'Delfi' intervija ar ētisko hakeri: Mēs ielauzāmies arī ēkās
Foto: Publicitātes foto/DELFI

Pols Hefernans (Paul Heffernan) ir ieguvis izglītību kā ētiskais hakeris 2008. gadā Lielbritānijā. Intervijā portālam "Delfi" viņš stāsta par mūsdienu pasaulē pastāvošajiem kiberdraudiem, jaunākajām tehnikām un arī to, kāds tad īsteni ir ētiskā hakera darbs. "Mēs ne tikai centāmies uzbrukt kā hakeri, bet arī fiziski ielauzāmies ēkās," atklāj speciālists. Šobrīd Hefernans ir informācijas drošības vadītājs finanšu tehnoloģiju jaunuzņēmumā "Revolut".

Šā gada sākumā "Revolut" nolēma pieņemt darbā hakeru komandu, lai uzlabotu savu sistēmu drošību. Hakeru komandas uzdevums ir uzbrukt kompānijas sistēmām, tādā veidā identificējot vājās vietas un palīdzot nākotnē izvairīties no īstiem uzbrukumiem.

Kurām nozarēm un kompānijām būtu visvairāk jāuzmanās no datu aizsardzības pārkāpumiem un kibernoziegumu draudiem? Kurām hakeri parasti uzbrūk? Kā hakeri izvēlas savu mērķi – kompānijas vai privātpersonas?

Pirmā lieta, uz ko hakeri un noziedznieki mūsdienās skatās, ir cilvēku vājības un kā šīs vājības ietekmē cilvēkus, veidojot vājas paroles. Tagad ar otrās maksājumu pakalpojumu direktīvas (PSD2) stāšanos spēkā (un pat pirms tās) lielākajai daļai banku ir ļoti laba tehniskā aizsardzība, piemēram, izmantojot biometriju un divfaktoru autentifikāciju. Bankas to dara ne tikai tāpēc, ka tas ir jādara, bet arī tāpēc, ka šos drošības pasākumus ir kļuvis tehniski vieglāk īstenot. Savukārt hakeri domā šādi: "Labi, es mēģināšu uzbrukt jūsu klientiem, parastiem cilvēkiem." Ir daudz veiksmīgu taktiku, piemēram, pikšķerēšanas e-pasti un SIM kartes nomaiņa (SIM swaps), hakerim iegūstot pietiekami daudz privātās informācijas, lai veiktu SIM kartes nomaiņu. Arvien vairāk uzbrucēju izmanto cilvēku atmiņas trūkumus, piemēram, izmantojot to, ka reti kurš spēj visiem saviem kontiem izdomāt atsevišķu paroli. Lielākajai daļai cilvēku ir trīs līdz sešas paroles, kas tiek pielietotas dažādās platformās. Tas nozīmē, ka hakeri, kuri ir ieguvuši piekļuvi vienai parolei, var to izmēģināt visās pārējās platformās, zinot, ka cilvēkiem, visdrīzāk, nav piestatītas unikālas un spēcīgas paroles katrai sistēmai. Līdz ar to lielākā daļa noziedznieku vairs neizmanto paroļu uzminēšanas taktiku, jo zina, ka nozagtās paroles bieži vien derēs arī citur.

Ja esat uzbrucējs, kurp jūs dodaties? Jūs ejat tur, kur ir dati un nauda. Un kas ir bankām? Abas šīs lietas.

Ja esat uzbrucējs, kurp jūs dodaties? Jūs ejat tur, kur ir dati un nauda. Un kas ir bankām? Abas šīs lietas.

Kādi uzlabojumi būtu jāveic?

Pirmkārt, varētu sākt ar to, ka atvieglotu stiprāku un unikālu paroļu izveidi. Vienkāršākais veids, kā to izdarīt, ir izmantot paroļu pārvaldības rīkus, piemēram, "LastPass" vai "1password". Šie pakalpojumi piedāvā glabāt paroles drošā veidā, neuztraucoties par visu paroļu atcerēšanos. Otrkārt, lielākā daļa tiešsaistes pakalpojumu tagad piedāvā divfaktoru autentifikāciju, šo elementu noteikti vajadzētu ieslēgt, jo šīs abas vienkāršās lietas novērš aptuveni 80% uzbrukumu. Un, ja pārstāvat uzņēmumu, pārliecinieties, ka jūsu vietne ir saderīga ar šiem rīkiem, piemēram, ļaujiet iestatīt spēcīgas paroles un iespējojiet divfaktoru autentifikāciju lietotāju kontā.

