i srušimo ju. Ali rušimo ju s namjerom. Ne želimo ju samo srušiti. Netko će u nekom trenutku probiti njihovu zaštitu. Pitanje je samo hoće li im to javiti ili ne. S nama oni dobiju izvještaj o tome gdje su im slabe točke, pojašnjava Henderson što točno rade.
Upadnete li svaki put?
Ne baš svaki put, ali to ovisi o meti. Bankomati su zanimljiva priča. Još nismo naišli na bankomat u koji nismo upali. Uvijek naiđemo na neki problem. Pitanje je samo koliko je taj problem ozbiljan. U slučaju bankomata - možete li ga natjerati da ispljune novac - vjerojatno. Kad testiramo internetske aplikacije, ispitujemo unose li ispravno vrijednosti, možemo li doći do informacija ili samo poremetiti njihov rad. Računalna sigurnost nije binarna, nego kontinuirana. Ne postoji savršena sigurnost.
Henderson nam je pokazao video na kojem njegov tim hakerski upada u bankomat i izbacuje novac iz bankomata, a da on pri tome nije ni taknuo sam uređaj. Naravno, u tom slučaju imali su dopuštenje banke da testiraju sustav i novac su uredno vratili. No činjenica da su uspjeli pokazuje koliko je, za one koji znaju što rade, zapravo jednostavno tako doći do novca.
Za taj specifični slučaj, uz dopuštenje klijenta, trebalo nam je tjedan dana. Ne mogu ići u detalje što smo napravili, ali nije bilo ni komplicirano ni dugotrajno, pojasnio je Henderson i dodao kako su kriminalci prije znali raznijeti bankomate i pokupiti novac. No onda su otkrili da im je uz hakerski napad pljačkanje bankomata elegantnije, brže i čišće, a isplata mnogo veća. Čak nije ni potrebno ubaciti karticu u bankomat pa da on izbaci novac.
Kriminalci čak ne moraju ni doći do bankomata kako bi podigli novac. Mogu poslati nekoga u njihovo ime i istovremeno napasti desetke ili stotine bankomata. U tom slučaju znate točno koliko novca 'vadite' i koliko novca trebate dobiti, istaknuo je Henderson.
Postoje li neke specifičnosti, ovisno o dijelu svijeta?
Svi su upadi jednaki, ali mogu postojati trendovi u pojedinim dijelovima svijeta. Recimo, prijevare s karticama - u pojedinim zemljama možda će se ciljati kartice s čipovima, možda će na udaru biti zemlje koje koriste manje gotovine, a to može utjecati na bankomate. Kriminalci imaju različite ciljeve, pa je i fokus sigurnosnih stručnjaka različit. No na kraju je glavni faktor to da kriminalci žele novac i odabrat će najlakši put da bi ga se domogli. Ovo nije James Bond ili Austin Powers, gdje vam novac čuvaju morski psi s laserima na glavi. Kriminalci vode posao, zanima ih kako doći do najboljeg povrata uloženog vremena i novca i taj će put odabrati. U pojedinim regijama možete vidjeti određene trendove, ali dobra računalna sigurnost nema trendove.
Što je s globalnim prijetnjama poput WannaCrya? Kako se boriti protiv takvih prijetnji?
Pogledajte što se zapravo krije iza WannaCrya. Zaboravite na trenutak na malware. WannaCry je zapravo iskoristio činjenicu da nije instalirana sigurnosna zakrpa. Kao hakeri, često previše pojednostavljujemo stvari - upadni, uzmi podatke i izađi. Ali kao haker koji to promatra, glavni problem je bio u sigurnosnoj zakrpi. No da pojasnimo i onu kompliciraniju stranu. Prosječna tvrtka ima između nekoliko tisuća i nekoliko milijuna sigurnosnih propusta u svojim sustavima. I pokušavaju ih poredati po CVSS sustavu (common vulnerability scoring system), a to je prije bilo veoma jednostavno jer ste imali samo 50-60 propusta. No kad je taj broj narastao na 100 ili 1000, a da ne govorimo o onima koje imaju milijun, zbog količine sigurnosnih propusta na koje nailazimo danas tvrtke koje se bave pronalaženjem tih propusta samo rangiraju najopasnije. A tvrtkama ne treba sustav koji dodjeljuje bodove određenim propustima, treba im jasna ljestvica najopasnijih. Upravo na tome radimo s našim klijentima, pokzujemo im koja je ranjivost najkritičnija i koju treba prvu rješavati. Naime, oni možda mogu istovremeno rješavati 20-30 ranjivosti, a ako im pokažemo koje su ranjivosti najkritičnije za njih i oni ih počnu rješavati, onda mogu izbjeći situacije kao što je WannaCry i drugi. Ranjivosti popravljaju ovisno o tome koliko je ozbiljna, je li ju već netko iskoristio na drugom mjestu, postoje li alati za iskorištavanje takve ranjivosti. I možete naučiti mnogo iz toga da promatrate što kriminalci rade. Ljudi ne stvaraju 'proizvod' ako ga nitko ne traži. Imali smo mnogo uspjeha upravo s takvim načinom rada. To je jedan od najjeftinijih, a najučinkovitijih načina zaštite tvrtki.
