Najlepszy sposób na sprawdzenie odporności na ataki to... włamania - wywiad

04-02-2015, 13:41

Michał Sajdak, doświadczony ekspert od bezpieczeństwa z firmy Securitum, w rozmowie z redakcją Dziennika Internautów wyjaśnia, w jaki sposób sprawdza zabezpieczenia systemów IT, ujawnia nawiększą „lukę” bezpieczeństwa, mówi także, jak zostać wziętym specjalistą w tej branży oraz jak pozostać bezpiecznym w erze smartfonów i social mediów.

Krzysztof Gontarek, Dziennik Internautów: Co kryje się pod pojęciem audyt bezpieczeństwa, którego różnymi formami zajmuje się Pana firma Securitum? Włamujecie się legalnie do systemów informatycznych?

Michał Sajdak, Securitum: W największym skrócie – tak, włamujemy się do systemów IT zleceniodawców. To jeden z najskuteczniejszych sposobów sprawdzenia, czy system IT jest realnie odporny na ataki. Formalnie proces ten nazywa się „testami penetracyjnymi”, popularnie to również „audyt bezpieczeństwa”.

Audyt bezpieczeństwa, dokładnie rzecz ujmując, oznacza weryfikację bezpieczeństwa systemu IT pod względem konkretnych wymagań (czyli w przeciwieństwie do „testów penetracyjnych” nie musi wcale sprawdzać realnej odporności na włamania). Wspomniane wymagania mogą być przykładowo określone przez: ustawę o ochronie danych osobowych, wymagania wewnętrzne czy rekomendacje nadzoru finansowego itd.

Jaką wiedzą i umiejętnościami musi dysponować osoba, która przeprowadza tego typu badania? Na przykład, czy prawdziwemu ekspertowi od bezpieczeństwa trudno byłoby pokonać standardowe zabezpieczenia, z jakich korzysta przeciętny użytkownik komputera?

Wiedza musi być dość rozległa, tym bardziej że – realizując testy penetracyjne czy audyt bezpieczeństwa – należy zlokalizować możliwie wszystkie słabości systemów. Atakujący zazwyczaj ma prostsze zadanie – wystarczy, że znajdzie jedną istotną lukę… Co więcej, w raporcie z audytu bezpieczeństwa zawsze wskazujemy rekomendowane metody naprawy każdego problemu – tu też wymagana jest wiedza, tym razem nie chodzi o to, jak coś „zepsuć”, a „naprawić”.

Michał Sajdak, Securitum

Michał Sajdak, Securitum

Obecnie ominięcie zabezpieczeń często nie jest wielkim problemem – to raczej kwestia umiejętności oraz ilości poświęconego na to czasu. Istnieją też gotowe programy, które tworzą złośliwy kod, niewykrywany przez znakomitą większość antywirusów. Niestety, tutaj nie jest potrzebna nawet specjalistyczna wiedza.

Klasyczne firewalle też przestają być już w pełni skuteczne. Bo na przykład, co zrobić w sytuacji, kiedy atak odbywa się z wykorzystaniem legalnego ruchu, który firewall przepuszcza? Np. przy użyciu komunikacji, która normalnie wykorzystywana jest przez przeglądarkę internetową? W takim przypadku do ochrony systemu przydają się choćby komponenty typu Intrusion Detection Systems (IDS).

Zanim ktoś zostanie wziętym ekspertem, musi zdobyć nie tylko wiedzę, ale i doświadczenie. Czy mógłby Pan uchylić rąbka tajemnicy, jak i na czym szlifują swoje umiejętności osoby początkujące w tej branży?

Metod na zdobycie tego typu wiedzy jest co najmniej kilka. Sami prowadzimy w Securitum szkolenia warsztatowe, na których można realnie nauczyć się technik i narzędzi potrzebnych przy realizacji tego typu prac. Uczymy też, jak się chronić. Są też oczywiście inne źródła – materiały przygotowujące do uzyskania certyfikatów bezpieczeństwa takich, jak Certified Information Systems Security Professional (CISSP) czy Certified Ethical Hacker (CEH). Jednym z wymogów otrzymania tego typu dokumentu jest zdanie odpowiedniego egzaminu potwierdzającego wiedzę merytoryczną kandydata.