Ar tādiem risinājumiem kā mašīnmācīšanās un mākslīgais intelekts tiek mēģināts pēc iespējas vairāk automatizēt aizsardzību. Piemēram, tradicionālām finanšu institūcijām varētu būt problēmas ar novecojušu infrastruktūru. Joprojām ir dažas bankas, kas izmanto novecojušas sistēmas, un tas izskaidro, kāpēc tās ir tik jutīgas pret darbības pārtraukumiem. Pakalpojumu piegādātāji vairs neatbalsta šīs novecojušās infrastruktūras, līdz ar to, izmantojot sistēmu, kas pēdējo reizi atjaunināta pirms 10 gadiem, nevar cerēt, ka tā tiks līdzi mūsdienu kiberdraudiem.

Mana komanda darbojas pēc principa – censties ielauzties mūsu sistēmā pirmajiem. Mēs darbojamies pilnīgi autonomi – cenšamies ielauzties mūsu sistēmās, norādām uz problēmām un pieaicinām attiecīgās komandas uzlabojumu veikšanai. Parasti mēs varam novērst problēmas pāris minūtēs, nevis dienās un nedēļās – tas ir ātrums, ar kādu mēs strādājam.

Vai indivīds var pārdzīvot mērķtiecīgu hakeru uzbrukumu?

Kibernoziegumu apjoms ir tik liels, ka konkrēti cilvēki tagad nav tieši apdraudēti, viņu dati un paroles lielākoties tiek pazaudētas liela mēroga uzbrukumos. Citiem vārdiem sakot, mūsdienās nav jābūt slavenam, lai cilvēks būtu apdraudēts. Bet, kā jau teicu, iespēja uzlauzt kontus būtiski samazinās, ja tiek izmantoti paroļu pārvaldības rīki.

Arvien vairāk šo uzbrukumu tagad ir automatizēti. Nav tā, ka hakeris sēž tumšā istabā un cenšas uzlauzt kādu sistēmu, šobrīd lielākoties tiek radītas automatizētas tehnikas. Nozarē notiek debates par kibernoziedzniekiem, kas sāk izmantot mākslīgo intelektu un mašīnmācīšanos, līdz ar to vairākas nozares un tīmekļvietnes ir vairāk pakļautas riskiem, jo to mērķauditorija ir lielāka un viņu rīcībā esošie dati ir vērtīgāki. Tā kā arī aizsardzības puse sāk izmantot mākslīgo intelektu un mašīnmācīšanos, lai aizstāvētos, tad varam iztēloties vidi, kurā automatizēta aizsardzība aptur automatizētus uzbrukumus. Nav cilvēku, ir tikai roboti, kas uzbrūk un aizstāvas.

Varam iztēloties vidi, kurā automatizēta aizsardzība aptur automatizētus uzbrukumus. Nav cilvēku, ir tikai roboti, kas uzbrūk un aizstāvas.

Mēs bieži vien ziņās dzirdam par kiberuzbrukumu izcelsmi Krievijā vai Ķīnā. Kuras valstis, pēc jūsu ieskatiem, ir atbildīgas par biežākajiem uzbrukumu incidentiem? Vai Latvija (vai Baltijas valstis) ir iesaistīta kā maršruts? Vai ir redzamas atšķirības dažādos pasaules reģionos?

Es neteiktu, ka uzbrukumu metodes mainās atkarībā no valsts vai kontinenta – runa ir tikai par apjomu un biežumu, kas mainās. Viens no aspektiem, kas cilvēkus ļoti interesē, ir mēģinājumi saprast, no kurienes nākuši uzbrukumi. Patiesībā, ņemot vērā interneta vides iezīmes, ir ļoti grūti pārliecināties, no kuras valsts ir nācis konkrētais uzbrukums. Tā vietā cenšamies koncentrēt uzmanību uz to, lai apturētu dažādus instrumentus un tehnikas, ko izmanto uzbrucēji, neatkarīgi no atrašanās vietas. Tas nozīmē, ka mums ir labākas iespējas faktiski apturēt uzbrukumu, nevis nepareizi attiecināt to uz konkrētu valsti.

