Etický hacker: Ľudia robia chybu, že si myslia, že na internete nič nemajú a dajú si všade rovnaké heslo

  • Milan Kyselica pracuje ako penetračný tester, teda odhaľuje skryté hrozby v systémoch
  • Nedávno vyhral prestížnu súťaž EY ESO, vďaka ktorej získal skúsenosti a kontakty
Milan Kyselica
EY
  • Milan Kyselica pracuje ako penetračný tester, teda odhaľuje skryté hrozby v systémoch
  • Nedávno vyhral prestížnu súťaž EY ESO, vďaka ktorej získal skúsenosti a kontakty
  • Je dnes internet bezpečným miestom?
  • Prečo došlo k úniku dát z NCZI a či sa tomu dalo zabrániť
  • Aký je rozdiel medzi etickým a „black hat“ hackerom
  • Aké údaje si hackeri najviac cenia
  • Čo bol tvoj prvý „veľký hack“, pri ktorom si si povedal, že sa chceš venovať etickému hackingu?

    Keď som dostal svoj prvý smartfón Android, tak som sa začal oň viac zaujímať. Našiel som fórum a aktívnu komunitu, ktorá ma doviedla k rootovaniu zariadenia. Získal som tak root access, teda administrátorské privilégiá. Zrazu som mal pocit, že zo zariadenia, ktoré si človek kúpi limitované, vie v priebehu pár hodín urobiť zariadenie, s ktorým môže robiť čokoľvek. Objavil som, že tá vec bola nejako dizajnovaná a ja som to obišiel. Takých vecí potom pribúdalo.

    Hacking je totiž o tom, pochopiť, ako daná vec funguje, hľadať v tom skratky a odhaľovať chyby.

    Ako si sa potom dostal k väčším veciam a napokon k práci profesionálneho etického hackera?

    Ten telefón s tým do veľkej miery súvisí. Robil som niekoľko webov aj s použitím rôznych redakčných systémov (CMS) a okrem toho, že web musí fičať, musí byť aj bezpečný. Keď som ich začal prvýkrát testovať, začal som si uvedomovať, aké sú tam chyby a začal som viacej zaujímať o možné zraniteľnosti na weboch. Čiže som začal weby stavať a potom ich ako keby búrať.

    Čo bola najzaujímavejšia „diera“ v bezpečnosti, ktorú si kedy objavil?

    Spomeniem dve zaujímavé. Jedna je nedávno nájdená zraniteľnosť, objavil som session hijacking v jednej zahraničnej, pomerne obrovskej finančnej inštitúcii. Znamená to, že hocikto sa môže prihlásiť do ich VPN bez toho, aby poznal prihlasovacie údaje a druhý faktor. Takže útočník, ktorý našiel daný web na internete, sa vedel dostať do internej siete bez akéhokoľvek hesla, stačilo mu získať platnú session jedného z už prihlásených používateľov, čím prekonal aj druhý faktor. Takto som získal prístup do internej siete finančného sektora bez akéhokoľvek hesla. To je asi najzaujímavejší hack, je to fatálna chyba.

    Druhá vec ktorú by som spomenul, sa vyskytuje stále menej, avšak ak ju útočník odhalí, ide o kritickú zraniteľnosť. Našiel som viacero SQL injekcií, to znamená, že človek si vie prehliadať databázu webu, kde môžu byť uložené rôzne dáta používateľov a napríklad aj ich prihlasovacie údaje. Týkalo sa to napríklad jednej telekomunikačnej firmy, antivírusovej spoločnosti a podobne veľkých webov.

    Milan Kyselica
    zdroj: EY

    Vyhral si hlavnú cenu v súťaži EY Cyber Security Trophy. Čím si zaujal porotu v súťaži?

    Prezentoval som tam samého seba, opísal som čomu sa presne venujem, aké boli moje začiatky, moje úspechy, prípadne projekty. Myslím si že porotu asi najviac zaujal môj etický prístup, a to konkrétne zodpovedné nahlasovanie chýb v rámci Responsible Disclosure. Viacerým slovenským inštitúciám som nahlásil rôzne zraniteľnosti, ktoré vedel potencionálne útočník zneužiť. To asi zavážilo najviac.

    Čiže nebol to konkrétny projekt, ale celá práca?

    Ja som vyhral kategóriu EY ESO Cyber Security Future Promise a zároveň som sa stal aj absolútnym víťazom EY Cyber Security Trophy 2019. Nešlo tam teda o projekt ako taký, ale o sebaprezentáciu. V mojom prípade to boli hackerské súťaže a jednotlivé úspechy. Uviedol som tam moje najzaujímavejšie nájdené zraniteľnosti v rámci Bug Bounty. Niektoré firmy majú na Slovensku rozbehnutý Bug Bounty program v ktorom môžete nahlasovať chyby a oni vám za validné zraniteľnosti  zaplatia.

