Licencja na cyberbezpieczeństwo – odwiedzamy poznański oddział F-Secure
Cyberataki na firmy, przedsiębiorstwa, instytucje są codziennością. Ich zwalczaniem zajmują się takie firmy jak F-Secure. Sprawdzamy, jak wygląda ich praca.
Jak zabezpieczyć się przed cyberzagrożeniami? To pytanie spędza sen z powiek każdemu specjaliście od bezpieczeństwa, szczególnie w firmach, czy instytucjach, które są bardziej narażone na takie incydenty. Tam każde naruszenie integralności systemów oznacza nie tylko olbrzymie koszty, utratę reputacji ale nieraz stanowi szersze zagrożenie.
Z pomocą w takich sytuacjach przychodzą takie firmy jak F-Secure, których działalność skupia się na nieustannym monitorowaniu systemów, zapobieganiu atakom, radzeniu sobie ze skutkami ataków, a także testowaniu bezpieczeństwa i skuteczności zabezpieczeń. Kluczową rolę w tym procesie odgrywają pentesterzy, czyli specjaliści, których można określić mianem etycznych hakerów. Przeprowadzają oni kontrolowane ataki na swoich klientów (są tą najczęściej duże przedsiębiorstwa), a celem jest wykazanie słabych punktów ochrony.
Na kłopoty – pentester
Czym dokładnie zajmuje się pentester? Można to określić w ten sposób – szukaniem dziury w całym. Sposób na to jest wiele. Szukanie wydruków maili w śmietnikach, podrzucanie zainfekowanego pendrive’a na parkingu firmowym czy próba zdobycia hasła do sieci bezprzewodowej od recepcjonistki, podając się za nowego pracownika – to tylko kilka przykładów zadań, które wykonują na co dzień w pracy. Zdarza im się również wchodzić do budynku w przebraniu elektryków lub udawać dziennikarzy kierujących się na konferencję prasową. Stary, porzucony dysk twardy czy pozostawiona korespondencja mogą umożliwić przeprowadzenie ataku.
Żeby lepiej to sobie wyobrazić, warto obejrzeć poniższy film.
Wygląda jak zwiastun hollywoodzkiej produkcji? Rozwieję Wasze wątpliwości. Scenariusz powstał w oparciu o prawdziwe historie i sytuacji, z jakimi spotkali się pentesterzy w ciągu ostatnich lat. Co ciekawe, w Poznaniu ma swoją siedzibę wysoce wyspecjalizowana grupa zajmująca się zwalczaniem cyberzagrożeń.
Czasami gramy policjantów, czasami złodziei – zawsze po dobrej stronie. Kiedy gramy złodziei, to wcielamy się w rolę hakerów na zlecenie naszych klientów. Próbujemy zdalnie włamać się do systemu, a wielokrotnie nawet fizycznie dostać się do budynku – to wszystko w celu wykazania braków w zabezpieczeniach. Następnie prezentujemy raport z tego, co udało nam się osiągnąć i wraz z klientem pracujemy nad poprawieniem poziomu ochrony - mówi Leszek Tasiemski, lider poznańskiej jednostki F-Secure.
Kiedy gramy policjantów, to ścigamy hakerów. Gdy u naszego klienta wydarzy się incydent, staramy się dociec, w jaki sposób atakujący dostali się do systemu, co zrobili i od jak dawna mają dostęp. W niektórych przypadkach udaje się wytropić cyberprzestępców i postawić ich przed sądem - dodaje.
Z jakich narzędzi korzystają pentesterzy?
Jest ich całe mnóstwo. Większość z nich opracowywana jest w Finlandii oraz właśnie w Poznaniu. Najnowszym osiągnięciem jest system Rapid Detection Service, który opiera się na współpracy maszyny z człowiekiem. Wykorzystując elementy sztucznej inteligencji, jest w stanie skrócić czas powiadomienia klienta o cyberataku z 200 dni do zaledwie 30 minut. Jego działanie jest zbliżone do systemu alarmowego w budynku wyposażonym w czujniki powiadamiające o incydencie.
