Jedan od zanimljivijih govornika nadolazeće Windays17 konferencije jest 'bijeli haker' Leon Juranić, stručnjak za računalnu sigurnost koji se proslavio nakon što je otkrio kritične propuste u softveru NASA-e. Na Windaysima govorit će o trendovima koji su danas prisutni u hakerskoj zajednici, ciljevima, metodama i tehnikama hakerskih napade te će prikazati tehnike i metode razvoja sigurnosnog propusta.
Razgovarali smo s Leonom o njegovom iskustvu i suradnji s NASA-om, trendovima među hakerima te o stanju računalne sigurnosti u Hrvatskoj.
Hrvatska, ali i svjetska javnost upoznala vas je nakon otkrivanja propusta u NASA-inom softveru. Možete li nam objasniti kako ste otkrili propust i jeste li nastavili suradnju s NASA-om? Osim NASA-e, na kojim ste još većim projektima radili?
Propusti u NASA-inom softveru otkriveni su tijekom sigurnosne analize nekoliko različitih softvera koje proizvodi NASA. U jednome od njih otkrio sam kritične sigurnosne ranjivosti koje bi zlonamjerni napadač mogao iskoristiti za kompromitiranje sustava NASA-e, ali i drugih vladinih organizacija SAD-a, koje također koriste dotični ranjivi softver. Suradnja se protegnula na godinu dana, tijekom koje sam im ja otkrivao sigurnosne ranjivosti, a oni su ih popravljali. U konačnici to je rezultiralo daleko sigurnijim softverom.
Osim NASA-e radio sam na još nekoliko velikih istraživanja kao što je npr. kritična sigurnosna ranjivost koju smo kolega i ja otkrili u velikom broju popularnih routera na koju su bili do prije koju godinu ranjivi deseci milijuna routera diljem svijeta i više od sto različitih proizvođača routera. Jednostavnije rečeno, uz pomoć te ranjivosti netko vam je mogao upasti u vaš router i nadgledati ili modificirati vaš mrežni promet, ukrasti vam lozinke, servirati maliciozne programe i sl.
Na koje načine testirate propuste na web stranicama i računalnim sustavima?
Propuste najčešće testiramo i otkrivamo kombinacijom automatiziranih alata i 'ručne analize' samih sustava. Konkretno propuste na web stranicama testiramo najčešće uz pomoć alata koji je moja tvrtka razvila baš u tu svrhu, dok razne druge sigurnosne ranjivosti u računalnim sustavima otkrivamo ponekad ručno, ponekad automatizirano, ovisi od slučaja do slučaja. Uglavnom se testiranje svodi na potragu za sigurnosnim propustima i ranjivim aplikacijama te iskorištavanju istih, ali ponekad uključuje i otkrivanje tzv. 0day ranjivosti, ranjivosti koje su nepoznate široj javnosti.
Često se o vama govori kao o etičkom ili bijelom hakeru. Možete li nam objasniti što to znači i koja je razlika između bijelih i crnih hakera.
Da, to je 'titula' koju mi je netko nekada davno nadijelio i koja me prati još i danas. Hakeri se uglavnom dijele na dvije vrste – dobronamjerne ili bijele hakere (engl. Whitehat) i zlonamjerne ili crne hakere (engl. Blackhat). Zajedničko im je da uglavnom koriste slične hakerske tehnike, ali u različite svrhe. Bijeli haker će otkriti sigurnosnu ranjivost ili upasti u računalni sustav kako bi pokazao da je sustav ranjiv i da se ranjivost ukloni kako bi sustav bio sigurniji. Crni haker će istu tu ranjivost iskoristiti u tajnosti kako bi sebi omogućio neku korist, bila to krađa informacija, financijska/materijalna korist ili nešto slično.
Nemoralne ponude
Jeste li ikada imali nemoralnih ponuda, odnosno je li vam netko ponudio novac za neki ilegalni posao?
Dešava mi se to na tjednoj bazi. Ima tu relativno benignih pitanja tipa 'bi li mogao provaliti u Facebook mog dečka/cure i koliko to košta' do pitanja oko provaljivanje u e-mail pa sve moguće varijacije mutnih poslova u svim oblicima, ali zna se desiti da me kontaktira i neka možebitno strana vladina organizacija oko prodaje/kupovine tzv. 0day exploitova odnosno programa za provaljivanje od kojih nema zaštite. Naravno, sve to uredno odbijam.
Prije nekoliko godina u Hrvatskoj ste osnovali kompaniju za računalnu sigurnost – koliko vam je bilo teško pronaći kvalitetne zaposlenike i stručnjake za sigurnost, s obzirom da često čitamo o nedostatku IT stručnjaka u našoj zemlji?
Da, kompaniju DefenseCode za računalnu sigurnost osnovao sam prije 7 godina i moram priznati da je bilo poprilično teško pronaći odgovarajuće ljude. Velik problem je iseljavanje ljudi i odlazak trbuhom za kruhom u puno uređenija društva s puno većim primanjima nego što je to slučaj kod nas. Već sam rekao prethodno za neki intervju, u Hrvatskoj ima 10 stručnjaka za računalnu sigurnost koji su svjetske klase.
Od tih deset, pet ih je otišlo raditi u inozemstvo, što znači da je u Hrvatskoj preostalo samo 5 ljudi sposobnih da stvarno nešto naprave po pitanju računalne sigurnosti. Mi smo tom problemu doskočili tako da zapošljavamo vrlo sposobne ljude iz inozemstva.
