Nikada u povijesti IT-ja nismo imali sigurne sustave kakve imamo danas, a opet, nikada prije ih nije bilo tako lako provaliti.
Što utječe na spremnost IT-ja u borbi protiv sigurnosnih prijetnji kojima su svakodnevno izloženi naši sustavi?
Pitanje je to koje si postavljamo bez obzira radi li se o poslužiteljima, prijenosnim ili desktop računalima, pametnim telefonima ili pak ljudstvu koje je bitan čimbenik sigurnosti svakog, a ne samo računalnog sustava. Da bismo razumjeli problematiku, krenimo prvo od jednog zanimljivog paradoksa: Nikada u povijesti IT-ja nismo imali sigurne sustave kakve imamo danas, a opet, nikada prije ih nije bilo tako lako provaliti.
Jedan od razloga pojave ovog paradoksa je složenost sustava koje održavamo i s kojima se svakodnevno susrećemo, a koji neminovno postaju kompleksniji svakim danom, satom i minutom.
Na gornjoj slici prikazano je kako autor ovog teksta vidi tu problematiku:
Znanje, koje je jedinka sposobna akumulirati se kroz neko vremensko razdoblje, kreće se linearno – jer nismo Johnny Mnemonic da možemo uključiti dodatni HDD u mozak i tako proširiti znanje koje nosimo sa sobom – dok mogućnosti koje nudi tehnologija lete u nebesa eksponencijalnom funkcijom koja bježi od nas, te nam je sve teže akumulirati dovoljno znanja kako bi mogli razumjeti sustave koji nas okružuju i sve mogućnosti koje ti sustavi nude. Prostor koji je nastao između rezultata ovih dviju funkcija je prostor koji iskorištavaju kriminalci, od vlade sponzorirani i hakeri bilo kojeg tipa, kako bi kompromitirali iste te sustave koje naš IT ne može u potpunosti razumjeti i koji zbog te nemogućnosti potpunog razumijevanja imaju "skrivene" funkcionalnosti koje pak maliciozni akteri iskorištavaju na našu štetu.
Nažalost, vrijeme potrebno da se od nule izgradi kvalitetan kadar koji razumije sustave iz prošlosti, sadašnjosti, ali i budućnosti je daleko duže nego što je to bio slučaj prije dvadeset godina upravo zbog te kompleksnosti, a niti obrazovni sustav nam ne ide na ruku jer je na žalost i dalje u srednjem vijeku s ponekom (uglavnom usamljenom) svijetlom točkom. Isto tako, IT je jedna od grana u kojoj se ne može spavati nakon što ste akumulirali dovoljno znanja da biste postali priznat stručnjak, jer je nekoliko mjeseci spavanja dovoljno da se propuste važni trendovi i da se postane dinosaur koji treba opet uložiti puno vremena kako bi pohvatao znanja i metodologije potrebne za efikasno obavljanje posla, bilo da je u pitanju IT stručnjak, razvojni inženjer, a pogotovo stručnjak iz područja računalne sigurnosti.
Kojim smo to malicioznim čimbenicima izloženi kako u korporativnom svijetu, tako i u privatnom životu?
Ako podijelimo napade na poslužiteljsku i klijentsku stranu, ova potonja je daleko jednostavnija i zastupljenija u hakerskom svijetu iz nekoliko jednostavnih razloga:
Provala na računalni sustav napadom na poslužiteljsku stranu zahtijeva određeno tehničko znanje – velika većina kriminalaca ga nema, nego samo kupuju alate koji za njih odrade veći dio posla. Isto tako, provala na računalni sustav na poslužiteljskoj strani zahtijeva i određeno vrijeme provedeno u istraživanju ranjivosti – vrijeme je novac, a novca treba i nikad ga nema dovoljno. Dodatni problem koji kriminalni akteri vide u napadu na poslužiteljsku stranu je ROI, jer provaliti na jedan poslužitelj najvjerojatnije neće donijeti istu zaradu kao i provaliti na desetke tisuća pojedinačnih računala (osim ako taj poslužitelj nije visoko vrijedna meta).