Ostatecznie liczy się praktyczna wiedza i tutaj, aby nie wchodzić w konflikt z prawem (atakując realne systemy), można wykorzystać dostępne w internecie tzw. serwisy do etycznego hackingu, które służą po prostu do tego, aby je atakować. Często w tego typu serwisach dostępne są również linki do branżowych książek czy poradników. Sami również prowadzimy serwis – sekurak.pl – w którym udostępniamy informacje o tym, w jaki sposób wykrywać podatności, a także jak im zapobiegać.

Jakie - na podstawie Pana doświadczeń z firmy Securitum - są najczęstsze luki bezpieczeństwa w systemach IT?

Zasadniczym i chyba największym problemem jest brak świadomości o bezpieczeństwie. Często firmy nie alokują budżetów na bezpieczeństwo, ponieważ nie widzą takiej potrzeby oraz nie mają świadomości zagrożeń czy słabości (luk) w swoich systemach. Często również bezpieczeństwo IT sprowadzane jest do roli piątego koła u wozu, które z jednej strony kosztuje, a z drugiej tylko przeszkadza przy wykonywaniu produktywnej pracy.

Bezpieczeństwo systemów IT firmy można jednak tak zorganizować, aby wpływało pozytywnie na wyniki finansowe. Tutaj polecam przyjrzeć się pojęciu „analiza ryzyka IT”. Taka analiza może m.in. zapobiec przeszacowaniu budżetów na bezpieczeństwo, ale również wskazuje, kiedy budżety te mogą okazać się niedoszacowane. W skrócie – na bezpieczeństwo warto wydawać pieniądze, ale rozsądnie.

Czy przeciętny użytkownik bankowości internetowej oraz mobilnej ma możliwość profilaktycznego zabezpieczenia się przed wykorzystaniem nieprawidłowości przez przestępców? Czy można się skutecznie zabezpieczyć przed atakami, takimi jak głośna niedawno podmiana DNS lub błędy typu Heartbleed? A może jedynym skutecznym sposobem jest przysłowiowe wyciągnięcie wtyczki z kontaktu?

Warto tutaj rozróżnić dwa główne obszary zabezpieczeń – od strony komputera użytkownika oraz od strony serwerowej. Dopiero dobre zabezpieczenia w tych dwóch obszarach mogą dać rozsądny, całościowy poziom bezpieczeństwa. Podmiana DNS, o której Pan wspomina, może być wykryta np. przez wyświetlenie komunikatu przeglądarki internetowej o wykryciu niezaufanego certyfikatu SSL. Jeśli zauważymy taki komunikat przy połączeniu do bankowości elektronicznej, nie należy klikać przycisku „akceptuj” oraz najlepiej skontaktować się z bankiem.

Z kolei podatność przede wszystkim serwerowa, taka jak Heartbleed (umożliwiająca atakującemu na anonimowe odczytanie dużych obszarów pamięci z serwera, np. haseł innych użytkowników), zazwyczaj jest wykrywana i usuwana w ramach standardowych procedur monitorowania podatności w infrastrukturze IT. Procedura ta może m.in. obejmować realizację wspomnianych wcześniej audytów bezpieczeństwa czy analizę informacji zbieranych przez systemy Intrusion Detection Systems. Oczywiście tego typu procedury trzeba mieć i je realizować.

O ile świadomość użytkowników komputerów co do korzystania z oprogramowania zabezpieczającego jest już stosunkowo duża, to jednak telefony i tablety wydają się wciąż słabo zabezpieczone i mogą być łatwym kąskiem dla cyberprzestępców. Co może zrobić przeciętny użytkownik smartfona czy tabletu, by bezpiecznie korzystać z dobrodziejstw bankowości mobilnej?

To prawda, warto pamiętać, że smartfony to po prostu małe komputery. Co więcej, od strony bezpieczeństwa mają pewne dodatkowe wady – łatwo je zgubić i często wykorzystywane są jako drugi kanał do uwierzytelnienia transakcji w bankowościach mobilnych (hasła przesyłane SMS-ami). Możliwości zabezpieczenia jest wiele, ale na początek wymieniłbym kilka: regularne aktualizacje oprogramowania na urządzeniu mobilnym, zainstalowanie oprogramowania antywirusowego, nieinstalowanie aplikacji z podejrzanych źródeł oraz zabezpieczenie urządzenia przynajmniej prostym kodem PIN.