Pirms pāris gadiem publicējāt "LinkedIn" rakstu par Vispārīgās datu aizsardzības regulas izaicinājumiem. Tagad uzņēmumiem jau ir piešķirti sodi par neatbilstību regulai. Vai jūs teiktu, ka lielākā daļa uzņēmumu šobrīd atbilst regulai? Kādi vēl ir lielākie izaicinājumi?

Es domāju, ka Vispārīgā datu aizsardzības regula ir likusi organizācijām nopietnāk izturēties pret saviem datu aizsardzības pienākumiem. Kad 2013. gadā publika pirmoreiz tika iepazīstināta ar regulu, bija daudz pārpratumu par to, ko tā patiesībā nozīmētu organizācijām un ko tām vajadzētu darīt, lai tās būtu atbilstīgas. Laika gaitā prasības ir kļuvušas skaidrākas, un es domāju, ka daudzas organizācijas tām atbilst.

Protams, atbilstība ne vienmēr nozīmē drošību. Organizācijām vēl joprojām teorija ir jāīsteno praksē, un to pierāda arvien pieaugošais datu pārkāpumu biežums un apjoms visā pasaulē. Tas ir lielākais izaicinājums, jo Vispārīgā datu aizsardzība regula un līdzīgi noteikumi netiek līdzi tam, kā mainās kiberuzbrukumi un tehnoloģijas. Turklāt tas prasa tehniskāku izpratni par veidiem, kā organizācijai būtu jāpasargā sevi.

Kā cilvēks kļūst par ētisko hakeri? Vai visiem hakeriem ir IT izglītība, vai arī tas ir dzīvesveids?

2008. gadā es ieguvu grādu kā ētiskais hakeris. Tolaik Apvienotajā Karalistē, iespējams, bija tikai divas augstskolas, kas piedāvāja tādu iespēju. Tagad šādu universitāšu jau ir daudz vairāk, tomēr tas nav vienīgais veids, kā kļūt par ētisko hakeri. Pazīstu vairākus cilvēkus, kuri ir ieguvuši grādu tehniskajās zinātnēs un pēc tam iegūst papildu kvalifikāciju, piemēram, kļūstot par sertificētu ētisko hakeri, vai apgūst kādu citu kursu, kas palīdz iegūt zināšanas drošības jomā. Cilvēki šajā jomā mēdz ienākt ar tehniskajām vai IT pamatzināšanām. Vienlaikus atsevišķi cilvēki, kas tagad darbojas nozarē, iepriekš nebūt nav bijuši saistīti ar šo profesiju.

Daudzi no viņiem darbošanos nozarē uzsāka, domājot, kā lietas darbojas vai kā apiet pastāvošos spēles noteikumus, – viņus interesēja tieši veids, ar to saistītā loģika un noteikumi, lai apmānītu sistēmu. Meklējot cilvēkus savai komandai, mani mazāk interesē tas, kā viņi ir nokļuvuši nozarē, vairāk – tieši interese un aizraušanās ar to, kā notiek mācīšanās process, kādu ieguldījumu cilvēks ir sniedzis, kā attiecas pret savu darbu.

Kādi ir bijuši vislielākie draudi, ar kuriem nācies saskarties?

Pirms pāris gadiem notika masveidīgs uzbrukums, kas skāra Nacionālo veselības dienestu te, Apvienotajā Karalistē, būtībā dažām slimnīcām tas liedza iespēju strādāt vairākas stundas. Piemēram, ja cilvēki devās veikt datortomogrāfiju, iekārta nedarbojās. Par laimi, šajās stundās neviens negāja bojā, tomēr daudzas vizītes tika atceltas. Esmu sadarbojies ar dažām organizācijām, lai pasargātu tās no līdzīgiem uzbrukumiem, un tas patiešām bija diezgan nervozs laiks. Es palīdzēju slimnīcām, kas netika skartas, un mēs imitējām šos notikušos uzbrukumus, lai redzētu, kas varētu notikt un kā to novērst. Tieši to mēs darām "Revolut", domājam ne tikai par uzbrukumiem mūsu sistēmām, bet arī cenšamies iejusties uzbrucēja ādā. Piemēram, ja tiek plānots uzbrukums "Revolut", – kādus soļus hakeris spertu, kā iegūtu datus? Un no mūsu puses – kā apturēt uzbrukumu? Daudzas organizācijas domā tikai par uzbrukumu apturēšanu, bet ar to nepietiek – drošība nav absolūta, nekad nevar būt 100% drošs. Tāpēc daļēji mūsu darbs ir izdomāt, kā mēs reaģētu, ja notiktu kiberuzbrukums. Runa nav tikai par augsta drošības līmeņa nodrošināšanu, mums ir jāzina, ko darīt, ja notiktu ļaunākais.