Dok je s druge strane, provala na klijentskoj strani obično bazirana na socijalnom inženjeringu, što zahtijeva dobro postavljenu kampanju (kupljenu na crnom tržištu), a rezultat je velika količina potencijalnih žrtava koje će joj biti izložene. Ovo je vidljivo na primjeru cryptolocker malicioznih varijanti koje ciljaju upravo na masovnost, a aktivnost im je gotovo identična od druge polovice 2013. godine. Malo koja maliciozna kampanja traje tako dugo i, što je najgore, ne vidi se kraj navedene aktivnosti. Druga opcija je uzela maha u zadnje vrijeme i cilja manju populaciju nego je to slučaj kod cryptolocker-a. U pitanju je također ucjena i iznuda, ali ovaj put eksplicitnim slikama i video snimkama. Proces je jednostavan. S jedne strane je zgodna pripadnica ljepšeg spola koja se besplatno skida pred kamerom i radi ono što naivna osoba s druge strane od nje traži, u jednom trenutku pripadnica ljepšeg spola zatraži osobu da se i ona skine, kako bi zadovoljstvo bilo obostrano. Problem je u tome što kriminalna strana ove komunikacije snima sve što se događa, te nakon intimnog sastanka putem video linka ima materijal za ucjenu. Na žalost, bilo je slučajeva mladih ljudi koji su si oduzeli život zbog ovakvih ucjena, a kriminalne skupine ne brinu o tome jer za njih postoji samo jedan motiv, a to je novac. Na žalost tu nije kraj našim problemima na klijentskoj strani. Klijentska strana podložna je i ranjiva na nešto što je gotovo nemoguće spriječiti, a u pitanju su poznate i nepoznate, tzv. zero-day ranjivosti koje postoje u internetskim preglednicima i ostalim softverskim paketima pokrenutim na računalima. Sve što je potrebno učiniti kao korisnik da bi bio izložen napadu ovog tipa je posjetiti stranicu koja je implementirala maliciozni kôd. Kampanje koje provode ovakvu vrstu napada za širenje "zaraze" koriste razne portale koje su prethodno kompromitirali u nekom od napada na poslužiteljskoj strani. Tako je primjerice 2014. godine za jednu takvu kampanju korišten portal forbes.com. Klijentska je strana izložena i napadima na bilo koju vrstu prijenosnih uređaja koji se spajaju na nesigurne bežične mreže, čime su posebno pogođene osobe koje često borave u hotelima i spajaju se na bežične mreže na aerodromima, restoranima i sl. Ovdje je u pitanju napad koji nije masovan kao do sad opisani, ali je jednako opasan za osobu koja je žrtva, jer u napadu mogu iscuriti sve zaporke koje je osoba koristila dok je napad trajao, a moguće je i postati žrtva kombinacije ovakvog napada s malo socijalnog inženjeringa što napadaču može omogućiti trajni pristup korisnikovom računalu.
Zašto su svi ovi napadi na korisničkoj strani navedeni kao potencijalne ugroze i na korporativnoj strani? Vrlo jednostavno, korisnik koji je kompromitiran u jednom od napada na korisničkoj strani će se u jednom trenutku spojiti unutar korporativne mreže ili će s tog istog kompromitiranog računala koristiti podatke za pristup korporativnoj mreži i/ili podacima, čime se krakovi hobotnice šire sve dublje i dublje u računalni sustav tvrtke. Dobar primjer ovoga je upravo Sony, čija je mreža inicijalno kompromitirana preko klijentskog računala, da bi tijekom nekoliko mjeseci napadači kompromitirali većinu ključnih servisa tvrtke.
Što nam je činiti?
Sposoban kadar koji prati trendove i dobro je plaćen za ono što radi je kadar koji će na najbolji mogući način asimilirati potrebna znanja i vještine kako bi kvalitetno zaštitio IT sustav i učinkovito se borio protiv poznatih i nepoznatih ugroza. Tom kadru je prijeko potrebna redovita edukacija, ali ni to nije dovoljno, jer je za uspješnu borbu protiv modernih prijetnji potrebna samoinicijativa u odlučivanju, a posebice u samostalnom prikupljanju znanja. Da bi se oformio tim ljudi tog kalibra, potrebno je inicijalno ulaganje u temeljna znanja kako bi se stvorila "kritična masa" nakon čega će tim funkcionirati kao samostalna jedinka sposobna da napreduje bez vanjskih pobuda.
Autor: Robert Petrunić, Senior Information Security Consultant
Pogledajte Algebrinu ponudu specijalističkih treninga iz područja IT sigurnosti na adresi: www.algebra.hr/centar-za-it-sigurnost.