    Čo momentálne robíš a na akom projekte teraz pracuješ?

    Momentálne pracujem pre LIFARS na pozícii penetračného testera. Jedná sa o spoločnosť, ktorá pôsobí v oblasti kybernetickej bezpečnosti. Zaoberá sa primárne incident response, forenznou činnosťou, penetračným testovaním, odstraňovaním ransomware a ďalšími službami. Moja pracovná náplň spočíva v penetračnom testovaní webových aplikácií, vykonávaní externých a interných penetračných testov. Podieľam sa aj na príprave a vykonávaní phishingových & spearphishingových kampaní a Red Teamingov.

    Red Teaming je v podstate simulovaný útok na spoločnosť s použitím sofistikovaných prostriedkov, aké používajú reálni útočníci. Teda firma si zaplatí hackerov, aby ju napadli a otestovali jej bezpečnosť pričom väčšina zamestnancov vo firme o tom nevie. Na druhej strane sa nachádza Blue Team, čo je vlastne tým odborníkov, ktorého úlohou je útoky zachytiť, prípadne odraziť.

    Čo ti do kariéry a života priniesla EY ESO? Šiel by si do toho znova?

    Musím povedať, že áno. Minulý rok som mal možnosť prezentovať na HackerFest-e spolu s mojim kolegom Henrichom Slezákom na tému základné princípy sociálneho inžinierstva a jeho techniky s dôrazom na rôzne formy phishingu. Tam som spoznal Juraja Richtera z EY, dali sme sa do reči. Získal som pár nových kontaktov, spoznal som veľa zaujímavých ľudí nielen na Slovensku, ale aj v Česku. Teda v prvom rade som získal kontakty, pričom mi prišlo aj pár solídnych pracovných ponúk. Bola tam aj finančná odmena a možnosť ísť na konferenciu podľa výberu. Ak by som sa mal rozhodnúť, či sa prihlásiť znova, urobil by som to. Odporúčam to skúsiť každému kto začína v tejto oblasti ale aj tomu, kto už má nejaké tie skúsenosti a chce sa posunúť ďalej.

    Čo útočník získava tým, že diery v bezpečnosti využíva? Čo tam nájde?

    Záleží od zamerania hackera, ale v skratke im ide najmä o prihlasovacie údaje, duševné vlastníctvo a interné dáta organizácie. Útočník môže byť zaplatený konkurenciou a jeho cieľom môže byť získanie niečoho, čo daná firma vytvorila. Môžu to však byť heslá zamestnancov, platobné údaje, kreditné karty.

    Čo potom motivuje etických hackerov, keď tí neetickí prostredníctvom zločinu môžu zarobiť oveľa viac?

    Ono to je vždy boj. Etický hacker musí byť ešte o niekoľko krokov pred tým neetickým, aby vedel ochrániť klienta. Jednou motiváciou je dobrý pocit, druhá vec je boj proti tým „zlým“ čo podnecuje neustále vzdelávanie sa a motivácia byť lepším. Neetický hacker má motiváciu len veľmi nízkoúrovňovú, napríklad to môžu byť peniaze alebo pomsta. Ak je etický hacker naozaj veľmi dobrý a zlepšuje sa, myslím si, že môže byť rovnako dobre zaplatený, ako ten zlý.

    Keď sa bavíme o zraniteľnostiach, je častejšie chyba na strane samotného softvéru alebo skôr ľudský faktor a bezpečnostné diery, ktoré spôsobujú samotní používatelia nedbanlivosťou?

    Percentuálne to neviem úplne odhadnúť, ale myslím, že veľa chýb vzniká používaním zastaraného softwaru. Napríklad klienti stavajú weby na WordPress, ktorý udržujú aktuálny, ale často zabúdajú, že treba aktualizovať aj pluginy a grafické témy. V nich potom ľahko stratia prehľad a nerobia pri nich pravidelnú aktualizáciu napríklad z dôvodu, že by im to mohlo ohroziť správanie a funkčnosť webu. Pluginy sa práve preto stávajú veľmi často terčom hackerov, keďže môžu obsahovať rôzne zraniteľnosti.

    Zlyhanie ľudského faktora ale nastáva určite tiež a programátor môže nevedomky spraviť v kóde chybu, ktorú vie útočník zneužiť. Avšak našťastie väčšinu generických chýb v kóde dokážu dnes odhaliť sofistikované nástroje na kontrolu zdrojového kódu.

    Je to aj prípad webu Moje e-zdravie?

    Aspoň z toho, čo som sa zo zverejnených informácií dozvedel, problém nastal v tom, že internetový vyhľadávač zaindexoval adresu, ktorá smerovala na API rozhranie. Čo samo osebe by nemusela byť chyba, pokiaľ by toto rozhranie malo implementovanú autorizáciu spolu s ochranou proti brute-force a rate limitom, ktorý by dokázal zabrániť rýchlemu získavaniu dát, ako je napríklad captcha. Samozrejme, je na mieste otázka, či toto rozhranie bolo nutné vôbec takto vytiahnuť na internet. 