Daudzas organizācijas domā tikai par uzbrukumu apturēšanu, bet ar to nepietiek – drošība nav absolūta, nekad nevar būt 100% drošs. Tāpēc daļēji mūsu darbs ir izdomāt, kā mēs reaģētu, ja notiktu kiberuzbrukums, teic Hefernans. Publicitātes foto.

Hakeri var nemaz nemēģināt uzbrukt tieši mūsu klientiem, bet gan izvēlēties kādu no mūsu sistēmām. Tāpēc vispirms ir jāpārliecinās, ka viņiem nebūs iespējams to izdarīt. Tomēr, ja kāds būs atradis veidu, kā tikt iekšā, mums ir jānodrošina, lai hakeri nevarētu nozagt personas datus un nevarētu pārvietot naudu. Nākamais solis ir apsvērt, ka hakeriem tas viss ir izdevies. Kā mums atrast šos uzbrucējus, un kā panākt, lai atturētu viņus no datu izmantošanas? Runa nav par uzbrukumu vienam klientam, mēs uz to raugāmies sistēmiski, ņemot vērā, piemēram, ka kāds no darbiniekiem ir pierunāts darīt kaut ko pretlikumīgu un kaitējošu.

Man vienmēr ir paticis izmantot savas prasmes un zināšanas, lai palīdzētu labdarības un citām organizācijām, kas tradicionāli nevar atļauties kiberdrošības ekspertus. Brīvajā laikā cenšos tām palīdzēt, lai tās būtu pēc iespējas drošākas.

Kādiem uzņēmumiem jūs esat uzbrucis kā ētiskais hakeris? Kādos gadījumos guvāt panākumus un kā?

Esmu strādājis ar juridiskām organizācijām, veselības aprūpes kompānijām, arhitektūras uzņēmumiem – ļoti atšķirīgiem uzņēmumiem un iestādēm. Man visvairāk patika tie gadījumi, kuros mēs atradām nepilnības gan no fiziskās drošības, gan kiberdrošības viedokļa, jo mēs ne tikai centāmies uzbrukt kā hakeri, bet arī fiziski ielauzāmies ēkās. Mēs tiešām vairākas stundas stāvējām pie ēkas, lai noteiktu, kā darbinieki ieiet ēkā, kāds ir process, lai tajā nokļūtu, kurā vietā ārā pulcējas smēķētāji, kāda ir darbinieku rīcība gadījumos, ja ieslēdzas ugunsgrēka signalizācija. Tādā veidā laika gaitā mēs noskaidrojām, kāds ir labākais veids, lai iekļūtu šajā ēkā, kā atspējot videonovērošanas kameras un atvērt barjeras. Piemēram, mēs arī iesūtījām uzņēmumā savu cilvēku, kurš izskatās pēc darbinieka, un vienlaikus mēs uzlauzām karšu lasītājus, kas atver durvis uzņēmuma iekšienē. Līdz ar to mūsu cilvēks varēja pārvietoties pa uzņēmumu kā darbinieks, jo mēs attiecīgajos brīžos atspējojām durvju drošības sistēmu, un mūsu cilvēkam atlika tikai izlikties, ka ar karti pieskaras nolasīšanas sistēmai. Visiem citiem apkārt esošajiem tas izskatījās ikdienišķi. Daudzos uzņēmumos šīs divas jomas – fiziskā drošība un kiberdrošība – tiek pārvaldītas atšķirīgi, tomēr starp tām ir daudz saskares punktu. Šī modernā domāšana mani ļoti aizrauj.

Source

DELFI Bizness

Tags

IKT nozare Baltija Hakeri Lasāmgabali
Pamanījāt kļūdu?
Iezīmējiet tekstu un nospiediet Ctrl + Enter!

Stingri aizliegts DELFI publicētos materiālus izmantot citos interneta portālos, masu informācijas līdzekļos vai jebkur citur, kā arī jebkādā veidā izplatīt, tulkot, kopēt, reproducēt vai kā citādi rīkoties ar DELFI publicētajiem materiāliem bez rakstiskas DELFI atļaujas saņemšanas, bet, ja atļauja ir saņemta, DELFI ir jānorāda kā publicētā materiāla avots.

Comment Form