A onda otkrijete da tvrtka još uvijek koristi računala s Windows XP sustavom?
Zapravo, često naiđemo na računala koja i dalje koriste Windows XP, a oni koji ih nadgledaju često se boje dirati ih - jer rade. S tako starom tehnologijom gotovo imate osjećaj da više nitko ne zna kako ona zapravo funkcionira. Postoje sustavi za koje postoji legitimna zabrinutost hoće li se uopće uključiti ako se računalo restarta.
Što se događa kad pronađete ranjivost u nečijem sustavu? Predlažete im daljnje korake?
Da. Povremeno imate klijente koji se tome odupiru. No jedna od prednosti toga što sam haker i što vodim tim hakera jest to što mi ne govorimo kako je nešto problem u teoriji. Često koristimo video kako bismo klijentu pokazali gdje je problem. Kad nekome pokažete video u kojem netko krade njihove podatke ili novac, postaje stvarno. Ta demonstracija pomaže klijentima da shvate koliko je stvar zaista ozbiljna. Vratimo li se na onaj video s bankomatom, kad vam pokažem da uzimam novac s vašeg bankomata a da nisam ubacio karticu u njega, vjerojatno ćete me ozbiljnije shvatiti nego kad vam kažem da koristite zastarjeli operativni sustav na tom bankomatu i da biste ga trebali ažurirati.
Provjerava li tko što su klijenti napravili i jesu li vas poslušali?
Da, imamo drugi tim koji dođe i provjeri što se napravilo. Ne želimo biti u sukobu interesa jer mi ne radimo samu sigurnosnu nadogradnju. Svježi par očiju tu je kako bismo bili sigurni da nam nešto nije promaklo.
U 30 posto slučajeva nakon instalacije zakrpa nešto ne radi kako spada. Znači li to da je sustav i dalje ranjiv? Ne mora biti, istaknuo je Henderson i pojasnio kako im nije u interesu da klijenti samo "zakrpaju rupe", već da implementiraju najbolju sigurnosnu praksu kako bi se "rupe" izbjegle u budućnosti.
Znači li to da su ljudi danas oprezniji nego što su to bili prije?
Mislim da općenito govoreći ljudi bolje razumiju da su sigurnosne prijetnje stvarne, dobro organizirane i da okvirno znaju što napraviti ako do propusta dođe. Ako pogledate situaciju od prije 10 godina, kad su ljudi ignorirali prijetnju i mislili da se to neće dogoditi njima, danas shvaćaju da to nije pitanje hoće li, već kad će se dogoditi. I pripremaju se unaprijed, tako da kad se neželjeni događaji i dogode, znaju kako reagirati. Činjenica da su pripremljeni velik je napredak. Možda to ne izgleda tako jer imamo sve više sigurnosnih propusta, ali zaista postajemo sve bolji u njihovu zakrpavanju.
Pa ipak, ostaje dojam da su "zločesti dečki" uvijek korak ispred "dobrih"...
Morate razumjeti da, iako industrija računalne sigurnosti postaje sve bolja, kriminalci neće reći - pa bilo je zabavno dok je trajalo, idemo sad osnovati bend i svirati po Europi. Činjenica je da oni imaju posao i nastavit će ga prakticirati i prilagođavati se stanju na tržištu. To znači da se i mi moramo prilagoditi. No vidi se dramatično poboljšanje, iako to možda tako ne izgleda izvana. Postali smo bolji u prepoznavanju prijetnji, imamo umjetnu inteligenciju koja nam pomaže da donosimo brže odluke i zadržimo korak s kriminalcima. No problem je što, baš kao što i mi koristimo nove tehnologije, isto rade i oni. Umjetna inteligencija pomaže mnogo više napadu nego obrani. Jer napad treba pronaći samo jednu slabu točku, a obrana mora prepoznati sve potencijalne napade. Zamislite da za osvajanje svjetskog prvenstva morate obraniti baš svaki udarac na gol. To je teško.
