Kad je u pitanju tema koja se vrti oko hakera i hakiranja, kao specifikuma računalne sigurnosti, pažnja javnosti uvijek je na vrhuncu. Ništa manja pažnju pažnju nisu pokazali niti posjetitelji predavanja Leona Juranića, osnivača domaće tvrtke za računalnu sigurnost DefenseCode, još poznatog i kao "Bijelog Hakera", koje je održano u Poreču na tehnološkom dijelu već tradicionalne konferencije WinDays(17) u organizaciji Microsofta Hrvatska. Juranićevo predavanje za temu je imalo moderne hakerske trendove i bilo je među najposjećenijima na konferenciji.
Baš kao što ne miruje niti razvoj tehnologije i softverskih rješenja, ne miruju niti hakeri. Svaki komad softvera koja se danas pojavi, sadrži sigurnosne propuste i to je dobro poznata činjenica stručnjacima poput Juranića, koji je tu činjenicu istaknuo u prvi plan kao jednu od glavnih interesnih točaka hakera i dan danas. Haker jednom kad upadne u sustav kroz navedene propuste, kompromitira taj sustav i informacije na njemu.
Ono što dodatno zabrinjava jest činjenica da cyber-security napadi rastu iz godine u godinu te da se velik broj sigurnosnih incidenata nikad ne otkrije i/ili se ne rješavaju na ispravan način, upozorava Juranić.
Istovremeno raste i broj specijaliziranih i ciljanih hakerskih napada, javnost je otkrila i da postoje hakerski napadi sponzorirani od strane samih država, a u konačnici je i malware doživio procvat, koji još uvijek traje.
Zapanjujuća činjenica jest i da da su čak i moderne aplikacije, upozorava Juranić, ranjive na iste hakerske napade od prije 30 godina! Povrh toga, aplikacije razvijene "in-house" još su ranjivije, jer tu se najčešće vodi računa o rokovima, dok je sigurnost posve nisko na listi prioriteta.
Nadalje, istraživanja su pokazala da više od 86 posto aplikacija ima barem jednu kritičnu sigurnosnu ranjivost, što je podatak kojeg ne treba posebno komentirati. Ako ste pak mislili da ste sigurni na vašem smartphoneu od hakera, Juranić i to demistificira te kaže - "Mobile/smartphone aplikacije također su vrlo ranjive".
Tko su onda najčešće mete?
Kad pričamo o najčešćim metama hakerskih napada, svakako treba započeti s web stranicama i web aplikacijama, a odmah zatim tu su mobilne aplikacije, odnosno smartphone uređaji, upozorava Juranić.
Nadalje, među najčešćim metama su web preglednici i njihove komponente (Java, Flash i slično), email adrese (posebno privitci, phishing, itd.) te takozvani Internet of Things (pametni uređaji svih vrsta).
Naposljetku, naglašava Juranić, imamo i zasebnu kategoriju, a ta su hakerski napadi sponzorirani od stranih država.
Zašto, zašto i opet zašto?
Krenimo nekakvim redom u pojašnjavanju zbog čega su netom navedene stvari najčešće mete hakerskih napada.
Prva stvar kod web stranica i aplikacija je ta da ih danas svatko ima te da je trend takav da je danas manje više sve web orjentirano. Web aplikacije su meta dodatno i zbog činjenice da ih se često radi "in-house" pa se time zanemaruje sigurnosna komponenta. Nadalje, i same mobilne aplikacije često komuniciraju s web backendom, a zadnje, ali ne i najmanje važno, jest i to da se web stranice obično nalaze ispred zaštite Firewalla/IDS-a/IPS-a, kaže Juranić.
Kad govorimo o mobilnim aplikacijama kao metama, one su primamljive hakerima jer su široko raširene te svakim danom sve moćnije i moćnije (internet bankarstvo, nadzor kućne sigurnosti...). Ono što svakako nije dobro kod mobilnih aplikacija i na što Juranić upozorava kao slabost jest i to da se najčešće razvijaju bez sigurnosnih postavki u čitavoj priči pa su sukladno s tim i jednostavne za hakiranje, čega developeri često nisu niti svjesni. Postoje slučajevi u kojima se čak i namjerno radi "curenje informacija" nekoj trećoj strani, a da mi kao korisnici toga nismo niti svjesni, ističe Juranić. U konačnici i gledano iz perspektive prošlosti, ranjivosti koje čitavo vrijeme muče web aplikacije, sad muče i mobilne aplikacije.
Hakeri isto tako često napadaju i same web preglednike. Juranić ističe da je to napad na krajnjeg korisnika. "Moglo bi se reći da se radi o borbi licem u lice", slikovito opisuje Juranić. S druge strane, web preglednici su iznimno kompleksan komad softvarea, a što je softver kompleksniji, to je veća šansa za sigurnosnim ranjivostima. Ako je riječ o napadu ransomwareom na web preglednike, onda je u pitanju kompromitiranje kompletne računalne mreže, naglašava Juranić.