Grupa analityków nadzoruje zdarzenia przez całą dobę i w razie wystąpienia ataku oraz po jego weryfikacji, alarmuje klienta. Kolejnym krokiem może być wizyta konsultanta wyspecjalizowanego w informatyce śledczej, który będzie w stanie opanować sytuację i zabezpieczyć dowody.
Kolejne narzędzie to F-Secure Radar – skaner systemów informatycznych wyszukujący podatności, który automatycznie znajduje czułe punkty w zabezpieczeniach serwerów, domen czy urządzeń sieciowych.
Wśród autorskich rozwiązań warto też wspomnieć o analizie wpisów na Twitterze. To także jest ważny aspekt, z tego względu, że hakerzy potrafią chwalić się dokonanymi atakami. Dlatego analiza twittów, fraz i słów kluczowych potrafi pokazać, że jakaś instytucja (np. bank) mogła zostać zaatakowana. Możliwe jest analizowanie do 4000 wpisów na godzinę, co potrafi wizualizować pojawiające się zagrożenia.
System analizy pokazuje adresy IP, które hosty zostały zaatakowane, a także pokazuje botnety (zainfekowane komputery, urządzenia - także mobilne) biorące udział w ataku. Przykładem może być zainstalowany na komputerze malware, który kontaktuje się z konkretnym kontem na Twitterze, a dzięki analizie aktywności użytkownika, jest w stanie określić, kiedy korzysta on z komputera, a kiedy nie i w odpowiednim momencie się uaktywnić. Wówczas infekuje kolejne komputery albo używa jego mocy obliczeniowej do innych celów (np. bitcoinów).
W przyszłości (to już się powoli dzieje) infekowane są także smart rzeczy (internet rzeczy), które podłączone do sieci mogą stać się narzędziami ataków. Był znany przypadek zhakowania pompy insulinowej (w ostatecznym razie można byłoby zdalnie zabić podłączonego do niej pacjenta). Problem dotyczy więc praktycznie wszystkiego, co jest podłączone do internetu.
Jeszcze jednym z narzędzi stosowanym w pracy pentesterów jest Riddler, nazywany „Googlem na sterydach”. Działa on podobnie do wyszukiwarki internetowej, ale różni się od niej w dwóch zasadniczych kwestiach. Po pierwsze, pozwala zaglądać w miejsca, do których nie dociera zwykła wyszukiwarka, a po drugie, nie kieruje się popularnością stron i umożliwia odnalezienie powiązanych z nimi adresów IP i domen, aby oszacować powierzchnię ataku.
Na koniec trzeba jeszcze wspomnieć o tzw. Honeypotach. Czym one są? To serwery, będące przynętą dla cyberprzestępców. Udają łatwy cel (np. bazy danych), a w rzeczywistości są podstawione i służą do rozpoznania tego, w jaki sposób hakerzy próbują się włamywać. Większość ataków przeprowadzają automaty, ale uzdolniony haker może zorientować się, że jego cel ataku jest honeypotem. W większości przypadków zdąży on jednak wgrać już swoje narzędzia. Honeypot będzie więc dla niego „spalony”, ale z drugiej strony, haker „spali” w ten sposób swoje narzędzia. W ten sposób zbierane są także próbki malware.
Jest kilkadziesiąt takich obiektów rozmieszczonych na całym świecie.
Teoria a praktyka
Nawet jednak najlepsze zabezpieczenia, najnowsze technologie i najbardziej zaawansowane rozwiązania, nie są w stanie zapewnić stuprocentowego bezpieczeństwa.
Jak mówi Leszek Tasiemski – Technologia nie zawsze jest w stanie ustrzec nas przed niebezpieczeństwem i powinna raczej pełnić funkcję wspomagającą ochronę. Cyberprzestępcy ciągle doskonalą umiejętności socjotechniczne, aby przechytrzyć osoby zatrudnione w firmach. Zapewnianie pracowników o tym, że są bezpieczni, jest działaniem na niekorzyść, bo może prowadzić do uśpienia ich czujności, a na to właśnie liczą hakerzy.
