Sve češće čitamo o hakerskim napadima na globalne kompanije i državne institucije. Zašto baš danas etički hakeri postaju ključni u toj borbi?
Na osnovu svog iskustva rekao bih da postoji više razloga. Prvenstveno, broj i kompleksnost potencijalnih digitalnih vektora napada munjevito raste, između ostalog zbog cloud servisa, supply chain-a i povezanih aplikacija. S druge strane, napadači, uz pomoć AI-ja i ostalih novih tehnologija, postaju dosta sofisticiraniji, organizovaniji i u nekim slučajevima čak i državno podržani. Upravo zbog toga, etički hakeri i penetration testeri sada imaju mnogo veću ulogu u svim sferama društva koje podrazumevaju određeni nivo organizacije i skladištenje osetljivih informacija.
U jednu ruku, kao strateški deo risk management-a iz same potrebe za proaktivnim pronalaženjem i otklanjanjem ranjivosti pre nego što ih iskoriste ,,ne etički’’ hakeri, ali takođe i radi usklađenosti sa lokalnim i internacionalnim regulativama i standardima koji sve više insistiraju na kontinuiranom testiranju i prijavljivanju sigurnosnih provera.
Koja je razlika između „klasičnih“ hakera i etičkih hakera, i zašto je važno da javnost razume tu razliku?
Razlika je jednostavna – motivacija i ambicija. Klasični (,,zlonamerni’’) hakeri krše sisteme iz lične koristi, ideoloških ili kriminalnih razloga, dok su etički hakeri vođeni željom da pomognu, uz saglasnost vlasnika organizacije/sistema i rade sa ciljem otkrivanja i zatvaranja sigurnosnih rupa. Potom, zajedno sa nadležnim iz organizacije dokumentuju nalaze, pomažu pri prioritetizaciji dogovorenih koraka i često daju svoje preporuke za trajnu i bolje održivu zaštitu. Javno razumevanje ove razlike smanjuje stigmu oko termina ,,haker’’ i omogućava organizacijama da bez straha angažuju stručnjake koji testiraju njihovu bezbednost, što direktno podiže ukupni nivo zaštite društva.
Koliko zapravo traje da jedan haker provali prosečnu lozinku i šta nam to govori o ranjivosti digitalnih sistema?
Vreme razbijanja lozinke u praksi zavisi od više faktora: dužine i složenosti lozinke, da li je napad online ili offline, koje alatke i koliko moćan hardver napadač koristi, kao i da li je lozinka već procurela u nekom incidentu. U suštini, moderne procene pokazuju da brojevi mogu drastično varirati: za offline napade numerička lozinka od osam cifara može biti razbijena u desetine sekundi, jednostavna lozinka sastavljena od 8 znakova malih slova može biti razbijena za par sati i manje (ponekad u svega nekoliko minuta), dok lozinka od 8 znakova sa kombinacijom velikih i malih slova, brojeva i simbola zahteva mesece/godine pod klasičnim brute force napadom.
Ako bismo lozinku podigli na 12 ili više nasumičnih karaktera vreme potrebno za probijanje raste do više stotina godina pa na gore. Ove brojke jasno pokazuju da kratke ili predvidive lozinke ostavljaju sisteme izuzetno ranjivim i da je najbolja praksa korišćenje dugačkih jedinstvenih lozinki, menadžera lozinki (password manager) i dvofaktorne autentifikacije (2FA).
Napadi na kritičnu infrastrukturu, poput bolnica ili energetskih mreža, postaju sve češći. Kako etički hakeri mogu pomoći da se takvi scenariji spreče?
Etički hakeri pomažu tako što rade ciljane procene sigurnosti OT i IT okruženja, uključujući penetraciono testiranje SCADA (Supervisory Control and Data Acquisition) i industrijskih kontrolnih sistema, provere segmentacije mreže i testove otpornosti na napade koji utiču na dostupnost usluga. Pored standardnog penetration test-a, važno je sprovesti i vežbe red teaming-a (crvenih timova) koji simuliraju realne napade i testiraju koordinaciju između IT, OT i timova za incident response. Etički hakeri takođe pomažu u otkrivanju i rešavanju bezbednosnih slabosti u procesima održavanja, upravljanju pristupima i nadogradnji firmvera.
Ključ sprečavanja ovakvih scenarija je da testovi jednostavno budu dogovoreni i izvedeni u uslovima koji ne ugrožavaju operativnu stabilnost, uz jasne planove za vraćanje sistema u prethodno stabilno stanje i komunikaciju sa operatorima.
IoT uređaji su sveprisutni – od pametnih frižidera do automobila. Koliko oni šire prostor za sajber napade i gde se u toj priči uklapaju etički hakeri?