    Mňa napríklad na tomto prípade zarazilo, že keď k prieniku došlo, tak etickí hackeri chybu nahlásili, ale administrátor by o takýchto pohyboch mal predsa vedieť.

    To je pravda, otázka je, či vôbec mali nejaký log súbor, ktorý by obsahoval prístupy na server. Keď ale títo etickí hackeri sťahovali dáta z API rozhrania, čo muselo vyústiť v obrovské množstvo požiadaviek, malo to byť niekde vidieť.

    Ako vlastne títo etickí hackeri prišli na to, že práve e-zdravie je zraniteľné?

    Neviem ako na to prišli, avšak jedna z možností mohla byť práve taká že sa pozreli na zdrojový kód aplikácie, uvideli tam rôzne URL adresy ktoré mohli navštíviť a sledovať čo vedia cez ne získať. Avšak v tomto prípade im mohol stačiť len nejaký základný Google Dork, ktorý použili s adresou domény ktorú práve aplikácia používa. Mohlo sa stať, že nejaký vývojár vložil túto adresu do vyhľadávača a Google si to jednoducho zapamätal – zaindexoval, čomu sa však určite dalo predísť

    Toto bol konkrétny príklad, ale ako všeobecne hackeri vyhľadávajú zraniteľnosti na weboch? Napríklad si skenujú jednu stránku po druhej, alebo nájdu zraniteľnosť a hľadajú ju na weboch a v aplikáciách?

    To je rozdiel medzi etickými hackermi a tými neetickými. Etický pracuje na zmluvu a vie, aký má rozsah a čo je jeho cieľ. Neetický hacker má iba cieľ. Uvediem príklad, ktorý sa stáva často. Dnes človek vie preskenovať praktický celý internet napríklad na RDP port, ktorý používa operačný systém Windows. Útočník si vyhľadá IP adresy, ktoré majú tento port otvorený a exploituje ich automatizovane rad za radom. Tie, ktoré „hackne“, si uloží a môže si na nich spraviť určitú perzistenciu, aby mal k nim prístup aj neskôr.

    V oblasti webových aplikácií existujú rôzne produkty ako napr. DAST (dynamic application security testing) webové skenery ale aj rôzne iné nástroje na kontrolu a prehliadanie zdrojového kódu.

    Potom ešte existuje jedna veľká skupina, ktorá obsahuje rôzne exploitačné frameworky. Je to v podstate databáza, ktorá obsahuje verejne ale aj súkromne dostupné zraniteľnosti, na ktoré sú napísane exploity.

    Aké údaje sú pre hackerov najcennejšie?

    Ľudia robia chybu, že si myslia, že na internete nič nemajú a dajú si všade rovnaké heslo. Ak sa k takémuto človeku útočník dostane, má prístup zrazu ku všetkým účtom. Hackerov zaujímajú napríklad e-shopy, kde sú uložené platobné údaje. Kartové údaje sú v súčasnosti veľmi žiadané, metóde získavania kariet sa hovorí carding, pričom hlavne v Amerike je to populárna metóda. Za pár desiatok eur si viete na darknete kúpiť údaje ku kreditnej karte.

    Čiže by sme si mali dať pozor najmä na to, kam zadávame platobné údaje.

    Áno, dá sa to nastaviť cez rozumné limity, plus ďalší faktor overenia. Ale aj to sa dá obísť. Riešením sú aj jednorazové karty, je to asi najlepšia možnosť, aká dnes existuje.

    Existuje dnes nejaká hackerská komunita? Resp. máme na Slovensku dosť ľudí, ktorých počítače a telefóny zaujímajú aj viac do hĺbky?

    Povedal by som, že trend je taký, že na Slovensku sú talenty v tejto oblasti a sú tu veľmi dobrí ľudia. Málokto však zostal pracovať na Slovensku, čo sa podľa môjho názoru aj odzrkadľuje na komunite, ktorá je veľmi malá. Dnes hackerov lákajú smart riešenia v domácnostiach prípadne autách či firmách, čo znamená že rastie oblasť, ktorá sa dá hackovať.

    Aký názor máš na štátne IT? Ideme na to ako Slovensko dobre?

    Pracoval som v CSIRT.SK pričom mám bezpečnostnú previerku a nemôžem sa k tomu úplne do detailov vyjadrovať. Pracovať pre štát sa dá hlavne z morálneho presvedčenia a s cieľom pokúsiť sa zmeniť veci k lepšiemu.

    Takže o takom sci-fi ako voľby cez internet môžeme iba snívať.

    Myslím, a hlavne dúfam, že sa niečoho takého v dohľadnej dobe na Slovensku nedočkáme. 

Najnovšie video

Fontech

ĎALŠIE ČLÁNKY Z FONTECH.SK

Fontech