Prema vašem dosadašnjem iskustvu, kako bi ocijenili razinu računalne sigurnosti u Hrvatskoj – kakva je sigurnost banaka, web trgovina i slično?
Pa mislim da smo nešto ispod prosjeka razvijenijih zemalja kao i u svemu ostalome. Iako se sigurnost i svijest o problemima privatnosti i računalne sigurnosti polako podiže i kod nas, još dobrano kaskamo za svjetskim trendovima. Banke ulažu određena sredstva u sigurnost svojih sustava jer se sada informatizacijom njihovo poslovanje uvelike temelji na računalnim tehnologijama, pa su i sami svjesni rizika. Za web trgovine to ovisi od slučaja do slučaja.
Prema vama, koji su aktualni trendovi među hakerima i cyber kriminalcima? Koja je razlika između hakerskih napada danas i prije desetak godina?
Kada sam se ja počeo baviti računalnom sigurnošću, znači prije nešto manje od 20 godina, hakiranje je bilo hobi, odnosno intelektualno nadmudrivanje sigurnosnih zaštita računalnog sustava. Provaljivalo se iz čistog razloga da bi se dokazalo da se može provaliti u nešto i satisfakcije koja iz toga proizlazi. Danas je provaljivanje u računalne sustave u 90% slučajeva motivirano čisto financijski. Nema više intelektualnog nadmudrivanja, nema više entuzijazma, samo jednostavno - lova. Bila to krađa i preprodaja osjetljivih podataka, razne ucjene, direktne krađe financijskih sredstava, uglavnom, glavni motiv danas je novac.
Koje su najčešće mete napada hakera?
Mete hakera su raznolike i u principu svaki sustav koji je spojen na internet potencijalna je meta hakera. Često su to serveri odnosno poslužitelji, razne web aplikacije, obični računalni korisnici koji surfaju internetom, baze podataka, pametni telefoni pa sve do IoT (engl. Internet Of Things) odnosno razni uređaji koji su spojeni na internet. Evo, prije neki dan je otkriveno da je jedna 'pametna' igračka za odrasle koja spada u IoT uređaje ranjiva na sigurnosne propuste.
Ugroženi i pametni telefoni
Kako ocjenjujete sigurnost pametnih telefona i tableta, koliko su mobilni uređaji na udaru hakera i cyber kriminala?
S obzirom da pametni telefoni i tableti zauzimaju sve veći dio tržišta računalnih sustava i sadržavaju naše privatne podatke samim time postaju sve zanimljiviji i napadačima. Prije par tjedana je na Wikileaksu procurio veliki broj osjetljivih dokumenata iz američke CIA-e, koji opisuju čak 24 različita 0day exploita za Android uređaje. Naime, radi se o 24 različita programa koji su specijalno dizajnirani za provaljivanje u Android uređaje od kojih nema zaštite i za koje javnost ne zna. Isto tako pretpostavljam da i za Appleove uređaje također imaju pozamašan broj tzv. 0day exploitova od kojih nema zaštite.
Danas je sve više uređaja 'pametno' i povezano s internetom, u budućnosti možemo očekivati revoluciju IoT uređaja koja će sigurno predstavljati veliki izazov za sigurnost, a za desetak godina cestama bi mogli voziti automobili kojima će upravljati računala i koji će biti povezani s internetom. Što mislite, koliko će takvi uređaji i automobili biti sigurni, odnosno postoji li šansa da hakeri preuzmu kontrolu nad takvim automobilima?
Nedavno su dvojica američkih hakera demonstrirala kako mogu preko interneta potpuno preuzeti kontrolu nad novim Jeep Cherokee automobilom. Mogli su upravljati njegovim sustavima, ubrzavati ili usporavati auto te kontrolirati različite sustave u autu. Nakon objave velikog broja CIA-inih dokumenata na Wikileaksu, špekuliralo se da CIA ima također slične mogućnosti za potencijalno i neke druge automobile, kako bi vjerojatno mogla izvršavati prave atentate na ljude u automobilima preko interneta bez ikakvih dokaza ostavljenih iza sebe.
Kolika je uloga hakera danas, a kolika će biti u budućnosti ratovanja? Kako se zemlje pripremaju za cyber ratove i na koje načine mogu iskoristiti hakere u 'pravim' ratovima?
Kao što nam dokazuju razni dokumenti objavljeni na Wikileaksu i istupi zviždača kao što je Edward Snowden, danas svaka razvijenija zemlja ima timove hakera uvježbanih za špijunažu i cyber ratovanje. Cyber ratovanje se počelo tretirati kao produžena ruka konvencionalnog ratovanja, pa se i programi (exploitovi) za provaljivanje u računalne sustave tretiraju kao oružje.
Cyber ratovanje se može iskoristiti u svrhu onesposobljavanja neprijateljskih komunikacijskih sustava, otkrivanje položaja neprijatelja i slično. Interesantan je presedan koji je donijela vlada SAD-a da na cyber napade mogu odgovarati konvencionalnim naoružanjem. Znači ako im provalite u neki vitalni računalni sustav i baš nemate sreće, možete kao odgovor očekivati bespilotnu letjelicu koja će vas već idući trenutak poslati u vječna lovišta.