Internet of Things (IoT), relativno je nov pojam i odnosi se na sve uređaje koji su na neki način povezani s internetom. Sigurnosno gledano, IoT uređaji su uglavnom slabo zaštićeni, naglašava Juranić. Ono što iznenađuje u svemu tome jest širina kompromitiranosti do koje može doći hakerskim napadom na IoT uređaje, primjerice, zbog hakiranog pametnog termostata, može biti ugrožena čitava mreža. Još jedan, noviji primjer jest i sigurnosna ranjivost u pametnoj "igrački za odrasle" s kamerom. Vjerujem da dalje ne treba trošiti retke o tome.
Kategorija za sebe
Hakerski napadi sponzorirani od strane država doista su kategorija za sebe, a mete su im druge države ili organizacije od određenog interesa. Javnost je za te vrste napada doznala uglavnom putem portala WikiLeaks ili od NSA zviždača Edwarda Snowdena. Wikileaks je nedavno objavio tajne CIA-ine dokumente u kojima je otkriven čitav arsenal hakerskih alata koji ciljaju sigurnosnu ranjivost aplikacija i koje koristi CIA.
No čak i unutar posebne kategorije postoji posebnost, a to su takozvani 0day hakerski napadi, koji iskorištavaju čitavu lepezu ranjivosti svega i svačega na webu, od servera do ranije spomenutih IoT uređaja.
Dio eksploitova koje koristi NSA u svojem arsenalu dostupan je i na GitHubu. "Bilo tko se može spojiti na to, skinuti te stvari i igrati se hakera. Čak i moja baba može postati haker uz pomoć ovih eksploitova", sarkastičan je Juranić.
Kako, kako i kako?
Postoji bezbroj načina napada na aplikacije, web stranice, mobilne aplikacije, mrežnu opremu i razne hardverske uređaje, napominje Juranić. "Da bi ušao u sustav, haker zapravo treba otkriti samo jednu sigurnosnu ranjivost u IT infrastrukturi. S druge strane, da biste se zaštitili, morate ukloniti sve ranjive točke s vaše IT infrastrukture", kaže Juranić.
To je nezahvalna pozicija, u kojoj su hakeri već na početku u ogromnoj prednosti.
Horror scenarij - 0day (Zero Day) hakerski napad
Takozvani 0day eksploit predstavlja softver za iskorištavanje ranjivosti za koje ne postoji zakrpa i koji nije dostupan široj javnosti (na sreću). Zbog te činjenice, napominje Juranić, crno tržište tog specifičnog softvera vrlo je dinamično. Kupci su obično vladine organizacije ili kriminalne skupine. "Neki bi zlobnici rekli - ista stvar", kaže u šali Juranić.
Vrlo je zanimljiv podatak i da 0day hakerski softver na crnom tržištu može dosegnuti cijenu i više od milijun dolara.
Među najčešćim oblicima napada na ranjivosti aplikacija su SQL Injection, Command Execution, File Upload, File Disclosure, Predictable Resource, Cross Site Scripting, itd.
Alati koji čine profiće
Stvari su otišle toliko daleko, da je hakerima na raspolaganju i moćan alat, takzvani preglednik za hakere, odnosno Web Security Scanner. Pomoću njega hakeri mogu skenirati aplikacije te dobiti listu svih potencijalnih ranjivosti, uredno posloženu po razinama ranjivosti i u prepoznatljivim bojama, crvena od kojih, naravno, predstavlja kritičnu ranjivost te tim i najbolju ulaznu točku za napad.
No, ne treba očajavati, jer i developeri imaju vlastiti alat pomoću kojeg mogu seknirati kod svoje aplikacije ili web stranice, a taj će im program izlistati sve potencijalne kritične sigurnosne slabosti, kao i one manje kritične. Sve što developer treba napraviti nakon toga jest pokrpati ih i stvar je uvelike riješena.
Čemu panika? Nema panike
Čak ako je pojedini korisnik ili tvrtka meta neke vlade ili vladine organizacije, odnosno hakera, postoje načini zaštite, kaže Juranić. Prvo što pomaže kod krajnjeg korisnika je redovita nadogradnja softvera (najnoviji patch), tu je zatim provođenje testiranja sigurnosti aplikacija, mreža, servera, itd., istim alatom kojeg smo netom spomenuli za developere.
Pomoći će i korištenje softvera za otkrivanje ranjivosti "in-house", dok na odmet neće biti niti edukacija zaposlenika o navedenim stvarima, napominje Juranić.
Naposljetku, praćenje sigurnosnih trendova, nadgledanje sustava i adekvatna zaštita istog, kao i aktivno promatranje log zapisa, isto tako uvelike pomažu u zaštiti i prevenciji hakerskih napada.
Zašto? Zato jer ni hakeri ne sjede na rukama.