Jako przykład, Tasiemski podaje zastosowanie socjotechnik. Jedną z najskuteczniejszych jest phishing, czyli wysyłanie sfałszowanych wiadomości i podszywanie się pod osobę lub instytucję, w celu wyłudzenia pożądanych informacji.
Phishing cieszy się bardzo wysoką skutecznością podczas kontrolowanych ataków, które przeprowadzamy w przedsiębiorstwach. Pracownicy najczęściej nie spodziewają się, że e-mail, który dostają lub witryna, z której powszechnie korzystają, mogą być sfałszowane – mówi Leszek Tasiemski.
Na dowód przedstawia dane z jednego z ostatnich kontrolowanych ataków, w którego trakcie eksperci z F-Secure rozesłali sfałszowany mail udający wiadomość z serwisu LinkedIn, aby sprawdzić, ilu pracowników kliknie w podany w mailu link. Wynik był zatrważający, bo kliknęło aż 52% osób. W innym eksperymencie grupa CSS stworzyła mail prowadzący do sfałszowanego portalu. W tym przypadku w link kliknęło 26% osób, a 13% zalogowało się na sfałszowanej stronie, używając swoich danych do logowania.
To tylko potwierdza skalę zagrożeń, z jakimi muszą mierzyć się specjaliści od bezpieczeństwa. Kontrolowane ataki opierają się na serii testów zaprojektowanych, by wykazać, co dana firma robi dobrze, a co źle w zakresie bezpieczeństwa. Działania sprawdzają, czy przedsiębiorstwo odpowiednio wykrywa i odpowiada na symulowane ataki, których celem jest wykradanie danych finansowych, własności intelektualnej czy przejęcie kontroli nad infrastrukturą sieciową.
Pentesty najczęściej zaskakują firmy, obnażając, w jak wielkim stopniu są one narażone na ataki. Przekonanie przedsiębiorstw o ich bezpieczeństwie najczęściej zgoła różni się od faktycznego poziomu ochrony i tego, co dostrzegają cyberprzestępcy. Testy wykazują całą powierzchnię ataku, czyli newralgiczne punkty, które mogą stanowić cel hakerów – nie tylko w cyfrowym, ale również w fizycznym wydaniu.
Wiele firm nie spodziewa się tego, że uzyskamy dostęp fizycznie, wkradając się do budynku. Na dodatek często jest to zaskakująco proste zadanie. Wystarczy pracownicza odblaskowa kamizelka bezpieczeństwa, która działa lepiej niż peleryna niewidka rodem z Harry’ego Pottera – podsumowuje Tasiemski.
Każda minuta pracy ekspertów z F-Secure jest na wagę złota, bo potencjalne ataki mogą narazić firmy nie tylko na ogromne straty pieniędzy, ale także na utratę reputacji.
Rozwój technologii jest tak szybki, że kwestia bezpieczeństwa za nim nie nadąża i pozostaje w tyle. Oczywiście największymi beneficjentami tego pędzącego rozwoju są cyberprzestępcy. Wystarczy jedno źle skonfigurowane urządzenie, by uzyskać dostęp do firmy – mówi Leszek Tasiemski.
Najczęściej po przeprowadzeniu kontrolowanego ataku prezesi otwierają oczy i zdają sobie sprawę, że ryzyko jest realne. W grę wchodzą bowiem kluczowe elementy funkcjonowania biznesu takie jak bazy danych projektów inżynierskich, numery kart kredytowych czy konta klientów.
Niektórzy reagują zaskoczeniem, inni niedowierzaniem, a pewna grupa nie jest zdziwiona, bo poddaje się kontrolowanemu atakowi kolejny raz. Takie testy warto ponawiać, ponieważ bezpieczeństwo nie jest dane raz na zawsze – podsumowuje Leszek Tasiemski.
Komentarze
3E może rodak się uszczelnił przed rodakiem.
F-Secura zawsze mi się kojarzyło z bublem pokroju płatny Avast, bo to dodają jako bezpieczny internet praktycznie wszędzie, Netia, Multimedia, Ne Ja siedzę na Ruskim od wersji 6, kasa mi nie znikła z konta wiec jest OK.