Żyjemy w czasach dominacji mediów społecznościowych, kiedy wrażliwe dane osobowe są dostępne na wyciągnięcie ręki. Na co użytkownicy Facebooka, NK, Linkedina czy Twittera powinni zwracać uwagę, szczególnie w kontekście bezpiecznego korzystania z usług bankowości internetowej?

Tutaj – podobnie jak w przypadku systemów mobilnych - zagrożeń jest wiele. Warto na pewno uważać na otwieranie udostępnionych nam plików (takich jak .pdf, .doc czy plików wykonywalnych). Czasem otwarcie tego typu pliku może spowodować infekcję naszego komputera, a w dalszym kroku prowadzić do ataków na nasze konta w bankowości elektronicznej. Warto również z dużą podejrzliwością traktować wszystkie miejsca, gdzie prosi się nas o podanie swoich danych do bankowości elektronicznej (często z informacją, że chodzi właśnie o bezpieczeństwo…), szczególnie warto weryfikować tutaj adres URL w pasku przeglądarki, pod którym realizowana jest taka prośba – podczas tego typu ataku jest to często adres serwera atakującego, a nie banku.

Które z nowych technologii kształtujących rynek urządzeń mobilnych mogą Pana zdaniem wpłynąć na obniżenie bezpieczeństwa użytkownika bankowości mobilnej? Co zrobić, by bezpiecznie korzystać także z nowych kanałów dostępu do usług bankowych?

Moim zdaniem same technologie mobilne zdecydowanie będą (czy już są) celem ataków. Samo bezpieczeństwo platform mobilnych to niejako cofnięcie się o kilka lat. Problemy, które w klasycznych systemach były już rozwiązane, pojawiają się na nowo. Choćby sprawa aktualizacji systemu operacyjnego – często nowy telefon zaraz po odpakowaniu już posiada krytyczne podatności, a aktualizacja jest utrudniona czy wręcz niemożliwa. Podobnie ma się sprawa z oprogramowaniem antywirusowym – na klasycznych komputerach to już prawie standard, na systemach mobilnych to nowość.

Czy banki są w stanie dostarczyć takie usługi, narzędzia i wewnętrzne mechanizmy bezpieczeństwa, by nawet użytkownicy niestosujący odpowiednich zabezpieczeń czy też nie mający świadomości zagrożenia mogli bezpiecznie korzystać z usług bankowości internetowej i mobilnej?

Banki ograniczają ryzyka IT (obliguje je do tego choćby „Rekomendacja D” Komisji Nadzoru Finansowego), ale raczej nigdy to ryzyko nie będzie zerowe. Przykładowo, część banków uniemożliwia wykonywanie dowolnych przelewów z wykorzystaniem aplikacji mobilnej. Czasem wdrażane są operacje monitoringu transakcji finansowych i w razie wykrycia nietypowych sytuacji podejmowana jest stosowna akcja.

Sam użytkownik również odpowiada za swoje zachowania, poczynając od tych najprostszych, np. zasada nieprzekazywania swoich danych dostępowych do bankowości elektronicznej innym osobom. Same banki nie są często w stanie zapobiec wszystkim problemom – w końcu nie oddajemy kontroli nad swoimi komputerami i telefonami bankowi. Często jednak na stronach tych organizacji można znaleźć informacje o bezpiecznych zasadach korzystania z bankowości elektronicznej – stosowanie tych zasad często znacznie zmniejsza ryzyko skutecznego ataku na nasze konto.

Dziękujemy za rozmowę.

 

Michał Sajdak posiada przeszło dziesięcioletnie doświadczenie w zagadnieniach związanych z technicznym bezpieczeństwem IT. W ramach firmy Securitum realizuje testy penetracyjne oraz audyty bezpieczeństwa dla znanych organizacji w Polsce. Prowadzi autorskie szkolenia z zakresu bezpieczeństwa. Posiadacz certyfikatów CISSP oraz CEH. Założyciel serwisu sekurak.pl


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Kwiecień 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
27282930