IoT uređaji značajno povećavaju potencijalne oblasti, kao i tipove napada zbog same povezanosti, ali i iz ograničene mogućnosti ažuriranja i čestog korišćenja podrazumevanih ili lako pogodljivih kredencijala/lozinki. Bitno je takođe napomenuti da je masovna distribucija nedovoljno zaštićenih IoT uređaja naročito opasna jer može omogućiti prolaz do drugih osetljivijih mrežnih uredjaja ili se koristiti u botnet operacijama. Tu nastupaju etički hakeri, kroz analizu firmware-a (specijalizovani softver ugrađen u hardver uređaja koji omogućava njegov rad i upravljanje osnovnim funkcijama), authentication testove, procene sigurnog ažuriranja i preporuke za segmentaciju i hardening (proces povećanja sigurnosti sistema).
Sve u svemu, najbolje je biti proaktivan, i postarati se da se nepotrebni incidenati kroz odgovorno izveštavanje o ranjivostima u saradnji sa proizvođačima potpuno izbegnu, odnosno da se bezbednost IoT uređaja unapredi pre nego što uopšte postoji prostor da se slabosti zloupotrebe.
Kada govorimo o najpoznatijim hakerskim napadima u istoriji, vidimo da su mnogi promenili tok poslovanja, pa čak i geopolitike. Šta nam ti slučajevi govore o preventivnoj ulozi etičkih hakera?
Veliki hakerski incidenti, poput napada WannaCry (koji je paralisao bolnice i kompanije širom sveta) ili Stuxnet-a (koji je kompromitovao industrijske kontrolne sisteme u iranskim nuklearnim postrojenjima), jasno su pokazali da posledice mogu biti izuzetno ozbiljne i dugotrajne, ugrožavajući ne samo bezbednost i funkcionisanje kritičnih infrastruktura, već i finansijsku stabilnost i reputaciju institucija. Upravo ovi, ali i brojni drugi primeri, ukazuju na neophodnu ulogu etičkih hakera u savremenom okruženju. Naš zadatak je da prepoznamo ranjivosti i pomognemo institucijama da unaprede bezbednosne mere kroz redovno testiranje, simulacije napada i kontinuirani nadzor i da na taj način saniramo ili ,,obuzdamo’’ potencijale rizike kako bismo smanjili verovatnoću da jedna slabost preraste u ozbiljan incident.
Koliko AI može pomoći etičkim hakerima u otkrivanju ranjivosti, a koliko stvara nove rizike ako ga koriste napadači?
Veštačka inteligencija je danas neophodan alat za etičke hakere jer značajno ubrzava analizu i pomaže u otkrivanju ranjivosti koje bi inače zahtevale mnogo vremena. Automatsko pretraživanje koda, generisanje testova i brža analiza podataka omogućavaju da se fokus usmeri na složenije probleme koje ipak mora rešavati čovek. S druge strane, veštačka inteligencija nosi i određene rizike, jer zlonamernim hakerima pruža mnogo više prostora da brže osmišljavaju i realizuju napade. Takođe, ako se etički hakeri previše oslone na veštačku inteligenciju bez pravog razumevanja, može doći i do toga da se u kodu i sistemima pojave nove slabosti koje su naizgled neprimetne. S tim u vidu, iako je AI apsolutno neophodno sredstvo za osposobljavanje najvišeg nivoa sajber bezbednosti, i dalje nije dovoljno razvijen da zameni ljudsku stručnost i iskustvo.
Želim da istaknem da je upravo ovo jedan od ključnih razloga zbog kojih smo Stevan Spasenović i ja osnovali BEDEM Security – „next-gen“ sajber bezbednosnu firmu koja povezuje najnovije prednosti AI-ja sa ekspertizom i iskustvom, pružajući klijentima savršen balans između automatizacije i ljudske kontrole u zaštiti sistema.
Da li kompanije u Srbiji i regionu dovoljno ulažu u testiranje svojih sistema kroz „ethical hacking“ pristup, ili se i dalje oslanjaju na reaktivne mere?
Ono što mi kao BEDEM vidimo od samog početka poslovanja u regionu je da većina firmi i dalje nedovoljno ulaže u proaktivne bezbednosne mere. Nažalost, iako su statistički jedna od najvećih meta napada, ovo je posebno slučaj kod malih i srednjih preduzeća, koje bezbednost često doživljavaju kao trošak, a ne kao neophodnu investiciju. Ipak, ostajem optimista jer su pozitivni pomaci sve vidljiviji. Iako regulative i zakonske obaveze i dalje predstavljaju glavni razlog zbog kojeg domaće kompanije izdvajaju sredstva za sajber bezbednost, sve je više onih koje započinju saradnju sa spoljnim stručnjacima, uvode redovno testiranje i aktivno rade na usklađivanju sa regulatornim zahtevima.
BEDEM Security je upravo jedan od primera kompanija koje podižu svest o značaju sajber bezbednosti i pomažu klijentima da uvedu kontinuirane procese testiranja i unapređenja zaštite. Naš cilj je da jasno pokažemo da u današnje vreme, bez adekvatnog proaktivnog pristupa, pitanje više nije da li će doći do incidenta, već kada – a posledice tada mogu biti razorne po stabilnost, finansije i ugled svake organizacije.
